【導(dǎo)讀】金融活動(dòng)越來(lái)越多地在計(jì)算機(jī)網(wǎng)絡(luò)上建立，網(wǎng)上證券交易、電子數(shù)據(jù)交換、電子貨幣，信。統(tǒng)也在迅速的發(fā)展壯大，金融業(yè)務(wù)的網(wǎng)絡(luò)化趨勢(shì)，已經(jīng)成為不可避免的發(fā)展方向。劃測(cè)試、外聯(lián)單位接入設(shè)計(jì)、網(wǎng)絡(luò)安全設(shè)計(jì)、網(wǎng)絡(luò)配置規(guī)劃設(shè)計(jì)等內(nèi)容。研究該課題有助于幫忙大家。網(wǎng)絡(luò)的安全性進(jìn)行深入的探討。理，同意按照此報(bào)告進(jìn)行畢業(yè)論文設(shè)計(jì)。內(nèi)容及工作安排等。介紹和分析了路由協(xié)議的工作原理，其中包括。OSPF、EIGRP路由的設(shè)計(jì)，對(duì)OSPF、EIGRP路由協(xié)議的AREA、AS、route-map、方案中對(duì)雙路由協(xié)議的雙向雙出口重分布的路由分發(fā)技術(shù)。做了技術(shù)評(píng)估和給出了合理的解決方案。由模式和透明模式進(jìn)行了分析，給金融網(wǎng)絡(luò)部署安全可靠的數(shù)據(jù)傳輸通道。規(guī)劃上著很大的區(qū)別，金融網(wǎng)更加注重實(shí)時(shí)性、可用性、安全性。

　　

【正文】 IP 級(jí)的通信進(jìn)行加密和認(rèn)證，正是這一點(diǎn)才使 IPSec 可以確保包括遠(yuǎn)程登錄、客戶(hù) /服務(wù)器、電子郵件、文件傳輸 及 Web訪(fǎng)問(wèn)在內(nèi)多種應(yīng)用程序的安全。 VPN 工作原理 IPSEC 提供三種不同的形式來(lái)保護(hù)通過(guò)公有或私有 IP 網(wǎng)絡(luò)來(lái)傳送的私有數(shù)據(jù)： 認(rèn)證 可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。 數(shù)據(jù)完整 保證數(shù)據(jù)從原發(fā)地到目的地的傳送過(guò)程中沒(méi)有任何不可檢測(cè)的數(shù)據(jù)丟失與改變。 機(jī)密性 使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無(wú)意獲取數(shù)據(jù)的接收者無(wú)法獲知數(shù)據(jù)的真正內(nèi)容。 在 IPSEC 由三個(gè)基本要素來(lái)提供以上三種保護(hù)形式：認(rèn)證協(xié)議頭（ AH）、安全加載封裝（ ESP）和互聯(lián)網(wǎng)密匙管理協(xié)議（ IKMP）。認(rèn)證協(xié)議頭和安全加載封裝可以通過(guò)分開(kāi)或組合使用來(lái)達(dá)到所希望的保護(hù)等級(jí)。 對(duì)于 VPN 來(lái)說(shuō)，認(rèn)證和加密都是必需的，因?yàn)橹挥须p重安全措施才能確保未第六章 全面認(rèn)識(shí) VPN 29 經(jīng)授權(quán)的用戶(hù)不能進(jìn)入 VPN，同時(shí)， Inter 上的竊聽(tīng)者無(wú)法讀取 VPN 上傳輸?shù)男畔ⅰ４蟛糠值膽?yīng)用實(shí)例中都采用了 ESP 而不是 AH。鑰匙交換功能允許手工或自動(dòng)交換密鑰。 當(dāng)前的 IPSec 支持?jǐn)?shù)據(jù)加密標(biāo)準(zhǔn)（ DES），但也可以使用其它多種加密算法。因?yàn)槿藗儗?duì) DES 的安全性有所懷疑，所以用戶(hù)會(huì)選擇使用 TripleDES（即三次DES 加密）。至于認(rèn)證技術(shù)，將會(huì)推出一個(gè)叫作 HMAC（ MAC 即信息認(rèn)證代碼Message Authentication Code）的新概念。 認(rèn)證協(xié)議頭（ AH）是在所有數(shù)據(jù)包頭加入一個(gè)密碼。正如整個(gè)名稱(chēng)所示， AH通過(guò)一個(gè)只有密匙持有人才知道的 quot。數(shù)字簽名 quot。來(lái)對(duì)用戶(hù)進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過(guò)特別的算法得出的獨(dú)特結(jié)果； AH 還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^(guò)程中無(wú)論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來(lái)。不過(guò)由于 AH 不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機(jī) 密性。兩個(gè)最普遍的 AH標(biāo)準(zhǔn)是 MD5 和 SHA1， MD5 使用最高到 128位的密匙，而 SHA1通過(guò)最高到 160 位密匙提供更強(qiáng)的保護(hù)。 安全加載封裝（ ESP）通過(guò)對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來(lái)嚴(yán)格保證傳輸信息的機(jī)密性，這樣可以避免其他用戶(hù)通過(guò)監(jiān)聽(tīng)來(lái)打開(kāi)信息交換的內(nèi)容，因?yàn)橹挥惺苄湃蔚挠脩?hù)擁有密匙打開(kāi)內(nèi)容。 ESP 也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。最主要的 ESP 標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)（ DES）， DES 最高支持 56 位的密匙，而 TripleDES 使用三套密匙加密，那就相當(dāng)于使用最高到 168 位的密匙。由于ESP 實(shí) 際上加密所有的數(shù)據(jù)，因而它比 AH 需要更多的處理時(shí)間，從而導(dǎo)致性能下降。 密匙管理包括密匙確定和密匙分發(fā)兩個(gè)方面，最多需要四個(gè)密匙： AH 和 ESP各兩個(gè)發(fā)送和接收密匙。密匙本身是一個(gè)二進(jìn)制字符串，通常用十六進(jìn)制表示，例如，一個(gè) 56 位的密匙可以表示為 5F39DA752E0C25B4。注意全部長(zhǎng)度總共是64 位，包括了 8 位的奇偶校驗(yàn)。 56 位的密匙（ DES）足夠滿(mǎn)足大多數(shù)商業(yè)應(yīng)用了。密匙管理包括手工和自動(dòng)兩種方式。 人工手動(dòng)管理方式是指管理員使用自己的密鑰及其它系統(tǒng)的密鑰手工設(shè)置每個(gè)系統(tǒng)。這種方法在小型網(wǎng)絡(luò)環(huán)境中使 用比較實(shí)際。手工管理系統(tǒng)在有限的安全需要可以工作得很好。使用手工管理系統(tǒng)，密匙由管理站點(diǎn)確定然后分發(fā)到所有的遠(yuǎn)程用戶(hù)。真實(shí)的密匙可以用隨機(jī)數(shù)字生成器或簡(jiǎn)單的任意拼湊計(jì)算出來(lái)，每一個(gè)密匙可以根據(jù)集團(tuán)的安全政策進(jìn)行修改。 自動(dòng)管理系統(tǒng)能滿(mǎn)足其他所有的應(yīng)用要求。使用自動(dòng)管理系統(tǒng)，可以動(dòng)態(tài)地確定和分發(fā)密匙，顯然和名稱(chēng)一樣，是自動(dòng)的。自動(dòng)管理系統(tǒng)具有一個(gè)中央控制點(diǎn)，集中的密匙管理者可以令自己更加安全，最大限度的發(fā)揮 IPSEC 的效用。 另一方面，自動(dòng)管理系統(tǒng)可以隨時(shí)建立新的 SA 密鑰，并可以對(duì)較大的分布式系統(tǒng)華南理工大學(xué)網(wǎng)絡(luò)教育學(xué)院畢業(yè)論文 (設(shè)計(jì)說(shuō)明書(shū) ) 30 上使用密鑰 進(jìn)行定期的更新。自動(dòng)管理模式是很有彈性的，但需要花費(fèi)更多的時(shí)間及精力去設(shè)置，同時(shí)，還需要使用更多的軟件。 IPSec 的自動(dòng)管理密鑰協(xié)議的默認(rèn)名字是 ISAKMP/Oakley?；ヂ?lián)網(wǎng)安全組織及密鑰管理協(xié)議（ Inter Security Association and Key Management Protocol ISAKMP）對(duì)互聯(lián)網(wǎng)密鑰管理的架構(gòu)以及特定的協(xié)議提供支持。 Oakley 密鑰使用的協(xié)議基于 DiffleHellman 算法，但它也提供額外的安全功能。特別是 Oakley包括認(rèn)證用戶(hù)的機(jī)制 。 IPSEC 的實(shí)現(xiàn)方式 IPSEC 的一個(gè)最基本的優(yōu)點(diǎn)是它可以在共享網(wǎng)絡(luò)訪(fǎng)問(wèn)設(shè)備，甚至是所有的主機(jī)和服務(wù)器上完全實(shí)現(xiàn)，這很大程度避免了升級(jí)任何網(wǎng)絡(luò)相關(guān)資源的需要。在客戶(hù)端， IPSEC 架構(gòu)允許使用在遠(yuǎn)程訪(fǎng)問(wèn)介入路由器或基于純軟件方式使用普通MODEM 的 PC 機(jī)和工作站。通過(guò)兩種模式在應(yīng)用上提供更多的彈性：傳送模式和隧道模式。 IPSEC Packet 可以在壓縮原始 IP 地址和數(shù)據(jù)的隧道模式使用 傳送模式通常當(dāng) ESP 在一臺(tái)主機(jī)（客戶(hù)機(jī)或服務(wù)勤）上實(shí)現(xiàn)時(shí)使用，傳送模式使用原始明文 IP 頭，并且只加密數(shù) 據(jù)，包括它的 TCP 和 UDP 頭。 隧道模式通常當(dāng) ESP 在關(guān)聯(lián)到多臺(tái)主機(jī)的網(wǎng)絡(luò)訪(fǎng)問(wèn)介入裝置實(shí)現(xiàn)時(shí)使用，隧道模式處理整個(gè) IP 數(shù)據(jù)包 包括全部 TCP/IP 或 UDP/IP 頭和數(shù)據(jù)，它用自己的地址做為源地址加入到新的 IP 頭。當(dāng)隧道模式用在用戶(hù)終端設(shè)置時(shí)，它可以提供更多的便利來(lái)隱藏內(nèi)部服務(wù)器主機(jī)和客戶(hù)機(jī)的地址。 ESP 支持傳輸模式，這種方式保護(hù)了高層協(xié)議。傳輸模式也保護(hù)了 IP 包的內(nèi)容，特別是用于兩個(gè)主機(jī)之間的端對(duì)端通訊（例如，客戶(hù)與服務(wù)器，或是兩臺(tái)工作站）。傳輸模式中的 ESP 加密及有時(shí)候會(huì)認(rèn)證 IP 包內(nèi)容，但不認(rèn) 證 IP 的包頭。這種配置對(duì)于裝有 IPSec 的小型網(wǎng)絡(luò)特別有用。 但是，要全面實(shí)施 VPN，使用隧道模式會(huì)更有效。 ESP 也支持隧道模式，保護(hù)了整個(gè) IP 包。為此， IP 包在添加了 ESP 字段后，整個(gè)包以及包的安全字段被認(rèn)為是新的 IP 包外層內(nèi)容，附有新的 IP 外層包頭。原來(lái)的（及內(nèi)層）包通過(guò) “隧道 ”從一個(gè) IP 網(wǎng)絡(luò)起點(diǎn)傳輸?shù)搅硪粋€(gè) IP 網(wǎng)點(diǎn)，中途的路由器可以檢查 IP 的內(nèi)層包頭。因?yàn)樵瓉?lái)的包已被打包，新的包可能有不同的源地址及目的地址，以達(dá)到安全的目的。 隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有 IPSec 的路由器或防火墻。使用了隧道模式，防火墻內(nèi)很多主機(jī)不需要安裝 IPSec 也能安全地通信。這些主機(jī)所生成的未加保護(hù)的網(wǎng)包，經(jīng)過(guò)外網(wǎng)，使用隧道模式的安全組織規(guī)定（即 SA，發(fā)送者與接收者之間的單向關(guān)系，定義裝在本地網(wǎng)絡(luò)邊緣的安全第六章 全面認(rèn)識(shí) VPN 31 路由器或防火墻中的 IPSec 軟件 IP 交換所規(guī)定的參數(shù)）傳輸。 以下是隧道模式的 IPSec 運(yùn)作的例子。某網(wǎng)絡(luò)的主機(jī)甲生成一個(gè) IP 包，目的地址是另一個(gè)網(wǎng)中的主機(jī)乙。這個(gè)包從起始主機(jī)被發(fā)送到主機(jī)甲的網(wǎng)絡(luò)邊緣的安全路由器或防火墻。防火墻把所有出去的包過(guò)濾，看看有哪些包需要進(jìn)行 IPSec的處理。如果這個(gè) 從甲到乙的包需要使用 IPSec，防火墻就進(jìn)行 IPSec 的處理，并把網(wǎng)包打包，添加外層 IP 包頭。 這個(gè)外層包頭的源地址是防火墻，而目的地址可能是主機(jī)乙的網(wǎng)絡(luò)邊緣的防火墻。現(xiàn)在這個(gè)包被傳送到主機(jī)乙的防火墻，中途的路由器只檢查外層的 IP 包頭。主機(jī)乙網(wǎng)絡(luò)的防火墻會(huì)把外層 IP 包頭除掉，把 IP 內(nèi)層發(fā)送到主機(jī)乙去。 及 VPN 由于企業(yè)及政府用戶(hù)需要把它們的專(zhuān)用 WAN/LAN 架構(gòu)與互聯(lián)網(wǎng)連接，以便訪(fǎng)問(wèn)互聯(lián)網(wǎng)的服務(wù)，所以他們非常熱衷于部署安全的 IP。用戶(hù)需要把它們的網(wǎng)絡(luò)與互聯(lián)網(wǎng)分隔，但同時(shí)要在網(wǎng)上 發(fā)送及接受網(wǎng)包安全的 IP 就可以提供網(wǎng)上的認(rèn)證及隱私機(jī)制。 因?yàn)?IP 安全機(jī)制是獨(dú)立定義，其用途與現(xiàn)在的 IP 或 IPv6 不同， IP 安全機(jī)制不需要依靠 IPv6 部署。我們可以看到安全 IP 的功能會(huì)首先被廣泛使用，它會(huì)比IPv6 先流行起來(lái)，因?yàn)閷?duì) IP 層的安全需求遠(yuǎn)比增加 IPv6 功能的需求多許多。 有了 IPSec，管理人員就有了實(shí)施 VPN 的安全標(biāo)準(zhǔn)。此外，所有在 IPSec 中使用的加密及認(rèn)證算法已經(jīng)過(guò)仔細(xì)的研究和幾年的驗(yàn)證，所以用戶(hù)大可放心地將安全問(wèn)題交付給 IPSec。 華南理工大學(xué)網(wǎng)絡(luò)教育學(xué)院畢業(yè)論文 (設(shè)計(jì)說(shuō)明書(shū) ) 32 第七章 VPN 各協(xié)議介紹 以 OSI 模型參照標(biāo)準(zhǔn)，不同的 VPN 技術(shù)可以在不同的 OSI 協(xié)議層實(shí)現(xiàn)。 如下表： VPN 在 OSI 中的層次 VPN 實(shí)現(xiàn)技術(shù) 數(shù)據(jù)鏈路層 PPTP 及 L2TP 網(wǎng)絡(luò)層 IPSEC 會(huì)話(huà)層 Socket5 應(yīng)用層 SSL L2TP：第二層隧道協(xié)議 （ L2TP: Layer 2 Tunneling Protocol） 第二層隧道協(xié)議（ L2TP）是用來(lái)整合多協(xié)議撥號(hào)服 務(wù)至現(xiàn)有的因特網(wǎng)服務(wù)提供商點(diǎn)。 PPP 定義了多協(xié)議跨越第二層點(diǎn)對(duì)點(diǎn)鏈接的一個(gè)封裝機(jī)制。特別地，用戶(hù)通過(guò)使用眾多技術(shù)之一（如：撥號(hào) POTS、 ISDN、 ADSL 等）獲得第二層連接到網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)器（ NAS），然后在此連接上運(yùn)行 PPP 。在這樣的配置中，第二層終端點(diǎn)和 PPP 會(huì)話(huà)終點(diǎn)處于相同的物理設(shè)備中（如： NAS）。 L2TP 擴(kuò)展了 PPP 模型，允許第二層和 PPP 終點(diǎn)處于不同的由包交換網(wǎng)絡(luò)相互連接的設(shè)備來(lái)。通過(guò) L2TP ，用戶(hù)在第二層連接到一個(gè)訪(fǎng)問(wèn)集中器（如：調(diào)制解調(diào)器池、 ADSL DSLAM 等），然后這個(gè)集中器將單獨(dú)得的 PPP 幀隧道到 NAS 。這樣，可以把 PPP 包的實(shí)際處理過(guò)程與 L2 連接的終點(diǎn)分離開(kāi)來(lái)。 對(duì)于這樣的分離，其明顯的一個(gè)好處是， L2 連接可以在一個(gè)（本地）電路集中器上終止，然后通過(guò)共享網(wǎng)絡(luò)如幀中繼電路或英特網(wǎng)擴(kuò)展邏輯 PPP 會(huì)話(huà)，而不用在 NAS 上終止。從用戶(hù)角度看，直接在 NAS 上終止 L2 連接與使用 L2TP 沒(méi)有什么功能上的區(qū)別。 L2TP 協(xié)議也用來(lái)解決 “多連接聯(lián)選組分離 ”問(wèn)題。多鏈接 PPP ，一般用來(lái)集中 ISDN B 通道，需要構(gòu)成多鏈接捆綁的所有通道在一個(gè)單網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)器（ NAS）上組合。因?yàn)? L2TP 使得 PPP 會(huì)話(huà)可以出現(xiàn)在接收會(huì)話(huà)的物理點(diǎn)之外的位置，它用來(lái)使所有的通道出現(xiàn)在單個(gè)的 NAS 上，并允許多鏈接操作，即使是在物理呼叫分散在不同物理位置的 NAS 上的情況下。 L2TP 使用以下兩種信息類(lèi)型，即控制信息和數(shù)據(jù)信息。控制信息用于隧道和呼叫的建立、維持和清除。數(shù)據(jù)信息用于封裝隧道所攜帶的 PPP 幀?？刂菩诺谄哒? VPN各協(xié)議介紹 33 息利用 L2TP 中的一個(gè)可靠控制通道來(lái)確保發(fā)送。當(dāng)發(fā)生包丟失時(shí)，不轉(zhuǎn)發(fā)數(shù)據(jù)信息 。 T ― T 位表示信息類(lèi)型。若是數(shù)據(jù)信息，該值為 0；若是控制信息，該值為 1。 L ― 當(dāng)設(shè)置該字段時(shí)，說(shuō)明 Length 字段存在，表示接收數(shù)據(jù)包的總長(zhǎng)。對(duì)于控制信息，必須設(shè)置該值。 X ― X 位為將來(lái)擴(kuò)張預(yù)留使用。在導(dǎo)出信息中所有預(yù)留位被設(shè)置為 0，導(dǎo)入信息中該值忽略。 S ― 如果設(shè)置 S 位，那么 Nr 字段和 Ns 字段都存在。對(duì)于控制信息， S 位必須設(shè)置。 O ― 當(dāng)設(shè)置該字段時(shí)，表示在有效負(fù)載信息中存在 Offset Size 字段。對(duì)于控制信息，該字段值設(shè)為 0。 P － 如果 Priority （ P）位值為 1，表示該數(shù)據(jù)信息在其本地排隊(duì)和傳輸中將會(huì)得到優(yōu)先處理。 Ver ― Ver 位的值總為 002。它表示一個(gè)版本 1 L2TP 信息。 Length ― 信息總長(zhǎng)，包括頭、信息類(lèi)型 AVP 以及另外的與特定控制信息類(lèi)型相關(guān)的 AVPs。 Tunnel ID ― 識(shí)別控制信息應(yīng)用的 Tunnel。如果對(duì)等結(jié)構(gòu)還沒(méi)有接收到分配的 Tunnel ID，那么 Tunnel ID 必須設(shè)置為 0。一旦接收到分配的 Tunnel ID，所有更遠(yuǎn)的數(shù)據(jù)包必須和 Tunnel ID 一起被發(fā)送。 Call ID ― 識(shí)別控制信息應(yīng)用的 Tunnel 中的用戶(hù)會(huì)話(huà)。如果控制信息在 Tunnel 中不應(yīng)用單用戶(hù)會(huì)話(huà)（例如，一個(gè) StopControlConnectionNotification 信息 )， Call ID 必須設(shè)置為 0。 Nr ― 期望在下一個(gè)控制信息中接收到的序列號(hào)。 Ns ― 數(shù)據(jù)或控制信息的序列號(hào)。 Offset Size amp。 Pad ― 該字段規(guī)定通過(guò) L2F 協(xié)議頭的字節(jié)數(shù)，協(xié)議頭是有效負(fù)載數(shù)據(jù)起始位置。 Offset Padding 中的實(shí)際數(shù)據(jù)并沒(méi)有定義。如果 Offset 字段當(dāng)前存在，那么 L2TP 頭 Offset Padding 的最后八