IPsec VPN技术又被称之为虚拟专用网络技术,该技术是将共享网络中的相关设备作为其基础设备,以此确保私有数据能够在这些设施中实现安全传输,使私有数据在传输过程中不会受到地域的局限性而影响其传输性能。私有数据在共享网络中进行安全传输时,其仅会受到专用网络中统一策略的控制,这使其成为一种灵活性非常高的远程接入策略,从而使数据传输安全得到可靠保证的同时,也使专网联网成本得到了显著降低,这使其未来的发展前景非常广阔,是校园网远程接入的主要应用技术。为此,以下便对IPsec VPN技术进行深入的探讨与研究。
二、IPsec VPN技术的安全协议
在以往的TCP/IP协议中,网络虽然可靠性较强,但在安全性方面却存在不足,这是因为其IP包自身不具备安全特性。因此,IETF构建了一种具备标准化与开放性特点的安全技术体系架构,即IPsec,IPsec是通过对OSI模型的基础结构及其结构中第三层数据包的格式进行定义,以使其能够为IP通信服务提供安全性较高的端对端数据传输服务,以此确保通信安全、透明。
(一)IPsec VPN技术体系
对于IPsec来说,其本质上是一种协议包,在该协议包中共含有以下组件,分别是验证头协议、封装安全载荷协议、密钥分配协议以及IPsec安全联盟。验证头协议的英文简称为AH,该协议能够实现数据源的认证、反重放,并确保数据完整,不过该协议在机密性方面尚无法做到可靠保证。该协议是在IP包头以后,将要进行保护的数据前端添加AH标识,并利用杂凑算法来对AH标识中包含的验证值进行计算。封装安全载荷协议的英文简称为ESP协议,该协议不仅能够支持AH的相关服务,而且也具备良好的机密性,其工作流程和AH较为类似,不过在标识位置上则存在不同,ESP协议不采用AH协议的签名模式,而是通过CBC模式,即加密算法块链模式,并通过3DES、DES等加密算法的应用来对待保护数据及其部分ESP标识实施加密处理。密钥分配协议的英文简称为IKE,该协议能够自动管理IPsec通信双方之间的密钥交换,该协议在实施过程中共包括两大阶段,第一阶段是通过采用Diffle-Hellman交换机制,并对相应的验证方法进行预先设置,如预共享密钥、RSA公共密钥算法、DSS数据签名等,以此构建相应的安全连接来实现双方之间的实体通信,该阶段又被称之为IKE安全联盟构建阶段。第二阶段是在构建IKE安全联盟的前提下,通过对密钥生存期以及安全协议等重要的安全参数进行双方协商,然后生成公共密钥来构建SA联盟,SA联盟又被称之为IPsec安全联盟。SA联盟属于一种介乎于两通讯实体间的逻辑连接,这种逻辑连接能够为双方的数据传输提供一致而又可靠的IPsec安全保障。
(二)IPsec VPN技术原理
包过滤防火墙在对IP包进行接收时,利用包过滤防火墙中的规则表来实施匹配,在发现匹配规则以后,会根据该规中的方法来转发或丢弃接收的IP包。而IPsec VPN技术的操作流程则和包过滤防火墙较为类似,该技术会根据SPD的查询结果来判断采用哪种方法来处理接收到的IP包,处理方法可包括丢弃、IPsec处理以及直接转发。IPsec处理通过AH或ESP安全协议来认证与加密IP包,这相比于包过滤防火墙来说要具备更高的安全性。根据用户安全需求的不同,IPsec VPN技术的工作模式主要有两种,分别是端对端数据传输模式和安全网关隧道模式。在端对端数据传输模式中,ESP或AH安全协议是通过上层协议,即UDP协议、TCP协议或ICMP协议来对数据进行保护的,而对于数据中的IP包头内容、目标地址和源地址则不进行加密。在安全网关隧道模式中,ESP或AH安全协议则是对全部IP包进行保护,在传输IP包时会采取两个IP头的方式进行保护,这两个IP头分为内部头与外部头,由源主机来创建内部头,由安全网关创建外部头。
三、IPsec VPN技术
(一)隧道技术
在IPsec VPN技术中,隧道技术是实现该技术的重要前提,隧道技术的工作流程为,在需要传输数据包或数据帧时,将数据包或数据帧进行封装,然后通过L2TF、PPTP或L2F等隧道协议将Header到新的数据包或数据帧当中去,Header会向数据包或数据帧提供路由信息,然后将封装以后的数据包或数据帧利用互联网发送出去,封装后的数据包或数据帧在通过逻辑路径传输到另一节点时,会通过相同隧道协议对其进行解包,然后将其转发至目的地。而该逻辑路径便是所谓的隧道。在隧道协议中,其对数据包或数据帧的加密应按照IPsec标准来进行,而通过隧道连接形成的网络便是IPsec VPN。
(二)IPsec VPN技术中的隧道协议
隧道协议可分为L2TP/IPsec与IPsec隧道两个部分,L2TP又被称之为层2隧道协议,其是在公共网络设备中将链路层PPP帧封装到需要传输的隧道协议当中云,其利用UDP进行封装,并对PPP帧及L2TP消息进行传送。L2TP能够进行PPP用户认证,但不能进行机器级的身份认证。此外,L2TP仅对控制包在传输时的加密方式进行了定义,其并没有加密传输数据。因此,通过ESP工作模式来对L2TP中的数据包进行再次封装,能够确保端对端连接的安全性。L2TP能够对动态寻址以及多种协议予以高度支持,从而使多PPP链路捆绑难题得到了有效解决,这使其能够在专线VPN与拨号VPN中得到广泛应用。在IPsec隧道部分,通过IPsec通道模式的激活,能够使IP网络中的IP包封装到所使用的隧道协议内。IPsec隧道协议的特点在于,其能够隧道环境多样,如主机至主机、网关至网关、网关至主机等环境,并且其仅能保护IP数据,但不对拨号VPN予以支持。
四、IPsec VPN技术在校园网中的应用实例分析
随着我国教育兴国政策的不断推进,高校之间实现优势互补趋势已经变得越来越明显,这也是诸多高校纷纷开展跨校区办学,以此扩大教学规模,充分发挥自身优势。在此形势下,如何才能确保跨校区办学中数据传输的共享安全,也已成为高校实现信息化发展的重要问题。为了解决该问题,就必须将上文提到的IPsec VPN技术应用到跨校区高校当中去,为此,有必要对IPsec VPN技术在校园网中的具体应用进行深入的研究。本文以某高校为例,对IPsec VPN技术在该高校校园网中的应用进行了详尽分析。在某高校中,其校园网共由主校区、职教学院与成教学院等三大部分进行互联而成,校园网属于一种具备开放性特征的网络环境,一旦其校园网缺乏必要的安全措施,势必会使财务数据、管理数据等敏感数据在校园网传输过程中被截取篡改与泄露,进而给高校带来巨大损失。为了避免这一问题,通过在校园网中利用Windows2012网关来实现校区局域网与校园网之间的接入,并确保机密数据在传输时能够具备绝对的安全性。考虑到这些机密数据在传输时可能会出现实时性不高的情况,因此在应用Windows2012网关进行校园网接入时,需要采用网关中所具有的IPsec VPN方案来对校园网进行改造,利用安全隧道将各校区的重要局域网进行互联,以形成能够对各校区进行覆盖的子网络。以下便对网关中IPsec VPN技术在该高校主校区与职教学院之间的财务处局域网互联作为实例,以此探讨IPsec VPN技术在设置Ipsec隧道时的具体步骤。实施步骤如下:
其一,构建Ipsec策略,应对网关是否属于域中的成员进行判断,当判断为是时,则应在活动目录中建立相应的组织单元,然后向该组织单元提供相应的安全性策略,比如,建立安全通道、自动断联机等。当判断为否时,则仅需对一个单独的本地安全性策略进行创建即可;其二,连接各条VPN,并建立两个筛选器列表,以用来分别对流入与流出的数据包进行匹配;其三是根据这两个建立的筛选器列表来对安全规则进行指定,流出数据包的匹配筛选器列表参数设置如下:将隧道终点的IP地址设置成210.40.2.8,设置隧道连接的类型为全部网络连接,并将协商安全以及不接受安全性不确定的通讯进行激活,采用总是采用IPsec进行响应,设置安全措施类型为高ESP。观察其身份验证标签中的隧道端点是否全部处于相同区域,如果是,则对kerberos V5进行选择,如果不是,则采用预共享密钥或是CA凭证验证,当然,需要确保两隧道所采用的身份验证方法相同。对流入数据包的匹配筛选器列表参数设置则以此进行类推,其设置内容基本相同,唯一不同之处是将所指定的隧道终点IP地址设定成210.40.1.8;其四是将该策略提供到windows 2012网关当中。以下便对安全策略运用到windows 2012网关的具体步骤进行探讨,首先根据实际运营情况以及客户的安全需求利用IPsec VPN技术来制定安全策略,安全策略的制定是由访问数据库来制定的,其利用自动配置服务器中的安全策略服务器模块来实现。在安全策略制定时,由IPsec安全策略代理模块来对参数进行配置,其相关参数应符合windows 2012网关中的参数定义,然后将制定的安全策略数据库和IPsec代理模块之间进行建立连接,以使安全策略参数能够进行代理模块与安全策略数据库之间的传递,对于IPsec安全策略的代理模块及服务器模块来说,应严格按照TR-069中的相关规定进行执行,并通过SOAP来对参数进行配置,以使ACS与网关之间能够对IPsec安全策略进行控制与管理,从而使信息得以发送到家庭网关中,并通过IPsec安全策略代理模块来加载安全策略,并通过摘要身份验证的方式来进行家庭网关保护。当IPsec安全策略的参数发生动态变化时,由安全策略代理模块来对策略参数进行动态修改,由IPsec安全策略的服务器模块来对能够满足安全协议要求的相关安全策略进行动态下载,进而使IPsec安全策略在windows 2012网关中得以有效运用,实现了对网关的自动配置。
五、结语
根据高校在校园网建设方面的局限性以及数据传输的安全性特点,本文遵循实用性、易用性原则,将IPsec VPN技术应用于校园网中的跨校局域网当中,以实现局域网和校园网之间的安全互联,进而使机密数据在传输过程中不会被截取与篡改,从而降低了成本投入,使校园管理工作水平得到了显著提升。
作者单位:三门峡职业技术学院