IPsec VPN技術在校園網中的應用

許曉燕

一、引言

IPsec VPN技術又被稱之為虛擬專用網絡技術，該技術是將共享網絡中的相關設備作為其基礎設備，以此確保私有數據能夠在這些設施中實現安全傳輸，使私有數據在傳輸過程中不會受到地域的局限性而影響其傳輸性能。私有數據在共享網絡中進行安全傳輸時，其僅會受到專用網絡中統一策略的控制，這使其成為一種靈活性非常高的遠程接入策略，從而使數據傳輸安全得到可靠保證的同時，也使專網聯網成本得到了顯著降低，這使其未來的發展前景非常廣闊，是校園網遠程接入的主要應用技術。為此，以下便對IPsec VPN技術進行深入的探討與研究。

二、IPsec VPN技術的安全協議

在以往的TCP/IP協議中，網絡雖然可靠性較強，但在安全性方面卻存在不足，這是因為其IP包自身不具備安全特性。因此，IETF構建了一種具備標準化與開放性特點的安全技術體系架構，即IPsec，IPsec是通過對OSI模型的基礎結構及其結構中第三層數據包的格式進行定義，以使其能夠為IP通信服務提供安全性較高的端對端數據傳輸服務，以此確保通信安全、透明。

（一）IPsec VPN技術體系

對于IPsec來說，其本質上是一種協議包，在該協議包中共含有以下組件，分別是驗證頭協議、封裝安全載荷協議、密鑰分配協議以及IPsec安全聯盟。驗證頭協議的英文簡稱為AH，該協議能夠實現數據源的認證、反重放，并確保數據完整，不過該協議在機密性方面尚無法做到可靠保證。該協議是在IP包頭以后，將要進行保護的數據前端添加AH標識，并利用雜湊算法來對AH標識中包含的驗證值進行計算。封裝安全載荷協議的英文簡稱為ESP協議，該協議不僅能夠支持AH的相關服務，而且也具備良好的機密性，其工作流程和AH較為類似，不過在標識位置上則存在不同，ESP協議不采用AH協議的簽名模式，而是通過CBC模式，即加密算法塊鏈模式，并通過3DES、DES等加密算法的應用來對待保護數據及其部分ESP標識實施加密處理。密鑰分配協議的英文簡稱為IKE，該協議能夠自動管理IPsec通信雙方之間的密鑰交換，該協議在實施過程中共包括兩大階段，第一階段是通過采用Diffle-Hellman交換機制，并對相應的驗證方法進行預先設置，如預共享密鑰、RSA公共密鑰算法、DSS數據簽名等，以此構建相應的安全連接來實現雙方之間的實體通信，該階段又被稱之為IKE安全聯盟構建階段。第二階段是在構建IKE安全聯盟的前提下，通過對密鑰生存期以及安全協議等重要的安全參數進行雙方協商，然后生成公共密鑰來構建SA聯盟，SA聯盟又被稱之為IPsec安全聯盟。SA聯盟屬于一種介乎于兩通訊實體間的邏輯連接，這種邏輯連接能夠為雙方的數據傳輸提供一致而又可靠的IPsec安全保障。

（二）IPsec VPN技術原理

包過濾防火墻在對IP包進行接收時，利用包過濾防火墻中的規則表來實施匹配，在發現匹配規則以后，會根據該規 中的方法來轉發或丟棄接收的IP包。而IPsec VPN技術的操作流程則和包過濾防火墻較為類似，該技術會根據SPD的查詢結果來判斷采用哪種方法來處理接收到的IP包，處理方法可包括丟棄、IPsec處理以及直接轉發。IPsec處理通過AH或ESP安全協議來認證與加密IP包，這相比于包過濾防火墻來說要具備更高的安全性。根據用戶安全需求的不同，IPsec VPN技術的工作模式主要有兩種，分別是端對端數據傳輸模式和安全網關隧道模式。在端對端數據傳輸模式中，ESP或AH安全協議是通過上層協議，即UDP協議、TCP協議或ICMP協議來對數據進行保護的，而對于數據中的IP包頭內容、目標地址和源地址則不進行加密。在安全網關隧道模式中，ESP或AH安全協議則是對全部IP包進行保護，在傳輸IP包時會采取兩個IP頭的方式進行保護，這兩個IP頭分為內部頭與外部頭，由源主機來創建內部頭，由安全網關創建外部頭。

三、IPsec VPN技術

（一）隧道技術

在IPsec VPN技術中，隧道技術是實現該技術的重要前提，隧道技術的工作流程為，在需要傳輸數據包或數據幀時，將數據包或數據幀進行封裝，然后通過L2TF、PPTP或L2F等隧道協議將Header到新的數據包或數據幀當中去，Header會向數據包或數據幀提供路由信息，然后將封裝以后的數據包或數據幀利用互聯網發送出去，封裝后的數據包或數據幀在通過邏輯路徑傳輸到另一節點時，會通過相同隧道協議對其進行解包，然后將其轉發至目的地。而該邏輯路徑便是所謂的隧道。在隧道協議中，其對數據包或數據幀的加密應按照IPsec標準來進行，而通過隧道連接形成的網絡便是IPsec VPN。

（二）IPsec VPN技術中的隧道協議

隧道協議可分為L2TP/IPsec與IPsec隧道兩個部分，L2TP又被稱之為層2隧道協議，其是在公共網絡設備中將鏈路層PPP幀封裝到需要傳輸的隧道協議當中云，其利用UDP進行封裝，并對PPP幀及L2TP消息進行傳送。L2TP能夠進行PPP用戶認證，但不能進行機器級的身份認證。此外，L2TP僅對控制包在傳輸時的加密方式進行了定義，其并沒有加密傳輸數據。因此，通過ESP工作模式來對L2TP中的數據包進行再次封裝，能夠確保端對端連接的安全性。L2TP能夠對動態尋址以及多種協議予以高度支持，從而使多PPP鏈路捆綁難題得到了有效解決，這使其能夠在專線VPN與撥號VPN中得到廣泛應用。在IPsec隧道部分，通過IPsec通道模式的激活，能夠使IP網絡中的IP包封裝到所使用的隧道協議內。IPsec隧道協議的特點在于，其能夠隧道環境多樣，如主機至主機、網關至網關、網關至主機等環境，并且其僅能保護IP數據，但不對撥號VPN予以支持。

四、IPsec VPN技術在校園網中的應用實例分析

隨著我國教育興國政策的不斷推進，高校之間實現優勢互補趨勢已經變得越來越明顯，這也是諸多高校紛紛開展跨校區辦學，以此擴大教學規模，充分發揮自身優勢。在此形勢下，如何才能確保跨校區辦學中數據傳輸的共享安全，也已成為高校實現信息化發展的重要問題。為了解決該問題，就必須將上文提到的IPsec VPN技術應用到跨校區高校當中去，為此，有必要對IPsec VPN技術在校園網中的具體應用進行深入的研究。本文以某高校為例，對IPsec VPN技術在該高校校園網中的應用進行了詳盡分析。在某高校中，其校園網共由主校區、職教學院與成教學院等三大部分進行互聯而成，校園網屬于一種具備開放性特征的網絡環境，一旦其校園網缺乏必要的安全措施，勢必會使財務數據、管理數據等敏感數據在校園網傳輸過程中被截取篡改與泄露，進而給高校帶來巨大損失。為了避免這一問題，通過在校園網中利用Windows2012網關來實現校區局域網與校園網之間的接入，并確保機密數據在傳輸時能夠具備絕對的安全性?？紤]到這些機密數據在傳輸時可能會出現實時性不高的情況，因此在應用Windows2012網關進行校園網接入時，需要采用網關中所具有的IPsec VPN方案來對校園網進行改造，利用安全隧道將各校區的重要局域網進行互聯，以形成能夠對各校區進行覆蓋的子網絡。以下便對網關中IPsec VPN技術在該高校主校區與職教學院之間的財務處局域網互聯作為實例，以此探討IPsec VPN技術在設置Ipsec隧道時的具體步驟。實施步驟如下：

其一，構建Ipsec策略，應對網關是否屬于域中的成員進行判斷，當判斷為是時，則應在活動目錄中建立相應的組織單元，然后向該組織單元提供相應的安全性策略，比如，建立安全通道、自動斷聯機等。當判斷為否時，則僅需對一個單獨的本地安全性策略進行創建即可；其二，連接各條VPN，并建立兩個篩選器列表，以用來分別對流入與流出的數據包進行匹配；其三是根據這兩個建立的篩選器列表來對安全規則進行指定，流出數據包的匹配篩選器列表參數設置如下：將隧道終點的IP地址設置成210.40.2.8，設置隧道連接的類型為全部網絡連接，并將協商安全以及不接受安全性不確定的通訊進行激活，采用總是采用IPsec進行響應，設置安全措施類型為高ESP。觀察其身份驗證標簽中的隧道端點是否全部處于相同區域，如果是，則對kerberos V5進行選擇，如果不是，則采用預共享密鑰或是CA憑證驗證，當然，需要確保兩隧道所采用的身份驗證方法相同。對流入數據包的匹配篩選器列表參數設置則以此進行類推，其設置內容基本相同，唯一不同之處是將所指定的隧道終點IP地址設定成210.40.1.8；其四是將該策略提供到windows 2012網關當中。以下便對安全策略運用到windows 2012網關的具體步驟進行探討，首先根據實際運營情況以及客戶的安全需求利用IPsec VPN技術來制定安全策略，安全策略的制定是由訪問數據庫來制定的，其利用自動配置服務器中的安全策略服務器模塊來實現。在安全策略制定時，由IPsec安全策略代理模塊來對參數進行配置，其相關參數應符合windows 2012網關中的參數定義，然后將制定的安全策略數據庫和IPsec代理模塊之間進行建立連接，以使安全策略參數能夠進行代理模塊與安全策略數據庫之間的傳遞，對于IPsec安全策略的代理模塊及服務器模塊來說，應嚴格按照TR-069中的相關規定進行執行，并通過SOAP來對參數進行配置，以使ACS與網關之間能夠對IPsec安全策略進行控制與管理，從而使信息得以發送到家庭網關中，并通過IPsec安全策略代理模塊來加載安全策略，并通過摘要身份驗證的方式來進行家庭網關保護。當IPsec安全策略的參數發生動態變化時，由安全策略代理模塊來對策略參數進行動態修改，由IPsec安全策略的服務器模塊來對能夠滿足安全協議要求的相關安全策略進行動態下載，進而使IPsec安全策略在windows 2012網關中得以有效運用，實現了對網關的自動配置。

五、結語

根據高校在校園網建設方面的局限性以及數據傳輸的安全性特點，本文遵循實用性、易用性原則，將IPsec VPN技術應用于校園網中的跨校局域網當中，以實現局域網和校園網之間的安全互聯，進而使機密數據在傳輸過程中不會被截取與篡改，從而降低了成本投入，使校園管理工作水平得到了顯著提升。