朱海水 永城職業(yè)學院

基于IPSec的網絡安全系統(tǒng)設計與VPN構建實現

朱海水 永城職業(yè)學院

IPSec在IP層提供安全服務，使得一個系統(tǒng)可以選擇需要的協(xié)議，決定為這些服務而使用的算法，選擇提供要求的服務所需要的任何密鑰。IPSec可保障主機之間、網絡安全網關（如路由器或防火墻）之間或主機與安全網關之間的數據包的安全。因此，采用基于IPSec的網絡安全設備可為重要數據安全傳輸提供保障。

IPSec ESP VPN 網絡安全設備

在設計網絡安全設備時采用IPSec協(xié)議，使用ESP對傳輸的數據進行嚴格的保護，可大大增強IP站點間安全性。在傳輸重要數據的通信IP網中使用本文設計的基于IPSec的網絡安全設備構建VPN能很好地防止數據被更改或竊取，確保數據傳輸的安全性。

1 IPSec概述

IPSec協(xié)議是IETF提供的在Internet上進行安全通信的一系列規(guī)范，提供了在局域網、專用和公用的廣域網和Internet上的安全通信的能力，保證了IP數據報的高質量性、保密性和可操作性，它為私有信息通過公用網提供了安全保障。通過IKE將IPSec協(xié)議簡化使用和管理，使IPSec協(xié)議自動協(xié)商交換密鑰、建立和維護安全聯(lián)盟服務。使用IPSec協(xié)議來設計實現的VPN網關具有數據安全性、完整性、成本低等幾方面的優(yōu)勢。

2 網絡安全設備設計

2.1 設備加解密原理

為確保重要數據傳輸安全可靠，需在通信IP網中增加保密措施，因此本文設計了基于IPSec的網絡安全設備。設備采用軟件和硬件相結合的方式實現IPSec協(xié)議體系。軟件模塊主要完成控制層面的功能，包括網絡管理、密鑰管理、策略管理、配置管理、設備管理、信道協(xié)商等功能；硬件模塊主要完成數據處理層面的功能，包括數據包的協(xié)議分析、保密策略和加解密密鑰的搜索、加解密處理、IPSec隧道頭的封裝和拆封裝等功能。

當設備收到用戶IP包時，先判斷其是否為保密數據，如果是，則在該IP數據前加入一個ESP頭，然后發(fā)送到公網。ESP頭緊跟在IP頭后面，ESP占用IP協(xié)議標識值為50。對IP包的處理遵守以下規(guī)則：對于要發(fā)送到公網的IP包，先加密，后驗證；對于從公網上收到的IP包，先驗證，后解密。

當設備要發(fā)送一個IP包時，它在原IP頭前面插入一個ESP頭，并將ESP頭中的下一個頭字段改為4，根據密鑰管理協(xié)議協(xié)商得到的SPI值填入到ESP頭中，并分配一個序列號，同時根據算法要求插入填充字段，并計算填充長度。在ESP頭的前面插入一個新的IP頭，源地址為設備的IP地址，目的地址為對端設備的IP地址，并對相應的字段賦值，在做完以上處理后，對IP包加密，并進行驗證，將驗證數據插入ESP尾部。最后計算最前面的IP頭的校驗和。

2.2 硬件結構設計

網絡安全設備采用模塊化的設計思路，各硬件功能模塊之間采用接插件方式連接，設備主板是數據處理核心模塊，其他各模塊通過接插件與其連接。承載了業(yè)務安全處理、加解密等設備的核心功能。其上的主控模塊運行Vxworks操作系統(tǒng)，承載設備嵌入式軟件，全面管理設備軟硬件運行狀態(tài)。板載密碼模塊完成業(yè)務數據的高速加解密處理。

接口板包括用戶口和網絡口兩塊接口板，通過高速接插件插在設備主板上。接口板上的千兆MAC芯片通過業(yè)務和控制線纜連接到后接線板。

IC卡讀卡器通過RS232接口線纜與設備主板上的主控模塊相連。電源模塊使用電源接插件為各功能模塊提供相應的直流電源。后接線板提供千兆口、100/1000自適應電口的用戶業(yè)務接入，本地控制接入。

3 VPN構建

網絡安全設備專門用于在TCP/IP體系的網絡層提供鑒別、隧道傳輸和加解密功能。通過對IP層加解密，可以支持大多數用戶業(yè)務，對局域網重要數據進行加密保護，通過公共通信網絡構建自主安全可控的內部VPN，集成一定的包過濾功能，使各種重要數據安全、透明地通過公共通信環(huán)境，是信息系統(tǒng)安全保障體系的基礎平臺和重要組成部分。設備部署在局域網出口處，通過對IP數據的加解密，可以保證局域網數據在公共信道上傳輸的安全性。

與設備相連的內部網受到IPSec保護，這個內部網可連入不安全的公用或專用網絡，如衛(wèi)星通信、海事和專用光纖等。在一個具體的通信中，兩個設備建立起一個安全通道，通信就可通過這個通道從一個本地受保護內部網發(fā)送到另一個遠程保護內部網，就形成了一個安全虛擬網。當位于某個安全內部網的主機要向另一個位于安全內部網的主機發(fā)送數據包時，源端網絡安全設備通過IPSec對數據包進行封裝，封裝后的數據包通過隧道穿越公用網絡后到達對端網絡安全設備。由于事先已經經過協(xié)商，收端網絡安全設備知道發(fā)端所使用的加密算法及解密密鑰，因此可以對接收數據包進行封裝。解封裝后的數據包則轉發(fā)給真正的信宿主機，反之亦然。

TCP/IP協(xié)議的開放性、靈活性使得基于IP技術的通信系統(tǒng)成為各類通信網絡的主要構成部分，但網絡上的IP數據包幾乎都是用明文傳輸的，非常容易遭到竊聽、篡改等攻擊。特別是傳輸重要數據的通信IP網，網絡的安全性尤其重要。

[1]劉春艷.基于IPSec的VPN網關設計與實現[J].網絡安全技術與應用，2013，11

[2]王妍.基于IPSec的VPN系統(tǒng)設計與實現[D].電子科技大學，2013