【導(dǎo)讀】供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。IPSec有兩個(gè)基本目標(biāo)：1）保護(hù)IP數(shù)據(jù)包安全；2）為抵御。網(wǎng)絡(luò)攻擊提供防護(hù)措施。有力且靈活的保護(hù)，而且還能用來(lái)篩選特定數(shù)據(jù)流。企業(yè)網(wǎng)拓?fù)浣Y(jié)構(gòu)和ipsec的基本配置和具體應(yīng)用。多功能和全功能的VPN網(wǎng)關(guān)··································2. 更豐富的網(wǎng)絡(luò)功能、更高的產(chǎn)品性能························2. 移動(dòng)客戶端安裝配置簡(jiǎn)化同時(shí)強(qiáng)化身份認(rèn)證功能······3. 標(biāo)準(zhǔn)化仍然是主流···············································3

　　

【正文】 中的應(yīng)用 15 圖 47IP 篩選器列表選項(xiàng) IP 篩選器列表定義名稱為“協(xié)商 ICMP” ,如圖 48 所示。點(diǎn)擊“添加”按鈕，定義新篩選器的屬性。 圖 48IP 篩選器列表 ，單擊“下一步”。在本實(shí)驗(yàn)中，篩選器的源 IP 是“我的IP” ,目的 IP 是“任何 IP”，協(xié)議類型是“ ICMP”，如圖 49 所示。單擊“確定”回到 IP 篩選器列表選項(xiàng)界面。ipsec 在企業(yè)網(wǎng)中的應(yīng)用 16 圖 49IP 篩選器列表 “協(xié)商 ICMP”，如圖 410 所示，然后點(diǎn)擊“下一步”，進(jìn)入篩選器操作的相關(guān)設(shè)置界面。 圖 410IP 篩選器列表選項(xiàng) ，如圖 411 所示，但不符合我們的要求。因此，單擊“添加”按鈕進(jìn)入篩選器操作的設(shè)置界面。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 17 圖 411 篩選器操作選項(xiàng) ，單擊“下一步”，設(shè)置篩選器操作的名稱，如圖 412 所示 。 圖 412 篩選器操作名稱 。其中，可以選擇 許可 、 阻止 對(duì)符合 IP 篩選器 的數(shù)據(jù)流進(jìn)行過(guò)濾。這可以簡(jiǎn)單的實(shí)現(xiàn)一個(gè)普通防火墻 的功能。除此之外，如果選擇 協(xié)商 安全 還可以對(duì)允許的通信進(jìn)行 進(jìn)一步的 安全 設(shè)置。 單擊“下一步”，打開界面圖 414。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 18 圖 413 篩選器操作 ，與之要求通信的其他主機(jī)必須支持 IPSEC，因此，我們選擇“不和不支持 IPSEC 的計(jì)算機(jī)通信”，單擊下一步，打開 IP 通信安全設(shè)施設(shè)置界面，如圖 415 所示。 圖 414IPSEC 操作設(shè)置 ，進(jìn)行具體設(shè)置，如圖 415 所示。單擊“確定”，完成操作設(shè)置并回到選擇操作界面，如圖 416 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 19 圖 415 自定義安全措施設(shè)置 “協(xié)商 ICMP”操作，如圖 416，單擊“下一步”完成操作器的操作，回到選擇過(guò)濾器界面，如圖 417 所示。 圖 416 篩選器操作選擇界面 IP 安全規(guī)則前面的對(duì)勾去掉，選擇我們添加的“協(xié)商 ICMP”，如圖 417 所示，單擊“應(yīng)用”使得選擇生效，至此，篩選器的規(guī)則和操作設(shè)置完畢。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 20 圖 417IP 安全規(guī)則選擇界面 ，必須指派策略，否則策略不會(huì)自動(dòng)生效。點(diǎn)擊“安全服務(wù)器”右鍵，選擇“指派”，如圖 418 所示。 圖 418 指派策略 至此，主機(jī) pc1 的 IPSEC 配置已經(jīng)完成。按照同樣的步驟設(shè)置主機(jī) pc2 的IPSEC 虛擬專用隧道。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 21 IPSECVPN 基本應(yīng)用 【實(shí)驗(yàn)拓?fù)洹? 圖 41 實(shí)驗(yàn)拓?fù)鋱D 說(shuō)明：防火墻 fw fw2 分別作為連個(gè)局域網(wǎng)內(nèi)網(wǎng) 內(nèi)網(wǎng) 2 的網(wǎng)關(guān)，且具有 VPN 功能；內(nèi)網(wǎng) 1 和內(nèi)網(wǎng) 2 中的主機(jī)可以相互通信；在兩臺(tái)網(wǎng)關(guān)連接的線路上有一臺(tái)集線器，其連接的 pc3 用來(lái)分析 IPSEC 的協(xié)商過(guò)程，并捕獲 pc1 和 pc2通過(guò)虛擬專用網(wǎng)隧道傳輸?shù)臄?shù)據(jù)包加密后的 ESP/AH 報(bào)文。 【實(shí)驗(yàn)步驟】 防火墻 fw1 的配 置 網(wǎng)絡(luò)，配置接口地址，如圖 42 所示。 圖 42fw1 接口地址 進(jìn)入防火墻 地址，建立內(nèi)網(wǎng) 1 地址對(duì)象，如圖 43 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 22 圖 43 地址對(duì)象 IPSEC自動(dòng)交換密鑰（ IKE） 創(chuàng)建階段 1，建立IPSECVPN 第一個(gè)階段，如圖 44 所示。本階段主要是建立通道名稱，通道兩端接口或地址及虛擬通道的協(xié)商方式，這里采用“預(yù)共享密鑰”，密鑰為 123456.協(xié)商參數(shù)兩端需保持一致。 圖 44VPN 階段 1 IPSEC自動(dòng)交換密鑰（ IKE） 創(chuàng)建階段 2， 建立IPSECVPN 第二個(gè)階段，如圖 45 所示。本階段主要設(shè)置雙方交互數(shù)據(jù)方案，如加密算法、認(rèn)證算法、密鑰強(qiáng)度（這些參數(shù)雙方要設(shè)置一致）及兩個(gè)通信局域網(wǎng)的網(wǎng)絡(luò)地址。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 23 圖 45VPN 階段 2 靜態(tài) 靜態(tài)路由 新建，添加一條到 VPN 網(wǎng)關(guān)的缺省路由，如圖 46 所示。接口為外網(wǎng)口 internal，網(wǎng)關(guān)為 internal 接口地址。 圖 46 添加缺省路由 策略，建立策略，如圖 47 所示。模式選擇 IPSEC， VPN 通道選擇剛才建立的 test，允許數(shù)據(jù)流入和流出 VPN 通道。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 24 圖 47 新建輸出策略 IPSEC動(dòng)態(tài) VPN 監(jiān)視器，單擊隧道后面的開通隧道圖標(biāo) ，開啟后圖標(biāo)變成綠色 ，由于 fw2 還沒(méi)有開啟隧道，可能單擊后仍是紅色。如圖 48 所示。 圖 48 動(dòng)態(tài) VPN 監(jiān)視器 防火墻 fw2 的配置 網(wǎng)絡(luò)，配置接口地址，如圖 49 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 25 圖 49fw2 接口地址 地址，建立內(nèi)網(wǎng) 2 地址對(duì)象，如圖 410 所示。 圖 410 地址對(duì)象 IPSEC自動(dòng)交換密鑰（ IKE） 創(chuàng)建階段 1，建立IPSECVPN 第一個(gè)階段 ，如圖 411 所示。本階段主要是建立通道名稱，通道兩端接口或地址及虛擬通道的協(xié)商方式，這里采用“預(yù)共享密鑰”，密鑰為 123456.協(xié)商參數(shù)與 fw1 保持一致。 圖 411VPN 階段 1 IPSEC自動(dòng)交換密鑰（ IKE） 創(chuàng)建階段 2，建立IPSECVPN 第二個(gè)階段，如圖 412 所示。本階段主要設(shè)置雙方交互數(shù)據(jù)方案，如加密算法、認(rèn)證算法、密鑰強(qiáng)度（這些參數(shù)雙方要設(shè)置一致）及兩個(gè)通信局域網(wǎng)的網(wǎng)絡(luò)地址。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 26 圖 412VPN 階段 2 靜態(tài) 靜態(tài)路由 新建，添加一條到 VPN 網(wǎng)關(guān)的缺省路 由，如圖 413 所示。接口為外網(wǎng)口 internal，網(wǎng)關(guān)為 internal 接口地址。 圖 413 靜態(tài)路由 策略，建立策略，如圖 414 所示。模式選擇 IPSEC， VPN通道選擇剛才建立的 test，允許數(shù)據(jù)流入和流出 VPN 通道。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 27 圖 414 防火墻策略 IPSEC動(dòng)態(tài) VPN 監(jiān)視器，單擊隧道后面的開通隧道圖標(biāo) ，如圖 415 所示。 圖 415 動(dòng)態(tài) VPN 監(jiān)視器 至此，兩端 VPN 網(wǎng)關(guān)配置成功，隧道已經(jīng)開啟。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 28 實(shí)驗(yàn)測(cè)試 ，連接主機(jī)并配置主 機(jī)地址。 ,測(cè)試連通性，如圖 416 所示，正常。由于是實(shí)驗(yàn)室環(huán)境，不能充分體現(xiàn)“使用私有地址通過(guò)公網(wǎng)環(huán)境訪問(wèn)目的主機(jī)”這一特性。 圖 416ping 測(cè)試 pc1 長(zhǎng) pingpc2 的過(guò)程中，在監(jiān)聽主機(jī) pc3 上，使用 ethereal 抓包工具捕獲pc1 和 pc2 之間的通信數(shù)據(jù)，如圖 417 所示。數(shù)據(jù)包被重新封裝，包頭地址不是 和 ，而是 vpn 網(wǎng)關(guān)地址 和 ；ICMP 協(xié)議也被 ESP 安全協(xié)議重新封裝在里面，數(shù) 據(jù)也是加密的。由此可見(jiàn)，VPN 隧道傳輸數(shù)據(jù)的安全性。 圖 417 數(shù)據(jù)包分析 抓圖中，在雙方主機(jī)通信之前，有四個(gè) ISAKMP 數(shù)據(jù)包，是雙方網(wǎng)關(guān)協(xié)商安全參數(shù)的數(shù)據(jù)包，協(xié)商成功后才開啟加密隧道，進(jìn)行兩個(gè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸。 實(shí)驗(yàn)測(cè)試完成。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 29 思考：在隧道模式下，兩個(gè)局域網(wǎng)中主機(jī)通信，哪個(gè)階段是加密傳輸，哪個(gè)階段是明文傳輸？ 實(shí)驗(yàn)總結(jié) 通過(guò)配置 VPN 通道，遠(yuǎn)程的兩個(gè)局域網(wǎng)之間可以進(jìn)行加密傳輸數(shù)據(jù)，并像是在本地一樣使用雙方的局域網(wǎng)地址進(jìn)行訪問(wèn)。ipsec 在企業(yè)網(wǎng)中的應(yīng)用 30 結(jié)束語(yǔ) IPSec 融合了所有最常用的安全服務(wù)，其中包括驗(yàn)證、完整 性、保密性、加密和認(rèn)可。然而， IPSec 的主要缺陷就是其復(fù)雜性以及其相關(guān)文檔的混亂性質(zhì)。盡管有這么多缺陷，許多人都相信， IPSec 將成為最好的可用安全系統(tǒng)之一。人們希望， IPSec 將來(lái)再版時(shí)，能夠出現(xiàn)更多的改進(jìn)，現(xiàn)在發(fā)現(xiàn)的體系結(jié)構(gòu)所存在的問(wèn)題能夠得到解決。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 31 致 謝 感謝我的輔導(dǎo)老師劉蘭青老師，在畢業(yè)論文的寫作過(guò)程中，給了我很大的幫助，為我的論文的完成給予了極大的關(guān)心和支持 。 感謝跟我一起度過(guò)了三年大學(xué)時(shí)光的同學(xué)們，他們?cè)谖覍W(xué)習(xí)過(guò)程中給了我很大的支持和鼓勵(lì) 。 寫作畢業(yè)論文是一次再系統(tǒng)學(xué)習(xí)的過(guò)程，畢業(yè) 論文的完成，同樣也意味著新的學(xué)習(xí)生活的開始。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 32 參考文獻(xiàn) [1] 防火墻技術(shù)培訓(xùn)教材．鄭州輕工業(yè)學(xué)院輕工職業(yè)學(xué)院 [2] [美 ] Wayne Lewis,．思科系統(tǒng)公司 譯．中國(guó)思科網(wǎng)絡(luò)技術(shù)學(xué)校 校． 思科網(wǎng)絡(luò)技術(shù)學(xué)院教程 CCNA exploration： LAN 交換和無(wú)線 .北京：人民郵電出版社 [3] [美 ] Bob Vachon Rick ．思科系統(tǒng)公司 譯．中國(guó)思科網(wǎng)絡(luò)技術(shù)學(xué)校 校． 思科網(wǎng)絡(luò)技術(shù)學(xué)院教程 CCNA exploration：接入 ：人民郵 電出版社