【正文】 該技術(shù)的優(yōu)點(diǎn)在于它允許參與者在非安全媒體上創(chuàng)建秘密值，而不把此秘密值通過網(wǎng)絡(luò)傳輸。第 3 條消息: 發(fā)起方認(rèn)證接受方，確認(rèn)交換，發(fā)送發(fā)起方的證書 ( 如果使用證書)。第 1 階段可能發(fā)生在 Main mode（主模式）或 Aggressive mode（野蠻模式）下。同時(shí)交換中需要傳遞自身私鑰的簽名，通過證書中的公鑰驗(yàn)證。只有參與通信的 VPN 雙方得到共同密鑰才能使 VPN 正確加密通信。NAT 設(shè)備從預(yù)定義的 IP 地址池中生成這些外部地址。出差員工撥號獲得的地址是，VPN 內(nèi)部分配的地址是 。建立 VPN 后數(shù)據(jù)包的處理過程銳捷網(wǎng)絡(luò)防火墻典型功能使用手冊 8是如下這樣：1. 北京訪問上海數(shù)據(jù)包： 數(shù)據(jù)包是原始訪問數(shù)據(jù)。安全聯(lián)盟（Security Association，S A）：用 IPSec 保護(hù)一個(gè) I P 包之前，必須先建立一個(gè)安全聯(lián)盟（S A） 。加密算法：并非只有單獨(dú)的一種！有多種技術(shù)都可用來加密信息、安全地交換密鑰、維持信息完整以及確保一條消息的真實(shí)性。一般來說 IPSec VPN 使用 ESP 協(xié)議，AH 協(xié)議只在某些禁止使用加密的情況下使用。VPN 連接可以連接兩個(gè)局域網(wǎng) (LAN) 或一個(gè)遠(yuǎn)程撥號用戶和一個(gè) LAN。 IPSec VPN 技術(shù)原理簡介根據(jù)因特網(wǎng)工程標(biāo)準(zhǔn)工作組（IETF）的定義，IPSec 的協(xié)議框架結(jié)構(gòu)如下圖所示。它定義在 R F C 2 4 0 2 中。Inter 密鑰交換（ Inter Key Exchange，I K E）：定義了安全參數(shù)如何協(xié)商，以及共享密鑰如何建立。如下圖，某企業(yè)有北京和上海兩個(gè)分支。6. 上海服務(wù)器返回?cái)?shù)據(jù)： 經(jīng)過相同的處理過程，數(shù)據(jù)包可以安全地返回給北京的訪問主機(jī)。5. 北京安全網(wǎng)關(guān)轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)，北京服務(wù)器 收到訪問數(shù)據(jù)。RGWALL1600 使用 NAT 穿越功能可以解決此問題。預(yù)共享密鑰認(rèn)證方式：通過使用預(yù)共享密鑰的“自動(dòng)密鑰 IKE”來認(rèn)證 IKE 會(huì)話中的參與者時(shí)，各方都必須預(yù)先配置和安全地交換預(yù)共享密鑰。但是，更改密鑰會(huì)增加信息流開銷，因此，過于頻繁地更改密鑰會(huì)降低數(shù)據(jù)傳輸效率。因此，在明文中沒有傳輸參與者的身份。 “第 2 階段”提議還包括一個(gè)安全協(xié)議 － “封裝安全性負(fù)荷” (ESP) 或“ 認(rèn)證包頭” (AH) － 和所選的加密和認(rèn)證算法。由于每個(gè) DH 組的模數(shù)都有不同的大小，因此參與者必須使用相同的組。在此階段中，他們將協(xié)商 SA 以保護(hù)要通過 IPSec 隧道傳輸?shù)臄?shù)據(jù)。第三次交換， （信息 5 和 6）：發(fā)送并驗(yàn)證其身份。IKE 將在預(yù)先確定的時(shí)間間隔內(nèi)自動(dòng)更改其密鑰。銳捷網(wǎng)絡(luò)防火墻典型功能使用手冊 10IPSec 使用“互聯(lián)網(wǎng)密鑰交換” (IKE)協(xié)議支持密鑰的自動(dòng)生成和協(xié)商以及安全聯(lián)盟協(xié)商。在 NAT 對 IPSec 造成中斷的眾多原因中，其中一個(gè)原因就是，對于“封裝安全性協(xié)議 ”(ESP) 來說，NAT 設(shè)備不能識(shí)別端口轉(zhuǎn)換的“第 4 層”包頭的位置 ( 因?yàn)樗驯患用?。3. 經(jīng)過 Inter 到達(dá)北京安全網(wǎng)關(guān)。4. 上海安全網(wǎng)關(guān)解密：解密后得到原始數(shù)據(jù)包， 。 IPSec VPN 對數(shù)據(jù)包的處理IPSec VPN 主要有兩種形式，分支機(jī)構(gòu)互聯(lián) VPN 和移動(dòng)用戶遠(yuǎn)程訪問 VPN。但假如不進(jìn)行身份驗(yàn)證，也沒有辦法知道要同你分享秘密的人是不是他／她所聲稱的那個(gè)人。隧道模式下，它加密封裝整個(gè) I P 數(shù)據(jù)報(bào)。IPSec 隧道由一對指定安全參數(shù)索引 (SPI) 的單向“ 安全聯(lián)盟”(SA) ( 位于隧道的兩端) 、目標(biāo) IP 地址以及使用的安全協(xié)議 ( “認(rèn)證包頭 ”或“封裝安全性負(fù)荷” ) 組成。要在公網(wǎng)傳輸過程中確保 VPN 通信的安全性，IPSec VPN 的兩個(gè)端點(diǎn)間必須創(chuàng)建一個(gè) IPSec 隧道。封裝安全載荷（ Encapsulating Security Protocol， E S P）是插入 I P 數(shù)據(jù)報(bào)內(nèi)的一個(gè)協(xié)議頭，以便為 I P 提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。驗(yàn)證算法：為保守一個(gè)秘密，它的機(jī)密性是首先必須保證的。IKE 代表 IPSec對 S A 進(jìn)行協(xié)商，并對 SADB 數(shù)據(jù)庫進(jìn)行填充。3. 經(jīng)過 Inter 到達(dá)上海安全網(wǎng)關(guān)。2. 出差用戶主機(jī) VPN 客戶端對數(shù)據(jù)加密處理： 數(shù)據(jù)包內(nèi)是加密后的數(shù)據(jù)。但是，在完成“ 階段 2”協(xié)商后，執(zhí)行 IPSec 封包上的 NAT 會(huì)導(dǎo)致隧道失敗。所以密鑰協(xié)商是 VPN 安全使用的關(guān)鍵，他不僅要解決密鑰協(xié)商，還需要解決 VPN 雙方的身份認(rèn)證、算法協(xié)商、保護(hù)模式協(xié)商。各方得到各自的證書后就可以使用 IKE 協(xié)議了。第二次交換， （信息 3 和 4）：執(zhí)行 DiffieHellman 交換，發(fā)起方和接受方各提供一個(gè)當(dāng)前數(shù) ( 隨機(jī)生成的號碼) 。第 2 階段：當(dāng)參與者建立了一個(gè)已認(rèn)證的安全隧道后，他們將繼續(xù)執(zhí)行“ 第 2 階段”。在各組計(jì)算中所使用主要模數(shù)的大小都不同，如下所述:DH 組 1：768 位模數(shù)DH 組 2：1024 位模數(shù)DH 組 5：1536 位模數(shù)模數(shù)越大，就認(rèn)為生成的密鑰越安全；但是，模數(shù)越大，密鑰生成過程就越長。如果需要“ 完全正向保密”(PFS)，提議中還可以指定一個(gè) DiffieHellman 組。Aggressive Mode（野蠻模式）：發(fā)起方和接受方獲取相同的對象，但僅進(jìn)行兩次交換，總共有三條消息：第 1 條消息: 發(fā)起方建議 SA，發(fā)起 DiffieHellman 交換，發(fā)送一個(gè)銳捷網(wǎng)絡(luò)防火墻典型功能使用手冊 11當(dāng)前數(shù)及其 IKE 身份。IKE 密鑰交換包括兩個(gè)階段的信息交換：第一階段和第二階段。一旦預(yù)共享密鑰被正確分配后，就可使用 IKE 協(xié)議了。NAT 穿越協(xié)議通過對 ESP 和 AH 協(xié)議進(jìn)行 UDP 封裝，在加密封裝后的數(shù)據(jù)包中增加UDP 頭，這樣 NAT 設(shè)備就可以對加密數(shù)據(jù)包進(jìn)行正確的 NAT 端口轉(zhuǎn)換。6. 北京服務(wù)器返回?cái)?shù)據(jù)： 經(jīng)過相同的處理過程，數(shù)據(jù)包可以安全地返回給出差用戶的訪問主機(jī)。如下圖，某企業(yè)上海出差員工要訪問北京總部。北京分公司的內(nèi)部網(wǎng)絡(luò)地址是，上海分公司的內(nèi)部網(wǎng)絡(luò)地址是 。但它沒有定義的是協(xié)商內(nèi)容。除了機(jī)密性之外， A H 提供 E S P 能夠提供的一切東西。IPSec體系ESP協(xié)議 AH協(xié)議加密算法 認(rèn)證算法DOI解釋域密鑰管理（ ISAKMP/IKE）銳捷網(wǎng)絡(luò)防火墻典型功能使用手冊 7IPSec 最終為網(wǎng)絡(luò)數(shù)據(jù)提供 ESP 與 AH 安全保護(hù)。銳捷網(wǎng)絡(luò)防火墻典型功能使用手冊 1銳捷網(wǎng)絡(luò)防火墻詳細(xì)實(shí)例目 錄第一章 VPN 功能使用 .............................................5 概述 ..........................................................................................................................................................................5 IPSEC VPN 技術(shù)原理簡介 .......................................................................................................................................5 IPSEC VPN 對數(shù)據(jù)包的處理 ...................................................................................................................................6 IPSEC NAT 穿透： .................................................................................................................................................8 密鑰管理（IKE 密鑰協(xié)商） ..................................................................................................................................8 DIFFIEHELLMAN 交換： .......................................................................................................................................10 基于策略和基于路由的 VPN ..............................................................................................................................11 基于路由的雙 VPN 隧道備份（ACTIVE－ACTIVE） .........................................................................................12 網(wǎng)關(guān)－網(wǎng)關(guān) VPN 隧道的建立 .............................................................................................................................15 典型案例： ....................................................................................................................................................16 遠(yuǎn)程訪問 VPN 隧道的建立 ...............................................................................................................................18 典型案例： ..................................................................................................................................................19 RGWALL VPN CA 中心軟件的使用 ................................................................................................................20 RGWALL1600 安全網(wǎng)關(guān) VPN 證書配置 ...............................................................................................20 RGWALL VPN CA 中心軟件 ..................................................................................................................20 PPTP/L2TP 遠(yuǎn)程訪問 VPN 配置方法 ................................................................................................................20 動(dòng)態(tài)域名..............................................................................................................................................................24 使用動(dòng)態(tài)域名的動(dòng)態(tài) RGWALL1600 防火墻 ........................................................................