基于IPSec協議的VPN在防火墻中的應用研究

曹亞群　朱俊

摘 要：文章重點研究了IPSec協議標準，闡述了IPSec協議集中的AH協議和ESP協議，指出了IPSec協議常用的傳輸模式和隧道模式兩種方式，給出了IPSec安全機制。文章還介紹了VPN，分析VPN的優點。最后以一個實際網絡環境為例，介紹在防火墻中配制基于IPSec的VPN的常見步驟。

關鍵詞：IPSec；VPN；防火墻；加密；隧道技術

中圖分類號：TP393 文獻標識碼：A

1 引言（Introduction）

IPSec（Internet協議安全性）是由IETF（Internet工程任務組）開發的一套Internet安全協議標準集，它是一種開放標準的框架結構，在使用IP協議通信的基礎上，引入安全服務機制，在網際層實現，功能包括數據加密、地址校驗、訪問控制，數據完整性檢查、防止重放攻擊等，從而實現在IP網絡上安全可靠的安全的數據通信[1]。

2 IPSec協議（IPSec protocol）

IPSec是一套用來通過公共網絡進行安全通信的協議格式，是一種開放的協議集，工作在OSI/RM的第三層，可被IP及上層協議（如TCP、UDP等）使用。IPSec使用AH（認證頭協議）和ESP（封裝安全載荷協議）來實現各種不同的功能[2，3]。

AH認證頭協議用來證實數據分組的來源，同時用于保障數據的完整性、可靠性和真實性，并防范同一數據包重復發送。AH協議不對用戶數據進行加密，通常采用安全哈希算法來對數據包進行保護，在傳輸過程中要發生變化的信息數據通常不在AH協議保護范圍之內[4]。

ESP用于對數據分組進行加密操作，提供IP通信的安全服務，實現機密性和完整性要求，ESP采用對稱加密方式，可以達到一定的安全要求，但不適合長期保密的數據。也可以根據安全需求不同，只對TCP或其他數據包進行加密，這些經過加密后的數據包重新封裝后，通過滑動窗口機制進行傳輸，解決數據傳輸中的接收、重傳等問題[5，6]。

使用IPSec協議時，有兩種模式可供選擇，傳輸模式和隧道模式。根據實際應用環境選擇合適的模式。IPSec的安全服務可以使用手工輸入密鑰的方式，但是這種方式操作性和擴展性極差。因而在實際應用中，使用IKE（Internet密鑰交換協議）來動態生成共享密鑰，認證雙方，實現安全有效的通信。

SA（Security Association）包含了一些算法集合和一些參數，是由通信雙方建立的對數據流保護的約定，對于雙向傳輸的數據通信需要一對SA來完成。SA約定了傳輸數據分組的協議、目標IP地址、安全協議標識符、密鑰、密鑰有效期等。IKE的功能之一就是建立和維護SA，主要是維護兩個組件SADB（SA數據庫）和SPDB（安全策略數據庫），IPSec安全機制中的AH和ESP都需要使用SA，如圖1所示。

圖1 IPSec安全機制

Fig.1 IPSec security mechanism

3 VPN

VPN（Virtual Private Network，虛擬專用網絡）在公用網絡上建立一個虛擬的、安全的專用網絡，進行加密通信。這種安全通信技術方式就是在公用網絡上，采用隧道技術和加密技術建立起安全信道，實現虛擬專用。因其有著以下顯著優點，有著廣泛的應用。

（1）低成本。利用當前已有的公共網絡，不需要支付高昂費用架設或租用專線網絡，大大降低使用成本。

（2）安全性高。使用加密方式進行數據傳輸，并對實體進行身份識別，禁止非授權用戶訪問。

（3）QoS（Quality of Service，服務質量）保證。用戶不用增加額外的硬件配置就可以使用較高品質的流量傳輸和帶寬應用。

（4）擴展性好。支持Internet上各種類型數據傳輸，可通過硬件、軟件等多種方式實現，并且易于管理維護。

IPSec VPN采用IPSec協議來實現遠程接入VPN，是很廣泛的一種應用。

4 IPSec VPN在防火墻的應用（Application of VPN

in the firewall）

4.1 網絡環境

網絡拓撲結構圖如圖2所示。

圖2 網絡拓撲圖

Fig.2 Network topology

4.2 實現方法

以DCFW-1800防火墻為例，先配置防火墻A，在VPN選項中的IKE VPN的P1提議對話框中，分別設置提議名稱、驗證算法、加密算法等信息，如圖3所示。在配置防火墻B時，驗證算法、加密算法等信息要一致，才能互相通信。

圖3 設置P1提議

Fig.3 Set the P1 proposal

在IKE VPN中設置對端信息，如圖4所示。

圖4 對端信息

Fig.4 The side information

設置P2提議，如圖5所示。

圖5 設置P2提議

Fig.5 Set the P2 proposal

在接口中，新建一個隧道接口，隧道綁定管理選擇IPSec，如圖6所示。

圖6 設置隧道

Fig.6 Set the tunnel

再將防火墻的策略和路由按照網絡拓撲圖配置好后，完成防火墻A的配置，防火墻B的配置步驟與防火墻A的配置相同。

5 結論（Conclusion）

基于IPSec的VPN不僅僅可以在防火墻上實現，也可以在其他網絡設備等硬件上實現，還可以在操作系統等軟件上實現，因其具有顯著優點，在實際環境中得到廣泛的應用。不同公司的VPN產品因設計不同，標準各異，往往會不兼容，所以盡量使用同型號設備。

參考文獻（References）

[1] 喬曉琳.基于IPSec VPN應用研究[J].電腦知識與技術，2010（6）：1072-1074.

[2] 李石磊.基于Ipsec協議的VPN代理網關系統的研究與實現[D].太原：太原理工大學，2013.

[3] 陳紅軍，周青云，張有順.基于IPSec的虛擬專用網實現研究[J].制造業自動化，2011，33（4）：70-72.

[4] 姚立紅，謝立.IPSEC與防火墻協同工作設計與實現[J].小型微型計算機系統，2004（2）：183-186.

[5] 陳慶章，等.基于IPSec協議的VPN穿越NAT的研究與實現[J].第二屆中國互聯網學術年會，2013.

[6] 李學花.網絡數據隧道式加密與解密的硬件實現[D].天津：天津大學，2006.

作者簡介：

曹亞群（1978-），女，碩士，講師.研究領域：數學建模.

朱 俊（1980-），男，碩士，副教授.研究領域：網絡信息安全.