IPsec操作

在通过各种隧道和网关的过程中，会向数据包添加额外的标头，在每次通过网关时，数据报都包含在新的标头中。此标头中包含安全参数索引(SPI)，SPI一个系统用于查看数据包的算法和密钥，此系统中的有效负载也受到保护，因为将检测到数据中的任何更改或错误，从而导致接收方丢弃数据包。

标头应用于每个隧道的开头，然后在每个隧道的末尾进行验证和删除，这种方法可以防止不必要的开销累积。

IPsec的缺点

在某些情况下，不可以进行直接的端到端通信(即传输模式)。举一个简单示例，其中H1和H2是一个直接隧道上的两个主机，H1使用防火墙称为FW1。

在大型分布式系统或域间环境中，多样化的区域安全策略实施可能会给端到端通信带来严重的问题。在上面的示例中，假设FW1需要检查流量内容以进行检测，并且在FW1设置策略以拒绝所有加密流量以强制执行其内容检查要求。

然而，H1和H2构建直接隧道而不了解防火墙及其策略规则的存在。因此，所有流量将被FW1丢弃，该场景显示每个策略满足其相应的要求，而所有策略一起可能导致冲突。

什么是国密IPSec 网关

IPSec ***安全网关是基于IPSec技术而实现的一种网络安全设备。它通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被篡改，从而向用户提供类似于私有网络性能的网络服务技术。该安全网关采用硬件进行加密，具有较高的安全强度和网络性能。该安全网关同时支持***2、***3、***4国密算法.

加密网关主要应用

适用于各类的局域网、广域网，可以在多个子网之间建立起***的安全通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。常见应用场景包括输配电、能源、市政、安防、智能制造、地理监测等行业场景。

IPSec安全网关的使用场合和作用

IPSec对终端用户来说是透明的，因此无需对用户进行安全培训，同时也无需对用户发放或撤销密钥材料。

IPSec除了支持终端用户、保护系统和网络外，还在网络互联所需的路由结构中起着重要的作用。IPSec能保证：路由通告(新路由器用于向外界通告自己)来自一个被***的路由器;邻居通告(路由器用于建立或维护与其他路由域中路由器的邻居关系)来自一个***的路由器;重新定向的消息来自于数据包上次到达的路由器;路由的更新。