關(guān)于基礎(chǔ)知識(shí)介紹
是什么?
(Virtual Private Network, 虛擬專(zhuān)用網(wǎng)絡(luò))是一個(gè)建立在公用網(wǎng)(通常是因特網(wǎng))上的專(zhuān)用網(wǎng)絡(luò),但因?yàn)檫@個(gè)專(zhuān)用網(wǎng)絡(luò)只是邏輯存在并沒(méi)有實(shí)際物理線路,故稱(chēng)為虛擬專(zhuān)用網(wǎng)。
隨著因特網(wǎng)的發(fā)展壯大,越來(lái)越多的數(shù)據(jù)需要在因特網(wǎng)上進(jìn)行傳輸共享,當(dāng)企業(yè)將自身網(wǎng)絡(luò)接入因特網(wǎng)時(shí),各地的辦事處等外部站點(diǎn)可以很方便地訪問(wèn)企業(yè)網(wǎng)絡(luò),但同時(shí)也把企業(yè)內(nèi)部的私有數(shù)據(jù)暴露給因特網(wǎng)上的其他用戶(hù)。于是在這種開(kāi)放的網(wǎng)絡(luò)環(huán)境上搭建專(zhuān)用線路的需求日益強(qiáng)烈,應(yīng)運(yùn)而生。
通過(guò)隧道技術(shù)在兩個(gè)站點(diǎn)間建立一條虛擬的專(zhuān)用線路,使用端到端的認(rèn)證和加密保證數(shù)據(jù)的安全性。典型拓?fù)淙缦聢D所示:
什么是封裝與隧道?
封裝是指將一種協(xié)議承載在另一種協(xié)議中進(jìn)行傳輸?shù)募夹g(shù),如PPTP就是將PPP報(bào)文封裝在GRE協(xié)議中。協(xié)議B為被承載協(xié)議,GRE為承載協(xié)議。
隧道指被承載協(xié)議的傳輸通道。
什么是PPTP?
點(diǎn)對(duì)點(diǎn)隧道協(xié)議,是在PPP協(xié)議的基礎(chǔ)上開(kāi)發(fā)的一種新的增強(qiáng)型安全協(xié)議,可以使遠(yuǎn)程用戶(hù)安全方便的訪問(wèn)企業(yè)網(wǎng)絡(luò)。PPTP屬于二層隧道協(xié)議。
什么是L2TP?
二層隧道協(xié)議(L2TP(Layer 2 Tunneling Protocol),是由IETF起草,微軟、Cisco等公司參予制定的二層隧道協(xié)議。
PPTP與L2TP區(qū)別是什么?
PPTP與L2TP適用于經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的環(huán)境,出差員工利用Internet可以很方便的和公司的網(wǎng)關(guān)建立私有的隧道連接。PPTP、L2TP提供認(rèn)證加密功能,可提高網(wǎng)絡(luò)的安全性。如下圖所示,出差員工通過(guò)PPTP 連接至總部網(wǎng)絡(luò)。
什么是IPsec ?
IPsec(IP安全)是一系列服務(wù)和協(xié)議的集合,是由IETF制定的三層隧道加密協(xié)議,它為Internet上數(shù)據(jù)的傳輸提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源認(rèn)證等方式,可以保證雙方數(shù)據(jù)的完整性與機(jī)密性。
數(shù)據(jù)完整性:IPSec接收方對(duì)發(fā)送方發(fā)送來(lái)的包進(jìn)行認(rèn)證,以確保數(shù)據(jù)的完整性。
數(shù)據(jù)機(jī)密性:IPSec發(fā)送方在通過(guò)網(wǎng)絡(luò)傳輸包前對(duì)數(shù)據(jù)包進(jìn)行加密,可以保證數(shù)據(jù)的安全性。
數(shù)據(jù)來(lái)源認(rèn)證:IPSec接收方可以認(rèn)證IPSec報(bào)文的發(fā)送方是否合法。
為了實(shí)現(xiàn)安全的通信,通信雙方的IPsec協(xié)議必須協(xié)商用于編碼數(shù)據(jù)的具體算法,數(shù)據(jù)格式的安全提議,并通過(guò)IKE交換解密編碼數(shù)據(jù)所需的密鑰。
IPsec中有兩個(gè)重要的安全協(xié)議,AH(Authentication Header)和ESP(Encapsulating Security Payload)。
什么是AH?
AH是認(rèn)證頭協(xié)議,主要提供的功能有數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能,可選擇的認(rèn)證算法有MD5、SHA-1等。AH報(bào)文頭插在標(biāo)準(zhǔn)IP包頭后面,保證數(shù)據(jù)包的完整性和真實(shí)性,防止黑客截獲數(shù)據(jù)包或向網(wǎng)絡(luò)中插入偽造的數(shù)據(jù)包。
什么是ESP?
ESP是報(bào)文安全封裝協(xié)議,與AH協(xié)議不同的是,ESP將需要保護(hù)的用戶(hù)數(shù)據(jù)進(jìn)行加密后封裝到IP包中,可以保證數(shù)據(jù)的機(jī)密性。
常見(jiàn)的加密算法有DES、3DES、AES等。
可以選擇MD5、SHA-1算法保證報(bào)文的完整性和真實(shí)性。
AH和ESP可以單獨(dú)使用,也可以配合使用。設(shè)備支持的AH和ESP聯(lián)合使用的方式為:先對(duì)報(bào)文進(jìn)行ESP封裝,再對(duì)報(bào)文進(jìn)行AH封裝,封裝之后的報(bào)文從內(nèi)到外依次是原始IP報(bào)文、ESP頭、AH頭和外部IP頭。
目前TL-ER6120支持AH或者ESP,不支持“AH+ESP”。
驗(yàn)證算法
AH和 ESP都能夠?qū)?IP報(bào)文的完整性進(jìn)行驗(yàn)證, 以判別報(bào)文在傳輸過(guò)程中是否被篡改。驗(yàn)證算法是通過(guò) Hash函數(shù)。Hash函數(shù)是一種能夠接受任意長(zhǎng)的消息輸入,并產(chǎn)生固定長(zhǎng)度輸出的算法,該輸出稱(chēng)為消息摘要。IPsec 對(duì)等體計(jì)算摘要,如果兩個(gè)摘要是相同的,則表示報(bào)文是完整未經(jīng)篡改的。IPsec 使用兩種驗(yàn)證算法:
MD5:MD5通過(guò)輸入任意長(zhǎng)度的消息,產(chǎn)生 128bit的消息摘要。
SHA-1:SHA-1通過(guò)輸入長(zhǎng)度小于 2的 64次方比特的消息,產(chǎn)生 160bit的消息摘要。
加密算法
ESP能夠?qū)?IP報(bào)文內(nèi)容進(jìn)行加密保護(hù),防止報(bào)文內(nèi)容在傳輸過(guò)程中被窺探。加密算法實(shí)現(xiàn)主要通過(guò)對(duì)稱(chēng)密鑰系統(tǒng),它使用相同的密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密。
IPsec常用的三種加密算法:
DES:使用 56bit的密鑰對(duì)每個(gè) 64bit的明文塊進(jìn)行加密。
3DES:使用三個(gè) 56bit的 DES密鑰(共 168bit密鑰)對(duì)明文進(jìn)行加密。3DES具有更高的安全性,但其加密數(shù)據(jù)的速度要比 DES慢。
AES(Advanced Encryption Standard):可以實(shí)現(xiàn) 128bit、192bit和 256bit密鑰長(zhǎng)度的 AES算法。
什么是IKE?
在 IPsec 中,為了保證信息的私密性,通信雙方需要使用彼此都知道的信息來(lái)對(duì)數(shù)據(jù)進(jìn)行加密和解密,所以在通信建立之初雙方需要協(xié)商安全性密鑰,這一過(guò)程便由 IKE (Internet Key Exchange, 互聯(lián)網(wǎng)密鑰交換)協(xié)議完成。
IKE 其實(shí)并非一個(gè)單獨(dú)的協(xié)議,而是三個(gè)協(xié)議的混合體。這三個(gè)協(xié)議分別是 ISAKMP (Internet Security Association and Key Management Protocol, 互聯(lián)網(wǎng)安全性關(guān)聯(lián)和密鑰管理協(xié)議),該協(xié)議為交換密鑰和 SA (Security Association, 安全聯(lián)盟)協(xié)商提供了一個(gè)框架;Oakley 密鑰確定協(xié)議,該協(xié)議描述了密鑰交換的具體機(jī)制;SKEME安全密鑰交換機(jī)制,該協(xié)議描述了與 Oakley 不同的另一種密鑰交換機(jī)制。
整個(gè) IKE 協(xié)商過(guò)程被分為兩個(gè)階段。第一階段,通信雙方將協(xié)商交換驗(yàn)證算法、加密算法等安全提議,并建立一個(gè) ISAKMP SA,用于在第二階段中安全交換更多信息。第二階段,使用第一階段中建立的 ISAKMP SA 為 IPsec的安全性協(xié)議協(xié)商參數(shù),創(chuàng)建 IPsec SA,用于對(duì)雙方的通信數(shù)據(jù)進(jìn)行保護(hù)。
IKE為IPSec提供自動(dòng)協(xié)商交換密鑰、建立和維護(hù)SA的服務(wù),以簡(jiǎn)化IPSec的使用和管理。IPSec所使用的策略和算法等可以手工協(xié)商,IKE并不是必須的。
DH(Diffie-Hellman)交換及密鑰分發(fā) :Diffie-Hellman 算法是以蒂夫-海曼的名字命名的一種公共密鑰算法。通信雙方在不傳送密鑰的情況下通過(guò)交換一些數(shù)據(jù),計(jì)算出共享的密鑰。加密的前提是交換加密數(shù)據(jù)的雙方必須要有共享的密鑰。
PFS(Perfect Forward Secrecy)完善的前向安全性: PFS特性是一種安全特性,由于密鑰間沒(méi)有派生關(guān)系,即使一個(gè)密鑰被解除,并不影響其他密鑰的安全性。
IPSec主要用在站點(diǎn)到站點(diǎn)(分支結(jié)構(gòu)到分支機(jī)構(gòu))的方案中。如下圖,總部與分支機(jī)構(gòu)各部署一臺(tái)網(wǎng)關(guān),做好相應(yīng)配置后,分支機(jī)構(gòu)與總部的內(nèi)網(wǎng)間可實(shí)現(xiàn)透明互訪,又可保證通信的安全性。