【正文】 安全的與總公司進(jìn)行通信和數(shù)據(jù)的傳輸。 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 3 IPSec 的優(yōu)勢(shì)有： 1. 強(qiáng)大的安全性 IPSec 協(xié)議固有的強(qiáng)大的安全特性能夠使用戶進(jìn)行認(rèn)證，保證數(shù)據(jù)的機(jī)密性和完整性。 SSL VPN SSL 的英文全稱是“ Secure Sockets Layer”，中文名為“安全套接層協(xié)議層”。 2. SSL VPN 無法為遠(yuǎn)程訪問應(yīng)用提供全面的解決方案，因?yàn)樗⒉挥兄谠L問內(nèi)部開發(fā)的應(yīng)用，也無助于訪問要求多個(gè)渠道和動(dòng)態(tài)端口以及使用多種協(xié)議這類復(fù)雜的應(yīng)用。 IPSec VPN 概述 IPSec 協(xié)議簡介 IPSec(1P Security)產(chǎn)生于 IPv6 的制定之中，用于提供 IP 層的安全性。 這里的處理工作 只有兩種：丟棄或轉(zhuǎn)發(fā) 圖 21 IPSec工作原理示意圖 IPSec 通過查詢 SPD(Security P01icy Database 安全策略數(shù)據(jù)庫 )決定對(duì)接收到的IP數(shù)據(jù)包的處理。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證， IPSec 都有兩種工作模式，一種是與其前一節(jié)提到的 協(xié)議工作方式類似的隧道模式，另一種是傳輸模式。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個(gè)“連接”。 1)ESP(Encapsulating Secuity Fayload) ESP 協(xié)議主要用來處理對(duì) IP 數(shù)據(jù)包的加密，此外對(duì)認(rèn)證也提供 某種程度的支持。加密數(shù)據(jù)部分除基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 7 了包含原 IP 數(shù)據(jù)包的有效負(fù)載，填充域 (用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求 )包含其余部分在傳輸時(shí)都是加密過的。 AH 雖然在功能上和 ESP 有些重復(fù)，但 AH 除了對(duì)可以對(duì) IP 的有效負(fù)載進(jìn)行認(rèn)證外，還可以對(duì) IP頭部實(shí)施認(rèn)證。分為加密密鑰 Ke和解密密鑰 Kd。就上面的例子來說，你知道算法是加密后移 k位，解密前移 k 位，但是你不知道密鑰 k是多少，所以也就不能解密了。 ： DES， 3DES， AES；常用 的非對(duì)稱加密算法： RSA，DiffieHellman（簡稱 DH） 【完整性保護(hù)】 通過對(duì)主機(jī) A 的原始數(shù)據(jù)加密形成密文再傳送保護(hù)了數(shù)據(jù)的機(jī)密性，但是在傳輸過程中，如果密文因?yàn)槟承┰騺G失了一部分，或者被別人篡改了，那么在主機(jī) B中就不能收到完整的 A所發(fā)送的的信息了。 【身份認(rèn)證】 身份認(rèn)證：一種用來驗(yàn)證發(fā)送者的身份的真實(shí)性，通過身份認(rèn)證可以發(fā)現(xiàn)那些假冒的頂替的入侵者。這樣就驗(yàn)證了 對(duì)方的身份。 注意： IPSEC VPN 里用的就是 HMAC。數(shù)字簽名涉及的技術(shù)：公鑰密碼體制和完整性檢驗(yàn)。 圖 212 簽名算法 圖示說明：數(shù)據(jù)用 hash 函數(shù)哈希得到定長的輸出，然后用私鑰簽名 hash 值。 圖 214 中間人攻擊 圖示解說： ，（即“公鑰”）指的是 hacker 的公鑰，并不是真正的公鑰，但是 Alice 認(rèn)為是 BOb 的公鑰。 2. 數(shù)字證書用來防止中間人攻擊。 B 對(duì) XB 的值保密存放而使 YB 能被 A公開獲得。對(duì)于大的素?cái)?shù)，計(jì)算出離散對(duì)數(shù)幾乎是不可能的。 3）開放性原則。 在企業(yè)網(wǎng)的設(shè)計(jì)中，安全性的設(shè)計(jì)是很重要的。 網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮到近期目標(biāo)，也要為企業(yè)以及網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有余地。 廣州端 的 內(nèi)部各部門都在各自不同的網(wǎng)段。 在本設(shè)計(jì)中，重要是點(diǎn)到點(diǎn) VPN，采用 IPSec VPN，各分支機(jī)構(gòu)都有一條到總公司的 VPN 線路，根據(jù)業(yè)務(wù)需要，也可以在分機(jī)構(gòu)間建立 VPN。執(zhí)行下述命令進(jìn)入 配置模式。 R1(config)inter f0/0 R1(configif)ip address R1(configif)no shutdown 以下是測(cè)試命令： R1ping … !!!!! … R1ping … !!!!! … 在 IP 地址為 的計(jì)算機(jī)上 : c:ping Pinging with 32 bytes of data: Reply from : bytes=32 time=5ms TTL=255 …… 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 24 結(jié)果證明連接及配置正確。 以下是測(cè)試命令，通過該命令，可以判斷配置是否有根本的錯(cuò)誤。首先， VPN 隧道只能限于內(nèi)部地址使用。 R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address R1(config)crypto isakmp key cisco address 為每個(gè) VPN（到不同的路由器，建立不同的隧道）制定具體的策略，并對(duì)屬于本策略的數(shù)據(jù)包實(shí)施保護(hù)。 移動(dòng)用戶與總部進(jìn)行連接 移動(dòng)用戶與總部進(jìn)行連接 采用 accessvpn 即： 遠(yuǎn)程訪問 VPN vpdn enable //以下是 ADSL 撥號(hào)配置 int f0/1 pppoe enable pppoeclient dialerpoolnumber 1 //定義 dialerpool int dialer1 mtu 1492 //VPN 連接中許多問題是 MTU 造成的 ip address negotiated //IP 地址與對(duì)端協(xié)商， ISP 隨機(jī)提供動(dòng) 態(tài) IP encapsulation ppp dialer pool 1 //引用 dialer pool dialergroup 1 //引用敏感流量，符合條件的觸發(fā) ADSL 撥號(hào) ppp authentication pap callin //定義 pap 明文密碼傳輸 ppp pap sentusername xxxx2223030 password 7 ****** dialerlist 1 protocol ip permit //定義敏感流量，這里為所有流量 在 VMware Workstation 虛擬機(jī)上安裝 windows server 2021 相應(yīng)服務(wù)器 VMware Workstation 允許 操作系統(tǒng) (OS)和 應(yīng)用程序 (Application)在一臺(tái)虛擬機(jī)內(nèi)部運(yùn)行。 R1ping source 可以通信。網(wǎng)絡(luò)部分任務(wù)完成，可以順利開展業(yè)務(wù)應(yīng)用了。 R1(config)crypto ipsec transformset R1 espdes espshahmac 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 29 指明串口使用上述已經(jīng)定義的策略?？梢砸粯?，也可以不一樣。當(dāng)然，如果業(yè)務(wù)要求，不允許所有的內(nèi)部員工 /計(jì)算機(jī)，或只允許部分內(nèi)部計(jì)算機(jī)訪問Inter，那么，只需要適當(dāng)修改上述配置命令，即可實(shí)現(xiàn)。 R1(config)accesslist 101 deny R1(config)accesslist 101deny R1(config)accesslist 101 deny R1(config)accesslist 101 permit ip any 以上命令的作用是指定對(duì)外訪問的規(guī)則內(nèi)容。 關(guān)鍵是配置 IP 地址和啟用以太網(wǎng)接口。在這個(gè)階段，要對(duì)拓?fù)渲械木W(wǎng)絡(luò)的連通、穩(wěn)定傳輸和安全等方面進(jìn)行詳細(xì)的規(guī)劃與設(shè)計(jì)。 為了能夠使各分支部門安全的與總部進(jìn)行通信和數(shù)據(jù)交換，通過專線是多安全的，但是專線的費(fèi)用之昂貴是一般公司難以承受的。 在本設(shè)計(jì)中， 以北京站的總部為核心，上海、廣州和武漢三個(gè)地區(qū)的點(diǎn)位分支，各點(diǎn) 都 通過運(yùn)營商提供的網(wǎng)絡(luò)來實(shí)現(xiàn)到互聯(lián)網(wǎng)的訪問 外網(wǎng)，內(nèi)部根據(jù)不同情況采取了不同的保護(hù)方式，有的分支機(jī)構(gòu)規(guī)模小，只有一臺(tái)路由器作為網(wǎng)關(guān)，沒有外網(wǎng)服務(wù)器，只有分支機(jī)構(gòu)內(nèi)部使用的 windows 2021 server 服務(wù)器，作為公司內(nèi)部信息的發(fā)布和資源的共享。 網(wǎng)絡(luò)管理員能夠在不改變系統(tǒng)運(yùn)行的情況下對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。在這樣的網(wǎng)絡(luò)中，就要盡量使用冗余備份，當(dāng)某個(gè)網(wǎng)絡(luò)設(shè)備故障時(shí)，網(wǎng)絡(luò)還可以零間斷地繼續(xù)工作，這樣就很好的保障了企業(yè)網(wǎng)絡(luò)的可靠性。 2）前瞻性原則。例如，要獲取用戶 B 的秘密密鑰，敵對(duì)方必須先計(jì)算 XB = inda ,q(YB)然后再使用用戶 B 采用的同樣方法計(jì)算其秘密密鑰 K。 A對(duì) XA的值保密存放而使 YA 能被 B公開獲得。 注意： 數(shù)字證書安全的前提是第三方是可信任的，如果第三方被偽造，數(shù)字證書就沒有安全性可言。 【數(shù)字證書】 數(shù)字證書，數(shù)字證書將身份標(biāo)識(shí)與公鑰綁定在一起，并由可信任的第三方權(quán)威機(jī)構(gòu)用其私鑰簽名。 簽名 過程如下： 圖 211 數(shù)字簽名示意圖 數(shù)字簽名方案有兩個(gè)部分：簽名算法和驗(yàn)證算法。 算法可以用來做完整性檢驗(yàn)，也可以用來做消息認(rèn)證，取決于所 hash 的內(nèi)容有沒有包含密鑰。 hash 值，因?yàn)橹挥邢⒑兔荑€都一樣， hash 值才可能一樣，所以如果 hash 值一樣，則說明消息是正確的，而且說明消息是由 A（擁有共享密鑰的人）發(fā)送的。 用于數(shù)據(jù)加密 公鑰密碼體制不僅可以用在保護(hù)數(shù)據(jù)的機(jī)密性，而且可以用在身份認(rèn)證中。 hash 函數(shù)有： MD5， SHA1 hash 函數(shù)的特點(diǎn)，必須記住的： ，輸出是固定長度的值的值（ MD5 是 128 位），叫 hash 值。 對(duì)稱加密算法有： DES， 3DES， AES， IDEA， RC4， A5， （記住常用的三個(gè)即可） 非對(duì)稱加密算法有： RSA， DiffieHellman， Rabin， ELGmal 機(jī)密性總結(jié)： 。 目前，很多加密算法都是公開的，也就是大家可以知道這些算法是怎么算的，都是有標(biāo)準(zhǔn)的。 幾個(gè)概念： 算法：在加密和解密過程中采用的一組規(guī)則。而在隧道模式時(shí)，侍整個(gè) IP 數(shù)據(jù)包進(jìn)行加密作為 ESP 的有效負(fù)載，并在 ESP 頭部前增添以網(wǎng)關(guān)地址為源地址的新的 IP頭部，此時(shí)可以起到 NAT 的作用。“安全策略索 引”使用來標(biāo)識(shí)發(fā)送方是使用哪組加密策略來處理 IP 數(shù)據(jù)包的，當(dāng)接收方看到了這個(gè)序號(hào)就知道了對(duì)收到的 IP 數(shù)據(jù)包應(yīng)該如何處理。當(dāng)給定了一個(gè) SA，就確定了 IPSec 要執(zhí)行的處理，如加密，認(rèn)證等。以上三方面的工作分別由 AH， ESP 和 IKE 三個(gè)協(xié)議規(guī)定。只有在對(duì) IP 數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性，真實(shí)性，完整性，通過 Inter進(jìn)新安全的通信才成為可能。當(dāng)接收到一個(gè) IP 數(shù)據(jù)包時(shí)，包過濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。 基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 4 綜上所述，在設(shè)計(jì)上， IPSec VPN 是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)，這類 VPN的真正價(jià)值在于，它們盡量提高 IP 環(huán)境的安全性。 但是， SSL 的局限性有如下幾方面： 1. 只能訪問通過網(wǎng)絡(luò)瀏覽器連接的資產(chǎn)。 6. 從公司現(xiàn)狀考慮， IPSEC 能利用公司現(xiàn)有設(shè)備 IPSEC 可以結(jié)合現(xiàn)有的防火墻設(shè)備實(shí)現(xiàn)，公司總部網(wǎng)絡(luò)無需 增加新的設(shè)備。 IPSec 工作于網(wǎng)絡(luò)層，對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用。同時(shí)，企業(yè)還可以利用公共信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公共信息網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。網(wǎng)絡(luò)范圍的擴(kuò)大，導(dǎo)致在實(shí)際應(yīng)用上 對(duì)網(wǎng)絡(luò)的要求也越來越高。 IPSec 在傳輸層之下，對(duì)于應(yīng)用程序來說是透明的。網(wǎng)絡(luò)上的 IP數(shù) 據(jù)包幾乎都是用明文傳輸?shù)?，非常容易遭到竊聽、篡改等攻擊。 IPSec 能為 IPv4/IPv6 網(wǎng)絡(luò)提供能共同操作 /使用的、高品質(zhì)的、基于加密的安全機(jī)制。 Network Security 。但是IPSec 協(xié)議是一個(gè)比較新的安全協(xié)議，而且非常復(fù)雜，作為一個(gè)還沒有完全成熟的協(xié)議，IPSec 在理論上和實(shí)踐上都有一些問題有待改進(jìn)。 IPSec 對(duì)終端用戶來說是透明的，因此不必對(duì)用戶進(jìn)行安全機(jī)制的培訓(xùn)。國內(nèi)公共信息網(wǎng)在基于 Cisco 設(shè)備 IP Sec VPN 的設(shè)計(jì)與實(shí)現(xiàn) 2 近些年來得到了高速發(fā)展，已經(jīng)遍布全國各地。 經(jīng)濟(jì)效益 由于使用 Inter 進(jìn)行傳輸相對(duì)于租用專線來說，費(fèi)用極為低廉，所以 VPN 的出現(xiàn)使企業(yè)通過 Inter 既安全又經(jīng)濟(jì)地傳輸私有的機(jī)密信息成為可能，只需在現(xiàn)有設(shè)備上進(jìn)行相關(guān)配置即可實(shí)現(xiàn)。用戶可以用數(shù)字證書或者預(yù)共享密鑰進(jìn)行認(rèn)證，與安全策略不一致的包被丟棄。它的“零客戶端”架構(gòu)特別適合于遠(yuǎn)程用戶連接。而這些應(yīng)用對(duì)公司及遠(yuǎn)程用戶來說卻是一個(gè)關(guān)鍵需求。由于所有支持 TCP／ IP 協(xié)議的主機(jī)進(jìn)行通信時(shí)，都要經(jīng)過 IP 層的處理，所以提供了 IP層的安全性就相當(dāng)于為整個(gè)網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。但是 IPSec 不同于包過濾防火墻的是，對(duì) IP 數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā) (繞過 IPSec)外，還有一種，即進(jìn)行 IPSec 處理。 傳輸模式，