信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案 項(xiàng)目11 加密技術(shù)應(yīng)用

教案《信息安全技術(shù)》第頁ADDINCNKISM.UserStyle授課周次與課時(shí)：第11周第41-44課時(shí)累計(jì)44課時(shí)課程名稱：信息安全技術(shù)授課課題：加密技術(shù)應(yīng)用教學(xué)目標(biāo)：掌握密碼學(xué)的定義掌握密碼學(xué)的應(yīng)用掌握VPN的概念描述掌握VPN的配置和描述教學(xué)要點(diǎn)：1.教學(xué)重點(diǎn)：VPN的分類與定義2.教學(xué)難點(diǎn)：不同VPN的原理及配置思政目標(biāo)：加強(qiáng)學(xué)生對(duì)網(wǎng)絡(luò)空間虛擬性認(rèn)識(shí)，遵守法律，明確權(quán)利和義務(wù)；時(shí)代楷模：通過對(duì)孫家棟院士優(yōu)秀事件的講解，鼓勵(lì)學(xué)生向優(yōu)秀人物學(xué)習(xí)，只要國家需要就去做，不計(jì)較個(gè)人得失；科技強(qiáng)國，通過對(duì)孫家棟院士優(yōu)秀事件的學(xué)習(xí)，讓學(xué)生加強(qiáng)技能訓(xùn)練，掌握核心技術(shù)，技能強(qiáng)國，科技強(qiáng)國；課型：理實(shí)一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過程：【課程思政/溫故知新】網(wǎng)絡(luò)空間不是“法外之地”。網(wǎng)絡(luò)空間是虛擬的，但運(yùn)用網(wǎng)絡(luò)空間的主體是真實(shí)存在的，大家都應(yīng)該遵守法律，明確各方的權(quán)利和義務(wù)。思政主題：時(shí)代楷模大國工匠科技強(qiáng)國孫家棟是中國第一枚導(dǎo)彈、第一顆人造地球衛(wèi)星、第一顆遙感探測(cè)衛(wèi)星、第一顆返回式衛(wèi)星的技術(shù)負(fù)責(zé)人、總設(shè)計(jì)師，是中國通信衛(wèi)星、氣象衛(wèi)星、資源探測(cè)衛(wèi)星、北斗導(dǎo)航衛(wèi)星等第二代應(yīng)用衛(wèi)星的工程總師，是中國探月工程總設(shè)計(jì)師，中國科學(xué)院院士，中國“兩彈一星”功勛科學(xué)家。他領(lǐng)導(dǎo)下所發(fā)射的衛(wèi)星奇跡般地占整個(gè)中國航天飛行器的三分之一。2009年，獲得中國國家最高科技獎(jiǎng)?！爸袊陌l(fā)展依然任重道遠(yuǎn)，我們一定要跟著黨中央，和大家一起共同努力，盡個(gè)人微薄之力，把我們國家的事業(yè)搞好，真正實(shí)現(xiàn)中國夢(mèng)，富起來、強(qiáng)起來，完成好我們這一代人的歷史使命?！睂O家棟說。我們要學(xué)習(xí)孫家棟院士愛黨愛國、忠誠事業(yè)的堅(jiān)定信念和立足本崗、攻堅(jiān)克難、創(chuàng)新工作、勇攀高峰的精神，為實(shí)現(xiàn)中華民族的偉大復(fù)興努力奮斗。本章我們要學(xué)習(xí)的主要內(nèi)容是加密技術(shù)的應(yīng)用，密碼技術(shù)和VPN技術(shù)的使用保證了數(shù)據(jù)傳輸?shù)陌踩?。我國航天技術(shù)在飛速發(fā)展的同時(shí)，加密技術(shù)也得到了高速發(fā)展，為我國航天技術(shù)的發(fā)展保駕護(hù)航。【新課講授】1加密學(xué)1.1加密學(xué)定義密碼學(xué)是研究編制密碼和破譯密碼的技術(shù)科學(xué)。研究密碼變化的客觀規(guī)律，應(yīng)用于編制密碼以保守通信秘密的，稱為編碼學(xué)；應(yīng)用于破譯密碼以獲取通信情報(bào)的，稱為破譯學(xué)，總稱密碼學(xué)。密碼學(xué)（在西歐語文中，源于希臘語kryptós“隱藏的”，和gráphein“書寫”）是研究如何隱秘地傳遞信息的學(xué)科。在現(xiàn)代特別指對(duì)信息以及其傳輸?shù)臄?shù)學(xué)性研究，常被認(rèn)為是數(shù)學(xué)和計(jì)算機(jī)科學(xué)的分支，和信息論也密切相關(guān)。著名的密碼學(xué)者RonRivest解釋道：“密碼學(xué)是關(guān)于如何在敵人存在的環(huán)境中通信”，自工程學(xué)的角度，這相當(dāng)于密碼學(xué)與純數(shù)學(xué)的異同。1.2密碼學(xué)應(yīng)用密碼學(xué)是信息安全等相關(guān)議題，如認(rèn)證、訪問控制的核心。密碼學(xué)的首要目的是隱藏信息的含義，并不是隱藏信息的存在。密碼學(xué)也促進(jìn)了計(jì)算機(jī)科學(xué)，特別是在于電腦與網(wǎng)絡(luò)安全所使用的技術(shù)，如訪問控制與信息的機(jī)密性。密碼學(xué)已被應(yīng)用在日常生活：包括自動(dòng)柜員機(jī)的芯片卡、電腦使用者存取密碼、電子商務(wù)等等。2VPN簡介2.1 VPN定義虛擬專用網(wǎng)VPN(VirtualPrivateNetwork)是一種“通過共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個(gè)需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過通道連接起來，構(gòu)成一個(gè)專用的、具有一定安全性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)”。在此定義中，包含兩個(gè)關(guān)鍵點(diǎn)：（1）虛擬：用戶不再需要擁有實(shí)際的專用長途數(shù)據(jù)線路，而是利用Internet的長途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)。（2）專用網(wǎng)絡(luò)：用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。2.2 VPN分類按業(yè)務(wù)用途類型劃分 按照業(yè)務(wù)用途類型，可以將VPN劃分為遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。按實(shí)現(xiàn)層次劃分按實(shí)現(xiàn)層次劃分，VPN可以分為SSLVPN、三層VPN（L3VPN）和二層VPN（L2VPN）。① SSLVPN 從概念角度來說，SSLVPN即指采用SSL（SecuritySocketLayer）協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實(shí)性、完整性和保密性。SSL（安全套接層）協(xié)議是一種在internet上保證發(fā)送信息安全的通用協(xié)議，采用B/S結(jié)構(gòu)（Browser/Server，瀏覽器/服務(wù)器模式）。它處在應(yīng)用層，SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議和TCP/IP之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選擇的客戶機(jī)認(rèn)證。SSL協(xié)議可分為兩層：SSL記錄協(xié)議(SSLRecordProtocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議(SSLHandshakeProtocol）：它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開始前，通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。② L3VPN三層VPN主要是指VPN技術(shù)工作在協(xié)議棧的網(wǎng)絡(luò)層。以IPSecVPN技術(shù)為例，IPSec報(bào)頭與IP報(bào)頭工作在同一層次，封裝報(bào)文時(shí)或者是以IPinIP的方式進(jìn)行封裝，或者是IPSec報(bào)頭與IP報(bào)頭同時(shí)對(duì)數(shù)據(jù)載荷進(jìn)行封裝。除IPSecVPN技術(shù)外，主要的三層VPN技術(shù)還有GREVPN。GREVPN產(chǎn)生的時(shí)間比較早，實(shí)現(xiàn)的機(jī)制也比較簡單。GREVPN可以實(shí)現(xiàn)任意一種網(wǎng)絡(luò)協(xié)議在另一種網(wǎng)絡(luò)協(xié)議上的封裝。與IPSec相比，安全性沒有得到保證，只能提供有限的簡單的安全機(jī)制。③ L2VPN與三層VPN類似，二層VPN則是指VPN技術(shù)工作在協(xié)議棧的數(shù)據(jù)鏈路層，即數(shù)據(jù)鏈路層。二層VPN主要包括的協(xié)議有點(diǎn)到點(diǎn)隧道協(xié)議（PPTP，Point-to-PointTunnelingProtocol）、二層轉(zhuǎn)發(fā)協(xié)議（L2F，Layer2Forwarding）以及二層隧道協(xié)議（L2TP，Layer2TunnelingProtocol）。按VPN應(yīng)用場景劃分每種VPN都有自己的應(yīng)用場景，根據(jù)應(yīng)用場景我們可以做如下區(qū)分。站點(diǎn)到站點(diǎn)VPN（Site-to-SiteVPN）該VPN用于兩個(gè)局域網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。個(gè)人到站點(diǎn)VPN（Client-to-SiteVPN）該VPN用于客戶端與企業(yè)內(nèi)網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：SSL、IPSec、L2TP、L2TPoverIPSec。2.3L2TPVPNL2TP（Layer2TunnelProtocol）稱為二層隧道協(xié)議，是為在用戶和企業(yè)的服務(wù)器之間透明傳輸PPP報(bào)文而設(shè)置的隧道協(xié)議。L2TPVPN主要有三種使用場景：NAS-InitiatedVPN、LAC自動(dòng)撥號(hào)、Client-InitiatedVPN，本課程主要介紹最為常用的Client-InitiatedVPN撥號(hào)場景。Client-InitiatedVPN撥號(hào)場景一般用于出差員工使用PC、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器，企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接，實(shí)現(xiàn)移動(dòng)辦公的場景，也是最為常用L2TP撥號(hào)方式。Client-InitiatedVPN中，每個(gè)接入用戶和LNS之間均建立一條隧道；每條隧道中僅承載一條L2TP會(huì)話和PPP連接。L2TP隧道的呼叫建立流程：（1）當(dāng)接入用戶撥號(hào)到LNS時(shí)，首先觸發(fā)接入用戶和LNS之間建立L2TP隧道。（2）L2TP隧道建立成功后，在隧道基礎(chǔ)上建立L2TP會(huì)話。（3）LNS對(duì)用戶進(jìn)行認(rèn)證。（4）用戶與LNS之間建立PPP連接。（5）用戶在PPP連接基礎(chǔ)上，通過LNS訪問內(nèi)網(wǎng)資源。2.4 GREVPNGRE（GeneralRoutingEncapsulation）是一種三層VPN封裝技術(shù)。GRE可以對(duì)某些網(wǎng)絡(luò)層協(xié)議（如IPX、AppleTalk、IP等）的報(bào)文進(jìn)行封裝，使封裝后的報(bào)文能夠在另一種網(wǎng)絡(luò)中（如IPv4）傳輸，從而解決了跨越異種網(wǎng)絡(luò)的報(bào)文傳輸問題，異種報(bào)文傳輸?shù)耐ǖ婪Q為Tunnel（隧道）。Tunnel是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，可以看成僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路，使封裝的數(shù)據(jù)報(bào)文能夠在這個(gè)通路上傳輸，并在一個(gè)Tunnel的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。隧道接口隧道接口（Tunnel接口）是為實(shí)現(xiàn)報(bào)文的封裝而提供的一種點(diǎn)對(duì)點(diǎn)類型的虛擬接口，與Loopback接口類似，都是一種邏輯接口。經(jīng)過手工配置，成功建立隧道之后，就可以將隧道接口看成一個(gè)物理接口，可以在其上運(yùn)行動(dòng)態(tài)路由協(xié)議或配置靜態(tài)路由。隧道接口包含以下元素：源地址：報(bào)文傳輸協(xié)議中的源地址。從負(fù)責(zé)封裝后報(bào)文傳輸?shù)木W(wǎng)絡(luò)來看，隧道的源地址就是實(shí)際發(fā)送報(bào)文的接口IP地址。目的地址：報(bào)文傳輸協(xié)議中的目的地址。從負(fù)責(zé)封裝后報(bào)文傳輸?shù)木W(wǎng)絡(luò)來看，隧道本端的目的地址就是隧道目的端的源地址。隧道接口IP地址：為了在隧道接口上啟用動(dòng)態(tài)路由協(xié)議，或使用靜態(tài)路由協(xié)議發(fā)布隧道接口，要為隧道接口分配IP地址。隧道接口的IP地址可以不是公網(wǎng)地址，甚至可以借用其他接口的IP地址以節(jié)約IP地址。但是當(dāng)Tunnel接口借用IP地址時(shí)，由于Tunnel接口本身沒有IP地址，無法在此接口上啟用動(dòng)態(tài)路由協(xié)議，必須配置靜態(tài)路由或策略路由才能實(shí)現(xiàn)路由器間的連通性。封裝類型：隧道接口的封裝類型是指該隧道接口對(duì)報(bào)文進(jìn)行的封裝方式。一般情況下有四種封裝方式，分別是GRE、MPLSTE、IPv6-IPv4和IPv4-IPv6。（2）封裝與解封裝報(bào)文在GRE隧道中傳輸包括封裝和解封裝兩個(gè)過程。私網(wǎng)協(xié)議模塊檢查私網(wǎng)報(bào)文頭中的目的地址并在私網(wǎng)路由表或轉(zhuǎn)發(fā)表中查找出接口，確定如何路由此包。如果發(fā)現(xiàn)出接口是Tunnel接口，則將此報(bào)文發(fā)給隧道模塊。隧道模塊收到此報(bào)文后進(jìn)行如下處理：① 隧道模塊根據(jù)乘客報(bào)文的協(xié)議類型和當(dāng)前GRE隧道所配置的Key和Checksum參數(shù)，對(duì)報(bào)文進(jìn)行GRE封裝，即添加GRE頭。② 根據(jù)配置信息（傳輸協(xié)議為IP），給報(bào)文加上IP頭。該IP頭的源地址就是隧道源地址，IP頭的目的地址就是隧道目的地址。③ 將該報(bào)文交給IP模塊處理，IP模塊根據(jù)該IP頭目的地址，在公網(wǎng)路由表中查找相應(yīng)的出接口并發(fā)送報(bào)文，之后，封裝后的報(bào)文將在該IP公共網(wǎng)絡(luò)中傳輸。解封裝過程和封裝過程相反。（3）GRE安全策略安全策略（缺省情況下，域內(nèi)安全策略缺省動(dòng)作為允許）內(nèi)容如下。① 域間或域內(nèi)安全策略：用于控制域間或域內(nèi)的流量，此時(shí)的安全策略既有傳統(tǒng)包過濾功能，也有對(duì)流量進(jìn)行IPS、AV、Web過濾、應(yīng)用控制等進(jìn)一步的應(yīng)用層檢測(cè)的作用。域間或域內(nèi)安全策略是包過濾、UTM應(yīng)用層檢測(cè)等多種安全檢查同時(shí)實(shí)施的一體化策略。② 應(yīng)用在接口上的包過濾規(guī)則：用于控制接口的流量，就是傳統(tǒng)的包過濾功能，基于IP、MAC地址等二、三層報(bào)文屬性直接允許或拒絕報(bào)文通過。2.5 IPSecVPN(1) IPSec定義IPSec（IPSecurity）協(xié)議族是IETF制定的一系列安全協(xié)議，它為端到端IP報(bào)文交互提供了基于密碼學(xué)的、可互操作的、高質(zhì)量的安全保護(hù)機(jī)制。IPSecVPN是利用IPSec隧道建立的網(wǎng)絡(luò)層VPN。IPSec定義了在網(wǎng)際層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對(duì)網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和防止重放攻擊。它為端到端IP報(bào)文交互提供了基于密碼學(xué)的、可互操作的、高質(zhì)量的安全保護(hù)機(jī)制，IPSec支持在IP層及以上協(xié)議層進(jìn)行數(shù)據(jù)安全保護(hù)，并對(duì)上層應(yīng)用透明（無需對(duì)各個(gè)應(yīng)用程序進(jìn)行修改）。安全保護(hù)措施包括機(jī)密性、完整性、真實(shí)性和抗重放等。機(jī)密性（Confidentiality）：對(duì)數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)在傳輸過程中不被其他人員查看；完整性（Dataintegrity）：對(duì)接收到數(shù)據(jù)包進(jìn)行完整性驗(yàn)證，以確保數(shù)據(jù)在傳輸過程中沒有被篡改；真實(shí)性（Dataauthentication）：驗(yàn)證數(shù)據(jù)源，以保證數(shù)據(jù)來自真實(shí)的發(fā)送者（IP報(bào)文頭內(nèi)的源地址）；抗重放（Anti-replay）：防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊，即接收方會(huì)拒絕舊的或重復(fù)的數(shù)據(jù)包。(2) IPSecVPN體系結(jié)構(gòu)簡述IPSecVPN體系結(jié)構(gòu)主要由AH（AuthenticationHeader）、ESP（EncapsulationSecurityPayload）和IKE（InternetKeyExchangeProtocol）協(xié)議套件組成。IPSec通過ESP來保障IP數(shù)據(jù)傳輸過程的機(jī)密性，使用AH/ESP提供數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證和抗報(bào)文重放功能。ESP和AH定義了協(xié)議和載荷頭的格式及所提供的服務(wù)，但沒有定義實(shí)現(xiàn)以上能力所需具體轉(zhuǎn)碼方式，轉(zhuǎn)碼方式包括對(duì)數(shù)據(jù)轉(zhuǎn)換方式，如算法、密鑰長度等。IPSec通過驗(yàn)證頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulatingSecurityPayload）兩個(gè)安全協(xié)議實(shí)現(xiàn)IP報(bào)文的安全保護(hù)。IPSec安全傳輸數(shù)據(jù)的前提是在IPSec對(duì)等體（即運(yùn)行IPSec協(xié)議的兩個(gè)端點(diǎn)）之間成功建立安全聯(lián)盟SA（SecurityAssociation），SA是通信的IPSec對(duì)等體間對(duì)某些要素的約定。SA是通信的IPSec對(duì)等體間對(duì)某些要素的約定，例如：對(duì)等體間使用何種安全協(xié)議、需要保護(hù)的數(shù)據(jù)流特征、對(duì)等體間傳輸?shù)臄?shù)據(jù)的封裝模式、協(xié)議采用的加密算法、驗(yàn)證算法，對(duì)等體間使用何種密鑰交換和IKE協(xié)議，以及SA的生存周期等。SA由一個(gè)三元組來唯一標(biāo)識(shí)，這個(gè)三元組包括安全參數(shù)索引SPI（SecurityParameterIndex）、目的IP地址和使用的安全協(xié)議號(hào)（AH或ESP）。(3) IPSec封裝模式IPSec協(xié)議有兩種封裝模式：傳輸模式和隧道模式。傳輸模式（TransportMode）傳輸模式（TransportMode）是IPSec的默認(rèn)模式,又稱端到端（End-to-End）模式，它適用于兩臺(tái)主機(jī)之間進(jìn)行IPSec通信。傳輸模式下只對(duì)IP負(fù)載進(jìn)行保護(hù)，可能是TCP/UDP/ICMP協(xié)議，也可能是AH/ESP協(xié)議。傳輸模式只為上層協(xié)議提供安全保護(hù)，在此種模式下，參與通信的雙方主機(jī)都必須安裝IPSec協(xié)議，而且它不能隱藏主機(jī)的IP地址。啟用IPSec傳輸模式后，IPSec會(huì)在傳輸層包的前面增加AH/ESP頭部或同時(shí)增加兩種頭部，構(gòu)成一個(gè)AH/ESP數(shù)據(jù)包，然后添加IP頭部組成IP包。在接收方，首先處理的是IP，然后再做IPSec處理，最后再將載荷數(shù)據(jù)交給上層協(xié)議。傳輸模式不改變報(bào)文頭，故隧道的源和目的地址必須與IP報(bào)文頭中的源和目的地址一致，所以只適合兩臺(tái)主機(jī)或一臺(tái)主機(jī)和一臺(tái)VPN網(wǎng)關(guān)之間通信。隧道模式（TunnelMode）隧道模式（TunnelMode）使用在兩臺(tái)網(wǎng)關(guān)之間，站點(diǎn)到站點(diǎn)（Site-to-Site）的通信。參與通信的兩個(gè)網(wǎng)關(guān)實(shí)際是為了兩個(gè)以其為邊界的網(wǎng)絡(luò)中的計(jì)算機(jī)提供安全通信的服務(wù)。隧道模式為整個(gè)IP包提供保護(hù)，為IP協(xié)議本身而不只是上層協(xié)議提供安全保護(hù)。通常情況下只要使用IPSec的雙方有一方是安全網(wǎng)關(guān)，就必須使用隧道模式，隧道模式的一個(gè)優(yōu)點(diǎn)是可以隱藏內(nèi)部主機(jī)和服務(wù)器的IP地址。大部分VPN都使用隧道模式，因?yàn)樗粌H對(duì)整個(gè)原始報(bào)文加密，還對(duì)通信的源地址和目的地址進(jìn)行部分和全部加密，只需要在安全網(wǎng)關(guān)，而不需要在內(nèi)部主機(jī)上安裝VPN軟件，期間所有加密和解密以及協(xié)商操作均由前者負(fù)責(zé)完成。啟用IPSec隧道模式后，IPSec將原始IP看作一個(gè)整體作為要保護(hù)的內(nèi)容，前面加上AH/ESP頭部，再加上新IP頭部組成新IP包。隧道模式的數(shù)據(jù)包有兩個(gè)IP頭，內(nèi)部頭由路由器背后的主機(jī)創(chuàng)建，是通信終點(diǎn)；外部頭由提供IPSec的設(shè)備（如路由器）創(chuàng)建，是IPSec的終點(diǎn)。事實(shí)上，IPSec的傳輸模式和隧道模式分別類似于其他隧道協(xié)議（如L2TP）的自愿隧道和強(qiáng)制隧道，即一個(gè)是由用戶實(shí)施，另一個(gè)由網(wǎng)絡(luò)設(shè)備實(shí)施。用IPSec保護(hù)一個(gè)IP包之前，必須先建立一個(gè)安全聯(lián)盟（SecurityAssociation，SA）。IPSec的安全聯(lián)盟可以通過手工配置的方式建立。但是當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)較多時(shí)，手工配置將非常困難，而且難以保證安全性。這時(shí)就可以使用IKE（InternetKeyExchange）自動(dòng)進(jìn)行安全聯(lián)盟建立與密鑰交換的過程。Internet密鑰交換（IKE）就用于動(dòng)態(tài)建立SA，代表IPSec對(duì)SA進(jìn)行協(xié)商。因特網(wǎng)密鑰交換IKE（InternetKeyExchange）協(xié)議建立在Internet安全聯(lián)盟和密鑰管理協(xié)議ISAKMP定義的框架上，是基于UDP的應(yīng)用層協(xié)議，可為數(shù)據(jù)加密提供所需的密鑰，能夠簡化IPSec的使用和管理，大大簡化了IPSec的配置和維護(hù)工作。對(duì)等體之間建立一個(gè)IKESA完成身份驗(yàn)證和密鑰信息交換后，在IKESA的保護(hù)下，根據(jù)配置的AH/ESP安全協(xié)議等參數(shù)協(xié)商出一對(duì)IPSecSA。此后，對(duì)等體間的數(shù)據(jù)將在IPSec隧道中加密傳輸。IKESA是為IPSecSA服務(wù)的，為IPSec提供了自動(dòng)協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(wù)。IPSec采用對(duì)稱加密算法對(duì)數(shù)據(jù)進(jìn)行加密和解密。2.6 SSLVPNSSL是一個(gè)安全協(xié)議，為基于TCP（TransmissionControlProtocol）的應(yīng)用層協(xié)議提供安全連接，SSL介于TCP/IP協(xié)議棧第四層和第七層之間。SSL可以為HTTP（HypertextTransferProtocol）協(xié)議提供安全連接。安全套接層(SSL)是一種在兩臺(tái)機(jī)器之間提供安全通道的協(xié)議。它具有保護(hù)傳輸數(shù)據(jù)以及識(shí)別通信機(jī)器的功能。SSLVPN主要功能有領(lǐng)先的虛擬網(wǎng)關(guān)、Web代理、用戶認(rèn)證、文件共享、端口代理、網(wǎng)絡(luò)擴(kuò)展、用戶安全控制、完善的日志功能等。3VPN典型應(yīng)用場景配置3.1 Client-Initialized方式L2TP應(yīng)用場景配置Client:端：配置“LNS服務(wù)器IP”禁用IPSec安全協(xié)議配置認(rèn)證模式配置是否啟用隧道驗(yàn)證功能配置用戶名/密碼。Client側(cè)設(shè)置的認(rèn)證模式和隧道驗(yàn)證密碼需要與LNS側(cè)保持一致。LNS端：基礎(chǔ)配置配置虛擬接口模板使能L2TP功能配