基于IPSec协议的VPN安全网关的设计与实现

胡天麟

（绵阳教育科技有限公司，四川 绵阳 621000）

0 引 言

IPSec（IP Security）协议产生于IPv6制定过程中，将IPSec协议与VPN有机结合，基于IPSeC协议设计VPN网关可以更加有效地保障网络通信安全，降低企业成本。因此，探讨基于IPSec协议的VPN安全网关对于提高Internet网络的安全性意义重大。

1 基于IPSec协议的VPN安全网关功能设计

在实践中需要采取有效的安全策略让VPN安全网关具备相应的安全防护功能才能有效保障网络安全，因此，需要设计基于IPSec的VPN安全网关的功能，具体包括：（1）数据保护功能；（2）访问控制功能；（3）网络跟踪监控功能；（4）辅助安全功能。

2 基于IPSec协议的VPN安全网关总体结构设计

在分析VPN安全网关功能的基础上，提出基于IPSec协议的VPN网关基本结构[1]，如图1所示。

图1 基于IPSec协议的VPN安全网关结构

从图1可知，安全网关的功能可以划分为检测、防御、控制、处理四大块。其中主要由防火墙提供防御，由入侵检测系统实现检测，通过丢弃、转发、进行PISec加密和认证三个安全策略实现处理功能。一旦发现入侵，系统会给出告警通知管理员进行安全防护，并在日志中自动记录入侵相关信息。控制功能模块则是VPN安全网关的核心功能模块，其主要作用是协调系统中各个子模块，因此其实现前提是其他子模块顺利实现。通过分析网关安全需求可知，其需要同时提供防御、检测、处理、控制的功能，并根据各功能模块选用合适的网络技术加以实现。有效的数据安全处理可以更加有效地保障敏感数据的安全。因此，除了让安全网关具备基本功能之外，还可以利用IPSec处理模块实现VPN中的数据安全传输，有效提高VPN安全网关的安全性。

3 基于IPSec协议的VPN安全网关硬件实现

基于IPSec协议的VPN安全网关的硬件构成[2]，如图2所示。

图2 基于IPSec协议的VPN安全网关硬件构成

（1）主处理器。经由扩展总线、PCI与其他设备进行数据交换，提供程序运行所需的调用指令，进行数据运算等。

（2）协处理器。通常用于高速处理数据的场景，主要作用是辅助主处理器完成控制指令，进行数据运算。在本次设计的基于IPSec协议的VPN安全网关中加入协处理器的目的就是更加高效地处理海量地网络数据，减轻主处理器的压力，提升系统的运行效率。

（3）存储器。和个人计算机中的存储器一样，本文设计的VPN安全网关中存储器的主要任务是缓存数据。

（4）PCI总线及扩展总线。其主要作用是在各种硬件设备中传递数据、地址、指令等信息。

（5）管理控制模块。VPN安全网关模块较多，结构较为复杂，为高效协调各个模块，必须要有一个可以高效管理调度各个模块的模块。

（6）接口。通过接口可以将外部的设备与VPN安全网关连接起来，接口应该符合工业标准。例如，以太网接口的作用是使VPN安全网关与网络连接。本次设计的VPN安全网关硬件平台需要两个以太网接口，一个用于连接内网，另一个用于连接公网络。

（7）高速串口。通过高速串口可以快速读取存储器中的数据。

（8）数据处理模块。本次设计的VPN安全网关硬件平台实用的数据处理模块以网络服务处理模块为基础的，如果应用防火墙的安全网关需要过滤数据就可以通过数据处理模块实现。

（9）IPSec处理模块。通过这个模块可以在VPN网关中应用IPSec协议进行数据加密和验证。

4 基于IPSec协议的VPN安全网关软件实现

IPSec可以作为VPN安全网关的标准协议，可以提供更加安全的加密认证手段，以提高VPN的安全性。首先，加密算法选择。本次设计的VPN安全网关的应用场景为中小企业，其安全级别不像军队、科研等部门那么高，因此可以用加密速度快、安全性较高的DES算法。其次，密钥管理协议选择。本次研究选用因特网安全关联与密钥管理协议（ISAKMP）管理密钥。最后，认证方法选择。实现IPSec协议时要验证数据的完整性，目前常用的验证方法包括HMAC-MD5、HMAC-SHA-1算法。前者验证步骤相对简单，因此得到更广泛的应用。本次研究设计的基于IPSec协议的VPN安全网关软件拓扑图[3]，如图3所示。

图3 基于IPSec协议的VPN安全网关系统拓扑图

来自主机A的数据需要先经过VPN网关1的处理才能出网，在此过程中依据VPN的安全策略数据库（Security Policy Database）SPD对数据进行转发或者对数据进行IPSec处理，数据经过处理之后再通过端口传输到外网internet。到达主机B所在网络，再由VPN网关2查询SPD，进行数据处理，还原数据并将其传输至目的主机。这里的VPN的SPD由管理员根据实际情况利用GUI接口配置。如有必要还可以在VPN网关上加入防火墙、入侵检测、安全扫描等安全防护技术。VPN安全网关系统可以分为用户、基础配置、内核。其中用户部分主要包括系统配置信息，如在网关管理解密中新增VPN隧道的名称、服务器地址、加密算法、完整性验证算法、密钥交换机制等信息，构成VPN的安全策略，完成配置后将自动生成VPN安全策略存储在SPD中。基础配置包括系统、日志审计等信息的配置，如系统更新时间、通信记录等。内核包括策略、判断、处理等部分，策略部分由SPD提供。

5 结 论

本文探讨了基于IPSec协议的VPN安全网关的设计与实现，在设计VPN安全网关时采用IPSec协议可以有效提高VPN网关的安全性。