1.IPSEC 提供了下列服務(wù)：

數(shù)據(jù)的機(jī)密性----------這是通過(guò)加密來(lái)防止數(shù)據(jù)遭受竊聽(tīng)攻擊。

數(shù)據(jù)的完整性和驗(yàn)證--------通過(guò)HMAC功能來(lái)驗(yàn)證數(shù)據(jù)包沒(méi)有被損壞，并通過(guò)一個(gè)有效地對(duì)等體收到。

抗回放檢測(cè)--------這是通過(guò)在數(shù)據(jù)包中包括加密的序列號(hào)確保來(lái)自中間人攻擊設(shè)備的抗回放攻擊不能發(fā)生。

對(duì)等體驗(yàn)證--------這是為了在兩個(gè)對(duì)等體之間傳遞之前。對(duì)方就是"他說(shuō)它是"的設(shè)備。設(shè)備驗(yàn)證支持對(duì)稱欲共享密鑰、非對(duì)稱欲共享密鑰、以及數(shù)字證書。遠(yuǎn)程訪問(wèn)連接也支持使用XAUTH的用戶認(rèn)證。

2.IPSEC VPN的基本過(guò)程：

ISAKMP/IKE階段1

1>一個(gè)VPN網(wǎng)關(guān)對(duì)等體發(fā)起了到另外一個(gè)遠(yuǎn)端的VPN網(wǎng)關(guān)對(duì)等體的會(huì)話。

2>ISAKMP/IKE階段1開(kāi)始，兩個(gè)對(duì)等體協(xié)商如何保護(hù)管理連接。

3>DH用于在管理連接上對(duì)加密算法和HMAC功能安全地共享密鑰。

4>在安全的管理連接上執(zhí)行設(shè)備認(rèn)證。

ISAKMP/IKE階段2

5>對(duì)等體協(xié)商參數(shù)和密鑰消息來(lái)保護(hù)數(shù)據(jù)連接（通過(guò)安全的管理連接來(lái)實(shí)現(xiàn)的，或者可選性的再次使用DH）

6>建立數(shù)據(jù)連接，VPN網(wǎng)關(guān)現(xiàn)在可以通過(guò)數(shù)據(jù)連接保護(hù)用戶的流量。階段2結(jié)束。

3.遠(yuǎn)程訪問(wèn)IPSEC VPN的基本過(guò)程

ISAKMP/IKE階段1

1>遠(yuǎn)程訪問(wèn)客戶發(fā)起到遠(yuǎn)程VPN網(wǎng)關(guān)的連接。

2>當(dāng)用戶和VPN網(wǎng)關(guān)協(xié)商如何保護(hù)管理連接時(shí)，IKE階段1開(kāi)始。

3>DH用于在管理連接上對(duì)加密算法和HMAC功能安全的共享密鑰。

4>在安全的管理連接上實(shí)行設(shè)備認(rèn)證。

ISAKMP/IKE階段1.5

5>可選的，執(zhí)行用戶認(rèn)證。這是通過(guò)XAUTH標(biāo)準(zhǔn)實(shí)現(xiàn)的。VPN網(wǎng)關(guān)要求用戶輸入用戶名和口令。

6>可選的，IPSEC網(wǎng)關(guān)會(huì)把策略推送到客戶方，廠商在實(shí)施的時(shí)候可能存在私有性，例如，一個(gè)非cisco客戶可能不理解被一個(gè)cisco VPN網(wǎng)關(guān)推送的策略。在cisco實(shí)施中，客戶可以推送一個(gè)內(nèi)部的IP地址，一個(gè)域名、DNS和WINS服務(wù)器的地址、隧道分離的策略、防火墻的策略和其他的連接策略。

7>可選的，可以發(fā)生反向路由注入。這就是為什么客戶可以可選的通過(guò)IPSEC的管理連接向VPN的網(wǎng)關(guān)注入路由選擇信息，而VPN網(wǎng)關(guān)可以將這個(gè)路由選擇信息注入到內(nèi)部的的網(wǎng)絡(luò)。

ISAKMP/IKE階段2

8>階段2開(kāi)始：客戶和VPN網(wǎng)關(guān)協(xié)商參數(shù)和密鑰信息來(lái)保護(hù)數(shù)據(jù)連接。

9>數(shù)據(jù)連接建立，階段2結(jié)束：VPN網(wǎng)關(guān)現(xiàn)在可以通過(guò)數(shù)據(jù)連接保護(hù)用戶數(shù)據(jù)了。

10>最終與管理和數(shù)據(jù)連接相關(guān)的生存周期將會(huì)到期，這些連接將會(huì)重新構(gòu)建。

4.加密算法

加密算法中包括對(duì)稱加密和非對(duì)稱加密。

對(duì)稱加密的優(yōu)點(diǎn)是加密速度快，加密后的數(shù)據(jù)少，缺點(diǎn)是密鑰交換不安全。主要有DES、3DES、AES等

非對(duì)稱加密的優(yōu)點(diǎn)是密鑰交換安全。既能用于既能用于加密，也能用于認(rèn)證。缺點(diǎn)是加密緩慢，加密后數(shù)據(jù)較長(zhǎng)。主要有RSA等。

5.數(shù)據(jù)包認(rèn)證（HMAC功能+DH算出的密鑰）

VPN主要啟用散列消息驗(yàn)證碼（HMAC）功能來(lái)實(shí)現(xiàn)數(shù)據(jù)包的認(rèn)證和設(shè)備的認(rèn)證（對(duì)數(shù)據(jù)包的完整性認(rèn)證和源認(rèn)證）。通常散列函數(shù)有一個(gè)缺點(diǎn)：如果一個(gè)竊聽(tīng)者可以截獲被發(fā)送的數(shù)據(jù)，他可以很容易的產(chǎn)生關(guān)于這個(gè)數(shù)據(jù)的簽名。HMAC通過(guò)一個(gè)共享密鑰來(lái)產(chǎn)生數(shù)字簽名從而克服了這個(gè)問(wèn)題。只有知道密鑰的另一方才能建立并檢驗(yàn)發(fā)送的數(shù)據(jù)的簽名。這里只能確定數(shù)據(jù)是完整的，沒(méi)有確定源或目的就是想要建立連接的那位，因?yàn)殡m然他們的密鑰是相同的，但是這個(gè)密鑰是通過(guò)DH方法交換來(lái)的，DH也不能確定對(duì)方是其應(yīng)該交換密鑰的一方。也就是說(shuō)這里的源或者目的可能是攻擊者。

HMAC的基本及制圖如下：

HMAC的另一個(gè)問(wèn)題就是當(dāng)你的數(shù)據(jù)在兩個(gè)設(shè)備之間發(fā)送的時(shí)候，你的簽名可能被一個(gè)中間設(shè)備破壞。例如一個(gè)地址轉(zhuǎn)換設(shè)備?；蛘咝枰腝OS信息。解決方法就是：在使用HMAC功能計(jì)算數(shù)字簽名的時(shí)候不要包括數(shù)據(jù)包中某些字段。這些字段包括IP數(shù)據(jù)包中下述字段：IP地址字段、存活時(shí)間字段、服務(wù)類型、TCP或者UDP端口號(hào)字段和可能的其他字段。

6.密鑰交換（DH算法）

DH算法可以分為1、2、3、4、5、7、14、15等類型。Cisco路由器只是支持1、2、5三種。

DH算法可以是直線算法或橢圓曲線兩種。

DH算法能夠動(dòng)態(tài)的、安全地、帶內(nèi)的方式來(lái)周期性的刷新密鑰。將實(shí)際管理它們的時(shí)間縮小到一個(gè)很少的時(shí)間。

DH算法為數(shù)據(jù)加密和數(shù)據(jù)完整性認(rèn)證（HMAC）提供密鑰

DH密鑰交換過(guò)程是在一個(gè)不安全的網(wǎng)絡(luò)上進(jìn)行的，公鑰不能確定發(fā)送到了想要發(fā)送的對(duì)等體上。也就是說(shuō)存在中間人攻擊。所以還需要進(jìn)行對(duì)等體的認(rèn)證也就是設(shè)備認(rèn)證。

7.設(shè)備認(rèn)證和用戶認(rèn)證（這部分進(jìn)行了源認(rèn)證）

設(shè)備認(rèn)證通常使用下面三種方法：

欲共享對(duì)稱密鑰（HMAC功能+配置的欲共享密鑰）

欲共享非對(duì)稱密鑰

數(shù)字證書

遠(yuǎn)程訪問(wèn)VPN增加了一個(gè)額外的特性：將用戶放入到組的能力，這個(gè)時(shí)候的欲共享密鑰就是組欲共享密鑰，對(duì)組進(jìn)行認(rèn)證，同一組的用戶認(rèn)證VPN網(wǎng)關(guān)使用相同的欲共享密鑰，VPN網(wǎng)關(guān)使用與共享密鑰認(rèn)證一個(gè)組。但是如果VPN網(wǎng)關(guān)要認(rèn)證一個(gè)用戶，則要進(jìn)行用戶認(rèn)證，也就是用戶需要提供一個(gè)用戶名和密碼。這是在VPN1.5階段XAUTH中進(jìn)行的。