【正文】 感謝跟我一起度過了三年大學時光的同學們，他們在我學習過程中給了我很大的支持和鼓勵 。然而， IPSec 的主要缺陷就是其復雜性以及其相關文檔的混亂性質。 圖 417 數據包分析 抓圖中，在雙方主機通信之前，有四個 ISAKMP 數據包，是雙方網關協(xié)商安全參數的數據包，協(xié)商成功后才開啟加密隧道，進行兩個網絡的數據傳輸。由于是實驗室環(huán)境，不能充分體現“使用私有地址通過公網環(huán)境訪問目的主機”這一特性。 ipsec 在企業(yè)網中的應用 27 圖 414 防火墻策略 IPSEC動態(tài) VPN 監(jiān)視器，單擊隧道后面的開通隧道圖標 ，如圖 415 所示。 ipsec 在企業(yè)網中的應用 26 圖 412VPN 階段 2 靜態(tài) 靜態(tài)路由 新建，添加一條到 VPN 網關的缺省路 由，如圖 413 所示。 圖 410 地址對象 IPSEC自動交換密鑰（ IKE） 創(chuàng)建階段 1，建立IPSECVPN 第一個階段 ，如圖 411 所示。 ipsec 在企業(yè)網中的應用 24 圖 47 新建輸出策略 IPSEC動態(tài) VPN 監(jiān)視器，單擊隧道后面的開通隧道圖標 ，開啟后圖標變成綠色 ，由于 fw2 還沒有開啟隧道，可能單擊后仍是紅色。 ipsec 在企業(yè)網中的應用 23 圖 45VPN 階段 2 靜態(tài) 靜態(tài)路由 新建，添加一條到 VPN 網關的缺省路由，如圖 46 所示。 ipsec 在企業(yè)網中的應用 22 圖 43 地址對象 IPSEC自動交換密鑰（ IKE） 創(chuàng)建階段 1，建立IPSECVPN 第一個階段，如圖 44 所示。按照同樣的步驟設置主機 pc2 的IPSEC 虛擬專用隧道。 圖 416 篩選器操作選擇界面 IP 安全規(guī)則前面的對勾去掉，選擇我們添加的“協(xié)商 ICMP”，如圖 417 所示，單擊“應用”使得選擇生效，至此，篩選器的規(guī)則和操作設置完畢。 ipsec 在企業(yè)網中的應用 18 圖 413 篩選器操作 ，與之要求通信的其他主機必須支持 IPSEC，因此，我們選擇“不和不支持 IPSEC 的計算機通信”，單擊下一步，打開 IP 通信安全設施設置界面，如圖 415 所示。其中，可以選擇 許可 、 阻止 對符合 IP 篩選器 的數據流進行過濾。 圖 410IP 篩選器列表選項 ，如圖 411 所示，但不符合我們的要求。 圖 48IP 篩選器列表 ，單擊“下一步”。在本實驗中，我們對 ICMP 信息進行協(xié)商，并進行加密保護。 ipsec 在企業(yè)網中的應用 14 圖 45 安全規(guī)則應用的網絡類型 。 ipsec 在企業(yè)網中的應用 13 圖 43 添加 IPSEC 策略 ，我們 實現的是兩臺主機之間的 IPSEC 安全隧道，而不是兩個網絡之間的安全通信，因此，我們選擇“此規(guī)則不指定隧道”，即選用傳輸模式 IPSEC,如圖 44 所示，然后點擊“下一步”按鈕。允許與不響應請求的客戶端的不安全通信。 客戶端：正常通信，默認情況下不使用 IPSEC。在 windows 環(huán)境下， IPSEC 包含以下 3 個默認策略，如圖 42所示。 混合模式 支持路由 +單臂模式 四、 ipsec 實踐 windows 環(huán)境下 IPSEC 的設置 【實驗拓撲】 圖 41 實驗拓撲圖 ipsec 在企業(yè)網中的應用 12 說明：兩臺主機通過交換機或其它網絡設備連接，在兩臺主機上建立 ipsec安全通道，對允許的通信進行進一步的安全設置，兩臺主機均為 windowsxp。其中：管理模塊實現對安全關聯(lián)數據庫（ SAD）和安全策略數據庫（ SPD）的管理，也可以通過 IKE 模塊發(fā)起密鑰交換； IKE 密鑰交換模塊完成安全關聯(lián)（ SA）建立、協(xié)商、修改和刪除等工作； IPSec 驅動模塊完成安全策略查詢（是否對 IP 包進行 IPSec 處理）， IP 數據包的加 /解密，數據包封裝 /拆封等工作。我們采用NDIS 技術在網絡層與數據鏈路層插入自己編寫的模塊的方式實現 IPSec。 其中，封裝安全載荷是插入 IP 數據包內的一個協(xié)議頭，以便為 IP 提供機密性、數據源驗證、抗重播以及數據完整性等安全服務。 IPSec 協(xié)議由安全協(xié)議（包括 AH 協(xié)議和 ESP 協(xié)議）、密鑰管理協(xié)議（如 IKE）以及認證和加密算法組成。 ipsec 在企業(yè)網中的應用 8 基于 Windows 的 IPSec 設計與實現 由于歷史的原因，各企業(yè)都存在一些以前開發(fā)的業(yè)務處理系統(tǒng)，這些業(yè)務系統(tǒng)沒有考慮數據在局域網和廣域網傳輸時的機密性和完整性。 ●加密 算法： DES、 3DES、 40 位 DES 或無。 Oakley 生成并管理用來保護信息的身份驗證密鑰?？梢栽趦蓚€ IPSec 對等端之間只進行使用 AH 報頭的認證，或是只進行加密。甚至可以為每個 TCP或 UDP 端口建立分離的 SA。例如，當一臺計算機與多臺計算機同時進行安全性通訊時可能存在多種關聯(lián)。該契約稱為安全關聯(lián)（ SecurityAssociation， SA）。 簽名 區(qū)指示數據包在這些地方進行完整性保護。對于接收，在驗證過程完成后，數據包的數據部分將被解密。除非使用隧道，否則 ESP 通常不簽署整個數據包，即通常只保護數據，而不保護 IP 報頭。 IP 報頭、AH 報頭和數據通過簽名來防止 修改。因為不加密數據，所以不提供機密性。如圖 2 22 所示。新的 IPSec 報文包含 IP報文認證的信息，原始 IP 報文的內容，可以根據特定應用的需求選擇加密與否。 IPSec 并不是一個單一的協(xié)議或算法，它是一系列加密實現中使用的加密標準定義的集合。 確保認證報文沒有重復 最終，即使攻擊者不能發(fā)送偽裝的報文，不能改變報文，不能讀取報文的內容，攻擊者仍然可以通 過重發(fā)截獲的認證報文來干擾正常的通信，從而導致事務多次執(zhí)行，或是使被復制報文的上層應用發(fā)生混亂。 IPSec 的這一特性稱為無連接完整性。 IPSec 允許設備使用比源 IP 地址更安全的方式來認證 IP 數據報的來源。利用 IPSec 不僅可以構建基于操作系統(tǒng)的防火墻，實現一般防火墻的功能。另外，非標準 VPN 產品無法和其他廠家的 VPN 設備互聯(lián)互通。特別是純軟件 VPN 解決方案，可以充分利用 PC 機的計算能力，具有更多的賣點。根據計算機硬件算出一個特征值，作 為該節(jié)點此后認證的依據。移動用戶作為 VPN 網絡的末端節(jié)點通過 Inter 接入，必須保證其身份的合法性，以免帶來安全隱患。 由于移動客戶端分布范圍很廣，并且使用者大多數并不具備很強的網絡調試能力。 就高端產品而言，比較理想的指標可以歸結為：千兆線性網絡速度、 300M以上的加密速度、 50 萬條以上的并發(fā)連接數。 并發(fā)連接數。 加密速度。 另外，對于性能指標的追求是沒有止境的。這在家電行業(yè)早有先例，曾經有廠商研發(fā)了 28 個功能的全功能錄像機，說明書就足有 1 斤重。這些功能被模塊化，然后被自由組裝。無論是防火墻還是 VPN 網關，一般都安裝于網絡出口處，一個出口處安裝兩個設 備，本身就有一個配合問題，雖然各 VPN 廠商都已解決了兼容性問題，但是如果兩者合二為一，問題就簡化了很多。