畢業(yè)設(shè)計(jì)（論文）ipsec在企業(yè)網(wǎng)中的應(yīng)用論文

1、鄭州輕院輕工職業(yè)學(xué)院鄭州輕院輕工職業(yè)學(xué)院 專科畢業(yè)設(shè)計(jì)（論文） 題 目 _ipsec 在企業(yè)網(wǎng)中的安全應(yīng)用 學(xué)生姓名 專業(yè)班級(jí) 學(xué) 號(hào) 系 別 計(jì) 算 機(jī) 系 指導(dǎo)教師(職稱) 完成時(shí)間 2010 年 4 月 1 日 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 i ipsec 在企業(yè)網(wǎng)中的應(yīng)用 摘 要 ipsec(internet 協(xié)議安全)是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為 ip 網(wǎng)絡(luò)通信提 供透明的安全服務(wù)，保護(hù) tcp/ip 通信免遭竊聽(tīng)和篡改，可以有效抵御網(wǎng)絡(luò)攻擊， 同時(shí)保持易用性。ipsec 有兩個(gè)基本目標(biāo)：1）保護(hù) ip 數(shù)據(jù)包安全；2）為抵御 網(wǎng)絡(luò)攻擊提供防護(hù)措施。 ipsec 結(jié)合密碼保護(hù)服務(wù)、

2、安全協(xié)議組和動(dòng)態(tài)密鑰管理三者來(lái)實(shí)現(xiàn)上述兩個(gè) 目標(biāo)，不僅能為企業(yè)局域網(wǎng)與撥號(hào)用戶、域、網(wǎng)站、遠(yuǎn)程站點(diǎn)的通信提供強(qiáng)有 力且靈活的保護(hù)，而且還能用來(lái)篩選特定數(shù)據(jù)流。 本文主要講述了 ipsecvpn 安全可信網(wǎng)絡(luò)的發(fā)展趨勢(shì)、ipsec 的工作原理、 企業(yè)網(wǎng)拓?fù)浣Y(jié)構(gòu)和 ipsec 的基本配置和具體應(yīng)用。 關(guān)鍵字 ipsecvpn/網(wǎng)絡(luò)安全/防火墻/計(jì)算機(jī)安全/數(shù)據(jù)加密 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 ii abstract ipsec (internet protocol security) is an industry standard network security protocols, in o

3、rder to provide transparent ip network communications security services to protect the tcp / ip communications from eavesdropping and tampering, can effectively protect against network attacks, while maintaining ease of use. ipsec has two basic objectives: 1) protection of ip packet security; 2) to

4、provide protective measures against cyber-attacks. ipsec services combined with password protection, security and dynamic key management protocol to achieve the three objectives of the two, not only for the enterprise lan and dial-up users, domains, sites, remote sites to provide a powerful and flex

5、ible communication protection, but also can be used to filter specific data stream. this article describes a safe and reliable network ipsecvpn trends, ipsec works, network topological structure and the basic configuration ipsec and specific applications. key words ipsecvpn,networksecurity,firewalls

6、,computersecurity ipsec 在企業(yè)網(wǎng)中的應(yīng)用 iii 目錄 一、ipsecvpn 安全可信網(wǎng)絡(luò)的發(fā)展趨勢(shì)1 1.1 硬件 vpn 為主。軟件 vpn 為輔1 1.2 多功能和全功能的 vpn 網(wǎng)關(guān)2 1.3 更豐富的網(wǎng)絡(luò)功能、更高的產(chǎn)品性能2 1.4移動(dòng)客戶端安裝配置簡(jiǎn)化同時(shí)強(qiáng)化身份認(rèn)證功能3 1.5 標(biāo)準(zhǔn)化仍然是主流3 二、ipsec 原理4 2.1ipsec基本概念 4 2.1.1ipsec 基本概念 4 2.1.2ipsec 工作模式 5 2.1.3ipsec 中的安全關(guān)聯(lián) 7 2.2 基于 windows的 ipsec設(shè)計(jì)與實(shí)現(xiàn)8 2.2.1 技術(shù)解析8 2.2.2

7、 具體實(shí)現(xiàn)9 三、企業(yè)網(wǎng)組網(wǎng)方式10 3.1 路由模式10 3.2 單臂模式11 3.3 混合模式11 四、ipsec 實(shí)踐11 4.1 windows環(huán)境下 ipsec 的設(shè)置11 4.2 ipsecvpn 基本應(yīng)用21 4.2.1 防火墻 fw1 的配置21 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 iv 4.2.2 防火墻 fw2 的配置24 4.2.3 實(shí)驗(yàn)測(cè)試28 4.2.4 實(shí)驗(yàn)總結(jié)29 結(jié)束語(yǔ)30 致 謝31 參考文獻(xiàn)32 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 1 一、ipsecvpn 安全可信網(wǎng)絡(luò)的發(fā)展趨勢(shì) internet 可以到達(dá)全球任何一個(gè)角落，它為電子政務(wù)、電子商務(wù)和電子業(yè)務(wù) 的廣泛延伸提

8、供了一種靈活的、高成本效益的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)。要充分利用 internet，就必須確保業(yè)務(wù)通信和內(nèi)部網(wǎng)絡(luò)資源的安全性。另外，還要面對(duì)可用 性、可伸縮性和高性能的挑戰(zhàn)。vpn 為關(guān)鍵業(yè)務(wù)提供了可靠的性能和方便的擴(kuò) 展性，一個(gè)完整的 vpn 方案能夠在整個(gè)安全網(wǎng)絡(luò)架構(gòu)內(nèi)部簡(jiǎn)單地集成和管理。 為一個(gè)國(guó)際標(biāo)準(zhǔn)，ipsec 實(shí)際上并不是最近才推出的。通常意義上，一旦 一個(gè)技術(shù)變成了標(biāo)準(zhǔn)技術(shù)，往往意味著其發(fā)展到了盡頭。但是 vpn 作為融合安 全和通訊一體的技術(shù)，其發(fā)展并沒(méi)有由于其協(xié)議標(biāo)準(zhǔn)化而停滯不前。相反的， vpn 廠家通過(guò)多個(gè)方面的努力，不斷地把其他領(lǐng)域的技術(shù)引入 vpn 產(chǎn)品，進(jìn) 一步豐富功能。 總結(jié)

9、國(guó)內(nèi) ipsecvpn 發(fā)展的趨勢(shì)，可以歸納為以下幾點(diǎn)： 硬件網(wǎng)關(guān)為主，軟件 vpn 為輔，嵌入式系統(tǒng)是發(fā)展的主流； 網(wǎng)關(guān)基本功能模塊化，多功能一體化； 更豐富的網(wǎng)絡(luò)功能，更高的產(chǎn)品性能； 客戶端要求配置更簡(jiǎn)化，但是身份認(rèn)證功能要強(qiáng)化； 標(biāo)準(zhǔn)協(xié)議產(chǎn)品為主，非標(biāo)準(zhǔn)產(chǎn)品占據(jù)邊緣和特色化市場(chǎng)。 1.1 硬件 vpn 為主。軟件 vpn 為輔 現(xiàn)在市面上有以網(wǎng)關(guān)為主的硬件 vpn 產(chǎn)品，也有用 windows 作為基礎(chǔ)平 臺(tái)的軟件 vpn 產(chǎn)品。 按照 it 發(fā)展的規(guī)律，專項(xiàng)功能一般由專用的硬軟件一體化設(shè)備完成。特別 是通訊設(shè)備，一般都采用硬件網(wǎng)關(guān)。國(guó)外的 vpn 發(fā)展比較成熟，其產(chǎn)品構(gòu)成也 是以硬件

10、為主，軟件一般用于客戶端，讓移動(dòng)用戶也能夠連接到 vpn 網(wǎng)絡(luò)中。 基于硬件的 vpn，其優(yōu)點(diǎn)是顯而易見(jiàn)的： 硬件設(shè)備具有更高的網(wǎng)絡(luò)及 vpn 處理效率。vpn 硬件網(wǎng)關(guān)在 vpn 功能上 進(jìn)行了優(yōu)化，很多 vpn 網(wǎng)關(guān)還有加密加速功能，因此其處理效率很高。 專用設(shè)備具有更高的可靠性和穩(wěn)定性。由于采用專用的操作系統(tǒng)，并且啟 動(dòng)的程序和服務(wù)比較少，因此其可靠性和穩(wěn)定性很高，能夠滿足比較苛刻的商 業(yè)需求。 專用設(shè)備具有更高的安全性。通用的操作系統(tǒng)，由于其龐大復(fù)雜，而且為 了使用方便，開(kāi)放了很多的端口，網(wǎng)絡(luò)漏洞比較多。專用的系統(tǒng)可以關(guān)閉掉大 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 2 部分這種通用的網(wǎng)絡(luò)服務(wù)端

11、口，確保設(shè)備自身的安全。 就成本而言，硬件 vpn 比軟件 vpn 具有更好的性價(jià)比。雖然軟件 vpn 購(gòu) 買(mǎi)成本相對(duì)比較低，但是由于需要配套專門(mén)的服務(wù)器或者 pc 機(jī)，總體成本并 不低。 1.2 多功能和全功能的 vpn 網(wǎng)關(guān) vpn 的長(zhǎng)期發(fā)展趨勢(shì)一定是全功能或者多功能的網(wǎng)關(guān)。 假設(shè)用戶需要路由上網(wǎng)、vpn 連接、防火墻、voip、ids 等等功能，如果 每一項(xiàng)功能都需要一個(gè)專用設(shè)備的話，那么可能就要安裝 34 臺(tái)不同廠家的設(shè) 備。作為網(wǎng)管而言，要熟悉幾種不同風(fēng)格的產(chǎn)品，一旦出現(xiàn)問(wèn)題，還要分頭找 不同的廠商來(lái)解決。要是一家產(chǎn)品各項(xiàng)功能都能夠集成進(jìn)去，按照模塊方式來(lái) 配置，管理工作也就簡(jiǎn)化了

12、很多。這種需求代表了以后網(wǎng)關(guān)的發(fā)展趨勢(shì)，即要 求硬件網(wǎng)關(guān)多功能一體化。 近期的主要發(fā)展趨勢(shì)，首先是防火墻和 vpn 合二為一。實(shí)際上，很多防火 墻的產(chǎn)品，都宣稱支持 vpn。而很多的 vpn 產(chǎn)品，也都聲稱有防火墻功能。 vpn 和防火墻都是網(wǎng)關(guān)級(jí)的產(chǎn)品，但是其功能本質(zhì)上還是有區(qū)別的，vpn 要解 決節(jié)點(diǎn)之間的通訊問(wèn)題，本質(zhì)上屬于通訊設(shè)備，而防火墻解決的主要是安全性 問(wèn)題。無(wú)論是防火墻還是 vpn 網(wǎng)關(guān)，一般都安裝于網(wǎng)絡(luò)出口處，一個(gè)出口處安 裝兩個(gè)設(shè)備，本身就有一個(gè)配合問(wèn)題，雖然各 vpn 廠商都已解決了兼容性問(wèn)題， 但是如果兩者合二為一，問(wèn)題就簡(jiǎn)化了很多。 vpn 和防火墻的結(jié)合，為用戶提供

13、了良好的綜合功能網(wǎng)關(guān)。例如，國(guó)內(nèi)主 流的防火墻廠家天融信公司就選擇華盾 vpn 作為其戰(zhàn)略合作伙伴，從產(chǎn)品深層 次進(jìn)行了整合，可以無(wú)縫捆綁，高效運(yùn)營(yíng)。 如此發(fā)展下去，將會(huì)有更多的功能集成到網(wǎng)關(guān)中，例如：反病毒、 sslvpn、反垃圾郵件、proxy 代理、ids 等。這些功能被模塊化，然后被自由 組裝。 當(dāng)然，有利有弊。如果一個(gè)設(shè)備的功能太復(fù)雜，那么各項(xiàng)功能將會(huì)相互爭(zhēng) 奪網(wǎng)關(guān)的計(jì)算資源（內(nèi)存、cpu 等） 。同樣，太復(fù)雜的配置對(duì)于用戶也不是好 事情。這在家電行業(yè)早有先例，曾經(jīng)有廠商研發(fā)了 28 個(gè)功能的全功能錄像機(jī)， 說(shuō)明書(shū)就足有 1 斤重?？墒?，市場(chǎng)反應(yīng)很差，因?yàn)槿藗儼l(fā)現(xiàn)還是單一功能的錄 像

14、機(jī)簡(jiǎn)單好用。 1.3 更豐富的網(wǎng)絡(luò)功能、更高的產(chǎn)品性能 在 vpn 發(fā)展初期，人們只是把 vpn 作為一種簡(jiǎn)單的聯(lián)網(wǎng)方案，并不作過(guò) 多的要求。當(dāng) vpn 發(fā)展到一定階段以后，vpn 網(wǎng)關(guān)就越來(lái)越接近路由器，傳 統(tǒng)路由器的很多網(wǎng)絡(luò)特征，諸如動(dòng)態(tài) ip 地址適應(yīng)、ospf 協(xié)議等，都被逐步移 植到 vpn 網(wǎng)關(guān)上面，以使 vpn 網(wǎng)關(guān)更好地融入到原有的網(wǎng)絡(luò)體系之中。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 3 另外，對(duì)于性能指標(biāo)的追求是沒(méi)有止境的。vpn 產(chǎn)品往高端發(fā)展，性能指 標(biāo)要求越來(lái)越高。重要的性能指標(biāo)主要是以下幾個(gè)方面： 網(wǎng)絡(luò)性能。在明文的條件下，能夠達(dá)到千兆交換的速度。 加密速度。國(guó)內(nèi)主流的加密卡

15、速度基本都在百兆以下。但是隨著發(fā)展，國(guó) 產(chǎn)的加密芯片的加密速度也會(huì)逐步提升。另外，國(guó)外的加密芯片和板卡，能夠 提供更高的加密處理性能。 并發(fā)連接數(shù)。這是來(lái)自防火墻的性能指標(biāo)概念，同樣適用于 vpn 設(shè)備。主 流的 vpn 設(shè)備，出于基本的安全考慮，至少都帶有一個(gè)基于狀態(tài)跟蹤的防火墻。 因此，能夠處理的并發(fā)連接數(shù)，也是一項(xiàng)重要的性能指標(biāo)。 就高端產(chǎn)品而言，比較理想的指標(biāo)可以歸結(jié)為：千兆線性網(wǎng)絡(luò)速度、300m 以上的加密速度、50 萬(wàn)條以上的并發(fā)連接數(shù)。能夠滿足以上條件的網(wǎng)關(guān)，才能 夠滿足高端的應(yīng)用需要。 1.4移動(dòng)客戶端安裝配置簡(jiǎn)化同時(shí)強(qiáng)化身份認(rèn)證功能 vpn 客戶端用于很多 vpn 網(wǎng)絡(luò)中，一

16、般是移動(dòng)用戶或者單機(jī)接入 vpn 網(wǎng) 絡(luò)的末端節(jié)點(diǎn)。企業(yè)領(lǐng)導(dǎo)、業(yè)務(wù)人員、出差人員，可以隨時(shí)通過(guò) vpn 查詢企業(yè) 的內(nèi)部信息，如同在企業(yè)內(nèi)部辦公一樣。 由于移動(dòng)客戶端分布范圍很廣，并且使用者大多數(shù)并不具備很強(qiáng)的網(wǎng)絡(luò)調(diào) 試能力。因此，vpn 客戶端要易用，配置參數(shù)要簡(jiǎn)單。 在簡(jiǎn)化 vpn 客戶端配置的同時(shí)，也要強(qiáng)化其身份認(rèn)證機(jī)制?？雌饋?lái)似乎矛 盾，但是具有必要性。移動(dòng)用戶作為 vpn 網(wǎng)絡(luò)的末端節(jié)點(diǎn)通過(guò) internet 接入， 必須保證其身份的合法性，以免帶來(lái)安全隱患。 除了傳統(tǒng)的用戶名/口令、證書(shū)等方式以外，基于硬件特征信息的身份認(rèn)證 機(jī)制也得到了很多用戶的青睞。目前，普遍采用 usb-ke

17、y 和手機(jī) sim 卡作為 身份認(rèn)證的介質(zhì)，移動(dòng)用戶需要在 usb 口上插入 key 或手機(jī)，才能夠發(fā)起 vpn 連接。另外，基于計(jì)算機(jī)硬件特征的身份標(biāo)識(shí)，也得到了越來(lái)越多的應(yīng)用。 根據(jù)計(jì)算機(jī)硬件算出一個(gè)特征值，作為該節(jié)點(diǎn)此后認(rèn)證的依據(jù)。這樣，只有匹 配硬件特征的計(jì)算機(jī)可以使用這個(gè)身份連接到 vpn 網(wǎng)絡(luò)中。 1.5 標(biāo)準(zhǔn)化仍然是主流 現(xiàn)在國(guó)內(nèi)有一些廠商采用自定義的協(xié)議。非標(biāo)準(zhǔn)的 vpn 不受現(xiàn)有的標(biāo)準(zhǔn)約 束，可以隨心所欲地改動(dòng)。特別是純軟件 vpn 解決方案，可以充分利用 pc 機(jī) 的計(jì)算能力，具有更多的賣點(diǎn)。 但是，非標(biāo)準(zhǔn) vpn 也具有許多缺點(diǎn)：首先，自定義的通訊協(xié)議，安全性沒(méi) 有經(jīng)過(guò)充

18、分認(rèn)證，安全性和可靠性值得懷疑。ipsec 和其他的 vpn 標(biāo)準(zhǔn)，是在 國(guó)際上經(jīng)過(guò)長(zhǎng)時(shí)間考驗(yàn)，其標(biāo)準(zhǔn)的起草到正式發(fā)布，經(jīng)過(guò)了大量的論證和權(quán)衡。 絕對(duì)不是哪一家廠商自己定義一個(gè)協(xié)議就可以超越的。另外，非標(biāo)準(zhǔn) vpn 產(chǎn)品 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 4 無(wú)法和其他廠家的 vpn 設(shè)備互聯(lián)互通。 二、ipsec 原理 使用 internet 協(xié)議安全（internetprotocolsecurity，ipsec）是解決網(wǎng)絡(luò)安全 問(wèn)題的長(zhǎng)久之計(jì)。它能針對(duì)那些來(lái)自專用網(wǎng)絡(luò)和 internet 的攻擊提供重要的防線， 并在網(wǎng)絡(luò)安全性與便用性之間取得平衡。ipsec 是一種加密的標(biāo)準(zhǔn)，它允許在差 別很

19、大的設(shè)備之間進(jìn)行安全通信。利用 ipsec 不僅可以構(gòu)建基于操作系統(tǒng)的防 火墻，實(shí)現(xiàn)一般防火墻的功能。它還可以為許可通信的兩個(gè)端點(diǎn)建立加密的、 可靠的數(shù)據(jù)通道。 2.1ipsec 基本概念 2.1.1ipsec 基本概念 ipsec 通過(guò)使用基于密碼學(xué)的保護(hù)服務(wù)、安全協(xié)議和動(dòng)態(tài)密鑰管理，可以實(shí) 現(xiàn)以下這幾個(gè)目標(biāo)： 1、認(rèn)證 ip 報(bào)文的來(lái)源 基于 ip 地址的訪問(wèn)控制十分脆弱，因?yàn)楣粽呖梢院苋菀桌脗窝b的 ip 地址來(lái)發(fā)送 ip 報(bào)文。許多攻擊者利用機(jī)器間基于 ip 地址的信任，來(lái)偽裝 ip 地 址。ipsec 允許設(shè)備使用比源 ip 地址更安全的方式來(lái)認(rèn)證 ip 數(shù)據(jù)報(bào)的來(lái)源。 ipsec

20、 的這一標(biāo)準(zhǔn)稱為原始認(rèn)證（originauthentication） 。 2、保證 ip 數(shù)據(jù)報(bào)的完整性 除了確認(rèn) ip 數(shù)據(jù)報(bào)的來(lái)源，還希望能確保報(bào)文在網(wǎng)絡(luò)中傳輸時(shí)沒(méi)有發(fā)生變 化。使用 ipsec，可以確信在 ip 報(bào)文上沒(méi)有發(fā)生任何變化。ipsec 的這一特性稱 為無(wú)連接完整性。 3、確保 ip 報(bào)文的內(nèi)容在傳輸過(guò)程中未被讀取 除了認(rèn)證與完整性之外，還期望當(dāng)報(bào)文在網(wǎng)上傳播時(shí)，未授權(quán)方不能讀取 報(bào)文的內(nèi)容。這可以通過(guò)在傳輸前，將報(bào)文加密來(lái)實(shí)現(xiàn)。通過(guò)加密報(bào)文，可以 確保攻擊者不能破解報(bào)文的內(nèi)容，即使他們可以用偵聽(tīng)程序截獲報(bào)文。 4、確保認(rèn)證報(bào)文沒(méi)有重復(fù) 最終，即使攻擊者不能發(fā)送偽裝的報(bào)文，不能

21、改變報(bào)文，不能讀取報(bào)文的 內(nèi)容，攻擊者仍然可以通過(guò)重發(fā)截獲的認(rèn)證報(bào)文來(lái)干擾正常的通信，從而導(dǎo)致 事務(wù)多次執(zhí)行，或是使被復(fù)制報(bào)文的上層應(yīng)用發(fā)生混亂。ipsec 能檢測(cè)出重復(fù)報(bào) 文并丟棄它們。這一特性稱為反重傳（antireplay） 。 ipsec 建立在終端到終端的模式上，這意味著只有識(shí)別 ipsec 的計(jì)算機(jī)才能 作為發(fā)送和接收計(jì)算機(jī)。ipsec 并不是一個(gè)單一的協(xié)議或算法，它是一系列加密 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 5 實(shí)現(xiàn)中使用的加密標(biāo)準(zhǔn)定義的集合。ipsec 實(shí)現(xiàn)在 ip 層的安全，因而它與任何 上層應(yīng)用或傳輸層的協(xié)議無(wú)關(guān)。上層不需要知道在 ip 層實(shí)現(xiàn)的安全，所以在 ip 層不需要

22、做任何修改。 2.1.2ipsec 工作模式 ipsec 在 ip 報(bào)文中使用一個(gè)新的 ipsec 報(bào)頭來(lái)封裝信息，這個(gè)過(guò)程類似于 用一個(gè)正常的 ip 報(bào)文頭封裝上層的 tcp 或 udp 信息。新的 ipsec 報(bào)文包含 ip 報(bào)文認(rèn)證的信息，原始 ip 報(bào)文的內(nèi)容，可以根據(jù)特定應(yīng)用的需求選擇加密與否。 可以配置 ipsec 封裝完整的 ip 數(shù)據(jù)報(bào)或只是上層信息。如果配置為封裝整 個(gè) ip 數(shù)據(jù)報(bào)，那么它就工作在隧道模式（tunnelmode） 。如果配置為只封裝 ip 數(shù)據(jù)報(bào)中上層協(xié)議信息，那么它就工作在傳輸模式（transportationmode） 。如 圖 2-1、2-2 所示。

23、圖 2-1隧道模式 圖 2-2傳輸模式 除了 ipsec 模式之外，還有兩種 ipsec 的報(bào)頭： 認(rèn)證報(bào)頭：只用于認(rèn)證 ip 報(bào)文，對(duì)原始 ip 報(bào)文不做任何加密。 封裝安全負(fù)載：可以像認(rèn)證報(bào)頭那樣對(duì)原始 ip 報(bào)文實(shí)現(xiàn)認(rèn)證，并可以實(shí) 現(xiàn)加密。 1、認(rèn)證報(bào)頭 認(rèn)證報(bào)頭（authenticationheader，ah）為整個(gè)數(shù)據(jù)包（數(shù)據(jù)包中攜帶的 ip 報(bào)頭和數(shù)據(jù)）提供身份驗(yàn)證、完整性和防止重發(fā)，ah 還簽署整個(gè)數(shù)據(jù)包。因 為不加密數(shù)據(jù)，所以不提供機(jī)密性。數(shù)據(jù)可以讀取，但是禁止修改。ah 使用 hmac 算法來(lái)簽署數(shù)據(jù)包。 例如，使用計(jì)算機(jī) a 的 alice 將數(shù)據(jù)發(fā)送給使用計(jì)算機(jī) b 的

24、bob。ip 報(bào)頭、 ah 報(bào)頭和數(shù)據(jù)通過(guò)簽名來(lái)防止修改。這意味著 bob 可以確定確實(shí)是 alice 發(fā)送 的數(shù)據(jù)并且數(shù)據(jù)未經(jīng)修改。 完整性和身份驗(yàn)證通過(guò)在 ip 報(bào)頭和傳輸協(xié)議報(bào)頭（tcp 或 udp）之間放 置 ah 報(bào)頭來(lái)提供，如圖 2-3 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 6 圖 2-3ah 報(bào)文格式 2、封裝安全負(fù)載 封裝安全負(fù)載（encapaulatingsecuritypayload，esp）除了身份驗(yàn)證、完整 性和防止重發(fā)外，還提供機(jī)密性。除非使用隧道，否則 esp 通常不簽署整個(gè)數(shù) 據(jù)包，即通常只保護(hù)數(shù)據(jù)，而不保護(hù) ip 報(bào)頭。esp 主要使用 des 或 3des 加

25、 密算法為數(shù)據(jù)包提供保密性。 例如，使用計(jì)算機(jī) a 的 alice 將數(shù)據(jù)發(fā)送給使用計(jì)算機(jī) b 的 bob。因?yàn)?esp 提供機(jī)密性，所以數(shù)據(jù)被加密。對(duì)于接收，在驗(yàn)證過(guò)程完成后，數(shù)據(jù)包的 數(shù)據(jù)部分將被解密。bob 可以確定確實(shí)是 alice 發(fā)送的數(shù)據(jù)并且數(shù)據(jù)未經(jīng)修改， 其他人無(wú)法讀取這些數(shù)據(jù)。 安全性通過(guò)在 ip 報(bào)頭和傳輸協(xié)議報(bào)頭（tcp 或 udp）之間放置 esp 報(bào)頭 來(lái)提供，如圖 2-4 所示。 圖 2-4esp 報(bào)文格式 在上圖中，ip 和 esp 報(bào)頭封裝了最終的源和目的間的數(shù)據(jù)包。簽名區(qū)指 示數(shù)據(jù)包在這些地方進(jìn)行完整性保護(hù)。加密區(qū)指示整個(gè)原始數(shù)據(jù)包被加密。 下面，我們通過(guò)對(duì)比

26、的方法總結(jié)一下 ah、esp 的功能特性，見(jiàn)表 1。 表 1ipsec 安全報(bào)頭的特征 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 7 2.1.3ipsec 中的安全關(guān)聯(lián) 除了 ipsec 報(bào)頭之外，在安全的數(shù)據(jù)被交換之前，兩臺(tái)計(jì)算機(jī)之間必須先 建立一個(gè)契約。該契約稱為安全關(guān)聯(lián)（securityassociation，sa） 。在 sa 中，兩 臺(tái)計(jì)算機(jī)在如何交換和保護(hù)信息方面達(dá)成一致，如圖 2-5 所示。 安全關(guān)聯(lián)(sa)是策略和密鑰的結(jié)合，它定義用來(lái)保護(hù)端對(duì)端通訊的常規(guī)安 全服務(wù)、機(jī)制以及密鑰。sa 可以看成是兩個(gè) ipsec 對(duì)等端之間的一條安全隧道， 可以為不同類型的流量創(chuàng)建獨(dú)立的 sa。例如，當(dāng)一

27、臺(tái)計(jì)算機(jī)與多臺(tái)計(jì)算機(jī)同時(shí) 進(jìn)行安全性通訊時(shí)可能存在多種關(guān)聯(lián)。這種情況經(jīng)常發(fā)生在當(dāng)計(jì)算機(jī)是用作文 件服務(wù)器或向多個(gè)客戶提供服務(wù)的遠(yuǎn)程訪問(wèn)服務(wù)器的時(shí)候。一臺(tái)計(jì)算機(jī)也可以 與另一臺(tái)計(jì)算機(jī)有多個(gè) sa。例如：可以在兩臺(tái)主機(jī)之間為 tcp 建立獨(dú)立的 sa，并在同樣兩臺(tái)機(jī)器之間建立另一條支持 udp 的 sa。甚至可以為每個(gè) tcp 或 udp 端口建立分離的 sa。在這些情況下，接收端計(jì)算機(jī)使用安全參數(shù)索引 (spi)來(lái)決定將使用哪種 sa 處理傳入的數(shù)據(jù)包。spi 是一個(gè)分配給每個(gè) sa 的字 串，用于區(qū)分多個(gè)存在于接收端計(jì)算機(jī)上的安全關(guān)聯(lián)。 圖 2-5安全關(guān)聯(lián)（sa） 注意每個(gè) sa 可以使用不同

28、的安全協(xié)議?？梢栽趦蓚€(gè) ipsec 對(duì)等端之間只進(jìn) 行使用 ah 報(bào)頭的認(rèn)證，或是只進(jìn)行加密。ipsec 十分靈活，它可以支持多種選 擇。 為在兩臺(tái)計(jì)算機(jī)之間建立該契約，ietf 已經(jīng)建立了一個(gè)安全關(guān)聯(lián)和密鑰交 換方案的標(biāo)準(zhǔn)方法，它將 internet 安全關(guān)聯(lián)和密鑰管理協(xié)議(isakmp)以及 oakley 密鑰生成協(xié)議進(jìn)行合并。isakmp 集中了安全關(guān)聯(lián)管理，減少了連接時(shí) 間。oakley 生成并管理用來(lái)保護(hù)信息的身份驗(yàn)證密鑰。 為保證通訊的成功和安全，isakmp/oakley 執(zhí)行兩個(gè)階段的操作：密鑰交 換和數(shù)據(jù)保護(hù)。它通過(guò)使用在兩臺(tái)計(jì)算機(jī)上協(xié)商從而達(dá)成一致的加密和身份驗(yàn) 證算法保證

29、機(jī)密性和身份驗(yàn)證。這包括： ipsec 協(xié)議：ah、esp。 加密算法：des、3des、40 位 des 或無(wú)。 完整性算法：md5 或 sha。 身份驗(yàn)證方式：公鑰證書(shū)、預(yù)共享密鑰或 kerberosv5（windows2000 默 認(rèn)） 。 diffie-hellman 組。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 8 2.2 基于 windows 的 ipsec 設(shè)計(jì)與實(shí)現(xiàn) 由于歷史的原因，各企業(yè)都存在一些以前開(kāi)發(fā)的業(yè)務(wù)處理系統(tǒng)，這些業(yè)務(wù) 系統(tǒng)沒(méi)有考慮數(shù)據(jù)在局域網(wǎng)和廣域網(wǎng)傳輸時(shí)的機(jī)密性和完整性。要解決這些系 統(tǒng)數(shù)據(jù)的安全傳輸問(wèn)題，可以采用將應(yīng)用系統(tǒng)逐個(gè)改造，增加加密處理過(guò)程的 方法來(lái)實(shí)現(xiàn)，但這種

30、方法需要投入大量的人力和物力；也可以采用主機(jī)加裝硬 件加密裝置的方法實(shí)現(xiàn)，但這種方法需要增加大量的投資，并且擴(kuò)展性差。因 此，利用 ipsec 技術(shù)，在網(wǎng)絡(luò)層實(shí)現(xiàn)加密傳輸，適應(yīng)已有的各種應(yīng)用系統(tǒng)，保 護(hù)已有的投資，成為我們的首選。 2.2.1 技術(shù)解析 ipsec 協(xié)議是由 ietf 制定的一種基于 ip 協(xié)議的安全標(biāo)準(zhǔn)，用于保證 ip 數(shù) 據(jù)包傳輸時(shí)的安全性。ipsec 協(xié)議由安全協(xié)議（包括 ah 協(xié)議和 esp 協(xié)議） 、密 鑰管理協(xié)議（如 ike）以及認(rèn)證和加密算法組成。 ipsec 支持傳輸模式和隧道模式。傳輸模式主要為上層協(xié)議提供保護(hù)，即對(duì) ip 包的載荷進(jìn)行保護(hù)，通常用于兩個(gè)主機(jī)之

31、間的端對(duì)端通信。隧道模式提供對(duì) 所有 ip 包的保護(hù)，即將整個(gè) ip 包（含包頭和載荷）封裝，作為新的 ip 包的載 荷進(jìn)行傳送。 其中，封裝安全載荷是插入 ip 數(shù)據(jù)包內(nèi)的一個(gè)協(xié)議頭，以便為 ip 提供機(jī) 密性、數(shù)據(jù)源驗(yàn)證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。驗(yàn)證頭（ah）則用于 為 ip 提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗(yàn)證和一些可選的、有限的抗重播服務(wù)。 ike 是 ipsec 的自動(dòng)密鑰管理協(xié)議，它建立在 internet 安全關(guān)聯(lián)和密鑰管理協(xié)議 （isakmp）定義的框架上，定義出自己獨(dú)一無(wú)二的驗(yàn)證加密材料生成技術(shù)， 以及協(xié)商共享策略。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 9 2.2.2 具體實(shí)現(xiàn)

32、 目前，大部分單位的計(jì)算機(jī)都使用 windows2000/xp 操作系統(tǒng)，因此，我 們通過(guò)在 windows 主機(jī)上實(shí)現(xiàn) ipsec 來(lái)確保數(shù)據(jù)加密傳輸和認(rèn)證。我們采用 ndis 技術(shù)在網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層插入自己編寫(xiě)的模塊的方式實(shí)現(xiàn) ipsec。ndis 是一種網(wǎng)絡(luò)接口規(guī)范，它將網(wǎng)絡(luò)硬件抽象為網(wǎng)絡(luò)驅(qū)動(dòng)程序。它將用來(lái)管理硬件 的底層驅(qū)動(dòng)程序抽象為上層驅(qū)動(dòng)程序，也維護(hù)著狀態(tài)信息和網(wǎng)絡(luò)驅(qū)動(dòng)程序的參 數(shù)。 我們實(shí)現(xiàn)的 ipsec 系統(tǒng)包括管理模塊、ike 密鑰交換模塊和 ipsec 驅(qū)動(dòng)模塊。 其中：管理模塊實(shí)現(xiàn)對(duì)安全關(guān)聯(lián)數(shù)據(jù)庫(kù)（sad）和安全策略數(shù)據(jù)庫(kù)（spd）的 管理，也可以通過(guò) ike 模塊發(fā)起

33、密鑰交換；ike 密鑰交換模塊完成安全關(guān)聯(lián) （sa）建立、協(xié)商、修改和刪除等工作；ipsec 驅(qū)動(dòng)模塊完成安全策略查詢 （是否對(duì) ip 包進(jìn)行 ipsec 處理） ，ip 數(shù)據(jù)包的加/解密，數(shù)據(jù)包封裝/拆封等工作。 利用 ipsec 技術(shù)，在網(wǎng)絡(luò)層實(shí)現(xiàn) ip 數(shù)據(jù)包的加密傳輸和認(rèn)證，有效地彌補(bǔ) 了應(yīng)用系統(tǒng)安全傳輸機(jī)制的不足，既提高了系統(tǒng)的安全性，又延長(zhǎng)了應(yīng)用系統(tǒng) 的生命周期。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 10 三、企業(yè)網(wǎng)組網(wǎng)方式 3.1 路由模式 部署模式：充當(dāng)網(wǎng)關(guān)設(shè)備，或者將深信服 ipsecvpn 部署在路由器與交換 器之間。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 11 3.2 單臂模式 部署模

34、式：將深信服 ipsecvpn 部署交換機(jī)之下，此種模式下，仍然支持 多條 internet 線路復(fù)用。 3.3 混合模式 支持路由+單臂模式 四、ipsec 實(shí)踐 4.1 windows 環(huán)境下 ipsec 的設(shè)置 【實(shí)驗(yàn)拓?fù)洹?圖 4-1 實(shí)驗(yàn)拓?fù)鋱D ipsec 在企業(yè)網(wǎng)中的應(yīng)用 12 說(shuō)明：兩臺(tái)主機(jī)通過(guò)交換機(jī)或其它網(wǎng)絡(luò)設(shè)備連接，在兩臺(tái)主機(jī)上建立 ipsec 安全通道，對(duì)允許的通信進(jìn)行進(jìn)一步的安全設(shè)置，兩臺(tái)主機(jī)均為 windowsxp。 【實(shí)驗(yàn)步驟】 1.在主機(jī) pc1 上進(jìn)入 ipsec 配置界面。通過(guò)“開(kāi)始”“控制面板”“管理 工具”“本地安全策略”打開(kāi) ipsec 相關(guān)配置界面，選擇

35、“ip 安全策略，在本 地計(jì)算機(jī)上” ，如圖 4-2 所示。 圖 4-2 本地安全設(shè)置 默認(rèn)情況下 ipsec 的安全策略處于沒(méi)有啟動(dòng)狀態(tài)，必須進(jìn)行指定，ipsec 才能發(fā)揮作用。在 windows 環(huán)境下，ipsec 包含以下 3 個(gè)默認(rèn)策略，如圖 4-2 所示。 安全服務(wù)器：對(duì)所有 ip 通信總是使用 kerberos 信任請(qǐng)求安全。不允許與不 被信任的客戶端的不安全通信。這個(gè)策略用于必須采用安全通道進(jìn)行通信的計(jì) 算機(jī)。 客戶端：正常通信，默認(rèn)情況下不使用 ipsec。如果通信對(duì)方請(qǐng)求 ipsec 安全通信，則可以建立 ipsec 虛擬專用通道。只有與服務(wù)器的請(qǐng)求協(xié)議和端口 通信是安全的。

36、 服務(wù)器：默認(rèn)情況下，對(duì)所有 ip 通信總是使用 kerberos 信任請(qǐng)求安全。允 許與不響應(yīng)請(qǐng)求的客戶端的不安全通信。 2.定制 ipsec 安全策略。雙擊“安全服務(wù)器”策略，打開(kāi)添加 ipsec 策略 界面，如圖 4-3 所示。單擊“添加”進(jìn)入向?qū)?，單擊“下一步”按鈕打開(kāi)圖 4- 4。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 13 圖 4-3 添加 ipsec 策略 3.在本實(shí)驗(yàn)中，我們實(shí)現(xiàn)的是兩臺(tái)主機(jī)之間的 ipsec 安全隧道，而不是兩 個(gè)網(wǎng)絡(luò)之間的安全通信，因此，我們選擇“此規(guī)則不指定隧道” ，即選用傳輸模 式 ipsec,如圖 4-4 所示，然后點(diǎn)擊“下一步”按鈕。 圖 4-4 設(shè)置 ip

37、sec 的模式 4.進(jìn)入選擇網(wǎng)絡(luò)類型的界面。安全規(guī)則可以應(yīng)用到 3 種網(wǎng)絡(luò)類型：所有網(wǎng) 絡(luò)連接、局域網(wǎng)和遠(yuǎn)程訪問(wèn)。本實(shí)驗(yàn)中，我們選擇“所有網(wǎng)絡(luò)連接” ，如圖 4-5 所示，點(diǎn)擊“下一步”按鈕。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 14 圖 4-5 安全規(guī)則應(yīng)用的網(wǎng)絡(luò)類型 5.進(jìn)入身份認(rèn)證方法界面。在 windows 環(huán)境下提供了 3 種身份認(rèn)證的方法： kerberosv5、證書(shū)和預(yù)共享密鑰。我們選擇“預(yù)共享密鑰”并設(shè)定為 “yanqing”,如圖 4-6 所示，點(diǎn)擊“下一步”按鈕。 圖 4-6ipsec 身份認(rèn)證方法 6.進(jìn)入 ip 篩選器列表界面。在本實(shí)驗(yàn)中，我們對(duì) icmp 信息進(jìn)行協(xié)商，并

38、進(jìn)行加密保護(hù)。因此，我們制定了 icmp 篩選器，如圖 4-7，點(diǎn)擊“添加”按鈕。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 15 圖 4-7ip 篩選器列表選項(xiàng) 7.新添加的 ip 篩選器列表定義名稱為“協(xié)商 icmp”,如圖 4-8 所示。點(diǎn)擊 “添加”按鈕，定義新篩選器的屬性。 圖 4-8ip 篩選器列表 8.進(jìn)入向?qū)Ы缑?，單擊“下一步?。在本實(shí)驗(yàn)中，篩選器的源 ip 是“我的 ip”,目的 ip 是“任何 ip” ，協(xié)議類型是“icmp” ，如圖 4-9 所示。單擊“確定” 回到 ip 篩選器列表選項(xiàng)界面。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 16 圖 4-9ip 篩選器列表 9.選中新添加的篩選器“

39、協(xié)商 icmp” ，如圖 4-10 所示，然后點(diǎn)擊“下一步” ，進(jìn)入篩選器操作的相關(guān)設(shè)置界面。 圖 4-10ip 篩選器列表選項(xiàng) 10.缺省已有三種操作，如圖 4-11 所示，但不符合我們的要求。因此，單擊 “添加”按鈕進(jìn)入篩選器操作的設(shè)置界面。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 17 圖 4-11 篩選器操作選項(xiàng) 11.進(jìn)入設(shè)置向?qū)?，單擊“下一步?，設(shè)置篩選器操作的名稱，如圖 4-12 所 示。 圖 4-12 篩選器操作名稱 12.在這里我們可以對(duì)新篩選器操作的細(xì)節(jié)進(jìn)行設(shè)置。其中，可以選擇許 可、阻止對(duì)符合ip 篩選器的數(shù)據(jù)流進(jìn)行過(guò)濾。這可以簡(jiǎn)單的實(shí)現(xiàn)一個(gè)普通 防火墻的功能。除此之外，如果選擇

40、協(xié)商安全還可以對(duì)允許的通信進(jìn)行進(jìn)一 步的安全設(shè)置。單擊“下一步” ，打開(kāi)界面圖 4-14。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 18 圖 4-13 篩選器操作 13.為了通信安全，與之要求通信的其他主機(jī)必須支持 ipsec，因此，我們 選擇“不和不支持 ipsec 的計(jì)算機(jī)通信” ，單擊下一步，打開(kāi) ip 通信安全設(shè)施 設(shè)置界面，如圖 4-15 所示。 圖 4-14ipsec 操作設(shè)置 14.選擇自定義，進(jìn)行具體設(shè)置，如圖 4-15 所示。單擊“確定” ，完成操作 設(shè)置并回到選擇操作界面，如圖 4-16 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 19 圖 4-15 自定義安全措施設(shè)置 15.選中自定義的

41、“協(xié)商 icmp”操作，如圖 4-16，單擊“下一步”完成操 作器的操作，回到選擇過(guò)濾器界面，如圖 4-17 所示。 圖 4-16 篩選器操作選擇界面 16.將缺省的 ip 安全規(guī)則前面的對(duì)勾去掉，選擇我們添加的“協(xié)商 icmp” ， 如圖 4-17 所示，單擊“應(yīng)用”使得選擇生效，至此，篩選器的規(guī)則和操作設(shè)置 完畢。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 20 圖 4-17ip 安全規(guī)則選擇界面 17.最后，必須指派策略，否則策略不會(huì)自動(dòng)生效。點(diǎn)擊“安全服務(wù)器”右 鍵，選擇“指派” ，如圖 4-18 所示。 圖 4-18 指派策略 至此，主機(jī) pc1 的 ipsec 配置已經(jīng)完成。按照同樣的步驟設(shè)置

42、主機(jī) pc2 的 ipsec 虛擬專用隧道。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 21 4.2 ipsecvpn 基本應(yīng)用 【實(shí)驗(yàn)拓?fù)洹?圖 4-1 實(shí)驗(yàn)拓?fù)鋱D 說(shuō)明：防火墻 fw1、fw2 分別作為連個(gè)局域網(wǎng)內(nèi)網(wǎng) 1、內(nèi)網(wǎng) 2 的網(wǎng)關(guān)，且具 有 vpn 功能；內(nèi)網(wǎng) 1 和內(nèi)網(wǎng) 2 中的主機(jī)可以相互通信；在兩臺(tái)網(wǎng)關(guān)連接的線路 上有一臺(tái)集線器，其連接的 pc3 用來(lái)分析 ipsec 的協(xié)商過(guò)程，并捕獲 pc1 和 pc2 通過(guò)虛擬專用網(wǎng)隧道傳輸?shù)臄?shù)據(jù)包加密后的 esp/ah 報(bào)文。 【實(shí)驗(yàn)步驟】 4.2.1 防火墻 fw1 的配置 1.進(jìn)入系統(tǒng)管理網(wǎng)絡(luò)，配置接口地址，如圖 4-2 所示。 圖 4-2f

43、w1 接口地址 進(jìn)入防火墻地址，建立內(nèi)網(wǎng) 1 地址對(duì)象，如圖 4-3 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 22 圖 4-3 地址對(duì)象 3.進(jìn)入虛擬專用網(wǎng)ipsec自動(dòng)交換密鑰（ike）創(chuàng)建階段 1，建立 ipsecvpn 第一個(gè)階段，如圖 4-4 所示。本階段主要是建立通道名稱，通道兩 端接口或地址及虛擬通道的協(xié)商方式，這里采用“預(yù)共享密鑰” ，密鑰為 123456.協(xié)商參數(shù)兩端需保持一致。 圖 4-4vpn 階段 1 4.進(jìn)入虛擬專用網(wǎng)ipsec自動(dòng)交換密鑰（ike）創(chuàng)建階段 2，建立 ipsecvpn 第二個(gè)階段，如圖 4-5 所示。本階段主要設(shè)置雙方交互數(shù)據(jù)方案， 如加密算法、認(rèn)證算法

44、、密鑰強(qiáng)度（這些參數(shù)雙方要設(shè)置一致）及兩個(gè)通信局 域網(wǎng)的網(wǎng)絡(luò)地址。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 23 圖 4-5vpn 階段 2 5.進(jìn)入路由靜態(tài)靜態(tài)路由新建，添加一條到 vpn 網(wǎng)關(guān)的缺省路由，如 圖 4-6 所示。接口為外網(wǎng)口 internal，網(wǎng)關(guān)為 internal 接口地址。 圖 4-6 添加缺省路由 6.進(jìn)入防火墻策略，建立策略，如圖 4-7 所示。模式選擇 ipsec，vpn 通 道選擇剛才建立的 test，允許數(shù)據(jù)流入和流出 vpn 通道。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 24 圖 4-7 新建輸出策略 7.進(jìn)入虛擬專用網(wǎng)ipsec動(dòng)態(tài) vpn 監(jiān)視器，單擊隧道后面的開(kāi)通隧道圖

45、 標(biāo)，開(kāi)啟后圖標(biāo)變成綠色，由于 fw2 還沒(méi)有開(kāi)啟隧道，可能單擊后仍是 紅色。如圖 4-8 所示。 圖 4-8 動(dòng)態(tài) vpn 監(jiān)視器 4.2.2 防火墻 fw2 的配置 1.進(jìn)入系統(tǒng)管理網(wǎng)絡(luò)，配置接口地址，如圖 4-9 所示。 ipsec 在企業(yè)網(wǎng)中的應(yīng)用 25 圖 4-9fw2 接口地址 2.進(jìn)入防火墻地址，建立內(nèi)網(wǎng) 2 地址對(duì)象，如圖 4-10 所示。 圖 4-10 地址對(duì)象 3.進(jìn)入虛擬專用網(wǎng)ipsec自動(dòng)交換密鑰（ike）創(chuàng)建階段 1，建立 ipsecvpn 第一個(gè)階段，如圖 4-11 所示。本階段主要是建立通道名稱，通道兩 端接口或地址及虛擬通道的協(xié)商方式，這里采用“預(yù)共享密鑰” ，密鑰為 123456.協(xié)商參數(shù)與 fw1 保持一致。 圖 4-11vpn 階段 1 4.進(jìn)入虛擬專用網(wǎng)ipsec自動(dòng)交換密鑰（ike）創(chuàng)建階段 2，建立 ipsecvpn 第二個(gè)階段，如圖 4-12 所示。本階段主要設(shè)置雙方交互數(shù)據(jù)方案， 如加密算法、認(rèn)證算法、密鑰強(qiáng)度（這些參數(shù)雙方要設(shè)置一致