基于IPSec的VPN網絡安全的實現

張娜

【摘要】 為了防止網絡與互聯網的攻擊，IPSec通過端對端的方式提供了一種安全性的主動保護。本文在對IPSec協議進行簡要闡述的基礎上，提出了一種基于Linux操作系統構建IPSec安全網關和VPN系統的方案，并根據實際工程需求以及對信息安全的研究，建立了一種基于IPSec協議的VPN網絡信息安全體系。

【關鍵詞】 IPSec協議 VPN 網絡安全

一、IPSec協議概述

IPSec協議（Internet Protocol Security）是因特網工程任務組（IETF）制定的一套可以用在IPv4和IPv6上的安全協議，該協議基于密碼學方法，支持機密性和認證服務等安全服務，具有互操作性[1]。IPSec協議主要用于確保互聯網上的一系列IP（網際協議）協議能夠進行安全有效的傳輸。IPSec協議包括一系列以編號排定的文件，為了確保不同方案之間能夠實現互通，它定義了一套默認的、強制實施的算法[2]。

認證頭協議（AH）和封裝安全協議（ESP）是IPSec協議的兩個子協議。其中認證頭協議（AH）的協議號為51，其主要目的是增加IP數據報的安全性，它能夠提供無連接的完整性、防重放攻擊保護以及數據源頭認證服務，但它不為所保護的數據報加密，即不提供任何的保密性服務；封裝安全協議（ESP）的協議號為50，是插在IP報文內的一個協議頭，主要為IP提供數據機密性、數據源驗證、數據完整性、抗重播等安全服務。AH和ESP兩者之間的不同點在于認證頭協議（AH）不包含機密過程，而封裝安全協議（ESP）有加密措施；此外認證頭協議（AH）的驗證范圍涵蓋了整條報文，而封裝安全協議（ESP）不需要驗證外部的IP數據頭。

根據保護對象以及使用地點的不同，， IPSec協議分為隧道模式和傳送模式。隧道模式主要用于在Internet中的路由，并對整個IP分組采取保護措施。主要做法是將IP分組加密，并將加密后的分組完全封裝到另一個IP分組中；傳送模式主要用于主機之間，負責對分組負載進行有效保護，但是不對原來的IP地址進行加密。

二、安全協議IPSec的實現

IPSec是一組開放安全協議的總稱， VPN（虛擬局域網）網關支持同時使用IPSec中的ESP和AH協議，以及支持隧道和傳送兩種模式。現以AH協議處理為例，闡述IPSec模塊在Linux下的實現方案。

AH協議分為輸入和輸出兩部分，主要負責報文完整性認證的工作。在AH協議中，驅動程序負責報文的接收，并將報文放入IP隊列內。為了確保字段的完整性和正確性，AH協議會對輸入的報文進行完整性校驗。對于輸入的AH報頭各字段的合法性和長度值的檢查，主要由AH協議的輸入部分負責。AH協議報頭內專門的序列號字段主要用于進行抗重放攻擊服務。在方案中報文的輸入過程是：維護一個序號滑動窗口，其主要負責對報文內序號字段進行檢查，檢查的內容包括：字段接收范圍、接收字段號，最后根據檢查內容判斷是否接收報文。正確報文的接收工作包括：提取報文序列號、修改滑動窗口。確認接收報文后，刪除封裝的IP隧道頭和AH頭，還原內部IP報文并將其重新置入IP隊列中。報文輸出的工作過程包括：計算出完整性校驗值，并放入新添加的AH協議頭的指定字段位置，并從SA（安全關聯）內取出相應的AH頭信息填入AH頭，添加封裝外部隧道的IP頭。

三、系統模塊的設計原則

為了使基于IPSec的VPN網絡系統能夠更好地應用于大型局域網，在設計構建VPN網絡系統的時候，還需要考慮以下設計原則：

高效率管理：為了提高管理效率，同時降低管理成本，本方案采取中心式的管理方法，通過遠端管理配置每一臺網關，實現全局的策略配置。網關啟動時會自動從中心管理處下載策略，當中心策略發生變動時，會及時通知各個網關進行策略的重新下載更新。除了中心管理外，方案還支持遠程配置訪問。系統的穩定性：中心網關一般處于24小時不停機的滿負荷工作狀態，非常忌諱死機現象的發生，對系統的穩定性要求特別高。因此系統的最大無故障工作時間以及平均無故障時間等參數就顯得至關重要。 硬件設備的可靠性：安全網關對硬件設備的可靠性要求很高，其硬件設備應該滿足速度快、散熱快、穩定、可靠等高性能要求。便捷的升級方式：系統升級能夠很好地解決系統的漏洞，保證系統的穩定性，并增加一定的功能。系統隨時都需要進行更新升級，因此最便捷的升級方式就是能夠實現在線升級。實時監控：要保證每個網關能夠進行信息的統計，包括是否處于安全連接狀態、是否正常工作等信息，此外對每個隧道通過的數據也要進行統計。而管理中心能夠實時地從各個網關提取統計信息。 證書管理：全局應該設定一個CA中心，主要解決證書的產生、發放、簽名、驗證以及授權管理。

四、結語

利用 IPSec 組建的 VPN 已成為新一代網絡安全服務的基礎，基于IPSec的VPN網絡安全的實現，不僅能對不同子網的數據通信進行身份驗證，合理有效地進行訪問控制，而且很好地隱藏了網絡的結構，較好地克服了安全威脅。

參 考 文 獻

[1] 劉景云. 活用IPSEC規則，打造安全網絡環境[J]. 電腦知識與技術：經驗技巧， 2015（9）：116-118.

[2] 盧剛. 用于IPSec協議的AES-128-CBC算法高速硬件設計[D]. 東南大學， 2015.