6.2. IPsec

红帽企业 Linux 支持使用 IPsec 在公共载体网络(如互联网)上使用安全隧道来连接远程主机和网络。IPsec 可以使用主机到主机(一个计算机工作站到另一个计算机工作站)或网络到网络(一个 LAN/WAN 到另一个 LAN/WAN)来实现。红帽企业 Linux 中的 IPsec 实现使用互联网密钥交换(Internet Key ExchangeIKE)。它是一个被互联网工程任务组(Internet Engineering Task Force,IETF)实现的用于彼此验证和安全连接系统的协议。

IPsec 连接被分成两个逻辑阶段。在第一阶段,IPsec 节点引发和远程节点或网络的连接。远程节点或网络检查请求节点的证件,双方商谈连接所用的验证方法。在红帽企业 Linux 系统上,IPsec 连接使用 IPsec 节点验证的“预共享钥匙”(pre-shared key)方法。在预共享钥匙 IPsec 连接中,双方主机必须使用同一钥匙才能进入 IPsec 连接的第二阶段。

IPsec 连接的第二阶段在 IPsec 节点间创建“安全关联”(security associationSA)。该阶段使用配置信息(如加密方法、密钥互换参数等等)来建立 SA 数据库。它管理远程节点和网络间的实际 IPsec 连接。

红帽企业 Linux 中的 IPsec 实现使用 IKE 来在互联网的主机间共享钥匙。racoon 这个钥匙守护进程处理 IKE 钥匙分发和交换任务。