广州电信数据分局 黄峥嵘
随着许多企业业务的扩展,企业分支也在不断扩展,从同一个城市到遍布全国各地,甚至向全球发展。广泛的分支,也为企业的部门领导带来了新问题,如何将各分支与中心实现数据、话音、视频业务互通呢?一种方便、经济、灵活、安全的方式随着Internet的发展应运而生,这就是企业的IPSec VPN。
IPSecVPN就是在IP传输上通过加密隧道的方式,用公网传送内部专网的内容,传输时保证内部数据的安全性。
IPSec 是IETF(因特网工程任务组)于1998年11月公布的IP安全标准,目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全。IPSec对于IPv4是可选的,对于IPv6是强制性的。
IPSec在IP层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。IPSec可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、虚拟专用网络(VPN)和安全隧道技术。
当IPsec用于路由器时,就可以建立虚拟专用网。在路由器的连内部网的一端,如图所示,是一个受保护的网络,另一端则是不安全的公共网络。两个这样的路由器建立起一个安全通道,通信就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一个VPN。
在这个VPN中,每一个具有IPsec的路由器都是一个网络聚合点,试图对VPN进行通信分析将会失败。目的地是VPN的所有通信都经过路由器上的SA来定义加密或认证的算法和密钥等参数,即从VPN的一个路由器出来的数据包只要符合安全策略,就会用相应的SA来加密或认证加上AH或ESP报头。整个安全传输过程由IKE控制,密钥自动生成,保护子网内的用户根本不需要考虑安全,所有的加密和解密由两端的路由器全权代理。
基于IPsec的VPN实现有以下优点:
1、在IP层增加AH或ESP头实现网络安全使得通信安全可靠。
2、IKE协议可以自动产生需要的SA,并且SA的生存期非常短,使得破译更加困难。
3、定义安全策略方便灵活,只需要在配置文件里进行编辑,就可以实现安全策略。例如如果一种算法被破解,立刻换另一种算法。目前AH支持HAMC-MD5、HAMC-SHA1,ESP支持DES-CBC、TRI-DES-CBC、 BLOWFISH-CBC、CAST128-CBC。
IPsec的提出使得VPN有了更好的解决方案,这是因为在网络层就进行安全服务,使得密钥协商的开销被大大削减了,这是由于多种传送协议和应用程序可共享由网络层提供的密钥管理结构IKE。其次,假如网络安全服务在较低层实现,那么需要改动的应用程序就要少得多。IPsec是目前惟一一种能为任何形式的Internet通信提供安全保护的协议,因此,可以预见,未来的VPN实现方案将会更多地利用IPsec。
----《通信信息报》