基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)的設(shè)計(jì)與實(shí)現(xiàn)

胡天麟

（綿陽教育科技有限公司，四川 綿陽 621000）

0 引 言

IPSec（IP Security）協(xié)議產(chǎn)生于IPv6制定過程中，將IPSec協(xié)議與VPN有機(jī)結(jié)合，基于IPSeC協(xié)議設(shè)計(jì)VPN網(wǎng)關(guān)可以更加有效地保障網(wǎng)絡(luò)通信安全，降低企業(yè)成本。因此，探討基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)對(duì)于提高Internet網(wǎng)絡(luò)的安全性意義重大。

1 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)功能設(shè)計(jì)

在實(shí)踐中需要采取有效的安全策略讓VPN安全網(wǎng)關(guān)具備相應(yīng)的安全防護(hù)功能才能有效保障網(wǎng)絡(luò)安全，因此，需要設(shè)計(jì)基于IPSec的VPN安全網(wǎng)關(guān)的功能，具體包括：（1）數(shù)據(jù)保護(hù)功能；（2）訪問控制功能；（3）網(wǎng)絡(luò)跟蹤監(jiān)控功能；（4）輔助安全功能。

2 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)總體結(jié)構(gòu)設(shè)計(jì)

在分析VPN安全網(wǎng)關(guān)功能的基礎(chǔ)上，提出基于IPSec協(xié)議的VPN網(wǎng)關(guān)基本結(jié)構(gòu)[1]，如圖1所示。

圖1 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)結(jié)構(gòu)

從圖1可知，安全網(wǎng)關(guān)的功能可以劃分為檢測(cè)、防御、控制、處理四大塊。其中主要由防火墻提供防御，由入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)檢測(cè)，通過丟棄、轉(zhuǎn)發(fā)、進(jìn)行PISec加密和認(rèn)證三個(gè)安全策略實(shí)現(xiàn)處理功能。一旦發(fā)現(xiàn)入侵，系統(tǒng)會(huì)給出告警通知管理員進(jìn)行安全防護(hù)，并在日志中自動(dòng)記錄入侵相關(guān)信息?？刂乒δ苣K則是VPN安全網(wǎng)關(guān)的核心功能模塊，其主要作用是協(xié)調(diào)系統(tǒng)中各個(gè)子模塊，因此其實(shí)現(xiàn)前提是其他子模塊順利實(shí)現(xiàn)。通過分析網(wǎng)關(guān)安全需求可知，其需要同時(shí)提供防御、檢測(cè)、處理、控制的功能，并根據(jù)各功能模塊選用合適的網(wǎng)絡(luò)技術(shù)加以實(shí)現(xiàn)。有效的數(shù)據(jù)安全處理可以更加有效地保障敏感數(shù)據(jù)的安全。因此，除了讓安全網(wǎng)關(guān)具備基本功能之外，還可以利用IPSec處理模塊實(shí)現(xiàn)VPN中的數(shù)據(jù)安全傳輸，有效提高VPN安全網(wǎng)關(guān)的安全性。

3 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)硬件實(shí)現(xiàn)

基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)的硬件構(gòu)成[2]，如圖2所示。

圖2 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)硬件構(gòu)成

（1）主處理器。經(jīng)由擴(kuò)展總線、PCI與其他設(shè)備進(jìn)行數(shù)據(jù)交換，提供程序運(yùn)行所需的調(diào)用指令，進(jìn)行數(shù)據(jù)運(yùn)算等。

（2）協(xié)處理器。通常用于高速處理數(shù)據(jù)的場(chǎng)景，主要作用是輔助主處理器完成控制指令，進(jìn)行數(shù)據(jù)運(yùn)算。在本次設(shè)計(jì)的基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)中加入?yún)f(xié)處理器的目的就是更加高效地處理海量地網(wǎng)絡(luò)數(shù)據(jù)，減輕主處理器的壓力，提升系統(tǒng)的運(yùn)行效率。

（3）存儲(chǔ)器。和個(gè)人計(jì)算機(jī)中的存儲(chǔ)器一樣，本文設(shè)計(jì)的VPN安全網(wǎng)關(guān)中存儲(chǔ)器的主要任務(wù)是緩存數(shù)據(jù)。

（4）PCI總線及擴(kuò)展總線。其主要作用是在各種硬件設(shè)備中傳遞數(shù)據(jù)、地址、指令等信息。

（5）管理控制模塊。VPN安全網(wǎng)關(guān)模塊較多，結(jié)構(gòu)較為復(fù)雜，為高效協(xié)調(diào)各個(gè)模塊，必須要有一個(gè)可以高效管理調(diào)度各個(gè)模塊的模塊。

（6）接口。通過接口可以將外部的設(shè)備與VPN安全網(wǎng)關(guān)連接起來，接口應(yīng)該符合工業(yè)標(biāo)準(zhǔn)。例如，以太網(wǎng)接口的作用是使VPN安全網(wǎng)關(guān)與網(wǎng)絡(luò)連接。本次設(shè)計(jì)的VPN安全網(wǎng)關(guān)硬件平臺(tái)需要兩個(gè)以太網(wǎng)接口，一個(gè)用于連接內(nèi)網(wǎng)，另一個(gè)用于連接公網(wǎng)絡(luò)。

（7）高速串口。通過高速串口可以快速讀取存儲(chǔ)器中的數(shù)據(jù)。

（8）數(shù)據(jù)處理模塊。本次設(shè)計(jì)的VPN安全網(wǎng)關(guān)硬件平臺(tái)實(shí)用的數(shù)據(jù)處理模塊以網(wǎng)絡(luò)服務(wù)處理模塊為基礎(chǔ)的，如果應(yīng)用防火墻的安全網(wǎng)關(guān)需要過濾數(shù)據(jù)就可以通過數(shù)據(jù)處理模塊實(shí)現(xiàn)。

（9）IPSec處理模塊。通過這個(gè)模塊可以在VPN網(wǎng)關(guān)中應(yīng)用IPSec協(xié)議進(jìn)行數(shù)據(jù)加密和驗(yàn)證。

4 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)軟件實(shí)現(xiàn)

IPSec可以作為VPN安全網(wǎng)關(guān)的標(biāo)準(zhǔn)協(xié)議，可以提供更加安全的加密認(rèn)證手段，以提高VPN的安全性。首先，加密算法選擇。本次設(shè)計(jì)的VPN安全網(wǎng)關(guān)的應(yīng)用場(chǎng)景為中小企業(yè)，其安全級(jí)別不像軍隊(duì)、科研等部門那么高，因此可以用加密速度快、安全性較高的DES算法。其次，密鑰管理協(xié)議選擇。本次研究選用因特網(wǎng)安全關(guān)聯(lián)與密鑰管理協(xié)議（ISAKMP）管理密鑰。最后，認(rèn)證方法選擇。實(shí)現(xiàn)IPSec協(xié)議時(shí)要驗(yàn)證數(shù)據(jù)的完整性，目前常用的驗(yàn)證方法包括HMAC-MD5、HMAC-SHA-1算法。前者驗(yàn)證步驟相對(duì)簡(jiǎn)單，因此得到更廣泛的應(yīng)用。本次研究設(shè)計(jì)的基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)軟件拓?fù)鋱D[3]，如圖3所示。

圖3 基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)系統(tǒng)拓?fù)鋱D

來自主機(jī)A的數(shù)據(jù)需要先經(jīng)過VPN網(wǎng)關(guān)1的處理才能出網(wǎng)，在此過程中依據(jù)VPN的安全策略數(shù)據(jù)庫（Security Policy Database）SPD對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)或者對(duì)數(shù)據(jù)進(jìn)行IPSec處理，數(shù)據(jù)經(jīng)過處理之后再通過端口傳輸?shù)酵饩W(wǎng)internet。到達(dá)主機(jī)B所在網(wǎng)絡(luò)，再由VPN網(wǎng)關(guān)2查詢SPD，進(jìn)行數(shù)據(jù)處理，還原數(shù)據(jù)并將其傳輸至目的主機(jī)。這里的VPN的SPD由管理員根據(jù)實(shí)際情況利用GUI接口配置。如有必要還可以在VPN網(wǎng)關(guān)上加入防火墻、入侵檢測(cè)、安全掃描等安全防護(hù)技術(shù)。VPN安全網(wǎng)關(guān)系統(tǒng)可以分為用戶、基礎(chǔ)配置、內(nèi)核。其中用戶部分主要包括系統(tǒng)配置信息，如在網(wǎng)關(guān)管理解密中新增VPN隧道的名稱、服務(wù)器地址、加密算法、完整性驗(yàn)證算法、密鑰交換機(jī)制等信息，構(gòu)成VPN的安全策略，完成配置后將自動(dòng)生成VPN安全策略存儲(chǔ)在SPD中?；A(chǔ)配置包括系統(tǒng)、日志審計(jì)等信息的配置，如系統(tǒng)更新時(shí)間、通信記錄等。內(nèi)核包括策略、判斷、處理等部分，策略部分由SPD提供。

5 結(jié) 論

本文探討了基于IPSec協(xié)議的VPN安全網(wǎng)關(guān)的設(shè)計(jì)與實(shí)現(xiàn)，在設(shè)計(jì)VPN安全網(wǎng)關(guān)時(shí)采用IPSec協(xié)議可以有效提高VPN網(wǎng)關(guān)的安全性。