畢業(yè)設(shè)計（論文）ipsec在企業(yè)網(wǎng)中的應(yīng)用論文

1、鄭州輕院輕工職業(yè)學(xué)院鄭州輕院輕工職業(yè)學(xué)院 ?？飘厴I(yè)設(shè)計（論文） 題 目 _ipsec 在企業(yè)網(wǎng)中的安全應(yīng)用 學(xué)生姓名 專業(yè)班級 學(xué) 號 系 別 計 算 機 系 指導(dǎo)教師(職稱) 完成時間 2010 年 4 月 1 日 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 i ipsec 在企業(yè)網(wǎng)中的應(yīng)用 摘 要 ipsec(internet 協(xié)議安全)是一個工業(yè)標準網(wǎng)絡(luò)安全協(xié)議，為 ip 網(wǎng)絡(luò)通信提 供透明的安全服務(wù)，保護 tcp/ip 通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊， 同時保持易用性。ipsec 有兩個基本目標：1）保護 ip 數(shù)據(jù)包安全；2）為抵御 網(wǎng)絡(luò)攻擊提供防護措施。 ipsec 結(jié)合密碼保護服務(wù)、

2、安全協(xié)議組和動態(tài)密鑰管理三者來實現(xiàn)上述兩個 目標，不僅能為企業(yè)局域網(wǎng)與撥號用戶、域、網(wǎng)站、遠程站點的通信提供強有 力且靈活的保護，而且還能用來篩選特定數(shù)據(jù)流。 本文主要講述了 ipsecvpn 安全可信網(wǎng)絡(luò)的發(fā)展趨勢、ipsec 的工作原理、 企業(yè)網(wǎng)拓撲結(jié)構(gòu)和 ipsec 的基本配置和具體應(yīng)用。 關(guān)鍵字 ipsecvpn/網(wǎng)絡(luò)安全/防火墻/計算機安全/數(shù)據(jù)加密 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 ii abstract ipsec (internet protocol security) is an industry standard network security protocols, in o

3、rder to provide transparent ip network communications security services to protect the tcp / ip communications from eavesdropping and tampering, can effectively protect against network attacks, while maintaining ease of use. ipsec has two basic objectives: 1) protection of ip packet security; 2) to

4、provide protective measures against cyber-attacks. ipsec services combined with password protection, security and dynamic key management protocol to achieve the three objectives of the two, not only for the enterprise lan and dial-up users, domains, sites, remote sites to provide a powerful and flex

5、ible communication protection, but also can be used to filter specific data stream. this article describes a safe and reliable network ipsecvpn trends, ipsec works, network topological structure and the basic configuration ipsec and specific applications. key words ipsecvpn,networksecurity,firewalls

6、,computersecurity ipsec 在企業(yè)網(wǎng)中的應(yīng)用 iii 目錄 一、ipsecvpn 安全可信網(wǎng)絡(luò)的發(fā)展趨勢1 1.1 硬件 vpn 為主。軟件 vpn 為輔1 1.2 多功能和全功能的 vpn 網(wǎng)關(guān)2 1.3 更豐富的網(wǎng)絡(luò)功能、更高的產(chǎn)品性能2 1.4移動客戶端安裝配置簡化同時強化身份認證功能3 1.5 標準化仍然是主流3 二、ipsec 原理4 2.1ipsec基本概念 4 2.1.1ipsec 基本概念 4 2.1.2ipsec 工作模式 5 2.1.3ipsec 中的安全關(guān)聯(lián) 7 2.2 基于 windows的 ipsec設(shè)計與實現(xiàn)8 2.2.1 技術(shù)解析8 2.2.2

7、 具體實現(xiàn)9 三、企業(yè)網(wǎng)組網(wǎng)方式10 3.1 路由模式10 3.2 單臂模式11 3.3 混合模式11 四、ipsec 實踐11 4.1 windows環(huán)境下 ipsec 的設(shè)置11 4.2 ipsecvpn 基本應(yīng)用21 4.2.1 防火墻 fw1 的配置21 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 iv 4.2.2 防火墻 fw2 的配置24 4.2.3 實驗測試28 4.2.4 實驗總結(jié)29 結(jié)束語30 致 謝31 參考文獻32 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 1 一、ipsecvpn 安全可信網(wǎng)絡(luò)的發(fā)展趨勢 internet 可以到達全球任何一個角落，它為電子政務(wù)、電子商務(wù)和電子業(yè)務(wù) 的廣泛延伸提

8、供了一種靈活的、高成本效益的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)。要充分利用 internet，就必須確保業(yè)務(wù)通信和內(nèi)部網(wǎng)絡(luò)資源的安全性。另外，還要面對可用 性、可伸縮性和高性能的挑戰(zhàn)。vpn 為關(guān)鍵業(yè)務(wù)提供了可靠的性能和方便的擴 展性，一個完整的 vpn 方案能夠在整個安全網(wǎng)絡(luò)架構(gòu)內(nèi)部簡單地集成和管理。 為一個國際標準，ipsec 實際上并不是最近才推出的。通常意義上，一旦 一個技術(shù)變成了標準技術(shù)，往往意味著其發(fā)展到了盡頭。但是 vpn 作為融合安 全和通訊一體的技術(shù)，其發(fā)展并沒有由于其協(xié)議標準化而停滯不前。相反的， vpn 廠家通過多個方面的努力，不斷地把其他領(lǐng)域的技術(shù)引入 vpn 產(chǎn)品，進 一步豐富功能。 總結(jié)

9、國內(nèi) ipsecvpn 發(fā)展的趨勢，可以歸納為以下幾點： 硬件網(wǎng)關(guān)為主，軟件 vpn 為輔，嵌入式系統(tǒng)是發(fā)展的主流； 網(wǎng)關(guān)基本功能模塊化，多功能一體化； 更豐富的網(wǎng)絡(luò)功能，更高的產(chǎn)品性能； 客戶端要求配置更簡化，但是身份認證功能要強化； 標準協(xié)議產(chǎn)品為主，非標準產(chǎn)品占據(jù)邊緣和特色化市場。 1.1 硬件 vpn 為主。軟件 vpn 為輔 現(xiàn)在市面上有以網(wǎng)關(guān)為主的硬件 vpn 產(chǎn)品，也有用 windows 作為基礎(chǔ)平 臺的軟件 vpn 產(chǎn)品。 按照 it 發(fā)展的規(guī)律，專項功能一般由專用的硬軟件一體化設(shè)備完成。特別 是通訊設(shè)備，一般都采用硬件網(wǎng)關(guān)。國外的 vpn 發(fā)展比較成熟，其產(chǎn)品構(gòu)成也 是以硬件

10、為主，軟件一般用于客戶端，讓移動用戶也能夠連接到 vpn 網(wǎng)絡(luò)中。 基于硬件的 vpn，其優(yōu)點是顯而易見的： 硬件設(shè)備具有更高的網(wǎng)絡(luò)及 vpn 處理效率。vpn 硬件網(wǎng)關(guān)在 vpn 功能上 進行了優(yōu)化，很多 vpn 網(wǎng)關(guān)還有加密加速功能，因此其處理效率很高。 專用設(shè)備具有更高的可靠性和穩(wěn)定性。由于采用專用的操作系統(tǒng)，并且啟 動的程序和服務(wù)比較少，因此其可靠性和穩(wěn)定性很高，能夠滿足比較苛刻的商 業(yè)需求。 專用設(shè)備具有更高的安全性。通用的操作系統(tǒng)，由于其龐大復(fù)雜，而且為 了使用方便，開放了很多的端口，網(wǎng)絡(luò)漏洞比較多。專用的系統(tǒng)可以關(guān)閉掉大 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 2 部分這種通用的網(wǎng)絡(luò)服務(wù)端

11、口，確保設(shè)備自身的安全。 就成本而言，硬件 vpn 比軟件 vpn 具有更好的性價比。雖然軟件 vpn 購 買成本相對比較低，但是由于需要配套專門的服務(wù)器或者 pc 機，總體成本并 不低。 1.2 多功能和全功能的 vpn 網(wǎng)關(guān) vpn 的長期發(fā)展趨勢一定是全功能或者多功能的網(wǎng)關(guān)。 假設(shè)用戶需要路由上網(wǎng)、vpn 連接、防火墻、voip、ids 等等功能，如果 每一項功能都需要一個專用設(shè)備的話，那么可能就要安裝 34 臺不同廠家的設(shè) 備。作為網(wǎng)管而言，要熟悉幾種不同風(fēng)格的產(chǎn)品，一旦出現(xiàn)問題，還要分頭找 不同的廠商來解決。要是一家產(chǎn)品各項功能都能夠集成進去，按照模塊方式來 配置，管理工作也就簡化了

12、很多。這種需求代表了以后網(wǎng)關(guān)的發(fā)展趨勢，即要 求硬件網(wǎng)關(guān)多功能一體化。 近期的主要發(fā)展趨勢，首先是防火墻和 vpn 合二為一。實際上，很多防火 墻的產(chǎn)品，都宣稱支持 vpn。而很多的 vpn 產(chǎn)品，也都聲稱有防火墻功能。 vpn 和防火墻都是網(wǎng)關(guān)級的產(chǎn)品，但是其功能本質(zhì)上還是有區(qū)別的，vpn 要解 決節(jié)點之間的通訊問題，本質(zhì)上屬于通訊設(shè)備，而防火墻解決的主要是安全性 問題。無論是防火墻還是 vpn 網(wǎng)關(guān)，一般都安裝于網(wǎng)絡(luò)出口處，一個出口處安 裝兩個設(shè)備，本身就有一個配合問題，雖然各 vpn 廠商都已解決了兼容性問題， 但是如果兩者合二為一，問題就簡化了很多。 vpn 和防火墻的結(jié)合，為用戶提供

13、了良好的綜合功能網(wǎng)關(guān)。例如，國內(nèi)主 流的防火墻廠家天融信公司就選擇華盾 vpn 作為其戰(zhàn)略合作伙伴，從產(chǎn)品深層 次進行了整合，可以無縫捆綁，高效運營。 如此發(fā)展下去，將會有更多的功能集成到網(wǎng)關(guān)中，例如：反病毒、 sslvpn、反垃圾郵件、proxy 代理、ids 等。這些功能被模塊化，然后被自由 組裝。 當然，有利有弊。如果一個設(shè)備的功能太復(fù)雜，那么各項功能將會相互爭 奪網(wǎng)關(guān)的計算資源（內(nèi)存、cpu 等） 。同樣，太復(fù)雜的配置對于用戶也不是好 事情。這在家電行業(yè)早有先例，曾經(jīng)有廠商研發(fā)了 28 個功能的全功能錄像機， 說明書就足有 1 斤重?？墒牵袌龇磻?yīng)很差，因為人們發(fā)現(xiàn)還是單一功能的錄 像

14、機簡單好用。 1.3 更豐富的網(wǎng)絡(luò)功能、更高的產(chǎn)品性能 在 vpn 發(fā)展初期，人們只是把 vpn 作為一種簡單的聯(lián)網(wǎng)方案，并不作過 多的要求。當 vpn 發(fā)展到一定階段以后，vpn 網(wǎng)關(guān)就越來越接近路由器，傳 統(tǒng)路由器的很多網(wǎng)絡(luò)特征，諸如動態(tài) ip 地址適應(yīng)、ospf 協(xié)議等，都被逐步移 植到 vpn 網(wǎng)關(guān)上面，以使 vpn 網(wǎng)關(guān)更好地融入到原有的網(wǎng)絡(luò)體系之中。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 3 另外，對于性能指標的追求是沒有止境的。vpn 產(chǎn)品往高端發(fā)展，性能指 標要求越來越高。重要的性能指標主要是以下幾個方面： 網(wǎng)絡(luò)性能。在明文的條件下，能夠達到千兆交換的速度。 加密速度。國內(nèi)主流的加密卡

15、速度基本都在百兆以下。但是隨著發(fā)展，國 產(chǎn)的加密芯片的加密速度也會逐步提升。另外，國外的加密芯片和板卡，能夠 提供更高的加密處理性能。 并發(fā)連接數(shù)。這是來自防火墻的性能指標概念，同樣適用于 vpn 設(shè)備。主 流的 vpn 設(shè)備，出于基本的安全考慮，至少都帶有一個基于狀態(tài)跟蹤的防火墻。 因此，能夠處理的并發(fā)連接數(shù)，也是一項重要的性能指標。 就高端產(chǎn)品而言，比較理想的指標可以歸結(jié)為：千兆線性網(wǎng)絡(luò)速度、300m 以上的加密速度、50 萬條以上的并發(fā)連接數(shù)。能夠滿足以上條件的網(wǎng)關(guān)，才能 夠滿足高端的應(yīng)用需要。 1.4移動客戶端安裝配置簡化同時強化身份認證功能 vpn 客戶端用于很多 vpn 網(wǎng)絡(luò)中，一

16、般是移動用戶或者單機接入 vpn 網(wǎng) 絡(luò)的末端節(jié)點。企業(yè)領(lǐng)導(dǎo)、業(yè)務(wù)人員、出差人員，可以隨時通過 vpn 查詢企業(yè) 的內(nèi)部信息，如同在企業(yè)內(nèi)部辦公一樣。 由于移動客戶端分布范圍很廣，并且使用者大多數(shù)并不具備很強的網(wǎng)絡(luò)調(diào) 試能力。因此，vpn 客戶端要易用，配置參數(shù)要簡單。 在簡化 vpn 客戶端配置的同時，也要強化其身份認證機制?？雌饋硭坪趺?盾，但是具有必要性。移動用戶作為 vpn 網(wǎng)絡(luò)的末端節(jié)點通過 internet 接入， 必須保證其身份的合法性，以免帶來安全隱患。 除了傳統(tǒng)的用戶名/口令、證書等方式以外，基于硬件特征信息的身份認證 機制也得到了很多用戶的青睞。目前，普遍采用 usb-ke

17、y 和手機 sim 卡作為 身份認證的介質(zhì)，移動用戶需要在 usb 口上插入 key 或手機，才能夠發(fā)起 vpn 連接。另外，基于計算機硬件特征的身份標識，也得到了越來越多的應(yīng)用。 根據(jù)計算機硬件算出一個特征值，作為該節(jié)點此后認證的依據(jù)。這樣，只有匹 配硬件特征的計算機可以使用這個身份連接到 vpn 網(wǎng)絡(luò)中。 1.5 標準化仍然是主流 現(xiàn)在國內(nèi)有一些廠商采用自定義的協(xié)議。非標準的 vpn 不受現(xiàn)有的標準約 束，可以隨心所欲地改動。特別是純軟件 vpn 解決方案，可以充分利用 pc 機 的計算能力，具有更多的賣點。 但是，非標準 vpn 也具有許多缺點：首先，自定義的通訊協(xié)議，安全性沒 有經(jīng)過充

18、分認證，安全性和可靠性值得懷疑。ipsec 和其他的 vpn 標準，是在 國際上經(jīng)過長時間考驗，其標準的起草到正式發(fā)布，經(jīng)過了大量的論證和權(quán)衡。 絕對不是哪一家廠商自己定義一個協(xié)議就可以超越的。另外，非標準 vpn 產(chǎn)品 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 4 無法和其他廠家的 vpn 設(shè)備互聯(lián)互通。 二、ipsec 原理 使用 internet 協(xié)議安全（internetprotocolsecurity，ipsec）是解決網(wǎng)絡(luò)安全 問題的長久之計。它能針對那些來自專用網(wǎng)絡(luò)和 internet 的攻擊提供重要的防線， 并在網(wǎng)絡(luò)安全性與便用性之間取得平衡。ipsec 是一種加密的標準，它允許在差 別很

19、大的設(shè)備之間進行安全通信。利用 ipsec 不僅可以構(gòu)建基于操作系統(tǒng)的防 火墻，實現(xiàn)一般防火墻的功能。它還可以為許可通信的兩個端點建立加密的、 可靠的數(shù)據(jù)通道。 2.1ipsec 基本概念 2.1.1ipsec 基本概念 ipsec 通過使用基于密碼學(xué)的保護服務(wù)、安全協(xié)議和動態(tài)密鑰管理，可以實 現(xiàn)以下這幾個目標： 1、認證 ip 報文的來源 基于 ip 地址的訪問控制十分脆弱，因為攻擊者可以很容易利用偽裝的 ip 地址來發(fā)送 ip 報文。許多攻擊者利用機器間基于 ip 地址的信任，來偽裝 ip 地 址。ipsec 允許設(shè)備使用比源 ip 地址更安全的方式來認證 ip 數(shù)據(jù)報的來源。 ipsec

20、 的這一標準稱為原始認證（originauthentication） 。 2、保證 ip 數(shù)據(jù)報的完整性 除了確認 ip 數(shù)據(jù)報的來源，還希望能確保報文在網(wǎng)絡(luò)中傳輸時沒有發(fā)生變 化。使用 ipsec，可以確信在 ip 報文上沒有發(fā)生任何變化。ipsec 的這一特性稱 為無連接完整性。 3、確保 ip 報文的內(nèi)容在傳輸過程中未被讀取 除了認證與完整性之外，還期望當報文在網(wǎng)上傳播時，未授權(quán)方不能讀取 報文的內(nèi)容。這可以通過在傳輸前，將報文加密來實現(xiàn)。通過加密報文，可以 確保攻擊者不能破解報文的內(nèi)容，即使他們可以用偵聽程序截獲報文。 4、確保認證報文沒有重復(fù) 最終，即使攻擊者不能發(fā)送偽裝的報文，不能

21、改變報文，不能讀取報文的 內(nèi)容，攻擊者仍然可以通過重發(fā)截獲的認證報文來干擾正常的通信，從而導(dǎo)致 事務(wù)多次執(zhí)行，或是使被復(fù)制報文的上層應(yīng)用發(fā)生混亂。ipsec 能檢測出重復(fù)報 文并丟棄它們。這一特性稱為反重傳（antireplay） 。 ipsec 建立在終端到終端的模式上，這意味著只有識別 ipsec 的計算機才能 作為發(fā)送和接收計算機。ipsec 并不是一個單一的協(xié)議或算法，它是一系列加密 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 5 實現(xiàn)中使用的加密標準定義的集合。ipsec 實現(xiàn)在 ip 層的安全，因而它與任何 上層應(yīng)用或傳輸層的協(xié)議無關(guān)。上層不需要知道在 ip 層實現(xiàn)的安全，所以在 ip 層不需要

22、做任何修改。 2.1.2ipsec 工作模式 ipsec 在 ip 報文中使用一個新的 ipsec 報頭來封裝信息，這個過程類似于 用一個正常的 ip 報文頭封裝上層的 tcp 或 udp 信息。新的 ipsec 報文包含 ip 報文認證的信息，原始 ip 報文的內(nèi)容，可以根據(jù)特定應(yīng)用的需求選擇加密與否。 可以配置 ipsec 封裝完整的 ip 數(shù)據(jù)報或只是上層信息。如果配置為封裝整 個 ip 數(shù)據(jù)報，那么它就工作在隧道模式（tunnelmode） 。如果配置為只封裝 ip 數(shù)據(jù)報中上層協(xié)議信息，那么它就工作在傳輸模式（transportationmode） 。如 圖 2-1、2-2 所示。

23、圖 2-1隧道模式 圖 2-2傳輸模式 除了 ipsec 模式之外，還有兩種 ipsec 的報頭： 認證報頭：只用于認證 ip 報文，對原始 ip 報文不做任何加密。 封裝安全負載：可以像認證報頭那樣對原始 ip 報文實現(xiàn)認證，并可以實 現(xiàn)加密。 1、認證報頭 認證報頭（authenticationheader，ah）為整個數(shù)據(jù)包（數(shù)據(jù)包中攜帶的 ip 報頭和數(shù)據(jù)）提供身份驗證、完整性和防止重發(fā)，ah 還簽署整個數(shù)據(jù)包。因 為不加密數(shù)據(jù)，所以不提供機密性。數(shù)據(jù)可以讀取，但是禁止修改。ah 使用 hmac 算法來簽署數(shù)據(jù)包。 例如，使用計算機 a 的 alice 將數(shù)據(jù)發(fā)送給使用計算機 b 的

24、bob。ip 報頭、 ah 報頭和數(shù)據(jù)通過簽名來防止修改。這意味著 bob 可以確定確實是 alice 發(fā)送 的數(shù)據(jù)并且數(shù)據(jù)未經(jīng)修改。 完整性和身份驗證通過在 ip 報頭和傳輸協(xié)議報頭（tcp 或 udp）之間放 置 ah 報頭來提供，如圖 2-3 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 6 圖 2-3ah 報文格式 2、封裝安全負載 封裝安全負載（encapaulatingsecuritypayload，esp）除了身份驗證、完整 性和防止重發(fā)外，還提供機密性。除非使用隧道，否則 esp 通常不簽署整個數(shù) 據(jù)包，即通常只保護數(shù)據(jù)，而不保護 ip 報頭。esp 主要使用 des 或 3des 加

25、 密算法為數(shù)據(jù)包提供保密性。 例如，使用計算機 a 的 alice 將數(shù)據(jù)發(fā)送給使用計算機 b 的 bob。因為 esp 提供機密性，所以數(shù)據(jù)被加密。對于接收，在驗證過程完成后，數(shù)據(jù)包的 數(shù)據(jù)部分將被解密。bob 可以確定確實是 alice 發(fā)送的數(shù)據(jù)并且數(shù)據(jù)未經(jīng)修改， 其他人無法讀取這些數(shù)據(jù)。 安全性通過在 ip 報頭和傳輸協(xié)議報頭（tcp 或 udp）之間放置 esp 報頭 來提供，如圖 2-4 所示。 圖 2-4esp 報文格式 在上圖中，ip 和 esp 報頭封裝了最終的源和目的間的數(shù)據(jù)包。簽名區(qū)指 示數(shù)據(jù)包在這些地方進行完整性保護。加密區(qū)指示整個原始數(shù)據(jù)包被加密。 下面，我們通過對比

26、的方法總結(jié)一下 ah、esp 的功能特性，見表 1。 表 1ipsec 安全報頭的特征 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 7 2.1.3ipsec 中的安全關(guān)聯(lián) 除了 ipsec 報頭之外，在安全的數(shù)據(jù)被交換之前，兩臺計算機之間必須先 建立一個契約。該契約稱為安全關(guān)聯(lián)（securityassociation，sa） 。在 sa 中，兩 臺計算機在如何交換和保護信息方面達成一致，如圖 2-5 所示。 安全關(guān)聯(lián)(sa)是策略和密鑰的結(jié)合，它定義用來保護端對端通訊的常規(guī)安 全服務(wù)、機制以及密鑰。sa 可以看成是兩個 ipsec 對等端之間的一條安全隧道， 可以為不同類型的流量創(chuàng)建獨立的 sa。例如，當一

27、臺計算機與多臺計算機同時 進行安全性通訊時可能存在多種關(guān)聯(lián)。這種情況經(jīng)常發(fā)生在當計算機是用作文 件服務(wù)器或向多個客戶提供服務(wù)的遠程訪問服務(wù)器的時候。一臺計算機也可以 與另一臺計算機有多個 sa。例如：可以在兩臺主機之間為 tcp 建立獨立的 sa，并在同樣兩臺機器之間建立另一條支持 udp 的 sa。甚至可以為每個 tcp 或 udp 端口建立分離的 sa。在這些情況下，接收端計算機使用安全參數(shù)索引 (spi)來決定將使用哪種 sa 處理傳入的數(shù)據(jù)包。spi 是一個分配給每個 sa 的字 串，用于區(qū)分多個存在于接收端計算機上的安全關(guān)聯(lián)。 圖 2-5安全關(guān)聯(lián)（sa） 注意每個 sa 可以使用不同

28、的安全協(xié)議?？梢栽趦蓚€ ipsec 對等端之間只進 行使用 ah 報頭的認證，或是只進行加密。ipsec 十分靈活，它可以支持多種選 擇。 為在兩臺計算機之間建立該契約，ietf 已經(jīng)建立了一個安全關(guān)聯(lián)和密鑰交 換方案的標準方法，它將 internet 安全關(guān)聯(lián)和密鑰管理協(xié)議(isakmp)以及 oakley 密鑰生成協(xié)議進行合并。isakmp 集中了安全關(guān)聯(lián)管理，減少了連接時 間。oakley 生成并管理用來保護信息的身份驗證密鑰。 為保證通訊的成功和安全，isakmp/oakley 執(zhí)行兩個階段的操作：密鑰交 換和數(shù)據(jù)保護。它通過使用在兩臺計算機上協(xié)商從而達成一致的加密和身份驗 證算法保證

29、機密性和身份驗證。這包括： ipsec 協(xié)議：ah、esp。 加密算法：des、3des、40 位 des 或無。 完整性算法：md5 或 sha。 身份驗證方式：公鑰證書、預(yù)共享密鑰或 kerberosv5（windows2000 默 認） 。 diffie-hellman 組。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 8 2.2 基于 windows 的 ipsec 設(shè)計與實現(xiàn) 由于歷史的原因，各企業(yè)都存在一些以前開發(fā)的業(yè)務(wù)處理系統(tǒng)，這些業(yè)務(wù) 系統(tǒng)沒有考慮數(shù)據(jù)在局域網(wǎng)和廣域網(wǎng)傳輸時的機密性和完整性。要解決這些系 統(tǒng)數(shù)據(jù)的安全傳輸問題，可以采用將應(yīng)用系統(tǒng)逐個改造，增加加密處理過程的 方法來實現(xiàn)，但這種

30、方法需要投入大量的人力和物力；也可以采用主機加裝硬 件加密裝置的方法實現(xiàn)，但這種方法需要增加大量的投資，并且擴展性差。因 此，利用 ipsec 技術(shù)，在網(wǎng)絡(luò)層實現(xiàn)加密傳輸，適應(yīng)已有的各種應(yīng)用系統(tǒng)，保 護已有的投資，成為我們的首選。 2.2.1 技術(shù)解析 ipsec 協(xié)議是由 ietf 制定的一種基于 ip 協(xié)議的安全標準，用于保證 ip 數(shù) 據(jù)包傳輸時的安全性。ipsec 協(xié)議由安全協(xié)議（包括 ah 協(xié)議和 esp 協(xié)議） 、密 鑰管理協(xié)議（如 ike）以及認證和加密算法組成。 ipsec 支持傳輸模式和隧道模式。傳輸模式主要為上層協(xié)議提供保護，即對 ip 包的載荷進行保護，通常用于兩個主機之

31、間的端對端通信。隧道模式提供對 所有 ip 包的保護，即將整個 ip 包（含包頭和載荷）封裝，作為新的 ip 包的載 荷進行傳送。 其中，封裝安全載荷是插入 ip 數(shù)據(jù)包內(nèi)的一個協(xié)議頭，以便為 ip 提供機 密性、數(shù)據(jù)源驗證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。驗證頭（ah）則用于 為 ip 提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗證和一些可選的、有限的抗重播服務(wù)。 ike 是 ipsec 的自動密鑰管理協(xié)議，它建立在 internet 安全關(guān)聯(lián)和密鑰管理協(xié)議 （isakmp）定義的框架上，定義出自己獨一無二的驗證加密材料生成技術(shù)， 以及協(xié)商共享策略。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 9 2.2.2 具體實現(xiàn)

32、 目前，大部分單位的計算機都使用 windows2000/xp 操作系統(tǒng)，因此，我 們通過在 windows 主機上實現(xiàn) ipsec 來確保數(shù)據(jù)加密傳輸和認證。我們采用 ndis 技術(shù)在網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層插入自己編寫的模塊的方式實現(xiàn) ipsec。ndis 是一種網(wǎng)絡(luò)接口規(guī)范，它將網(wǎng)絡(luò)硬件抽象為網(wǎng)絡(luò)驅(qū)動程序。它將用來管理硬件 的底層驅(qū)動程序抽象為上層驅(qū)動程序，也維護著狀態(tài)信息和網(wǎng)絡(luò)驅(qū)動程序的參 數(shù)。 我們實現(xiàn)的 ipsec 系統(tǒng)包括管理模塊、ike 密鑰交換模塊和 ipsec 驅(qū)動模塊。 其中：管理模塊實現(xiàn)對安全關(guān)聯(lián)數(shù)據(jù)庫（sad）和安全策略數(shù)據(jù)庫（spd）的 管理，也可以通過 ike 模塊發(fā)起

33、密鑰交換；ike 密鑰交換模塊完成安全關(guān)聯(lián) （sa）建立、協(xié)商、修改和刪除等工作；ipsec 驅(qū)動模塊完成安全策略查詢 （是否對 ip 包進行 ipsec 處理） ，ip 數(shù)據(jù)包的加/解密，數(shù)據(jù)包封裝/拆封等工作。 利用 ipsec 技術(shù)，在網(wǎng)絡(luò)層實現(xiàn) ip 數(shù)據(jù)包的加密傳輸和認證，有效地彌補 了應(yīng)用系統(tǒng)安全傳輸機制的不足，既提高了系統(tǒng)的安全性，又延長了應(yīng)用系統(tǒng) 的生命周期。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 10 三、企業(yè)網(wǎng)組網(wǎng)方式 3.1 路由模式 部署模式：充當網(wǎng)關(guān)設(shè)備，或者將深信服 ipsecvpn 部署在路由器與交換 器之間。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 11 3.2 單臂模式 部署模

34、式：將深信服 ipsecvpn 部署交換機之下，此種模式下，仍然支持 多條 internet 線路復(fù)用。 3.3 混合模式 支持路由+單臂模式 四、ipsec 實踐 4.1 windows 環(huán)境下 ipsec 的設(shè)置 【實驗拓撲】 圖 4-1 實驗拓撲圖 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 12 說明：兩臺主機通過交換機或其它網(wǎng)絡(luò)設(shè)備連接，在兩臺主機上建立 ipsec 安全通道，對允許的通信進行進一步的安全設(shè)置，兩臺主機均為 windowsxp。 【實驗步驟】 1.在主機 pc1 上進入 ipsec 配置界面。通過“開始”“控制面板”“管理 工具”“本地安全策略”打開 ipsec 相關(guān)配置界面，選擇

35、“ip 安全策略，在本 地計算機上” ，如圖 4-2 所示。 圖 4-2 本地安全設(shè)置 默認情況下 ipsec 的安全策略處于沒有啟動狀態(tài)，必須進行指定，ipsec 才能發(fā)揮作用。在 windows 環(huán)境下，ipsec 包含以下 3 個默認策略，如圖 4-2 所示。 安全服務(wù)器：對所有 ip 通信總是使用 kerberos 信任請求安全。不允許與不 被信任的客戶端的不安全通信。這個策略用于必須采用安全通道進行通信的計 算機。 客戶端：正常通信，默認情況下不使用 ipsec。如果通信對方請求 ipsec 安全通信，則可以建立 ipsec 虛擬專用通道。只有與服務(wù)器的請求協(xié)議和端口 通信是安全的。

36、 服務(wù)器：默認情況下，對所有 ip 通信總是使用 kerberos 信任請求安全。允 許與不響應(yīng)請求的客戶端的不安全通信。 2.定制 ipsec 安全策略。雙擊“安全服務(wù)器”策略，打開添加 ipsec 策略 界面，如圖 4-3 所示。單擊“添加”進入向?qū)?，單擊“下一步”按鈕打開圖 4- 4。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 13 圖 4-3 添加 ipsec 策略 3.在本實驗中，我們實現(xiàn)的是兩臺主機之間的 ipsec 安全隧道，而不是兩 個網(wǎng)絡(luò)之間的安全通信，因此，我們選擇“此規(guī)則不指定隧道” ，即選用傳輸模 式 ipsec,如圖 4-4 所示，然后點擊“下一步”按鈕。 圖 4-4 設(shè)置 ip

37、sec 的模式 4.進入選擇網(wǎng)絡(luò)類型的界面。安全規(guī)則可以應(yīng)用到 3 種網(wǎng)絡(luò)類型：所有網(wǎng) 絡(luò)連接、局域網(wǎng)和遠程訪問。本實驗中，我們選擇“所有網(wǎng)絡(luò)連接” ，如圖 4-5 所示，點擊“下一步”按鈕。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 14 圖 4-5 安全規(guī)則應(yīng)用的網(wǎng)絡(luò)類型 5.進入身份認證方法界面。在 windows 環(huán)境下提供了 3 種身份認證的方法： kerberosv5、證書和預(yù)共享密鑰。我們選擇“預(yù)共享密鑰”并設(shè)定為 “yanqing”,如圖 4-6 所示，點擊“下一步”按鈕。 圖 4-6ipsec 身份認證方法 6.進入 ip 篩選器列表界面。在本實驗中，我們對 icmp 信息進行協(xié)商，并

38、進行加密保護。因此，我們制定了 icmp 篩選器，如圖 4-7，點擊“添加”按鈕。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 15 圖 4-7ip 篩選器列表選項 7.新添加的 ip 篩選器列表定義名稱為“協(xié)商 icmp”,如圖 4-8 所示。點擊 “添加”按鈕，定義新篩選器的屬性。 圖 4-8ip 篩選器列表 8.進入向?qū)Ы缑?，單擊“下一步?。在本實驗中，篩選器的源 ip 是“我的 ip”,目的 ip 是“任何 ip” ，協(xié)議類型是“icmp” ，如圖 4-9 所示。單擊“確定” 回到 ip 篩選器列表選項界面。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 16 圖 4-9ip 篩選器列表 9.選中新添加的篩選器“

39、協(xié)商 icmp” ，如圖 4-10 所示，然后點擊“下一步” ，進入篩選器操作的相關(guān)設(shè)置界面。 圖 4-10ip 篩選器列表選項 10.缺省已有三種操作，如圖 4-11 所示，但不符合我們的要求。因此，單擊 “添加”按鈕進入篩選器操作的設(shè)置界面。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 17 圖 4-11 篩選器操作選項 11.進入設(shè)置向?qū)?，單擊“下一步?，設(shè)置篩選器操作的名稱，如圖 4-12 所 示。 圖 4-12 篩選器操作名稱 12.在這里我們可以對新篩選器操作的細節(jié)進行設(shè)置。其中，可以選擇許 可、阻止對符合ip 篩選器的數(shù)據(jù)流進行過濾。這可以簡單的實現(xiàn)一個普通 防火墻的功能。除此之外，如果選擇

40、協(xié)商安全還可以對允許的通信進行進一 步的安全設(shè)置。單擊“下一步” ，打開界面圖 4-14。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 18 圖 4-13 篩選器操作 13.為了通信安全，與之要求通信的其他主機必須支持 ipsec，因此，我們 選擇“不和不支持 ipsec 的計算機通信” ，單擊下一步，打開 ip 通信安全設(shè)施 設(shè)置界面，如圖 4-15 所示。 圖 4-14ipsec 操作設(shè)置 14.選擇自定義，進行具體設(shè)置，如圖 4-15 所示。單擊“確定” ，完成操作 設(shè)置并回到選擇操作界面，如圖 4-16 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 19 圖 4-15 自定義安全措施設(shè)置 15.選中自定義的

41、“協(xié)商 icmp”操作，如圖 4-16，單擊“下一步”完成操 作器的操作，回到選擇過濾器界面，如圖 4-17 所示。 圖 4-16 篩選器操作選擇界面 16.將缺省的 ip 安全規(guī)則前面的對勾去掉，選擇我們添加的“協(xié)商 icmp” ， 如圖 4-17 所示，單擊“應(yīng)用”使得選擇生效，至此，篩選器的規(guī)則和操作設(shè)置 完畢。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 20 圖 4-17ip 安全規(guī)則選擇界面 17.最后，必須指派策略，否則策略不會自動生效。點擊“安全服務(wù)器”右 鍵，選擇“指派” ，如圖 4-18 所示。 圖 4-18 指派策略 至此，主機 pc1 的 ipsec 配置已經(jīng)完成。按照同樣的步驟設(shè)置

42、主機 pc2 的 ipsec 虛擬專用隧道。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 21 4.2 ipsecvpn 基本應(yīng)用 【實驗拓撲】 圖 4-1 實驗拓撲圖 說明：防火墻 fw1、fw2 分別作為連個局域網(wǎng)內(nèi)網(wǎng) 1、內(nèi)網(wǎng) 2 的網(wǎng)關(guān)，且具 有 vpn 功能；內(nèi)網(wǎng) 1 和內(nèi)網(wǎng) 2 中的主機可以相互通信；在兩臺網(wǎng)關(guān)連接的線路 上有一臺集線器，其連接的 pc3 用來分析 ipsec 的協(xié)商過程，并捕獲 pc1 和 pc2 通過虛擬專用網(wǎng)隧道傳輸?shù)臄?shù)據(jù)包加密后的 esp/ah 報文。 【實驗步驟】 4.2.1 防火墻 fw1 的配置 1.進入系統(tǒng)管理網(wǎng)絡(luò)，配置接口地址，如圖 4-2 所示。 圖 4-2f

43、w1 接口地址 進入防火墻地址，建立內(nèi)網(wǎng) 1 地址對象，如圖 4-3 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 22 圖 4-3 地址對象 3.進入虛擬專用網(wǎng)ipsec自動交換密鑰（ike）創(chuàng)建階段 1，建立 ipsecvpn 第一個階段，如圖 4-4 所示。本階段主要是建立通道名稱，通道兩 端接口或地址及虛擬通道的協(xié)商方式，這里采用“預(yù)共享密鑰” ，密鑰為 123456.協(xié)商參數(shù)兩端需保持一致。 圖 4-4vpn 階段 1 4.進入虛擬專用網(wǎng)ipsec自動交換密鑰（ike）創(chuàng)建階段 2，建立 ipsecvpn 第二個階段，如圖 4-5 所示。本階段主要設(shè)置雙方交互數(shù)據(jù)方案， 如加密算法、認證算法

44、、密鑰強度（這些參數(shù)雙方要設(shè)置一致）及兩個通信局 域網(wǎng)的網(wǎng)絡(luò)地址。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 23 圖 4-5vpn 階段 2 5.進入路由靜態(tài)靜態(tài)路由新建，添加一條到 vpn 網(wǎng)關(guān)的缺省路由，如 圖 4-6 所示。接口為外網(wǎng)口 internal，網(wǎng)關(guān)為 internal 接口地址。 圖 4-6 添加缺省路由 6.進入防火墻策略，建立策略，如圖 4-7 所示。模式選擇 ipsec，vpn 通 道選擇剛才建立的 test，允許數(shù)據(jù)流入和流出 vpn 通道。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 24 圖 4-7 新建輸出策略 7.進入虛擬專用網(wǎng)ipsec動態(tài) vpn 監(jiān)視器，單擊隧道后面的開通隧道圖

45、 標，開啟后圖標變成綠色，由于 fw2 還沒有開啟隧道，可能單擊后仍是 紅色。如圖 4-8 所示。 圖 4-8 動態(tài) vpn 監(jiān)視器 4.2.2 防火墻 fw2 的配置 1.進入系統(tǒng)管理網(wǎng)絡(luò)，配置接口地址，如圖 4-9 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 25 圖 4-9fw2 接口地址 2.進入防火墻地址，建立內(nèi)網(wǎng) 2 地址對象，如圖 4-10 所示。 圖 4-10 地址對象 3.進入虛擬專用網(wǎng)ipsec自動交換密鑰（ike）創(chuàng)建階段 1，建立 ipsecvpn 第一個階段，如圖 4-11 所示。本階段主要是建立通道名稱，通道兩 端接口或地址及虛擬通道的協(xié)商方式，這里采用“預(yù)共享密鑰” ，密鑰為 123456.協(xié)商參數(shù)與 fw1 保持一致。 圖 4-11vpn 階段 1 4.進入虛擬專用網(wǎng)ipsec自動交換密鑰（ike）創(chuàng)建階段 2，建立 ipsecvpn 第二個階段，如圖 4-12 所示。本階段主要設(shè)置雙方交互數(shù)據(jù)方案， 如加密算法、認證算法、密鑰強度（這些參數(shù)雙方要設(shè)置一致