## 8.7 网络层安全性：IPsec和虚拟专用网 IPsec：IP安全（IP Security）为网络层提供了安全性。 虚拟专用网（Virtual Private Network，VPN） ### 8.7.1 IPsec和虚拟专用网 专用网络（Privaet Network）：跨越多个地理区域上的IP网络。 ### 8.7.2 AH协议和ESP协议 IPsec协议族中两个主要协议： * 鉴别首部（Authentication Header，AH）协议。 * 封装安全性载荷（Encapsulation Security Payload，ESP）协议。 ### 8.7.3 安全关联 安全关联（Security Association，SA）：从源实体向目的实体发送IPsec数据报之前，源和目的实体创建的一个网络层逻辑连接。 一个IPsec实体经常维护多个SA的状态信息，信息存放在安全关联数据库（Security Association Database，SAD）中。 ### 8.7.4 IPsec数据报 IPsec有两种不同的分组形式： * 隧道模式（Tunnel Mode） * 运输模式（Transport Mode） **IPsec小结**：IPsec在任何通过网络层处理分组的设备对之间，提供了机密性、源鉴别、数据完整性和重放攻击防护。 ### 8.7.5 IKE：IPsec中的密钥管理 因特网密钥交换（Internet Key Exchange，IKE）：一个自动机制为大型的、地理上分散的部署来生成SA。