基于IPSec协议的VPN在防火墙中的应用研究

　　摘 要：文章重点研究了IPSec协议标准，阐述了IPSec协议集中的AH协议和ESP协议，指出了IPSec协议常用的传输模式和隧道模式两种方式，给出 了IPSec安全机制。文章还介绍了VPN，分析VPN的优点。最后以一个实际网络环境为例，介绍在防火墙中配制基于IPSec的VPN的常见步骤。
　　关键词：IPSec；VPN；防火墙；加密；隧道技术
　　中图分类号：TP393 文献标识码：A
　　1 引言（Introduction）
　 　IPSec（Internet协议安全性）是由IETF（Internet工程任务组）开发的一套Internet安全协议标准集，它是一种开放标准的 框架结构，在使用IP协议通信的基础上，引入安全服务机制，在网际层实现，功能包括数据加密、地址校验、访问控制，数据完整性检查、防止重放攻击等，从而 实现在IP网络上安全可靠的安全的数据通信[1]。
　　2 IPSec协议（IPSec protocol）
　　IPSec是一套用来通过公共网络进行安全通信的协议格式，是一种开放的协议集，工作在OSI/RM的第三层，可被IP及上层协议（如TCP、UDP等）使用。IPSec使用AH（认证头协议）和ESP（封装安全载荷协议）来实现各种不同的功能[2，3]。
　　AH认证头协议用来证实数据分组的来源，同时用于保障数据的完整性、可靠性和真实性，并防范同一数据包重复发送。AH协议不对用户数据进行加密，通常采用安全哈希算法来对数据包进行保护，在传输过程中要发生变化的信息数据通常不在AH协议保护范围之内[4]。
　 　ESP用于对数据分组进行加密操作，提供IP通信的安全服务，实现机密性和完整性要求，ESP采用对称加密方式，可以达到一定的安全要求，但不适合长期 保密的数据。也可以根据安全需求不同，只对TCP或其他数据包进行加密，这些经过加密后的数据包重新封装后，通过滑动窗口机制进行传输，解决数据传输中的 接收、重传等问题[5，6]。
　　使用IPSec协议时，有两种模式可供选择，传输模式和隧道模式。根据实际应用环境选择合适的模式。IPSec 的安全服务可以使用手工输入密钥的方式，但是这种方式操作性和扩展性极差。因而在实际应用中，使用IKE（Internet密钥交换协议）来动态生成共享 密钥，认证双方，实现安全有效的通信。
　　SA（Security Association）包含了一些算法集合和一些参数，是由通信双方建立的对数据流保护的约定，对于双向传输的数据通信需要一对SA来完成。SA约定了 传输数据分组的协议、目标IP地址、安全协议标识符、密钥、密钥有效期等。IKE的功能之一就是建立和维护SA，主要是维护两个组件SADB（SA数据 库）和SPDB（安全策略数据库），IPSec安全机制中的AH和ESP都需要使用SA，如图1所示。
　　图1 IPSec安全机制
　　Fig.1 IPSec security mechanism
　　3 VPN
　 　VPN（Virtual Private Network，虚拟专用网络）在公用网络上建立一个虚拟的、安全的专用网络，进行加密通信。这种安全通信技术方式就是在公用网络上，采用隧道技术和加密 技术建立起安全信道，实现虚拟专用。因其有着以下显著优点，有着广泛的应用。
　　（1）低成本。利用当前已有的公共网络，不需要支付高昂费用架设或租用专线网络，大大降低使用成本。
　　（2）安全性高。使用加密方式进行数据传输，并对实体进行身份识别，禁止非授权用户访问。
　　（3）QoS（Quality of Service，服务质量）保证。用户不用增加额外的硬件配置就可以使用较高品质的流量传输和带宽应用。
　　（4）扩展性好。支持Internet上各种类型数据传输，可通过硬件、软件等多种方式实现，并且易于管理维护。
　　IPSec VPN采用IPSec协议来实现远程接入VPN，是很广泛的一种应用。