基于IPSec協議的VPN安全網關的設計與實現

胡天麟

（綿陽教育科技有限公司，四川 綿陽 621000）

0 引 言

IPSec（IP Security）協議產生于IPv6制定過程中，將IPSec協議與VPN有機結合，基于IPSeC協議設計VPN網關可以更加有效地保障網絡通信安全，降低企業成本。因此，探討基于IPSec協議的VPN安全網關對于提高Internet網絡的安全性意義重大。

1 基于IPSec協議的VPN安全網關功能設計

在實踐中需要采取有效的安全策略讓VPN安全網關具備相應的安全防護功能才能有效保障網絡安全，因此，需要設計基于IPSec的VPN安全網關的功能，具體包括：（1）數據保護功能；（2）訪問控制功能；（3）網絡跟蹤監控功能；（4）輔助安全功能。

2 基于IPSec協議的VPN安全網關總體結構設計

在分析VPN安全網關功能的基礎上，提出基于IPSec協議的VPN網關基本結構[1]，如圖1所示。

圖1 基于IPSec協議的VPN安全網關結構

從圖1可知，安全網關的功能可以劃分為檢測、防御、控制、處理四大塊。其中主要由防火墻提供防御，由入侵檢測系統實現檢測，通過丟棄、轉發、進行PISec加密和認證三個安全策略實現處理功能。一旦發現入侵，系統會給出告警通知管理員進行安全防護，并在日志中自動記錄入侵相關信息。控制功能模塊則是VPN安全網關的核心功能模塊，其主要作用是協調系統中各個子模塊，因此其實現前提是其他子模塊順利實現。通過分析網關安全需求可知，其需要同時提供防御、檢測、處理、控制的功能，并根據各功能模塊選用合適的網絡技術加以實現。有效的數據安全處理可以更加有效地保障敏感數據的安全。因此，除了讓安全網關具備基本功能之外，還可以利用IPSec處理模塊實現VPN中的數據安全傳輸，有效提高VPN安全網關的安全性。

3 基于IPSec協議的VPN安全網關硬件實現

基于IPSec協議的VPN安全網關的硬件構成[2]，如圖2所示。

圖2 基于IPSec協議的VPN安全網關硬件構成

（1）主處理器。經由擴展總線、PCI與其他設備進行數據交換，提供程序運行所需的調用指令，進行數據運算等。

（2）協處理器。通常用于高速處理數據的場景，主要作用是輔助主處理器完成控制指令，進行數據運算。在本次設計的基于IPSec協議的VPN安全網關中加入協處理器的目的就是更加高效地處理海量地網絡數據，減輕主處理器的壓力，提升系統的運行效率。

（3）存儲器。和個人計算機中的存儲器一樣，本文設計的VPN安全網關中存儲器的主要任務是緩存數據。

（4）PCI總線及擴展總線。其主要作用是在各種硬件設備中傳遞數據、地址、指令等信息。

（5）管理控制模塊。VPN安全網關模塊較多，結構較為復雜，為高效協調各個模塊，必須要有一個可以高效管理調度各個模塊的模塊。

（6）接口。通過接口可以將外部的設備與VPN安全網關連接起來，接口應該符合工業標準。例如，以太網接口的作用是使VPN安全網關與網絡連接。本次設計的VPN安全網關硬件平臺需要兩個以太網接口，一個用于連接內網，另一個用于連接公網絡。

（7）高速串口。通過高速串口可以快速讀取存儲器中的數據。

（8）數據處理模塊。本次設計的VPN安全網關硬件平臺實用的數據處理模塊以網絡服務處理模塊為基礎的，如果應用防火墻的安全網關需要過濾數據就可以通過數據處理模塊實現。

（9）IPSec處理模塊。通過這個模塊可以在VPN網關中應用IPSec協議進行數據加密和驗證。

4 基于IPSec協議的VPN安全網關軟件實現

IPSec可以作為VPN安全網關的標準協議，可以提供更加安全的加密認證手段，以提高VPN的安全性。首先，加密算法選擇。本次設計的VPN安全網關的應用場景為中小企業，其安全級別不像軍隊、科研等部門那么高，因此可以用加密速度快、安全性較高的DES算法。其次，密鑰管理協議選擇。本次研究選用因特網安全關聯與密鑰管理協議（ISAKMP）管理密鑰。最后，認證方法選擇。實現IPSec協議時要驗證數據的完整性，目前常用的驗證方法包括HMAC-MD5、HMAC-SHA-1算法。前者驗證步驟相對簡單，因此得到更廣泛的應用。本次研究設計的基于IPSec協議的VPN安全網關軟件拓撲圖[3]，如圖3所示。

圖3 基于IPSec協議的VPN安全網關系統拓撲圖

來自主機A的數據需要先經過VPN網關1的處理才能出網，在此過程中依據VPN的安全策略數據庫（Security Policy Database）SPD對數據進行轉發或者對數據進行IPSec處理，數據經過處理之后再通過端口傳輸到外網internet。到達主機B所在網絡，再由VPN網關2查詢SPD，進行數據處理，還原數據并將其傳輸至目的主機。這里的VPN的SPD由管理員根據實際情況利用GUI接口配置。如有必要還可以在VPN網關上加入防火墻、入侵檢測、安全掃描等安全防護技術。VPN安全網關系統可以分為用戶、基礎配置、內核。其中用戶部分主要包括系統配置信息，如在網關管理解密中新增VPN隧道的名稱、服務器地址、加密算法、完整性驗證算法、密鑰交換機制等信息，構成VPN的安全策略，完成配置后將自動生成VPN安全策略存儲在SPD中。基礎配置包括系統、日志審計等信息的配置，如系統更新時間、通信記錄等。內核包括策略、判斷、處理等部分，策略部分由SPD提供。

5 結 論

本文探討了基于IPSec協議的VPN安全網關的設計與實現，在設計VPN安全網關時采用IPSec協議可以有效提高VPN網關的安全性。