1、遠(yuǎn)程安全訪(fǎng)問(wèn)解決方案的技術(shù)方案杭州華三通信技術(shù)有限公司目錄1.遠(yuǎn)程訪(fǎng)問(wèn)模式分析42.虛擬專(zhuān)用網(wǎng)技術(shù)簡(jiǎn)介42.1 .虛擬專(zhuān)用網(wǎng)定義42.2。虛擬專(zhuān)用網(wǎng)絡(luò)5的類(lèi)型2 . 2 . 1訪(fǎng)問(wèn)VPN52 . 2 . 2內(nèi)部VPN62 . 2 . 3外部網(wǎng)VPN62.3 .虛擬專(zhuān)用網(wǎng)優(yōu)勢(shì)62.4。隧道技術(shù)72.4.1第2層隧道協(xié)議72.4.2三層隧道協(xié)議72.5。加密技術(shù)92.6。身份認(rèn)證技術(shù)103.H3C安全建設(shè)理念113.1。智能安全滲透網(wǎng)絡(luò)介紹113.2。智能安全滲透網(wǎng)絡(luò)本地安全123.3。智能安全滲透網(wǎng)絡(luò)全球安全123.4。智能安全滲透網(wǎng)絡(luò)智能安全124.XX系統(tǒng)遠(yuǎn)程安全訪(fǎng)問(wèn)解決方案134.1.XX

2、系統(tǒng)遠(yuǎn)程安全訪(fǎng)問(wèn)需求分析134.2。解決方案設(shè)計(jì)原則145.XX系統(tǒng)遠(yuǎn)程安全訪(fǎng)問(wèn)解決方案175.1。遠(yuǎn)程訪(fǎng)問(wèn)安全解決方案175.1.1。大型分支機(jī)構(gòu)接入175.1.2。中小型分支機(jī)構(gòu)合作伙伴的訪(fǎng)問(wèn)185.1.3。移動(dòng)用戶(hù)訪(fǎng)問(wèn)模式195.2?？煽啃杂?jì)劃205.2.1。雙導(dǎo)出備份205.2.2。雙計(jì)算機(jī)備份225.2.3?？焖偾袚Q235.3 .虛擬專(zhuān)用網(wǎng)管理系統(tǒng)255.3.1。輕松部署安全網(wǎng)絡(luò)255.3.2?？梢暬摂M專(zhuān)用網(wǎng)拓?fù)?65.3.3。網(wǎng)絡(luò)性能的全方位監(jiān)控265.3.4。快速定位網(wǎng)絡(luò)故障275.4.BIMS分支智能管理系統(tǒng)285.5。統(tǒng)一安全管理中心306.摘要311.遠(yuǎn)程訪(fǎng)問(wèn)模式分析隨著

3、網(wǎng)絡(luò)的發(fā)展，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，為了提高通信效率和資源利用效率，在分支機(jī)構(gòu)與總部、機(jī)構(gòu)和機(jī)構(gòu)之間建立保密的網(wǎng)絡(luò)連接是非常必要的。此外，工作人員出差時(shí)還需要訪(fǎng)問(wèn)系統(tǒng)內(nèi)部的一些信息資源，此時(shí)還需要建立保密的網(wǎng)絡(luò)連接。如何為這些分支機(jī)構(gòu)、機(jī)構(gòu)和商務(wù)旅客提供一種安全、經(jīng)濟(jì)、方便、高效的安全訪(fǎng)問(wèn)方式，已經(jīng)成為XX系統(tǒng)亟待解決的問(wèn)題。建立安全網(wǎng)絡(luò)連接的一種方法是使用專(zhuān)用線(xiàn)路。其基本方法是在每一級(jí)之間建立專(zhuān)用線(xiàn)路連接。通過(guò)這種方法可以實(shí)現(xiàn)的星型全球網(wǎng)絡(luò)連接，基本上滿(mǎn)足了分行與總部、機(jī)構(gòu)和機(jī)構(gòu)之間的數(shù)據(jù)傳輸需求。然而，這種方法有兩個(gè)非常大的缺點(diǎn)：第一，它不夠靈活，不能滿(mǎn)足旅行者隨時(shí)隨地訪(fǎng)問(wèn)的需求。第二個(gè)是高

4、成本，這要求專(zhuān)線(xiàn)網(wǎng)絡(luò)連接的租用線(xiàn)路費(fèi)用很高。另一種方式是通過(guò)撥號(hào)登錄公司內(nèi)部的撥號(hào)服務(wù)器，利用PSTN/ISDN的模擬電話(huà)線(xiàn)和移動(dòng)用戶(hù)主機(jī)配置的調(diào)制解調(diào)器，實(shí)現(xiàn)對(duì)公司內(nèi)部資源的遠(yuǎn)程訪(fǎng)問(wèn)。這種方法的優(yōu)點(diǎn)是相對(duì)靈活，并且相對(duì)容易獲得PSTN電話(huà)線(xiàn)路資源。缺點(diǎn)是網(wǎng)絡(luò)連接性能低，PSTN電話(huà)最多只能提供64K帶寬，與目前的寬帶網(wǎng)絡(luò)相比基本不可用，而且這種方法沒(méi)有任何安全措施，在數(shù)據(jù)傳輸過(guò)程中存在很大的安全風(fēng)險(xiǎn)。隨著虛擬專(zhuān)用網(wǎng)技術(shù)的發(fā)展，虛擬專(zhuān)用網(wǎng)技術(shù)已經(jīng)成為一種非常成熟的網(wǎng)絡(luò)連接方式。虛擬專(zhuān)用網(wǎng)具有性?xún)r(jià)比高、適應(yīng)性強(qiáng)、網(wǎng)絡(luò)安全特性強(qiáng)和動(dòng)態(tài)擴(kuò)展能力強(qiáng)等優(yōu)點(diǎn)。它已被廣泛用于替代連接廣域網(wǎng)的專(zhuān)用線(xiàn)路。下面，

5、我們將以虛擬專(zhuān)用網(wǎng)模式為核心，為H3C提供一個(gè)全面的虛擬專(zhuān)用網(wǎng)解決方案。2.虛擬專(zhuān)用網(wǎng)技術(shù)簡(jiǎn)介2.1。虛擬專(zhuān)用網(wǎng)定義由公共網(wǎng)絡(luò)建立的私有網(wǎng)絡(luò)稱(chēng)為虛擬私有網(wǎng)絡(luò)。用于建立虛擬專(zhuān)用網(wǎng)的公共網(wǎng)絡(luò)包括互聯(lián)網(wǎng)、幀中繼、自動(dòng)柜員機(jī)等。建立在公共網(wǎng)絡(luò)上的虛擬專(zhuān)用網(wǎng)像企業(yè)現(xiàn)有的專(zhuān)用網(wǎng)絡(luò)一樣提供安全性、可靠性和可管理性?！疤摂M”的概念是相對(duì)于傳統(tǒng)的建立私有網(wǎng)絡(luò)的方式而言的。對(duì)于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過(guò)遠(yuǎn)程撥號(hào)連接實(shí)現(xiàn)的，而虛擬專(zhuān)用網(wǎng)絡(luò)利用服務(wù)提供商提供的公共網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程廣域網(wǎng)連接。通過(guò)虛擬專(zhuān)用網(wǎng)絡(luò)，企業(yè)可以以低得多的成本連接他們的遠(yuǎn)程辦公室、旅行人員和業(yè)務(wù)伙伴，如圖1所示。圖1。虛擬專(zhuān)用網(wǎng)應(yīng)用示意圖從圖中

6、可以看出，企業(yè)內(nèi)資源的用戶(hù)只能通過(guò)連接到本地的ISP才能訪(fǎng)問(wèn)中心或相互通信。這對(duì)出差的高流動(dòng)性員工以及分布廣泛的客戶(hù)和合作伙伴非常重要。此外，企業(yè)建立虛擬專(zhuān)用網(wǎng)服務(wù)只需要很少的設(shè)備，只需要在資源共享的地方放置一臺(tái)虛擬專(zhuān)用網(wǎng)服務(wù)器。2.2。虛擬專(zhuān)用網(wǎng)的類(lèi)型虛擬專(zhuān)用網(wǎng)分為三種類(lèi)型：遠(yuǎn)程訪(fǎng)問(wèn)虛擬專(zhuān)用網(wǎng)、內(nèi)部網(wǎng)虛擬專(zhuān)用網(wǎng)和外部網(wǎng)虛擬專(zhuān)用網(wǎng)。這三種類(lèi)型的虛擬專(zhuān)用網(wǎng)分別對(duì)應(yīng)于由傳統(tǒng)的遠(yuǎn)程接入網(wǎng)、企業(yè)內(nèi)部?jī)?nèi)部網(wǎng)、企業(yè)網(wǎng)絡(luò)和相關(guān)伙伴的企業(yè)網(wǎng)絡(luò)構(gòu)成的外部網(wǎng)。2.2.1接入虛擬專(zhuān)用網(wǎng)隨著移動(dòng)辦公室數(shù)量的增加，遠(yuǎn)程用戶(hù)需要及時(shí)訪(fǎng)問(wèn)內(nèi)部網(wǎng)和外部網(wǎng)。接入虛擬專(zhuān)用網(wǎng)通過(guò)公共網(wǎng)絡(luò)為出差人員、遠(yuǎn)程辦公人員和遠(yuǎn)程小型辦公室建立

7、與企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)的專(zhuān)用網(wǎng)絡(luò)連接。在接入虛擬專(zhuān)用網(wǎng)的應(yīng)用中，采用雙層網(wǎng)絡(luò)隧道技術(shù)在公共網(wǎng)絡(luò)上建立虛擬專(zhuān)用網(wǎng)隧道連接，傳輸專(zhuān)用網(wǎng)絡(luò)數(shù)據(jù)。有兩種類(lèi)型的接入虛擬專(zhuān)用網(wǎng)結(jié)構(gòu)，一種是客戶(hù)端發(fā)起的虛擬專(zhuān)用網(wǎng)連接，另一種是網(wǎng)絡(luò)連接協(xié)議發(fā)起的虛擬專(zhuān)用網(wǎng)連接。用戶(hù)發(fā)起的虛擬專(zhuān)用網(wǎng)連接是指以下情況：首先，遠(yuǎn)程用戶(hù)通過(guò)服務(wù)提供商點(diǎn)(POP)撥入互聯(lián)網(wǎng)，然后用戶(hù)通過(guò)網(wǎng)絡(luò)隧道協(xié)議與企業(yè)網(wǎng)絡(luò)建立隧道(加密)連接，以訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)的內(nèi)部資源。在這種情況下，客戶(hù)端必須維護(hù)和管理啟動(dòng)隧道連接的相關(guān)協(xié)議和軟件。在由接入服務(wù)器發(fā)起的虛擬專(zhuān)用網(wǎng)連接應(yīng)用中，用戶(hù)通過(guò)本地號(hào)碼或免費(fèi)號(hào)碼撥入互聯(lián)網(wǎng)服務(wù)提供商，然后互聯(lián)網(wǎng)服務(wù)提供商的網(wǎng)絡(luò)連接

8、設(shè)備發(fā)起隧道連接以連接到用戶(hù)的企業(yè)網(wǎng)絡(luò)。在這種情況下，建立的虛擬專(zhuān)用網(wǎng)連接對(duì)遠(yuǎn)程用戶(hù)是透明的，并且網(wǎng)絡(luò)服務(wù)提供商負(fù)責(zé)管理和維護(hù)虛擬專(zhuān)用網(wǎng)構(gòu)建所需的協(xié)議和軟件。2.2.2內(nèi)部網(wǎng)虛擬專(zhuān)用網(wǎng)內(nèi)部網(wǎng)虛擬專(zhuān)用網(wǎng)是傳統(tǒng)的專(zhuān)用線(xiàn)路網(wǎng)絡(luò)或其他企業(yè)網(wǎng)絡(luò)的擴(kuò)展或替代，通過(guò)公共網(wǎng)絡(luò)將企業(yè)的各種分布點(diǎn)相互連接起來(lái)。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過(guò)公共網(wǎng)絡(luò)在路由器之間建立VPN安全隧道來(lái)傳輸用戶(hù)的私有網(wǎng)絡(luò)數(shù)據(jù)。用于構(gòu)建這個(gè)虛擬專(zhuān)用網(wǎng)連接的隧道技術(shù)包括IPSec、GRE等。與服務(wù)提供商提供的服務(wù)質(zhì)量機(jī)制相結(jié)合，網(wǎng)絡(luò)資源可以被有效和可靠地使用，以確保網(wǎng)絡(luò)質(zhì)量?；贏(yíng)TM或幀中繼虛電路技術(shù)的VPN也能實(shí)現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但

9、其缺點(diǎn)是互連區(qū)域有較大的局限性。另一方面，構(gòu)建基于互聯(lián)網(wǎng)的虛擬專(zhuān)用網(wǎng)是最經(jīng)濟(jì)的方式，但服務(wù)質(zhì)量難以保證。企業(yè)在規(guī)劃虛擬專(zhuān)用網(wǎng)建設(shè)時(shí)，應(yīng)根據(jù)自身需要權(quán)衡上述公共網(wǎng)絡(luò)方案。2.2.3外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)是指利用虛擬專(zhuān)用網(wǎng)將企業(yè)網(wǎng)絡(luò)擴(kuò)展到合作伙伴和客戶(hù)。在傳統(tǒng)專(zhuān)線(xiàn)建設(shè)模式下，外網(wǎng)通過(guò)專(zhuān)線(xiàn)互聯(lián)實(shí)現(xiàn)，需要維護(hù)網(wǎng)絡(luò)管理和訪(fǎng)問(wèn)控制，甚至需要在外網(wǎng)用戶(hù)側(cè)安裝兼容的網(wǎng)絡(luò)設(shè)備。雖然外聯(lián)網(wǎng)可以通過(guò)撥號(hào)來(lái)建立，但此時(shí)需要為不同的外聯(lián)網(wǎng)用戶(hù)建立外聯(lián)網(wǎng)，而且復(fù)雜性也不能降低。由于合作伙伴和客戶(hù)分布廣泛，這樣的外聯(lián)網(wǎng)建設(shè)和維護(hù)非常昂貴。因此，許多企業(yè)往往放棄外聯(lián)網(wǎng)的建設(shè)，導(dǎo)致企業(yè)間復(fù)雜的業(yè)務(wù)交易流程，降低了業(yè)務(wù)

10、效率。外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)由于易于建設(shè)和管理，為解決上述問(wèn)題提供了一種有效的方法。其實(shí)現(xiàn)技術(shù)與接入虛擬專(zhuān)用網(wǎng)和內(nèi)網(wǎng)虛擬專(zhuān)用網(wǎng)相同。外聯(lián)網(wǎng)用戶(hù)對(duì)外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)的訪(fǎng)問(wèn)權(quán)限可以通過(guò)防火墻等手段進(jìn)行設(shè)置和管理。2.3。虛擬專(zhuān)用網(wǎng)的優(yōu)勢(shì)利用公共網(wǎng)絡(luò)構(gòu)建虛擬專(zhuān)用網(wǎng)是一個(gè)新的網(wǎng)絡(luò)概念。對(duì)于企業(yè)來(lái)說(shuō)，利用互聯(lián)網(wǎng)建立專(zhuān)用網(wǎng)可以將大量的專(zhuān)線(xiàn)成本降低到少量的本地電話(huà)成本和互聯(lián)網(wǎng)成本。據(jù)報(bào)道，局域網(wǎng)互連成本可以降低20 40%，而遠(yuǎn)程訪(fǎng)問(wèn)成本可以降低60 80%，這無(wú)疑是很有吸引力的。虛擬專(zhuān)用網(wǎng)大大降低了網(wǎng)絡(luò)復(fù)雜性，虛擬專(zhuān)用網(wǎng)用戶(hù)的網(wǎng)絡(luò)地址可以在企業(yè)內(nèi)部統(tǒng)一分布，虛擬專(zhuān)用網(wǎng)組網(wǎng)靈活方便，其他特點(diǎn)簡(jiǎn)化了企業(yè)網(wǎng)絡(luò)管理。此外

11、，在虛擬專(zhuān)用網(wǎng)應(yīng)用中，遠(yuǎn)程用戶(hù)認(rèn)證和隧道數(shù)據(jù)加密技術(shù)確保了通過(guò)公共網(wǎng)絡(luò)傳輸?shù)乃接袛?shù)據(jù)的安全。2.4。隧道技術(shù)對(duì)于虛擬專(zhuān)用網(wǎng)的建設(shè)，網(wǎng)絡(luò)隧道是一項(xiàng)關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技術(shù)是指將一種網(wǎng)絡(luò)協(xié)議傳輸?shù)搅硪环N網(wǎng)絡(luò)協(xié)議。主要采用網(wǎng)絡(luò)隧道協(xié)議來(lái)實(shí)現(xiàn)這一功能。網(wǎng)絡(luò)隧道技術(shù)涉及三種網(wǎng)絡(luò)協(xié)議：網(wǎng)絡(luò)隧道協(xié)議、支持隧道協(xié)議的承載協(xié)議和隧道協(xié)議承載的承載協(xié)議。有兩種類(lèi)型的隧道協(xié)議：一種是第2層隧道協(xié)議，用于傳輸?shù)?層網(wǎng)絡(luò)協(xié)議。它主要用于構(gòu)建接入虛擬專(zhuān)用網(wǎng)和外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議。它主要用于建立內(nèi)網(wǎng)虛擬專(zhuān)用網(wǎng)和外網(wǎng)虛擬專(zhuān)用網(wǎng)。2.4.1第2層隧道協(xié)議有三種第2層隧道協(xié)議：PPTP(點(diǎn)對(duì)

12、點(diǎn)隧道協(xié)議)、L2F(第2層轉(zhuǎn)發(fā)協(xié)議)和L2TP(第2層隧道協(xié)議)。其中，L2TP結(jié)合了前兩個(gè)協(xié)議的優(yōu)點(diǎn)，具有更優(yōu)越的特性，得到了越來(lái)越多的組織和公司的支持。這將是最廣泛使用的虛擬專(zhuān)用網(wǎng)第2層隧道協(xié)議。下圖顯示了使用L2TP構(gòu)建的典型虛擬專(zhuān)用網(wǎng)服務(wù)的結(jié)構(gòu)：圖2。典型撥號(hào)虛擬專(zhuān)用網(wǎng)業(yè)務(wù)示意圖2.4.2三層隧道協(xié)議用于傳輸三層網(wǎng)絡(luò)協(xié)議的隧道協(xié)議稱(chēng)為三層隧道協(xié)議。三層隧道協(xié)議并不是一項(xiàng)新技術(shù)。出現(xiàn)已久的RFC 1701通用路由封裝(GRE)協(xié)議是一種三層隧道協(xié)議，是對(duì)IETF IPSec協(xié)議的補(bǔ)充。GREGRE在IP、IPX IP和其他封裝形式上與IP非常相似，但比它們更常見(jiàn)。在GRE的處理過(guò)程中，

13、許多協(xié)議的細(xì)微差別被忽略了，這使得GRE不局限于一個(gè)特定的“X對(duì)Y”應(yīng)用，而是一種最基本的封裝形式。在最簡(jiǎn)單的情況下，路由器接收需要封裝和路由的原始數(shù)據(jù)包(有效負(fù)載)。這個(gè)包首先被GRE封裝成GRE包，然后封裝成IP協(xié)議，然后IP層完全負(fù)責(zé)轉(zhuǎn)發(fā)這個(gè)包。原始消息的協(xié)議稱(chēng)為乘客協(xié)議，GRE稱(chēng)為封裝協(xié)議，負(fù)責(zé)轉(zhuǎn)發(fā)的IP協(xié)議稱(chēng)為傳送協(xié)議或傳輸協(xié)議。請(qǐng)注意，乘客協(xié)議的具體格式或內(nèi)容無(wú)需在上述過(guò)程中考慮。整個(gè)封裝消息的格式如下圖所示：圖3。通過(guò)GRE傳輸?shù)南⑿问絀PSecIPSec是一組開(kāi)放協(xié)議的總稱(chēng)。特定的通信方在IP層通過(guò)加密和數(shù)據(jù)源驗(yàn)證，以確?；ヂ?lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)包的隱私性、完整性和真實(shí)性。IPSe

14、c通過(guò)兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)，AH(認(rèn)證頭)和esp(封裝安全負(fù)載)。此外，這種實(shí)現(xiàn)不會(huì)影響用戶(hù)、主機(jī)或其他互聯(lián)網(wǎng)組件。用戶(hù)還可以選擇不同的硬件和軟件加密算法，而不影響其他部分的實(shí)現(xiàn)。IPSec提供以下網(wǎng)絡(luò)安全服務(wù)：隱私-IPSec在傳輸前對(duì)數(shù)據(jù)包進(jìn)行加密，以確保數(shù)據(jù)的隱私性；完整性-IPSec在目的地驗(yàn)證數(shù)據(jù)包，以確保數(shù)據(jù)包在傳輸過(guò)程中未被修改。真實(shí)性-IPSec端應(yīng)驗(yàn)證IPSec保護(hù)的所有數(shù)據(jù)包；防重放-IPSec防止數(shù)據(jù)包被捕獲并重新放置在網(wǎng)絡(luò)上，即目的地將拒絕舊的或重復(fù)的數(shù)據(jù)包。它是通過(guò)數(shù)據(jù)包的序列號(hào)來(lái)實(shí)現(xiàn)的。IPSec通過(guò)建立安全關(guān)聯(lián)在兩個(gè)端點(diǎn)之間傳輸數(shù)據(jù)。安全聯(lián)盟定義了用于數(shù)據(jù)保護(hù)的協(xié)

15、議和算法以及安全聯(lián)盟的有效時(shí)間。在轉(zhuǎn)發(fā)加密數(shù)據(jù)時(shí)，IPSec會(huì)生成新的AH和/或ESP附加標(biāo)頭，以確保IP數(shù)據(jù)包的安全性。IPSec有兩種操作模式：隧道和傳輸。在隧道模式下，用戶(hù)的整個(gè)IP數(shù)據(jù)包用于計(jì)算附加報(bào)頭并加密，附加報(bào)頭和加密的用戶(hù)數(shù)據(jù)被封裝在新的IP數(shù)據(jù)包中；在傳輸模式下，只有傳輸層(如TCP、UDP、ICMP)數(shù)據(jù)用于計(jì)算附加報(bào)頭，附加報(bào)頭和加密傳輸層數(shù)據(jù)放在原始IP報(bào)頭之后。AH報(bào)頭用于確保數(shù)據(jù)包的完整性和真實(shí)性，防止黑客截?cái)鄶?shù)據(jù)包或?qū)卧斓臄?shù)據(jù)包插入網(wǎng)絡(luò)?？紤]到計(jì)算效率，AH不使用數(shù)字簽名，而是使用安全散列算法來(lái)保護(hù)數(shù)據(jù)包。AH不加密用戶(hù)數(shù)據(jù)。圖中顯示了AH在IP數(shù)據(jù)包中的位置(

16、隧道模式):圖4。AH處理示意圖ESP對(duì)要保護(hù)的用戶(hù)數(shù)據(jù)進(jìn)行加密，然后將其封裝到IP數(shù)據(jù)包中。專(zhuān)門(mén)用途程序可以確保數(shù)據(jù)的完整性、真實(shí)性和保密性。電潛泵報(bào)頭在數(shù)據(jù)包中的位置如下(隧道模式):圖5。電潛泵工藝示意圖人工智能和電潛泵可以單獨(dú)使用，也可以同時(shí)使用。使用IPSec，數(shù)據(jù)可以在公共網(wǎng)絡(luò)上安全傳輸，而不用擔(dān)心數(shù)據(jù)被監(jiān)控、修改或偽造。IPSec在兩臺(tái)主機(jī)之間、兩臺(tái)安全網(wǎng)關(guān)之間或主機(jī)與安全網(wǎng)關(guān)之間提供數(shù)據(jù)保護(hù)。可以在兩個(gè)端點(diǎn)之間建立多個(gè)安全聯(lián)盟，并且IPSec可以結(jié)合訪(fǎng)問(wèn)列表對(duì)不同的數(shù)據(jù)流實(shí)施不同的保護(hù)策略，以實(shí)現(xiàn)不同的保護(hù)效果。安全聯(lián)盟是定向的(單向的)。通常兩個(gè)端點(diǎn)之間有四個(gè)安全聯(lián)盟，每個(gè)端點(diǎn)兩個(gè)，一個(gè)用于數(shù)據(jù)傳輸，一個(gè)用于數(shù)據(jù)接收。IPSec安全聯(lián)盟可以通過(guò)手動(dòng)配置來(lái)建立，但是當(dāng)網(wǎng)絡(luò)中的節(jié)點(diǎn)數(shù)量增加時(shí)，手動(dòng)配置將非常困難，并且很難保證安全。此時(shí)，IKE將用于自動(dòng)建立