GRE是明文传输，IPSec是加密传输

（1）对称加密

加密解密用同一个密钥

（2）非对称加密

在加密和解密中使用两个不同的密钥，私钥用来保护数据，公钥由同一系统的人公用，用来检验信息及其发送者的真实性和身份，公钥加密私钥解密，私钥加密公钥解密

（3）哈希散列算法

散列算法：把任意长度的输入变换成固定长度的输出

h=H（M）

常见散列算法有：MD5，SHA-1，SHA-2

hash函数特点：

相同输入相同输出

不可逆推：不可能从哈希值逆推出原始数据

等长输出：不同文件大小加密输出的哈希值大小是一样的

雪崩效应：发生任何一点变化，结果都会变得不同

可以通过哈希算法验证数据完整性

IPSec使用的都是对称加密

（1）流加密算法

RC4（不安全）

（2）分组加密算法

DES

3DES

AES-128/192/256（最安全）

（1）对称加密算法

优点：加解密速度快

缺点：密钥分发问题

（2）非对称加密算法

优点：密钥的安全性高

缺点：加解密速度较慢

IPSec（Internet协议安全）是一个工业标准网络安全协议栈，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有限低于网络攻击，同时保持易用性。

IPSec通过在IPSec对等体之间建立双向安全联盟（VPN隧道），形成一个安全互通的IPSec隧道，来实现Internet上数据的安全传输。

IPSec VPN体系结构主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）和IKE（Internet Key Exchange）协议套件组成。通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。

（1）AH协议：

AH认证报头

主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而，AH并不加密所保护的数据报文，仅支持认证功能。

（2）ESP协议：

ESP封装安全有效载荷协议

提供AH协议的所有功能外（但其数据完整性校验不包括IP头），还可提供对IP报文的加密功能。

ESP通常使用DES、 3DES、 AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性认证

（3）IKE协议：

IKE网络密钥交换协议

IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。

用于自动协商AH和ESP所使用的密码算法，建立和维护安全联盟SA等服务。建立在Internet安全联盟和秘钥管理协议ISAMP定义的框架，提供了一套在不安全网络上安全地分发秘钥、验证身份、建立IPSec安全联盟的过程，简化了IPSec 的管理和使用。

IPSec通过AH和ESP这两个协议来实现数据报文在网络上传输的私有性，完整性，真实性和防重放。

（1）机密性：

支持数据加密，保证业务数据的机密性

（2）完整性：

校验数据的完整性，检查数据是否被篡改

（3）真实性：

身份验证功能，只有身份认证成功的人发送数据才能被接受，验证身份方式为PSK暗号，PKI证书等

（4）防重放：

通过序列号防止数据包重复发送

从表中可以看出两个协议各有有缺点，在安全性较高的场景中可以考虑联合使用AH和ESP协议。

（1）传输模式：

主要用于主机和主机之间端到端通信的数据保护

在传输模式下，IPSec头被插入到IP头之后 但 在所有传输层协议之前，或所有其他IPSec协议之前。

（2）隧道模式：

主要用于私网与私网之间通过公网进行通信，建立安全VPN通道。

在隧道模式下，IPSec头插在原始IP头之前，另外生成一个新的报文头放到AH或ESP（IPSec头）之前

（1）站点间安全互联：

企业站点间部署IPSec功能，使用IPSec建立安全传输通道，企业之间的数据流通过IPSec 隧道进行安全传送保护。

（2）远程站点和企业总部互联：

远程分支机构、远程用户通过IPSec动态接入企业总部网络。企业总部的IP地址是固定的，远端机构或PC需要预先配置；远程机构或者远端PC的IP地址可动态获取，总部不需要预先知道。

（2）GRE Over IPSec：

IPSec只支持IP协议，通过GRE Over IPSec，可以弥补IPSec协议的不足

安全联盟SA（Security Association）是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容，就可以建立SA。SA由三元组来唯一标识，包括安全参数索引、目的IP地址、安全协议号

IPSec的安全联盟可以通过手工配置的方式建立。也可以使用IKE（Internet Key Exchange）自动进行安全联盟建立与密钥交换的过程

（1）手工配置优缺点：

手工方式建立安全联盟比较复杂，安全联盟所需的全部信息都必须手工配置，手工方式建立的安全联盟永不老化。

（2）IKE动态协商配置优缺点：

KE动态协商建立的安全联盟相对简单些，只需要通信对端体间配置好IKE协商参数，由IKE协议自动协商来创建和维护SA。通过IKE协商建立的安全联盟具有生存周期。

基于时间的生存周期

基于流量的生存周期

生存周期达到指定的时间或流量时，安全联盟就会失效。安全联盟失效前，IKE将为IPSec重新协商新的安全联盟。

网络中，进行通信的IPSec对等体设备数量越少时，或者在小型静态环境中，手工配置安全联盟是可行的； 对于中、大型动态网络环境，推荐使用IKE动态协商建立安全联盟。

（3）IKE的用途：

IKE为IPsec协商生成密钥，供AH/ESP加解密和验证使用。

在IPSec通信双方之间， 动态地建立安全关联（ SA： SecurityAssociation），对SA进行管理和维护。

第一阶段内容：彼此间建立了一个已通过身份验证和安全保护的通道，此阶段的交换建立了一个ISAKMP安全联盟。 任务是认证和密钥交互。

第二阶段：用已经建立的安全联盟为IPsec协商安全服务，建立IPSec SA，产生真正可以用来加密数据流的密钥。

（1）第一阶段

第一阶段有两种协商模式：主模式协商，野蛮模式协商

①主模式协商

主模式协商速度较慢，但是安全性高，只能使用IP地址，建议同一个厂商时使用主模式，协商过程有6个包。

建立过程：

协商建立IKE安全通道所使用的参数：认证方式、加密方式、hash算法、申明所使用的的DH算法、密钥有效时间、配置身份ID、对方的通信的地址

②野蛮模式协商

野蛮模式协商速度较快，安全性较低，可以使用用户名等，建议不同厂商时使用野蛮模式协商

野蛮模式下有三个交互包：

第一个交互包发起方建议SA，发起DH交换

第二个交互包接收方接受SA

第三个交互包发起方认证接受方

建立过程：

③两种模式简单比较

（2）第二阶段

协商参数：

加密算法、hash算法、安全协议、封装模式、存活时间、DH算法

当第一阶段时间到期后：密钥失效后，第二次密钥和第一次密钥有关系（继承）

完美向前发生成独立密钥。

（1）配置各个设备接口IP

（2）将防火墙上的接口加入适当的区域（tunnel接口不要忘记）

（3）配置防火墙上的公网路由（默认路由）

（4）配置IPSec tunnel接口

（5）配置IKE安全提议

（6）配置IKE peer（IKE 对等体）

（7）配置IPSec安全提议

（8）配置IPSec安全框架

（9）引流到tunnel接口（配置tunnel接口的转发路由）

（10）放行防火墙安全策略（放行协商流量和业务流量）

以下内容都是FW1上的，FW2上的与其类似不多说

（1）接口，区域，路由配置内容

（2）IPSec配置内容

（3）防火墙安全策略配置内容