IPSEC技术-盘古文库

IPSEC技术

来源：莲生三十二

作者：开心麻花

2025-09-18

IPSEC技术（精选8篇）

IPSEC技术第1篇

众所周知, IP或TCP/IP协议是互联网Internet发展的基础。IP协议最可取的内涵与作用在于其充分的开放透明性与灵活有效的多业务增值能力。然而, 在开放透明的同时, 也往往更容易“充分暴露”, 自然也容易受到攻击。目前, 黑客、病毒似乎愈杀愈烈, 泛滥成灾, 已成为安全计算及IP网络安全运作的头等隐患。调查结果显示:2010年, 72.16%的被调查单位发生过信息网络安全事件, 与2009年相比有大幅上升, 计算机感染病毒的比例为60%[1]。虽然中国广大联网单位和计算机用户的网络安全防范意识明显增强, 联网单位网络安全管理水平也有所提高, 但由于新病毒层出不穷也令用户防不胜防。

2. IP协议的不安全性

当前的互联网是基于IP协议的网络, IP协议采用一种简单的定址方案, 并提供了“无连接”服务。但是由于IP协议在设计之初只注意了它的开放性而没有考虑安全方面的因素, 天生就不安全。目前在Internet上运行的IP均未对安全选项进行处理, 黑客可以通过信息包探测、IP电子欺骗、连接截获、rePlay攻击 (是一种不断发相同序列号的包, 使系统崩溃的攻击方法) 等方法来进行攻击, 这意味着黑客很容易便可伪造出IP包的地址修改其内容, 重播以前的包以及在传输途中拦截并查看包的内容。因此, 我们很难确信收到的IP数据报到底是不是真的来之于我们预期的发送方, 也很难确定到底有否被他人查看过或修改过[2]。为了构建安全的IP网络, 1995年8月Internet工程任务组IETF公布了一系列关于IPSec的建议标准, 其目标就是把安全集成到IP层, 以便对Internet的安全业务提供底层的支持。如今IPSec协议己成为新一代Internet的安全标准, 它可以“无缝”地为IP引入安全特性, 并对数据源提供身份验证、数据安全完整性检查以及机密性保证机制, 可以防范数据受到来路不明的攻击。由于是处于网络层的安全协议, IPSec协议可被上层的任何协议所使用, 如TCP、UDP、ICMP、BGP等等。IPSec的设计既适用于IPv4又适用于IPv6, 它在IPv4中作为一个建议的可选服务, 对于IPv6是一项必需支持的功能。

3. IPSec协议的安全性

IPSec协议可以说是IP协议的完美的安全补丁, IPSec协议所提供的安全扩展很好的修正了IP协议的安全缺陷。IPSec协议主要为IP网络提供了如下四方面的安全性:

1) 身份验证:即确保IP报文来源于合法的、安全的数据发送者, 以防止不合法身份的使用者通过伪造身份进入并劫持网络。

2) 保护数据的完整性:IPSec协议可以保证网络中的数据接受者收到的IP报文是未被截断或修改的。如若IP报文在数据的发送、传输过程中被篡改了, 则IPSec协议可以通过特定的完整性算法检测出来, 从而可以告知数据的接受者丢弃该不安全的IP报文。

3) 保证数据的保密性:保密性可确保只有预期的接收方才能读出数据。该特性是通过在传输前将数据加密实现的, 这样可确保即使数据报被监视或破解, 也无法在传输过程中读取数据, 只有具有预期的通讯计算机才能在解密后读取该数据。

4) 防止重放攻击:确保每个IP数据报的唯一性。反重播也称为防止重播。防重播可确保攻击者截获的数据无法重新使用或重播, 从而不能非法建立会话或获取信息。该属性可防止截取消息并可能在数月以后使用相同的消息来非法获取对资源的访问权。

4. IPSec协议的体系结构

IPsec是一种协议套件, 由两大部分组成: (1) 建立安全分组流的密钥交换协议; (2) 保护分组流的协议[3]。前者为互联网安全连接和密钥交换 (ISAKMP) 协议。后者包括加密分组流的封装安全载荷协议 (ESP协议) 或认证报头协议 (AH协议) 协议, 用于保证数据的机密性、来源可靠性 (认证) 、无连接的完整性并提供抗重播服务。IPsec的基本结构如下图1:

基于IPsec的IP网络在通信之前, 通信双方 (主机或路由器) 首先要验证对方的身份, 这个过程由ISAKMP协议 (安全连接与密匙管理协议) 来实现。ISAKMP协议首先根据保存在安全策略数据库 (SPD) 中安全策略使用预共享密匙或证书等方式验证对方的身份, 从而确定是否联机进行通信。如若通过身份验证要建立联机通信, 则通信双方进行协商安全通信所需的一些参数, 如认证使用的算法及key值、加密用的算法及key值等。安全协商成功则通信双方之间将建立安全连接 (SA) , 从确保通信双方的通信安全。SA是以SA记录的形式保存在SAD数据库中的, 一条SA记录代表的是一个单一方向通信, 若要进行双向的通信, 则需要建立两个SA。SPD和SAD中的记录是以特定的格式保存的, 并由解释域 (DOI) 负责解释其含义。

IPsec使用验证报头协议 (AH) 可对整个IP数据报 (IP报头与数据报中的数据) 提供身份验证、完整性与抗重播, 但是AH不提供保密性, 即它不对数据进行加密。封装安全有效负载协议 (ESP) 除了具有身份验证、完整性和抗重播功能外还可以为IP数据报中的数据 (不包括IP报头) 提供保密性。ESP可以独立使用, 也可与AH组合使用。

5. IPSec协议的实施

IPSec可在终端主机、网关/路由器或两者中同时进行实施和配置。至于IPSec到底在网络的什么地方配置, 则由用户对安全保密的要求来决定。如图2所示, 在主机实施可以保障端到端的安全性, 也能够实现所有的IPSec安全模式。

注:虚线框表示IPSec提供的安全保护区域

如图3所示, 在路由器中实施, 可在网络的一部分中对传输的数据报进行安全保护, 能对通过公用网络 (比如互联网) 在两个子网之间流动的数据提供安全保护, 能进行身份验证, 并授权用户进入私用网络。

IPSec协议通过为每个数据报添加其自己的安全协议报头, 为每个IP数据报提供数据与标识的保护。IPSec有两种工作模式:隧道模式和传输模式[4]。通常在主机实施IPSec时, IPSec工作在传输模式, 而在网关/路由器实施IPSec时, IPSec工作在隧道模式[5]。

6. 总结

在网络安全的重要性被提到一个新的高度的今天, IPSec安全协议在网络通信中的作用是不言而喻的。IPSec在IPv4中是作为一个建议的可选服务的, 对于工Pv6是一项必需支持的功能。新版IPsec协议在多个方面做了改进, 但IPsec的实施模式却是应用IPsec到实际网络的关键一环, 细分网络安全需求, 量身定制最为合适的IPsec实施模式是非常重要的。当然, 有效保护网络安全与信息安全, 必须依靠其他多种技术的有机配合, 比如认证体系、加密体系、密钥分发体系、可信计算体系等。

参考文献

[1]国家计算机病毒应急处理中心.2010年全国信息网络安全状况与计算机及移动终端病毒疫.http://www.antivirus-china.org.cn/

[2]王欲静.IP安全性与IPSec协议的研究[D].郑州大学, 2002

[3]陈庆章, 赵小敏.TCP/IP网络原理与技术[M].北京:高等教育出版社, 2008

[4]蹇成刚.IP分组网络安全分析及IPSec技术.计算机与网络[J].2010, (17) :42-44

IPSEC技术第2篇

关键词：无线局域网；通信安全；IPSec；Windows 7

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2010) 16-0000-02

IPSec Application on Wireless Network Security

Guo Yongqiao

(China Electronics Technology Group Corporation,NO.54 Institute,Shijiazhuang050081,China)

Abstract:How to be correctly use IPSec in a wireless network,communication on wireless network security is crucial.

Keywords:Wireless LAN;Communication security;IPSec;Windows 7

以无线局域网为例，对IEEE802.11的无线局域网体系结构进行一番分析，并且对基于IPSec的无线局域网的安全实现做了一番详细的介绍，同时对IPSec AES在无线局域网中的应用实现也进行了一番详细的描述，通过方案来寻找今后还需攻克的难关，则对无线网络通信安全中IPSec的正确应用显得至关重要。

一、IPSec概述

IPSec是一个用来保证IP网络数据通信安全性的开放式协议的基本框架，IPSec作为虚拟专网的基础，是一系列基于IP网络并且由Internet工程任务组IETF正式定制的开放性IP安全标准，其技术已经相当成熟与可靠。这个安全协议作为虚拟专用网的基本加密协议，为数据在公用网上进行传输时提供安全保障。

IPSec通过提供一些服务来对通过公共IP网络传送的私有数据进行保护，所提供的服务主要有访问控制、数据源认证、机密性和有限传输流量的机密性以及无连接完整性和抗重播等。

IPSec通过传输模式和隧道模式这两种不同的模式进行运作。其中传输模式是指网络中的数据时如何发送和加密的。在这种模式下，IPSec提供终端到终端的传输安全性。在隧道模式下，它仅仅在网关之间或隧道点上对数据进行加密，并且提供了网关到网关的传输安全性。

IPSec可以对所有IP级的通信进行加密和认证，这是IPSec的主要优点，通过IPSec的这一主要特征，其可以确保多种应用程序的安全，其中包括远程登录、电子邮件、客户/服务器、文件传输以及Web访问。

二、IPSec在无线局域网通信安全中的应用

（一）IEEE802.11无线局域网体系结构分析

IEEE802.11协议是在1997年推出的作为IEEE得无线局域网制定的标准，它是无线局域网领域内的第一个能在国际上被认可的协议。IEEE802.11协议主要针对介质访问控制层和网络物理层这两方面进行了规定，同时它还定义了无线站点和无线接入点这两种类型的设备。

由于物理层和数据链路层是802.11无线局域网体系结构中主要的两方面，所以目前无线局域网的安全技术研究也主要针对这两层。

对于物理层而言，要想获得良好的抗噪声干扰性能，可以采取直接对序列进行扩频的方法，同时使用跳频扩频则可以对攻击者的攻击难度进行增加；而红外线传输方式则可以避免无线电波的干扰。对于数据链路层而言，安全机制主要通过认证、加密等手段在MAC管理子层实现，这也是目前无线网络安全上研究的重点，如目前的无线网络安全协议WEP就比较实用。

无线网络的安全同有线网络一样，也是一种系统问题，其层次上不能依靠某一层或某几层的安全机制便是对其最好的体现。对物理层和数据链路层的安全机制加以利用外，为了加强无线网络的安全性，我们还可以利用网络层的安全机制，同时以基于网络层的安全协议IPSec为中心思想，对目前的无线网络安全协议WEP进行了一番重要的补充。

（二）基于IPSec无线局域网的安全实现

1.认证头AH的设计和实现

在对认证头AH进行设计和实现时，完整性检查ICV报文鉴别码支持HMAC-MD5-96和HAMC-SHA1-96，对AH处理进行发送时，便可依据已作出的具体流程圖得到实现。

2.封装安全载荷ESP的设计和实现

在对封装安全载荷ESP进行设计时，可以通过找到嵌入式Windows 7内核中的IP层数据包中接收、转发和最终发送的模块，并且对其进行一定的修改从而实现对数据包的处理。换句话说，就是将相应的实现ESP和AH安全协议处理的函数插入这些模块中。在Linux内核中，ip_rcv（）是IP层数据包的接收模块，ip_queue_xmit（）和ip_build_xmit（）是IP层数据包的发送模块。在ip_rcv（）中对ESP进行实现时，dowith_vpn（）完成对数据包的处理工作。由于一个完整的IP数据包才能对IPSec进行处理，因此就需要对内核的代码进行一定的修改来使其对每一个它所收到的IP数据包进行提前的重组，为的是能收到一个完整的数据包。

在对ip_queue_xmit（）中的ESP进行实现时，本机上层传过来的数据包会由ip_queue_xmit（）进行发送，所有的TCP数据包，IGMP数据包以及大部分的UDP数据包被包括其中。在ip_build_xmit（）对ESP进行实现时，其主要是对ICMP数据包和对一部分的UDP数据包进行处理。对于ICMP数据包，ip_build_xmit（）只对其进行过滤而不加密，而对于UDP数据包的处理，就和ip_queue_xmit（）中的具体处理流程一样。当然值得注意的是，ip_build_xmit（）和ip_queue_xmit（）对数据包的处理还有一定的区别。

3.密钥管理的设计和实现

在用户空间中，自动密钥管理模块和用户管理模块是运行的主要模块。能够为系统提供灵活并且安全的密钥和安全关联生成方法的模块是自动密钥管理模块；在系统不对自动密钥管理模块进行启动时，用户管理模块就会让用户对需要的安全关联进行手工建立，且对各种密钥进行设置。同时还可以在内核的IPSec和自动密钥管理模块运行时对运行参数进行实时地修改，从而对其运行发生进行改变。一个完整的VPN系统的人机接口便是用户管理模块。

三、IPSec AES在无线局域网中的实现

（一）IPSec AES在无线局域网中的作用

由于DES加密算法现在已经被黑客所破解，AES算法便成为目前相对来说较为安全的加密算法。所以，将AES加密算法融入到IPSec当中，将会丰富现有的加密算法集，并且还可以提供三种不同的密钥选择，这不仅使加密强度得到提高，而且还增加了加密的灵活性以及对无线IP数据的保护进行了加强。把这种机制和算法在WLAN无线局域网的终端进行实现，具有相当高的科研和商业价值。

（二）IPSec AES在无线局域网中的实现

我们开采时采用的编译环境是交叉编译环境，采用的开发模式是宿主机和目标机，其中宿主机运行的操作系统是Windows XP，目标机运行的是嵌入式Windows 7的操作系统。完整的协议栈我们的无线局域网终端设备已经具备了，其中包括应用层、传输层、网络层以及MAC和PHY，IPSec机制就可以在上面进行构建。

四、总结

本文主要介绍了IPSec在无线网络通信安全中的主要应用，根据IEEE802.11无线局域网存在的安全缺陷，对提出的基于IPSec和VPN的无线局域网的改进方案的实现问题进行了一番细致的介绍，即基于IPSec的无线局域网的安全实现问题，其中包括内核空间中IPSec包处理模块所包含的AH和ESP的设计实现问题，以及对用户空间中的密钥管理问题加以设计实现。

同时本文还提出了IPSec AES在无线局域网中的实现方案，从程序上实现了IPSec AES在WLAN终端设备上的移植。今后的工作重点也便是对具有无线局域网终端设备的硬件加密卡和无线接入点单独的AES加密算法的高端配置进行设计探究。

当然，由于第三代蜂窝移动通信核心网络正在向IP网络演进，接入网的一部分便是无线局域网络，所以IP网络的安全将显得越来越重要。虽然IPSec是专门基于IP协议的Internet而制定的安全标准，但是其完全用在无线局域网上显然比较复杂，同时由于其对无线站点有一定要求，因此对电源和运算能力等有限的移动设备来说无疑是一个较大的难题。而IPSec协议本身具有的一些不足之处，也成为今后要解决的难题。

参考文献：

[1]雅默.构建嵌入式Windows 7系统.中国电力出版社,2006,10

[2]邓林.WLAN安全技术的比较[J].电信建设,2007,2

IPSEC技术第3篇

组建计算机网络的目的是为处理各类信息的计算机系统提供一个良好的运行平台。网络可以为计算机信息的获取、传输、处理、利用与共享提供一个高效、快捷、安全的通信环境和传输通道。网络安全技术从根本上来说, 就是通过解决网络安全存在的问题, 来达到保护在网络环境中存储、处理与传输的信息安全的目的。

1 Ipsec

是一种拥有可靠的数据、“重重哨卡”的严密的防护和有着开放性的结构, 高质量的网络安全保护协议标准, 是现如今安全性最高的, 国际上应用最为广泛的网络安全协议, 它通过无缝为IP引入安全服务和2个报头协议 (即AH协议和ESP协议) 分别提供数据的认证和数据的完整性、保密性和安全性。

1.1 安全结构

1.1.1由2个报头AH和ESP组成的安全协议, 协议的主要职责是保护网络使用过程中通信的流畅快捷, 和传输安全。

1.1.2安全联盟SA是安全协议都不能忽略的重要结构, 是IPsec的基础, 记录着每一条通路的参数。

1.1.3密钥管理协议与VPN的密匙管理功能大不相同, 后者是保管密匙, 而前者是交换技术, 提供安全的共享信息。

1.2 IPsec的工作模式

只有两种, 不管是加密还是认证都一样, 要么传输模式, 要么就是隧道模式。

1.2.1 传输模式

传输模式比较“自私”, 这种模式下IPsec的工作对象只针对IP数据包的有效负载执行任务。

1.2.2 隧道模式

与上一种模式恰恰相反, 隧道模式是一种很“博爱”的模式, 工作对象包括整个IP数据包, 对它们进行加密和认证。

其工作原理如图。

2 VPN的关键技术

VPN即Virtual Private Network, 翻译成中文是指, 虚拟专用网。是集隧道技术、加解密技术、密匙管理技术等多种网络安全技术技术的综合统一体。其技术主要通过运用各类网络技术手段让使用者可以分享公共网, 实现企业间安全共享地域互联。

2.1 隧道技术

实现VPN的最关键部分是在公网上建立虚信道, 而建立虚信道是利用隧道技术实现的, IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接, 如PPTP, L2TP, 其特点是协议简单, 易于加密, 适合远程拨号用户;第三层隧道是IPinIP, 如IPsec, 其可靠性及扩展性优于第二层隧道, 但没有前者简单直接。隧道是利用一种协议传输另一种协议的技术, 即用隧道协议来实现VPN功能。为创建隧道, 隧道的客户机和服务器必须使用同样的隧道协议。

2.2 加解密技术

是VPN最基本的技术之一, 也是现代数据通信中较早开发的技术, 因此有较成熟的技术以供使用。

2.3 密匙管理技术

密匙管理相当于保险柜钥匙的保管的功能, 保障使用者的数据在公共网中传递时不被第三方窃取或窥看。

2.4 身份认证技术

顾名思义, 即是对使用者身份的认证, 常见的方式有用户名与密码的配对, 还有验证码的正确输入等。

3 IPsec VPN技术

基于IPsec的VPN技术, 就是基于IPsec安全保护协议来实现跨地域接入的虚拟专用网技术, 用来提供公网和专网端对端的加密验证服务的技术, 起到了过滤防火墙的作用。IPsec VPN技术是迄今为止唯一一种能与随意任何一种形式的网路通信匹配接入安全保障的安全保护协议。基于IPsec协议的VPN技术充分利用了安全协议的优势。

4 应用

VPN的特殊技术帮助用户跨地域间的数据的传送和共享, 保护数据安全的同时还降低了传输的用户间流转数据的成本和城域网、远程网连接上的花费。而且, 这项技术还具有商业服务价值, 使得企业公司在网络上的投资、商业贸易等有关资金的流转有了安全保障, 有效地实现了远程操控。另外, 出差人员可以通过这项技术随时随地访问公司资源信息。

5 总结

VPN的出现解决了网络安全的很多问题。如今, 世界500强中有许多企业愿景把VPN作为远端分支和移动用户连接的主要手段, 构件企业虚拟业务网, 而国内大量企业也已经开始考虑现在的这种方式, 并逐渐开始实施。

摘要：本文通过对IPsec和VPN概念以及二者主要的运作方式的简单阐述, 研究介绍了基于IPsec的VPN技术的应用。

关键词：计算机网络安全问题 (Ipsec) ,VPN

参考文献

[1]彭俊, 王福昌.虚拟专用网 (VPN) 技术[J].广东通信技术, 2001.

[2]Martin W.Murhammer, et al著.孔雷、刘云新译.虚拟私用网技术[M].清华大学出版社, 2000.

[3]Steven Brown著.钟鸣, 魏允韬等译.虚拟专用网的创建与实现[M].机械工业出版社, 2000.8.

[4]王二平, 王刚, 张兴忠.支持多站点的网站内容管理系统开发实例[J].电脑开发与应用, 2009 (08) .

IPSEC技术第4篇

1 运用IPSec技术构建MPLS VPN安全保障体系

1.1 转发层面设计

图1为基于IPSec技术MPLS VPN安全保障体系的通信模型, 在处理PE处数据资源的过程中, 要从入口PE与出口PE两方面入手, 在实际通信中, 其系统通信属性具有双向性, 同一个PE带有入口与出口两种属性。对于入口PE而言, 入口PE会从紧邻的CE上进行IP报文接收, 接收报文后会经由查询VRF、封装VPN标签、查询IPSec安全连接数据库、ESP封装、取出骨干网标签、封装骨干网标签, 最后进行MPLS分组, 进而进入骨干网下一环节操作。在IP报文处于PEI时, PEI要按照IP报文AC明确VPN地址。在出口PE中, 分组到达骨干网进行数据传输的过程中, PE2接收到IP报文是已经封装后的, IPSse要对IP报文进行解封装处理, 针对移动用户VPN标签的验证结果进行数据处理, 同时根据VPN进行VRF查询, 再次明确报文归属地attachment circuit, 进而为MPLS VPN系统运行提供重要的安全保障。

1.2 控制层面

为了实现控制层面的功能, 首先要构建核心路由表, 其工作流程为PE-P-PE, 针对系统骨干网运行的核心路由器, 要遵循传统路由形式, 利用IGP协议进行路由通告, 进而实现核心路由表的构建, 其结构形式如图2所示。在执行LDP的过程中, 要对现有的各个转发等价类进行标签分配, 将其储存在标签信息库中。标签信息库中的所有标签都要利用LDP会话进行数据传输, 以达到通告所有路由器的目的。设计人员可以借助LDP/CD-LDP的形式, 采用下游自主的手法分发标签, 利用这样的方式不仅可以使得路由器报文成功通过标签交换, 进入到下一跳, 同时无需进行IP层信息检索, 进而达到路由查询的目的。其次, 决定VRF转发。在VRF转发过程也是系统完成路由学习的过程, 为了确定VPN路由属性与资源量, 要先从路由目标RT方面着手, 一般情况下, 一个PE路由器只能安装一条VPN路由, 其中包含多个VRF, VRF和VPN路由的路由目标属性、输入目标等方面大致相同。对此, 在实际模型构建的过程中, 要在PE入口处将不满足条件的路由进行过滤。

1.3 VRF系统构建

VRF即为虚拟路由器转发实例, 在实际应用的过程中, VRF是site在PE上的主要代表, 同时作为系统运行实体, 在接口管理与用户命令中进行事件接收。在VRF系统设计中, 创建VRF的同时要为其拟定名字, 配置RD、import Targets等基本设置功能, 将这些系统程序纳入到VRF链表中, 并根据对拟定的题目进行系统排序, 以便于对其应用程序的查询, 防止出现由于名字重复而出现查询失败的情况。同时, 在实际设计的过程中, VRF要和RD始终保持一一对应的状态, 其中RD可以接受两种传输格式, 分别是形为AA:NNNN的自治系统+4字节编号、形为A.B.C.D:NN的IP地址+2字节编号。

2 IPSce加密系统在MPLS VPN安全保障中的应用

2.1 加密算法

在MPLS VPN运行中, IP本身没有任何的安全保护, 网络入侵者会利用数据包嗅探、会话截获以及IP电子欺骗的方式对系统进行攻击, 使得数据包在实际传输的过程中被篡改或者是被偷窥, 进而引发数据传输安全问题。对此, IPSec协议很好地解决这一问题, 内设三层加密结构可以有效保证数据包传输过程中的安全性。对于加密算法而言, 主要包括对称型加密、不对称型加密以及单向散列算法。对称型加密主要通过单个密钥进行传输数据的加密工作与解密工作, 由于计算量相对较小, 在实际应用中具有极高的效率性。但要求数据传输双方要同时使用统一的密钥, 这就弱化密钥传播与分发中安全程度。不对称型加密包括公用密钥与私有密钥两种, 在实际使用的过程中, 只有二者相互搭配进而实现加密、解密功能。公开密钥可以进行公开发布, 只有私有密钥可以对公开密钥中的数据进行解密、加密处理, 除此之外别无他法, 进而具有极高的安全性。单向散列算法建立在单向函数的基础上, 在实际使用的过程中单向散列算法具有单向函数的特性, 只能针对一个方向进行加密计算, 从变性长度输入发展为固定长度输出。也正是这一特性, 若只运用单向散列算法会导致系统运行出现安全问题。对此, 可以加入其他加密算法进行公共运行, 对散列值加密处理, 进而保证数据包传输中的高效加密。

2.2 密钥交换技术

在加密系统运行的过程中, 对称算法与对称MAC要有统一的共享密钥, 除了实验阶段与系统调试阶段之外, 设计人员不能手工进行网络隧道密钥配置, 这样很容易会形成加密安全漏洞。对此, 设计人员可以利用Diffie-Helllman密钥交换技术, 以离散对数问题为基础, 构建公共密钥加密系统。这种方式可以在极不安全的环境下, 为数据交换双方拓展一条安全的传输共享通道, 防止交换信息被第三方盗取, 提高密钥管理的自动化水平, 进而保证IPSce加密系统运行质量。

3 结语

本文通过对IPSec技术运用在MPLS VPN安全保障中的研究, 让我们知道了IPSec具有极高的隧道加密功能, 为网络数据传输提供了高质量、客户操作、基于密码学的安全保证, 有效提高数据资源传输的效率和质量。本文在分析运用IPSec技术构建MPLS VPN安全保障体系的基础上, 从IPSce加密系统中的加密算法、密钥交换技术等方面入手, 不断优化和完善IPSec技术, 进而为MPLS VPN系统运行提供重要的安全保障。

摘要：IPSec技术对MPLS VPN系统运行具有非常重要的意义和作用, 能够高MPLS VPN的运行安全性。基于此, 主要以IPSec技术为核心, 探究IPSec技术在MPLS VPN安全保障中的运用, 为相关研究人员提供一定的实践依据。

关键词：IPSec技术,MPLS VPN,安全保障

参考文献

[1]范亚芹, 张丽翠, 马强.IPSec技术在MPLS VPN安全保障中的应用[J].吉林大学学报:信息科学版, 2012 (1) :6-9.

[2]罗刚.MPLS VPN安全性及其在贵州电力调度数据网中的应用研究[D].贵阳:贵州大学, 2014.

[3]王向明.IPSec接入路由型MPLS VPN业务开放技术方案及建议[D].北京:北京邮电大学, 2015.

[4]刘婷.MPLS VPN在IP承载网中的应用及安全策略研究[D].杭州:杭州电子科技大学, 2016.

IPSEC技术第5篇

1 高校网络的现状分析

1.1 网络安全性问题

1)非法信息、病毒的存在:校园网规模的不断扩大,网络内的接入点不断增多,这为网络内非法信息的传播提供了条件,同时病毒的流行也有扩大的可能。如何保证校园内网络的信息合法和安全性,也要保证外部传输来的信息安全成为解决网络问题的当务之急。

2)黑客攻击:校园网在扩大的同时,不可避免会出现黑客攻击的问题,虽然设置防火墙等安全措施,但由于规模的扩大,设备的缺陷,或多或少会被黑客攻击,这些攻击又可能造成设备故障造成网络的安全性降低,因此高水平的黑客是校园要防范的问题之一。

1.2 高校网络的常规安全解决办法

1)设置防火墙:“防火墙”是计算机网络中用于防范外部攻击的常用手段,不论是软件或硬件都可以作为防火墙设施,在校园网络中设置防火墙是采用的必要手段之一。

2)建立适当的账号管理机制

账号安全的安全是最重要的,但也最容易出现问题尤其在高校网络中。因为学生人数太多,不可能分配很特殊的上网账号和密码。常规解决办法有禁用登录时间、禁止远程登录、审核登录账号的操作细节、设置更安全的密码等措施。

3)禁用一些端口和服务:服务器中开放的常用端口外,禁用一些不需要的端口,以防止非法的访问或试探,一些不用的服务停用,这样可以减少不安全的访问和攻击。

4)网络划分为子网:在网络管理中,可以通过VLAN将网络按功能划分成若干子网,区别教师网络和学生网络,细化办公管理网络,在一定程度上减少网络互访问性,增加网络安全。

以上的存在的问题和解决的办法,面对着日益庞大的校园网络有些捉襟见肘。网络的资源有些是公开的,有些是有权限的,而地域范围和计算机的数目在不断扩大。因此,对于范围扩大的网络VPN技术和IPSec技术是解决跨区域范围实现局域网络互访的良好解决方案,下面介绍一下两种技术的特点。

2 VPN、IPSec技术

2.1 VPN

VPN,意为虚拟专用网络,利用公网来构建专用网络,网络运行于共享的IP网之上,通过建立数据隧道来完成数据通信,“加密管道”来保证数据的安全传输。对于校园网好比在各个校园用一条专线连接起到专用、虚拟的网络通信效果。每个用户的通信也在VPN之上,通过VPN的方式可以增强网络的安全性、保密性、可管理性,保证校园网用户之间连接的可靠性。

IP隧道用于VPN中,生成的隧道是安全的,但隧道是在公用的网络之上,不是专用的,信道本身也有良好的管理性能。协议来完成数据传输的安全性,通过数据的加密、封包、协议再嵌套等操作完成。特殊的协议保证数据传输的安全性。

2.2 IPSec

1)IPSec协议:IPSec(Internet协议安全性)协议不是一个单独的协议,是一个协议的集合,确保在IP层数据的安全性。协议由下面几个部分组成:网络认证协议、封装安全载荷协议、密钥管理协议和用于网络认证及加密的一些算法等。协议规定使用怎样的安全算法、密钥,对上层提供访问控制数据源认证、数据加密等服务,以保证网络的安全。

2)封包协议:IPsec的包封装模型是整个协议的重要功能,负责信息接收和发送者的私网地址变换成Internet上的公网地址,把双方需要通信的数据信息转换为标准的数据。两个距离较远处于异地的局域网本来不能通讯的,通过出口处IPSec VPN设备,实现数据的封装、打包,就如同局域网对局域网的通讯。

3)加密协议:为了保证数据安全,IPSec协议通过加密技术来完成对数据的封装方法是把要发送的数据进行加密,在目的地再把数据解密,这种方式更好地保证数据的安全传输。Internet出口的IPSecVPN设备负责数据的加密和解密。

4)数据认证协议:通过加密后的数据在传输中也可能被伪造和篡改,数据包传输到目的地址,内容可能发生变化,而对于收信方无从知道知道数据包是经过修改的,这样可能接收的就不是安全的数据。为解决这个问题,IPSec使用算法计算包文特征,对经过VPN传输的数据进行认证,报文经过还原,需要检查这个处理过特征码,如果匹配,认为是安全的数据,若不匹配则数据就有可能被篡改就不是安全的。

5)身份认证协议:认证身份就是对用户进行鉴权。鉴权方式采用预设共享密钥方法,这种方法通过通讯双方在发送数据前约定加密解密的密码。

3 高校网络VPN、IPSec的实现

3.1 校园网拓扑图

学校有2个校区,通过VPN组网,网络出口采用光纤接入互联网,在校园网络出口处各安装一台VPN IPSec设备,系统首先向IPSec中心认证平台发送鉴权申请,经中心鉴定确认合法终端后,根据预先制定的策略向校区通信,这时就好像局域网一样进行数据通信,通信是经过加密的实现可管理性、安全性。

3.2 VPN服务器配置

服务器的配置要经过以下过程完成:

1)在Server2008中打开路由和远程访问功能;打开后窗口右边右击本机主机名称,选择配置并启用路由和远程访问,打开配置功能。

2)在配置中,打开虚拟专用网络“VPN服务器”,下一步后,打开远程客户协议,选择验证远程访问,VPN客户端添加数据协议,下一步后,打开连接到Internet或周边网络上的接口相对应的连接。

3)VPN服务器设置IP有两种方式:DHCP来获取远程访问VPN客户端的IP地址、使用一个或多个静态地址范围,为远程客户进行IP地址分配。设置为:191.168.0.100。

4)端口设置,在端口属性对话框中,选中VPN端口设备:这里选择WAN微型端口(PPTP)和WAN微型端口(L2TP),然后点击配置;在对话框中,选中远程访问连接,允许VPN连接。

3.3 VPN客户端配置

配置需要以下两个过程:

1)打开连接向导,点下一步接着在网络连接类型窗口里点选择,“连接到我的工作场所的网络”。在连接方式窗口里选择虚拟专用网络连接,然后为此连接命名。

2)打开VPN服务器选择窗口,需要输入VPN服务端的固定内容,这里有两种方式:固定IP、动态域名如图1所示。

4 结论

高校网络的跨区域决定了需要更加可靠安全的技术作为支撑,本文提出的基于VPN、IPSec解决方案为复杂跨地区局域网的实现提供可能。这种网络可以通过VPN方式传输局域网数据,网络的安全可以通过认证、加密等技术来保证。实践表明这种采用VPN IPSec的网络构建方案可以降低网络建设的费用,提高网络的安全性,方便校园内部网IP地址的划分,实现广泛的资源共享和移动办公。

参考文献

[1]Gholson S.Trilobite Systems.State MachineDesignTechniquesFor Verilog and VHDL.Synopsys JournalofHigh-level Design.Sept.1994.

[2]Wilson C,Peter Dock.虚拟专用网的创建与实现[M].钟鸣,魏允韬,译.北京:机械工业出版社,2000.

[3]封浩宇.IP-VPN在电信运营网络中的实现[J].电信科技,2002(4):13-15.

IPSEC技术第6篇

1 需求分析

我校由于合并办学等原因,拥有两个校区:主校区和分校区,两个校区距离较远。由于历史原因,两个校区已经分别建设自己的内部网络,并实现Internet接入,但是校区之间没有建立网络互联。按照上级信息化建设的要求,学校规划了无纸化综合应用系统,包括:学校主页平台、学分制系统、后勤管理系统、网上教学平台、学习资源平台、视频点播系统等。根据目前网络互联现状,主校区的师生们可以利用内部IP地址及域名轻松访问这些校内网上应用平台。分校区由于没有与主校区之间的网络互联,无法像主校区的师生们一样访问校内应用平台。

两个校区师生们存在着进行无纸化网络办公、内部资源共享、安全访问等需求。通常解决此需求的一种做法是,在主要校区搭建起各种内部服务器,以提供网络服务,并向Internet发布这些服务,分校区则通过跨越Internet来实现对主校区的网络应用平台的访问。在该设计方案中,分校区用户与因特网上的其他用户在对主校区网络服务的访问权限是相同的。然而,学校内部网络向因特网开放网络服务所花费的成本很高,并且会对内部网络造成一定的安全威胁。基于降低网络运行成本和消除网络安全隐患的角度考虑,学校希望只有内部师生可以使用相关网络服务,而不是来自Internet的所有用户。另一种常规做法是使用专线技术搭建两个校区之间的物理链接。这可以实现两个校区之间的网络互连,满足师生进行通信和资源共享的需要。但是,搭建物理专用线路成本过高,学校难以承担。针对此种情况,可以使用基于IPSEC的VPN技术在现有公共网络上搭建多校区之间的虚拟私有网络。只有本校师生可以利用VPN虚拟链路跨越Internet安全而又高效地访问校内应用平台及网络资源、进行网络无纸化办公。IPSEC VPN虚拟链路可以将那些不相关的因特网用户安全隔离出去,同时可对两校区之间的通信数据进行加密和和检查,实现安全通信的目的。

2 技术描述

2.1 VPN技术简介

VPN(Virtual Private Network,虚拟私有网络)利用公共网络(如Internet)来搭建组织或企业的私有专用网络。VPN技术在现有的网络硬件基础上,创建一条连接位于不同地理位置的两个区域的逻辑链路,如同在不同区域的两个LAN(本地局域网)之间搭建了一条专用隧道。处于Internet上的VPN对于不相关的网络用户如透明般不可见,而对于内部用户而言就如同组织或企业内部的私有网络一样,具有安全、高效和可管理性。这为组织或企业节约了搭建一条专用物理线路的费用。

2.2 IPSEC技术简介

实现VPN的技术有多种,如PPTP(Point to Point Tunneling Protocol,点到点隧道协议)、L2TP(Layer 2 Tunneling Protocol,二层隧道协议)、GRE(Generic Routing Encapsulation,通用路由封装协议)、IPSEC(Internet Protocol Security,IP安全协议)。校区之间的网络访问通常只有IP单播数据流,且有较高的安全需求,据此,选择IPSEC技术来实现VPN连接。

IPSEC是一种由IETF(Internet Engineering Task Force,因特网工程任务组)设计的端到端的确保基于IP网络通讯的数据安全性的机制,包含一系列通信安全协议,它定义一种开放标准的框架结构,制定了隧道模式的数据包格式,实现了在公共网络上的安全传输,是一套比较完整的三层VPN隧道技术实现方案。IPSEC本身是一组协议方法的总称,创建VPN连接的双方在IP层通过对数据的验证与加密技术,保证了数据包在Internet网上传输时的私用性、完整性和真实性。IPSEC技术是确保VPN安全的主要方式。

3 功能实现

3.1 学校网络连接现状描述

学校网络服务器位于主校区的网络中心。主校区网络使用保留IP地址段10.153.0.0/16;其中内部服务器群使用10.153.10.0/24网段,校内各办公室信息点和计算机机房使用其它网段。主校区向ISP申请了专用公网IP地址,用于Internet接入,假设为:202.96.168.90。其IP地址规划如表1。

分校区主要信息点为教职工办公用计算机、各计算机机房用PC等。分校区规模较小,信息点总数约为150个,使用保留IP地址段192.168.10.0/24。分校区向ISP申请了公网专用IP地址,假设其为:202.96.188.80,用于Internet访问接入。

主校区与分校区网络大致结构如图1。

3.2 VPN通信方案设计

虚拟私有网络(VPN)利用现有的公共网络(例如因特网),通过资源配置,而生成一个虚拟的、临时的、安全的网络连接。VPN通常由两种传输模式:访问模式和隧道模式。访问模式多用于终端到终端以及终端到站点之间的访问;隧道模式则多见于站点与站点之间的连接,大多使用加密技术、身份验证技术等安全策略,以实现站点到站点的安全传输。VPN隧道模式通信模型如图2所示。

在公共网络中,构建主校区与分校区之间的VPN隧道。在此虚拟链路中,需要解决以下几个问题:

怎样描述需要受保护的数据流?

如何确定数据发送者的身份?

当跨越公共网络进行传输时,怎样判断数据是否经过修改、损坏?

如何保证数据的隐私性?

基于IPSEC的VPN隧道可提供几种主要安全功能,来解决上述问题。

通过定义ACL,来定义受保护的数据流。

对数据来源进行验证,可以确定数据发送者的身份,保证数据来自于正确的地点。

对数据完整性进行检验,可以检查数据传输过程中是否被修改。

对数据进行加密、可以有效防止非授权人员的窃听、窥测。

IPSEC隧道模式对原始IP数据包进行封装和加密,然后对经过加密的内容进行再次封装到明文IP数据包内,通过公共网络发送到VPN隧道对端,收到该数据包的设备对数据报进行处理,取出明文IP包头,对负载内容进行解密之后,得到原始IP数据包。经过路由设备正常处理后,原始数据包将被发送给目标主机。

IPSEC的加密与验证工作是通过两个安全协议来完成的,AH(Authentication Header,验证包头)和ESP(Encapsulating Security Payload,封装安全负载)。当通信双方不需要对数据本身进行加密时,使用AH协议方法来提供对IP数据包的完整性和身份认证,以保证数据在发送过程中没有被修改和来自于正确的地址。当通信双方需要对数据进行加密时,必须使用ESP协议方法。ESP不仅提供对数据的完整性检验机制和身份验证方法,还提供了对数据进行加密的机制,以保证数据的隐私性。

IPSEC对数据的保护最终需要通过SA(Security Association,安全联盟)来实现。安全联盟是IPSEC的基础,也是IPSEC的根本。它本质上是VPN通信对等体之间的策略约定,例如使用的协议类型、加密算法、共享的口令以及密钥的生命周期等。

需要为IPSEC隧道定义要保护的敏感数据流。定义受保护的数据流可以由配置ACL(Access Control List访问控制列表)来实现。在ACL中通过对源地址、目的地址、协议、端口、时间等参数的设定来描述受保护数据流的特征。ACL配置完毕后,要与IPSEC的加密映射集建立关联。当VPN设备收到这些敏感数据包时,IPSEC通常自动触发IKE协商产生IPSEC的安全联盟。安全联盟将外出数据包进行加密或填写验证信息并发送给VPN对端设备,收到相应数据包的对端设备则查找对应的安全联盟,并对此数据包进行解密、验证后还原,最终发送给目标主机。

3.3 实现步骤

在两校区之间建立站点到站点的IPSEC VPN,以实现两校区之间的安全传输,如图3所示。

1)基本信息配置

在两校区用于接入Internet的路由器上进行基本信息配置,如IP地址、路由设置等。主校区路由器配置如下:

分校区路由器配置如下:

基本参数配置完毕后应保证两路由器能够通过Internet通信。可在路由器上使用ping命令测试其连通性。

2)IPSEC VPN之IKE配置

在路由器上启动IKE,配置IKE相关协商参数和策略。主校区和分校区可采用相同配置。以主校区路由器为例,具体配置内容如下:

3)设置共享密钥和对端地址,两校区预共享密钥必须相同,其IP地址为对端VPN设备公网地址。

4)设置访问控制列表,定义受保护的数据流。当路由器收到满足条件的数据包时,会触发IPSEC机制,建立VPN链路。在VPN的两端,数据流的定义必须是对称的,要互为镜像。

5)配置IPSEC的变换集及传输模式。变换集规定了IPSEC的散列算法和加密算法,VPN链路两端要保持一致。

6)配置加密映射和安全关联内容。将之前定义的访问控制列表、变换集与加密映射建立关联。

7)应用到接口

3.4 结果检验

在分校区的PC上访问主校区服务器资源,如能够成功,即可证实IPSEC VPN隧道创建成功,分校区与主校区可实现安全通信。

4 结束语

同属一家学校位于不同地理位置的两个校区,存在着建设一体化网络、进行通信和资源同享的需要。传统意义上的使用专线连接两个校区以构建一体化网络的做法花费成本太高。使用IPSEC VPN方式利用现有公共网络搭建一条虚拟的专用线路,不仅可实现两校区之间网络的安全有效的数据传输,而且还大大节约了成本。

参考文献

[1]Ivan Pepelnjak,Jim Guichard.MPLS和VPN体系结构[M].北京:人民邮电出版社,2012.

[2]Vijay Bollapragada,Mohamed Khalid.XML,Scott Wainner IPSec VPN设计[M].北京:人民邮电出版社,2012.

[3]Jeff Doyle,Jennifer Dehaven Carroll.TCP/IP路由技术:2卷[M].北京:人民邮电出版社,2009.

[4]贾铁军.网络安全技术及应用[M].北京:机械工业出版社,2009.

IPSEC技术第7篇

针对目前很多企业分支机构地域分散、远程办公需求多和与商业伙伴间业务频繁的特点, 如何在现有的Internet基础上建立一个安全、快速、专用的远程访问企业网已成为时代所需。出于低成本、高安全度、高灵活性的考虑, 目前主要采取VPN方式。

1 VPN简介

VPN是通过在主机与主机、主机与网关或两台路由器之间建立一条专用连接从而达到在共享或公共网络上传输私有数据的目的, 可以理解成是虚拟出来的企业内部专线。

VPN的实现关键是隧道协议。现有的隧道协议中PPTP、L2F、L2TP属于第二层隧道协议, 对应OSI模型的数据链路层, 是将用户数据封装在PPP帧中通过互联网发送。GRE和IPSec属于第三层隧道协议, 对应于OSI模型的网络层, 使用包作为数据交换单位。

文章提出了一种将L2TP和IPSec两种协议结合起来实现远程访问VPN的技术方案。

2 L2TP+IPSec方案的应用分析

2.1 IPSec+L2TP方案的原理

L2TP协议允许远程用户通过Internet安全地访问企业网络, 特别适合组建远程接入VPN。但是, 在L2TP协议中, 仅提供LAC与LNS间的身份认证, 而不保护在隧道中传输的每个数据包和控制包, 这就导致了L2TP隧道极易受到攻击。基于安全性的考虑, 可以在L2TP的实现过程中加入一组IP安全协议IPSec, 在隧道外再封装。

IPSec协议通过使用加密的安全服务来确保在IP网络上进行保密而安全的通讯。但IPSec不支持TCP/IP以外的其他网络协议, 且仅提供包过滤的访问控制方法。

L2TP和IPSec结合来实现远程访问型VPN (简称LI) 时, IPSec可以在L2TP LNS端利用RADIUS的集中统一的鉴别和授权机制, 而L2TP可以通过IPSec强的安全功能弥补自身安全方面的欠缺。

2.2 L2TP+IPSec方案的包格式

LI的网络拓扑图如图1所示。用户传输数据的封装过程如下: (1) IPSec封装:IP分组通过添加ESP报头、报尾和IPSec认证报尾 (Authtrailer) , 进行IPSec加密封装。 (2) PPP封装:IPSec分组由PPP协议封装处理成PPP分组。 (3) L2TP封装和IP封装:对PPP分组进行L2TP封装, 形成L2TP数据报, 再添加UDP头形成UDP报文, 然后形成IP分组在IP网上发送。经过IPSec封装的L2TP数据包格式如表1所示。其中IP1为外网IP, IP2为内网IP。

3 L2TP+IPSec方案的模拟实现

在实验室中使用Cisco Packet Tracer来模拟实现LI方案, 其拓扑图如图2所示。其中RO、R1分别模拟访问端的LAC和服务端的LNS, R2模拟Internet, Remote PC和Local PC分别表示移动端PC和本地PC。

对R0的配置:利用vpdn enable命令启动L2TP拨号;指定vpn另一端路由即R1的IP地址;启动并建立IKE;配置des加密方式、指定密钥位数并指定Hash算法为MD5。对R1的配置与R0类似。对R2只需要进行基础配置, 使其能与R0和R1进行通信即可。

配置好路由器后, 需要在本地PC上进行拨号连接。首先, 修改注册表, 向Windows添加Prohibit Ip Sec注册表值1。最后新建L2TP拨号连接, 在VPN服务器端输入要拨号的远程企业内部PC地址即可。

L2TP隧道建立以后, 需要在其基础上在R0和R1之间建立一个IPSec隧道。

对R0的IPSec配置:配置安全提议并采用ESP协议;配置报文封装形式采用隧道模式;选择des加密方式和MD5的Hash算法;引用访问控制列表和安全提议;配置R0和R1的IP地址;配置串口Fa0/1的IP地址, 并在其上应用安全策略组。对R1的配置与R0相似, 对R2也只进行基础配置。到此, 一条基于L2TP和IPSec隧道远程安全访问通道建立完成。

4 结束语

利用L2TP隧道协议来构建一个虚拟的私有网络再结合IPSec协议来实现通信数据在网络层的安全传输, 不仅会节省网络的建设和运行费用, 而且增强了网络的可靠性和安全性, 是一种有效的VPN方案。

摘要：隧道技术是将一个数据包封装在另一个数据包中进行传输, 从而达到在公共网络两个节点之间传递私有数据的目的。文章简要介绍了VPN的相关知识, 探讨了利用L2TP和IPSec隧道协议构筑安全的远程访问型VPN的原理和方案, 并在实验室环境下模拟实现了基于L2TP和IPSec的远程访问。

关键词：VPN,L2TP,IPSec,隧道,远程访问

参考文献

[1]汪冬梅.对持V支PN的隧道技术的若干思考与探究[J].China Computer&Communication, 2012 (2) :100-102.

[2]房宁.基于VPN技术及其应用的研究[J].计算机光盘软件与应用, 2012, 12:32-33.

IPsec的安全保护机制及其实现第8篇

一、IPsec的保护机制

IPSec是业界定义的一组标准, 用于在IP数据包层检验、身份验证。加密是通过数学密钥对消息或数据进行编码的过程, 这种编码过程对没有这个数学密钥的用户隐藏数据的内容。解密是加密的反方向过程。数据解密过程使用适当的数学密钥对消息或数据进行解码, 将其恢复为原来的内容[2]。

IPSec提供三种不同的形式[3]来保护通过公有或私有IP网络来传送的私有数据:

认证--可以确定所接受的数据与所发送的数据是一致的, 同时可以确定申请发送者在实际上是真实发送者, 而不是伪装的。

数据完整--保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。

机密性--使相应的接收者能获取发送的真正内容, 而无意获取数据的接收者无法获知数据的真正内容。

当前的I P S e c支持数据加密标准 (DES) , 但也可以使用其它多种加密算法。

IPsec的主要目的是保护IP包的。IPsec是基于端到端的安全的模型, 这意味着发送方和接收方都必须是知道IPsec保护的唯一的主机。

其中将web服务器置于防火墙外边, 方便访问, SQL-server服务器置于防火墙之内, 是要保护的数据库, 防止受到修改或其他的攻击。数据库服务器和SQL-server服务器使用IPSec协议, 通过关联协商, 两者之间建立一个安全的通道, 两者之间的数据是经过加密的, 加密的算法可以是DES (IPsec支持DES算法) , 也可以是其他的加密算法。

二、IPsec的实现

图1是网络应用程序服务器和数据库服务器实现IPsec的安全通信, 只开放1433端口。应用程序服务器 (web服务器) 使用推荐的TCP/IP客户端网络库连接到SQL server, 并且使用默认的TCP端口1433,

可以使用在IP安全策略管理的MMC管理单元中配置的策略来控制IPsec。用IP安全策略管理来集中管理AD的客户端的IPsec策略:或对运行控制台的计算机进行本地管理, 或远程管理某台计算机或某个域。

实现模式可以是IPSec隧道模式。

具体实现步骤:

2.1在web服务器上 (使用的操作系统是window2003) 添加IP安全管理控制台:

(1) 以非管理性的用户登录到window2003;

(2) 单击“开始”-“单击运行”, 输入“M M C”, 然后单击“确定”;

(3) 在添加删除管理单元中单击添加“IP安全策略管理”, 在选择计算机和域中选择本地计算机, 因为要保护的不是整个域, 是单个计算机;

(4) 在此控制台树中, 有IP安全策略, 默认有3个策略:客户端, 服务器, 安全服务器。

2.2指派IP安全策略

(1) IP安全策略: