IPsec VPN技術(shù)在校園網(wǎng)中的應(yīng)用

許曉燕

一、引言

IPsec VPN技術(shù)又被稱之為虛擬專用網(wǎng)絡(luò)技術(shù)，該技術(shù)是將共享網(wǎng)絡(luò)中的相關(guān)設(shè)備作為其基礎(chǔ)設(shè)備，以此確保私有數(shù)據(jù)能夠在這些設(shè)施中實現(xiàn)安全傳輸，使私有數(shù)據(jù)在傳輸過程中不會受到地域的局限性而影響其傳輸性能。私有數(shù)據(jù)在共享網(wǎng)絡(luò)中進行安全傳輸時，其僅會受到專用網(wǎng)絡(luò)中統(tǒng)一策略的控制，這使其成為一種靈活性非常高的遠程接入策略，從而使數(shù)據(jù)傳輸安全得到可靠保證的同時，也使專網(wǎng)聯(lián)網(wǎng)成本得到了顯著降低，這使其未來的發(fā)展前景非常廣闊，是校園網(wǎng)遠程接入的主要應(yīng)用技術(shù)。為此，以下便對IPsec VPN技術(shù)進行深入的探討與研究。

二、IPsec VPN技術(shù)的安全協(xié)議

在以往的TCP/IP協(xié)議中，網(wǎng)絡(luò)雖然可靠性較強，但在安全性方面卻存在不足，這是因為其IP包自身不具備安全特性。因此，IETF構(gòu)建了一種具備標準化與開放性特點的安全技術(shù)體系架構(gòu)，即IPsec，IPsec是通過對OSI模型的基礎(chǔ)結(jié)構(gòu)及其結(jié)構(gòu)中第三層數(shù)據(jù)包的格式進行定義，以使其能夠為IP通信服務(wù)提供安全性較高的端對端數(shù)據(jù)傳輸服務(wù)，以此確保通信安全、透明。

（一）IPsec VPN技術(shù)體系

對于IPsec來說，其本質(zhì)上是一種協(xié)議包，在該協(xié)議包中共含有以下組件，分別是驗證頭協(xié)議、封裝安全載荷協(xié)議、密鑰分配協(xié)議以及IPsec安全聯(lián)盟。驗證頭協(xié)議的英文簡稱為AH，該協(xié)議能夠?qū)崿F(xiàn)數(shù)據(jù)源的認證、反重放，并確保數(shù)據(jù)完整，不過該協(xié)議在機密性方面尚無法做到可靠保證。該協(xié)議是在IP包頭以后，將要進行保護的數(shù)據(jù)前端添加AH標識，并利用雜湊算法來對AH標識中包含的驗證值進行計算。封裝安全載荷協(xié)議的英文簡稱為ESP協(xié)議，該協(xié)議不僅能夠支持AH的相關(guān)服務(wù)，而且也具備良好的機密性，其工作流程和AH較為類似，不過在標識位置上則存在不同，ESP協(xié)議不采用AH協(xié)議的簽名模式，而是通過CBC模式，即加密算法塊鏈模式，并通過3DES、DES等加密算法的應(yīng)用來對待保護數(shù)據(jù)及其部分ESP標識實施加密處理。密鑰分配協(xié)議的英文簡稱為IKE，該協(xié)議能夠自動管理IPsec通信雙方之間的密鑰交換，該協(xié)議在實施過程中共包括兩大階段，第一階段是通過采用Diffle-Hellman交換機制，并對相應(yīng)的驗證方法進行預(yù)先設(shè)置，如預(yù)共享密鑰、RSA公共密鑰算法、DSS數(shù)據(jù)簽名等，以此構(gòu)建相應(yīng)的安全連接來實現(xiàn)雙方之間的實體通信，該階段又被稱之為IKE安全聯(lián)盟構(gòu)建階段。第二階段是在構(gòu)建IKE安全聯(lián)盟的前提下，通過對密鑰生存期以及安全協(xié)議等重要的安全參數(shù)進行雙方協(xié)商，然后生成公共密鑰來構(gòu)建SA聯(lián)盟，SA聯(lián)盟又被稱之為IPsec安全聯(lián)盟。SA聯(lián)盟屬于一種介乎于兩通訊實體間的邏輯連接，這種邏輯連接能夠為雙方的數(shù)據(jù)傳輸提供一致而又可靠的IPsec安全保障。

（二）IPsec VPN技術(shù)原理

包過濾防火墻在對IP包進行接收時，利用包過濾防火墻中的規(guī)則表來實施匹配，在發(fā)現(xiàn)匹配規(guī)則以后，會根據(jù)該規(guī) 中的方法來轉(zhuǎn)發(fā)或丟棄接收的IP包。而IPsec VPN技術(shù)的操作流程則和包過濾防火墻較為類似，該技術(shù)會根據(jù)SPD的查詢結(jié)果來判斷采用哪種方法來處理接收到的IP包，處理方法可包括丟棄、IPsec處理以及直接轉(zhuǎn)發(fā)。IPsec處理通過AH或ESP安全協(xié)議來認證與加密IP包，這相比于包過濾防火墻來說要具備更高的安全性。根據(jù)用戶安全需求的不同，IPsec VPN技術(shù)的工作模式主要有兩種，分別是端對端數(shù)據(jù)傳輸模式和安全網(wǎng)關(guān)隧道模式。在端對端數(shù)據(jù)傳輸模式中，ESP或AH安全協(xié)議是通過上層協(xié)議，即UDP協(xié)議、TCP協(xié)議或ICMP協(xié)議來對數(shù)據(jù)進行保護的，而對于數(shù)據(jù)中的IP包頭內(nèi)容、目標地址和源地址則不進行加密。在安全網(wǎng)關(guān)隧道模式中，ESP或AH安全協(xié)議則是對全部IP包進行保護，在傳輸IP包時會采取兩個IP頭的方式進行保護，這兩個IP頭分為內(nèi)部頭與外部頭，由源主機來創(chuàng)建內(nèi)部頭，由安全網(wǎng)關(guān)創(chuàng)建外部頭。

三、IPsec VPN技術(shù)

（一）隧道技術(shù)

在IPsec VPN技術(shù)中，隧道技術(shù)是實現(xiàn)該技術(shù)的重要前提，隧道技術(shù)的工作流程為，在需要傳輸數(shù)據(jù)包或數(shù)據(jù)幀時，將數(shù)據(jù)包或數(shù)據(jù)幀進行封裝，然后通過L2TF、PPTP或L2F等隧道協(xié)議將Header到新的數(shù)據(jù)包或數(shù)據(jù)幀當中去，Header會向數(shù)據(jù)包或數(shù)據(jù)幀提供路由信息，然后將封裝以后的數(shù)據(jù)包或數(shù)據(jù)幀利用互聯(lián)網(wǎng)發(fā)送出去，封裝后的數(shù)據(jù)包或數(shù)據(jù)幀在通過邏輯路徑傳輸?shù)搅硪还?jié)點時，會通過相同隧道協(xié)議對其進行解包，然后將其轉(zhuǎn)發(fā)至目的地。而該邏輯路徑便是所謂的隧道。在隧道協(xié)議中，其對數(shù)據(jù)包或數(shù)據(jù)幀的加密應(yīng)按照IPsec標準來進行，而通過隧道連接形成的網(wǎng)絡(luò)便是IPsec VPN。

（二）IPsec VPN技術(shù)中的隧道協(xié)議

隧道協(xié)議可分為L2TP/IPsec與IPsec隧道兩個部分，L2TP又被稱之為層2隧道協(xié)議，其是在公共網(wǎng)絡(luò)設(shè)備中將鏈路層PPP幀封裝到需要傳輸?shù)乃淼绤f(xié)議當中云，其利用UDP進行封裝，并對PPP幀及L2TP消息進行傳送。L2TP能夠進行PPP用戶認證，但不能進行機器級的身份認證。此外，L2TP僅對控制包在傳輸時的加密方式進行了定義，其并沒有加密傳輸數(shù)據(jù)。因此，通過ESP工作模式來對L2TP中的數(shù)據(jù)包進行再次封裝，能夠確保端對端連接的安全性。L2TP能夠?qū)討B(tài)尋址以及多種協(xié)議予以高度支持，從而使多PPP鏈路捆綁難題得到了有效解決，這使其能夠在專線VPN與撥號VPN中得到廣泛應(yīng)用。在IPsec隧道部分，通過IPsec通道模式的激活，能夠使IP網(wǎng)絡(luò)中的IP包封裝到所使用的隧道協(xié)議內(nèi)。IPsec隧道協(xié)議的特點在于，其能夠隧道環(huán)境多樣，如主機至主機、網(wǎng)關(guān)至網(wǎng)關(guān)、網(wǎng)關(guān)至主機等環(huán)境，并且其僅能保護IP數(shù)據(jù)，但不對撥號VPN予以支持。

四、IPsec VPN技術(shù)在校園網(wǎng)中的應(yīng)用實例分析

隨著我國教育興國政策的不斷推進，高校之間實現(xiàn)優(yōu)勢互補趨勢已經(jīng)變得越來越明顯，這也是諸多高校紛紛開展跨校區(qū)辦學，以此擴大教學規(guī)模，充分發(fā)揮自身優(yōu)勢。在此形勢下，如何才能確?？缧^(qū)辦學中數(shù)據(jù)傳輸?shù)墓蚕戆踩惨殉蔀楦咝崿F(xiàn)信息化發(fā)展的重要問題。為了解決該問題，就必須將上文提到的IPsec VPN技術(shù)應(yīng)用到跨校區(qū)高校當中去，為此，有必要對IPsec VPN技術(shù)在校園網(wǎng)中的具體應(yīng)用進行深入的研究。本文以某高校為例，對IPsec VPN技術(shù)在該高校校園網(wǎng)中的應(yīng)用進行了詳盡分析。在某高校中，其校園網(wǎng)共由主校區(qū)、職教學院與成教學院等三大部分進行互聯(lián)而成，校園網(wǎng)屬于一種具備開放性特征的網(wǎng)絡(luò)環(huán)境，一旦其校園網(wǎng)缺乏必要的安全措施，勢必會使財務(wù)數(shù)據(jù)、管理數(shù)據(jù)等敏感數(shù)據(jù)在校園網(wǎng)傳輸過程中被截取篡改與泄露，進而給高校帶來巨大損失。為了避免這一問題，通過在校園網(wǎng)中利用Windows2012網(wǎng)關(guān)來實現(xiàn)校區(qū)局域網(wǎng)與校園網(wǎng)之間的接入，并確保機密數(shù)據(jù)在傳輸時能夠具備絕對的安全性?？紤]到這些機密數(shù)據(jù)在傳輸時可能會出現(xiàn)實時性不高的情況，因此在應(yīng)用Windows2012網(wǎng)關(guān)進行校園網(wǎng)接入時，需要采用網(wǎng)關(guān)中所具有的IPsec VPN方案來對校園網(wǎng)進行改造，利用安全隧道將各校區(qū)的重要局域網(wǎng)進行互聯(lián)，以形成能夠?qū)Ω餍^(qū)進行覆蓋的子網(wǎng)絡(luò)。以下便對網(wǎng)關(guān)中IPsec VPN技術(shù)在該高校主校區(qū)與職教學院之間的財務(wù)處局域網(wǎng)互聯(lián)作為實例，以此探討IPsec VPN技術(shù)在設(shè)置Ipsec隧道時的具體步驟。實施步驟如下：

其一，構(gòu)建Ipsec策略，應(yīng)對網(wǎng)關(guān)是否屬于域中的成員進行判斷，當判斷為是時，則應(yīng)在活動目錄中建立相應(yīng)的組織單元，然后向該組織單元提供相應(yīng)的安全性策略，比如，建立安全通道、自動斷聯(lián)機等。當判斷為否時，則僅需對一個單獨的本地安全性策略進行創(chuàng)建即可；其二，連接各條VPN，并建立兩個篩選器列表，以用來分別對流入與流出的數(shù)據(jù)包進行匹配；其三是根據(jù)這兩個建立的篩選器列表來對安全規(guī)則進行指定，流出數(shù)據(jù)包的匹配篩選器列表參數(shù)設(shè)置如下：將隧道終點的IP地址設(shè)置成210.40.2.8，設(shè)置隧道連接的類型為全部網(wǎng)絡(luò)連接，并將協(xié)商安全以及不接受安全性不確定的通訊進行激活，采用總是采用IPsec進行響應(yīng)，設(shè)置安全措施類型為高ESP。觀察其身份驗證標簽中的隧道端點是否全部處于相同區(qū)域，如果是，則對kerberos V5進行選擇，如果不是，則采用預(yù)共享密鑰或是CA憑證驗證，當然，需要確保兩隧道所采用的身份驗證方法相同。對流入數(shù)據(jù)包的匹配篩選器列表參數(shù)設(shè)置則以此進行類推，其設(shè)置內(nèi)容基本相同，唯一不同之處是將所指定的隧道終點IP地址設(shè)定成210.40.1.8；其四是將該策略提供到windows 2012網(wǎng)關(guān)當中。以下便對安全策略運用到windows 2012網(wǎng)關(guān)的具體步驟進行探討，首先根據(jù)實際運營情況以及客戶的安全需求利用IPsec VPN技術(shù)來制定安全策略，安全策略的制定是由訪問數(shù)據(jù)庫來制定的，其利用自動配置服務(wù)器中的安全策略服務(wù)器模塊來實現(xiàn)。在安全策略制定時，由IPsec安全策略代理模塊來對參數(shù)進行配置，其相關(guān)參數(shù)應(yīng)符合windows 2012網(wǎng)關(guān)中的參數(shù)定義，然后將制定的安全策略數(shù)據(jù)庫和IPsec代理模塊之間進行建立連接，以使安全策略參數(shù)能夠進行代理模塊與安全策略數(shù)據(jù)庫之間的傳遞，對于IPsec安全策略的代理模塊及服務(wù)器模塊來說，應(yīng)嚴格按照TR-069中的相關(guān)規(guī)定進行執(zhí)行，并通過SOAP來對參數(shù)進行配置，以使ACS與網(wǎng)關(guān)之間能夠?qū)Psec安全策略進行控制與管理，從而使信息得以發(fā)送到家庭網(wǎng)關(guān)中，并通過IPsec安全策略代理模塊來加載安全策略，并通過摘要身份驗證的方式來進行家庭網(wǎng)關(guān)保護。當IPsec安全策略的參數(shù)發(fā)生動態(tài)變化時，由安全策略代理模塊來對策略參數(shù)進行動態(tài)修改，由IPsec安全策略的服務(wù)器模塊來對能夠滿足安全協(xié)議要求的相關(guān)安全策略進行動態(tài)下載，進而使IPsec安全策略在windows 2012網(wǎng)關(guān)中得以有效運用，實現(xiàn)了對網(wǎng)關(guān)的自動配置。

五、結(jié)語

根據(jù)高校在校園網(wǎng)建設(shè)方面的局限性以及數(shù)據(jù)傳輸?shù)陌踩蕴攸c，本文遵循實用性、易用性原則，將IPsec VPN技術(shù)應(yīng)用于校園網(wǎng)中的跨校局域網(wǎng)當中，以實現(xiàn)局域網(wǎng)和校園網(wǎng)之間的安全互聯(lián)，進而使機密數(shù)據(jù)在傳輸過程中不會被截取與篡改，從而降低了成本投入，使校園管理工作水平得到了顯著提升。