更新时间:2023-08-15 GMT+08:00
数据保护技术
- IPsec VPN是基于IKE/IPsec协议族,提供IP层安全的隧道技术,为IP数据包提供机密性和完整性,避免用户数据在不安全网络(如Internet)上被窃取、泄漏和篡改。
- 用户在创建IPsec VPN连接时,可以在IPsec策略中配置对数据进行加密和认证的算法。
本服务支持常用的商用密码算法套件,推荐使用的算法根据安全性从高到低排序如下:
- 加密算法
- AES-256-GCM-16(仅企业版VPN支持)
- AES-256
- AES-192
- AES-128
- 认证算法
- SHA2-512
- SHA2-384
- SHA2-256
- 加密算法
完善的前向安全性PFS
PFS(Perfect Forward Secrecy)指一个IPsec隧道的密钥被破解,不会影响其他隧道的安全性,因为这些隧道的密钥之间没有相关性。VPN服务默认开启PFS功能。
每个IPsec VPN连接由至少一个IPsec隧道组成,每个IPsec隧道使用一套独立的密钥来保护用户流量。
本服务支持常用的PFS算法套件,推荐使用的算法如下:
- DH group 15
- DH group 16
- DH group 19
- DH group 20
- DH group 21
图1 PFS
![](https://support.huaweicloud.com/intl/zh-cn/productdesc-vpn/figure/zh-cn_image_0000001542015030.png)
抗重放
抗重放攻击是针对IPsec加密报文序列号保护的一种方式,防止恶意用户通过重复发送捕获到的数据包进行攻击。VPN服务默认开启抗重放功能。
图2 重放攻击原理
![](https://support.huaweicloud.com/intl/zh-cn/productdesc-vpn/figure/zh-cn_image_0000001542334234.png)
资源隔离
VPN默认为每个用户创建独立的VPN网关,提供租户网关隔离防护能力,确保租户的数据安全。
该特性仅企业版VPN支持,经典版VPN不支持。
图3 数据隔离
![](https://support.huaweicloud.com/intl/zh-cn/productdesc-vpn/figure/zh-cn_image_0000001542174506.png)
如上图示例中,用户A的VPN网关发生故障对用户B的VPN网关不会产生影响。
父主题: 安全