基于Ipsec隧道協(xié)議的vpn解決方案研究7_第1頁
基于Ipsec隧道協(xié)議的vpn解決方案研究7_第2頁
基于Ipsec隧道協(xié)議的vpn解決方案研究7_第3頁
基于Ipsec隧道協(xié)議的vpn解決方案研究7_第4頁
基于Ipsec隧道協(xié)議的vpn解決方案研究7_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

計算機學院網(wǎng)絡工程課程設計題目基于IPSEC的VPN解決方案研究學號000000姓名000000系部000000年級專業(yè)班級000000指導教師、職稱000000基于Ipsec隧道協(xié)議的vpn解決方案研究摘要[摘要]目前,TCP/IP幾乎是所有網(wǎng)絡通信的基礎,而IP本身是沒有提供“安全”的,在傳輸過程中,IP包可以被偽造、篡改或者窺視。針對這些問題,IPSec可有效地保護IP數(shù)據(jù)報的安全,它提供了一種標準的、健壯的以及包容廣泛的機制,可用它為IP及上層協(xié)議(如UDP和TCP)提供安全保證。目前許多電信運營商采用IPSec隧道加密技術,在寬帶業(yè)務的基礎上推出主要針對商用客戶的VPN新業(yè)務,為商用客戶既提供了高帶寬低資費的企業(yè)網(wǎng)絡聯(lián)網(wǎng)服務,又提供了在公用網(wǎng)絡上擁有私有VPN網(wǎng)絡的數(shù)據(jù)傳輸安全保障服務,贏得了廣大商用客戶的青睞。本文將研究IPSec體系結(jié)構(gòu)、技術原理和VPN基本技術,分析了IPSecVPN的主要實現(xiàn)方式.[關鍵詞]IPsecvpn加密隧道安全緒論 3第一章、vpn簡介 51、定義 52、分類 5(1)按VPN的協(xié)議分類 5(2)按VPN的應用分類: 5(3)按所用的設備類型進行分類: 5第二章、ipsecvpn 61、簡介 62、IPsecAH(認證頭協(xié)議) 63、IPsecESP:封裝安全負載 74、IPsecIKE(密鑰交換協(xié)議) 85、IPsecISAKMP(安全連接和密鑰管理協(xié)議) 96、優(yōu)缺點: 106.1優(yōu)點(1)IPSec是與應用無關的技術,因此IPSecVPN的客戶端支持所有IP層協(xié)議;(2)IPSec技術中,客戶端至站點(client-to-site)、站點對站點(site-to-site)、客戶端至客戶端(client-to-client)連接所使用的技術是完全相同的;(3)IPSecVPN網(wǎng)關一般整合了網(wǎng)絡防火墻的功能;6.2不足(1)IPSecVPN需要安裝客戶端軟件,但并非所有客戶端操作系統(tǒng)均支持IPSecVPN的客戶端程序;(2)IPSecVPN的連接性會受到網(wǎng)絡地址轉(zhuǎn)換(NAT)的影響,或受網(wǎng)關代理設備(proxy)的影響;(3)IPSecVPN需要先完成客戶端配置才能建立通信信道,并且配置復雜。 107、IPSEC的運行模式 117.1隧道模式(TunnelingMode) 117.2傳送模式(TransportMode) 11基本協(xié)議模塊: 13第三章、ipsecvpn案例 14總結(jié) 15緒論隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構(gòu)建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結(jié)構(gòu)日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。網(wǎng)絡安全問題伴隨著網(wǎng)絡的產(chǎn)生而產(chǎn)生,可以說,有網(wǎng)絡的地方就存在網(wǎng)絡安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡安全事件,目前主要是通過網(wǎng)絡進行的,而且?guī)缀趺繒r每刻都在發(fā)生,遍及全球。除此之外,像惡意軟件入侵、攻擊,用戶的非法訪問和操作,用戶郵件的非法截取和更改等都是普遍存在的安全事實。網(wǎng)絡安全事件所帶來的危害,相信我們每個計算機用戶都或多或少地親身體驗過一些:輕則使電腦系統(tǒng)運行不正常,重則使整個計算機系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅,甚至導致磁盤、計算機等硬件的損壞。為了防范這些網(wǎng)絡安全事故的發(fā)生,每個計算機用戶,特別是企業(yè)網(wǎng)絡用戶,必須采取足夠的安全防范措施,甚至可以說要在利益均衡情況下不惜一切代價。但要注意,企業(yè)網(wǎng)絡安全策略的實施是一項系統(tǒng)工程,它涉及許多方面。因此既要充分考慮到那些平時經(jīng)常提及的外部網(wǎng)絡威脅,又要對來自內(nèi)部網(wǎng)絡和網(wǎng)絡管理本身所帶來的安全隱患有足夠的重視,不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發(fā)的途徑可以是多方面的,而許多安全措施都是相輔相成的。

第一章、vpn簡介1、定義虛擬專用網(wǎng)絡(VirtualPrivateNetwork,簡稱VPN)指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。其之所以稱為虛擬網(wǎng),主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是架構(gòu)在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺,如Internet、ATM(異步傳輸模式〉、FrameRelay(幀中繼)等之上的邏輯網(wǎng)絡,用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡或公共網(wǎng)絡的封裝、加密和身份驗證鏈接的專用網(wǎng)絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。2、分類(1)按VPN的協(xié)議分類VPN的隧道協(xié)議主要有三種,PPTP,L2TP和IPSec,其中PPTP和L2TP協(xié)議工作在OSI模型的第二層,又稱為二層隧道協(xié)議;IPSec是第三層隧道協(xié)議,也是最常見的協(xié)議。L2TP和IPSec配合使用是目前性能最好,應用最廣泛的一種。(2)按VPN的應用分類:1)AccessVPN(遠程接入VPN):客戶端到網(wǎng)關,使用公網(wǎng)作為骨干網(wǎng)在設備之間傳輸VPN的數(shù)據(jù)流量;2)IntranetVPN(內(nèi)聯(lián)網(wǎng)VPN):網(wǎng)關到網(wǎng)關,通過公司的網(wǎng)絡架構(gòu)連接來自同公司的資源;3)ExtranetVPN(外聯(lián)網(wǎng)VPN):與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet,將一個公司與另一個公司的資源進行連接;(3)按所用的設備類型進行分類:網(wǎng)絡設備提供商針對不同客戶的需求,開發(fā)出不同的VPN網(wǎng)絡設備,主要為交換機,路由器,和防火墻1)路由器式VPN:路由器式VPN部署較容易,只要在路由器上添加VPN服務即可;2)交換機式VPN:主要應用于連接用戶較少的VPN網(wǎng)絡;3)防火墻式VPN:防火墻式VPN是最常見的一種VPN的實現(xiàn)方式,許多廠商都提供這種配置類型圖1虛擬專用網(wǎng)絡模型:第二章、ipsecvpn1、簡介Internet協(xié)議安全性(IPSec)”是一種開放標準的框架結(jié)構(gòu),通過使用加密的安全服務以確保在Internet協(xié)議(IP)網(wǎng)絡上進行保密而安全的通訊。Microsoft®Windows®2000、WindowsXP和WindowsServer2003家族實施IPSec是基于“Internet工程任務組(IETF)”IPSec工作組開發(fā)的標準。2、IPsecAH(認證頭協(xié)議)IPsecAH(IPsecAH:IPsecAuthenticationHeader)認證頭協(xié)議是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議。(如圖1-3所示)它為IP數(shù)據(jù)報提供無連接完整性與數(shù)據(jù)源認證,并提供保護以避免重播情況。一旦建立安全連接,接收方就可能會選擇后一種服務。AH盡可能為IP頭和上層協(xié)議數(shù)據(jù)提供足夠多的認證。但是,在傳輸過程中某些IP頭字段會發(fā)生變化,且發(fā)送方無法預測當數(shù)據(jù)包到達接受端時此字段的值。AH并不能保護這種字段值。因此,AH提供給IP頭的保護有些是零碎的。AH可被獨立使用,或與IP封裝安全負載(ESP)相結(jié)合使用,或通過使用隧道模式的嵌套方式。在通信主機與通信主機之間、通信安全網(wǎng)關與通信安全網(wǎng)關之間或安全網(wǎng)關與主機之間可以提供安全服務。ESP提供了相同的安全服務并提供了一種保密性(加密)服務,而ESP與AH各自提供的認證其根本區(qū)別在于它們的覆蓋范圍。特別地,不是由ESP封裝的IP頭字段則不受ESP保護。通常,當用與IPv6時,AH出現(xiàn)在IPv6逐跳路由頭之后IPv6目的選項之前。而用于IPv4時,AH跟隨主IPv4頭。圖2認證頭協(xié)議示意圖:3、IPsecESP:封裝安全負載PsecESP(IPsecEncapsulatingSecurityPayload)封裝安全負載是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議,其主要設計來在IPv4和IPv6中提供安全服務的混合應用。IPsecESP通過加密需要保護的數(shù)據(jù)以及在IPsecESP的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來提供機密性和完整性。根據(jù)用戶安全要求,這個機制既可以用于加密一個傳輸層的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整個的IP數(shù)據(jù)報。封裝受保護數(shù)據(jù)是非常必要的,這樣就可以為整個原始數(shù)據(jù)報提供機密性ESP頭可以放置在IP頭之后、上層協(xié)議頭之前(傳送層),或者在被封裝的IP頭之前(隧道模式)。IANA分配給ESP一個協(xié)議數(shù)值50,在ESP頭前的協(xié)議頭總是在“nexthead”字段(IPv6)或“協(xié)議”(IPv4)字段里包含該值50。ESP包含一個非加密協(xié)議頭,后面是加密數(shù)據(jù)。該加密數(shù)據(jù)既包括了受保護的ESP頭字段也包括了受保護的用戶數(shù)據(jù),這個用戶數(shù)據(jù)可以是整個IP數(shù)據(jù)報,也可以是IP的上層協(xié)議幀(如:TCP或UDP)。ESP提供機密性、數(shù)據(jù)源認證、無連接的完整性、抗重播服務(一種部分序列完整性的形式)和有限信息流機密性。所提供服務集由安全連接(SA)建立時選擇的選項和實施的布置來決定,機密性的選擇與所有其他服務相獨立。但是,使用機密性服務而不帶有完整性/認證服務(在ESP或者單獨在AH中)可能使傳輸受到某種形式的攻擊以破壞機密性服務。數(shù)據(jù)源驗證和無連接的完整性是相互關聯(lián)的服務,它們作為一個選項與機密性(可選擇的)結(jié)合提供給用戶。只有選擇數(shù)據(jù)源認證時才可以選擇抗重播服務,由接收方單獨決定抗重播服務的選擇。4、IPsecIKE(密鑰交換協(xié)議)InternetIPsecIKE密鑰交換(IPsecIKE:InternetKeyExchangeProtocol)是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議(如圖1-4所示)。它是一種混合協(xié)議,使用部分Oakley和部分SKEME,并協(xié)同ISAKMP提供密鑰生成材料和其它安全連系,比如用于IPsecDOI的AH和ESP。圖3密鑰交換機制:IKE是一系列密鑰交換中的一種,稱為“模式”。IKE可用于協(xié)商虛擬專用網(wǎng)(VPN),也可用于遠程用戶(其IP地址不需要事先知道)訪問安全主機或網(wǎng)絡,支持客戶端協(xié)商。客戶端模,式即為協(xié)商方不是安全連接發(fā)起的終端點。當使用客戶模式時,端點處身份是隱藏的。IKE的實施必須支持以下的屬性值:1.DES用在CBC模式,使用弱、半弱、密鑰檢查。2.MD5[MD5]和SHA[SHA]。3.通過預共享密鑰進行認證。4.缺省的組1上的MODP。另外,IKE的實現(xiàn)也支持3DES加密;用Tiger[TIGER]作為hash;數(shù)字簽名標準,RSA[RSA],使用RSA公共密鑰加密的簽名和認證;以及使用組2進行MODP。IKE實現(xiàn)可以支持其它的加密算法,并且可以支持ECP和EC2N組。5、IPsecISAKMP(安全連接和密鑰管理協(xié)議)Interne安全連接和密鑰管理協(xié)議(ISAKMP)是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議。該協(xié)議結(jié)合認證、密鑰管理和安全連接等概念來建立政府、商家和因特網(wǎng)上的私有通信所需要的安全。因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)定義了程序和信息包格式來建立,協(xié)商,修改和刪除安全連接(SA)。SA包括了各種網(wǎng)絡安全服務執(zhí)行所需的所有信息,這些安全服務包括IP層服務(如頭認證和負載封裝)、傳輸或應用層服務,以及協(xié)商流量的自我保護服務等。ISAKMP定義包括交換密鑰生成和認證數(shù)據(jù)的有效載荷。這些格式為傳輸密鑰和認證數(shù)據(jù)提供了統(tǒng)一框架,而它們與密鑰產(chǎn)生技術,加密算法和認證機制相獨立。ISAKMP區(qū)別于密鑰交換協(xié)議是為了把安全連接管理的細節(jié)從密鑰交換的細節(jié)中徹底的分離出來。不同的密鑰交換協(xié)議中的安全屬性也是不同的。然而,需要一個通用的框架用于支持SA屬性格式,談判,修改與刪除SA,ISAKMP即可作為這種框架。把功能分離為三部分增加了一個完全的ISAKMP實施安全分析的復雜性。然而在有不同安全要求且需協(xié)同工作的系統(tǒng)之間這種分離是必需的,而且還應該對ISAKMP服務器更深層次發(fā)展的分析簡單化。ISAKMP支持在所有網(wǎng)絡層的安全協(xié)議(如:IPSEC、TLS、TLSP、OSPF等等)的SA協(xié)商。ISAKMP通過集中管理SA減少了在每個安全協(xié)議中重復功能的數(shù)量。ISAKMP還能通過一次對整個棧協(xié)議的協(xié)商來減少建立連接的時間。ISAKMP中,解釋域(DOI)用來組合相關協(xié)議,通過使用ISAKMP協(xié)商安全連接。共享DOI的安全協(xié)議從公共的命名空間選擇安全協(xié)議和加密轉(zhuǎn)換方式,并共享密鑰交換協(xié)議標識。同時它們還共享一個特定DOI的有效載荷數(shù)據(jù)目錄解釋,包括安全連接和有效載荷認證。IPSec的工作原理(如圖1-2所示)類似于包過濾防火墻,可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數(shù)據(jù)包時,包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時,包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。圖4Ipsec原理示意圖:圖5Ipsec體系結(jié)構(gòu):6、優(yōu)缺點:6.1優(yōu)點

(1)IPSec是與應用無關的技術,因此IPSecVPN的客戶端支持所有IP層協(xié)議;

(2)IPSec技術中,客戶端至站點(client-to-site)、站點對站點(site-to-site)、客戶端至客戶端(client-to-client)連接所使用的技術是完全相同的;

(3)IPSecVPN網(wǎng)關一般整合了網(wǎng)絡防火墻的功能;

6.2不足

(1)IPSecVPN需要安裝客戶端軟件,但并非所有客戶端操作系統(tǒng)均支持IPSecVPN的客戶端程序;

(2)IPSecVPN的連接性會受到網(wǎng)絡地址轉(zhuǎn)換(NAT)的影響,或受網(wǎng)關代理設備(proxy)的影響;

(3)IPSecVPN需要先完成客戶端配置才能建立通信信道,并且配置復雜?;趇psec的vpn實現(xiàn)7、IPSEC的運行模式7.1隧道模式(TunnelingMode)隧道模式(TunnelingMode)(如圖1-6所示)可以在兩個SecurityGateway間建立一個安全"隧道",經(jīng)由這兩個GatewayProxy的傳送均在這個通道中進行。通道模式下的IPSec報文要進行分段和重組操作,并且可能要再經(jīng)過多個安全網(wǎng)關才能到達安全網(wǎng)關后面的目的主機。通道模式下,除了源主機和目的地主機之外,特殊的網(wǎng)關也將執(zhí)行密碼操作。在這種模式里,許多隧道在網(wǎng)關之間是以系列的形式生成的,從而可以實現(xiàn)網(wǎng)關對網(wǎng)關安全。通道模式可表示為:|新IP頭|IPsec頭|IP頭|TCP頭|數(shù)據(jù)|圖6隧道模式示意圖:7.2傳送模式(TransportMode)傳送模式(TransportMode)(如圖1-7所示)加密的部份較少,沒有額外的IP報頭,工作效率相對更好,但安全性相對于隧道模式會有所降低。傳送模式下,源主機和目的地主機必須直接執(zhí)行所有密碼操作。加密數(shù)據(jù)是通過使用L2TP(第二層隧道協(xié)議)而生成的單一隧道來發(fā)送的。數(shù)據(jù)(密碼文件)則是由源主機生成并由目的地主機檢索的。傳送模式可表示為:|IP頭|IPsec頭|TCP頭|數(shù)據(jù)|圖7傳輸模式示意圖圖6Ipsec總體設計框圖:網(wǎng)關送出的包即進入隧道的包可能來自兩個方向:來自網(wǎng)關保護的內(nèi)部局域網(wǎng)的某臺主機或來自網(wǎng)關的應用層。對于送出的數(shù)據(jù),為了不改動其它層協(xié)議和不增加其它層協(xié)議的負擔,即不讓傳輸層和網(wǎng)絡接口層區(qū)分這個包應該交給IP協(xié)議處理還是交給IPSec處理,我們都將這些數(shù)據(jù)交給IP層作預處理。預處理做的工作就是對這個包是否應實施IPSec作判斷,需要IPSec處理的包交給IPSec基本協(xié)議模塊,不需要的直接做IP層相應的工作。IP層判斷數(shù)據(jù)是否要實施IPSec處理是通過與IPSec中SPD的接口進行的,它將數(shù)據(jù)包的特征提取出來與SPD中的選擇符進行對比,找到相應的處理策略(丟棄、應用IPSec、繞過IPSec),如果需要進行IPSec處理,在SPD中提取對應的SADB中的信息(SAID),并將數(shù)據(jù)交給IPSec基本協(xié)議模塊接口。IPSec基本協(xié)議模塊通過SAID找到SADB中對這個數(shù)據(jù)包的具體處理方法(安全協(xié)議、加密/認證算法、密鑰等)對其進行安全處理。對于需要加密或認證的數(shù)據(jù)則交由加密認證模塊處理后交回IPSec基本協(xié)議模塊對其添加外部IP頭后交給IP的后續(xù)模塊處理,而不是直接交給網(wǎng)絡接口層傳出。這樣做有兩個好處:1、網(wǎng)絡接口層不必區(qū)分是IP協(xié)議傳來的包還是IPSec傳來的包;2、有一些IP與IPSec重疊的工作(如對數(shù)據(jù)包的分段)就只有一個實現(xiàn)模塊,避免了重復。后網(wǎng)絡接口層將輸出的包傳給與外部相連的網(wǎng)卡。對于進入的數(shù)據(jù),鏈路層將它交給IP協(xié)議做進入的預處理(如數(shù)據(jù)包的重組),同時查看IP頭中下一協(xié)議頭字段是否為50(ESP)或51(AH),如果是,將其交給IPSec處理模塊。當IPSec處理完后將沒有出錯的包交給IP協(xié)議做后續(xù)處理,IP層后續(xù)處理根據(jù)內(nèi)部IP頭中的目的地址將其交給傳輸層或?qū)⑵浣唤o網(wǎng)絡接口層再轉(zhuǎn)發(fā)給內(nèi)部主機。基本協(xié)議模塊:IPSec的基本協(xié)議模塊主要實現(xiàn)AH和ESP的協(xié)議處理。由于網(wǎng)關上實現(xiàn)的隧道,隧道口的地址和真正通信的主機地址往往是不同的,因此我們需要添加一個外部IP頭,外部IP頭中的地址為網(wǎng)關的IP地址。因此系統(tǒng)必須采用隧道模式,即隧AH或隧道/E

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論