【正文】 解決的問題，有可能不同廠家的防火墻和VPN不能 協(xié)同工作 ，防火墻的 安全策略 無法制定（這是由于 VPN把 IP數(shù)據(jù)包加密封裝的緣故）或者帶來性能的損失，如防火墻無法使用 NAT功能等等。 典型的 VPN網(wǎng)關產(chǎn)品應該具有以下性能： 它應集成 包過濾防火墻 和 應用代理防火墻的功能。廣義上講，支持 VPN（ 虛擬專用網(wǎng) ）的路由器和 防火墻 等設備都可以算作 VPN網(wǎng)關 。 VPN網(wǎng)關是實現(xiàn) 局域網(wǎng) （ LAN）到 局域網(wǎng) 連接的設備。 VPN技術 原是路由器具有的重要技術之一，目前在 交換機 ， 防火墻 設備或 WINDOWS2020 等軟件里也都支持 VPN功能，一句話， VPN的核心就是在利用 公共網(wǎng) 絡建立虛擬私有網(wǎng)。它可以通過特殊的加密的 通訊協(xié)議 在連接在 Inter上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一 條專線一樣，但是它并不需要真正的去鋪設 光纜 之類的物理線路。 8 圖 22 通道模式圖 9 第 3 章 VPN技術基礎 VPN的概念與安全性 VPN的英文全稱是 “Virtual Private Network”，翻譯過來就是 “虛擬專用網(wǎng)絡 ”。在這種模式里，許多隧道在網(wǎng)關之間是以系列的形式生成的，從而可以實現(xiàn)網(wǎng)關對網(wǎng)關 安全。通道模式下的 IPSec報文要進行分段和重組操作，并且可能要再經(jīng)過多個安全網(wǎng)關才能到達安全網(wǎng)關后面的目的主機。 傳送模式可表示為： | IP頭 | IPsec頭 | TCP頭 | 數(shù)據(jù) |,如圖 21 所示。加密數(shù) 7 據(jù)是通過使用 L2TP（第二層隧道協(xié)議）而生成的單一隧道來發(fā)送的。 IPSEC的兩種模式 傳送模式 傳送模式加密的部份較少，沒有額外的 IP報頭，工作效率相對更好，但安全性相對于隧道模式會有所降低。 (Inter密鑰交換 ) Inter密鑰交換協(xié)議 (IKE)是用于交換和管理在 vpn中使用的加密密鑰的， IKE屬于一種混合型協(xié)議，由 Inter安全關聯(lián)和密鑰管理協(xié)議（ ISAKMP）和兩種密鑰交換協(xié)議 OAKLEY與 SKEME組成。只要第一階段 SA不超時，就不必重復第一階段的協(xié)商和認證。 第二階段協(xié)商過程與第一階段協(xié)商過程類似，不同之處在于：在第二階段中，如果響應超時，則自動嘗試重新進行第一階段 SA協(xié)商。若要求使用不同的 材料 ，則在密鑰生成之前，首先進行第二輪的 DH交換。生成 會話密鑰 所使用的 材料 可以和生成第一階段 SA中 主密鑰 的相 同，也可以不同。 第二階段協(xié)商（快速模式協(xié)商）步驟： 1．策略協(xié)商，雙方交換保護需求： ?使用哪種 IPSec協(xié)議： AH或 ESP ?使用哪種 hash算法： MD5 或 SHA ?是否要求加密，若是，選擇加密算法： 3DES或 DES 在上述三方面達成一致后，將建立起兩個 SA，分別用于入站和出站通信。 三、第二階段 SA（快速模式 SA，為數(shù)據(jù)傳輸而建立的安全關聯(lián)） 這一階段協(xié)商建立 IPsec SA，為數(shù)據(jù)交換提供 IPSec服務。主密鑰 結合在第一步中確定的協(xié)商算法，對通信實體和通信信道進行認證。在彼此交換過密鑰生成 材料 后，兩端主機可以各自生成出完全一樣的共享 主密鑰 ，保護緊接其后的認證過程。 第一階段協(xié)商（主模式協(xié)商）步驟： ，在這一步中，就四個強制性參數(shù)值進行協(xié)商： （ 1）加密算法：選擇 DES或 3DES（ 2）hash算法：選擇 MD5 或 SHA（ 3）認證方法：選擇證書認證、預置共享密鑰認證或 Kerberos v5 認證 （ 4） DiffieHellman組的選擇 雖然名為 密鑰交換 ，但事實上在任何時候，兩臺通信主機之間都不會交換真正的密鑰，它們之間交換的只是一些 DH算法生成共享密鑰所需要的基本材料信息。第一階段，協(xié)商創(chuàng)建一個通信信道（ IKE SA），并對該信道進行認證，為雙方進一步的 IKE通信提供機密性、數(shù)據(jù)完整性以及數(shù)據(jù)源認證服務；第二階段，使用已建立的 IKE SA建立 IPsec SA。每個 SA用唯一的 SPI索引標識，當處理接收數(shù)據(jù)包時，服務器根據(jù) SPI值來決定該使用哪種 SA。 SA是一個單向的邏輯連接，也就是說，在一次通信中，IPSec 需要建立兩 個 SA，一個用于入站通信，另一個用于出站通信。 安全關聯(lián) SA（ Security Association）是單向的，在兩個使用 IPSec的實體（主機或路由器）間建立的邏輯連接，定義了實體間如何使用安全服務（如加密）進行通信。另外， 也不需要一個初始化向量。 AH頭比 ESP頭簡單得多，因為它沒有提供機密性。將 AH頭插入 IPv6 的規(guī)則與 ESP插入規(guī)則類似。如果沒有擴展頭， IPv6 頭中的下一個頭字段將是 51。 AH是另一個 IP協(xié)議，它分配到的數(shù)是 51。只有選擇數(shù)據(jù)源認證時才可以選擇抗重播服務，由接收方單獨決定抗重播服務的選擇。但是，使用機密性服務而不帶有完整性 /認證服務（在 ESP 或者單獨在 AH 中）可能使傳輸受到某種形式的攻擊以破壞機密性服務。 ESP 提供機密性、數(shù)據(jù)源認證、無連接的完整性、抗重播服務（一種部分序列完整性的形式） 和有限信息流機密性。 ESP 包含一個非加密協(xié)議頭，后面是加密數(shù)據(jù)。 ESP 頭可以放置在 IP 頭之后、上層協(xié)議頭之前 （傳送層），或者在被封裝的 IP 頭之前 （隧道模式）。根據(jù)用戶安全要求，這個機制既可以用于加密一個傳輸層的段（如： TCP、 UDP、 ICMP、 IGMP），也可以用于加密一整個的 IP 數(shù)據(jù)報。 4 IPSec體系結構 ESP(封裝安全載荷 ) IPsec 封裝安全負載（ IPsec ESP）是 IPsec 體系結構中的一種主要協(xié)議，其主要設計來在 IPv4 和 IPv6 中提供安全服務的混合應用。例如， Netscape Navigator和 Microsoft Inter EXPlorer支持保護互聯(lián)網(wǎng)通信的安全套層協(xié)議（ SSL），還有一部分產(chǎn)品支持保護 Inter上信用卡交易的安全電子交易協(xié)議（ SET）。想要提供 IP級的安全， IPSec必須成為配置在所有相關平臺（包括 Windows NT， Unix和 Macintosh系統(tǒng)）的網(wǎng)絡代碼中的一部分。 IAB的前任總裁 Christian Huitema認為，關于如何保證 Inter安全的討論是他所見過的最激烈的討論之一。 IPSec正向 Inter靠攏。 IPSec對終端用戶來說是透明的，因此不必對用戶進行 安全機制的培訓。當在路由器或防火墻上安裝 IPSec時，無需更改用戶或服務器系統(tǒng)中的軟件設置。 IPSec的主要特征在于它可以對所有 IP級的通信進行加密和認證，正是這一點才使 IPSec可以確保包括遠程登錄、客戶 /服務器、電子郵件、文件傳輸及Web訪問在內(nèi)多種應用程序的安全。在通信中，只有發(fā)送方和接收方才是唯一必須了解 IPSec 保護的計算機。 IPSec 是安全聯(lián)網(wǎng)的長期方向。reg。reg。 3 第 2 章 IPSEC技術基礎 IPSEC技術簡介 “ Inter 協(xié)議安全性 (IPSec)”是一種開放標準的框架結構，通過使用加密的安全服務以確保在 Inter 協(xié)議 (IP) 網(wǎng)絡上進行保密而安全的通訊。 IPSEC VPN的測試 :包括 IKE方式建立 IPSEC隧道、預共享方式建立隧道、數(shù)字證書方式建立隧道、 IKE自動協(xié)商、 VPN備份隧道功能、 VPN客戶端測試 。 VPN使用的安全協(xié)議 :包括 SOCKSv5 協(xié)議、 IPSec協(xié)議、 PPTP/L2TP協(xié)議 。 VPN的類型 :包括 RemoteAccessVPN(遠程訪問虛擬專用 )、 IntraVPN(企業(yè)內(nèi)部虛擬專用網(wǎng) )、 ExtraVPN(外連虛擬專用網(wǎng) )。 IPSEC的兩種模式 :包括傳送模式和通道模式 。首先我們先來了解一下 IPSEC。 2 研究內(nèi)容 本文主要研究怎么對大型企業(yè)網(wǎng)絡中使 用的 VPN的應用方案進行規(guī)劃、設計與實現(xiàn)。怎樣理解 IPSEC框架協(xié)議呢？IETF開發(fā) IPSEC協(xié)議時，這時候已經(jīng)有許多其他優(yōu)秀的安全協(xié)議或算法誕生并得到很好的應用， IPSEC并沒有再開發(fā)一種全新的算法，而是定義了一個框架，吸納其他優(yōu)秀的協(xié)議或算法加入，完成最終的加密和認證功能。 IPSec 協(xié)議本不是一個單獨的協(xié)議，它給出了應用于 IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結構，包括網(wǎng)絡認證協(xié)議 Authentication Header（ AH）、封裝安全載荷協(xié)議 Encapsulating Security Payload（ ESP）、密鑰管理協(xié)議 Inter Key Exchange （ IKE）和用于網(wǎng)絡認證及加密的一些算法等。近年來 IPSec VPN技術以其獨具特色的優(yōu)勢贏得人們越來越多的青睞，并成為網(wǎng)絡安全領域的熱點。利用 VPN網(wǎng)絡能夠獲得語音、視頻方面的服務，如 IP電話業(yè)務、電視會議、遠程教學，甚至證券行業(yè)的網(wǎng)上路演、網(wǎng)上交易等等。這樣的方案必 然導致高昂的長途線路租用費及長途電話費。而在傳統(tǒng)的企業(yè)組網(wǎng)方案中，要進行遠程LAN 到 LAN互聯(lián)，除了租用 DDN專線或幀中繼之外，并沒有更好的解決方法。傳統(tǒng)企業(yè)網(wǎng)基于固定地點的專線連接方式，已難以適應現(xiàn)代企業(yè)的需求。本文將研究 IPSec體系結構、技術原理和 VPN基本技術 ,分析了 IPSec VPN的主要實現(xiàn)方式 ,將上述研究得出的成果應用于實際中 ,結合某國內(nèi)企業(yè)業(yè)務發(fā)展的需求 ,設計并創(chuàng)建了一個實用的IPSec VPN網(wǎng)絡 ,并對該網(wǎng)絡進行了實際測試。針對這些問題 ,IPSec可有效地保護 IP數(shù)據(jù)報的安全 ,它提供了一種標準的、健壯的以及包容廣泛的機制 ,可用它為 IP及上層協(xié)議 (如 UDP和 TCP)提供安全保證。 I 摘 要 以 Inter為代表的全球信息化浪潮日益高漲。目前 ,TCP/IP幾乎是所有網(wǎng)絡通信的基礎 ,而 IP本身是沒有提供“安全”的 ,在傳輸過程中 ,IP包可以被偽造、篡改或者窺視。 目前許多電信運營商采用 IPSec隧道加密技術 ,在寬帶業(yè)務的基礎上推出主要針對商用客戶的 VPN新業(yè)務 ,為商用客戶既提供了高帶寬低資費的企業(yè)網(wǎng)絡聯(lián)網(wǎng)服務 ,又提供了在公用網(wǎng)絡上 擁有私有 VPN網(wǎng)絡的數(shù)據(jù)傳輸安全保障服務 ,贏得了廣大商用客戶的青睞。 關鍵詞 IPSec VPN 加密 隧道 安全 II Abstract Inter as the representative of the rising tide of global information, information work technology is increasingly popular, application level is indepth, applications from the traditional, small to large business systems gradually, expanding businesscritical systems, along with the popularization of the work security impact of work performance is increasingly being important issues. Currently, TCP / IP work munications are almost all based on the IP itself does not provide security in the transmission process, IP packets can be fed, altered or peep. To solve these problems, IPSec can effectively protect the security of IP datagram, which provides a standard, robust and inclusive mechanisms, can it IP and upper layer protocols (such as UDP and TCP) to provide security guarantees. Many carriers now use IPSec tunnel encryption technology, based on the introduction of broadband services for business customers VPN major new business, both for mercial customers to provide highbandwidth work with low rates of enterprise work services, also provided on public work own private VPN work, data security services, won the majority of mercial customers. This article will examine the IPSec system structure, the basic technical principles and VPN