【正文】 務(wù)的安裝與配置 .................................................................... 20 4 本次 課題實驗環(huán)境測試 ................................................................................................... 24 本次課題實驗環(huán)境介紹 ............................................................................................... 24 本次課題實驗環(huán)境測試 ............................................................................................... 26 總結(jié) ............................................................................................................................... 31 5 致謝 ................................................................................................................................... 32 6 參考文獻(xiàn) ........................................................................................................................... 33 附錄 ........................................................................................................................................... 34 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 1 上海應(yīng)用技術(shù)學(xué)院 計算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 1 緒論 隨著 Inter 的商業(yè)化， 許多 企業(yè)的內(nèi)部網(wǎng)絡(luò) 都需要 與 外界的 Inter 相連， 并且 隨著企業(yè)全球化的 飛速 發(fā)展，不同地區(qū) 的 企業(yè)內(nèi)部網(wǎng)絡(luò) 都 需要互聯(lián)。虛擬專用網(wǎng)絡(luò) (VPN)在公共網(wǎng)絡(luò)，如因特網(wǎng)中擴(kuò)展出一個私有網(wǎng)絡(luò)。這 種 撥號連接的方式 價格 相當(dāng)?shù)?昂貴，一般 也只有大型公司和企業(yè)才能承擔(dān)得起 。 它主要由兩大部分組成：安全協(xié)議部分、密鑰協(xié)商部分。 IPSec 不是僅僅加密正在通信的那一部分通道 ，而是 加密所有的通道 。 如果想要從不同的地方 訪問公司內(nèi)部網(wǎng)絡(luò)，就要求客戶經(jīng)常修改配置，無形當(dāng)中支持的費用也提高了。這為 VPN 的進(jìn)一步普及化提供了足夠的保障。 IPSec 既可以只對 IP 數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時實施二者。 身份認(rèn)證模塊對 IP 數(shù)據(jù)包完成數(shù) 字簽名的運算。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 7 上海應(yīng)用技術(shù)學(xué)院 計算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 2 IPSec VPN系統(tǒng)的 實現(xiàn)過程及具體設(shè)計 IPSec 協(xié)議的實現(xiàn) IPsec 協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于 IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議 AH（ Authentication Header，認(rèn)證頭 ） 、 ESP（ Encapsulating Security Payload，封裝安全載荷）、 IKE（ Inter Key Exchange，因特網(wǎng)密鑰交換）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。同時使用 AH 和 ESP 時，設(shè)備支持的 AH 和 ESP 聯(lián)合使用的方式為：先對報文進(jìn)行 ESP封裝，再對報文進(jìn)行 AH 封裝，封裝之后的報文從內(nèi)到外依次是原始 IP 報文、 ESP 頭、AH 頭和外部 IP 頭。外網(wǎng)客戶端和 VPN 網(wǎng)關(guān)服務(wù)器的 eth0 端口連接 這個網(wǎng)關(guān)， VPN 網(wǎng)關(guān)服務(wù)器的 eth1接口和內(nèi)網(wǎng)搭載 web/ftp 的服務(wù)器連接 這個網(wǎng)關(guān)。 5. 能夠設(shè)定并隨時修改操作系統(tǒng)的操作環(huán)境，如：內(nèi)存、磁碟空間、周邊設(shè)備等等。而網(wǎng)關(guān)證書與認(rèn) 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 17 上海應(yīng)用技術(shù)學(xué)院 計算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 證私鑰，客戶端證書與私鑰放在 ca 下。Nginx 雖然 不支持 CGI 和 PHP 等動態(tài)語言，但支持 容錯和 負(fù)載均衡， 還可以結(jié)合 Apache使用，是 首選的 輕量級 HTTP 服務(wù)器。而 VPN 網(wǎng)關(guān)的左邊接口 eth1 和外網(wǎng)客戶端屬于同一個 VLAN ，并且有相同的網(wǎng)關(guān) 。配置完成之后，需要進(jìn)行調(diào)試，改進(jìn)。 二． Web 服務(wù)器、緩存和 PHP 加速 在 LAMP 架構(gòu) 中 最核心 的模塊無疑是 Apache 服務(wù)器 （ Web Server） ， 穩(wěn)定、 開源、模塊豐富是 Apache 的優(yōu)勢 所在 。 在該文件的最后一行輸入 用戶名 * 密碼 (*表示用戶可以使用任意的網(wǎng)段進(jìn)行撥號，例如 dream * “ 123456” )。 VMware虛擬機(jī)主要的功能 1. 不需要分區(qū)或重開機(jī)就能在同一臺 PC 上使用兩種以上的操作系統(tǒng)。 通過上述說明可以發(fā)現(xiàn)，在 VPN 網(wǎng)關(guān)對數(shù)據(jù)包進(jìn)行處理時，有兩個參數(shù)對于 VPN通訊十分重要： 原始數(shù)據(jù)包的目標(biāo)地址（ VPN 目標(biāo)地址）和遠(yuǎn)程 VPN 網(wǎng)關(guān)地址。常見的加密算法有 DES、 3DES、 AES等。當(dāng)安全網(wǎng)關(guān)接收到 IP 數(shù)據(jù)分組時，數(shù)據(jù)分組封裝 /分解模塊對 AH和 ESP 進(jìn)行協(xié)議分析，并根據(jù)包頭信息進(jìn)行身份驗證和數(shù)據(jù)解密。 密鑰管理模塊負(fù)責(zé)完成身份認(rèn)證和數(shù)據(jù)加密所需的密鑰生成和分配。 進(jìn)行 IPSec 處理意味著對 IP 數(shù)據(jù)包進(jìn)行加密和認(rèn)證。 IPSec/MPLS VPN 和 SSL VPN 陣營的技術(shù)各有特色，而且所面向的用戶群體有所不同。使用 IPSec VPN 時 ， 每個接入用戶都必須安裝 VPN客戶端 ，因此， 需要花費非常高的費用 。 就算 在終端系統(tǒng)上運行 IPSec， 基于 應(yīng)用程序的上層軟件 也不會受到任 何 影響。由于 IPSec 協(xié)議支持 多種不同的 操作模式，所以通信雙方 在建立 IPSec 通道之前必須要先確定所采用的 操作模式和 安全策略 ， 包括如加密運算法則和身份驗證方法類型等。 Abstract ....................................................................................................... 錯誤 !未定義書簽。它使計算機(jī)通過共享的或公共的網(wǎng)絡(luò)來發(fā)送和接收數(shù)據(jù) ,就好像它是直接連接到私有網(wǎng)絡(luò) ， 而且受益于私有網(wǎng)絡(luò)的功能性、安全性和管理政策。 近年來， Inter 的 高速 發(fā)展，推動了基于 因特網(wǎng) 的虛擬專用網(wǎng) （ VPN） 的發(fā)展， 讓不同 地區(qū) 企業(yè)的不同 部門之間 ，以及 政府 機(jī)構(gòu) 的不同部門之間 利用 公共網(wǎng)絡(luò)實現(xiàn) 網(wǎng)際 互聯(lián)成為可能， 同時 使企業(yè) 節(jié)約了大筆 的通信費用。 安全協(xié)議部分 提供了 各種 通信保護(hù)方式； 密鑰協(xié)商部分 用來保護(hù) 安全協(xié)議協(xié)商 的 參數(shù)，以及 鑒別 通信實體的身份。另外 安裝和配置在運程接入客戶端 的 IPSec 客戶端軟件和接入設(shè)備 限制了來自 接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則 的特定訪問 ， 能夠大大的提高 安全級別。在 部署 IPSec VPN 之 后，如果用戶 想要訪問他所需要的資源，就必須事先在他的電腦上安裝客戶端 。隨著 IPv6 網(wǎng)絡(luò)的主流 化進(jìn)程，將會產(chǎn)生更具統(tǒng)治力的 VPN 架構(gòu)， VPN 技術(shù)將向著 IP 協(xié)議這類基礎(chǔ)協(xié)議的形式發(fā)展。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證， IPSec 都有兩種工作模式，一種是隧道模式，另一種是傳輸模式。整個數(shù)字簽名的過程 ： 首先，發(fā)送方對數(shù)據(jù)進(jìn)行哈希運算 h＝ H(m)，然后 用通信密鑰 k 對 h 進(jìn)行加密得到簽名 Signature＝ { h} key。其中， AH 協(xié)議和 ESP 協(xié)議用于提供安全服務(wù)， IKE協(xié)議用于密鑰交換。 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 8 上海應(yīng)用技術(shù)學(xué)院 計算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 VPN 的實現(xiàn) 網(wǎng)關(guān)需要兩張網(wǎng)卡的支持，一張網(wǎng)卡連接內(nèi)部私有網(wǎng)絡(luò)，一張網(wǎng)卡連接Inter。由于客戶端和內(nèi)網(wǎng)服務(wù)器的 ip 屬于不同網(wǎng)段，并且他們之間并沒有設(shè)置路由條目，所以外網(wǎng)客戶端 是 無法訪問內(nèi)網(wǎng)的 web/ftp 服務(wù) 的 。 6. 熱遷移，高可用性。 現(xiàn)使用以下命令在 /root/ca/demoCA 下產(chǎn)生 ca 根證書 和其私鑰 和 crl 表 ： [rootlocalhost ] mkdri p /root/ca/demoCA/ [rootlocalhost ca] cd /root/ca/demoCA/ [rootlocalhost demoCA] openssl req x509 days 365 newkey rsa:1024 keyout out [rootlocalhost demoCA]openssl ca gencrl out [rootlocalhost demoCA] ls 然后在 /root/ca/ 下使用以下命令產(chǎn)生網(wǎng)關(guān)的認(rèn)證私鑰 和證書： [rootlocalhost demoCA] echo 01 /etc/pki/CA/crlnumber 然后在 /root/ca/ 下使用以下命令產(chǎn)生網(wǎng)關(guān)的認(rèn)證私鑰 和證書： [rootlocalhost ca] openssl req newkey rsa:1024 keyout out [rootlocalhost ca] ll total 16 drwxrxrx. 3 root root 4096 Apr 13 18:21 demoCA rwrr. 1 root root 981 Apr 13 18:27 rwrr. 1 root root 1041 Apr 13 18:26 rwrr. 1 root root 700 Apr 13 18:26 然后將 ca 證書與網(wǎng)關(guān)證書與私鑰放進(jìn)網(wǎng)關(guān)上的 openswan 的相依目錄下 ： [rootlocalhost ca] ll /etc/aacerts/ cacerts/ certs/ crls/ examples/ ocspcerts/ passwd/ policies/ private/ [rootlocalhost ca] cp demoCA/ /etc/[rootlocalhost ca] cp /etc/ [rootlocalhost ca] cp /etc/[rootlocalhost ca] ll /etc/rwrr. 1 root root 981 Apr 13 18:31 /etc/在網(wǎng)關(guān)的 /root/ca 下，用以下命令將 CA 證書 cacertpem 的格式轉(zhuǎn)化為 p12 文件： [rootlocalhost ca] openssl pkcs12 export in demoCA/ inkey demoCA/ out Enter pass phrase for demoCA/: Enter Export Password: Verifying Enter Export Password: [rootlocalhost ca] ll total 20 基于 IPSec 協(xié)議的 Linux VPN 網(wǎng)關(guān)平臺 18 上海應(yīng)用技術(shù)學(xué)院 計算機(jī)科學(xué)與信息工程學(xué)院 畢業(yè)論文 drwxrxrx. 3 root root 4096 Apr 13 18:21 demoCA rwrr. 1 root root 1677 Apr 13 18:47 rwrr. 1 root root 981 Apr 13 18:27 rwrr. 1 root root 1041 Apr 13 18:26 rwrr. 1 root root 700 Apr 13 18:26 以同樣方法為 window 客戶端生成證書與私鑰 ： [rootlocalhost ca] openssl req newkey rsa:1024 keyout out [rootlocalhost ca] openssl ca in days 365 out notext [rootlocalhost ca] openssl req newkey rsa:1024 keyout out [rootlocalhost ca] openssl ca in days 365 out notext openssl pkcs