關(guān)于利用防火墻構(gòu)建VPN設(shè)計(jì)和應(yīng)用思考

摘要：靈活安全的廣域通信方式在越來(lái)越多的企業(yè)中實(shí)現(xiàn)。對(duì)于傳統(tǒng)網(wǎng)絡(luò)解決方案的處理能力的不足問題，分析了Internet連接和基于IP網(wǎng)絡(luò)錯(cuò)綜復(fù)雜環(huán)境下的網(wǎng)絡(luò)發(fā)展情況，對(duì)于目前各個(gè)公司的網(wǎng)絡(luò)連通來(lái)說(shuō)，基于IP的虛擬專用網(wǎng)（VPN）解決方案成為可行之道。本文主要探討了從構(gòu)建和通過研究VPN基本算法方面進(jìn)行了對(duì)VPN技術(shù)的簡(jiǎn)要分析，并通過構(gòu)建實(shí)例和實(shí)際應(yīng)用中遇到的問題及問題的解決加以必要的闡述。

關(guān)鍵詞：虛擬專用網(wǎng)；隧道技術(shù)；數(shù)據(jù)加密；安全性；協(xié)議

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599（2012）24-0089-02

1 引言

目前隨著Internet網(wǎng)絡(luò)迅速發(fā)展，對(duì)于企事業(yè)單位和個(gè)人用戶都帶來(lái)了深遠(yuǎn)影響，為了使得提高辦事效率和反應(yīng)速度更具有競(jìng)爭(zhēng)力，他們通過Internet可以把重要數(shù)據(jù)進(jìn)行異地取回，同時(shí)，也面臨著這種互聯(lián)網(wǎng)開放性所帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)。為了使得客戶、銷售商、移動(dòng)用戶、遠(yuǎn)程用戶和內(nèi)部用戶的安全訪問，這樣的通過臨時(shí)的、安全的連接的公用網(wǎng)絡(luò)還是存在一定問題，可以看作是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的“隧道”；以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑安全的“戰(zhàn)壕”和“隧道”，而這個(gè)“戰(zhàn)壕”就是防火墻，“隧道”就是VPN（虛擬專用網(wǎng)）[1]。

2 利用防火墻構(gòu)建VPN設(shè)計(jì)

2.1 體系結(jié)構(gòu)設(shè)計(jì)

首先，對(duì)于安全隧道代理（STA）來(lái)說(shuō)，在VPN用戶代理（UA）的請(qǐng)求建立安全隧道條件下，在接受安全隧道代理，然后可以通過VPN管理中心的相應(yīng)的管理和控制，安全隧道可以在公用互聯(lián)網(wǎng)絡(luò)上建立，第二步然后進(jìn)行透明傳輸用戶端信息。其中，對(duì)于用戶身份認(rèn)證與管理及密鑰的分配管理來(lái)說(shuō)，這是相對(duì)獨(dú)立的，同時(shí)，都是由用戶認(rèn)證管理中心和VPN密鑰分配中心進(jìn)行管理。對(duì)于用戶代理來(lái)說(shuō)，往往存在以下三種形式，即用戶認(rèn)證功能（UAF）， 訪問控制功能（ACF），安全隧道終端功能（STF）。完整的VPN服務(wù)由上述幾個(gè)部分向用戶高層應(yīng)用進(jìn)行服務(wù)提供[2]。

為了信息的安全傳輸和系統(tǒng)的管理功能更好在公用互聯(lián)明絡(luò)基礎(chǔ)上進(jìn)行實(shí)現(xiàn)，對(duì)于安全隧道代理（STA）和VPN管理中心（MC）來(lái)說(shuō)，其可以組成VPN安全傳輸平面（STP），對(duì)于作為安全傳輸平面的輔助平面的公共功能平面（CFP）來(lái)說(shuō)，其主要由VPN密鑰分配中心（KDC）和用戶認(rèn)證管理中心（UAAC）組成。其中，管理及密鑰的分配管理，另外還有向VPN用戶代理提供相對(duì)獨(dú)立的用戶身份認(rèn)證則是其的主要功能。

對(duì)于與VPN用戶代理直接聯(lián)系的用戶認(rèn)證管理中心（UAAC）來(lái)說(shuō)，VPN用戶代理的身份認(rèn)證通過向安全隧道代理提供，同時(shí)還可以在需要的情況下同安全隧道代理（STA）聯(lián)系，同時(shí)，雙向的身份認(rèn)證在VPN用戶代理和安全隧道代理中提供。

2.2 利用的軟件的介紹

本文所提到的設(shè)計(jì)方法是利用以色列的Check Point公司出品的Check Point Firewall-1，這是種硬件防火墻。對(duì)于這種市場(chǎng)上老資格的軟件防火墻產(chǎn)品來(lái)說(shuō)，其具有多重平臺(tái)的可移植性，包括Unix、WinNT、Win2K等系統(tǒng)平臺(tái)，同時(shí)具有較為優(yōu)秀的中和性能，這種檢測(cè)狀態(tài)和多平臺(tái)兼容性使其優(yōu)點(diǎn)。

3 實(shí)現(xiàn)利用防火墻構(gòu)建VPN實(shí)例步驟

在FireWall-1中，可以將規(guī)則加入到Policy Editor的規(guī)則集中，以覆蓋所有的VPN操作。只需要加入兩條規(guī)則就能啟用密鑰的交換，以便在兩個(gè)網(wǎng)絡(luò)之間建立加密通信。還需要即將Encrypt加入規(guī)則集的Action列。（1） 單擊“開始”，指向“程序”，再指向Check Point Management Clients，然后單擊Policy Editor NG FP2來(lái)打開Check Point Policy Editor窗口，輸入口令，單擊OK。（2） 單擊Rules，指向Add Rule，單擊Below，再在Policy Editor的Rule Base面板中單擊Desktop Security|Standard。（3）在Inbound Rules，右擊Action，選擇Query Column；（4）在Rule Base Query Clause對(duì)話框中，在Not in list欄單擊Encrypt，但后單擊Add將Encrypt移動(dòng)到In List欄中。（5）單擊Close。（6）對(duì)于Outbound Rules重復(fù)3和4步。（7）單擊Rules，指向Add Rule，選擇Below。（8）在Inbound Rules區(qū)域，往下拉該列表到最底下的新規(guī)則。在Source欄中右擊Any，選擇Add，打開Add Object對(duì)話框。（9）單擊Local Gateway，然后單擊OK；（10）在Inbound Rules區(qū)域，單擊Rules，指向Add Rule，單擊Below來(lái)創(chuàng)建第二條VPN規(guī)則； （11）單擊Remote Gateway，然后單擊OK；（12）右擊Action欄下Accept，選擇Encrypt；（13）右擊Track欄下的None，選擇Log；（14）高亮顯示Inbound Rules區(qū)域，單擊Rules，指向Add Rule，單擊Below來(lái)創(chuàng)建第二條VPN；（15） 在Source欄右擊Any，選擇Add。隨后出現(xiàn)Add Object對(duì)話框。（16） 單擊Remote_Gateway，然后單擊OK；（17） 高亮顯示Outbound Rules區(qū)域，右擊Destination欄下的Any，選擇Add-Add Object對(duì)話框；（18） 單擊Local_Gateway，然后單擊OK；（19）右擊Action欄下的Accept，單擊Encrypt；（20）右擊Track欄下的None，選擇Log；（21）單擊File，選擇Save；（22） 單擊File，選擇Exit關(guān)閉Check Point Policy Editor返回桌面。

4 實(shí)例模型實(shí)現(xiàn)關(guān)鍵技術(shù)

4.1 建立VPN通道的協(xié)議：IPSECIPSec在機(jī)密性、完整性、認(rèn)證性方面保證了公有或私有IP網(wǎng)絡(luò)來(lái)傳送的私有數(shù)據(jù)包的安全。對(duì)于以上三種保護(hù)形式來(lái)說(shuō)，IPSec主要包括以下三種基本要素。即安全加載封裝、認(rèn)證協(xié)議頭以及互聯(lián)網(wǎng)密鑰管理協(xié)議。其中，對(duì)于認(rèn)證協(xié)議頭和安全加載封裝來(lái)說(shuō)，為了保證所希望的保護(hù)等級(jí)，可以通過分開或組合而進(jìn)行使用。認(rèn)證和加密對(duì)于VPN來(lái)說(shuō)顯得尤為需要，因?yàn)槲唇?jīng)授權(quán)的用戶只有在雙重安全的條件及措施下，不能進(jìn)入VPN。VPN上傳輸?shù)男畔⒍粦?yīng)該被Internet上的竊聽者進(jìn)行截取。對(duì)于密鑰交換功能來(lái)說(shuō)，手工或自動(dòng)交換密鑰則是兩種基本方式。數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）在IPSec中常常采用，其它多種加密方法也被其采用。目前，常用的兩種密鑰管理方式則是手工和自動(dòng)兩種方式。

4.2 IPSec的實(shí)現(xiàn)方式

為了盡可能的避免相關(guān)的網(wǎng)絡(luò)資源升級(jí)的需要，IPSec可以通過共享網(wǎng)絡(luò)而進(jìn)行設(shè)備訪問，這可以在相關(guān)的所有的主機(jī)和服務(wù)器上完全實(shí)現(xiàn)。傳送模式和隧道模式則是IPSec的兩種實(shí)現(xiàn)方式。另外，在壓縮原始IP地址和數(shù)據(jù)的隧道模式中，IPSec數(shù)據(jù)包可以進(jìn)行傳輸，另外對(duì)于當(dāng)ESP在一臺(tái)主機(jī)（客戶機(jī)或服務(wù)器）上實(shí)現(xiàn)時(shí)使用的傳輸模式情況下，原始明文IP頭在只加密數(shù)據(jù)的情況下，這種傳輸模式是包括其TCP和UDP頭。

在ESP在關(guān)聯(lián)到多臺(tái)主機(jī)的網(wǎng)絡(luò)訪問介入裝置實(shí)現(xiàn)的情況下，隧道模式處理整個(gè)IP數(shù)據(jù)包具體包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，其實(shí)現(xiàn)的方式則是用自己的地址做為源地址加入到新的IP頭。

5 結(jié)束語(yǔ)

為了保證VPN這條安全的數(shù)據(jù)通道，在構(gòu)建其協(xié)議中需要注意以下幾點(diǎn)問題：（1）保證數(shù)據(jù)的真實(shí)性，抵抗地址冒認(rèn)（IP Spoofing）的功能能夠保證通信主機(jī)必須是經(jīng)過授權(quán)的；（2）保證通道的機(jī)密性，為了使得偷聽者不能破解攔截到的通道數(shù)據(jù)，則必須進(jìn)行提供強(qiáng)有力的加密手段；（3）保證數(shù)據(jù)的完整性，應(yīng)該具有抵抗不法分子纂改數(shù)據(jù)的能力，這樣才能保證接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致。

參考文獻(xiàn)：

[1]黃樂輝.局域網(wǎng)安全技術(shù)在企業(yè)網(wǎng)絡(luò)安全管理中的應(yīng)用[J].甘肅科技，2006，22（6）.

[2]蔣韜，劉積仁，秦?fù)P.一種集成的可伸縮的網(wǎng)絡(luò)安全系統(tǒng)[J].軟件學(xué)報(bào)，2002，13（3）.