基于IPSec协议的VPN在防火墙中的应用研究

曹亚群　朱俊

摘 要：文章重点研究了IPSec协议标准，阐述了IPSec协议集中的AH协议和ESP协议，指出了IPSec协议常用的传输模式和隧道模式两种方式，给出了IPSec安全机制。文章还介绍了VPN，分析VPN的优点。最后以一个实际网络环境为例，介绍在防火墙中配制基于IPSec的VPN的常见步骤。

关键词：IPSec；VPN；防火墙；加密；隧道技术

中图分类号：TP393 文献标识码：A

1 引言（Introduction）

IPSec（Internet协议安全性）是由IETF（Internet工程任务组）开发的一套Internet安全协议标准集，它是一种开放标准的框架结构，在使用IP协议通信的基础上，引入安全服务机制，在网际层实现，功能包括数据加密、地址校验、访问控制，数据完整性检查、防止重放攻击等，从而实现在IP网络上安全可靠的安全的数据通信[1]。

2 IPSec协议（IPSec protocol）

IPSec是一套用来通过公共网络进行安全通信的协议格式，是一种开放的协议集，工作在OSI/RM的第三层，可被IP及上层协议（如TCP、UDP等）使用。IPSec使用AH（认证头协议）和ESP（封装安全载荷协议）来实现各种不同的功能[2，3]。

AH认证头协议用来证实数据分组的来源，同时用于保障数据的完整性、可靠性和真实性，并防范同一数据包重复发送。AH协议不对用户数据进行加密，通常采用安全哈希算法来对数据包进行保护，在传输过程中要发生变化的信息数据通常不在AH协议保护范围之内[4]。

ESP用于对数据分组进行加密操作，提供IP通信的安全服务，实现机密性和完整性要求，ESP采用对称加密方式，可以达到一定的安全要求，但不适合长期保密的数据。也可以根据安全需求不同，只对TCP或其他数据包进行加密，这些经过加密后的数据包重新封装后，通过滑动窗口机制进行传输，解决数据传输中的接收、重传等问题[5，6]。

使用IPSec协议时，有两种模式可供选择，传输模式和隧道模式。根据实际应用环境选择合适的模式。IPSec的安全服务可以使用手工输入密钥的方式，但是这种方式操作性和扩展性极差。因而在实际应用中，使用IKE（Internet密钥交换协议）来动态生成共享密钥，认证双方，实现安全有效的通信。

SA（Security Association）包含了一些算法集合和一些参数，是由通信双方建立的对数据流保护的约定，对于双向传输的数据通信需要一对SA来完成。SA约定了传输数据分组的协议、目标IP地址、安全协议标识符、密钥、密钥有效期等。IKE的功能之一就是建立和维护SA，主要是维护两个组件SADB（SA数据库）和SPDB（安全策略数据库），IPSec安全机制中的AH和ESP都需要使用SA，如图1所示。

图1 IPSec安全机制

Fig.1 IPSec security mechanism

3 VPN

VPN（Virtual Private Network，虚拟专用网络）在公用网络上建立一个虚拟的、安全的专用网络，进行加密通信。这种安全通信技术方式就是在公用网络上，采用隧道技术和加密技术建立起安全信道，实现虚拟专用。因其有着以下显著优点，有着广泛的应用。

（1）低成本。利用当前已有的公共网络，不需要支付高昂费用架设或租用专线网络，大大降低使用成本。

（2）安全性高。使用加密方式进行数据传输，并对实体进行身份识别，禁止非授权用户访问。

（3）QoS（Quality of Service，服务质量）保证。用户不用增加额外的硬件配置就可以使用较高品质的流量传输和带宽应用。

（4）扩展性好。支持Internet上各种类型数据传输，可通过硬件、软件等多种方式实现，并且易于管理维护。

IPSec VPN采用IPSec协议来实现远程接入VPN，是很广泛的一种应用。

4 IPSec VPN在防火墙的应用（Application of VPN

in the firewall）

4.1 网络环境

网络拓扑结构图如图2所示。

图2 网络拓扑图

Fig.2 Network topology

4.2 实现方法

以DCFW-1800防火墙为例，先配置防火墙A，在VPN选项中的IKE VPN的P1提议对话框中，分别设置提议名称、验证算法、加密算法等信息，如图3所示。在配置防火墙B时，验证算法、加密算法等信息要一致，才能互相通信。

图3 设置P1提议

Fig.3 Set the P1 proposal

在IKE VPN中设置对端信息，如图4所示。

图4 对端信息

Fig.4 The side information

设置P2提议，如图5所示。

图5 设置P2提议

Fig.5 Set the P2 proposal

在接口中，新建一个隧道接口，隧道绑定管理选择IPSec，如图6所示。

图6 设置隧道

Fig.6 Set the tunnel

再将防火墙的策略和路由按照网络拓扑图配置好后，完成防火墙A的配置，防火墙B的配置步骤与防火墙A的配置相同。

5 结论（Conclusion）

基于IPSec的VPN不仅仅可以在防火墙上实现，也可以在其他网络设备等硬件上实现，还可以在操作系统等软件上实现，因其具有显著优点，在实际环境中得到广泛的应用。不同公司的VPN产品因设计不同，标准各异，往往会不兼容，所以尽量使用同型号设备。

参考文献（References）

[1] 乔晓琳.基于IPSec VPN应用研究[J].电脑知识与技术，2010（6）：1072-1074.

[2] 李石磊.基于Ipsec协议的VPN代理网关系统的研究与实现[D].太原：太原理工大学，2013.

[3] 陈红军，周青云，张有顺.基于IPSec的虚拟专用网实现研究[J].制造业自动化，2011，33（4）：70-72.

[4] 姚立红，谢立.IPSEC与防火墙协同工作设计与实现[J].小型微型计算机系统，2004（2）：183-186.

[5] 陈庆章，等.基于IPSec协议的VPN穿越NAT的研究与实现[J].第二届中国互联网学术年会，2013.

[6] 李学花.网络数据隧道式加密与解密的硬件实现[D].天津：天津大学，2006.

作者简介：

曹亚群（1978-），女，硕士，讲师.研究领域：数学建模.

朱 俊（1980-），男，硕士，副教授.研究领域：网络信息安全.