基于IPSec的VPN網關設計與實現分析

馮翔宇

摘 要 VPN作為一項成熟的異地聯網技術，為遠程辦公提供了很大便利，已經為越來越多企事業單位所認可并應用。很多人在使用VPN時最擔心的問題就是數據在傳輸的過程中其安全性能否得到保障。由于VPN是一條單獨的通道，為此想要滿足人們對數據的安全需求，應利用IPSec進行設計。將IPSec協議應用在VPN網關設計中，能讓數據在傳輸過程中的安全性和完整性不斷提高，確保數據的保密效果。當下，隨著經濟和科技的發展，有越來越多的人將目光放在IPSec協議下的VPN網關設計中，滿足對信息的保護需求。

關鍵詞 IpSec VPN技術 網關 安全性

中圖分類號：G434文獻標識碼：A

0引言

互聯網的出現讓人們感受到了信息帶來的便利，但是信息的安全性也成為了互聯網的弊端。用戶與用戶在信息傳遞的中，如何保證信息的安全性和保密性尤為重要，一些不法分子利用網絡漏洞盜取信息，使得信息販賣成為了全新的經濟獲取渠道。VPN雖然是一種比較安全的信息傳遞方式，但是在大量的應用中仍舊會存在一些問題。為了提高信息的安全性，將IPSec協議應用在VPN中，能夠建立更安全的信息傳遞隧道。

1 IPSec概述

IPSec出現的目的是為了保證IP站點之間的安全，利用IPSec制定了一系列的協議，其目的是保證IP數據在報道和應用時的保密性、安全性、可操作性以及高質量性。IPSec主要應用在網絡層數據封裝的第三層隧道協議。利用IPSec協議能保證數據使用的真實性、可靠性，通過AH、ESP能保證IP層的安全。在使用IPSec協議時，能夠通過IKE將IPSec協議進行簡化，提高使用和管理的整體效果。IPSec協議能夠真正的提高大數據時代下的數據安全，確保所有的數據在傳輸的過程中，其本身的安全性、整體性以及消耗的經濟成本較低，滿足人們對數據傳輸的整體要求。在當下應用IPSec協議時，其中主要包括了以下兩個協議，分別是AH協議和ESP協議。其中AH協議在使用的時候包括了對所有數據的確證、給IP層的數據提供安全保證，使得整個數據在傳輸的過程中，其數據的連接相對完整，既能讓原始數據的傳輸效果更好，同時也能讓數據本身抗重播攻擊。

2基于IPSec的VPN網關設計與應用

2.1設計方案

在對IPSec進行VPN網關設計時，需要選取正確的設計方案，即需要考慮到設計過程中的三個不同層次，這三個層次需要基于同一個網絡處理平臺進行實現，其中包括了以下幾點：第一個層次，管理層。在IPSec的VPN網關設計中，管理層包括的內容較多，分別是算法管理、安全策略庫管理、安全關聯庫管理、統計、ESP協議處理、日志管理、AH協議處理等不同的管理內容。在管理層中，其出現的全部內容都是為了保證VPN網關系統的正常運行，確保其功能效果，多數情況下在IPSec的VPN網關設計中都是利用外部設備實現相關內容。第二個層次，控制層。在控制層中其主要包括的內容較多，分別是IKE引擎，即實現IKE的動態管理、SA查找模塊、SP查找模塊。在控制層中，在設計實現時選擇的方式為Intel IPSecScale。第三個層次，數據處理層。在數據處理層中主要包括的內容為加密算法模塊、IPSec處理模塊、包接收、認證算法模塊、包發送模塊。在數據處理層中，主要是利用微引擎的方法來進行VPN網關系統中的數據處理。或者是選擇多個微引擎共同使用，其目的是為了使得數據的處理速度逐步增加，形成快速處理通道。

2.2 IPSec的VPN網關設計

在選擇IPSec的實現方式時，應考慮到不同的需求，進而選擇不同的實現方式，本文進行IPSec的VPN網關設計時，選擇的方式是IP整合方式，如圖1所示。

由于IP整合方式本身的整合效率較高，實現方式相對簡單能夠提高實現的整體效率，本文選擇IPSec的VPN網關設計重點就是實現隧道的傳輸以及數據加密。在設計中，主要是以KAME作為工具，可以利用人工模式或者是自動密鑰連接方式對網關進行設計和管理。同時利用人工模式，由負責設計的管理者針對IPSec中所使用的協議、算法以及SA密鑰創建、組成SAD等進行數據的保護和管理。但是應考慮到本文所選擇的IPSec實現方式在密鑰關聯過程中較為復雜，安全性相對其他的設計方式相對較弱，但是運用在小型網絡中其運行效果較好，能滿足網絡設計的需求。在確定了自動密鑰連接方式后，作為網絡管理員并不需要繼續上述工作，只需要利用IKE認證通信雙方以及協商安全參數，就可以采用共享密鑰認證方式。在進行共享具體配置中，其中主要有以下幾步：第一步，配置預共享密鑰文件psk.txt;第二部，對所有的安全策略配置文件進行配置，即setkey.conf;第三，需要配置文件racoon，即racoon.conf;第四，啟動racoon。

2.3基于IPSec的VPN網關應用

在分析基于IPSec的VPN網關設計時，應首先保證IPSec中的通信需求，并且確保基于IPSec的VPN網關設計能夠實現相關應用功能，其中包括了幾下幾點：第一，根據IPSec的VPN網關設計在日常應用中能夠實現最基本的網絡功能，其中包括了撥號上網、路由轉發以及NAT代理等一系列功能;第二，IPSec的VPN網關設計能夠連接并且實現VPN功能，換句話說，利用IPSec能夠滿足不同網關之間的組網要求，做到不同地區、不同結構同樣可以進行連接，這是跨地域的lan-to-lan連接。同時也可以滿足單個用戶的使用需求，即PC-to-Lan的功能;第三，根據IPSec的VPN網關設計能實現動態組網，也就是說以往在應用VPN時，有關網關的Internet IP地址會存在變化，甚至在一些不確定的條件下難以組建全新的vpn網絡，而利用IPSec的VPN網關設計則可以解決該問題。能夠對內網用戶進行改變，并且屏蔽掉這種變化帶來的一系列影響，真正意義上實現動態的域名體系，做到協助實現動態組網;第四，能夠實現管理功能。將不同地區的VPN網關之間進行連接，能管理移動用戶，做到移動用戶的連接，建立VPN隧道、刪除終止，其能實現網絡的基本防火墻功能，同時也能確保整體設備的安全性和穩定性，對VPN通訊的報文進行過濾。

3結語

綜上所述，之所以選擇IPSec協議開展VPN的網關設計，原因之一就是IPSec協議能確保數據在傳輸過程中的安全性和完整性。利用IPSec協議能夠對所有的傳輸數據進行嚴格的管理和保護，使用AH能對用戶進行認證，并且保護數據的準確性，其大大的增加了IP站點之間的安全性。為此，在大數據飛速發展的今天，利用IPSec協議能確保VPN的網關設計安全性準備增加，也能滿足人們對大數據使用的要求。

參考文獻

[1] 劉春艷.基于IPSec的VPN網關設計與實現[J].網絡安全技術與應用，2013（11）：60+59.

[2] 王志剛，石穎.基于IPSec協議的VPN安全網關設計[J].計算機工程，2009，35（17）：146-148+151.