1、1 IPsec 技术白皮书 Copyright 2022 新华三技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品。i 目录 1 概述 1 1.1 产生背景 1 1.2 技术优点 1 2 技术实现 1 2.1 IPsec 基本概念 1 2.1.1 安全联盟 1 2.1.2 安全协议 2 2.1.3 安全机制 3 2.1.4 封装模式 3 2.2 IK

2、E 协议 4 2.2.1 IKE 的优点 4 2.2.2 IPsec 与 IKE 的关系 5 2.2.3 IKE 的安全机制 5 2.2.4 IKE 协议版本 6 2.3 IKEv1 协商建立 IPsec SA 6 2.3.1 基本过程 6 2.3.2 协商模式 6 2.3.3 主模式 6 2.3.4 野蛮模式 7 2.3.5 国密主模式 7 2.4 IKEv2 协商建立 IPsec SA 8 2.4.1 IKEv2 的协商过程 8 2.4.2 IKEv2 引入的新特性 9 2.5 IPsec 运行机制 9 2.6 定义保护数据流的方法 11 2.6.1 ACL 方式 11 2.6.2 路由方

3、式 12 3 技术特色 13 3.1 高效安全的硬件加密引擎 13 3.2 高安全性的量子加密 14 3.3 全面支持国密算法 14 3.4 稳定可靠的智能选路 14 ii 3.5 自动反向路由注入 15 3.6 保护 IPv6 路由协议 16 3.7 保护 SDWAN 报文 16 3.8 掩码过滤与流量重叠检测 17 3.9 流量不进行 NAT 转换 18 3.10 对端地址备份与回切 19 3.10.1 对端地址备份 19 3.10.2 对端地址回切 19 3.11 灵活切换封装协议 19 3.12 基于 iMC 的 IPsec 统一运维 19 4 典型组网应用 20 4.1 局域网安全互

4、联场景 20 4.2 移动用户远程接入场景 20 4.3 NAT 穿越场景 20 4.4 反向路由注入场景 21 4.5 IPsec 智能选路场景 21 4.6 总部双链路场景 22 4.7 VPN 多实例场景 22 5 参考文献 23 1 1 概述概述 1.1 产生背景 随着互联网技术的快速发展，越来越多的企业选择通过互联网进行信息交互，但是由于 IP 协议没有足够的安全性保障，且网络中存在大量的安全威胁和数据泄漏风险，无法保证网络传输数据的安全性。为了解决以上问题，IPsec 应运而生。IPsec（IP Security，IP 安全）是 IETF 制定的三层隧道加密协议，IPsec 协议工

5、作在 IP 层，可以为IP 网络提供透明的安全服务。IPsec 通过在特定通信方之间（例如两个安全网关之间）建立“通道”，来保护通信方之间传输的用户数据，该通道通常称为 IPsec 隧道。1.2 技术优点 IPsec 具有如下技术优点：数据机密性（Confidentiality）：发送方通过网络传输报文前，IPsec 对报文进行加密，保证数据的机密性，防止数据被恶意窃听。数据完整性（Data Integrity）：接收方对收到的 IPsec 报文的 Hash 值进行检查，从而判断数据在传输过程中是否被篡改。数据来源认证（Data Origin Authentication）：接收方对收到的 I

6、Psec 报文的数字签名进行认证，从而判断报文来源的真实性。所有基于 IP 协议进行传输的数据都可以使用 IPsec 进行保护，而不需要对原始报文进行任何修改。IPsec 借助 IKE 协议，可实现密钥的自动协商，简化了 IPsec 的配置。IPsec 对数据的加密以数据包为单位，支持抗重放功能，可以有效防范网络攻击。2 技术实现技术实现 2.1 IPsec基本概念 IPsec 包括如下基本概念：安全联盟、安全协议、安全机制、封装模式。2.1.1 安全联盟 1.SA 简介 SA（Security Association，安全联盟）是 IPsec 的基础，也是 IPsec 的本质。IPsec 在