第 6 章 vpn 和 ipsec

第 6 章 VPN 和 IPSec

VPN定义

虚拟专用网（ Virtual Private Networks-VPNs）提供了一种在公共网络上实现网络安全保密通信的方法。

信息对抗

虚拟专用网基础结构

信息对抗

远程用户

VPN 客户

互联网

内部网络

VPN 与现有网络基础设施不同点

虚拟（ virtual）： 专用（ private）： 网络（ network）：

信息对抗

VPN优势 VPN 可以跨越互联网来安全地在扩展的企业网络（远

程用户，各子公司，合作伙伴）之间传输信息。

信息对抗

企业内联网

分支机构

远程用户

合作伙伴

服务供应商网络

一条典型端对端通路构成

信息对抗

安全网关( 防火墙 / 路由器 )

远程主机

拨号接入段

ISP 接入盒

外部网段（公共互联网）

内部网段（公司 A 内联网）

内部网段( 公司 B 内联网 )

目标主机

各机器和网段存在的潜在安全问题（ 1 ） 拨号客户的安全问题。 拨号网段的安全问题。 互联网的安全问题。 安全网关的安全问题。 VPN、防火墙和路由器 Intranet的安全问题。

信息对抗

外部网段 (Internet) 的安全问题

允许 VPN 通信穿越防火墙

信息对抗

内部网

互联网

ISP ISP

PERMIT UDP 500PERMIT AH ESPPERMIT L2TP

其它内部子网

防火墙 / 路由器 防火墙 / 路由器

VPN VPN

远程接入

信息对抗

互联网内部网

路由器

防火墙服务器

互联网

认证，加密

LAN-LAN 通信

信息对抗

内部网

路由器

防火墙

互联网内部网

路由器

防火墙服务器

互联网

认证，加密

客户端

可控的内联网接入

信息对抗

内部网

路由器防火墙

互联网内部网

路由器防火墙

服务器 加密 合作伙伴

认证

VPN安全策略 一条 VPN 安全策略描述了所要保护的通

信情形（源和目的，协议和端口）以及保护本身的安全需求（认证，加密，变换，密钥长度和生存期等等）。

VPN数据安全性 VPN 数据传输的安全需求主要是通过以

下三种基本要素来实现： 认证（ Authentication）。 加密（ Encryption）。 完整性（ Integrity）。

VPN 认证

信息对抗

VPN 协议 点对点隧道协议（ Point-to-Point

Tunneling Protocol -PPTP ）。 第二层隧道协议（ layer 2 tunneling

protocol-L2TP ）。 IP 安全协议（ IPSec ）。

IPSec协议 安全关联（ Security Association ）

信息对抗

安全关联（ Security Association） 安全关联正是 IPSec 用于跟踪某一个特定 IPSec 通信会话所涉及的细节问题的一种方法。一个安全关联描述了两个或者多个实体如何使用安全服务来实现安全通信。

信息对抗

SA管理，创建，删除 SA 管理的两大主要任务：

创建。 删除。

SA参数（ 1 ） 序列号（ Sequence Number）：序列号

是一个 32 位的字段，在数据包的“外出”处理期间使用。

序列号溢出（ Sequence Number Overflow）：该字段用于外出包处理，并在序列号溢出的时候加以设置。

抗重放窗口（ anti-replay） 该字段在数据包的“进入”处理期间使用。当今，与网络安全有关的一个重要问题便是重放攻击。

信息对抗

SA参数（ 2 ） 存活时间（ Lifetime,TTL）：它规定

了每个 SA 最长能够存在的时间（所谓的“存活时间”或“存活周期”）。

AH信息：使用 AH 的身份验证算法、密钥、密钥生命周期和相关参数。

ESP信息：使用 ESP 的加密和身份验证算法、密钥、初始向量、密钥生命周期和相关参数。

信息对抗

SA参数（ 3 ） 模式（Mode）： IPSec 协议可同时用于隧

道模式及传输模式。依据这个字段的值，载荷的处理方式也会有所区别。

隧道目的地（ Tunnel Destination）：对于隧道模式中 IPSec 来说，需要该字段指出隧道的目的地———亦即外部头的目标 IP 地址。

路径最大传输参数（ PMTU）：在隧道模式下使用 IPSec 时，必须维持正确的 PMTU 信息，以便对这个数据包进行相应的分段。

信息对抗

安全策略 安全策略决定了为一个包提供的安全服

务。对所有 IPSec 实施方案来说，它们都会将策略保存在一个数据库中，这个数据库名为 SPD （安全策略数据库）。

信息对抗

选择符 源地址（ Source IP Address）。 目的地址（Destination IP Address）。 名字（User ID） 。 协议（ Protocol）。 上层端口 (Upper Layer Ports)。

信息对抗

IPSec模式 (1) IPSec 提供了两种操作模式 --- 传输模式和隧

道模式 (transport 和 tunnel modes) 。

信息对抗

IPSec模式 (2)

信息对抗

认证报头（ AH）

信息对抗

AH模式

信息对抗

封装安全有效载荷分组格式

信息对抗

加密和验证算法 ESP 是一个通用的，可灵活扩展的协议，

这允许它使用不同的加密算法。 ESP 支持的可选算法包括 3DES（ Triple－DES ）、 RC5、 IDEA、 CAST、 BLOWFISH和 RC4 。

信息对抗

ESP 传输模式

信息对抗

隧道模式 ESP

信息对抗

SA组合 - 传输邻接（ Transport Adjacency）

信息对抗

SA组合 - 嵌套隧道（ Iterated(nested) Tunneling）

信息对抗

因特网密钥管理协议 IPSec的密钥管理需求 认证方法（ Authentication） 密钥交换（ Key Exchange） IKE阶段综述 ISAKMP消息结构 IPSec/IKE系统处理

信息对抗

认证方法（ Authentication） 预共享密钥（ Pre-shared keys）。 公钥加密（ Public key

cryptography）。 数字签名（Digital signature）。

信息对抗

IKE阶段综述 - 阶段 1

第一阶段用于建立 ISAKMP 的安全关联。

信息对抗

IKE阶段综述 - 阶段 2

第二阶段用于为不同的服务协商各自的安全关联。

信息对抗

ISAKMP消息结构

信息对抗

IPSec/IKE系统处理（ 1 ）

信息对抗

IPSec/IKE系统处理（ 2 ）

信息对抗