曹亞群　朱俊

摘 要：文章重點(diǎn)研究了IPSec協(xié)議標(biāo)準(zhǔn)，闡述了IPSec協(xié)議集中的AH協(xié)議和ESP協(xié)議，指出了IPSec協(xié)議常用的傳輸模式和隧道模式兩種方式，給出了IPSec安全機(jī)制。文章還介紹了VPN，分析VPN的優(yōu)點(diǎn)。最后以一個(gè)實(shí)際網(wǎng)絡(luò)環(huán)境為例，介紹在防火墻中配制基于IPSec的VPN的常見(jiàn)步驟。

關(guān)鍵詞：IPSec；VPN；防火墻；加密；隧道技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言（Introduction）

IPSec（Internet協(xié)議安全性）是由IETF（Internet工程任務(wù)組）開(kāi)發(fā)的一套Internet安全協(xié)議標(biāo)準(zhǔn)集，它是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，在使用IP協(xié)議通信的基礎(chǔ)上，引入安全服務(wù)機(jī)制，在網(wǎng)際層實(shí)現(xiàn)，功能包括數(shù)據(jù)加密、地址校驗(yàn)、訪問(wèn)控制，數(shù)據(jù)完整性檢查、防止重放攻擊等，從而實(shí)現(xiàn)在IP網(wǎng)絡(luò)上安全可靠的安全的數(shù)據(jù)通信[1]。

2 IPSec協(xié)議（IPSec protocol）

IPSec是一套用來(lái)通過(guò)公共網(wǎng)絡(luò)進(jìn)行安全通信的協(xié)議格式，是一種開(kāi)放的協(xié)議集，工作在OSI/RM的第三層，可被IP及上層協(xié)議（如TCP、UDP等）使用。IPSec使用AH（認(rèn)證頭協(xié)議）和ESP（封裝安全載荷協(xié)議）來(lái)實(shí)現(xiàn)各種不同的功能[2，3]。

AH認(rèn)證頭協(xié)議用來(lái)證實(shí)數(shù)據(jù)分組的來(lái)源，同時(shí)用于保障數(shù)據(jù)的完整性、可靠性和真實(shí)性，并防范同一數(shù)據(jù)包重復(fù)發(fā)送。AH協(xié)議不對(duì)用戶數(shù)據(jù)進(jìn)行加密，通常采用安全哈希算法來(lái)對(duì)數(shù)據(jù)包進(jìn)行保護(hù)，在傳輸過(guò)程中要發(fā)生變化的信息數(shù)據(jù)通常不在AH協(xié)議保護(hù)范圍之內(nèi)[4]。

ESP用于對(duì)數(shù)據(jù)分組進(jìn)行加密操作，提供IP通信的安全服務(wù)，實(shí)現(xiàn)機(jī)密性和完整性要求，ESP采用對(duì)稱加密方式，可以達(dá)到一定的安全要求，但不適合長(zhǎng)期保密的數(shù)據(jù)。也可以根據(jù)安全需求不同，只對(duì)TCP或其他數(shù)據(jù)包進(jìn)行加密，這些經(jīng)過(guò)加密后的數(shù)據(jù)包重新封裝后，通過(guò)滑動(dòng)窗口機(jī)制進(jìn)行傳輸，解決數(shù)據(jù)傳輸中的接收、重傳等問(wèn)題[5，6]。

使用IPSec協(xié)議時(shí)，有兩種模式可供選擇，傳輸模式和隧道模式。根據(jù)實(shí)際應(yīng)用環(huán)境選擇合適的模式。IPSec的安全服務(wù)可以使用手工輸入密鑰的方式，但是這種方式操作性和擴(kuò)展性極差。因而在實(shí)際應(yīng)用中，使用IKE（Internet密鑰交換協(xié)議）來(lái)動(dòng)態(tài)生成共享密鑰，認(rèn)證雙方，實(shí)現(xiàn)安全有效的通信。

SA（Security Association）包含了一些算法集合和一些參數(shù)，是由通信雙方建立的對(duì)數(shù)據(jù)流保護(hù)的約定，對(duì)于雙向傳輸?shù)臄?shù)據(jù)通信需要一對(duì)SA來(lái)完成。SA約定了傳輸數(shù)據(jù)分組的協(xié)議、目標(biāo)IP地址、安全協(xié)議標(biāo)識(shí)符、密鑰、密鑰有效期等。IKE的功能之一就是建立和維護(hù)SA，主要是維護(hù)兩個(gè)組件SADB（SA數(shù)據(jù)庫(kù)）和SPDB（安全策略數(shù)據(jù)庫(kù)），IPSec安全機(jī)制中的AH和ESP都需要使用SA，如圖1所示。

圖1 IPSec安全機(jī)制

Fig.1 IPSec security mechanism

3 VPN

VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）在公用網(wǎng)絡(luò)上建立一個(gè)虛擬的、安全的專用網(wǎng)絡(luò)，進(jìn)行加密通信。這種安全通信技術(shù)方式就是在公用網(wǎng)絡(luò)上，采用隧道技術(shù)和加密技術(shù)建立起安全信道，實(shí)現(xiàn)虛擬專用。因其有著以下顯著優(yōu)點(diǎn)，有著廣泛的應(yīng)用。

（1）低成本。利用當(dāng)前已有的公共網(wǎng)絡(luò)，不需要支付高昂費(fèi)用架設(shè)或租用專線網(wǎng)絡(luò)，大大降低使用成本。

（2）安全性高。使用加密方式進(jìn)行數(shù)據(jù)傳輸，并對(duì)實(shí)體進(jìn)行身份識(shí)別，禁止非授權(quán)用戶訪問(wèn)。

（3）QoS（Quality of Service，服務(wù)質(zhì)量）保證。用戶不用增加額外的硬件配置就可以使用較高品質(zhì)的流量傳輸和帶寬應(yīng)用。

（4）擴(kuò)展性好。支持Internet上各種類型數(shù)據(jù)傳輸，可通過(guò)硬件、軟件等多種方式實(shí)現(xiàn)，并且易于管理維護(hù)。

IPSec VPN采用IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入VPN，是很廣泛的一種應(yīng)用。

4 IPSec VPN在防火墻的應(yīng)用（Application of VPN

in the firewall）

4.1 網(wǎng)絡(luò)環(huán)境

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖2所示。

圖2 網(wǎng)絡(luò)拓?fù)鋱D

Fig.2 Network topology

4.2 實(shí)現(xiàn)方法

以DCFW-1800防火墻為例，先配置防火墻A，在VPN選項(xiàng)中的IKE VPN的P1提議對(duì)話框中，分別設(shè)置提議名稱、驗(yàn)證算法、加密算法等信息，如圖3所示。在配置防火墻B時(shí)，驗(yàn)證算法、加密算法等信息要一致，才能互相通信。

圖3 設(shè)置P1提議

Fig.3 Set the P1 proposal

在IKE VPN中設(shè)置對(duì)端信息，如圖4所示。

圖4 對(duì)端信息

Fig.4 The side information

設(shè)置P2提議，如圖5所示。

圖5 設(shè)置P2提議

Fig.5 Set the P2 proposal

在接口中，新建一個(gè)隧道接口，隧道綁定管理選擇IPSec，如圖6所示。

圖6 設(shè)置隧道

Fig.6 Set the tunnel

再將防火墻的策略和路由按照網(wǎng)絡(luò)拓?fù)鋱D配置好后，完成防火墻A的配置，防火墻B的配置步驟與防火墻A的配置相同。

5 結(jié)論（Conclusion）

基于IPSec的VPN不僅僅可以在防火墻上實(shí)現(xiàn)，也可以在其他網(wǎng)絡(luò)設(shè)備等硬件上實(shí)現(xiàn)，還可以在操作系統(tǒng)等軟件上實(shí)現(xiàn)，因其具有顯著優(yōu)點(diǎn)，在實(shí)際環(huán)境中得到廣泛的應(yīng)用。不同公司的VPN產(chǎn)品因設(shè)計(jì)不同，標(biāo)準(zhǔn)各異，往往會(huì)不兼容，所以盡量使用同型號(hào)設(shè)備。

參考文獻(xiàn)（References）

[1] 喬曉琳.基于IPSec VPN應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2010（6）：1072-1074.

[2] 李石磊.基于Ipsec協(xié)議的VPN代理網(wǎng)關(guān)系統(tǒng)的研究與實(shí)現(xiàn)[D].太原：太原理工大學(xué)，2013.

[3] 陳紅軍，周青云，張有順.基于IPSec的虛擬專用網(wǎng)實(shí)現(xiàn)研究[J].制造業(yè)自動(dòng)化，2011，33（4）：70-72.

[4] 姚立紅，謝立.IPSEC與防火墻協(xié)同工作設(shè)計(jì)與實(shí)現(xiàn)[J].小型微型計(jì)算機(jī)系統(tǒng)，2004（2）：183-186.

[5] 陳慶章，等.基于IPSec協(xié)議的VPN穿越NAT的研究與實(shí)現(xiàn)[J].第二屆中國(guó)互聯(lián)網(wǎng)學(xué)術(shù)年會(huì)，2013.

[6] 李學(xué)花.網(wǎng)絡(luò)數(shù)據(jù)隧道式加密與解密的硬件實(shí)現(xiàn)[D].天津：天津大學(xué)，2006.

作者簡(jiǎn)介：

曹亞群（1978-），女，碩士，講師.研究領(lǐng)域：數(shù)學(xué)建模.

朱 ?。?980-），男，碩士，副教授.研究領(lǐng)域：網(wǎng)絡(luò)信息安全.