馮翔宇

摘 要 VPN作為一項(xiàng)成熟的異地聯(lián)網(wǎng)技術(shù)，為遠(yuǎn)程辦公提供了很大便利，已經(jīng)為越來越多企事業(yè)單位所認(rèn)可并應(yīng)用。很多人在使用VPN時(shí)最擔(dān)心的問題就是數(shù)據(jù)在傳輸?shù)倪^程中其安全性能否得到保障。由于VPN是一條單獨(dú)的通道，為此想要滿足人們對(duì)數(shù)據(jù)的安全需求，應(yīng)利用IPSec進(jìn)行設(shè)計(jì)。將IPSec協(xié)議應(yīng)用在VPN網(wǎng)關(guān)設(shè)計(jì)中，能讓數(shù)據(jù)在傳輸過程中的安全性和完整性不斷提高，確保數(shù)據(jù)的保密效果。當(dāng)下，隨著經(jīng)濟(jì)和科技的發(fā)展，有越來越多的人將目光放在IPSec協(xié)議下的VPN網(wǎng)關(guān)設(shè)計(jì)中，滿足對(duì)信息的保護(hù)需求。

關(guān)鍵詞 IpSec VPN技術(shù) 網(wǎng)關(guān) 安全性

中圖分類號(hào)：G434文獻(xiàn)標(biāo)識(shí)碼：A

0引言

互聯(lián)網(wǎng)的出現(xiàn)讓人們感受到了信息帶來的便利，但是信息的安全性也成為了互聯(lián)網(wǎng)的弊端。用戶與用戶在信息傳遞的中，如何保證信息的安全性和保密性尤為重要，一些不法分子利用網(wǎng)絡(luò)漏洞盜取信息，使得信息販賣成為了全新的經(jīng)濟(jì)獲取渠道。VPN雖然是一種比較安全的信息傳遞方式，但是在大量的應(yīng)用中仍舊會(huì)存在一些問題。為了提高信息的安全性，將IPSec協(xié)議應(yīng)用在VPN中，能夠建立更安全的信息傳遞隧道。

1 IPSec概述

IPSec出現(xiàn)的目的是為了保證IP站點(diǎn)之間的安全，利用IPSec制定了一系列的協(xié)議，其目的是保證IP數(shù)據(jù)在報(bào)道和應(yīng)用時(shí)的保密性、安全性、可操作性以及高質(zhì)量性。IPSec主要應(yīng)用在網(wǎng)絡(luò)層數(shù)據(jù)封裝的第三層隧道協(xié)議。利用IPSec協(xié)議能保證數(shù)據(jù)使用的真實(shí)性、可靠性，通過AH、ESP能保證IP層的安全。在使用IPSec協(xié)議時(shí)，能夠通過IKE將IPSec協(xié)議進(jìn)行簡化，提高使用和管理的整體效果。IPSec協(xié)議能夠真正的提高大數(shù)據(jù)時(shí)代下的數(shù)據(jù)安全，確保所有的數(shù)據(jù)在傳輸?shù)倪^程中，其本身的安全性、整體性以及消耗的經(jīng)濟(jì)成本較低，滿足人們對(duì)數(shù)據(jù)傳輸?shù)恼w要求。在當(dāng)下應(yīng)用IPSec協(xié)議時(shí)，其中主要包括了以下兩個(gè)協(xié)議，分別是AH協(xié)議和ESP協(xié)議。其中AH協(xié)議在使用的時(shí)候包括了對(duì)所有數(shù)據(jù)的確證、給IP層的數(shù)據(jù)提供安全保證，使得整個(gè)數(shù)據(jù)在傳輸?shù)倪^程中，其數(shù)據(jù)的連接相對(duì)完整，既能讓原始數(shù)據(jù)的傳輸效果更好，同時(shí)也能讓數(shù)據(jù)本身抗重播攻擊。

2基于IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)與應(yīng)用

2.1設(shè)計(jì)方案

在對(duì)IPSec進(jìn)行VPN網(wǎng)關(guān)設(shè)計(jì)時(shí)，需要選取正確的設(shè)計(jì)方案，即需要考慮到設(shè)計(jì)過程中的三個(gè)不同層次，這三個(gè)層次需要基于同一個(gè)網(wǎng)絡(luò)處理平臺(tái)進(jìn)行實(shí)現(xiàn)，其中包括了以下幾點(diǎn)：第一個(gè)層次，管理層。在IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)中，管理層包括的內(nèi)容較多，分別是算法管理、安全策略庫管理、安全關(guān)聯(lián)庫管理、統(tǒng)計(jì)、ESP協(xié)議處理、日志管理、AH協(xié)議處理等不同的管理內(nèi)容。在管理層中，其出現(xiàn)的全部內(nèi)容都是為了保證VPN網(wǎng)關(guān)系統(tǒng)的正常運(yùn)行，確保其功能效果，多數(shù)情況下在IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)中都是利用外部設(shè)備實(shí)現(xiàn)相關(guān)內(nèi)容。第二個(gè)層次，控制層。在控制層中其主要包括的內(nèi)容較多，分別是IKE引擎，即實(shí)現(xiàn)IKE的動(dòng)態(tài)管理、SA查找模塊、SP查找模塊。在控制層中，在設(shè)計(jì)實(shí)現(xiàn)時(shí)選擇的方式為Intel IPSecScale。第三個(gè)層次，數(shù)據(jù)處理層。在數(shù)據(jù)處理層中主要包括的內(nèi)容為加密算法模塊、IPSec處理模塊、包接收、認(rèn)證算法模塊、包發(fā)送模塊。在數(shù)據(jù)處理層中，主要是利用微引擎的方法來進(jìn)行VPN網(wǎng)關(guān)系統(tǒng)中的數(shù)據(jù)處理?；蛘呤沁x擇多個(gè)微引擎共同使用，其目的是為了使得數(shù)據(jù)的處理速度逐步增加，形成快速處理通道。

2.2 IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)

在選擇IPSec的實(shí)現(xiàn)方式時(shí)，應(yīng)考慮到不同的需求，進(jìn)而選擇不同的實(shí)現(xiàn)方式，本文進(jìn)行IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)時(shí)，選擇的方式是IP整合方式，如圖1所示。

由于IP整合方式本身的整合效率較高，實(shí)現(xiàn)方式相對(duì)簡單能夠提高實(shí)現(xiàn)的整體效率，本文選擇IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)重點(diǎn)就是實(shí)現(xiàn)隧道的傳輸以及數(shù)據(jù)加密。在設(shè)計(jì)中，主要是以KAME作為工具，可以利用人工模式或者是自動(dòng)密鑰連接方式對(duì)網(wǎng)關(guān)進(jìn)行設(shè)計(jì)和管理。同時(shí)利用人工模式，由負(fù)責(zé)設(shè)計(jì)的管理者針對(duì)IPSec中所使用的協(xié)議、算法以及SA密鑰創(chuàng)建、組成SAD等進(jìn)行數(shù)據(jù)的保護(hù)和管理。但是應(yīng)考慮到本文所選擇的IPSec實(shí)現(xiàn)方式在密鑰關(guān)聯(lián)過程中較為復(fù)雜，安全性相對(duì)其他的設(shè)計(jì)方式相對(duì)較弱，但是運(yùn)用在小型網(wǎng)絡(luò)中其運(yùn)行效果較好，能滿足網(wǎng)絡(luò)設(shè)計(jì)的需求。在確定了自動(dòng)密鑰連接方式后，作為網(wǎng)絡(luò)管理員并不需要繼續(xù)上述工作，只需要利用IKE認(rèn)證通信雙方以及協(xié)商安全參數(shù)，就可以采用共享密鑰認(rèn)證方式。在進(jìn)行共享具體配置中，其中主要有以下幾步：第一步，配置預(yù)共享密鑰文件psk.txt;第二部，對(duì)所有的安全策略配置文件進(jìn)行配置，即setkey.conf;第三，需要配置文件racoon，即racoon.conf;第四，啟動(dòng)racoon。

2.3基于IPSec的VPN網(wǎng)關(guān)應(yīng)用

在分析基于IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)時(shí)，應(yīng)首先保證IPSec中的通信需求，并且確?；贗PSec的VPN網(wǎng)關(guān)設(shè)計(jì)能夠?qū)崿F(xiàn)相關(guān)應(yīng)用功能，其中包括了幾下幾點(diǎn)：第一，根據(jù)IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)在日常應(yīng)用中能夠?qū)崿F(xiàn)最基本的網(wǎng)絡(luò)功能，其中包括了撥號(hào)上網(wǎng)、路由轉(zhuǎn)發(fā)以及NAT代理等一系列功能;第二，IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)能夠連接并且實(shí)現(xiàn)VPN功能，換句話說，利用IPSec能夠滿足不同網(wǎng)關(guān)之間的組網(wǎng)要求，做到不同地區(qū)、不同結(jié)構(gòu)同樣可以進(jìn)行連接，這是跨地域的lan-to-lan連接。同時(shí)也可以滿足單個(gè)用戶的使用需求，即PC-to-Lan的功能;第三，根據(jù)IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)能實(shí)現(xiàn)動(dòng)態(tài)組網(wǎng)，也就是說以往在應(yīng)用VPN時(shí)，有關(guān)網(wǎng)關(guān)的Internet IP地址會(huì)存在變化，甚至在一些不確定的條件下難以組建全新的vpn網(wǎng)絡(luò)，而利用IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)則可以解決該問題。能夠?qū)?nèi)網(wǎng)用戶進(jìn)行改變，并且屏蔽掉這種變化帶來的一系列影響，真正意義上實(shí)現(xiàn)動(dòng)態(tài)的域名體系，做到協(xié)助實(shí)現(xiàn)動(dòng)態(tài)組網(wǎng);第四，能夠?qū)崿F(xiàn)管理功能。將不同地區(qū)的VPN網(wǎng)關(guān)之間進(jìn)行連接，能管理移動(dòng)用戶，做到移動(dòng)用戶的連接，建立VPN隧道、刪除終止，其能實(shí)現(xiàn)網(wǎng)絡(luò)的基本防火墻功能，同時(shí)也能確保整體設(shè)備的安全性和穩(wěn)定性，對(duì)VPN通訊的報(bào)文進(jìn)行過濾。

3結(jié)語

綜上所述，之所以選擇IPSec協(xié)議開展VPN的網(wǎng)關(guān)設(shè)計(jì)，原因之一就是IPSec協(xié)議能確保數(shù)據(jù)在傳輸過程中的安全性和完整性。利用IPSec協(xié)議能夠?qū)λ械膫鬏敂?shù)據(jù)進(jìn)行嚴(yán)格的管理和保護(hù)，使用AH能對(duì)用戶進(jìn)行認(rèn)證，并且保護(hù)數(shù)據(jù)的準(zhǔn)確性，其大大的增加了IP站點(diǎn)之間的安全性。為此，在大數(shù)據(jù)飛速發(fā)展的今天，利用IPSec協(xié)議能確保VPN的網(wǎng)關(guān)設(shè)計(jì)安全性準(zhǔn)備增加，也能滿足人們對(duì)大數(shù)據(jù)使用的要求。

參考文獻(xiàn)

[1] 劉春艷.基于IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（11）：60+59.

[2] 王志剛，石穎.基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)設(shè)計(jì)[J].計(jì)算機(jī)工程，2009，35（17）：146-148+151.