一、IP安全概述　　IPv4的安全缺陷：
　　对通信双方不能保证收到的IP数据报：
　　1、 确系来自声明的发送方（IP头内的源地址）
　　2、 确系原始数据，未被任何篡改
　　3、 未发生泄密事件，即原始数据在传输中途未被其他人偷看

　　IPSec是IPv6的一个组成部分，也是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。
　　IPSec定义了一种标准、健壮的以及包容广泛的机制，可用它为IP及其上层协议提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、数据源验证、抗重播、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA、AES等确保通信双方的机密性。
　　IPSec协议簇包括两个安全协议，它们分别是AH协议和ESP协议。
　　验证头（Authentication Header AH）：可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网上重播。
　　封装安全载荷（Encapsulating Security Payload,ESP）：它具有所有AH的功能，此外，它还可以利用加密技术保障数据的机密性。
　　AH和ESP的区别：
　　ESP要求使用高强度加密算法，会受到许多限制。
　　多数情况下，使用AH的认证服务已能满足要求，相对来说，ESP开销较大。
　　

二、IPSec的作用方式　　IPSec的作用方式有两种：传输模式和隧道模式。
　　传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全。它所保护的数据包的通信终点也是IPSec终点。当数据包从传输层传送给网络层时，AH和ESP会进行"拦截"，在IP头与上层协议头之间需插入一个IPSec头（AH头或ESP头）。当同时应用AH和ESP传输模式时，应该先应用ESP，再应用AH，这样数据完整性可应用到ESP载荷。
　　隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。它将整个IP数据包（称为内部IP头）进行封装，然后增加一个IP头（称为外部IP头），并在外部与内部IP头之间插入一个IPSec头。该模式的通信终点由受保护的内部IP头指定，而IPSec终点由外部IP头指定，如果其终点为IPSec网关，则该网关会还原出内部IP包，再转发到最终的目的地。IPSec支持嵌套隧道，即对已隧道化的数据包再进行隧道化处理。
　　三、IPSec的实施
IPSec可在终端主机、网关/路由器或两者中同时进行实施和配置。在需要确保端到端的通信安全时，在主机实施显得尤为有用。在需要确保网络一部分的通信安全时，在路由器中实施IPSec就显得非常必要，比如在VPN和内联网中。
　　1、 主机实施：
　　好处：
　　保障端到端的安全性；
　　能够实现所有的IPSec安全模式，即传输模式和隧道模式；
　　能够为数据流提供安全保障；
　　在SA的协商过程中，能够自己维持用户身份验证的"场景"
　　主机实施可分成两类：
　　IPSec与操作系统集成实施。IPSec可当做网络层的一部分来实现。IPSec层需要IP层的服务构建IP头；
　　IPSec作为一个"契子"插入在协议堆栈的网络层与数据链路层之间实施，称为"堆栈中的块（BITS）"实施方案。二、IPSec的作用方式
　　IPSec的作用方式有两种：传输模式和隧道模式。
　　传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全。它所保护的数据包的通信终点也是IPSec终点。当数据包从传输层传送给网络层时，AH和ESP会进行"拦截"，在IP头与上层协议头之间需插入一个IPSec头（AH头或ESP头）。当同时应用AH和ESP传输模式时，应该先应用ESP，再应用AH，这样数据完整性可应用到ESP载荷。
　　隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。它将整个IP数据包（称为内部IP头）进行封装，然后增加一个IP头（称为外部IP头），并在外部与内部IP头之间插入一个IPSec头。该模式的通信终点由受保护的内部IP头指定，而IPSec终点由外部IP头指定，如果其终点为IPSec网关，则该网关会还原出内部IP包，再转发到最终的目的地。IPSec支持嵌套隧道，即对已隧道化的数据包再进行隧道化处理。
　　三、IPSec的实施
IPSec可在终端主机、网关/路由器或两者中同时进行实施和配置。在需要确保端到端的通信安全时，在主机实施显得尤为有用。在需要确保网络一部分的通信安全时，在路由器中实施IPSec就显得非常必要，比如在VPN和内联网中。
　　1、 主机实施：
　　好处：
　　保障端到端的安全性；
　　能够实现所有的IPSec安全模式，即传输模式和隧道模式；
　　能够为数据流提供安全保障；
　　在SA的协商过程中，能够自己维持用户身份验证的"场景"
　　主机实施可分成两类：
　　IPSec与操作系统集成实施。IPSec可当做网络层的一部分来实现。IPSec层需要IP层的服务构建IP头；
　　IPSec作为一个"契子"插入在协议堆栈的网络层与数据链路层之间实施，称为"堆栈中的块（BITS）"实施方案。

2、 在路由器中实施：　　优点：
　　保障通过公用网络，在两个子网之间传输数据的安全性；
　　可通过身份验证，授权用户进入私有网络。
　　路由器实施方案有两种类型：
原始实施：IPSec集成在路由器的软件中，和主机OS集成实施方案类似。
线缆中的块（BITW）：IPSec在一个硬件设备中实现，这个设备直接接入路由器的物理接口。该设备一般不运行任何路由算法，只是附着在路由器设备上用来保障数据包的安全。
　　四、IPSec的优势
IPsec提供的安全服务包括访问控制、无连接的完整性、数据源认证、抗重播保护、保密性和有限传输流保密性等服务。这些服务均在IP层提供，使用IP协议进行数据传输的所有应用系统合服务都可以使用IPSec，无须对这些应用系统和服务本身做任何修改。
IPsec对传输层以上的应用来说是完全透明的，操作系统中原有的应用程序无须修改就可以自动拥有IPSec提供的安全功能，降低了软件升级和用户培训的开销。
IPSec不仅可以实现密钥的自动管理以降低人工管理密钥的开销，而且多种高层协议和应用可以共享由网络层提供的密钥管理结构（IKE），大大降低了密钥协商的开销。