【正文】 ...............圖　35傳輸模式的AH實現(xiàn)其中，IPSec模塊被安裝于兩端主機。 AH 封裝技術(shù)的傳輸模式如將AH頭插入IP頭和路由擴展頭之后，上層協(xié)議數(shù)據(jù)的端到端擴展頭之前，則稱該模式的封裝為傳輸模式。這種模式的缺點則為：?IPSec主要集中在安全網(wǎng)關(guān)，增大了路由器的處理負荷，容易形成通信瓶頸。這種模式有如下優(yōu)點：?子網(wǎng)內(nèi)部的各主機可以借助安全網(wǎng)關(guān)的IPSec處理，可以透明地享受安全服務(wù)。............ AHAH 主機11AH隧道主機21安全網(wǎng)關(guān)2安全網(wǎng)關(guān)1 　　圖 34 隧道模式的AH實現(xiàn)即在AH隧道的實施模型中，IPSec處理模塊安裝于安全路由器1和安全路由器2，由它們來實現(xiàn)AH處理。按照AH協(xié)議的規(guī)定，可以按AH封裝的協(xié)議數(shù)據(jù)不同，將AH封裝劃分為兩種模式：隧道模式和傳輸模式。 AH 機制AH機制主要用于為通信提供完整性服務(wù)。?暴露了子網(wǎng)內(nèi)部拓撲。這種模式的缺點則為：?由于每一個希望實現(xiàn)傳輸模式的主機都必須安裝并實現(xiàn)ESP協(xié)議，因此不能實現(xiàn)端用戶的透明服務(wù)。這種模式有如下優(yōu)點：?即使內(nèi)網(wǎng)中的其他用戶，也不能理解傳輸于主機11和主機21之間的數(shù)據(jù)內(nèi)容。............ ESPESP主機11ESP隧道主機21 圖　33傳輸模式的ESP的實現(xiàn)其中，IPSec模塊被安裝于兩端主機。?對內(nèi)部的諸多安全問題將不可控。?子網(wǎng)內(nèi)部的拓撲結(jié)構(gòu)被保護。這種模式有如下優(yōu)點：?保護子網(wǎng)中的所有用戶都可以透明地享受由安全網(wǎng)關(guān)提供的安全保護。保護子網(wǎng)內(nèi)的通信都是以文明方式進行。安全網(wǎng)關(guān)1安全網(wǎng)關(guān)2 ESPESP 主機11ESP隧道主機21............圖　32 ESP隧道模式即在ESP隧道的實施模型中，IPSec處理模塊安裝于安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2，由它們來實現(xiàn)ESP處理。?傳輸模式：將上層協(xié)議部分封裝到ESP載荷之中。依據(jù)建立安全關(guān)聯(lián)時的選擇，它也能為通信提供鑒別保護。IPSec協(xié)議通過安全策略的配置和實施表達用戶對通信的保護意圖，因此表示IPSec各組件的關(guān)系如圖31所示。這兩種機制為IPSec協(xié)議族提供安全服務(wù)。體系規(guī)定了IPSec 協(xié)議提供的兩種安全保護機制：AH和ESP機制。 Ipsec的組成部分 安全體系結(jié)構(gòu) ESPA H 加密算法鑒別算法DOI 密鑰管理協(xié)議 在協(xié)議協(xié)議族里，給出了IPSec 協(xié)議體系結(jié)構(gòu)。為了抵御這些攻擊，IETF設(shè)計了IPSec 協(xié)議。由于TCP/IP協(xié)議簇的運行環(huán)境發(fā)生了變化，再也沒有人們想象中的那么安全。網(wǎng)絡(luò)內(nèi)的用戶和設(shè)備在嚴密的管理的管理制度約束和高強度的安全觀念培訓機制下，其運行環(huán)境是安全的。IKE還負責這些安全參數(shù)的刷新。IKE協(xié)商的安全參數(shù)包括加密及鑒別密鑰、通信的保護模式（隧道或傳輸模式）、密鑰的生存期等。ESP和AH機制都能為通信提供抗重放(Antireplay)攻擊。IPSec安全協(xié)議給出了兩種通信保護機制：封裝安全載荷（Encapsuation Security Payload,以下簡稱ESP）和鑒別頭（Authentication Header，以下簡稱AH）。它包括安全協(xié)議部分和密鑰協(xié)商部分。L2TP隧道在兩端的VPN服務(wù)器之間采用口令握手協(xié)議CHAP來驗證對方的身份，這使得現(xiàn)如今的異地辦公更加方便和安全。L2TP正是這類服務(wù)中的典型代表。這類新型的服務(wù)為撥號用戶和ISP都代來了極大的好處。L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝PPP幀可以實現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。1996年Cisco提出L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于Cisco的路由器和撥號訪問服務(wù)器。PPTP提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。第3章 vpn技術(shù)相關(guān)協(xié)議 PPTP協(xié)議與L2TP 協(xié)議 PPTP協(xié)議1996年，Microsoft和Ascend等在PPP 協(xié)議的基礎(chǔ)上開發(fā)了PPTP ，它集成于Windows NT ，Windows NT Workstation 和Windows 。Extranet VPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來，根據(jù)安全策略、資源共享約定規(guī)則實施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機和網(wǎng)絡(luò)資源與外部特定的主機和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價值。利用VPN組建的內(nèi)聯(lián)網(wǎng)也叫Intranet VPNIntranet VPN是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)將地域分散的分支機構(gòu)“連接在一起”提出了內(nèi)聯(lián)網(wǎng)（intranet）概念。這種應(yīng)用類型也叫Access VPN(或訪問型VPN)，這是基本的VPN應(yīng)用類型。遠程移動用戶通過VPN技術(shù)可以在任何時間、任何地點采用撥號、ISDN、DSL、移動IP和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設(shè)備建立起隧道或密道信，實現(xiàn)訪問連接，此時的遠程用戶終端設(shè)備上必須加裝相應(yīng)的VPN軟件。歸納起來有以下幾種應(yīng)用領(lǐng)域。在目標網(wǎng)絡(luò)這頭，VPN隧道終結(jié)器收到包后去掉IP信息，然后根據(jù)達成一致的加密方案對包進行解密，將隨后獲得的包發(fā)給遠程接入服務(wù)器或本地路由器，他們在把隱藏的IPX包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地?，F(xiàn)在不管最初的傳輸是何種協(xié)議，它都能在純IP因特網(wǎng)上傳輸。兩者就加密方案達成一致，然后隧道發(fā)起器對包進行加密，確保安全（為了加強安全，應(yīng)采用驗證過程，以確保證方式）。V PN克服這些障礙的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進行加密以確保安全，然后由VPN封裝成IP包的形式，通過隧道在網(wǎng)上傳輸，如圖11所示。其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能讀取包內(nèi)所含的數(shù)據(jù)。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如IPX和NetBEUI進行通信，但因特網(wǎng)只能處理IP流量。而VPN技術(shù)的原理是怎么樣的呢，下面簡單的介紹下。 VPN技術(shù)的工作原理由于VPN體系的復(fù)雜性和融合性，VPN服務(wù)的成長速度將超越VPN產(chǎn)品，成為VPN發(fā)展的新動力。為了保障信息在internet上傳輸?shù)陌踩裕琕PN技術(shù)采用了隧道、認證、存取控制、機密性、數(shù)據(jù)完整性等措施，保證信息在傳輸中不被偷看、篡改、復(fù)制。”VPN它不同于傳統(tǒng)的網(wǎng)絡(luò)，VPN網(wǎng)絡(luò)可以將邏輯上不能相通的網(wǎng)絡(luò)之間建立一個安全的通訊通道，使得這兩個網(wǎng)絡(luò)之間的能夠互相訪問。VPN的隔離特性提供了某種的通信保密性和虛擬性。在構(gòu)建VPN虛擬局域網(wǎng)的過程中，著實遵循著方便實用、高效低成本、安全可靠等相關(guān)原則合理地規(guī)劃出網(wǎng)絡(luò)安全架構(gòu)，對企業(yè)使用ISA Server VPN 安全方案提供一點小的見解。在本文的實例中呼和浩特的鴻駿電子有限公司在海拉爾開辦分公司來發(fā)展業(yè)務(wù)，公司希望總部與分公司、總部與合作伙伴可以隨時的進行安全的信息溝通，而外出辦公人員可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時隨地共享商業(yè)信息提高工作效率。（3）為解決企事業(yè)單位職員出差在外，通過公共通信網(wǎng)絡(luò)共享內(nèi)聯(lián)網(wǎng)資源而提出的遠程接入（Remote access）概念。計算機網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴大，不論是企業(yè)內(nèi)部職能部門，還是企業(yè)外部的供應(yīng)商、分支機構(gòu)和外出人員，都需要同企業(yè)總部之間建立起一個快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境，計算機技術(shù)人員針對這一情況通過VPN技術(shù)為企業(yè)組建了以下三種網(wǎng)絡(luò)：（1）為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)將地域分散的分支機構(gòu)“連接在一起”提出了內(nèi)聯(lián)網(wǎng)（intranet）概念。 課題背景　　隨著信息時代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。4. 可隨意的與合作伙伴聯(lián)網(wǎng)　　在過去企業(yè)如果想與合作伙伴連網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，這樣相當麻煩，不便于企業(yè)自身的發(fā)展，有了VPN之后，這種協(xié)商也毫無必要，真正達到了要連就連要斷就斷，可以實現(xiàn)靈活自如的擴展和延伸。Decryption)、密鑰管理技術(shù)(Key Management)、身份認證技術(shù)(Authentication)。據(jù)行業(yè)調(diào)查公司的研究報告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠程接入服務(wù)器或Modem池和撥號線路的企業(yè)能夠節(jié)省30%到70%的開銷。企業(yè)經(jīng)濟的發(fā)展是推動社會發(fā)展的主要動力，所以企業(yè)之間的商業(yè)信息的安全就變得尤為重要，上述中VPN虛擬網(wǎng)絡(luò)技術(shù)不僅解決了信息的安全傳輸還解決的企業(yè)與各個之間的通信，還可以為組織機構(gòu)提供一個滿足跨越公共通信網(wǎng)絡(luò)建立安全、可靠和高效的網(wǎng)絡(luò)平臺的虛擬專網(wǎng)。根據(jù)用戶的需求，VPN可以用多種不同的方法實現(xiàn)。 （2）信息認證和身份認證。 （1）數(shù)據(jù)加密。與實際的點到點連接電路一樣，VPN系統(tǒng)可被設(shè)計成通過Internet，提供安全的點到點(或端到端)的“隧道”。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。前者在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流，查找每一數(shù)