【導讀】供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡攻擊，同時保持易用性。IPSec有兩個基本目標：1）保護IP數(shù)據(jù)包安全；2）為抵御。網(wǎng)絡攻擊提供防護措施。有力且靈活的保護，而且還能用來篩選特定數(shù)據(jù)流。企業(yè)網(wǎng)拓撲結構和ipsec的基本配置和具體應用。多功能和全功能的VPN網(wǎng)關··································2. 更豐富的網(wǎng)絡功能、更高的產(chǎn)品性能························2. 移動客戶端安裝配置簡化同時強化身份認證功能······3. 標準化仍然是主流···············································3

　　

【正文】 中的應用 15 圖 47IP 篩選器列表選項 IP 篩選器列表定義名稱為“協(xié)商 ICMP” ,如圖 48 所示。點擊“添加”按鈕，定義新篩選器的屬性。 圖 48IP 篩選器列表 ，單擊“下一步”。在本實驗中，篩選器的源 IP 是“我的IP” ,目的 IP 是“任何 IP”，協(xié)議類型是“ ICMP”，如圖 49 所示。單擊“確定”回到 IP 篩選器列表選項界面。ipsec 在企業(yè)網(wǎng)中的應用 16 圖 49IP 篩選器列表 “協(xié)商 ICMP”，如圖 410 所示，然后點擊“下一步”，進入篩選器操作的相關設置界面。 圖 410IP 篩選器列表選項 ，如圖 411 所示，但不符合我們的要求。因此，單擊“添加”按鈕進入篩選器操作的設置界面。 ipsec 在企業(yè)網(wǎng)中的應用 17 圖 411 篩選器操作選項 ，單擊“下一步”，設置篩選器操作的名稱，如圖 412 所示 。 圖 412 篩選器操作名稱 。其中，可以選擇 許可 、 阻止 對符合 IP 篩選器 的數(shù)據(jù)流進行過濾。這可以簡單的實現(xiàn)一個普通防火墻 的功能。除此之外，如果選擇 協(xié)商 安全 還可以對允許的通信進行 進一步的 安全 設置。 單擊“下一步”，打開界面圖 414。 ipsec 在企業(yè)網(wǎng)中的應用 18 圖 413 篩選器操作 ，與之要求通信的其他主機必須支持 IPSEC，因此，我們選擇“不和不支持 IPSEC 的計算機通信”，單擊下一步，打開 IP 通信安全設施設置界面，如圖 415 所示。 圖 414IPSEC 操作設置 ，進行具體設置，如圖 415 所示。單擊“確定”，完成操作設置并回到選擇操作界面，如圖 416 所示。 ipsec 在企業(yè)網(wǎng)中的應用 19 圖 415 自定義安全措施設置 “協(xié)商 ICMP”操作，如圖 416，單擊“下一步”完成操作器的操作，回到選擇過濾器界面，如圖 417 所示。 圖 416 篩選器操作選擇界面 IP 安全規(guī)則前面的對勾去掉，選擇我們添加的“協(xié)商 ICMP”，如圖 417 所示，單擊“應用”使得選擇生效，至此，篩選器的規(guī)則和操作設置完畢。 ipsec 在企業(yè)網(wǎng)中的應用 20 圖 417IP 安全規(guī)則選擇界面 ，必須指派策略，否則策略不會自動生效。點擊“安全服務器”右鍵，選擇“指派”，如圖 418 所示。 圖 418 指派策略 至此，主機 pc1 的 IPSEC 配置已經(jīng)完成。按照同樣的步驟設置主機 pc2 的IPSEC 虛擬專用隧道。 ipsec 在企業(yè)網(wǎng)中的應用 21 IPSECVPN 基本應用 【實驗拓撲】 圖 41 實驗拓撲圖 說明：防火墻 fw fw2 分別作為連個局域網(wǎng)內(nèi)網(wǎng) 內(nèi)網(wǎng) 2 的網(wǎng)關，且具有 VPN 功能；內(nèi)網(wǎng) 1 和內(nèi)網(wǎng) 2 中的主機可以相互通信；在兩臺網(wǎng)關連接的線路上有一臺集線器，其連接的 pc3 用來分析 IPSEC 的協(xié)商過程，并捕獲 pc1 和 pc2通過虛擬專用網(wǎng)隧道傳輸?shù)臄?shù)據(jù)包加密后的 ESP/AH 報文。 【實驗步驟】 防火墻 fw1 的配 置 網(wǎng)絡，配置接口地址，如圖 42 所示。 圖 42fw1 接口地址 進入防火墻 地址，建立內(nèi)網(wǎng) 1 地址對象，如圖 43 所示。 ipsec 在企業(yè)網(wǎng)中的應用 22 圖 43 地址對象 IPSEC自動交換密鑰（ IKE） 創(chuàng)建階段 1，建立IPSECVPN 第一個階段，如圖 44 所示。本階段主要是建立通道名稱，通道兩端接口或地址及虛擬通道的協(xié)商方式，這里采用“預共享密鑰”，密鑰為 123456.協(xié)商參數(shù)兩端需保持一致。 圖 44VPN 階段 1 IPSEC自動交換密鑰（ IKE） 創(chuàng)建階段 2， 建立IPSECVPN 第二個階段，如圖 45 所示。本階段主要設置雙方交互數(shù)據(jù)方案，如加密算法、認證算法、密鑰強度（這些參數(shù)雙方要設置一致）及兩個通信局域網(wǎng)的網(wǎng)絡地址。 ipsec 在企業(yè)網(wǎng)中的應用 23 圖 45VPN 階段 2 靜態(tài) 靜態(tài)路由 新建，添加一條到 VPN 網(wǎng)關的缺省路由，如圖 46 所示。接口為外網(wǎng)口 internal，網(wǎng)關為 internal 接口地址。 圖 46 添加缺省路由 策略，建立策略，如圖 47 所示。模式選擇 IPSEC， VPN 通道選擇剛才建立的 test，允許數(shù)據(jù)流入和流出 VPN 通道。 ipsec 在企業(yè)網(wǎng)中的應用 24 圖 47 新建輸出策略 IPSEC動態(tài) VPN 監(jiān)視器，單擊隧道后面的開通隧道圖標 ，開啟后圖標變成綠色 ，由于 fw2 還沒有開啟隧道，可能單擊后仍是紅色。如圖 48 所示。 圖 48 動態(tài) VPN 監(jiān)視器 防火墻 fw2 的配置 網(wǎng)絡，配置接口地址，如圖 49 所示。 ipsec 在企業(yè)網(wǎng)中的應用 25 圖 49fw2 接口地址 地址，建立內(nèi)網(wǎng) 2 地址對象，如圖 410 所示。 圖 410 地址對象 IPSEC自動交換密鑰（ IKE） 創(chuàng)建階段 1，建立IPSECVPN 第一個階段 ，如圖 411 所示。本階段主要是建立通道名稱，通道兩端接口或地址及虛擬通道的協(xié)商方式，這里采用“預共享密鑰”，密鑰為 123456.協(xié)商參數(shù)與 fw1 保持一致。 圖 411VPN 階段 1 IPSEC自動交換密鑰（ IKE） 創(chuàng)建階段 2，建立IPSECVPN 第二個階段，如圖 412 所示。本階段主要設置雙方交互數(shù)據(jù)方案，如加密算法、認證算法、密鑰強度（這些參數(shù)雙方要設置一致）及兩個通信局域網(wǎng)的網(wǎng)絡地址。 ipsec 在企業(yè)網(wǎng)中的應用 26 圖 412VPN 階段 2 靜態(tài) 靜態(tài)路由 新建，添加一條到 VPN 網(wǎng)關的缺省路 由，如圖 413 所示。接口為外網(wǎng)口 internal，網(wǎng)關為 internal 接口地址。 圖 413 靜態(tài)路由 策略，建立策略，如圖 414 所示。模式選擇 IPSEC， VPN通道選擇剛才建立的 test，允許數(shù)據(jù)流入和流出 VPN 通道。 ipsec 在企業(yè)網(wǎng)中的應用 27 圖 414 防火墻策略 IPSEC動態(tài) VPN 監(jiān)視器，單擊隧道后面的開通隧道圖標 ，如圖 415 所示。 圖 415 動態(tài) VPN 監(jiān)視器 至此，兩端 VPN 網(wǎng)關配置成功，隧道已經(jīng)開啟。 ipsec 在企業(yè)網(wǎng)中的應用 28 實驗測試 ，連接主機并配置主 機地址。 ,測試連通性，如圖 416 所示，正常。由于是實驗室環(huán)境，不能充分體現(xiàn)“使用私有地址通過公網(wǎng)環(huán)境訪問目的主機”這一特性。 圖 416ping 測試 pc1 長 pingpc2 的過程中，在監(jiān)聽主機 pc3 上，使用 ethereal 抓包工具捕獲pc1 和 pc2 之間的通信數(shù)據(jù)，如圖 417 所示。數(shù)據(jù)包被重新封裝，包頭地址不是 和 ，而是 vpn 網(wǎng)關地址 和 ；ICMP 協(xié)議也被 ESP 安全協(xié)議重新封裝在里面，數(shù) 據(jù)也是加密的。由此可見，VPN 隧道傳輸數(shù)據(jù)的安全性。 圖 417 數(shù)據(jù)包分析 抓圖中，在雙方主機通信之前，有四個 ISAKMP 數(shù)據(jù)包，是雙方網(wǎng)關協(xié)商安全參數(shù)的數(shù)據(jù)包，協(xié)商成功后才開啟加密隧道，進行兩個網(wǎng)絡的數(shù)據(jù)傳輸。 實驗測試完成。 ipsec 在企業(yè)網(wǎng)中的應用 29 思考：在隧道模式下，兩個局域網(wǎng)中主機通信，哪個階段是加密傳輸，哪個階段是明文傳輸？ 實驗總結 通過配置 VPN 通道，遠程的兩個局域網(wǎng)之間可以進行加密傳輸數(shù)據(jù)，并像是在本地一樣使用雙方的局域網(wǎng)地址進行訪問。ipsec 在企業(yè)網(wǎng)中的應用 30 結束語 IPSec 融合了所有最常用的安全服務，其中包括驗證、完整 性、保密性、加密和認可。然而， IPSec 的主要缺陷就是其復雜性以及其相關文檔的混亂性質。盡管有這么多缺陷，許多人都相信， IPSec 將成為最好的可用安全系統(tǒng)之一。人們希望， IPSec 將來再版時，能夠出現(xiàn)更多的改進，現(xiàn)在發(fā)現(xiàn)的體系結構所存在的問題能夠得到解決。 ipsec 在企業(yè)網(wǎng)中的應用 31 致 謝 感謝我的輔導老師劉蘭青老師，在畢業(yè)論文的寫作過程中，給了我很大的幫助，為我的論文的完成給予了極大的關心和支持 。 感謝跟我一起度過了三年大學時光的同學們，他們在我學習過程中給了我很大的支持和鼓勵 。 寫作畢業(yè)論文是一次再系統(tǒng)學習的過程，畢業(yè) 論文的完成，同樣也意味著新的學習生活的開始。 ipsec 在企業(yè)網(wǎng)中的應用 32 參考文獻 [1] 防火墻技術培訓教材．鄭州輕工業(yè)學院輕工職業(yè)學院 [2] [美 ] Wayne Lewis,．思科系統(tǒng)公司 譯．中國思科網(wǎng)絡技術學校 校． 思科網(wǎng)絡技術學院教程 CCNA exploration： LAN 交換和無線 .北京：人民郵電出版社 [3] [美 ] Bob Vachon Rick ．思科系統(tǒng)公司 譯．中國思科網(wǎng)絡技術學校 校． 思科網(wǎng)絡技術學院教程 CCNA exploration：接入 ：人民郵 電出版社