【正文】 。本項目所建設的網絡覆蓋分為兩個點，一個是總部，一個是分部。如果寫不出，就去掉這個操作可行性這一部分。本設計可以在模擬器上進行反復的試驗與調試，因此具有操作方便、快捷的特點，表明具有操作可行性。目前企業(yè)網對網絡化管理與辦公的需求隨著時代的進步而提高，因此，企業(yè)網中對IPSec協(xié)議和NAT技術的需求是迫切的、必要的，且本次設計不需要很高的成本，僅僅是一個小型企業(yè)網的設計。技術可行性這一部分建議重寫，重心應是：小型企業(yè)網自身的網絡特點，導致IPSec跟NAT在其中的應用是非常合適的。無疑，3DES具有更高的安全性，但其加密數據的速度要比DES慢得多。一般來說IPSec使用兩種加密算法：DES：使用56bit的密鑰對一個64bit的明文塊進行加密。(2)加密算法ESP能夠對IP報文內容進行加密保護，防止報文內容在傳輸過程中被窺探。SHA1：SHA1通過輸入長度小于2的64次方比特的消息，產生160bit的消息摘要。IPSec對等體計算摘要，如果兩個摘要是相同的，則表示報文是完整未經篡改的。AH和ESP都能夠對IP報文的完整性進行驗證，以判別報文在傳輸過程中是否被篡改。因此，到底使用哪種模式需要在安全性和性能間進行權衡。它可以完全地對原始IP數據報進行驗證和加密；此外，可以使用IPSec對等體的IP地址來隱藏客戶機的IP地址。不同安全協(xié)議在傳輸模式和隧道模式下的數據封裝形式不同。在傳輸模式下，AH或ESP被插入到IP頭之后但在所有傳輸層協(xié)議之前，或所有其他IPSec協(xié)議之前。 IPSec協(xié)議的操作模式IPSec協(xié)議有兩種操作模式：傳輸模式和隧道模式。當與之進行通信的對等體設備數量較少時，或是在小型靜態(tài)環(huán)境中，手工配置安全聯(lián)盟是可行的。前者配置比較復雜，創(chuàng)建安全聯(lián)盟所需的全部信息都必須手工配置，而且IPSec的一些高級特性（例如定時更新密鑰）不被支持，但優(yōu)點是可以不依賴IKE而單獨實現IPSec功能。生存周期的計算包括兩種方式：以時間為限制，每隔指定長度的時間就進行更新；以流量為限制，每傳輸指定的數據量（字節(jié)）就進行更新。SPI是為唯一標識SA而生成的一個32比特的數值，它在AH和ESP頭中傳輸。同時，如果希望同時使用AH和ESP來保護對等體間的數據流，則分別需要兩個SA，一個用于AH，另一個用于ESP。SA是通信對等體間對某些要素的約定，例如，使用哪種協(xié)議（AH、ESP還是兩者結合使用）、協(xié)議的操作模式（傳輸模式和隧道模式）、加密算法（DES和3DES）、特定流中保護數據的共享密鑰以及密鑰的生存周期等。通過SA （security association，安全聯(lián)盟），IPSec能夠對不同的數據流提供不同級別的安全保護。IPSec能夠允許系統(tǒng)、網絡的用戶或管理員控制對等體間安全服務的粒度。IKE協(xié)商并不是必須的，IPSec所使用的策略和算法等也可以手工協(xié)商。對于AH和ESP，都有兩種操作模式：傳輸模式和隧道模式。它除提供AH協(xié)議的所有功能外（但其數據完整性校驗不包括IP頭），還可提供對IP報文的加密功能。 AH協(xié)議AH是報文頭驗證協(xié)議，主要提供的功能有數據源驗證、數據完整性校驗和防報文重放功能；然而，AH并不加密所保護的數據報。為簡化IPSec的使用和管理，IPSec還可以通過IKE（internet key exchange，因特網密鑰交換協(xié)議）進行自動協(xié)商交換密鑰、建立和維護安全聯(lián)盟的服務，以簡化IPSec的使用和管理。 防重放（antireplay）指防止惡意用戶通過重復發(fā)送捕獲到的數據包所進行的攻擊，即接收方會拒絕舊的或重復的數據包。 完整性（data integrity）指對接收的數據進行驗證，以判定報文是否被篡改。特定的通信方之間在IP層通過加密與數據源驗證等方式，來保證數據報在網絡上傳輸時的私有性、完整性、真實性和防重放。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一種能力，以保護工作組、局域網計算機、域客戶端和服務器、分支機構（物理上為遠程機構）、Extranet 以及漫游客戶端之間的通信。它通過端對端的安全性來提供主動的保護以防止專用網絡與 Internet 的攻擊。 2000、Windows XP 和 Windows Server 2003 家族實施 IPSec 是基于“Internet 工程任務組 (IETF)”IPSec 工作組開發(fā)的標準。 Windowsamp。Microsoftamp。IPSec被設計成整個安全報文的一部分，用來保護通信系統(tǒng)。 IPSec概述一個安全的結構必須首先執(zhí)行系統(tǒng)中設備的危險性分析。同時，又可隱藏網絡內部的所有主機，有效避免來自internet的攻擊。端口多路復用(Port address Translation,PAT)是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換(PAT，Port Address Translation).采用端口多路復用方式。當ISP提供的合法IP地址略少于網絡內部的計算機數量時。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉換。借助于靜態(tài)轉換，可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。 NAT技術實現方式NAT的實現方式有三種，即靜態(tài)轉換Static Nat、動態(tài)轉換Dynamic Nat 和端口多路復用OverLoad。外部主機返回此包到目標主機,NAT路由器使用NAT表轉換內部全局IP地址為內部本地IP地址。,它要轉換內部本地IP地址,并把轉換結果記錄到NAT表中。否則，在報文數據都分別嵌入IP地址的應用程序就不能正常工作。 NAT將自動修改IP報文的源IP地址和目的IP地址，Ip地址校驗則在NAT處理過程中自動完成。（2）更換了一個新的ISP,需要重新組織網絡（3）需要合并兩個具有相同網絡地址的內網。當一個組織更換它的互聯(lián)網服務提供商,而網絡管理員不希望更改內網配置方案時,NAT同樣很有用處。這種通過使用少量的公有IP 地址代表較多的私有IP 地址的方式，將有助于減緩可用IP 地址空間的枯竭。NAT（Network Address Translation，網絡地址轉換）是將IP 數據報報頭中的IP 地址轉換為另一個IP 地址的過程。在其他ISP那里，即使是擁有幾百臺計算機的大型局域網用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。比如“NAT概述”隨著接入Internet的計算機數量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。而由于IPv6 取代IPv4 將是一個漫長的過程，NAT 設備的廣泛存在極大地限制了IP 層安全協(xié)議IPSec 的推廣，因此在目前的條件下，UDP封裝方法無疑是一種在當前環(huán)境下無需修改NAT 網關和路由器、簡單可接受的解決IPSec和NAT兼容性的方法，具有一定的現實意義。但是對應NATT的實現簡單和安全而言，這是非常值得的，因此NATT實際上已成為VPN設備的必備功能，由于NAT 技術在國內的廣泛應用，不具備這種功能的IPSec VPN使用環(huán)境會大大受到限制，所以用戶在選用VPN 設備時應該將這一功能作為一個重要的考核指標。顯然，NATT加大了數據包的長度和負載，大約為每個數據包增加了20B 的長度。這個技術的基本思路是在IPSec 封裝好的數據包外再進行一次UDP 的數據封裝。NAT—T(NATTraversal)是目前較為流行的一種解決兩者兼容性問題的方案，并越來越被廣泛采用。對于IPSec，其設計目的是保證數據的真實性和完整性，即采用加密、摘要等算法來防止對數據(包括IP報頭、端口等信息)的修改；而NAT的設計思路恰恰是通過修改IP地址和端口號來解決公網IP地址缺乏的問題。而在如今IPv6尚未普及的時候，IPSec與NAT依然大量應用于各個網絡中，然而當IPSec數據包穿越NAT設備時，會產生協(xié)議之間不兼容的問題。現在隨著企業(yè)信息化的快速發(fā)展，越來越多的用戶都在部署基于IPSec的VPN設備，以達到在Internet上進行多個企業(yè)內網安全通信和遠程訪問內網的目的；NAT 網絡地址翻譯（Network Address Translation ）技術主要是用來解決IPv4地址緊張的問題。隨著Internet網絡廣泛使用 ，網絡信息傳送成為傳遞信息的重要途徑。I 第一章 前言前言建議再充實一些內容，可以講講如今企業(yè)網的研究現狀，以及IPSec和NAT在企業(yè)網的應用現狀。關鍵詞： IPSec；NAT ；數據共享；防火墻重選中文關鍵詞。語句不通對企業(yè)網而言，重要的是對來訪者的身份必須明確，明確身份后還要對眾多的來訪者分配訪問的依據，還有實現數據加密，即使數據包被截也無法獲悉其內容?；贗PSEC和NAT小型企業(yè)網的設計與實