毕业设计（论文）-ipsec在企业网中的应用论文.doc

资源描述

《毕业设计（论文）-ipsec在企业网中的应用论文.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）-ipsec在企业网中的应用论文.doc（37页珍藏版）》请在三一文库上搜索。

1、郑州轻院轻工职业学院郑州轻院轻工职业学院专科毕业设计（论文）题目 _IPSEC 在企业网中的安全应用学生姓名专业班级学号系别计算机系指导教师(职称) 完成时间 2010 年 4 月 1 日 ipsec 在企业网中的应用 I ipsec 在企业网中的应用摘要 IPSec(Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec 有两个基本目标：1）保护 IP 数据包安全；2）为抵御网络攻击提供防护措施。 IPSec 结合密码保护服务、

2、安全协议组和动态密钥管理三者来实现上述两个目标，不仅能为企业局域网与拨号用户、域、网站、远程站点的通信提供强有力且灵活的保护，而且还能用来筛选特定数据流。本文主要讲述了 IPSECVPN 安全可信网络的发展趋势、ipsec 的工作原理、企业网拓扑结构和 ipsec 的基本配置和具体应用。关键字 IPSECVPN/网络安全/防火墙/计算机安全/数据加密 ipsec 在企业网中的应用 II ABSTRACT IPSec (Internet Protocol Security) is an industry standard network security protocols, in o

3、rder to provide transparent IP network communications security services to protect the TCP / IP communications from eavesdropping and tampering, can effectively protect against network attacks, while maintaining ease of use. IPSec has two basic objectives: 1) protection of IP packet security; 2) to

4、provide protective measures against cyber-attacks. IPSec services combined with password protection, security and dynamic key management protocol to achieve the three objectives of the two, not only for the enterprise LAN and dial-up users, domains, sites, remote sites to provide a powerful and flex

5、ible communication protection, but also can be used to filter specific data stream. This article describes a safe and reliable network IPSECVPN trends, ipsec works, network topological structure and the basic configuration ipsec and specific applications. KEY WORDS ipsecvpn,networksecurity,firewalls

6、,computersecurity ipsec 在企业网中的应用 III 目录一、IPSECVPN 安全可信网络的发展趋势1 1.1 硬件 VPN 为主。软件 VPN 为辅1 1.2 多功能和全功能的 VPN 网关2 1.3 更丰富的网络功能、更高的产品性能2 1.4 移动客户端安装配置简化同时强化身份认证功能3 1.5 标准化仍然是主流3 二、IPSEC 原理4 2.1 IPSEC基本概念 4 2.1.1 IPSec 基本概念 4 2.1.2 IPSec 工作模式 5 2.1.3 IPSec 中的安全关联 7 2.2 基于 WINDOWS的 IPSEC设计与实现8 2.2.1 技术解析

7、8 2.2.2 具体实现9 三、企业网组网方式10 3.1 路由模式10 3.2 单臂模式11 3.3 混合模式11 四、IPSEC 实践11 4.1 WINDOWS环境下 IPSEC 的设置11 4.2 IPSECVPN 基本应用21 4.2.1 防火墙 fw1 的配置21 ipsec 在企业网中的应用 IV 4.2.2 防火墙 fw2 的配置24 4.2.3 实验测试28 4.2.4 实验总结29 结束语30 致谢31 参考文献32 ipsec 在企业网中的应用 1 一、IPSECVPN 安全可信网络的发展趋势 Internet 可以到达全球任何一个角落，它为电子政务、电子商务和电子业务

8、的广泛延伸提供了一种灵活的、高成本效益的基础网络架构。要充分利用 Internet，就必须确保业务通信和内部网络资源的安全性。另外，还要面对可用性、可伸缩性和高性能的挑战。VPN 为关键业务提供了可靠的性能和方便的扩展性，一个完整的 VPN 方案能够在整个安全网络架构内部简单地集成和管理。为一个国际标准，IPSEC 实际上并不是最近才推出的。通常意义上，一旦一个技术变成了标准技术，往往意味着其发展到了尽头。但是 VPN 作为融合安全和通讯一体的技术，其发展并没有由于其协议标准化而停滞不前。相反的， VPN 厂家通过多个方面的努力，不断地把其他领域的技术引入 VPN 产品，进一步丰

9、富功能。总结国内 IPSECVPN 发展的趋势，可以归纳为以下几点：硬件网关为主，软件 VPN 为辅，嵌入式系统是发展的主流；网关基本功能模块化，多功能一体化；更丰富的网络功能，更高的产品性能；客户端要求配置更简化，但是身份认证功能要强化；标准协议产品为主，非标准产品占据边缘和特色化市场。 1.1 硬件 VPN 为主。软件 VPN 为辅现在市面上有以网关为主的硬件 VPN 产品，也有用 Windows 作为基础平台的软件 VPN 产品。按照 IT 发展的规律，专项功能一般由专用的硬软件一体化设备完成。特别是通讯设备，一般都采用硬件网关。国外的 VPN 发展比较成熟，其产品构

10、成也是以硬件为主，软件一般用于客户端，让移动用户也能够连接到 VPN 网络中。基于硬件的 VPN，其优点是显而易见的：硬件设备具有更高的网络及 VPN 处理效率。VPN 硬件网关在 VPN 功能上进行了优化，很多 VPN 网关还有加密加速功能，因此其处理效率很高。专用设备具有更高的可靠性和稳定性。由于采用专用的操作系统，并且启动的程序和服务比较少，因此其可靠性和稳定性很高，能够满足比较苛刻的商业需求。专用设备具有更高的安全性。通用的操作系统，由于其庞大复杂，而且为了使用方便，开放了很多的端口，网络漏洞比较多。专用的系统可以关闭掉大 ipsec 在企业网中的应用 2 部分这种通

11、用的网络服务端口，确保设备自身的安全。就成本而言，硬件 VPN 比软件 VPN 具有更好的性价比。虽然软件 VPN 购买成本相对比较低，但是由于需要配套专门的服务器或者 PC 机，总体成本并不低。 1.2 多功能和全功能的 VPN 网关 VPN 的长期发展趋势一定是全功能或者多功能的网关。假设用户需要路由上网、VPN 连接、防火墙、VOIP、IDS 等等功能，如果每一项功能都需要一个专用设备的话，那么可能就要安装 34 台不同厂家的设备。作为网管而言，要熟悉几种不同风格的产品，一旦出现问题，还要分头找不同的厂商来解决。要是一家产品各项功能都能够集成进去，按照模块方式来配置，管理

12、工作也就简化了很多。这种需求代表了以后网关的发展趋势，即要求硬件网关多功能一体化。近期的主要发展趋势，首先是防火墙和 VPN 合二为一。实际上，很多防火墙的产品，都宣称支持 VPN。而很多的 VPN 产品，也都声称有防火墙功能。 VPN 和防火墙都是网关级的产品，但是其功能本质上还是有区别的，VPN 要解决节点之间的通讯问题，本质上属于通讯设备，而防火墙解决的主要是安全性问题。无论是防火墙还是 VPN 网关，一般都安装于网络出口处，一个出口处安装两个设备，本身就有一个配合问题，虽然各 VPN 厂商都已解决了兼容性问题，但是如果两者合二为一，问题就简化了很多。 VPN 和防火墙的结

13、合，为用户提供了良好的综合功能网关。例如，国内主流的防火墙厂家天融信公司就选择华盾 VPN 作为其战略合作伙伴，从产品深层次进行了整合，可以无缝捆绑，高效运营。如此发展下去，将会有更多的功能集成到网关中，例如：反病毒、 SSLVPN、反垃圾邮件、Proxy 代理、IDS 等。这些功能被模块化，然后被自由组装。当然，有利有弊。如果一个设备的功能太复杂，那么各项功能将会相互争夺网关的计算资源（内存、CPU 等）。同样，太复杂的配置对于用户也不是好事情。这在家电行业早有先例，曾经有厂商研发了 28 个功能的全功能录像机，说明书就足有 1 斤重。可是，市场反应很差，因为人们发现还是单

14、一功能的录像机简单好用。 1.3 更丰富的网络功能、更高的产品性能在 VPN 发展初期，人们只是把 VPN 作为一种简单的联网方案，并不作过多的要求。当 VPN 发展到一定阶段以后，VPN 网关就越来越接近路由器，传统路由器的很多网络特征，诸如动态 IP 地址适应、OSPF 协议等，都被逐步移植到 VPN 网关上面，以使 VPN 网关更好地融入到原有的网络体系之中。 ipsec 在企业网中的应用 3 另外，对于性能指标的追求是没有止境的。VPN 产品往高端发展，性能指标要求越来越高。重要的性能指标主要是以下几个方面：网络性能。在明文的条件下，能够达到千兆交换的速度。加密速度。国

15、内主流的加密卡速度基本都在百兆以下。但是随着发展，国产的加密芯片的加密速度也会逐步提升。另外，国外的加密芯片和板卡，能够提供更高的加密处理性能。并发连接数。这是来自防火墙的性能指标概念，同样适用于 VPN 设备。主流的 VPN 设备，出于基本的安全考虑，至少都带有一个基于状态跟踪的防火墙。因此，能够处理的并发连接数，也是一项重要的性能指标。就高端产品而言，比较理想的指标可以归结为：千兆线性网络速度、300M 以上的加密速度、50 万条以上的并发连接数。能够满足以上条件的网关，才能够满足高端的应用需要。 1.4 移动客户端安装配置简化同时强化身份认证功能 VPN 客户端用于很多

16、VPN 网络中，一般是移动用户或者单机接入 VPN 网络的末端节点。企业领导、业务人员、出差人员，可以随时通过 VPN 查询企业的内部信息，如同在企业内部办公一样。由于移动客户端分布范围很广，并且使用者大多数并不具备很强的网络调试能力。因此，VPN 客户端要易用，配置参数要简单。在简化 VPN 客户端配置的同时，也要强化其身份认证机制。看起来似乎矛盾，但是具有必要性。移动用户作为 VPN 网络的末端节点通过 Internet 接入，必须保证其身份的合法性，以免带来安全隐患。除了传统的用户名/口令、证书等方式以外，基于硬件特征信息的身份认证机制也得到了很多用户的青睐。目前，普遍

17、采用 USB-Key 和手机 SIM 卡作为身份认证的介质，移动用户需要在 USB 口上插入 key 或手机，才能够发起 VPN 连接。另外，基于计算机硬件特征的身份标识，也得到了越来越多的应用。根据计算机硬件算出一个特征值，作为该节点此后认证的依据。这样，只有匹配硬件特征的计算机可以使用这个身份连接到 VPN 网络中。 1.5 标准化仍然是主流现在国内有一些厂商采用自定义的协议。非标准的 VPN 不受现有的标准约束，可以随心所欲地改动。特别是纯软件 VPN 解决方案，可以充分利用 PC 机的计算能力，具有更多的卖点。但是，非标准 VPN 也具有许多缺点：首先，自定义的通讯协议，

18、安全性没有经过充分认证，安全性和可靠性值得怀疑。IPSEC 和其他的 VPN 标准，是在国际上经过长时间考验，其标准的起草到正式发布，经过了大量的论证和权衡。绝对不是哪一家厂商自己定义一个协议就可以超越的。另外，非标准 VPN 产品 ipsec 在企业网中的应用 4 无法和其他厂家的 VPN 设备互联互通。二、ipsec 原理使用 internet 协议安全（InternetProtocolSecurity，IPSec）是解决网络安全问题的长久之计。它能针对那些来自专用网络和 internet 的攻击提供重要的防线，并在网络安全性与便用性之间取得平衡。IPSec 是一种加密的标准

19、，它允许在差别很大的设备之间进行安全通信。利用 IPSec 不仅可以构建基于操作系统的防火墙，实现一般防火墙的功能。它还可以为许可通信的两个端点建立加密的、可靠的数据通道。 2.1 IPSec 基本概念 2.1.1 IPSec 基本概念 IPSec 通过使用基于密码学的保护服务、安全协议和动态密钥管理，可以实现以下这几个目标： 1、认证 IP 报文的来源基于 IP 地址的访问控制十分脆弱，因为攻击者可以很容易利用伪装的 IP 地址来发送 IP 报文。许多攻击者利用机器间基于 IP 地址的信任，来伪装 IP 地址。IPSec 允许设备使用比源 IP 地址更安全的方式来认证 IP 数据

20、报的来源。 IPSec 的这一标准称为原始认证（OriginAuthentication）。 2、保证 IP 数据报的完整性除了确认 IP 数据报的来源，还希望能确保报文在网络中传输时没有发生变化。使用 IPSec，可以确信在 IP 报文上没有发生任何变化。IPSec 的这一特性称为无连接完整性。 3、确保 IP 报文的内容在传输过程中未被读取除了认证与完整性之外，还期望当报文在网上传播时，未授权方不能读取报文的内容。这可以通过在传输前，将报文加密来实现。通过加密报文，可以确保攻击者不能破解报文的内容，即使他们可以用侦听程序截获报文。 4、确保认证报文没有重复最终，即使攻击者不

21、能发送伪装的报文，不能改变报文，不能读取报文的内容，攻击者仍然可以通过重发截获的认证报文来干扰正常的通信，从而导致事务多次执行，或是使被复制报文的上层应用发生混乱。IPSec 能检测出重复报文并丢弃它们。这一特性称为反重传（antireplay）。 IPSec 建立在终端到终端的模式上，这意味着只有识别 IPSec 的计算机才能作为发送和接收计算机。IPSec 并不是一个单一的协议或算法，它是一系列加密 ipsec 在企业网中的应用 5 实现中使用的加密标准定义的集合。IPSec 实现在 IP 层的安全，因而它与任何上层应用或传输层的协议无关。上层不需要知道在 IP 层实现的安全，

22、所以在 IP 层不需要做任何修改。 2.1.2 IPSec 工作模式 IPSec 在 IP 报文中使用一个新的 IPSec 报头来封装信息，这个过程类似于用一个正常的 IP 报文头封装上层的 TCP 或 UDP 信息。新的 IPSec 报文包含 IP 报文认证的信息，原始 IP 报文的内容，可以根据特定应用的需求选择加密与否。可以配置 IPSec 封装完整的 IP 数据报或只是上层信息。如果配置为封装整个 IP 数据报，那么它就工作在隧道模式（TunnelMode）。如果配置为只封装 IP 数据报中上层协议信息，那么它就工作在传输模式（TransportationMode）。如图

23、2-1、2-2 所示。图 2-1 隧道模式图 2-2 传输模式除了 IPSec 模式之外，还有两种 IPSec 的报头：认证报头：只用于认证 IP 报文，对原始 IP 报文不做任何加密。封装安全负载：可以像认证报头那样对原始 IP 报文实现认证，并可以实现加密。 1、认证报头认证报头（AuthenticationHeader，AH）为整个数据包（数据包中携带的 IP 报头和数据）提供身份验证、完整性和防止重发，AH 还签署整个数据包。因为不加密数据，所以不提供机密性。数据可以读取，但是禁止修改。AH 使用 HMAC 算法来签署数据包。例如，使用计算机 A 的 Alice 将数

24、据发送给使用计算机 B 的 Bob。IP 报头、 AH 报头和数据通过签名来防止修改。这意味着 Bob 可以确定确实是 Alice 发送的数据并且数据未经修改。完整性和身份验证通过在 IP 报头和传输协议报头（TCP 或 UDP）之间放置 AH 报头来提供，如图 2-3 所示。 ipsec 在企业网中的应用 6 图 2-3 AH 报文格式 2、封装安全负载封装安全负载（EncapaulatingSecurityPayload，ESP）除了身份验证、完整性和防止重发外，还提供机密性。除非使用隧道，否则 ESP 通常不签署整个数据包，即通常只保护数据，而不保护 IP 报头。ESP 主要

25、使用 DES 或 3DES 加密算法为数据包提供保密性。例如，使用计算机 A 的 Alice 将数据发送给使用计算机 B 的 Bob。因为 ESP 提供机密性，所以数据被加密。对于接收，在验证过程完成后，数据包的数据部分将被解密。Bob 可以确定确实是 Alice 发送的数据并且数据未经修改，其他人无法读取这些数据。安全性通过在 IP 报头和传输协议报头（TCP 或 UDP）之间放置 ESP 报头来提供，如图 2-4 所示。图 2-4 ESP 报文格式在上图中，IP 和 ESP 报头封装了最终的源和目的间的数据包。“签名“区指示数据包在这些地方进行完整性保护。“加密“区指示整

26、个原始数据包被加密。下面，我们通过对比的方法总结一下 AH、ESP 的功能特性，见表 1。表 1 IPSec 安全报头的特征 ipsec 在企业网中的应用 7 2.1.3 IPSec 中的安全关联除了 IPSec 报头之外，在安全的数据被交换之前，两台计算机之间必须先建立一个契约。该契约称为安全关联（SecurityAssociation，SA）。在 SA 中，两台计算机在如何交换和保护信息方面达成一致，如图 2-5 所示。安全关联(SA)是策略和密钥的结合，它定义用来保护端对端通讯的常规安全服务、机制以及密钥。SA 可以看成是两个 IPSec 对等端之间的一条安全隧道，可以

27、为不同类型的流量创建独立的 SA。例如，当一台计算机与多台计算机同时进行安全性通讯时可能存在多种关联。这种情况经常发生在当计算机是用作文件服务器或向多个客户提供服务的远程访问服务器的时候。一台计算机也可以与另一台计算机有多个 SA。例如：可以在两台主机之间为 TCP 建立独立的 SA，并在同样两台机器之间建立另一条支持 UDP 的 SA。甚至可以为每个 TCP 或 UDP 端口建立分离的 SA。在这些情况下，接收端计算机使用安全参数索引 (SPI)来决定将使用哪种 SA 处理传入的数据包。SPI 是一个分配给每个 SA 的字串，用于区分多个存在于接收端计算机上的安全关联。图 2-5

28、安全关联（SA）注意每个 SA 可以使用不同的安全协议。可以在两个 IPSec 对等端之间只进行使用 AH 报头的认证，或是只进行加密。IPSec 十分灵活，它可以支持多种选择。为在两台计算机之间建立该契约，IETF 已经建立了一个安全关联和密钥交换方案的标准方法，它将 Internet 安全关联和密钥管理协议(ISAKMP)以及 Oakley 密钥生成协议进行合并。ISAKMP 集中了安全关联管理，减少了连接时间。Oakley 生成并管理用来保护信息的身份验证密钥。为保证通讯的成功和安全，ISAKMP/Oakley 执行两个阶段的操作：密钥交换和数据保护。它通过使用在两台计算

29、机上协商从而达成一致的加密和身份验证算法保证机密性和身份验证。这包括： IPSec 协议：AH、ESP。加密算法：DES、3DES、40 位 DES 或无。完整性算法：MD5 或 SHA。身份验证方式：公钥证书、预共享密钥或 KerberosV5（Windows2000 默认）。 Diffie-Hellman 组。 ipsec 在企业网中的应用 8 2.2 基于 Windows 的 IPSec 设计与实现由于历史的原因，各企业都存在一些以前开发的业务处理系统，这些业务系统没有考虑数据在局域网和广域网传输时的机密性和完整性。要解决这些系统数据的安全传输问题，可以采用将应用系统逐

30、个改造，增加加密处理过程的方法来实现，但这种方法需要投入大量的人力和物力；也可以采用主机加装硬件加密装置的方法实现，但这种方法需要增加大量的投资，并且扩展性差。因此，利用 IPSec 技术，在网络层实现加密传输，适应已有的各种应用系统，保护已有的投资，成为我们的首选。 2.2.1 技术解析 IPSec 协议是由 IETF 制定的一种基于 IP 协议的安全标准，用于保证 IP 数据包传输时的安全性。IPSec 协议由安全协议（包括 AH 协议和 ESP 协议）、密钥管理协议（如 IKE）以及认证和加密算法组成。 IPSec 支持传输模式和隧道模式。传输模式主要为上层协议提供保护，即

31、对 IP 包的载荷进行保护，通常用于两个主机之间的端对端通信。隧道模式提供对所有 IP 包的保护，即将整个 IP 包（含包头和载荷）封装，作为新的 IP 包的载荷进行传送。其中，封装安全载荷是插入 IP 数据包内的一个协议头，以便为 IP 提供机密性、数据源验证、抗重播以及数据完整性等安全服务。验证头（AH）则用于为 IP 提供数据完整性、数据原始身份验证和一些可选的、有限的抗重播服务。 IKE 是 IPSec 的自动密钥管理协议，它建立在 Internet 安全关联和密钥管理协议（ISAKMP）定义的框架上，定义出自己独一无二的验证加密材料生成技术，以及协商共享策略。 ipse

32、c 在企业网中的应用 9 2.2.2 具体实现目前，大部分单位的计算机都使用 Windows2000/XP 操作系统，因此，我们通过在 Windows 主机上实现 IPSec 来确保数据加密传输和认证。我们采用 NDIS 技术在网络层与数据链路层插入自己编写的模块的方式实现 IPSec。NDIS 是一种网络接口规范，它将网络硬件抽象为网络驱动程序。它将用来管理硬件的底层驱动程序抽象为上层驱动程序，也维护着状态信息和网络驱动程序的参数。我们实现的 IPSec 系统包括管理模块、IKE 密钥交换模块和 IPSec 驱动模块。其中：管理模块实现对安全关联数据库（SAD）和安全策略数据库（

33、SPD）的管理，也可以通过 IKE 模块发起密钥交换；IKE 密钥交换模块完成安全关联（SA）建立、协商、修改和删除等工作；IPSec 驱动模块完成安全策略查询（是否对 IP 包进行 IPSec 处理），IP 数据包的加/解密，数据包封装/拆封等工作。利用 IPSec 技术，在网络层实现 IP 数据包的加密传输和认证，有效地弥补了应用系统安全传输机制的不足，既提高了系统的安全性，又延长了应用系统的生命周期。 ipsec 在企业网中的应用 10 三、企业网组网方式 3.1 路由模式部署模式：充当网关设备，或者将深信服 IPSecVPN 部署在路由器与交换器之间。 ipsec 在

34、企业网中的应用 11 3.2 单臂模式部署模式：将深信服 IPSecVPN 部署交换机之下，此种模式下，仍然支持多条 Internet 线路复用。 3.3 混合模式支持路由+单臂模式四、ipsec 实践 4.1 windows 环境下 IPSEC 的设置【实验拓扑】图 4-1 实验拓扑图 ipsec 在企业网中的应用 12 说明：两台主机通过交换机或其它网络设备连接，在两台主机上建立 ipsec 安全通道，对允许的通信进行进一步的安全设置，两台主机均为 windowsxp。【实验步骤】 1.在主机 pc1 上进入 IPSEC 配置界面。通过“开始”“控制面板”“管理工具”“本地

35、安全策略”打开 IPSEC 相关配置界面，选择“ip 安全策略，在本地计算机上” ，如图 4-2 所示。图 4-2 本地安全设置默认情况下 IPSEC 的安全策略处于没有启动状态，必须进行指定，IPSEC 才能发挥作用。在 windows 环境下，IPSEC 包含以下 3 个默认策略，如图 4-2 所示。安全服务器：对所有 IP 通信总是使用 Kerberos 信任请求安全。不允许与不被信任的客户端的不安全通信。这个策略用于必须采用安全通道进行通信的计算机。客户端：正常通信，默认情况下不使用 IPSEC。如果通信对方请求 IPSEC 安全通信，则可以建立 IPSEC 虚拟专用通道

36、。只有与服务器的请求协议和端口通信是安全的。服务器：默认情况下，对所有 IP 通信总是使用 Kerberos 信任请求安全。允许与不响应请求的客户端的不安全通信。 2.定制 IPSEC 安全策略。双击“安全服务器”策略，打开添加 IPSEC 策略界面，如图 4-3 所示。单击“添加”进入向导，单击“下一步”按钮打开图 4- 4。 ipsec 在企业网中的应用 13 图 4-3 添加 IPSEC 策略 3.在本实验中，我们实现的是两台主机之间的 IPSEC 安全隧道，而不是两个网络之间的安全通信，因此，我们选择“此规则不指定隧道” ，即选用传输模式 IPSEC,如图 4-4 所示，然

37、后点击“下一步”按钮。图 4-4 设置 IPSEC 的模式 4.进入选择网络类型的界面。安全规则可以应用到 3 种网络类型：所有网络连接、局域网和远程访问。本实验中，我们选择“所有网络连接” ，如图 4-5 所示，点击“下一步”按钮。 ipsec 在企业网中的应用 14 图 4-5 安全规则应用的网络类型 5.进入身份认证方法界面。在 windows 环境下提供了 3 种身份认证的方法： KerberosV5、证书和预共享密钥。我们选择“预共享密钥”并设定为 “yanqing”,如图 4-6 所示，点击“下一步”按钮。图 4-6IPSEC 身份认证方法 6.进入 IP 筛选器列表界面。在

38、本实验中，我们对 ICMP 信息进行协商，并进行加密保护。因此，我们制定了 ICMP 筛选器，如图 4-7，点击“添加”按钮。 ipsec 在企业网中的应用 15 图 4-7IP 筛选器列表选项 7.新添加的 IP 筛选器列表定义名称为“协商 ICMP”,如图 4-8 所示。点击 “添加”按钮，定义新筛选器的属性。图 4-8IP 筛选器列表 8.进入向导界面，单击“下一步” 。在本实验中，筛选器的源 IP 是“我的 IP”,目的 IP 是“任何 IP” ，协议类型是“ICMP” ，如图 4-9 所示。单击“确定” 回到 IP 筛选器列表选项界面。 ipsec 在企业网中的应用 16 图 4

39、-9IP 筛选器列表 9.选中新添加的筛选器“协商 ICMP” ，如图 4-10 所示，然后点击“下一步” ，进入筛选器操作的相关设置界面。图 4-10IP 筛选器列表选项 10.缺省已有三种操作，如图 4-11 所示，但不符合我们的要求。因此，单击 “添加”按钮进入筛选器操作的设置界面。 ipsec 在企业网中的应用 17 图 4-11 筛选器操作选项 11.进入设置向导，单击“下一步” ，设置筛选器操作的名称，如图 4-12 所示。图 4-12 筛选器操作名称 12.在这里我们可以对新筛选器操作的细节进行设置。其中，可以选择“许可“、“阻止“对符合“IP 筛选器“的数据流进行过滤。

40、这可以简单的实现一个普通防火墙的功能。除此之外，如果选择“协商安全“还可以对允许的通信进行进一步的安全设置。单击“下一步” ，打开界面图 4-14。 ipsec 在企业网中的应用 18 图 4-13 筛选器操作 13.为了通信安全，与之要求通信的其他主机必须支持 IPSEC，因此，我们选择“不和不支持 IPSEC 的计算机通信” ，单击下一步，打开 IP 通信安全设施设置界面，如图 4-15 所示。图 4-14IPSEC 操作设置 14.选择自定义，进行具体设置，如图 4-15 所示。单击“确定” ，完成操作设置并回到选择操作界面，如图 4-16 所示。 ipsec 在企业网中的应

41、用 19 图 4-15 自定义安全措施设置 15.选中自定义的“协商 ICMP”操作，如图 4-16，单击“下一步”完成操作器的操作，回到选择过滤器界面，如图 4-17 所示。图 4-16 筛选器操作选择界面 16.将缺省的 IP 安全规则前面的对勾去掉，选择我们添加的“协商 ICMP” ，如图 4-17 所示，单击“应用”使得选择生效，至此，筛选器的规则和操作设置完毕。 ipsec 在企业网中的应用 20 图 4-17IP 安全规则选择界面 17.最后，必须指派策略，否则策略不会自动生效。点击“安全服务器”右键，选择“指派” ，如图 4-18 所示。图 4-18 指派策略至此，

42、主机 pc1 的 IPSEC 配置已经完成。按照同样的步骤设置主机 pc2 的 IPSEC 虚拟专用隧道。 ipsec 在企业网中的应用 21 4.2 IPSECVPN 基本应用【实验拓扑】图 4-1 实验拓扑图说明：防火墙 fw1、fw2 分别作为连个局域网内网 1、内网 2 的网关，且具有 VPN 功能；内网 1 和内网 2 中的主机可以相互通信；在两台网关连接的线路上有一台集线器，其连接的 pc3 用来分析 IPSEC 的协商过程，并捕获 pc1 和 pc2 通过虚拟专用网隧道传输的数据包加密后的 ESP/AH 报文。【实验步骤】 4.2.1 防火墙 fw1 的配置 1.进入

43、系统管理网络，配置接口地址，如图 4-2 所示。图 4-2fw1 接口地址进入防火墙地址，建立内网 1 地址对象，如图 4-3 所示。 ipsec 在企业网中的应用 22 图 4-3 地址对象 3.进入虚拟专用网IPSEC自动交换密钥（IKE）创建阶段 1，建立 IPSECVPN 第一个阶段，如图 4-4 所示。本阶段主要是建立通道名称，通道两端接口或地址及虚拟通道的协商方式，这里采用“预共享密钥” ，密钥为 123456.协商参数两端需保持一致。图 4-4VPN 阶段 1 4.进入虚拟专用网IPSEC自动交换密钥（IKE）创建阶段 2，建立 IPSECVPN 第二个阶段，如图 4-5 所示。本阶段主要设置双方交互数据方案，如加密算法、认证算法、密钥强度（这些参数双方要设置一致）及两个通信局域网的网络地址。 ipsec 在企业网中的应用 23 图 4-5VPN 阶段 2 5.进入路由静态静态路由新建，添加一条到 VPN 网关的缺省路由，如图 4-6 所示。接口为外网口 internal，网关为 internal 接口地址。图 4-6 添加缺省路由 6.进入防火墙策略，建立策略，如图 4-7 所示。模式选择 IPSEC，VPN 通道选择刚才建立的 test，允许数据流入和流出 VPN 通道。 ipsec 在企业网中的应用 24 图 4-7 新建输出策略 7.

展开阅读全文