网络安全主要用于保证网络的可用性，以及网络中所传输信息的完整性和机密性。
网络安全设计
网络安全防范体系在整体设计过程中应遵循以下9 项原则。
(1)木桶原则。对信息进行均衡、全面的保护。木桶的最大容积取决于最短的一块木板。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止常用的攻击手段，根本目的是提高整个系统“安全最低点”的安全性能。
(2)整体性原则。要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。
(3)安全性评价与平衡原则。对任何网络，绝对安全难以达到，也不一定是必要的所以需要建立合理的实用安全性与用户需求评价及平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。
(4)标准化与一致性原则。系统是一个庞大的系统工程，其安全体系的设计必须道循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。
(5)技术与管理相结合原则。安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
(6)统筹规划，分步实施原则。由于政策规定、服务需求的不明朗，环境、条件时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。
(7)等级性原则。等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级(安全子网和安全区域)，对系统实现结构的分级(应用层、网络层和链路层等),从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求
(8)动态发展原则。要根据网络安全的变化不断整安全措施，适应新的网络环境满足新的网络安全需求
(9)易操作性原则。首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。
单点登录技术
单点登录(Single Sign-0n，SSO)技术是通过用户的一次性认证登录，即可获得需要访问系统和应用软件的授权，在此条件下，管理员不需要修改或干涉用户登录就能方便地实现希望得到的安全控制。
1利用b机制
Kerberos v5 是业界的标准网络身份认证协议，该协议的基础是基于信任第三方，它提供了在开放型网络中进行身份认证的方法，认证实体可以是用户也可以是用户服务。这种认证不依赖宿主机的操作系统或主机的 IP 地址，不需要保证网络上所有主机的物理安全性，并且假定数据包在传输中可被随机窃取和篡改。
Kerberos 的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法用户;如是合法用户，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其验证是建立在对称加密基础上的。密钥分配中心(Key Distribution Center，KDC)保存与所有密持有者通信的保密密钥，其认证过程颇为复杂，下面简化叙述。首先客户(C)向KDC 发送初始票据TGT (Ticket Granting Ticket，票据授予票据),申请访问服务器(S)的许可证。KDC 确认合法客户后，临时生成一个C与S通信时用的保密密钥 Kcs，并用 C 的密 Kc 加密 Kcs 后传给 C，并附上用S 的密钥Ks 加密的“访问S的许可证 Ts，内含Kcs”。当C收到上述两信件后，用他的 Kc解密获得 Kcs,而把 Ts 原封不动地传给S并附上用 Ks 加密的客户身份和时间。当S 收到这两信件后先用它的 Ks 解密 Ts 获得其中的 Kcs，然后用 Kcs 解密获得客户身份和时间，告之客户成功。之后C和S用Kcs 加密通信信息。
Kerberos 系统在分布式计算环境中得到了广泛的应用，因为它具有以下的特点
(1)安全性高。Kerberos 系统对用户的口令进行加密后作为用户的私钥，从而避免了用户的口令在网络上显示传输，使得窃听者难以在网络上取得相应的口令信息。
(2)透明性高。用户在使用过程中，仅在登录时要求输入口令，与平常的操作完全一样，Kerberos的存在对于合法用户来说是透明的。
(3)可扩展性好。Kerberos 为每一个服务提供认证，确保应用的安全
Kerberos 有其优点，同时也有其缺点，主要如下。
(1)Kerberos 服务器与用户共享的秘密是用户的口令字，服务器在回应时不验证用户的真实性，假设只有合法用户拥有口令字。如攻击者记录申请回答报文，就易形成代码本攻击。
(2)AS和TGS是集中式管理，容易形成颈，系的性能和安全也严重依赖于AS和TGS 的性能及安全。在AS 和TGS 前应该有访问控制，以增强AS和TGS 的安全
(3)随用户数增加，密钥管理较复杂。Kerberos 拥有每个用户的口令字的散列值AS与TGS 负责用户间通信密钥的分配。当N个用户想同时通信时，仍需要 NX(N-1)/2个密钥。
(4)Kerberos 不能保护一台计算机或者服务的可用性
(5)KDC 是一个单一故障点。如果 KDC 出错，那么没有人能够访问所需的资源。KDC 必须能够以实时的方式处理大量请求。
(6)密钥要暂时性地存放在用户的工作站上，这意味着入侵者有可能获得这个密钥会话密钥被解密后驻留在用户的服务器或者密码列表的缓存中，入侵者同样可以获取这个密钥。Kerberos 对于密码猜测非常脆弱。KDC不能发现一个字典式攻击正在发生。
(7)如果没有应用加密功能，Kerberos 不能保护网络流量
(8)当用户改变密码时，Kerberos 就改变了密钥，KDC 用户数据库需要进行更新
2.外壳脚本机制
通过原始认证进入系统外壳，然后外壳就会激发各种专用平台的脚本来激活目标平台的账号以及资源的访问。这种方式简化了用户的登录，但其没有提供同步的口令字以及其他管理方法。另外，单点登录的实施也可以采用通用安全服务应用程序接口和分布式计算环境一个理想的SSO产品应该具备以下的特征和功能。
(1)常规特征。支持多种系统、设备和接口。
(2)终端用户管理灵活性。包括通常的账号创建、口令管理和用户识别。口令管理包括口令维护、历史记录以及文法规则等。支持各种类型的令牌设备、生物学设备。
(3)应用管理灵活性。若多个会话同时与一个公共主体相关，设备场景管理能保证若其中一个会话发生改变，其他相关会话自动更新:;应用监控能监控特定信息的使用:应用融合可将各种应用绑定在一起来保证应用的一致性。
(4)移动用户管理。保证用户在不同的地点对信息资源进行访问。
(5)加密和认证。加密保证信息在终端用户和安全服务器之间传输时的安全性;认证保证用户的真实性。
(6)访问控制。保证只有用户被授权访问的应用可以提供给用户
(7)可靠性和性能。包括 SSO 和其他反问控制程序之间接口的可靠性和性能以及接口的复杂度等。
无线设备的安全性
由于各种原因，Imternet 的安全性很难在无线电话和 PDA 上实施，主要原因是这些设备的 CPU、内存、带宽以及存储能力是有限的，因此具有有限的计算能力。
1.认证性
对无线电话用户的认证是数字移动电话最重要的安全特征之一。对于GSM(GobalSystem for Mobile Communications，全球移动通信系统)电话，通常使用SIM(SubscribelIdentity Module，客户识别模块)卡或芯片来存储用户的认证信息。SIM卡通常可以存放认证和加密密钥、认证算法、标识信息、用户电话号码等信息。目前的一些方法在应用层提供了端到端的认证，大多数采用的是ID号和口令的方式，这种方式有其局限性，因为只提供了单方的认证
有的组织在试验用椭圆曲线密码(Elliptic Curve Cryptosystems，ECC)进行认证，ECC 由于密钥长度短，一出现便受到关注，现在密码学界普遍认为它将替代 RSA 成为通用的公钥密码算法。ECC对于移动设备来说是一种理想工具，因为其能够提供高强度的安全能力，而使用的资源却远远少于其他公开密钥算法所需要的资源。2003年5月12日，中国颁布的无线局域网国家标准GB15629.11中包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安全机制，能为用户的WLAN系统提供全面的安全保护。这种安全机制由WAI(WLAN Authentication Infrastructure)和WPI(WLAN PrivacyIfrastructure)两部分组成，分别实现对用户身份的鉴别和对传输的数据加密。WAI 采用公开密密码体制，利用证书对 WLAN 系统中的用户和 AP(Access Point，访问点)进行认证。证书里面包含有证书颁发者的公钥和签名以及证书持有者的公钥和签名，这里的签名采用的就是 ECC 算法。
2.机密性
安全WAP (Wireless Application Protocol，无线应用协议)应用使用 SSL(SecureSockets Layer，安全套接字层)和WTLS (Wireless Transport Layer Security，无线传输层安全)来保护安全传输的不同部分，其中SSL 用来保护应用中的有线连接部分，而WTLS主要用来保护无线连接部分。
WTLS 在操作上类似SSL，但WTLS 对RSA和ECC都提供支持。另外，WTLS可以在慢速、资源少的环境下提供安全服务，而 SSL 只能加重环境的负担。WAP 协议栈位于OSI参考模型的第4~7层，对于基于IP 的网络，应用UDP 协议:而对于非P网络，应用WDP(Wireless Datagram Protocol，无线数据报协议)协议。WTLS 是WAP协议栈中的安全协议，可以用来在无线环境中保护UDP 和WDP 业务。
3.恶意代码和病毒
现在的移动电话提供对一些语言的支持(例如 Java)，这样，用户就可以下载一些程序到支持 Web 的电话中，无意之中可能就会下载恶意代码和病毒。这样，一旦它们访问到了组织中的敏感信息，所带来的危害将不亚于一台计算机。
防火墙
防火墙是指建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的，而外部网络(通常是Itermet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。由于防火墙是一种被动技术，它假设了网络边界和服务，因此，对内部的非法访问难以有效地控制，防火墙适合于相对独立的网络。
实现防火墙的产品主要两大类:一类是网络级防火墙，另一类是应用级防火墙。
1.网络级防火墙
网络级防火墙也称为过滤型防火墙，事实上是一种具有特殊功能的路由器，采用报文动态过滤技术,能够动态地检查流过的 TCP/IP 报文或分组头,根据企业所定义的规则，决定禁止某些报文通过或者允许某些报文通过，允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。
状态检测防火墙又称动态包过滤，是在传统包过滤上的功能扩展。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时也具有较好的性能、适应性和可扩展性。
状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对 UDP 协议的有限支持。它将所有通过防火墙的 UDP 分组均视为一个虚拟连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。
包过滤方式的优点是不用改动客户端和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足:在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响;由于缺少上下文关联信息，不能有效地过滤如 UDP、RPC 一类的协议;另外大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到地址欺骗型攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。
2.应用级防火墙
应用级防火墙也称为应用网关型防火墙，目前已大多采用代理服务机制，即采用一个网关来管理应用服务，在其上安装对应于每种服务的特殊代码(代理服务程序)，在此网关上控制与监督各类应用层服务的网络连接。例如，对外部用户(或内部用户)的 FTP、TELNET 和SMTP 等服务请求，检查用户的真实身份、请求合法性和源与目的地IP 地址等，从而由网关决定接受或拒绝该服务请求，对于可接受的服务请求由代理服务机制连接内部网与外部网。代理服务程序的配置由企业网络管理员所控制。目前常用的应用级防火墙大致上有 4 种类型，即双穴主机网关、屏蔽主机网关、屏蔽子网关和应用代理服务器，分别适合于不同规模的企业内部网。一个共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。
(1)双穴主机(dual-homed)网关。由堡主机作为应用网关，其中装有两块网卡分别连接外因特网和受保护的内部网，该主机运行防火墙软件，具有两个IP 地址，并且能隔离内部主机与外部主机之间的所有可能连接。
(2)屏主机(screened host)网关。也称别机网关。在外部因特网与被保护的企业内部网之间插入了堡垒主机和路由器,通常是由IP 分组过滤路由器去过滤或甄别出可能的不安全连接，再把所有授权的应用服务连接转向应用网关的代理服务机制。
(3)屏蔽子网(screened subnet)网关。也称甄别子网网关，适合于较大规模的网络使用。即在外部因特网与被保护的企业内部网之间插入了一个独立的子网，例如在子网中有两个路由器和一台堡垒主机(其上运行防火墙软件作为应用网关)，内部网与外部网的一方各有一个分组过滤路由器，可根据不同甄别规则接受或拒绝网络通信，子网中的堡垒主机(或其他可供共享的服务器资源)是外部网与内部网都可能访问的唯一系统。
入侵检测
入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动，采用异常检测或误用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。入侵检测系统要解决的两个最基本问题是:如何充分并可靠地提取描述行为特征的数据，以及如何根据特征数据，高效并准确地判断行为的性质。由系统的构成来说，通常包括数据源(原始数据)分引(通过异常测或用测进行分)和响应(对分析结果采用必要和适当的措施)三个模块。
1.入侵检测技术入侵检测系统所采用的技术可分为特征检测与异常检测两种。(1)特征检测特征检测也称为误用检测，假设入侵者活动可以用一种模式来表示系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
(2)异常检测。假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入”或忽略真正的“入侵”行为
2.常用检测方法
入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。
(1)特征检测。对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
(2)统计检测。统计模型常用异常检测，在统计模型中常用的测量参数包括审计事件的数量、间隔时间和资源消耗情况等。常用的入侵检测的5种统计模型如下。
• 操作模型。假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击。
• 方差。计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常。
• 多元模型。操作模型的扩展，通过同时分析多个参数实现检测。
• 马尔柯夫过程模型。将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小，则可能是异常事件。
• 时间序列分析。将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高的检出率与可用性。但是它的“学”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。
(3)专家系统。用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
3.性能
仅仅能够检测到各种攻击是不够的，入侵检测系统还必须能够承受高速网络和高性能网络节点所产生的事件流的压力。有两种途径可以用来实时分析庞大的信息量，分别是分割事件流和使用外围网络传感器。
(1)分制事件流。可以使用一个分割器将事件流切分为更小的可以进行管理的事件流，从而入侵检测传感器就可以对它们进行实时分析。
(2)使用外围网络传感器。在网络外围并靠近系统必须保护的主机附近使用多个传感器
虚拟专用网
虚拟专用网络(Virtual Private Network，VPN)提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。与普通网络连接一样，VPN也由客户端、传输介质和服务器三部分组成，不同的是，VPN 连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如Interet或Intranet。VPN可以实现不同网络的组件和资源之间的相互连接，利用Internet 或其他公共联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。VPN允许远程通信方、销售人员或企业分支机构使用 Internet 等公共互联网络的路由基础设施，以安全的方式与位于企业局域网端的企业服务器建立连接。VPN对用户端透明，用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。实现VPN的关键技术如下。
(1)安全道技术(Tunneling)。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一且到达网络终点，数据将被解包并转发到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。
(2)加解密技术。VPN利用已有的加解密技术实现保密通信。
(3)密钥管理技术。建立隧道和保密通信都需要密钥管理技术的支撑，密钥管理负责密钥的生成、分发、控制和跟踪，以及验证密钥的真实性。
(4)身份认证技术。假如VPN 的用户都要通过身份认证，通常使用用户名和密码或者智能卡实现。
(5)访问控制技术。由VPN 服务的提供者根据在各种预定义的组中的用户身份标识，来限制用户对网络信息或资源的访问控制的机制。
隧道技术可以分别以第 2、3 层隧道协议为基础。第 2 层隧道协议对应OSI模型中的数据链路层，使用帧作为数据交换单位。PPTP(Point to Point Tunneling Protocol，点对点隧道协议)、L2TP (Layer Two Tunneling Protocol，第二层通道协议)和 L2F (Level2Forwarding protocol，第2 层转发）都属于第2层隧道协议，都是将数据封装在PPP帧中通过互联网络发送。第3 层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IPoverIP及IPSec (Internet Protocol Security，IP 协议安全性)隧道模式都属于第3层道协议，都是将IP 包封装在附加的IP 包头中通过网络传送。PPTP是一种支持多协议虚拟专用网络的网络技术。PPTP协议假定在PPTP客户端和PPTP服务器之间有连通并且可用的IP 网络。因此，如果PPTP 客户端本身已经是IP网络的组成部分，那么即可通过该IP 网络与PPTP服务器取得连接:而如果PPTP客户端尚未连入网络，例如在 Internet 拨号用户的情形下，PPTP 客户端必须首先拨打 NAS(Network Access Server，网络接入服务器)以建立IP连接。L2TP是VPDN(Virtual Private Dail-up Network，虚拟专用拨号网络)技术的一种专门用来进行第二层数据的通道传送，即将第二层数据单元，如点到点协议(Point-to-PointProtocol，PPP)数据单元封装在P或UDP 载荷内，以顺利通过包交换网络(如Internet)抵达目的地。
如果需要在传输层实现VPN，则可使用TLS(Transport Layer Security，传输层安全)协议。TLS 协议是确保因特网上通信应用和其用户隐私的协议。当服务器和客户端进行通信，TLS 协议确保没有第三方能窃听或盗取信息。TLS 协议是SSL的后继协议。TLS协议由两层构成:TLS 记录协议和 TLS 握手协议。TLS 记录协议使用机密方法(例如DES)来保证连接安全，也可以不使用加密技术，TLS 握手协议使服务器和客户端在数据交换之前进行相互鉴定，并协商加密算法和密钥。
IPSec
IPSec是一个工业标准网络安全协议，为IP 网络通信提供透明的安全服务保护TCP/IP通信免窃听和修改，可以有效抵御网络攻击，同时保持易用性。IPSec 有两个基本目标，分别是保护IP 数据包安全和为抵御网络攻击提供防护措施。ISec 结合密码保护服务、安全协议组和动态密钥管理三者来实现上述两个目标，不仅能为企业局域网与拨号用户、域、网站、远程站点以及 Extranet 之间的通信提供强有力且灵活的保护，而且还能用来筛选特定数据流。
1.安全模式
IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设，就是假定数据通信的传输媒介是不安全的，因此通信数据必须经过加密，而掌握加解密方法的只有数据流的发送端和接收端，两者各自负责相应的数据加解密处理，而网络中其他只负责转发数据的路由器或主机无须支持IPSec。IPSec对数据的加密以数据包而不是整个数据流为单位，这不仅更灵活，也有助于进一步提高IP 数据包的安全性。通过提供强有力的加密保护，IPSec 可以有效防范网络攻击，保证专用数据在公共网络环境下的安全性。这些特性有助于企业用户在下列方案中成功地配置IPSec。
(1)分支办公机构通过Internet 互连。
(2)通过Internet 的远程访问。
(3)与合作伙伴建立Extranet 与Intranet 的互连
(4)增强电子商务安全性。
IPSec 是针对IPv4和IPv6的Sec 的， IPSec主要特征是可以支持IP 级所有流量的加密和/或认证，增强所有分布式应用的安全性。IPSec 在IP 层提供安全服务，使得系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密密钥。
2.防范攻击
使用 IPSec可以显著地减少或防范以下几种网络攻击。
(1)Sniffer。Sniffer 可以读取数据包中的任何信息，因此对抗Snifer 最有效的方法就是对数据进行加密。IPSec的封装安全载荷ESP协议通过对IP包进行加密来保证数据的私密性。
(2)数据篡改。IPSec 用密钥为每个 包生成一个数字检查和，该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改，都会改变检查和，从而可以让接收方得知包在传输过程中遭到了修改。
(3)身份欺骗，盗用口令，应用层攻击。IPSec的身份交换和认证机制不会暴露任何信息，不给攻击者有可趁之机，双向认证在通信系统之间建立信任关系，只有可信赖的系统才能彼此通信。
(4)中间人攻击。IPSec 结合双向认证和共享密，足以抵御中间人攻击
(5)拒绝服务攻击。IPSec 使用IP 包过滤法，依据IP 地址范围协议、甚至特定的协议端口号来决定哪些数据流需要受到保护，哪些数据流可以被允许通过，哪些需要拦截。
3.第三层保护的优点
通常IPSec提供的保护需要对系统做一定的修改。但是IPSec在网络层的策略执行几乎不需要什么额外开销就可以实现为绝大多数应用系统、服务和上层协议提供较高级别的保护。为现有的应用系统和操作系统配置IPSeC 几乎无须做任何修改，安全策略可以在Active Directory(活动目录)里集中定义，也可以在某台主机上进行本地化管理IPSec策略网络层上实施的安全保护，其范围几乎涵盖了TCP/IP协议族中所有IP协议和上层协议，甚至包括在网络层发送数据的客户自定义协议。在第三层上提供数据安全保护的主要优点就在于:所有使用IP 协议进行数据传输的应用系统和服务都可以使用IPSec，而不必对这些应用系统和服务本身做任何修改。IPSec 组策略用于配置ISec 安全服务,这些策略为大多数现有网络中不同类别的数据流提供了各种级别的保护。针对个人用户、工作组、应用系统、域、站点或跨国企业等不同的安全要求，网络安全管理员可以配置多种IPSec 策略以分别满足其需求