一个基于IPSec VPN的农行办公网安全方案

摘要

虚拟专用网(VirtualPrivateNetwork，简称VPN)综合了传统数据网络的性能(隐秘、私有和服务质量等)和共享公有数据网的优点(简单和低成本)，因而成为网络发展的新趋势。目前基于IPSec协议的VPN技术是较为完善的网络安全技术。论文基于此项技术解决一个全省范围内农行系统机关办公网络的安全通讯问题，设计一套安全解决方案。 针对该农行网络特点，设计一个通过Internet连接的VPN系统，可实施安全、快捷通讯；深入分析VPN技术和内联网风险性的同时，利用IPSec隧道技术构建农行网络系统安全平台，从而保证内联网的信息安全传输。基于农行机关网的IP地址是利用NAT技术的内部地址此现状，农行办公网IPSec实施过程中存在三个关键问题：AH协议为IP头提供保护，要求传输中不能改变，而NAT进行地址翻译时修改了源地址字段，必然导致IPSec认证失效；ESP协议对数据包进行加密的同时，TCP头也被加密，NAT就无法重新计算TCP校验和，从而导致校验失败；使用IKE协议建立维护SA时，由于NAT的插入，也会导致协议失效。针对上述问题，设计一种有效的解决方案：即利用IP_in_IP隧道协议，在网关与网关间搭建一条IP_in_IP隧道，使网关两端的IP网络能透明穿过隧道交互数据。 农行网的安全隐患经进一步深入分析后，在确保网络边界设备即网关安全的情况下，构建一个安全的网络平台。此平台采用主动安全防御体系和被动防御体系相结合的思想，部署了安全保护机制，有效避免不安全因素穿过或绕过网关此类隐患。通过优化方案，将IPSec的实施与其它的安全措施如访问控制、入侵检测、安全管理和策略管理相结合，实现从网络边界到内联网本身、被动防御和主动防御相结合的全方位农行内联网安全体系，确保信息数据交流安全畅通，从而建立一个动态的、系统的农行机关网络安全解决方案。

目录

文摘

英文文摘

独创性声明和学位论文版权使用授权书

绪论

1.1课题的研究背景和意义

1.2国内外研究概况

1.3课题的研究内容和目标

2农行网络系统结构功能及安全需求分析

2.1机关网应用结构及整体构架

2.2逻辑层次及功能

2.3网络安全风险分析和安全需求设计

2.4构建安全的内联网平台

2.5小结

3VPN技术及联网组建

3.1 VPN技术分析

3.2 VPN的应用领域

3.3 VPN技术及在TCP/IP协议层的实现

3.4小结

4IPSec协议体系及关键技术实施

4.1 IPSec功能及结构分析

4.2 IPSec的两个重要数据库

4.3密钥交换协议

4.4 IPSec常用的实施方法

4.5 NAT技术及与IPSec兼容问题分析

4.6关键技术-隧道NAT原理

4.7小结

5内联网的体系结构设计和安全解决方案

5.1 VPN内联网的体系结构设计

5.2内联网设计依据及策略

5.3农行网络系统安全方案设计

5.4系统中IPSec的实施方案

5.5主被动安全防御体系的实施

5.6小结

6结束语

致 谢

参考文献