【正文】 .......................................................... 33 附錄 ........................................................................................................................................... 34 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 1 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 1 緒論 隨著 Inter 的商業(yè)化， 許多 企業(yè)的內(nèi)部網(wǎng)絡(luò) 都需要 與 外界的 Inter 相連， 并且 隨著企業(yè)全球化的 飛速 發(fā)展，不同地區(qū) 的 企業(yè)內(nèi)部網(wǎng)絡(luò) 都 需要互聯(lián)。 以往都是通過租用專線的傳統(tǒng)方式來實(shí)現(xiàn)的。在外出差的工作人員 如果 想要 訪問公司內(nèi)部的網(wǎng)絡(luò) 服務(wù) ，以往都必須 通過 長途撥號的方式連接到 公司 的內(nèi)部 網(wǎng)絡(luò) 。這 種 撥號連接的方式 價(jià)格 相當(dāng)?shù)?昂貴，一般 也只有大型公司和企業(yè)才能承擔(dān)得起 。 近年來， Inter 的 高速 發(fā)展，推動(dòng)了基于 因特網(wǎng) 的虛擬專用網(wǎng) （ VPN） 的發(fā)展， 讓不同 地區(qū) 企業(yè)的不同 部門之間 ，以及 政府 機(jī)構(gòu) 的不同部門之間 利用 公共網(wǎng)絡(luò)實(shí)現(xiàn) 網(wǎng)際 互聯(lián)成為可能， 同時(shí) 使企業(yè) 節(jié)約了大筆 的通信費(fèi)用。 虛擬專用網(wǎng) (VPN)的出現(xiàn) 提供了巨大的商業(yè)機(jī)會(huì) 給 公共網(wǎng)絡(luò)的經(jīng)營者 。但是， 在通信的過程中，數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸?shù)陌踩院捅Ｃ苄?，以及企業(yè)網(wǎng)在公共網(wǎng)絡(luò) 中 的不同節(jié)點(diǎn) 的管理方式 ， 才是企業(yè)最關(guān)注的問題 。 采用專用網(wǎng)絡(luò)加密和通信協(xié)議 的虛擬專用網(wǎng)（ VPN）讓 企業(yè)在公共網(wǎng)絡(luò)上 搭建一個(gè) 虛擬的加密 隧道 ，構(gòu)筑 屬于 自己的安全的虛擬 專用網(wǎng)絡(luò) ?？绲貐^(qū) 的 企業(yè) 部門或出差 員工 可以從遠(yuǎn)程經(jīng)過公共網(wǎng)絡(luò)，通過 企業(yè)專用的虛擬加密 隧道連接 企業(yè)內(nèi)部的網(wǎng)絡(luò)，而公共網(wǎng)絡(luò)上的 其他 用戶則 沒有辦法 穿過虛擬 隧道對 企業(yè)的內(nèi)部網(wǎng)絡(luò) 進(jìn)行訪問 。 在現(xiàn)今的 VPN 的開發(fā)中，使用得最廣泛的一種協(xié)議就是 IPSec 協(xié)議 。 采用 IPSec VPN對各個(gè)節(jié)點(diǎn)進(jìn)行互聯(lián) ，企業(yè) 無需擔(dān)心前期 大量 地投入硬件設(shè)施 ，也不再需要 擔(dān)心 因網(wǎng)絡(luò)瓶頸 造成的 重復(fù)或者浪費(fèi)的二期投入 ； 擁有高安全性和端到端的加密特性的 IPSec VPN充分 保證了信息網(wǎng)絡(luò)的安全性 ； 另外還有一點(diǎn)非常重要 ， 各 個(gè) 分支機(jī)構(gòu)的工作人員也 沒有必要 去考慮復(fù)雜的應(yīng)用，網(wǎng)管 工作 人員 只需要在 企業(yè)總部中心就可以 管理 和 訪問 每個(gè)客戶端所使用的端到端的 IPSec VPN 連接 ， 而且只需要 使用移動(dòng)辦公客戶端就可以 對遠(yuǎn)程客戶端的電腦故障進(jìn)行維護(hù)和解決 。 解決了 網(wǎng)絡(luò)通信 過程中 的安全性和在 公共網(wǎng)絡(luò) 中實(shí)現(xiàn)異地的局域網(wǎng)之間的虛擬 通道的連接 ,為 重要 數(shù)據(jù) 的 傳輸提供了 保密性、完整性和認(rèn)證性 ,并且在 各種訪問控制中 都得到了應(yīng)用 。 基于 IPSec 協(xié)議的 VPN 概述 IPSec VPN的定義 IPSec 的英文全名為“ Inter Protocol Security”，中文名為“因特網(wǎng)安全協(xié)議” 。因特網(wǎng) 安全協(xié)議 保證了 在因特網(wǎng)的 網(wǎng)絡(luò)層 上 傳輸?shù)臄?shù)據(jù) 的 安全 性 ，同時(shí)它也是 VPN 的基本加密協(xié)議 。 通過特定的方式建立一個(gè)通信連接，從而為通信雙方建立一個(gè) IPSec 通道。由于 IPSec 協(xié)議支持 多種不同的 操作模式，所以通信雙方 在建立 IPSec 通道之前必須要先確定所采用的 操作模式和 安全策略 ， 包括如加密運(yùn)算法則和身份驗(yàn)證方法類型等。在 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 2 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 IPSec 協(xié)議中，一旦 IPSec 通道建立，所有在網(wǎng)絡(luò) 層之上的協(xié)議在通信雙方都經(jīng)過加密，如 TCP、 UDP 、 SNMP、 HTTP、 POP 等，而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。 IPSec VPN 是一種基于 IPSec 協(xié)議的 VPN 通訊 設(shè)備。 IPSec 是 IETF IPSec 工作組 制定的一套協(xié)議簇，目的在于為 IP 層 通信 提供 安全。 它主要由兩大部分組成：安全協(xié)議部分、密鑰協(xié)商部分。 安全協(xié)議部分 提供了 各種 通信保護(hù)方式； 密鑰協(xié)商部分 用來保護(hù) 安全協(xié)議協(xié)商 的 參數(shù)，以及 鑒別 通信實(shí)體的身份。 VPN 的英文全稱是“ Virtual Private Network”，中文翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。它是構(gòu)建在公共通信基礎(chǔ)設(shè)施上的虛擬專用網(wǎng)絡(luò)，是一種從公共網(wǎng)絡(luò)中隔離出來的專用網(wǎng)絡(luò)。它可以通過特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。 VPN 的核心就是在公共網(wǎng)絡(luò)上建立出來的虛擬專用網(wǎng)。虛擬專用網(wǎng)可以用來幫助商業(yè)伙伴、遠(yuǎn)程用戶、供應(yīng)商以及公司分支機(jī)構(gòu)同公司的內(nèi)部網(wǎng)建立可信、安全的連接，并且保證了數(shù)據(jù)傳輸?shù)陌踩?。由于是將?shù)據(jù)流轉(zhuǎn)移到 了成本較低的公共網(wǎng)絡(luò)上，所以企業(yè)的虛擬專用網(wǎng)解決方案將用戶花費(fèi)在遠(yuǎn)程網(wǎng)絡(luò)和城域網(wǎng)連接上的費(fèi)用大幅度地消減。同時(shí)，還能夠?qū)W(wǎng)絡(luò)的管理和設(shè)計(jì)進(jìn)行簡化，加速新的用戶和網(wǎng)站連接。 IPSec VPN的優(yōu)缺點(diǎn) （ 1） IPSec VPN 的優(yōu)點(diǎn) 1. IPSec 技術(shù)與應(yīng)用無關(guān) ，因此 IPSec VPN 是一種 支持所有 IP 層協(xié)議 的客戶端 。應(yīng)用于傳輸層之下 IPSec，對應(yīng)用程序來說 完全沒有影響 。 在防火墻或者路由器上安裝 IPSec 時(shí)， 不需要對用戶或者 服務(wù)器系統(tǒng)中的軟件 進(jìn)行 設(shè)置。 就算 在終端系統(tǒng)上運(yùn)行 IPSec， 基于 應(yīng)用程序的上層軟件 也不會(huì)受到任 何 影響。 2. IPSec 技術(shù)中， clienttoclient（ 客戶端到客戶端 ） 、 clienttosite（ 客戶端 到 站點(diǎn) ） 、sitetosite（ 站點(diǎn)到站點(diǎn) ） 這三種模式在 連接 時(shí)使用的是完全一樣的技術(shù) 。 3. IPSec VPN 有著極高的安全性能 。 由于 IPSec 安全協(xié)議網(wǎng)絡(luò)層 中運(yùn)行 ， 不僅會(huì)加密所有網(wǎng)絡(luò)通道 ，而且用戶 通過采用像專線方式物理連接企業(yè)網(wǎng)絡(luò)一樣的方式去 訪問所有企業(yè)資源。 IPSec 不是僅僅加密正在通信的那一部分通道 ，而是 加密所有的通道 。另外 安裝和配置在運(yùn)程接入客戶端 的 IPSec 客戶端軟件和接入設(shè)備 限制了來自 接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則 的特定訪問 ， 能夠大大的提高 安全級別。 （ 2） IPSec VPN 的缺點(diǎn) 1. IPSec VPN 在 通信性能 方面要比其他軟件。 IPSec VPN 較高的安全性能反而影響了它的通信性能。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 3 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 2. IPSec VPN 必須安裝客戶端軟件來支持 。 在 IPSec VPN 中 ，每個(gè)客戶端都需要安裝有特定用途的軟件 。 這些 特定用途的 軟件 可以用來替換或者增加 客戶系統(tǒng)的TCP/IP 堆棧 。在很多的系統(tǒng)中，這也許會(huì)出現(xiàn)和其他軟件的兼容性問題。目前還沒有出現(xiàn)解決這一兼容性問題的標(biāo)準(zhǔn)，每一個(gè) IPSec 客戶端軟件 都是特定的，無法和其他軟件兼容。 在一些其他的情形中 ， IPSec 安全協(xié)議 可以 網(wǎng)絡(luò)硬件應(yīng)用中 運(yùn)行 ，這就要求通信雙方必須采用相同的硬件。因此，應(yīng)用于硬件中的 IPSec 協(xié)議 也隱藏著兼容性問題 。 3. IPSec VPN 較難安裝和維護(hù)。使用 IPSec VPN 時(shí) ， 每個(gè)接入用戶都必須安裝 VPN客戶端 ，因此， 需要花費(fèi)非常高的費(fèi)用 。 現(xiàn)今的一些 移動(dòng)終端用戶偏離了 IPSec VPN用于連接運(yùn)程辦公地點(diǎn)的 這一 初衷。 IPSec VPN， 必須得為每個(gè)移動(dòng)終端用戶提供客戶端 。 環(huán)境和網(wǎng)絡(luò)不同，客戶端的配置也不一樣 。 如果想要從不同的地方 訪問公司內(nèi)部網(wǎng)絡(luò)，就要求客戶經(jīng)常修改配置，無形當(dāng)中支持的費(fèi)用也提高了。在 部署 IPSec VPN 之 后，如果用戶 想要訪問他所需要的資源，就必須事先在他的電腦上安裝客戶端 。這 也 就意味著 那些經(jīng)常變動(dòng)辦公地點(diǎn)的員工 ， 如果想要從其他任何非本人的電腦上訪問公司內(nèi)部資源的時(shí)候 ，他 要么無法訪問 ， 要么打電話向公司求助 。 4. IPSec VPN 實(shí)際 只能全面支持較少的系統(tǒng) 。雖然已有許多開發(fā)的操作系統(tǒng)提出對IPSec 協(xié)議的支持，但是在實(shí)際應(yīng)用 中 ， IPSec 安全協(xié)議客戶的計(jì)算機(jī)通常只運(yùn)行于Windows 系統(tǒng)，很少有能運(yùn)行在其它 PC 系統(tǒng)平臺 的，如 Mac、 Linux、 Solaris 等。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 4 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 VPN 的發(fā)展趨勢 近年來， IT 產(chǎn)業(yè)的消費(fèi)日益膨脹，安全通信逐漸成為人們關(guān)注的重點(diǎn)，這使得 VPN技術(shù)得到了前所未有的 IT 產(chǎn)業(yè)青睞。隨著 VPN 技術(shù)的飛速成長，日益成熟的 VPN 產(chǎn)品成為了各大 IT 行業(yè)的發(fā)展新目標(biāo)。 目前大部分的 VPN 市場份額仍由 VPN 產(chǎn)品銷售體現(xiàn)，在未來的若干年里， VPN 服務(wù)所占的市場份額將超過 VPN 產(chǎn)品，這也體現(xiàn)了信息安全服務(wù)成為競爭焦點(diǎn)的趨勢。隨著整合式安全設(shè)備的發(fā)展， VPN 將被更多的集成在整體式安全體系當(dāng)中，而各種安全協(xié)議和語言的分裂融合將更加激烈。 VPN 廠商將根據(jù)形式轉(zhuǎn)換角色，可能出現(xiàn)專門進(jìn)行技術(shù)設(shè)計(jì)、系統(tǒng)制造和增值服務(wù)的不同類型的廠商。順應(yīng)全球的經(jīng)濟(jì)發(fā)展趨勢及互聯(lián)網(wǎng)用戶的增長態(tài)勢，亞洲地區(qū)將成為 VPN 市場的新熱點(diǎn)并有可能成為帶動(dòng)消費(fèi)趨勢的市場區(qū)域之一。 IPSec VPN 和 MPLS VPN 仍將保持穩(wěn)定的成長率，但是與 SSL VPN 陣營的差距仍將被不斷縮小。 IPSec/MPLS VPN 和 SSL VPN 陣營的技術(shù)各有特色，而且所面向的用戶群體有所不同。在短期內(nèi)這兩者還不會(huì)形成 互相侵蝕的局面，但是 SSL VPN 的易用性將吸引很多用戶投向該產(chǎn)品，這必然將引起這兩種 VPN 架構(gòu)面對面的競爭。這兩種架構(gòu)會(huì)在互相學(xué)習(xí)對手優(yōu)勢的同時(shí)不斷的融合其它功能特征，以提供更全面的服務(wù)用于吸引用戶。由于承載 VPN 流量的非專用網(wǎng)絡(luò)通常不提供 QoS（服務(wù)質(zhì)量）保障，所以 VPN 解決方案必須整合 QoS 解決方案才能夠提供具有足夠可用性的目前 IETF 已經(jīng)提出了支持QoS（服務(wù)質(zhì)量）的 RSVP（帶寬資源預(yù)留）協(xié)議，而 IPv6 協(xié)議也提供了處理 QoS 的能力。這為 VPN 的進(jìn)一步普及化提供了足夠的保障。隨著 IPv6 網(wǎng)絡(luò)的主流 化進(jìn)程，將會(huì)產(chǎn)生更具統(tǒng)治力的 VPN 架構(gòu)， VPN 技術(shù)將向著 IP 協(xié)議這類基礎(chǔ)協(xié)議的形式發(fā)展。在不久的將來， VPN 將可以成為更加基礎(chǔ)的技術(shù)被內(nèi)嵌到各種系統(tǒng)當(dāng)中，從而實(shí)現(xiàn)完全透明化的 VPN 基礎(chǔ)設(shè)施。 目前，采用 IPSec 標(biāo)準(zhǔn)的 VPN 技術(shù)已經(jīng)基本成熟，得到國際上幾乎所有主流網(wǎng)絡(luò)和安全供應(yīng)商的鼎力支持，并且正在不斷豐富完善?？梢詳喽ǎ?IPSec 將成為未來相當(dāng)一段時(shí)間內(nèi)企業(yè)構(gòu)筑 VPN 的主流標(biāo)準(zhǔn)，因此企業(yè)在構(gòu)造 VPN 基礎(chǔ)設(shè)施時(shí)應(yīng)該首先考慮IPSec 標(biāo)準(zhǔn)。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 5 上海應(yīng)用技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 IPSec VPN 的 基本原理 IPSec的基本原理 IPSec 的工作原理類似于包過濾 防火墻 ，可以看作是對包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè) IP 數(shù)據(jù)包時(shí)，包過濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過濾防火墻就按照該規(guī)則制定的方法對接收到的 IP 數(shù)據(jù)包進(jìn)行處理。 這里的處理工作只有兩種： 丟棄或轉(zhuǎn)發(fā)。 IPSec 通過查詢 SPD(Security Po1icy Database 安全策略數(shù)據(jù)庫 )決定對接收到的 IP 數(shù)據(jù)包的處理。但是 IPSec 不同于包過濾防火墻的是，對 IP 數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā) (繞過 IPSec)外，還有一種，即進(jìn)行 IPSec 處理。正是這新增添的處理方法提供了比包過濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。 進(jìn)行 IPSec 處理意味著對 IP 數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過濾防火墻只能控制來自或去往某個(gè)站點(diǎn)的 IP 數(shù)據(jù)包的通過，可以拒絕來自某個(gè)外部站點(diǎn)的 IP 數(shù)據(jù)包訪問內(nèi)部某些站點(diǎn)，．也可以拒絕某個(gè)內(nèi)部站點(diǎn)方對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取 ，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對 IP 數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，通過 Inter 進(jìn)新安全的通信才成為可能。 IPSec 既可以只對 IP 數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時(shí)實(shí)施二者。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證， IPSec 都有兩種工作模式，一種是隧道模式，另一種是傳輸模式。 傳輸模式，只對 IP 數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時(shí)，繼續(xù)使用以前的 IP頭部，只對 IP 頭部的部分域進(jìn)行修改，而 IPSec 協(xié)議頭部插入到 IP 頭