网络安全技术虚拟私有网（IPSec Sangfor）详解及解决方案

定义（Vitual Private Network，虚拟私有网）：是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络，只不过这个专线网络是逻辑上的而不是物理的，所以称为虚拟专用网。

虚拟：用户不再需要拥有实际的长途数据线路，而是使用公共网络资源建立自己的私有网络。
专用：用户可以定制最符合自身需求的网络。
核心技术：隧道技术

业务类型分类：1. Client-LAN VPN（Acceess VPN），基于internet远程访问。
2. LAN-LAN VPN，局域网间互联。

网络层次分类：应用层 SSL VPN; 传输层Sangfor VPN；网络层IPSec、VTP、GRE；网络层接口 L2F/L2TP、PPTP

VPN常用技术：
1.隧道技术：是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道，使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPN技术中最关键的技术。
2.加解密技术 加密机制对称非对称
3.身份认证技术：是在网络中确认操作者身份的过程而产生的有效解决方法。（数字签名）PKI（公开密钥体系，Public Key Infrastructure）是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。其核心元素是数字证书，核心执行者是CA认证机构。
CA：Certificate Authority，证书授权机构。受信任的第三方。

4.数据认证技术。数字证书一般包含：用户身份信息、用户公钥信息、身份验证机构数字签名的数据。
签名证书：用户信息签名，保证信息的真实性和不可否性。
加密证书：传送的信息加密，保证信息的机密性和完整性。

名词解释：
数字证书：通讯双方的数据。CA发行。Eg.HTTPS，其是基于SSL的HTTP协议。SSL握手过程中要传输服务器的证书并验证其可靠性。
根证书：CA颁发给自己的，信任链的起点。
用户证书：个人证书，识别鉴定终端
设备证书：服务器证书。

5.密钥管理技术 (链接可点)

二、IPSec VPN

IPSec（Internet Protocol Security）：是一组基于网络层的，应用密码学的安全通信协议族。IPSec不是具体指哪个协议，而是一个开放的协议族。
IPSec协议的设计目标：是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。

IPSec VPN：是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、ICMP和隧道的IP数据包。

IPSec提供的安全服务：
1.访问控制、有限的流量保密等等
2.机密性、完整性、不可否认性
3.重传攻击保护
4.数据源鉴别

IPSec VPN 解决方案

1.IPSEC协议簇安全框架

1.1IPSec协议族安全体系框架
1.2IPSec协议族

2. IPSec工作模式

1.传输模式：主要应用场景：经常用于主机和主机之间端到端通信的数据保护。
封装方式：不改变原有的IP包头，在原数据包头后面插入IPSec包头，将原来的数据封装成被保护的数据。

2.隧道模式：用于私网与公网之间通过公网通信，建立安全vpn通道。封装方式：在原有数据前增加新的IP（外网ip）头和IPSec包头。

3.IPSEC通信协议

1.通信保护协议 AH（Authentication Header，认证报头）。
提供的安全服务：（不加密所保护的数据包，保护的是整个IP数据包）：
1）.无连接的数据完整性由hash函数产生的校验来保证
2）.数据源认证通过在计算验证码是加入一个共享密钥来实现
3）.抗重放服务 AH报头中的序列号可以防止攻击

AH在传输模式下封装

AH在隧道模式下封装

2.ESP(Encapsulating Security Payload，封装安全有效载荷)：可实现数据保密。
1.有保密服务，通过密码算法加密IP数据包的相关部分来实现。
2.隧道模式下的保密提供数据流保密
3.通常数据加密—— DES、3DES、AES
数据完整性认证—— MD5或SHA1

ESP在传输模式下封装

ESP在隧道模式下封装

AH和ESP对比

4.IPSec建立阶段

安全联盟：SA（Security Association）是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA。
SA由三元组来唯一标识：安全参数索引、目的IP地址、安全协议号。

1.阶段一 IKE协商阶段（Internet Key Exchange）：
１）．用IPSec保护一个IP包之前，必须先建立安全联盟（SA）
２）．IPSec的安全联盟可以通过手工配置的方式建立。但是当网络中节点较多时，手工配置将非常困难，而且难以保证安全性。这时就可以使用IKE（Internet Key Exchange）自动进行安全联盟建立与密钥交换的过程。Internet密钥交换（IKE）就用于动态建立SA，代表IPSec对SA进行协商。

用途：
１．IKE为IPSec协商生成密钥，供AH/ESP加解密和验证使用。
２．在IPSec通信双方之间，动态地建立安全关联（SA：Security Association），对SA进行管理和维护。

IKE与AH/ESP之间关系

IKE经过两个阶段为IPSec进行密钥协商并建立安全联盟：
1.第一阶段交换：通信各方彼此间建立了一个已通过身份验证和安全保护的通道，此阶段的交换建立了一个ISAKMP安全联盟，即ISAK MP SA（也可称为IKE SA）。第一阶段交换有两种协商模式：
主模式协商
野蛮模式协商

两种模式对比

2.第二阶段交换：用已经建立的安全联盟（IKE SA）为IPSec协商安全服务，即为IPSec协商具体的安全联盟，建立IPSec SA，产生真正可以用来加密数据流的密钥，IPSec SA用于最终的IP数据安全传送。

2.阶段二数据传输阶段
数据传输阶段是通过AH或者ESP通信协议进行数据的传输。
数据传输建立在网络层。

建立隧道后，如果其中一端的设备异常重启，导致SA不一致，会出现什么问题？
答：隧道黑洞。
解决办法：
DPD:死亡对等体检测（Dead Peer Detection），检查对端的ISAKMP SA是否存在。当VPN隧道异常的时候，能检测到并重新发起协商，来维持VPN隧道。
DPD主要是为了防止标准IPSEC出现“隧道黑洞”。
DPD只对第一阶段生效，如果第一阶段本身已经超时断开，则不会再发DPD包

5.IPSEC VPN应用场景