3.3. IPsec 的实现位置 (Where IPsec Can Be Implemented)

IPsec 可以通过多种方式在主机中实现,或与路由器或防火墙结合以创建安全网关,或作为独立安全设备。

实现方式

a. 原生 IP 协议栈集成 (Native IP Stack Integration)

IPsec 可以集成到原生 IP 协议栈中。这需要访问 IP 源代码,适用于主机和安全网关,尽管原生主机实现从这一策略中获益最多,如后文所解释 (第 4.4.1 节,第 6 段; 第 4.4.1.1 节,最后一段)。

b. 栈中插入 (Bump-in-the-Stack, BITS)

在"栈中插入 (BITS)"实现中,IPsec 在现有 IP 协议栈实现的"下方"实现,位于原生 IP 和本地网络驱动程序之间。在这种情况下不需要访问 IP 协议栈的源代码,使这种实现方法适合与遗留系统一起使用。当采用这种方法时,通常用于主机。

c. 线路插入 (Bump-in-the-Wire, BITW)

使用专用的内联安全协议处理器是军用系统以及一些商业系统的常见设计特征。它有时被称为"线路插入 (BITW)"实现。此类实现可以设计为服务于主机或网关。通常,BITW 设备本身是 IP 可寻址的。当支持单个主机时,它可能与 BITS 实现非常类似,但在支持路由器或防火墙时,它必须像安全网关一样运行。

实现灵活性

本文档通常讨论主机或安全网关使用 IPsec,而不考虑实现是原生、BITS 还是 BITW。当这些实现选项之间的区别很重要时,文档会引用特定的实现方法。

IPsec 的主机实现可能出现在可能不被视为"主机"的设备中。例如,路由器可能使用 IPsec 来保护路由协议 (例如 BGP) 和管理功能 (例如 Telnet),而不影响穿越路由器的订户流量。安全网关可能使用单独的 IPsec 实现来保护其管理流量和订户流量。本文档中描述的架构非常灵活。例如,具有功能齐全、符合标准的原生操作系统 IPsec 实现的计算机应该能够配置为保护常驻 (主机) 应用程序,并为穿越计算机的流量提供安全网关保护。这种配置将使用第 5.1 节和第 5.2 节中描述的转发表和 SPD 选择功能。