【网络层-IPSec互联网安全协议】

一、概念

IPSec是专为IP网络通信提供加密、认证、完整性校验和防重放等核心安全服务，是构建VPN（虚拟专用网络）的主流技术标准。

二、功能

1.机密性：通过加密算法（如 AES）将数据明文转为密文，防止传输过程中被窃听。
2.完整性：通过哈希算法（如 SHA-256）生成校验值，接收方校验以确认数据未被篡改。
3.身份认证：验证数据包发送者的真实身份，防止地址伪造或中间人攻击。
4.防重放：通过序列号机制，拒绝接收重复、过期的数据包，抵御重放攻击。

三、核心

1.认证头协议AH(Authentication Header) ：仅提供数据源认证、数据完整性、防重放，不提供加密。
2.封装安全载荷协议ESP(Encapsulating Security Payload) ：最常用协议，提供加密 + 认证 + 完整性 + 防重放的全套服务。
3.互联网密钥交换IKE(Internet Key Exchange) ：IPSec 的 “自动管家”，负责安全协商、密钥生成、SA建立与维护。

四、模式

1.传输模式：只加密 / 认证数据载荷，保留原始 IP 头部，AH/ESP 头插入在原始 IP 头和 TCP/UDP 头之间，用于主机到主机 (Host-to-Host) 的直接安全通信，效率高、开销小，但不隐藏地址、难以穿透NAT。
2.隧道模式：将整个原始 IP 包加密，再外层封装一个新的公网 IP 头，如同给信件（原包）套了个加密信封（新公网头），用于网关到网关(Site-to-Site) 或远程接入VPN（企业最常用），隐藏内部地址、完美支持NAT穿透，开销略大。