【正文】 網(wǎng)絡(luò)安全的普及宣傳研究畢業(yè)論文目 錄摘 要 IAbstract II第一章 網(wǎng)絡(luò)安全與VPN簡(jiǎn)介 1 1 VPN技術(shù)簡(jiǎn)介 2第二章 GRE over IPSec VPN相關(guān)技術(shù)描述 5 GRE隧道協(xié)議 5 IPSec概述 6 AH和ESP 9 IKE協(xié)議 12第三章 系統(tǒng)VPN分析與概要設(shè)計(jì) 17 17 18 20第四章 GRE over IPSec VPN相關(guān)技術(shù)分析 22 GRE基本配置與分析 22 配置網(wǎng)絡(luò)環(huán)境 22 配置GRE VPN 23 IPSec基本配置與分析 24 IPSec VPN基本配置步驟 24 IPSec VPN安利配置與分析 26 IPSec over GRE VPN和GRE over IPSec VPN基本配置與分析 36 IPSec over GRE VPN配置與分析 36 GRE over IPSec VPN配置與分析 42 GRE over IPSec VPN與IPSec over GRE VPN的區(qū)別 46第五章 基于GRE over IPsec VPN設(shè)計(jì)與仿真的實(shí)現(xiàn) 47 GRE over IPsec VPN配置與實(shí)現(xiàn) 47 查看本系統(tǒng)GRE over IPsec VPN配置文件 54 網(wǎng)絡(luò)系統(tǒng)調(diào)試與分析 59結(jié) 論 66一、技術(shù)要點(diǎn)和難點(diǎn) 66（一）技術(shù)要點(diǎn) 66（二）技術(shù)難點(diǎn) 69二、設(shè)計(jì)中遇到的問(wèn)題 71三、畢業(yè)設(shè)計(jì)總結(jié) 73（一）個(gè)人體會(huì) 73（二）專業(yè)和技術(shù)總結(jié) 74（三）方案總結(jié) 75參考文獻(xiàn) 76致 謝 78附 錄 79II第一章 網(wǎng)絡(luò)安全與VPN簡(jiǎn)介隨著互聯(lián)網(wǎng)的深入發(fā)展和應(yīng)用，在其帶給人類越來(lái)越多的利益之時(shí)，網(wǎng)絡(luò)中的各種威脅也隨之而來(lái)，并且日積月累，已經(jīng)發(fā)展成為威脅各種網(wǎng)絡(luò)的重大因素，其中涉及到國(guó)家信息機(jī)密安全、企業(yè)信息安全以及家庭甚至個(gè)人的網(wǎng)絡(luò)信息安全。網(wǎng)絡(luò)安全的由來(lái)網(wǎng)絡(luò)安全可分為三個(gè)基本類型：網(wǎng)絡(luò)策略定義中的弱點(diǎn)，包括業(yè)務(wù)和安全策略弱點(diǎn)，而這些策略則是網(wǎng)絡(luò)正常運(yùn)行的先決條件。計(jì)算機(jī)技術(shù)弱點(diǎn)，包括網(wǎng)絡(luò)信息運(yùn)行協(xié)議和操作系統(tǒng)等的安全弱點(diǎn)。設(shè)備配置中的弱點(diǎn)，包括網(wǎng)絡(luò)設(shè)備的設(shè)定、配置和管理。 網(wǎng)絡(luò)安全的威脅類型安全威脅主要來(lái)自兩個(gè)方面，即網(wǎng)絡(luò)外部用戶和內(nèi)部用戶。絕大多數(shù)的網(wǎng)絡(luò)的安全威脅來(lái)自于內(nèi)部，所以在進(jìn)行網(wǎng)絡(luò)安全設(shè)計(jì)時(shí)，必須通過(guò)內(nèi)部措施處理這個(gè)問(wèn)題，以保護(hù)重要資源。安全威脅的基本方式分為無(wú)組織的和有組織的兩種威脅類型，其中無(wú)組織的威脅是指由于缺乏經(jīng)驗(yàn)而崇拜黑客的人試圖獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)時(shí)形成的安全威脅。任何人均可以通過(guò)互聯(lián)網(wǎng)獲得很多工具用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中的安全弱點(diǎn)，這些工具包括端口掃描工具、地址掃描工具以及其他很多工具。另一方面，有組織的威脅是由技術(shù)訓(xùn)練有素的人試圖獲得對(duì)網(wǎng)絡(luò)訪問(wèn)時(shí)實(shí)施的。這些黑客建立和使用很高級(jí)的工具攻入網(wǎng)絡(luò)或者干擾網(wǎng)絡(luò)中正常運(yùn)行的各種服務(wù)。以上描述了網(wǎng)絡(luò)安全威脅的基本組件，談到威脅的分類，則通常通過(guò)以下術(shù)語(yǔ)進(jìn)行分類：勘測(cè)攻擊：黑客試圖獲得相關(guān)網(wǎng)絡(luò)的信息，包括網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)中的設(shè)備、在設(shè)備上運(yùn)行的軟件以及應(yīng)用到設(shè)備上的配置。訪問(wèn)攻擊：黑客企圖獲得對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的未授權(quán)的或者非法的訪問(wèn)。拒絕訪問(wèn)攻擊，即DoS攻擊：黑客企圖拒絕到特定資源的合法流量和用戶訪問(wèn)，或者至少降低對(duì)資源的服務(wù)質(zhì)量。網(wǎng)絡(luò)安全解決方案一個(gè)較好的網(wǎng)絡(luò)安全解決方案應(yīng)該具備以下基本條件：易于使用和實(shí)施、應(yīng)該使公司能夠在網(wǎng)絡(luò)中開(kāi)發(fā)和部署新的應(yīng)用；應(yīng)該使公司能以一個(gè)安全的方式使用Internet。思科在網(wǎng)絡(luò)安全設(shè)計(jì)方面則有一套安全輪形圖，其中包含四個(gè)步驟，即：保護(hù)網(wǎng)絡(luò)安全、監(jiān)控網(wǎng)絡(luò)安全、測(cè)試網(wǎng)絡(luò)安全和改進(jìn)網(wǎng)絡(luò)安全。[1]： 網(wǎng)絡(luò)安全輪形圖 VPN技術(shù)簡(jiǎn)介VPN技術(shù)的由來(lái)眾所周知，計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展之初，隨著計(jì)算機(jī)科技的飛速發(fā)展，以及計(jì)算機(jī)互聯(lián)給人民所帶來(lái)的便利逐步得到人類的認(rèn)可，計(jì)算機(jī)網(wǎng)逐步演化到世界的各個(gè)角落，隨之誕生的各種網(wǎng)絡(luò)安全猶如前文所述。但是在當(dāng)今經(jīng)濟(jì)騰飛、科技發(fā)達(dá)的世界里，地域之間、企業(yè)之間以及個(gè)體之間無(wú)時(shí)無(wú)刻不需要互聯(lián)，而這必然也面臨諸多問(wèn)題。于是，人類逐步想了諸多解決辦法。首先，如果不同區(qū)域間的計(jì)算機(jī)內(nèi)網(wǎng)相互通信，必然會(huì)穿越互聯(lián)網(wǎng)，這很顯然會(huì)將自己的內(nèi)部局域網(wǎng)在互聯(lián)網(wǎng)上公之于眾，必然面臨諸多網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)設(shè)計(jì)之初，很多網(wǎng)絡(luò)設(shè)計(jì)者解決上述問(wèn)題的最簡(jiǎn)單直接的辦法就是在不同區(qū)域間的內(nèi)部局域網(wǎng)之間鋪設(shè)自己的專用物理鏈路，這樣就會(huì)增加網(wǎng)絡(luò)建設(shè)的開(kāi)支。同時(shí)隨著自身發(fā)展需求的不斷增大，自身的內(nèi)部局域網(wǎng)也逐步壯大和擴(kuò)散，這樣將會(huì)使得自身鋪設(shè)的物理鏈路劇增，會(huì)使得自身的網(wǎng)絡(luò)建設(shè)費(fèi)用隨之劇增。面對(duì)這樣的難題，一般的區(qū)域網(wǎng)絡(luò)建設(shè)者和使用者，是無(wú)法承受得起這么一筆高額費(fèi)用。顯而易見(jiàn)，這種解決上述難題的辦法在當(dāng)今互聯(lián)網(wǎng)世界里是不切合實(shí)際的。其次，后來(lái)隨著網(wǎng)絡(luò)運(yùn)營(yíng)商的發(fā)展及其不斷壯大，很多區(qū)域內(nèi)部網(wǎng)之間的互聯(lián)，便通過(guò)租用運(yùn)營(yíng)商的網(wǎng)絡(luò)鏈路來(lái)成為自身不同區(qū)域內(nèi)部網(wǎng)絡(luò)之間互聯(lián)的專用鏈路，這樣就必須向運(yùn)營(yíng)商提供費(fèi)用不菲的鏈路租費(fèi)。雖然這種解決辦法相對(duì)于前者來(lái)說(shuō)更加經(jīng)濟(jì)便捷，但是這種費(fèi)用也不是一筆小的開(kāi)支，也會(huì)使得相當(dāng)大規(guī)模的網(wǎng)絡(luò)使用者無(wú)法承受。同時(shí)運(yùn)營(yíng)商只將自己的這部分物理鏈路租用給一家網(wǎng)絡(luò)，這顯然使得運(yùn)營(yíng)商的物理鏈路沒(méi)有得到更高的使用效率，浪費(fèi)運(yùn)營(yíng)商的物理網(wǎng)絡(luò)資源。后來(lái)，人們便又逐漸想出很多種辦法來(lái)彌補(bǔ)上述的不足，比如遠(yuǎn)程撥入，這種網(wǎng)絡(luò)互連方法只能滿足那些在流量需求相對(duì)比較小、覆蓋范圍比較小的情況，對(duì)于覆蓋范圍大、流量需求大的網(wǎng)絡(luò)互聯(lián)則體現(xiàn)出遠(yuǎn)程撥入的弱勢(shì)。在當(dāng)今互聯(lián)網(wǎng)的應(yīng)用當(dāng)中，有一種虛擬的隧道技術(shù)穿越互聯(lián)網(wǎng)，以達(dá)到內(nèi)部網(wǎng)絡(luò)之間，以及其他一些不需要外部網(wǎng)絡(luò)知曉的網(wǎng)絡(luò)通信之間相互互聯(lián)的目的。首先，這種虛擬隧道技術(shù)不需要鋪設(shè)實(shí)際的物理鏈路，也不需要租用運(yùn)營(yíng)商的物理鏈路，當(dāng)然也就不必支付高額的費(fèi)用；其次，此技術(shù)在達(dá)到比前面所述解決方案更加優(yōu)越的效果，還帶來(lái)了更加寬泛的網(wǎng)絡(luò)互連域，提供了更加安全的互聯(lián)通信，因?yàn)楹芏嗵摂M隧道技術(shù)采用了安全加密技術(shù)進(jìn)行數(shù)據(jù)通信。以上所最終演變出來(lái)的虛擬隧道技術(shù)所形成的互聯(lián)互通的網(wǎng)絡(luò)技術(shù)，就是今天眾口皆碑的虛擬專用網(wǎng)技術(shù)，即VPN技術(shù)。 2. VPN技術(shù)簡(jiǎn)介虛擬專用網(wǎng)（VPN）是通過(guò)互聯(lián)網(wǎng)來(lái)臨時(shí)建立一個(gè)臨時(shí)的、安全的網(wǎng)絡(luò)連接，是一種穿越互聯(lián)網(wǎng)的安全、穩(wěn)定的虛擬隧道。VPN是內(nèi)部網(wǎng)絡(luò)通過(guò)互聯(lián)網(wǎng)的一種擴(kuò)展，可以幫助遠(yuǎn)程用戶、分支機(jī)構(gòu)、業(yè)務(wù)伙伴以及自身與供應(yīng)商之間建立可信的安全連接，來(lái)保障安全的數(shù)據(jù)通信與互聯(lián)。VPN可以根據(jù)需要提供可加密、可認(rèn)證、可防火墻的功能，是穿越互聯(lián)網(wǎng)而虛擬隧道化的一種技術(shù)，因此可見(jiàn)，VPN是通過(guò)四項(xiàng)安全保障技術(shù)來(lái)保障安全數(shù)據(jù)傳輸?shù)?，四?xiàng)安全保障技術(shù)為：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)以及發(fā)送方與接收方之間的相互認(rèn)證技術(shù)。VPN同實(shí)際物理鏈路網(wǎng)絡(luò)一樣，其中有時(shí)根據(jù)需要也要運(yùn)行某種網(wǎng)絡(luò)協(xié)議，VPN常用的協(xié)議有以下幾種：IPSec協(xié)議：IPSec是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證，后續(xù)章節(jié)將對(duì)其進(jìn)行詳細(xì)論述，此處不再深入。GRE協(xié)議：GRE協(xié)議是VPN的第三層隧道協(xié)議，后續(xù)章節(jié)將對(duì)其進(jìn)行詳細(xì)論述，此處不再深入。SSL協(xié)議：SSL(Secure Sockets Layer 安全套接層)協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。MPLS[2]：多協(xié)議標(biāo)簽交換（MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。MPLS 獨(dú)立于第二和第三層協(xié)議。它提供了一種方式，將 IP 地址映射為簡(jiǎn)單的具有固定長(zhǎng)度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。基于MPLS的VPN就是通過(guò)LSP將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來(lái)，形成一個(gè)統(tǒng)一的網(wǎng)絡(luò)，傳統(tǒng)的VPN一般是通過(guò)GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）、PPTP（Point to Point Tunneling Protocol）、IPSec協(xié)議等隧道協(xié)議來(lái)實(shí)現(xiàn)私有網(wǎng)絡(luò)間數(shù)據(jù)流在公網(wǎng)上的傳送。MPLS VPN相對(duì)于其他VPN，采用MPLS組建的VPN具有更好的可維護(hù)性及可擴(kuò)展性，MPLS VPN更適合于組建大規(guī)模的復(fù)雜的VPN。PPTP：Point to Point Tunneling Protocol，即點(diǎn)到點(diǎn)隧道協(xié)議，其功能由兩部分構(gòu)成：訪問(wèn)集中器PAC和網(wǎng)絡(luò)服務(wù)器PNS，而PPTP則是在二者之間實(shí)現(xiàn)，而且二者之間并不包括其他系統(tǒng)。其工作原理很簡(jiǎn)單：第一步，具有PAC的遠(yuǎn)程計(jì)算機(jī)用戶撥號(hào)接入使用PPP的本地ISP的網(wǎng)絡(luò)訪問(wèn)服務(wù)器（NAS）；第二步，PAC通過(guò)PPP連接建立一條控制信道，并且通過(guò)互聯(lián)網(wǎng)連接到屬于本地網(wǎng)絡(luò)的PNS；第三步，通過(guò)控制隧道協(xié)商PPTP隧道參數(shù)，建立PPTP隧道；第四步，通過(guò)PAC與PNS之間的PPTP隧道，從遠(yuǎn)程用戶建立進(jìn)入專用NAS的PPP連接；第五步，完成以上四個(gè)步驟之后，一個(gè)PPTP VPN就建立起來(lái)，進(jìn)而進(jìn)行相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)通信。適用于遠(yuǎn)程撥號(hào)連接的VPN網(wǎng)絡(luò)環(huán)境。L2F協(xié)議：Layer 2 Forwarding，即第二層轉(zhuǎn)發(fā)協(xié)議。它允許通信載體和其他服務(wù)提供商提供遠(yuǎn)程撥號(hào)接入，其在某些方面和PPTP有些相似。L2TP：Layer 2 Tunneling Protocol，即第二層隧道協(xié)議，與PPTP和L2F相似，三者只是基于不同的網(wǎng)絡(luò)設(shè)備和設(shè)備生產(chǎn)商基于不同的目的而開(kāi)發(fā)的。VPN的分類根據(jù)VPN運(yùn)行的協(xié)議來(lái)劃分：，VPN按照上述協(xié)議則可結(jié)合相應(yīng)的協(xié)議形成一種VPN，同時(shí)集中協(xié)議相互結(jié)合后再集合VPN技術(shù)又形成多種VPN技術(shù)。根據(jù)VPN的加密特別可以劃分為三種，即：加密VPN、非加密VPN和混合VPN。其中所為混合VPN則是加密VPN和非加密VPN結(jié)合的產(chǎn)物[1]。以上兩種劃分方式并非沒(méi)有關(guān)聯(lián)，相反則是相互包含，比如加密VPN有IPSec VPN和SSL VPN等，非加密VPN則有非數(shù)據(jù)嚴(yán)格加密的GRE VPN等，混合VPN則如本課題所涉及到的GRE over IPSec VPN和IPSec over GRE VPN，等等。第二章 GRE與IPSec相關(guān)技術(shù)概述 GRE概述GRE引入[20]GRE（Generic Routing Encapsulation），中文譯為通用路由封裝，該協(xié)議在IP頭中的協(xié)議號(hào)是47。GRE是一種最傳統(tǒng)的隧道封裝協(xié)議，提供了將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制，使報(bào)文能夠在異種網(wǎng)絡(luò)中傳輸。其根本功能就是要實(shí)現(xiàn)隧道功能，通過(guò)隧道連接的兩個(gè)遠(yuǎn)程網(wǎng)絡(luò)就如同直連，GRE在兩個(gè)遠(yuǎn)程網(wǎng)絡(luò)之間模擬出直連鏈路，從而使網(wǎng)絡(luò)間達(dá)到直連的效果。 GRE的主要特性如下：n（1）將原始數(shù)據(jù)包被包裹在外層協(xié)議之內(nèi)；n（2）GRE需要在原IP報(bào)頭之外增加新的IP報(bào)頭；n（3）GRE是一種無(wú)狀態(tài)協(xié)議，不提供可靠地流控傳輸機(jī)制；n（4） GRE支持IP協(xié)議和非IP協(xié)議；n（5）GRE支持單播、組播和廣播；n（6）GRE不具備安全加密功能。GRE工作原理及流程概述由上述可見(jiàn)，GRE中的IP數(shù)據(jù)包是一層套一層，總共有3個(gè)IP地址。GRE在實(shí)現(xiàn)隧道時(shí)，需要?jiǎng)?chuàng)建虛擬直連鏈路，GRE實(shí)現(xiàn)的虛擬直連鏈路可以認(rèn)為是隧道，隧道是模擬鏈路，所以隧道兩端也有IP地址，但隧道需要在公網(wǎng)中找到起點(diǎn)和終點(diǎn)，所以隧道的源和終點(diǎn)分別都以公網(wǎng)IP地址結(jié)尾，該鏈路是通過(guò)GRE協(xié)議來(lái)完成的，隧道傳遞數(shù)據(jù)包的過(guò)程分為3步：（1）將接收原始IP數(shù)據(jù)包中的協(xié)議當(dāng)作乘客協(xié)議，原始IP數(shù)據(jù)包包頭的IP地址為私有IP地址。 （2）將原始IP數(shù)據(jù)包封裝進(jìn)GRE協(xié)議，GRE協(xié)議稱為封裝協(xié)議（Encapsulation Protocol），封裝的包頭IP地址為虛擬直連鏈路兩端的IP地址。（3）將整個(gè)GRE數(shù)據(jù)包當(dāng)作數(shù)據(jù)，在外層封裝公網(wǎng)IP包頭，也就是隧道的起源和終點(diǎn)，從而路由到隧道終點(diǎn)。GRE隧道對(duì)傳輸數(shù)據(jù)進(jìn)行加封裝與解封裝的主要過(guò)程如下：一個(gè)X協(xié)議的報(bào)文要想穿越IP網(wǎng)絡(luò)在Tunnel中傳輸，必須要經(jīng)過(guò)加封裝與解封裝兩個(gè)過(guò)程，： X協(xié)議網(wǎng)絡(luò)通過(guò)GRE隧道連接（1）加封裝過(guò)程1） Router A 連接Group 1 的接口收到X 協(xié)議報(bào)文后，首先交由X 協(xié)議處理；2）X 協(xié)議檢查報(bào)文頭中的目的地址域來(lái)確定如何路由此包；3）若報(bào)文的目的地址要經(jīng)過(guò) Tunnel 才能到達(dá)，則設(shè)備將此報(bào)文發(fā)給相應(yīng)的Tunnel接口；4） Tunnel 口收到此報(bào)文后進(jìn)行GRE 封裝，在封裝IP 報(bào)文頭后，設(shè)備根據(jù)此IP包的目的地址及路由表對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)，從相應(yīng)的網(wǎng)絡(luò)接口發(fā)送出去。（2）GRE解封裝的過(guò)程解封裝過(guò)程和加封裝的過(guò)程相反。1） Router B 從Tunnel 接口收到IP 報(bào)文，檢查目的地址；2） 如果發(fā)現(xiàn)目的地是本路由器，則 Router B 剝掉此報(bào)文的IP 報(bào)頭，交給GRE協(xié)議處理（進(jìn)行檢驗(yàn)密鑰、檢查校驗(yàn)和及報(bào)文的序列號(hào)等）；3）GRE 協(xié)議完成相應(yīng)的處理后，剝掉GRE 報(bào)頭，再交由X 協(xié)議對(duì)此數(shù)據(jù)報(bào)進(jìn)行后續(xù)的轉(zhuǎn)發(fā)處理。 IPSec概述加密學(xué)概述加密算法：當(dāng)不同的遠(yuǎn)程網(wǎng)絡(luò)通過(guò)Internet連接時(shí)，網(wǎng)絡(luò)之間直接通過(guò)私有地址進(jìn)行互訪只是需求之一，除此之外，還有個(gè)非常重要的需求，那就是數(shù)據(jù)安全。在遠(yuǎn)程網(wǎng)絡(luò)之間布置的VPN除了實(shí)現(xiàn)隧道功能之外，還必須在隧道中實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密。隧道與加密是一個(gè)安全可靠的VPN技術(shù)兼?zhèn)涞脑兀瑑烧呷币徊豢?，否則就不算是完整的、安全的VPN。目前，加密算法多種多樣，加密算法分為加密和解密兩個(gè)過(guò)程：加密是指將明文數(shù)據(jù)換算成密文數(shù)據(jù)；解密是對(duì)加密的反運(yùn)算，將密文數(shù)據(jù)轉(zhuǎn)變?yōu)槊魑臄?shù)據(jù)。根據(jù)在對(duì)數(shù)據(jù)進(jìn)行解密時(shí)使用的密鑰和加密使用的密鑰是否完全相同，可將加密算法分為兩類：對(duì)稱加密算法和非對(duì)稱