胡天麟

（綿陽教育科技有限公司，四川 綿陽 621000）

0 引 言

IPSec（IP Security）協(xié)議產(chǎn)生于IPv6制定過程中，將IPSec協(xié)議與VPN有機結(jié)合，基于IPSeC協(xié)議設(shè)計VPN網(wǎng)關(guān)可以更加有效地保障網(wǎng)絡(luò)通信安全，降低企業(yè)成本。因此，探討基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)對于提高Internet網(wǎng)絡(luò)的安全性意義重大。

1 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)功能設(shè)計

在實踐中需要采取有效的安全策略讓VPN安全網(wǎng)關(guān)具備相應(yīng)的安全防護功能才能有效保障網(wǎng)絡(luò)安全，因此，需要設(shè)計基于IPSec的VPN安全網(wǎng)關(guān)的功能，具體包括：（1）數(shù)據(jù)保護功能；（2）訪問控制功能；（3）網(wǎng)絡(luò)跟蹤監(jiān)控功能；（4）輔助安全功能。

2 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)總體結(jié)構(gòu)設(shè)計

在分析VPN安全網(wǎng)關(guān)功能的基礎(chǔ)上，提出基于IPSec協(xié)議的VPN網(wǎng)關(guān)基本結(jié)構(gòu)[1]，如圖1所示。

圖1 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)結(jié)構(gòu)

從圖1可知，安全網(wǎng)關(guān)的功能可以劃分為檢測、防御、控制、處理四大塊。其中主要由防火墻提供防御，由入侵檢測系統(tǒng)實現(xiàn)檢測，通過丟棄、轉(zhuǎn)發(fā)、進行PISec加密和認證三個安全策略實現(xiàn)處理功能。一旦發(fā)現(xiàn)入侵，系統(tǒng)會給出告警通知管理員進行安全防護，并在日志中自動記錄入侵相關(guān)信息。控制功能模塊則是VPN安全網(wǎng)關(guān)的核心功能模塊，其主要作用是協(xié)調(diào)系統(tǒng)中各個子模塊，因此其實現(xiàn)前提是其他子模塊順利實現(xiàn)。通過分析網(wǎng)關(guān)安全需求可知，其需要同時提供防御、檢測、處理、控制的功能，并根據(jù)各功能模塊選用合適的網(wǎng)絡(luò)技術(shù)加以實現(xiàn)。有效的數(shù)據(jù)安全處理可以更加有效地保障敏感數(shù)據(jù)的安全。因此，除了讓安全網(wǎng)關(guān)具備基本功能之外，還可以利用IPSec處理模塊實現(xiàn)VPN中的數(shù)據(jù)安全傳輸，有效提高VPN安全網(wǎng)關(guān)的安全性。

3 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)硬件實現(xiàn)

基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)的硬件構(gòu)成[2]，如圖2所示。

圖2 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)硬件構(gòu)成

（1）主處理器。經(jīng)由擴展總線、PCI與其他設(shè)備進行數(shù)據(jù)交換，提供程序運行所需的調(diào)用指令，進行數(shù)據(jù)運算等。

（2）協(xié)處理器。通常用于高速處理數(shù)據(jù)的場景，主要作用是輔助主處理器完成控制指令，進行數(shù)據(jù)運算。在本次設(shè)計的基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)中加入?yún)f(xié)處理器的目的就是更加高效地處理海量地網(wǎng)絡(luò)數(shù)據(jù)，減輕主處理器的壓力，提升系統(tǒng)的運行效率。

（3）存儲器。和個人計算機中的存儲器一樣，本文設(shè)計的VPN安全網(wǎng)關(guān)中存儲器的主要任務(wù)是緩存數(shù)據(jù)。

（4）PCI總線及擴展總線。其主要作用是在各種硬件設(shè)備中傳遞數(shù)據(jù)、地址、指令等信息。

（5）管理控制模塊。VPN安全網(wǎng)關(guān)模塊較多，結(jié)構(gòu)較為復(fù)雜，為高效協(xié)調(diào)各個模塊，必須要有一個可以高效管理調(diào)度各個模塊的模塊。

（6）接口。通過接口可以將外部的設(shè)備與VPN安全網(wǎng)關(guān)連接起來，接口應(yīng)該符合工業(yè)標準。例如，以太網(wǎng)接口的作用是使VPN安全網(wǎng)關(guān)與網(wǎng)絡(luò)連接。本次設(shè)計的VPN安全網(wǎng)關(guān)硬件平臺需要兩個以太網(wǎng)接口，一個用于連接內(nèi)網(wǎng)，另一個用于連接公網(wǎng)絡(luò)。

（7）高速串口。通過高速串口可以快速讀取存儲器中的數(shù)據(jù)。

（8）數(shù)據(jù)處理模塊。本次設(shè)計的VPN安全網(wǎng)關(guān)硬件平臺實用的數(shù)據(jù)處理模塊以網(wǎng)絡(luò)服務(wù)處理模塊為基礎(chǔ)的，如果應(yīng)用防火墻的安全網(wǎng)關(guān)需要過濾數(shù)據(jù)就可以通過數(shù)據(jù)處理模塊實現(xiàn)。

（9）IPSec處理模塊。通過這個模塊可以在VPN網(wǎng)關(guān)中應(yīng)用IPSec協(xié)議進行數(shù)據(jù)加密和驗證。

4 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)軟件實現(xiàn)

IPSec可以作為VPN安全網(wǎng)關(guān)的標準協(xié)議，可以提供更加安全的加密認證手段，以提高VPN的安全性。首先，加密算法選擇。本次設(shè)計的VPN安全網(wǎng)關(guān)的應(yīng)用場景為中小企業(yè)，其安全級別不像軍隊、科研等部門那么高，因此可以用加密速度快、安全性較高的DES算法。其次，密鑰管理協(xié)議選擇。本次研究選用因特網(wǎng)安全關(guān)聯(lián)與密鑰管理協(xié)議（ISAKMP）管理密鑰。最后，認證方法選擇。實現(xiàn)IPSec協(xié)議時要驗證數(shù)據(jù)的完整性，目前常用的驗證方法包括HMAC-MD5、HMAC-SHA-1算法。前者驗證步驟相對簡單，因此得到更廣泛的應(yīng)用。本次研究設(shè)計的基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)軟件拓撲圖[3]，如圖3所示。

圖3 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)系統(tǒng)拓撲圖

來自主機A的數(shù)據(jù)需要先經(jīng)過VPN網(wǎng)關(guān)1的處理才能出網(wǎng)，在此過程中依據(jù)VPN的安全策略數(shù)據(jù)庫（Security Policy Database）SPD對數(shù)據(jù)進行轉(zhuǎn)發(fā)或者對數(shù)據(jù)進行IPSec處理，數(shù)據(jù)經(jīng)過處理之后再通過端口傳輸?shù)酵饩W(wǎng)internet。到達主機B所在網(wǎng)絡(luò)，再由VPN網(wǎng)關(guān)2查詢SPD，進行數(shù)據(jù)處理，還原數(shù)據(jù)并將其傳輸至目的主機。這里的VPN的SPD由管理員根據(jù)實際情況利用GUI接口配置。如有必要還可以在VPN網(wǎng)關(guān)上加入防火墻、入侵檢測、安全掃描等安全防護技術(shù)。VPN安全網(wǎng)關(guān)系統(tǒng)可以分為用戶、基礎(chǔ)配置、內(nèi)核。其中用戶部分主要包括系統(tǒng)配置信息，如在網(wǎng)關(guān)管理解密中新增VPN隧道的名稱、服務(wù)器地址、加密算法、完整性驗證算法、密鑰交換機制等信息，構(gòu)成VPN的安全策略，完成配置后將自動生成VPN安全策略存儲在SPD中?；A(chǔ)配置包括系統(tǒng)、日志審計等信息的配置，如系統(tǒng)更新時間、通信記錄等。內(nèi)核包括策略、判斷、處理等部分，策略部分由SPD提供。

5 結(jié) 論

本文探討了基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)的設(shè)計與實現(xiàn)，在設(shè)計VPN安全網(wǎng)關(guān)時采用IPSec協(xié)議可以有效提高VPN網(wǎng)關(guān)的安全性。