基于IPSec安全体系的VPN网络设计与实现

(呼伦贝尔学院 信息科学学院，内蒙古 呼伦贝尔 021008)
摘 要：文章通过对IP安全体系结构(IPSec)的关键技术 进行研究，提出了建立基于IPSec的虚拟专用网的设计原则，并在此基础上给出了一个用于 连接企业分支机构的虚拟专用网的设计实例与工作流程分析，指出利用IPSec实现虚拟专用 网具有灵活、有效和易于实现的优点。
关键词：IPSec；VPN；网络安全；防火墙
中图分类号：TP89308  文献标识码：A  文章编号 ：1007—6921(2009)03—0316—02

随着Internet技术的迅猛发展，开放的互联网络已经成为社会生活中不可或缺的一部分。因 而，如何保证网络中传输的敏感信息的安全成了迫在眉睫的问题。 许多大公司和政府机构 出于安全考虑不得不用物理的办法将专用网络和Internet隔离，这种分割阻碍了Internet全 球化的实现。为此 IETF(Internet Engineering Task Force)定义了IPSec协议簇，为IP协 议引入了安全特性， 同时也是目前适用于所有Internet通信的惟一一种安全技术。

目前，组建大型信息网络的关键技术是TCP/IP网络互联和路由技术，特别在Internet中 ，路由器起着重要的作用。这里所指的安全路由器是在完成普通路由器功能的基础上实现了 IPSec协议簇的路由设备，是保证互联网(同时也包括Intranet和Extranet)信息安全的关键 设备之一，它可以防止虚假路由信息的接收；防止路由器的非法接入；对路由信息和IP数据 包进行加密保护；对复杂网络加密的正确性和系统的可用性进行检查。
1 IP安全体系结构的研究

IP安全体系结构由IETF的IPSec工作组制订，是一个开放性的标准框架。它不仅可以使用现 今的密码学算法，而且将来出现更新更强大的密码算法，同样也可以用于该体系结构。IPSe c不仅为因特网提供了基本的安全功能，而且为创建健壮安全的虚拟专用网络也提供了灵活 的手段。
1.1 安全服务和安全协议

IPSec工作组制订的协议主要是为了解决以下几个领域的问题：①数据源身份认证证实数据 报文是所声称的发送者发出的。②数据完整性证实数据报文的内容在传输过程中没有被修改 过，无论是被故意改动或是由于发生了随机的传输错误。③数据保密隐藏明文的消息，通常 靠加密来实现。④重放攻击保护攻击者不能截获数据报文，且稍后某个时间再发放数据报文 ，而不会被检测到。⑤自动密钥管理和安全关联管理保证只需少量或根本不需要手工配置 就可以在扩展的网络上方便并精确地实现公司的虚拟专用网络。这样，虚拟专用网的规模就 可以根据业务的需要任意调整。

IPSec定义了两种类型的安全协议：IP认证报头(AH)和IP负载安全封装(ESP)。其中AH采用MD 5(Message Digest 5)和SHA1(Secure Hash Algorithm)算法，AH为IP数据报文提供无连接的 数据完整性校验和数据源身份认证，同时可以防止重放攻击。数据完整性校验通过有消息认 证代码(如MD5)产生的校验来保证；数据源身份认证通过在待认证数据中加入一个共享密钥 来实现；而AH报头中的序列号则是为了防止重放攻击而加入的。

ESP采用DES (Data Encryption Standard) 和3DES等算法，ESP提供的功能包括数据加 密、无连接的数据完整性、数据源身份认证和重放攻击保护。其中数据加密是ESP的基本功 能，而数据源身份认证、数据完整性校验和重放攻击保护则是可供选择的。虽然加密可以独 立于其他服务单独选择，但强烈推荐在使用加密的同时使用完整性校验和身份认证。如果只 选了加密服务，攻击者就可以通过伪数据报文来实施密码分析攻击。而当选择了完整性校验 和身份认证服务时,上述攻击方法就是无效的，此外，如果采用了非对称的加密算法，还能 提供数字签名服务。

AH和ESP协议都具有两种使用模式：传输模式和通道模式(或叫隧道模式).传输模式仅适用于 主机之间的通信，该模式中，AH或ESP报头被插入到IP分组的IP报头之后、上层协议或其他I PSec报头之前。通道模式可用于主机或安全网关之间的通信，在该模式下，源IP分组作为被 鉴别或加密的数据，在AH或ESP报头之前再增加一新的IP报头。
1.2 安全关联

IKE(Internet Key Exchange，因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建 立安全联盟的服务。

安全关联(SA)是实现安全服务的基础。一个SA就是两个IPSec系统之间的一个单向逻辑连接 ，它详细定义了用于保密通信的一组安全参数，包括加密P鉴别算法、加密密钥、协议模式 、SA的生存期等，通常用一个三元组惟一地表示，即：<安全参数索引SPI,目的IP地址,安全 协议>。

对应于AH和ESP的模式，SA也可分为两种类型：传输模式和通道模式。因为SA是单工的，所 以两个IPSec系统之间的双向通信需要两个SA。一个SA不能同时使用AH和ESP保护，如果希望 一个连接上的数据通信同时使用AH和ESP保护，就需在每个方向上分别定义两个SA。这时， 一个连接上的所有SA被叫做一个SA束。属于同一个束的不同SA可能有不同的端点。在本文的 实例中，就是同时使用AH和ESP保护的情况，工作过程如图1所示。

 
2 VPN的应用

最适合使用VPN应用场合的有：连接分支机构的网络；连接业务伙伴或供应商的网络；远程 访问网络。在本文中，以第一种应用为例，分析VPN的设计原则及工作过程。
2.1 设计原则

VPN技术最常见的应用是用于在公共因特网上为两个可以信任的内部网建立安全连接。这种 应用场合的主要问题是保护内部网免受外来攻击，以及保障公司数据在因特网上的安全传输 。这种VPN不是用传统内部网中使用的专用线路或租用线路，而是用因特网作为连接各分支 机构网络的骨干网。这种方案不要求对客户方(PC或服务器)做任何修改，除非在防范外部攻 击的同时还希望防范来自内部的破坏。设计原则如下：①如果内部网是安全的、可信任的， 那么客户机(主机或服务器)不需要支持IPSec。②位于各分支机构内部网周边的VPN网关首先 具有基本的防火墙功能，并且支持IPSec协议，可对用户数据流同时进行认证和加密。③路 由控制信息将在VPN网关之间交换，使用IPSec协议对路由信息进行加密和认证。④如果开 始时VPN规模小，密钥分发和安全关联定义可以手工进行。但随着规模扩大，应有一个自动 化的方案。⑤安全关联将在VPN网关之间建立，因为源和目的主机都不需要支持IPSec，它们 之间不需建立安全连接。⑥分配给内部网内使用的IP地址可以是公共地址也可以是专用地 址，只有直接接入因特网的VPN网关才需要一个全球惟一的公共IP地址。
2.2 配置流程

某公司在两个城市有子公司，两个子公司需要通过Internet进行两个子网的连接，要求保证 通信的安全性，考虑到具体应用，采用IPSec安全协议进行VPN连接是最理想的解决方案。具 体的网络规划如图2所示，LAN A和LAN B的IP规划分别是10.1.1.0/24和10.1.2.0/24，两个 局域网通过路由器Ra和Rb进行VPN连接，Ra物理口E0、S0的IP分别是10.1.1.1和202.38.163. 1，Rb物理口E0、S0的IP分别是10.1.2.1和202.38.162.1，其中IP地址202.38.163.1和202.3 8.162.1是VPN的两个端点，是公有IP地址，而两个局域网使用的是私有IP地址，两个局域网 中的数据通过加密和认证算法在VPN隧道中进行安全传输。


Ra路由器配置(路由器Rb的配置除IP地址外相同)：
［RouterA-Ethernet0］ ip address 10.1.1.1 255.255.255.0
［RouterA-Serial0］ ip address 202.38.163.1 255.255.255.0 //隧道本地IP地址
［RouterA］ acl 101 
［RouterA -acl-101］ rule permit ip source 10.1.1.0 0.0.0.255 destination 
10.1.2.0 0.0.0.255                   //定义对LAN A网络进行VPN传输
［RouterA -acl-101］ rule deny ip source any destination any //其他网络不进行VPN 传输
［RouterA ］ ipsec proposal tran1                      //定义安全提议tran1
［RouterA -ipsec-proposal-tran1］ encapsulation-mode tunnel    //采用隧道模式
［RouterA -ipsec-proposal-tran1］ transform esp-new       //采用ESP安全协议
［RouterA -ipsec-proposal-tran1］ esp-new encryption-algorithm des //加密算法采 用DES对称加密算法
［RouterA-ipsec-proposal-tran1］ esp-new authentication-algorithm sha1-hmac-96 / /验证算法采用sha1-hmac-96哈希算法
［RouterA ］ ipsec policy policy1 10 isakmp               //创建安全策略10
［RouterA -ipsec-policy-policy1-10］ security acl 101 //配置安全策略使用的ACL列 表
［RouterA -ipsec-policy-policy1-10］ tunnel remote 202.38.162.1   //隧道终点IP
［RouterA -ipsec-policy-policy1-10］ proposal tran1 //配置安全策略中引用的安全提 议tran1
［RouterA ］ ike proposal 10//
创建IKE安全策略
［RouterA -ike-proposal-10］ authentication-algorithm md5 //配置哈希散列算法
［RouterA -ike-proposal-10］ authentication-method pre-share  //配置认证方法
［RouterA -ike-proposal-10］ dh group1                 

//选择DH的组标识
［RouterA ］ ike pre-shared-key abcde remote 202.38.162.1   //配置预共享密钥
［RouterA -Serial0］ ipsec policy policy1          //在接口上应用安全策略组
［RouterA ］ ip route-static 10.1.2.0 255.255.255.0 202.38.162.1 //配置静态路由 
经过上述配置后，在VPN中传输的IP报文格式进行了封装，具体的的格式如图3。


3 结束语

建立了连接分支机构的VPN后，一个公司的总部就可以安全地并且低成本、高效率地和各分 支机构通信。通过VPN，各分支机构也可以将自己内部网络的范围拓展到其他分支机构，从 而建立一个更大规模的扩展企业网。而且，借助开放加以发展，以接纳业务合作伙伴、供应 商和远程用户。可用于实现虚拟专用网的协议，除了IPSec还可使用PPTP和L2F等协议［ 5］，尽管IPSec已经是一种包容极广、功能极强的IP安全协议，但并不是适用于所有配置 的一套极为完整的方案，其中仍存在需要解决的问题。
［参考文献］
［1］ 吕华锋，吴秋峰.IPSec:网络安全与虚拟专用网的基础［J］.计算机工程与应 用,2001,2:36～38.
［2］ 张大陆,记现锋.VPN核心技术的研究［J］.计算机工程,2000,26(3):41～42.
［3］ 曾勇军,杨贞斌.通过逐道技术建立安全的虚拟专用网［J］.计算机工程与应用 ,2000,36(8):132～135.
［4］ 周明天,汪文勇.TCP/IP网络原理与技术［M］.北京:清华大学出版社,1993.