冯翔宇

摘 要 VPN作为一项成熟的异地联网技术，为远程办公提供了很大便利，已经为越来越多企事业单位所认可并应用。很多人在使用VPN时最担心的问题就是数据在传输的过程中其安全性能否得到保障。由于VPN是一条单独的通道，为此想要满足人们对数据的安全需求，应利用IPSec进行设计。将IPSec协议应用在VPN网关设计中，能让数据在传输过程中的安全性和完整性不断提高，确保数据的保密效果。当下，随着经济和科技的发展，有越来越多的人将目光放在IPSec协议下的VPN网关设计中，满足对信息的保护需求。

关键词 IpSec VPN技术 网关 安全性

中图分类号：G434文献标识码：A

0引言

互联网的出现让人们感受到了信息带来的便利，但是信息的安全性也成为了互联网的弊端。用户与用户在信息传递的中，如何保证信息的安全性和保密性尤为重要，一些不法分子利用网络漏洞盗取信息，使得信息贩卖成为了全新的经济获取渠道。VPN虽然是一种比较安全的信息传递方式，但是在大量的应用中仍旧会存在一些问题。为了提高信息的安全性，将IPSec协议应用在VPN中，能够建立更安全的信息传递隧道。

1 IPSec概述

IPSec出现的目的是为了保证IP站点之间的安全，利用IPSec制定了一系列的协议，其目的是保证IP数据在报道和应用时的保密性、安全性、可操作性以及高质量性。IPSec主要应用在网络层数据封装的第三层隧道协议。利用IPSec协议能保证数据使用的真实性、可靠性，通过AH、ESP能保证IP层的安全。在使用IPSec协议时，能够通过IKE将IPSec协议进行简化，提高使用和管理的整体效果。IPSec协议能够真正的提高大数据时代下的数据安全，确保所有的数据在传输的过程中，其本身的安全性、整体性以及消耗的经济成本较低，满足人们对数据传输的整体要求。在当下应用IPSec协议时，其中主要包括了以下两个协议，分别是AH协议和ESP协议。其中AH协议在使用的时候包括了对所有数据的确证、给IP层的数据提供安全保证，使得整个数据在传输的过程中，其数据的连接相对完整，既能让原始数据的传输效果更好，同时也能让数据本身抗重播攻击。

2基于IPSec的VPN网关设计与应用

2.1设计方案

在对IPSec进行VPN网关设计时，需要选取正确的设计方案，即需要考虑到设计过程中的三个不同层次，这三个层次需要基于同一个网络处理平台进行实现，其中包括了以下几点：第一个层次，管理层。在IPSec的VPN网关设计中，管理层包括的内容较多，分别是算法管理、安全策略库管理、安全关联库管理、统计、ESP协议处理、日志管理、AH协议处理等不同的管理内容。在管理层中，其出现的全部内容都是为了保证VPN网关系统的正常运行，确保其功能效果，多数情况下在IPSec的VPN网关设计中都是利用外部设备实现相关内容。第二个层次，控制层。在控制层中其主要包括的内容较多，分别是IKE引擎，即实现IKE的动态管理、SA查找模块、SP查找模块。在控制层中，在设计实现时选择的方式为Intel IPSecScale。第三个层次，数据处理层。在数据处理层中主要包括的内容为加密算法模块、IPSec处理模块、包接收、认证算法模块、包发送模块。在数据处理层中，主要是利用微引擎的方法来进行VPN网关系统中的数据处理。或者是选择多个微引擎共同使用，其目的是为了使得数据的处理速度逐步增加，形成快速处理通道。

2.2 IPSec的VPN网关设计

在选择IPSec的实现方式时，应考虑到不同的需求，进而选择不同的实现方式，本文進行IPSec的VPN网关设计时，选择的方式是IP整合方式，如图1所示。

由于IP整合方式本身的整合效率较高，实现方式相对简单能够提高实现的整体效率，本文选择IPSec的VPN网关设计重点就是实现隧道的传输以及数据加密。在设计中，主要是以KAME作为工具，可以利用人工模式或者是自动密钥连接方式对网关进行设计和管理。同时利用人工模式，由负责设计的管理者针对IPSec中所使用的协议、算法以及SA密钥创建、组成SAD等进行数据的保护和管理。但是应考虑到本文所选择的IPSec实现方式在密钥关联过程中较为复杂，安全性相对其他的设计方式相对较弱，但是运用在小型网络中其运行效果较好，能满足网络设计的需求。在确定了自动密钥连接方式后，作为网络管理员并不需要继续上述工作，只需要利用IKE认证通信双方以及协商安全参数，就可以采用共享密钥认证方式。在进行共享具体配置中，其中主要有以下几步：第一步，配置预共享密钥文件psk.txt;第二部，对所有的安全策略配置文件进行配置，即setkey.conf;第三，需要配置文件racoon，即racoon.conf;第四，启动racoon。

2.3基于IPSec的VPN网关应用

在分析基于IPSec的VPN网关设计时，应首先保证IPSec中的通信需求，并且确保基于IPSec的VPN网关设计能够实现相关应用功能，其中包括了几下几点：第一，根据IPSec的VPN网关设计在日常应用中能够实现最基本的网络功能，其中包括了拨号上网、路由转发以及NAT代理等一系列功能;第二，IPSec的VPN网关设计能够连接并且实现VPN功能，换句话说，利用IPSec能够满足不同网关之间的组网要求，做到不同地区、不同结构同样可以进行连接，这是跨地域的lan-to-lan连接。同时也可以满足单个用户的使用需求，即PC-to-Lan的功能;第三，根据IPSec的VPN网关设计能实现动态组网，也就是说以往在应用VPN时，有关网关的Internet IP地址会存在变化，甚至在一些不确定的条件下难以组建全新的vpn网络，而利用IPSec的VPN网关设计则可以解决该问题。能够对内网用户进行改变，并且屏蔽掉这种变化带来的一系列影响，真正意义上实现动态的域名体系，做到协助实现动态组网;第四，能够实现管理功能。将不同地区的VPN网关之间进行连接，能管理移动用户，做到移动用户的连接，建立VPN隧道、删除终止，其能实现网络的基本防火墙功能，同时也能确保整体设备的安全性和稳定性，对VPN通讯的报文进行过滤。

3结语

综上所述，之所以选择IPSec协议开展VPN的网关设计，原因之一就是IPSec协议能确保数据在传输过程中的安全性和完整性。利用IPSec协议能够对所有的传输数据进行严格的管理和保护，使用AH能对用户进行认证，并且保护数据的准确性，其大大的增加了IP站点之间的安全性。为此，在大数据飞速发展的今天，利用IPSec协议能确保VPN的网关设计安全性准备增加，也能满足人们对大数据使用的要求。

参考文献

[1] 刘春艳.基于IPSec的VPN网关设计与实现[J].网络安全技术与应用，2013（11）：60+59.

[2] 王志刚，石颖.基于IPSec协议的VPN安全网关设计[J].计算机工程，2009，35（17）：146-148+151.