基于IPsec的VPN技術的應用與研究

1網絡安全的基本內容

完整的考慮網絡安全包括3方面的內容：網絡攻擊、安全機制與安全服務。網絡安全服務應該提供以下基本服務功能：保密性、認證、數據完整性、防抵賴和訪問控制。

2IPsec的VPN技術的應用

VPN（Virtual Private Network）是虛擬專用網的全稱，指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

當前，VPN（Virtual Private Network，即虛擬專用網）產品在我國的IT應用市場上正逐漸被越來越多的行業和企業用戶所熟悉和采用，已經成為近兩年中國市場上成長迅速的主流消費產品之一。

3VPN的關鍵技術

目前，VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術（Tunneling）、加解密技術（EncryptionDecryption）、密鑰管理技術（KeyManagement）、使用者與設備身份認證技術（Authentication）。

4IPsec協議分析

4.1IPsec協議簡介

IPsec是一種具有互操作性、高質量、基于加密的，適用于IPv4和IPv6的規范。IPsec能夠對數據的存取控制、機密性、完整性和可用性提供保證，并能夠防止重放攻擊。IPsec可應用在IP層（對IP包進行封裝）或在IP層與數據鏈路層之間或在物理線路上。IPsec是安全聯網的長期方向。它通過端對端的安全性來提供主動的保護以防止專用網絡與Internet的攻擊。IPsec協議是一個標準的第三層安全協議，它是在隧道外面再封裝，保證了在傳輸過程中的安全。IPsec的主要特征在于它可以對所有IP級的通信進行加密。

4.2IPsec工作原理

IPsec的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數據包時包過濾防火墻使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時，包過濾防火墻按照規則制定的方法對接受到的IP數據包只進行2種處理：丟棄或轉發。而IPsec則是通過查詢SD（Security Policy Database安全策略數據庫）來決定對接收到的IP數據包的處理。但不同于包過濾防火墻的，IPSec對IP數據包的處理方法除了丟棄、直接轉發(繞過IPsec)外，還有一種，即進行IPsec處理。

4.3IPsec協議的實現方式

IPsec的一個最基本的優點是它可以在共享網絡上訪問設備，甚至是可以在所有的主機和服務器上完全實現，這就在很大程度上避免了升級任何網絡相關資源的需要。在客戶端，IPsec的架構允許使用在遠程訪問介入路由器或基于純軟件方式使用普通MODEM的PC機和工作站。

4.4IPsec協議的工作模式

IPsec在不同的應用需求下會有不同的工作方式，分別為傳輸模式（Transport Mode）和隧道模式（Tunnel Mode）。

4.4.1傳輸模式（Transport Mode）

所謂傳輸模式的IPsec VPN是指可以將兩部主機之間所傳遞的數據加密。例如，我們使用便攜計算機通過POP3協議連回公司的郵件服務器收取信件時，就可以在Mail Server與便攜計算機之間建立傳輸模式的IPsec VPN，以確保信件的內容不會被他人竊取。

4.4.2隧道模式（Tunnel Mode）

如圖1所示，如果我們需要讓兩個不同網段所傳輸的數據內容都經由IPsec VPN來加密，或者需要將兩個Private IP的網段通過IPsec VPN來跨越Internet連接，就會需要用到隧道模式的IPsec VPN。

5結束語

本文所研究的是基于IPsec的VPN技術，IPsec VPN技術在IP傳輸上通過加密隧道，在公網傳送內部專網的內容的同時，保證內部數據的安全性，從而實現企業總部與各分支機構之間的數據、語音、視頻業務互通。