IPSECVPN论文.docVIP

IPSEC-VPN在企业网架构中的部署及应用论文 信息学院 1104 班 费华珍 摘要：IPsecVPN是网络层的VPN技术，它独立于应用程序，以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后，就可以实现各种类型的连接，如Web、电子邮件、文件传输、VoIP等，每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议，对应用层协议完全透明。本文主要讲述了IPSECVPN安全可信网络的发展趋势、IPsec的工作原理、企业网拓扑结构和IPsec的基本配置和具体应用。 关键词：IPSEC-VPN 网络安全 远程接入 加密技术 企业网架构 VPN简介 （1）VPN概念及原理 VPN（Virtual Private Network,虚拟专用网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的））,是指应用公共网 络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的）创建私有专用网络（网络就是用物理链路将各个 孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的） （2）VPN采用的技术 VPN主要采用了两种技术：隧道技术和安全技术。隧道技术现在主要有三种协议支持：PPTP,L2TP和IPSec。隧道技术原因是完成IP数据包的二 次封装,以实现企业私有地址在公网上的传输。为了确保传输的安全,必要一定的安全加密本领,以确保数据的私密性和完整性。安全技术主要有MPPE、 IPSec等加密算法。 （3 ）VPN的优势 在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全性。这一优势对于实现电子商务或金融网络与通讯网络的融合将有特别重要的意义。 利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率，有助于增加ISP （Internet Service Provider ，Internet 服务提供商）的收益。只需要通过软件配置就可以增加、删除VPN用户，无需改动硬件设施。这使得VPN的应用具有很大灵活性。 针对不一样的用户要求,VPN有三种处理方案（进行工作的具体计划或对某一问题制定的规划）：远程访问 虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN）,这三种类型的VPN分别与曾经的远程访问网络（网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信 的目的）、企业内部的Intranet和企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。 IPsec简介 （1）IPsec概念及理 IPSec（Security Architecture for IP network,IP层协议安全结构）,在IP层提供安全办事。在隧道和加密的技术上,IPSec已成为IP安全的一个应用广泛、开放的VPN安全协议, 可确保运行在TCP/IP协议上的VPN之间的互操纵性。IPsec定义了一套用于保护私有性和完整性的标准协议,支持相关系列加密算法如DES、 3DES。他检查传输的数据包的完整性,以确保数据没有被修改,具有数据源认证功能。 （2）IPsec目标 　IPSec通过使用基于密码学的保护服务、安全协议和动态密钥管理，可以实现以下这几个目标： 1、认证IP报文的来源 基于IP地址的访问控制十分脆弱，因为攻击者可以很容易利用伪装的IP地址来发送IP报文。许多攻击者利用机器间基于IP地址的信任，来伪装IP地址。IPSec允许设备使用比源IP地址更安全的方式来认证IP数据报的来源。IPSec的这一标准称为原始认证（OriginAuthentication）。 2、保证IP数据报的完整性 除了确认IP数据报的来源，还希望能确保报文在网络中传输时没有发生变化。使用IPSec，可以确信在IP报文上没有发生任何变化。IPSec的这一特性称为无连接完整性。 3、确保IP报文的内容在传输过程中未被读取 除了认证与完整性之外，还期望当报文在网上传播时，未授权方不能读取报文的内容。这可以通过在传输前，将报文加密来实现。通过加密报文，可以确保攻击者不能破解报文的内容，即使他们可以用侦听程序截获报文。 4、确保认证报文没有重复 最终，即使攻击者不能发送伪装的报文，不能改变报文，不能读取报文的内容，攻击者仍然可以通过重发截获的认证报文来干扰正常的通信，从而导致事务多次执行，或是使被复制报文的上层应用发生混