网络边界安全防护

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：16004488

微信公众号：计算机与网络安全

ID：Computer-network

不同的计算机系统通过网络联系起来，复杂的网络使计算机系统可能受到来自网络的攻击。为此，需要在网络边界处实施安全保护。从理论上说，如果网络边界的安全问题可以避免，网络安全问题就可以解决。但事实上，要想完全解决安全问题是不可能的，再好的保护技术也只能降低系统所受攻击的风险。本文介绍几种常见的网络边界防护技术。

一、防火墙

（一）防火墙概述

防火墙是一种重要的网络安全设备，是设置在不同网络或不同安全域之间的一道安全屏障，用于网络或安全域之间的安全访问控制。

防火墙的目的是保证网络内部数据流的合法性，防止外部非法数据流的侵入，同时管理内部网络用户访问外部网络的权限，并在此前提下将网络中的数据流快速地从一条链路转发到另外的链路上。防火墙对流经它的数据流进行安全访问控制，只有符合防火墙策略的数据才允许通过，不符合策略的数据将被拒绝。防火墙可以关闭不使用的端口，禁止指定端口的通信或来自指定站点的访问。

防火墙主要有以下作用：

（1）过滤进、出网络的数据流；

（2）管理进、出网络的访问行为；

（3）记录通过防火墙的信息内容和活动；

（4）对网络攻击进行检测和报警。

防火墙通常使用的安全控制技术主要是包过滤和应用代理服务。包过滤技术考虑的是OSI参考模型的网络层和传输层的数据安全问题，而应用代理技术则是在应用层检查数据分组的安全性。包过滤技术根据数据分组的源地址、目的地址、端口号和协议类型等标志确定是否允许通过，只有符合过滤条件的数据分组才被转发，其余不符合条件的数据分组则被丢弃。包过滤技术分为简单包过滤和状态检测包过滤2种。

简单分组过滤是一种简单、有效的安全控制技术。它根据已经定义的过滤规则检查每个数据分组，以便确定该数据分组是否与某一条分组过滤规则匹配。过滤规则是根据数据分组的源IP地址、目的IP 地址、源端口、目的端口和协议类型制定的。如果找到匹配的允许规则，则允许该数据分组通过；如果没有找到匹配的规则或者找到一个匹配的拒绝规则，则丢弃该数据分组。简单包过滤技术的运行速度较快，传输性能高，但由于安全控制只限于源IP地址、目的 IP 地址、源端口、目的端口和协议类型，因此，只能进行初级的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段则无能为力。

状态检测包过滤是比简单包过滤更为有效的安全控制方法。它把进出网络的数据流看成是多个会话，利用会话表（会话表是记录允许通过会话的相关信息的状态表）跟踪每一个会话的状态。对于新的会话请求，防火墙检查第一个数据分组是否符合预先设置的安全规则，允许符合安全规则的数据分组通过并在内存中记录下该数据分组的相关信息，作为一个新的会话插入会话表。对于该会话的后续数据分组，只要符合会话状态就允许通过。状态检测包过滤检查数据分组所处会话的状态，提高了完整的对传输层的控制能力。这种方式的好处在于：由于不需要对每个数据分组进行规则检查，而是直接进行状态检查，从而较大提高了数据的传输性能；而且，由于会话表是动态的，因此，可以有选择地、动态地开通端口，提高安全性。

应用代理技术工作在应用层，在应用层检查数据分组的安全性。应用代理通常运行在2个网络之间，彻底隔断了两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候都不能与服务器建立直接的连接。应用代理技术是一种透明的代理方式，它可以对网络中任何一层的数据通信进行筛选保护。这种代理方式检测能力强、安全性高，但是处理速度慢，配置起来也比较繁琐。

（二）防火墙典型配置实例

1、访问策略配置实例

访问策略对从特定源发往特定目的的数据分组进行控制。访问策略的元素如下。

①基本元素：序号（优先级）、名称、描述信息、启用状态（启用、禁用）、产生日志状态。

②匹配条件：源安全域、源用户、源IP、目的安全域、目的IP、服务、时间表。

③处理数据分组的动作：包括允许和拒绝、VPN隧道、启用DNS透明代理。

④访问策略包处理流程：当收到数据分组时，防火墙将数据分组中的会话信息与会话表进行匹配，匹配流程如表1所示。

表1  访问策略包处理流程

创建访问策略的过程为选择防火墙>访问策略>新建，具体如下。其中，访问策略命令如表2所示。

表2  访问策略命令

（1）设置策略基本元素，如图1所示。

图1  设置策略基本元素

（2）指定数据分组的源，如图2所示。

图2  指定数据分组的源

（3）设置数据分组的目的地址和服务类型，如图3所示。

图3  设置数据分组的目的地址和服务类型

（4）设置访问策略的动作，如图4所示。

图4  设置访问策略的动作

①勾选VPN隧道复选框，选择VPN隧道或隧道组。

②勾选启用DNS透明代理，启用DNS透明代理功能。

③勾选使用特定超时时间设置TCP会话、UDP和ICMP模拟会话的超时时间。

选择防火墙>缺省策略设置，设置会话超时时间的缺省值，如图5所示。

图5  配置会话缺省超时时间

（5）设置策略的生效时间，如图6所示。

图6  设置策略的生效时间

2、攻击防护策略配置实例

防火墙支持防护的常见攻击类型包括DoS防御、探测防御、TCP逃避控制、IP选项校验、ICMP攻击防御等。DoS防御的类型、方式和解决措施如表3所示。

表3  DoS防御的类型、方式和解决措施

DoS防御配置过程如下。其中，图7为DoS防御相关命令。

图7  DoS防御相关命令

（1）选择防火墙>攻击防御>DoS防御，进行相关配置，如图7所示。

（2）单击“确定”。

（3）单击。

二、入侵检测与防御

网络安全手段至今已出现很多类型，最常见的包括防火墙、反病毒软件、蜜罐系统、入侵检测系统等，下面主要介绍入侵检测系统（Intrusion Detection System）。

（一）什么是入侵检测系统

从概念上来说，主动进行安全检测与防御是入侵检测的主要特点。通过特定的技术手段，入侵检测系统会在到来前、进行时以及发生后对攻击者的恶意行为分别进行检测、判定与预警记录，以保障计算机资源在网络安全上最基本的三大特性。

入侵检测系统指任何使用了入侵检测技术手段来保护系统资源的硬件与软件。

（二）为什么需要入侵检测系统

首先，介绍一下P2DR模型：P为Policy，指的是模型中的安全策略，它定义了整体策略；另一个P为Protection，指的是模型中的一些防护技术，如防火墙；D为Detection，指的是模型中的一些检测技术，如入侵检测系统；R为Response，指的是该模型最后需要达到的目的，即进行响应，如针对不同的策略要求，对不同的行为采取特定的反应措施。这样一个安全稳固的模型，为系统提供最大可能的安全保障。

P2DR虽然在概念上是无懈可击的，但在实际部署中，单点方向上的安全手段仍存在自身的不足。比如防火墙，它可以最大可能地防止外界侵入，阻止恶意行为，但却对内部主动的恶意行为或者已经入侵到内部的恶意行为无能为力，这时便需要入侵检测系统来发挥作用。

1980年，James Anderson在一篇报告中提出可以通过审计策略，追查系统活动踪迹，达到检测系统文件等资源是否出现越权访问或非授权访问的目的，同时在报告中提出了一些基本术语。这场为美国空军做的报告，成为业内公认的IDS鼻祖。

（三）入侵检测系统的基本组成

入侵检测系统主要包含以下三类功能的组成部分：对系统信息进行采集的组成部分、对所得信息进行分析的组成部分，以及根据策略对分析结果采取特定响应的部分。上述3种组成部分在后文中分别被简称为部件甲、部件乙和部件丙。

1、部件甲：是入侵检测的第一步。需要收集的系统信息包括系统状态、用户行为、网络数据等。信息来源并不止一台主机上的系统日志，要尽可能做到既宽且广，更要保证信息收集工具的茁壮性，这样才能使收集到的信息更可靠，使该部分的工作更有价值。

2、部件乙：是入侵检测的核心所在。这一步需要通过各种技术手段对收集到的信息进行分析，比如常用的模式匹配技术；若有大量数据，可能还需要考虑到系统应用的算法等，因为数据处理的效率高低会对入侵检测的全局性能产生极大影响。

3、部件丙：根据Policy，对前两步得到的分析结果采取相应行为响应，比如预警、记录，并通知系统管理员，达到及时获取系统状态的目的。

（四）入侵检测系统的常规分类

同其他网络安全手段一样，入侵检测也有不同的分类方式，按照不同的分类方式，入侵检测系统通常可分为以下几种。

1、按照部件甲的数据来源，主要可分为基于主机（HIDS）和基于网络（NIDS）两大类。

（1）基于主机的入侵检测：部件甲收集系统信息的来源是系统运行所在的主机，当然，检测保护的也是这台主机。

（2）基于网络的入侵检测：部件甲收集系统信息的来源是网络数据分组，这时候检测和保护的是其所在的网络。

另外，对信息来源同时包括主机和网络的入侵检测，可以称为混合型的入侵检测。

2、按照入侵检测各个组成模块的分布与运作方式，可分为集中式和分布式两大类。

（1）集中式入侵检测系统：入侵检测系统的各个组成部分，包括部件甲、部件乙、部件丙等流程均在同一台主机上运行。

（2）分布式入侵检测系统：与集中式不同，入侵检测系统的各个组成部分及检测流程分布在不同的主机设备上。

3、按照时效性，主要可分为实时分析和现场分析。

（1）现场分析入侵检测系统：入侵检测系统是在异常行为或者攻击行为发生之后，对遗留在系统中的痕迹采集，之后进行分析、响应。

（2）实时分析入侵检测系统：入侵检测系统是在异常行为或者攻击行为发生之时，对在系统中的证据采集，之后进行分析、响应。

当然，还可以按照其他形式进行分类，不过应当注意的是以上分类并非割裂，一个入侵检测系统很可能属于多项，通过结合不同方向的优点，达到最好的效果，比如既是基于网络的同时又是分布式。

（五）入侵检测的技术手段

入侵检测系统一般采用两大类检测手段：异常检测和误用检测。

1、异常检测：将采集系统在一段时期内的正常行为作为一个框架来参照，只要有一天发现系统行为突然偏离了这个框架标准，就认为该行为是一次入侵，该手段就像QQ用户不在常用地区登录一样，这种方法在一定程度上能预测入侵行为，但是容易产生误报。异常检测通常分为如下主要几类。

（1）基于焦点子集的异常检测方法

系统行为有很多种，但是总有一些很值得关注的行为，通过采集这一类行为，作为一个焦点库，识别入侵行为。

（2）基于学习的异常检测方法

通过对系统行为进行长期大量采集，对行为特征进行归纳和类比，从而预测发现入侵。

（3）基于发生条件的异常检测方法

有些入侵行为在发生时，会有一些顺序性与联系性，识别出事件发生的顺序等条件，通过归纳此类条件，产生规则，检测入侵。

（4）基于指令预测的异常检测方法

通过不断对用户指令的描摹，让系统“记住”用户指令，犹如训练神经网络，建立指令预测的功能，实现入侵检测。

2、误用检测：收集曾经确认过的入侵行为，建立一个框架参照，只不过这个标准不是正常行为，而是入侵行为，就像杀毒软件采用的病毒特征库。只要发现系统行为符合参照标准，就把它视为入侵。这种方法误报率不高，但是预测不了新生的入侵行为。误用检测通常分为以下几类。

（1）基于发生序列的误用检测方法

将入侵方式解释为一个连续发生的事件，观察系统行为事件，运用数学观点解释其发生序列，采用特定算法进行推理，推测入侵行为。

（2）基于状态识别的误用检测方法

把攻击特征用一个状态图表示出来。入侵前的系统状态是一个健康始态，入侵后的系统状态是一个感染态。始态与感染态之间可能也会有一些中间态。识别系统状态发现入侵行为。

（3）基于Condition库的误用检测方法

将已知入侵行为特征表示成Condition规则，形成特征库。采用类似高级语言的条件判断形式，比如If（Condition）入侵发生条件、Then（Operation）系统响应操作，形式如下文所述的Snort规则。

（4）基于数据匹配的误用检测方法

把入侵行为解释成一些发生序列或可直接识别的数据特征，其特点在于没有其他自定义的规则转换过程，即可直接对系统待检测数据进行特征提取，进行数据匹配，发现入侵行为。

（六）入侵检测实例——Snort

Snort是一个使用规则实现检测的轻量级入侵检测系统，可以实时分析网络流量和日志，主要由3个部分组成：数据分组捕获分析器、规则检测引擎以及报警记录系统。

Snort规则分为2个逻辑部分：规则头和规则选项。规则头包含此条规则的动作、应用的协议、IP地址、端口号等。规则选项包含具体检查内容与报警内容。

Snort规则示例为：Alert TCP any 80→ 192.168.2.0 /24 80（content：“|00 01 86 a5|”;msg:“external mountd access ”;），其中，前半部分是规则头，括号内的为规则选项。

1、规则头

此条规则头的动作是Aler（t 报警）。还有一些其他动作：Log（记录）、Pass（忽略）、Activate （报警且激活一个dynamic规则链）、Dynamic（被其他规则激活调用而执行）。

应用的协议是TCP，需要注意的是，目前支持的协议并不完整，只有TCP、UDP、IP等有限的几个。

any部分是源IP地址（段），此处指任意IP地址（段）；80部分是源端口号，此处指80号端口（Web服务的默认端口）；接着是一个表示数据流量的箭头，由源指向目的。

后面的两项，根据前面的表示形式可以猜到，是目的IP地址（段）以及目的端口号，只不过这里不再是any（任意）的了，而是给出了特定的地址段与端口号。

2、规则选项

首先是选项关键字，即这里的content和msg，然后是关键字后面跟着的参数：content的参数是一个字符序列，说明需要检查包载荷中的数据样式；msg的参数是一段可读性字符，说明需要在报警或者日志系统中打印出来的消息。

最后，需要说明以下几点。

（1）规则选项不是必需的，但是规则头是必需的。当然，用户也可以定义自己的规则类型，并添加输出模块，实现匹配规则并对匹配数据分组执行相应动作。

（2）规则可以是多条，但是需要注意逻辑顺序；每条规则内也可允许多条选项同时出现。

（3）Snort 规则用法远不止此，此处仅仅给出一条简单的规则描述，其他具体信息参见Snort中文手册。

（七）入侵检测的前景

IDS目前仍存在诸多限制与不足。不足也是进步空间，其发展前景有以下几点。

1、大规模、分布式

网络系统日趋大型化、复杂化，攻击者的入侵行为也越来越综合驳杂，且具有了分布式攻击的特点。目前的入侵检测系统在性能上对此类入侵行为的检测有些困难，因此，在满足集中式的基础上，将来的IDS会趋向于分布式发展，并且在实现了大规模分布式之后，还要注意到第二个问题——标准化协作。

2、智能化、标准化

目前，还需一定量的人工分析介入，以后的IDS将实现从信息收集、数据分析、报警记录的全面智能化、自动化，做到无人值守且精准无误。另外，在分布式协作的问题上，目前没有一个标准化接口，故将来的解决问题之一便是实现不同类型入侵检测系统之间的标准化衔接，在数据交换与协同处理等信息交互上更加便利。

3、面向应用、综合集成

目前，基于误用的入侵检测会漏报新型的入侵行为，基于异常的入侵检测则会对正常行为产生误报，将来的入侵检测系统会综合应用各种所需技术的优势来检测入侵。另外，入侵检测系统不是反病毒软件与防火墙，它只能识别并记录入侵，而不能对其进行其他操作，因此，将来的入侵检测系统需要融合防火墙与杀毒软件的技术手段，尽可能做到一键装机，形成综合性网络安全系统。

（八）入侵防御系统

随着网络攻击技术手段的不断提高、网络安全漏洞频频出现，同时，越来越多的持续性威胁事件曝光，传统的 IDS和防火墙技术已经无法应对一些安全威胁。在这种复杂的情况下，IPS技术应运而生，是入侵防御系统。IPS与IDS类似，但是，IPS在设计上解决了IDS的一些缺陷，传统的旁路监听IDS可以及时发现那些穿透防火墙的深层攻击行为，但阻断流量的能力是有限的；而IPS位于防火墙和网络设备之间，它是防火墙加上IDS，实现IDS与防火墙联动，用IDS做前导检测，用防火墙做后盾阻拦。IPS系统是依靠对数据分组的检测，监控所有网络的数据分组，并判断数据分组的用途，决定是否允许这种数据分组入网。

同入侵检测系统（IDS）一样，按照保护对象的不同，IPS 分为基于主机和网络2种类型。

1、基于主机的IPS

基于主机的IPS是在被保护的计算机上直接安装代理，与操作系统和内核服务进程相连，监视与截取系统的内核或API调用，以便达到记录和阻止攻击的作用。它可以监视特定的应用环境，如网页服务器的文件位置、注册表条目、端口信息等；它还可以阻断那些基于主机的攻击，可以有效地保护终端。

2、基于网络的 IPS

基于网络的IPS综合了标准IDS的功能，被设置在保护的网络中。基于网络的IPS设备可以阻止通过该设备的恶意信息流。

IPS可以实施深层次的防御安全策略，即可以在应用层监视攻击源并且阻断攻击，这是防火墙所做不到的，同样也是IDS做不到的。

三、虚拟专用网络（VPN）

虚拟专用网络提供一种在公共网络上建立专用数据通道的技术。从名称上看，VPN包含两层含义：第一，它是“虚拟”的，即节点间实际上并不存在一个端到端的物理链路，用户不需要建设或租用专线，而是在开放的公共网络上建立一个相对封闭的、逻辑上的专用网络；第二，它是“专用”的，相对于“公用”来说，它强调私有性和安全可靠性。

通常，VPN是对企业内部网的扩展，通过它可以帮助分支机构、远程用户与企业内部网建立可信的安全连接，实现网络安全保密通信。典型的2种应用场景为连接2个站点的虚拟专用网络以及连接站点和远程用户的虚拟专用网络，分别如图8和图9所示。

图8  连接2个站点的虚拟专用网络

图9  连接站点和远程用户的虚拟专用网络

隧道技术是实现VPN的关键技术，通过对数据分组进行封装和解封装，实现分组的透明、安全传输。根据隧道建立的网络层次，可分为二层、三层、应用层隧道协议。主流的二层隧道协议包括PPTP、L2TP，三层隧道协议包括GRE、IPSec，SSL VPN则属于应用层隧道协议。其中，IPSec VPN应用最为广泛。

IPSec（IP Security）不是一个单独的协议，而是一整套的框架体系架构，包含一组通过对IP分组进行加密和认证保护来实现IP网络安全传输的协议族。IPSec族主要包含两大部分：安全协议，包括AH协议和ESP；密钥交换协议，即IKE协议。

AH协议可以提供数据完整性确认、数据来源确认、防重放等安全特性，常用摘要算法（单向散列函数）MD5和SHA1实现该特性。ESP可以同时提供数据完整性确认、数据加密、防重放等安全特性，常使用DES、3DES、AES等加密算法实现数据加密、MD5或SHA1来实现数据完整性。相对于ESP，AH协议无法提供数据加密，所有数据以明文传输，且在源IP地址改变时，数据来源确认会导致校验失败，无法穿越NAT，因此，使用相对较少。

IPSec提供2种封装模式：传输模式和隧道模式。在传输模式下，AH协议和ESP不会修改原来的IP分组，如图10所示。AH协议或ESP头加在原IP分组的IP头之后，AH协议头对整个分组进行认证保护（除IP头的可变长域外）。ESP对负载进行加密保护，对IP头之后的其余部分进行数据认证保护。传输模式的优点是每个数据分组只增加了少量的字节，但是由于封装前后IP头保持不变，因此，只能用于端到端或L2TP Over IPSec远程用户接入的场景。

图10  传输模式下的AH协议和ESP

在隧道模式下，会生成一个新的IP头，原来的整个IP分组被当作一个新的IP分组的有效载荷，AH头或ESP头插在IP头前面，如图11所示。该模式下，AH协议对整个原始IP分组和新IP头（除可变长域外）进行认证保护，ESP对原始IP分组进行加密保护，对新IP头之后的其余部分进行认证保护。由于一个新的IP头加在分组上，分组在 Internet上的路由可以依靠这个新IP头。隧道模式可用于站点到站点以及IPSec/Xauth远程用户接入的场景。

图11  隧道模式下的AH协议和ESP

SA（Security Association）是IPSec中非常重要的概念，它是IPSec 的基础，也是IPSec的本质。IPSec工作时，两端的网络设备，也就是通信对等体之间，必须就SA达成一致，这是两者之间的一项安全策略协定，如使用哪种协议、封装模式、加密算法、认证算法、生存周期等。IPSec SA是单向的，在2个对等体之间的双向通信，最少需要2个IPSec SA分别对2个方向的数据流进行安全保护。

建立SA的方式有2种，一种是手工方式，另一种是IKE自动协商方式。手工方式配置比较复杂，创建SA所需的全部信息都必须手工配置，而且IPSec的一些高级特性（如定时更新密钥）不能被支持，因此，适用于小型静态环境中。IKE自动协商方式相对比较简单，只需要配置好IKE协商安全策略的信息，由IKE自动协商来创建和维护SA，适用于中、大型的动态网络环境中。

IKE协商过程分2个阶段。第一阶段用于协商创建一个通信信道，即IKE SA，IKE SA并不用于IPSec通信，而是为双方进一步的IKE通信提供机密性、数据完整性以及数据来源认证；第二阶段则在IKE SA的保护下，协商真正用于IPSec通信的IPSec SA。

IKE第一阶段定义了2种交换模式：主模式和野蛮模式。下面以预共享密钥这种认证方式为例，说明主模式和野蛮模式的交换过程及特点。主模式交换过程如图12所示。其中， HDR代表消息头，HDR*表示后续内容是加密的，SA代表提议集（包括加密算法、Hash算法、DH组、认证方式、SA生存周期），KE为DH公开值，Ni/Nr为发起者/响应者的Nonce值（当前时间），IDii/IDir代表发起者/响应者的身份信息，HASH_I和HASH_R则是发起者/响应者的认证码，提供参与交换的证据。

图12  主模式交换过程

在主模式下，发起者和响应者进行3次交换，相互发送6条信息完成第一阶段协商，具体如下。

（1）第一次交换：发起者和响应者协商好一组IKE SA策略，即加密算法、散列算法、DH组、认证方式、SA生存期。

（2）第二次交换：进行DH公开值和Nonce值交换，交换后发起者和响应者通过执行DH组算法，生成相同的DH共享值。这个共享值和其他交换信息（如Nonce值、预共享密钥等）作为密钥材料来衍生加密密钥和认证密钥，用于后续消息的加密和认证。

（3）第三次交换：将身份信息和认证码发送给对方，用于向对方证实身份。

野蛮模式通过3条消息完成信息交换，如图13所示。前两条消息完成IKE SA、DH公开值、Nonce值、身份信息等交换。野蛮模式减少了信息交换次数，提高了协商效率，缺点是不能对双方的身份信息进行保护。

图13  野蛮模式交换过程

IKE第二阶段采用快速模式，如图14所示。其中，前两条信息交换完成 IPSec SA策略协商和密钥材料的生成。提议集SA包括安全协议类型（ESP或AH）、封装模式（隧道模式或传输模式）、加密算法、认证算法、DH算法（可选，开启完美向前保护才交换）、SA生存期。HASH用于验证消息，同时也提供了参与的证据。KE（即DH公开值）是可选的，开启完美向前保护时才进行交换。IDci和IDcr则指定了协商双方的流量信息，在对等体间存在多条隧道的情况下，用于标识并指导流量进入对应的隧道。由于第二阶段的信息交换过程受IKE SA保护，因此，除了消息头外，所有的交换信息均进行了加密。

图14  快速模式交换过程

完美向前保护用于增加IPSec SA隧道的安全性。在不开启完美向前保护的情况下，如果第三方破解了IKE SA隧道的密钥，意味着得到了IPSec SA密钥材料，可以衍生出IPSec SA密钥，获取第二阶段的交换信息，IKE最终失败。完美向前保护通过在第二阶段执行一次DH交换，使双方产生新的DH共享值，双方使用DH共享值作为部分密钥材料来衍生IPSec SA的密钥，这样，IPSec SA的保密性不仅建立在 IKE SA隧道上，还建立在第二阶段的DH交换上。

通过以上对IPSec的介绍，可以发现，搭建IPSec VPN的过程，其实就是对IKE的2个阶段进行配置，之后IKE会自动协商创建和维护SA。需要注意的是，双方的配置必须一致，否则会导致IKE协商失败。主要配置参数如下。

（1）第一阶段

①双方的IP地址；

②认证方式：预共享密钥或数字证书认证；

③协商模式：主模式或野蛮模式；

④加密算法；

⑤认证算法；

⑥DH组；

⑦双方的身份信息：IP地址、域名、邮件地址、证书主题等；

⑧IKE SA的生存周期。

（2）第二阶段

①安全协议：AH协议或ESP协议；

②封装模式：隧道模式或传输模式；

③加密算法；

④认证算法；

⑤是否开启完美向前保护；

⑥DH组；

⑦是否开启防重放攻击；

⑧IPSec SA的生存周期；

⑨双方的流量信息。

IPSec是需要消耗资源的保护措施，并非所有流量都需要进行IPSec处理，而且不同的流量可能需要引入不同的隧道。因此，搭建 VPN 环境时，还需要定义对哪些流量进行 IPSec保护，以及所要引入的隧道。常见的引流方式有2种方式：基于策略或基于路由。基于策略的VPN是指通过匹配访问策略，将需要保护的数据流引入到相应的VPN 隧道；基于路由的 VPN则是通过匹配路由表，将数据流引入到相应的VPN隧道。

微信公众号：计算机与网络安全