【文章內容簡介】 ，選擇加密算法： 3DES或 DES 在上述三方面達成一致后，將建立起兩個 SA，分別用于入站和出站通信。 2．會話密鑰 材料 刷新或交換 在這一步中，將生成加密 IP數據包的 會話密鑰 。生成 會話密鑰 所使用的 材料 可以和生成第一階段 SA中 主密鑰 的相 同，也可以不同。如果不做特殊要求，只需要刷新 材料 后，生成新密鑰即可。若要求使用不同的 材料 ，則在密鑰生成之前，首先進行第二輪的 DH交換。 3． SA和密鑰連同 SPI，遞交給 IPSec驅動程序。 第二階段協商過程與第一階段協商過程類似，不同之處在于：在第二階段中，如果響應超時，則自動嘗試重新進行第一階段 SA協商。 第一階段 SA建立起安全通信信道后保存在高速緩存中，在此基礎上可以建立多個第二階段 SA協商，從而提高整個建立 SA過程的速度。只要第一階段 SA不超時，就不必重復第一階段的協商和認證。允許建立的第二階 段 SA的個數由 IPSec策略屬性決定。 (Inter密鑰交換 ) Inter密鑰交換協議 (IKE)是用于交換和管理在 vpn中使用的加密密鑰的， IKE屬于一種混合型協議，由 Inter安全關聯和密鑰管理協議（ ISAKMP）和兩種密鑰交換協議 OAKLEY與 SKEME組成。 IKE創(chuàng)建在由 ISAKMP定義的框架上，沿用了 OAKLEY的密鑰交換模式以及 SKEME的共享和密鑰更新技術，還定義了它自己的兩種密鑰交換方式：主要模式和積極模式。 IPSEC的兩種模式 傳送模式 傳送模式加密的部份較少，沒有額外的 IP報頭，工作效率相對更好，但安全性相對于隧道模式會有所降低。 傳送模式下，源主機和目的地主機必須直接執(zhí)行所有密碼操作。加密數 7 據是通過使用 L2TP（第二層隧道協議）而生成的單一隧道來發(fā)送的。數據（密碼文件）則是由源主機生成并由目的地主機檢索的。 傳送模式可表示為： | IP頭 | IPsec頭 | TCP頭 | 數據 |,如圖 21 所示。 圖 21 傳送模式圖 通道模式 通道模式可以在兩個 Security Gateway間建立一個安全 隧道 ，經由這兩個 Gateway Proxy的傳送均在這個通道中進行。通道模式下的 IPSec報文要進行分段和重組操作，并且可能要再經過多個安全網關才能到達安全網關后面的目的主機。 通道模式下，除了源主機和目的地主機之外，特殊的網關也將執(zhí)行密碼操作。在這種模式里，許多隧道在網關之間是以系列的形式生成的，從而可以實現網關對網關 安全。 通道模式可表示為： | 新 IP頭 | IPsec頭 | IP頭 | TCP頭 | 數據 |，如圖 22所示。 8 圖 22 通道模式圖 9 第 3 章 VPN技術基礎 VPN的概念與安全性 VPN的英文全稱是 “Virtual Private Network”，翻譯過來就是 “虛擬專用網絡 ”。顧名思義， 虛擬專用網絡 我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的 通訊協議 在連接在 Inter上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一 條專線一樣，但是它并不需要真正的去鋪設 光纜 之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。 VPN技術 原是路由器具有的重要技術之一，目前在 交換機 ， 防火墻 設備或 WINDOWS2020 等軟件里也都支持 VPN功能，一句話， VPN的核心就是在利用 公共網 絡建立虛擬私有網。 針對不同的用戶要求， VPN有三種解決方案： 遠程訪問 虛擬網 （ Access VPN）、企業(yè)內部 虛擬網 （ Intra VPN）和企業(yè)擴展 虛擬網 （ Extra VPN），這三種類型的 VPN分別與傳統的 遠程訪問 網絡、企業(yè)內部的 Intra以及 企業(yè)網 和相關合作伙伴的 企業(yè)網 所構成的 Extra（ 外部擴展 ）相對應。 VPN網關是實現 局域網 （ LAN）到 局域網 連接的設備。從字面上我們就能夠知道它可以實現兩大功能： VPN和網關。廣義上講，支持 VPN（ 虛擬專用網 ）的路由器和 防火墻 等設備都可以算作 VPN網關 。目前常見的 VPN網關 產品可以包括單純的 VPN網關、 VPN路由器、 VPN防火墻 、 VPN服務器等產品。 典型的 VPN網關產品應該具有以下性能： 它應集成 包過濾防火墻 和 應用代理防火墻的功能。 企業(yè)級 VPN產品是從防火墻產品發(fā)展而來，防火墻的功能特性己經成為它的基本功能集中的一部分。如果是一個獨立的產品， VPN與防火墻的 協同工作 會遇到很多難以解決的問題，有可能不同廠家的防火墻和VPN不能 協同工作 ，防火墻的 安全策略 無法制定（這是由于 VPN把 IP數據包加密封裝的緣故）或者帶來性能的損失，如防火墻無法使用 NAT功能等等。而如果采用功能整合的產品，則上述問題不存在或很容易解決 ， VPN應有一個開放的架構。 VPN部署在企業(yè)接入 因特網 的路由器之后，或者它本身就具有路由器的功能，因此，它己經成為保護企業(yè)內部資產安全最重要的門戶。阻止黑客入侵、檢查病毒、 身份認證 與權限檢查等很多安全功能需要 VPN完成或在同 VPN 10 與相關產品協同完成。因此， VPN必須按照一個開放的標準，提供與第三方安全產品 協同工作 的能力 ， 有完善的認證管理。 一個 VPN系統應支持標準的認證方式，如 RADIUS(Remote Authentication Dial In User Service，遠程認證 撥號用戶 服務 )認證、基于 PKI（ Public Key Infrastructure， 公鑰基礎設施 ）的證書認證以及逐漸興起的 生物識別技術 等等。對于一個大規(guī)模的 VPN系統， PKI／ KMI的 密鑰管理中心 ，提供實體（人員、設備、應用）信息的 LDAP目錄 服務及采用標準的強認證技術（ 令牌 、 IC卡 ）是一個 VPN系統成功實施和正常運行必不可少的條件 ， VPN應提供第三方產品的接口。 當用 戶部 署了客戶到 LAN的 VPN方案時， VPN產品應提供標準的特性或公開 的 API（ 應用程序編程接口 ），可以從公司數據庫中直接輸入用戶信息。否則，對于一個有數千甚至上萬的 SOHO人員和 移動辦公 人員的企業(yè)來說，單獨地創(chuàng)建和管理用戶的權限是不可想像的。 VPN網關應擁有 IP過濾語言，并可以根據數據包的性質進行 包過濾 。 數據包的性質有目標和源 IP地址、協議類型、源和目的 TCP/UDP端口、 TCP包的 ACK位、出棧和入棧 網絡接口 等 VPN主要采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。 VPN的類型 RemoteAccessVPN(遠程訪問虛擬專用網 ) Access VPN是通過一個擁有與專用網絡相同策略的共享基礎設施，提供對企業(yè)內部網或外部網的遠程訪問，使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。 它包括模擬、撥號、 ISDN、數字用戶線路 (XDSL)、移動 IP和電纜技術，可以安全地連接移動用戶、遠程工作者或分支機構。它適合于內部有人員移動或遠程辦公需要的企業(yè)。 IntraVPN(企業(yè)內部虛擬專用網 ) 如果要進行企業(yè)內部各分支機構的互聯，使用 IntraVPN是很好的方式。越來越多的企業(yè)需 要在全國乃至世界范圍內建立各種辦事機構、分公司、研究所等，各個分公司之間傳統的網絡連接方式一般是租用專線。顯然，在分 11 公司增多、業(yè)務開展越來越廣泛時，網絡結構趨于復雜，費用昂貴。利用 VPN特性可以在 Inter上組建世界范圍內的 IntraVPN。利用 Inter的線路保證網絡的互聯性，而利用隧道、加密等 VPN特性可以保證信息在整個 IntraVPN上安全傳輸。 IntraVPN通過一個使用專用連接的共享基礎設施，連接企業(yè)總部、遠程辦事處和分支機構。企業(yè)擁有與專用網絡的相同政策，包括安全、服務質量 (QoS)、可管理性和可靠性。 ExtraVPN(外連虛擬專用網 ) 如果是提供 B2B之間的安全訪問服務，則可以考慮 ExtraVPN。隨著信息時代的到來，各個企業(yè)越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務，通過各種方式了解客戶的需要，同時各個企業(yè)之間的合作關系也越來越多，信息交換日益頻繁。 Inter為這樣的一種發(fā)展趨勢提供了良好的基礎，而如何利用 Inter進行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個關鍵問題。利用 VPN技術可以組建安全的 Extra，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身的內部網絡的安全。ExtraVPN通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內部網。企業(yè)擁有與專用網絡的相同政策，包括安全、服務質量 (QoS)、可管理性和可靠性。 12 第 4 章 基于 IPSEC的 VPN設計與實現 各組件的設計要求 IPSec基本協議與目標 IPSec 基于端對端的安全模式，在源 IP 和目標 IP 地址之間建立信任和安全性?？紤]認為 IP 地址本身沒有必要具有標識，但 IP 地址后面的系統必須有一個通過身份驗證程序驗證過的標識。只有發(fā)送和接收的計算機需要知道通訊是安全的。每臺計算機都假定進行通訊的媒體不安全，因此在各自的終端上實施安全設置。除非兩臺計算機之間正在進行防火墻類型的數據包篩選或網絡地址轉換，否則僅從源向目標路由數據的計算機不要求支持 IPSec。該模式允許為下列企業(yè)方案成功部署 IPSec：局域網 (LAN)：客戶端 /服務器和對等網絡； 廣域網 (WAN)：路由器到路由器和網關到網關 ；遠程訪問：撥號客戶機和從專用網絡訪問 Inter。 通常，兩端都需 要 IPSec 配置（稱為 IPSec 策略）來設置選項與安全設置，以允許兩個系統對如何保護它們之間的通訊達成協議。 Microsoftamp。reg。 Windowsamp。reg。 20 Windows XP 和 Windows Server 2020 家族實施 IPSec 是基于“ Inter 工程任務組 (IETF)” IPSec 工作組開發(fā)的業(yè)界標準。 IPSec 相關服務部分是由 Microsoft 與 Cisco Systems, Inc. 共同開發(fā)的。 IPSec 協議不是一個單獨的協議，它給出了應用 于 IP層上網絡數據安全的一整套體系結構，包括網絡認證協議 Authentication Header（ AH）、封裝安全載荷協議 Encapsulating Security Payload（ ESP）、密鑰管理協議 Inter Key Exchange （ IKE）和用于網絡認證及加密的一些算法等。 IPSEC VPN的實現 A某企業(yè)網絡背景分析 首先為大家介紹企業(yè)的背景，某一外資企業(yè)在中國有三個分公司，分別坐落于上海、北京和深圳。但是由于企業(yè)信息的安全需求，我們要求與分公司之間建立不同的 安全通道。其中，總部與深圳分部之間的互相通信只需要互相驗證并保持數據的完整性就可以了；而與北京分部之間的互相通信要求 13 能夠數據加密而且具有一般的驗證功能，并且能提供數據的完整性驗證；由于上海分部在中國充當了總代理的角色，傳輸的數據都是機密的性文件，所以要求總公司和上海分部之間能夠建立嚴格的驗證功能，并能對數據進行加密和完整性驗證。（注意：每多一項功能，安全性就會升一級。但是，鏈路的開銷必然會增大。如何將各個功能 配置使用，需要根據企業(yè)需求和網絡帶寬而定） 以下為拓撲圖，如圖 41 所示。 圖 41 VPN拓撲 圖 A企業(yè)對網絡的新需求 通過 IPSec VPN技術實現公司總部和各個分部之間不同的安全通信，要求和上海分部之間建立嚴格的驗證功能，并能對數據進行加密和完整性驗證 .總部與分部之間通過兩 臺路由互聯并運行 OSPF多區(qū)域路由協議 , Inter，總部和分部并不知道 Inter的具體連 接情況，需要配置默認路由連接到公網之上 . 實施步驟 1． 置模擬公網的具體網絡參數（ R2 和 R3 之間的級聯） (1) 首先，在 R2 上配置各個端口的 IP地址，并啟用 OSPF協議，進程號為 14 200，將直連的網 絡宣 告到對應的區(qū)域里（注意：是兩個區(qū)域， R2 和 R3 之間的區(qū)域為骨干區(qū)域 area 0，端口 Ether0/1 所對應的區(qū)域為 area 1，具體可參考網絡拓撲圖） 如圖 42 所示。 圖 42 配置模擬公網的具體網絡參數 (2) 其次，在 R3 上配置各個端口的 IP地址，并啟用 OSPF協議，進程號為300，將直連的網絡宣告到對應的區(qū)域里（注意：是四個區(qū)域， R2 與 R3 之間的區(qū)域為骨干區(qū)域，其它區(qū)域為 area 2 ， area 3 和 area 4。具體可參考網絡拓撲圖） 如圖 43 所示。 圖 43 配置模擬公網的具體 網絡參數 (3) 公網模擬好之后，使用 show ip route命令在 R2 或者 R3 上查看是否學 15 習到不同區(qū)域之間的路由條目，不同區(qū)域之間的路由條目表示為 “O IA *****” 如圖 44 所示。