計算機學院網絡工程課程設計題目基于IPSEC的VPN解決方案研究學號000000姓名000000系部000000年級專業班級000000指導教師、職稱000000基于Ipsec隧道協議的vpn解決方案研究摘要[摘要]目前,TCP/IP幾乎是所有網絡通信的基礎,而IP本身是沒有提供“安全”的,在傳輸過程中,IP包可以被偽造、篡改或者窺視。針對這些問題,IPSec可有效地保護IP數據報的安全,它提供了一種標準的、健壯的以及包容廣泛的機制,可用它為IP及上層協議(如UDP和TCP)提供安全保證。目前許多電信運營商采用IPSec隧道加密技術,在寬帶業務的基礎上推出主要針對商用客戶的VPN新業務,為商用客戶既提供了高帶寬低資費的企業網絡聯網服務,又提供了在公用網絡上擁有私有VPN網絡的數據傳輸安全保障服務,贏得了廣大商用客戶的青睞。本文將研究IPSec體系結構、技術原理和VPN基本技術,分析了IPSecVPN的主要實現方式.[關鍵詞]IPsecvpn加密隧道安全緒論 3第一章、vpn簡介 51、定義 52、分類 5（1）按VPN的協議分類 5（2）按VPN的應用分類： 5（3）按所用的設備類型進行分類： 5第二章、ipsecvpn 61、簡介 62、IPsecAH(認證頭協議) 63、IPsecESP：封裝安全負載 74、IPsecIKE(密鑰交換協議) 85、IPsecISAKMP(安全連接和密鑰管理協議) 96、優缺點： 106.1優點（1）IPSec是與應用無關的技術，因此IPSecVPN的客戶端支持所有IP層協議;（2）IPSec技術中，客戶端至站點（client-to-site）、站點對站點（site-to-site）、客戶端至客戶端（client-to-client）連接所使用的技術是完全相同的;（3）IPSecVPN網關一般整合了網絡防火墻的功能;6.2不足（1）IPSecVPN需要安裝客戶端軟件，但并非所有客戶端操作系統均支持IPSecVPN的客戶端程序;（2）IPSecVPN的連接性會受到網絡地址轉換（NAT）的影響，或受網關代理設備（proxy）的影響;（3）IPSecVPN需要先完成客戶端配置才能建立通信信道，并且配置復雜。 107、IPSEC的運行模式 117.1隧道模式(TunnelingMode) 117.2傳送模式(TransportMode) 11基本協議模塊： 13第三章、ipsecvpn案例 14總結 15緒論隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。網絡安全問題伴隨著網絡的產生而產生，可以說，有網絡的地方就存在網絡安全隱患。像病毒入侵和黑客攻擊之類的網絡安全事件，目前主要是通過網絡進行的，而且幾乎每時每刻都在發生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實。網絡安全事件所帶來的危害，相信我們每個計算機用戶都或多或少地親身體驗過一些：輕則使電腦系統運行不正常，重則使整個計算機系統中的磁盤數據全部覆滅，甚至導致磁盤、計算機等硬件的損壞。為了防范這些網絡安全事故的發生，每個計算機用戶，特別是企業網絡用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業網絡安全策略的實施是一項系統工程，它涉及許多方面。因此既要充分考慮到那些平時經常提及的外部網絡威脅，又要對來自內部網絡和網絡管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發的途徑可以是多方面的，而許多安全措施都是相輔相成的。

第一章、vpn簡介1、定義虛擬專用網絡（VirtualPrivateNetwork，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、FrameRelay（幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。2、分類（1）按VPN的協議分類VPN的隧道協議主要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協議工作在OSI模型的第二層，又稱為二層隧道協議；IPSec是第三層隧道協議，也是最常見的協議。L2TP和IPSec配合使用是目前性能最好，應用最廣泛的一種。（2）按VPN的應用分類：1）AccessVPN（遠程接入VPN）：客戶端到網關，使用公網作為骨干網在設備之間傳輸VPN的數據流量；2）IntranetVPN（內聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源；3）ExtranetVPN（外聯網VPN）：與合作伙伴企業網構成Extranet，將一個公司與另一個公司的資源進行連接；（3）按所用的設備類型進行分類：網絡設備提供商針對不同客戶的需求，開發出不同的VPN網絡設備，主要為交換機，路由器，和防火墻1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可；2）交換機式VPN：主要應用于連接用戶較少的VPN網絡；3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現方式，許多廠商都提供這種配置類型圖1虛擬專用網絡模型：第二章、ipsecvpn1、簡介Internet協議安全性(IPSec)”是一種開放標準的框架結構，通過使用加密的安全服務以確保在Internet協議(IP)網絡上進行保密而安全的通訊。Microsoft®Windows®2000、WindowsXP和WindowsServer2003家族實施IPSec是基于“Internet工程任務組(IETF)”IPSec工作組開發的標準。2、IPsecAH(認證頭協議)IPsecAH（IPsecAH：IPsecAuthenticationHeader）認證頭協議是IPsec體系結構中的一種主要協議。（如圖1-3所示）它為IP數據報提供無連接完整性與數據源認證，并提供保護以避免重播情況。一旦建立安全連接，接收方就可能會選擇后一種服務。AH盡可能為IP頭和上層協議數據提供足夠多的認證。但是，在傳輸過程中某些IP頭字段會發生變化，且發送方無法預測當數據包到達接受端時此字段的值。AH并不能保護這種字段值。因此，AH提供給IP頭的保護有些是零碎的。AH可被獨立使用，或與IP封裝安全負載（ESP）相結合使用，或通過使用隧道模式的嵌套方式。在通信主機與通信主機之間、通信安全網關與通信安全網關之間或安全網關與主機之間可以提供安全服務。ESP提供了相同的安全服務并提供了一種保密性（加密）服務，而ESP與AH各自提供的認證其根本區別在于它們的覆蓋范圍。特別地，不是由ESP封裝的IP頭字段則不受ESP保護。通常，當用與IPv6時，AH出現在IPv6逐跳路由頭之后IPv6目的選項之前。而用于IPv4時，AH跟隨主IPv4頭。圖2認證頭協議示意圖：3、IPsecESP：封裝安全負載PsecESP（IPsecEncapsulatingSecurityPayload）封裝安全負載是IPsec體系結構中的一種主要協議，其主要設計來在IPv4和IPv6中提供安全服務的混合應用。IPsecESP通過加密需要保護的數據以及在IPsecESP的數據部分放置這些加密的數據來提供機密性和完整性。根據用戶安全要求，這個機制既可以用于加密一個傳輸層的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整個的IP數據報。封裝受保護數據是非常必要的，這樣就可以為整個原始數據報提供機密性ESP頭可以放置在IP頭之后、上層協議頭之前（傳送層），或者在被封裝的IP頭之前（隧道模式）。IANA分配給ESP一個協議數值50，在ESP頭前的協議頭總是在“nexthead”字段（IPv6）或“協議”（IPv4）字段里包含該值50。ESP包含一個非加密協議頭，后面是加密數據。該加密數據既包括了受保護的ESP頭字段也包括了受保護的用戶數據，這個用戶數據可以是整個IP數據報，也可以是IP的上層協議幀（如：TCP或UDP）。ESP提供機密性、數據源認證、無連接的完整性、抗重播服務（一種部分序列完整性的形式）和有限信息流機密性。所提供服務集由安全連接（SA）建立時選擇的選項和實施的布置來決定，機密性的選擇與所有其他服務相獨立。但是，使用機密性服務而不帶有完整性/認證服務（在ESP或者單獨在AH中）可能使傳輸受到某種形式的攻擊以破壞機密性服務。數據源驗證和無連接的完整性是相互關聯的服務，它們作為一個選項與機密性（可選擇的）結合提供給用戶。只有選擇數據源認證時才可以選擇抗重播服務，由接收方單獨決定抗重播服務的選擇。4、IPsecIKE(密鑰交換協議)InternetIPsecIKE密鑰交換（IPsecIKE:InternetKeyExchangeProtocol）是IPsec體系結構中的一種主要協議（如圖1-4所示）。它是一種混合協議，使用部分Oakley和部分SKEME，并協同ISAKMP提供密鑰生成材料和其它安全連系，比如用于IPsecDOI的AH和ESP。圖3密鑰交換機制：IKE是一系列密鑰交換中的一種，稱為“模式”。IKE可用于協商虛擬專用網（VPN），也可用于遠程用戶（其IP地址不需要事先知道）訪問安全主機或網絡，支持客戶端協商。客戶端模，式即為協商方不是安全連接發起的終端點。當使用客戶模式時，端點處身份是隱藏的。IKE的實施必須支持以下的屬性值：1.DES用在CBC模式，使用弱、半弱、密鑰檢查。2.MD5[MD5]和SHA[SHA]。3.通過預共享密鑰進行認證。4.缺省的組1上的MODP。另外，IKE的實現也支持3DES加密；用Tiger[TIGER]作為hash；數字簽名標準，RSA[RSA]，使用RSA公共密鑰加密的簽名和認證；以及使用組2進行MODP。IKE實現可以支持其它的加密算法，并且可以支持ECP和EC2N組。5、IPsecISAKMP(安全連接和密鑰管理協議)Interne安全連接和密鑰管理協議（ISAKMP）是IPsec體系結構中的一種主要協議。該協議結合認證、密鑰管理和安全連接等概念來建立政府、商家和因特網上的私有通信所需要的安全。因特網安全聯盟和密鑰管理協議（ISAKMP）定義了程序和信息包格式來建立，協商，修改和刪除安全連接（SA）。SA包括了各種網絡安全服務執行所需的所有信息，這些安全服務包括IP層服務（如頭認證和負載封裝）、傳輸或應用層服務，以及協商流量的自我保護服務等。ISAKMP定義包括交換密鑰生成和認證數據的有效載荷。這些格式為傳輸密鑰和認證數據提供了統一框架，而它們與密鑰產生技術，加密算法和認證機制相獨立。ISAKMP區別于密鑰交換協議是為了把安全連接管理的細節從密鑰交換的細節中徹底的分離出來。不同的密鑰交換協議中的安全屬性也是不同的。然而，需要一個通用的框架用于支持SA屬性格式，談判，修改與刪除SA，ISAKMP即可作為這種框架。把功能分離為三部分增加了一個完全的ISAKMP實施安全分析的復雜性。然而在有不同安全要求且需協同工作的系統之間這種分離是必需的，而且還應該對ISAKMP服務器更深層次發展的分析簡單化。ISAKMP支持在所有網絡層的安全協議（如：IPSEC、TLS、TLSP、OSPF等等）的SA協商。ISAKMP通過集中管理SA減少了在每個安全協議中重復功能的數量。ISAKMP還能通過一次對整個棧協議的協商來減少建立連接的時間。ISAKMP中，解釋域（DOI）用來組合相關協議，通過使用ISAKMP協商安全連接。共享DOI的安全協議從公共的命名空間選擇安全協議和加密轉換方式，并共享密鑰交換協議標識。同時它們還共享一個特定DOI的有效載荷數據目錄解釋，包括安全連接和有效載荷認證。IPSec的工作原理(如圖1-2所示)類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數據包時，包過濾防火墻使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時，包過濾防火墻就按照該規則制定的方法對接收到的IP數據包進行處理。圖4Ipsec原理示意圖：圖5Ipsec體系結構：6、優缺點：6.1優點

（1）IPSec是與應用無關的技術，因此IPSecVPN的客戶端支持所有IP層協議;

（2）IPSec技術中，客戶端至站點（client-to-site）、站點對站點（site-to-site）、客戶端至客戶端（client-to-client）連接所使用的技術是完全相同的;

（3）IPSecVPN網關一般整合了網絡防火墻的功能;

6.2不足

（1）IPSecVPN需要安裝客戶端軟件，但并非所有客戶端操作系統均支持IPSecVPN的客戶端程序;

（2）IPSecVPN的連接性會受到網絡地址轉換（NAT）的影響，或受網關代理設備（proxy）的影響;

（3）IPSecVPN需要先完成客戶端配置才能建立通信信道，并且配置復雜。基于ipsec的vpn實現7、IPSEC的運行模式7.1隧道模式(TunnelingMode)隧道模式(TunnelingMode)(如圖1-6所示)可以在兩個SecurityGateway間建立一個安全"隧道"，經由這兩個GatewayProxy的傳送均在這個通道中進行。通道模式下的IPSec報文要進行分段和重組操作，并且可能要再經過多個安全網關才能到達安全網關后面的目的主機。通道模式下，除了源主機和目的地主機之外，特殊的網關也將執行密碼操作。在這種模式里，許多隧道在網關之間是以系列的形式生成的，從而可以實現網關對網關安全。通道模式可表示為：|新IP頭|IPsec頭|IP頭|TCP頭|數據|圖6隧道模式示意圖：7.2傳送模式(TransportMode)傳送模式(TransportMode)(如圖1-7所示)加密的部份較少，沒有額外的IP報頭，工作效率相對更好，但安全性相對于隧道模式會有所降低。傳送模式下，源主機和目的地主機必須直接執行所有密碼操作。加密數據是通過使用L2TP（第二層隧道協議）而生成的單一隧道來發送的。數據（密碼文件）則是由源主機生成并由目的地主機檢索的。傳送模式可表示為：|IP頭|IPsec頭|TCP頭|數據|圖7傳輸模式示意圖圖6Ipsec總體設計框圖：網關送出的包即進入隧道的包可能來自兩個方向：來自網關保護的內部局域網的某臺主機或來自網關的應用層。對于送出的數據，為了不改動其它層協議和不增加其它層協議的負擔，即不讓傳輸層和網絡接口層區分這個包應該交給IP協議處理還是交給IPSec處理，我們都將這些數據交給IP層作預處理。預處理做的工作就是對這個包是否應實施IPSec作判斷，需要IPSec處理的包交給IPSec基本協議模塊，不需要的直接做IP層相應的工作。IP層判斷數據是否要實施IPSec處理是通過與IPSec中SPD的接口進行的，它將數據包的特征提取出來與SPD中的選擇符進行對比，找到相應的處理策略(丟棄、應用IPSec、繞過IPSec)，如果需要進行IPSec處理，在SPD中提取對應的SADB中的信息(SAID)，并將數據交給IPSec基本協議模塊接口。IPSec基本協議模塊通過SAID找到SADB中對這個數據包的具體處理方法(安全協議、加密／認證算法、密鑰等)對其進行安全處理。對于需要加密或認證的數據則交由加密認證模塊處理后交回IPSec基本協議模塊對其添加外部IP頭后交給IP的后續模塊處理，而不是直接交給網絡接口層傳出。這樣做有兩個好處：1、網絡接口層不必區分是IP協議傳來的包還是IPSec傳來的包；2、有一些IP與IPSec重疊的工作(如對數據包的分段)就只有一個實現模塊，避免了重復。后網絡接口層將輸出的包傳給與外部相連的網卡。對于進入的數據，鏈路層將它交給IP協議做進入的預處理(如數據包的重組)，同時查看IP頭中下一協議頭字段是否為50(ESP)或51(AH)，如果是，將其交給IPSec處理模塊。當IPSec處理完后將沒有出錯的包交給IP協議做后續處理，IP層后續處理根據內部IP頭中的目的地址將其交給傳輸層或將其交給網絡接口層再轉發給內部主機。基本協議模塊：IPSec的基本協議模塊主要實現AH和ESP的協議處理。由于網關上實現的隧道，隧道口的地址和真正通信的主機地址往往是不同的，因此我們需要添加一個外部IP頭，外部IP頭中的地址為網關的IP地址。因此系統必須采用隧道模式，即隧AH或隧道／E