53 张图详解防火墙的 55 个知识点-北京赛维博信科技发展有限公司

全国直销电话:4006-854-568

IT-technology

以人为本，众志成城，以“用户至上”.“服务上乘”为原则，
追求产品和服务高质量，努力实现与客户之间真诚有效的沟通，
不断地圆梦、奔跑与腾飞。

新闻动态 NEWS

网站首页 ∷ 所有新闻 ∷ 行业资讯 ∷ 53 张图详解防火墙的 55 个知识点-北京赛维博信科技发展有限公司

53 张图详解防火墙的 55 个知识点-北京赛维博信科技发展有限公司

来源:本文摘自网络，如有侵权请联系删除 | 作者:svbx001 | 发布时间: 2022-05-16 | 4626 次浏览 | 分享到:

ESP（ Encapsulating Security ）：原始报文使用 DES/3DES/AES 中的任意一种算法进行加密，通过 HMAC 确定数据是否被篡改，使用的 IP 协议号是 50 。

AH（ Authentication Header ）：根据 HMAC 信息确定报文是否被篡改的认证协议。不对报文加班，使用的 IP 协议号是 51 。

IKE（ Internet Key Exchange ）：IPsec 协议用来交换 key 信息的协议，也叫做 ISAKMP/Oakley 。在 ISAKMP 协议上实现 Oakley 的 key 交换过程。使用的是 UDP 端口号 500 。分为阶段一和阶段二进行处理。

HMAC（ Keyed-Hashing for Message Authentication code ）：用来验证信息是否被篡改的一种 MAC ，也就是消息认证码，通过散列函数与密钥信息的组合计算得出，其中散列函数使用的算法一般是 MD5 或 SHA-1 。

SPI（ Security Pointer Index ）：表示 SA 的编号，32 比特。在对报文加密时，用这个值表示使用了什么加密算法和密钥信息。

NAT traversal ：通过 ESP 加密的报文，由于没有 TCP/UDP 头部，因此无法使用 NAPT 。可以使用 NAT traversal 技术，给 ESP 加密后的报文添加 UDP 头部，从而在 NAPT 环境下进行 IPsec 通信。一般使用 500 或 4500 的端口号。

IPsec-VPN 连接：在建立 IPsec 隧道时，发起协商的叫做发起方（ initiator ），另一方叫做应答方（ responder ）。发送方是最先发出通过 IPsec 隧道报文的设备。

更新 key（ rekey ） ：IPsec 隧道建立后，每过一段时间，或经过一定量的数据，就会进行 rekey 操作。VPN 设备有修改 rekey 时间的功能。

28、点对点VPN的处理过程是什么样的？

举个栗子：网络 A 与网络 B 通过 IPsec 隧道连接时，网络 A 的 PC1 想和网络 B 的 PC2 进行通信。