VPN（Virtual Private Network）的概念，我覺(jué)得《IPSec 新一代因特網(wǎng)安全標(biāo)準(zhǔn)》（IPSec: the new security standard for the Internet, intranets, and virtual private networks，機(jī)械工業(yè)出版社出版）這本書(shū)中的一句話概括得極好：“VPN是‘虛擬的’，因?yàn)樗皇且粋€(gè)物理的、明顯存在的網(wǎng)絡(luò)。兩個(gè)不同的物理網(wǎng)絡(luò)之間的連接由通道來(lái)建立。VPN是‘專用的’，因?yàn)闉榱颂峁C(jī)密性，通道被加密。VPN是‘網(wǎng)絡(luò)’，因?yàn)樗锹?lián)網(wǎng)的！我們?cè)谶B接兩個(gè)不同的網(wǎng)絡(luò)，并有效地建立一個(gè)獨(dú)立的、雖然是虛擬的實(shí)體：一個(gè)新的網(wǎng)絡(luò)。”
　　
　　說(shuō)到VPN就繞不開(kāi)IPSec，IPSec可以說(shuō)是VPN架構(gòu)的基石。除了IPSec，也可以通過(guò)L2TP、PPTP協(xié)議來(lái)走VPN，但在絕大部分的VPN中都是用IPSec來(lái)實(shí)現(xiàn)的。
　　
　　IPSec提供了這么幾個(gè)基本功能：
　　
　　數(shù)據(jù)機(jī)密性（Data confidentiality）－IPSec傳送者在將數(shù)據(jù)發(fā)送并穿越網(wǎng)絡(luò)之前就加密數(shù)據(jù)包。
　　
　　數(shù)據(jù)完整性（Data integrity）－IPSec接收者在收到IPSec傳送者發(fā)送來(lái)的數(shù)據(jù)時(shí)，可以驗(yàn)證數(shù)據(jù)包以確保數(shù)據(jù)在傳送過(guò)程中未被改動(dòng)。
　　
　　數(shù)據(jù)源驗(yàn)證（Data origin authentication）－IPSec接收者可以驗(yàn)證發(fā)送IPSec數(shù)據(jù)包的源頭。此服務(wù)依附于數(shù)據(jù)完整性服務(wù)。
　　
　　反重播（Anti-replay）－IPSec接收者可以檢測(cè)并拒收重播數(shù)據(jù)包。
　　
　　IPSec的兩個(gè)重要組成部件AH和ESP：
　　
　　AH（Authentication Header，驗(yàn)證頭） ：AH提供的功能包括了數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證以反重播（要注意的是：AH沒(méi)有提供數(shù)據(jù)機(jī)密性服務(wù)）。
　　
　　ESP（Encapsulating Security Payload ，封裝安全載荷）：除了具有AH的所有功能外，還可以保證數(shù)據(jù)的機(jī)密性。
　　
　　下面是和IPSec有關(guān)的幾個(gè)重要概念：
　　
　　兩種傳送模式（Transport Mode）：
　　傳送模式（transport mode）與通道模式（tunnel mode）。兩者的主要區(qū)別：傳送模式用來(lái)保護(hù)上層協(xié)議；而通道模式用來(lái)保護(hù)整個(gè)IP數(shù)據(jù)包。
　　
　　加密算法：
　　DES Algorithm和Triple DES Algorithm (3DES)。DES是56位的加密算法，3DES為加密強(qiáng)度三倍于DES，即168位的加密算法。
　　
　　密鑰交換算法：
　　DH（Diffie-Hellman key agreement）和RSA（Rivest, Shamir, and Adelman Signatures ）。允許通話雙方通過(guò)一個(gè)不安全的通信信道建立起一個(gè)可以被加密算法（如DES、MD5）所使用的共享安全密鑰（shared secret key）。Cisco路由器和PIX防火墻中支持768位（Group 1）和1024位（Group 2）的DH組。
　　
　　驗(yàn)證算法：
　　MD5（Message Digest 5）和SHA-1（Secure Hash Algorithm-1）。又稱為HASH算法，基本原理是對(duì)一個(gè)任意長(zhǎng)度的輸入值進(jìn)行處理，產(chǎn)生一個(gè)固定長(zhǎng)度的輸出信息（稱為摘要，digest）。HMAC-MD5和HMAC-SHA是MD5和SHA的HMAC（Hashed message authentication codes ）變體，比MD5和SHA更為強(qiáng)壯，HMAC-MD5產(chǎn)生的摘要長(zhǎng)度為96位，而HMAC-SHA產(chǎn)生的摘要長(zhǎng)度為128位。
　　
　　IKE（Internet Key Exchange，Internet密鑰交換）：用于驗(yàn)證IPSec的對(duì)端體，協(xié)商IKE SA和IPSec SA（Security Association）的安全策略，驗(yàn)證加密材料的建立。
　　
　　SA（Security Association，安全聯(lián)盟）：兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來(lái)的一種協(xié)定，規(guī)定了通信實(shí)體將怎樣利用安全服務(wù)來(lái)實(shí)現(xiàn)安全的通訊。
　　
　　接下來(lái)是一個(gè)IPSec會(huì)話的五個(gè)主要過(guò)程：
　　
　　1、定義哪些數(shù)據(jù)要進(jìn)行安全傳輸；
　　2、IKE階段一（Phrase One）：通過(guò)協(xié)商IKE SA來(lái)驗(yàn)證IPSec對(duì)端體，并建立起一個(gè)可以在IKE階段二（Phrase Two）協(xié)商IPSec SA的安全通道；
　　3、IKE階段二（Phrase Two）：IKE協(xié)商IPSec SA的參數(shù)并在對(duì)端體之間建立起匹配的IPSec SA；
　　4、數(shù)據(jù)傳輸：IPSec通道被正確地建立起來(lái)，數(shù)據(jù)在IPSec對(duì)端體之間進(jìn)行安全傳輸；
　　5、IPSec通道被終止。
　　
　　下面結(jié)合一個(gè)實(shí)例來(lái)說(shuō)明在PIX Firewall上配置VPN的過(guò)程，設(shè)備為兩個(gè)PIX，拓?fù)鋱D大致如下：
　　
　　(Inside:10.1.1.1)PIX1(Outside:192.168.1.52)----(cloud)----(Outside:172.22.112.12)PIX2(Inside:172.16.1.1)
　　
　　IKE階段一（Phrase One）
　　
　　IKE Phrase 1所要做的主要任務(wù)有－－
　　
　　* 打開(kāi)IKE（這里是在outside接口上打開(kāi)IKE）。
　　以上定義的相對(duì)應(yīng)語(yǔ)句：
　　isakmp enable outside
　　* 定義密鑰分發(fā)方式：可以用手工分發(fā)，也可以用CA服務(wù)器來(lái)分發(fā)。我們這里采用手工分發(fā)方式；
　　* 定義驗(yàn)證方式：可以在pre-shared密鑰或者RSA signatures中選擇。我們這采用pre-shared密鑰，密鑰為“securevpn”。
　　* 定義對(duì)端IPSec設(shè)備的IP地址或者主機(jī)名。這里即為：172.22.112.12。
　　以上定義的相對(duì)應(yīng)語(yǔ)句：
　　isakmp identity address
　　isakmp key securevpn address 172.22.112.12 netmask 255.255.255.255
　　!--- securevpn為pre-share key，172.22.112.12為對(duì)端IPSec設(shè)備IP地址。
　　* 定義ISAKMP策略（注：在Cisco設(shè)備中，ISAKMP和IKE是同義）。這里包括了定義加密算法（這里用DES），定義HASH算法（這里用MD5），以及定義IKE SA的生存期（這里定義為1000秒，此項(xiàng)可選）。
　　以上定義的相對(duì)應(yīng)語(yǔ)句：
　　isakmp policy 1 authentication pre-share
　　!--- 定義驗(yàn)證方式
　　isakmp policy 1 encryption des
　　!--- 定義加密算法
　　isakmp policy 1 hash md5
　　!--- 定義HASH算法
　　isakmp policy 1 group 1
　　!--- 定義密鑰交換算法
　　isakmp policy 1 lifetime 1000
　　!--- 定義IKE SA生存期
　　
　　IKE階段二（Phrase Two）
　　
　　IKE Phrase 2所要做的主要任務(wù)有－－
　　
　　* 定義哪些流量需要進(jìn)行安全傳輸，也就是定義interesting traffic的過(guò)程，用ACL來(lái)定義：
　　以上定義的相對(duì)應(yīng)語(yǔ)句：
　　access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
　　!--- 允許10.1.1網(wǎng)段的機(jī)器訪問(wèn)172.16.1網(wǎng)段，172.16.1網(wǎng)段為對(duì)端PIX2的內(nèi)網(wǎng)地址。
　　* 定義傳送集（Transform Set）。記住，Transform Set＝AH+ESP+Transport Mode（這里定義為esp-des和esp-md5-hmac）。
　　以上定義的相對(duì)應(yīng)語(yǔ)句：
　　crypto ipsec transform-set chevelle esp-des esp-md5-hmac
　　!-- chevelle為transform set名，transform set定義了采用ESP，加密算法為DES，驗(yàn)證算法為HMAC-MD5。
　　* 定義crypto map，并將crypto map映射到相應(yīng)接口上。（這里定義了使用ISAKMP來(lái)進(jìn)行Phrase 2協(xié)商，interesting traffic為ACL 101決定的traffic，對(duì)端IPSec IP地址為172.22.112.12，并將名為chevelle的transform set綁定到此crypto map上）。
　　以上定義的相對(duì)應(yīng)語(yǔ)句：
　　crypto map transam 1 ipsec-isakmp
　　!--- 使用ISAKMP進(jìn)行Phrase 2協(xié)商
　　crypto map transam 1 match address 101
　　!--- interesting traffic由ACL 101決定
　　crypto map transam 1 set peer 172.22.112.12
　　!--- 對(duì)端IPSec IP地址
　　crypto map transam 1 set transform-set chevelle
　　!--- 將chevelle綁定
　　crypto map transam interface outside
　　!--- 將crypto map映射到outside接口
　　
　　另外幾個(gè)很容易忽視但絕不能忘記的配置：
　　
　　nat (inside) 0 access-list 101
　　!--- 讓ACL 101的流量不進(jìn)行NAT操作
　　sysopt connection permit-ipsec
　　!--- 忽略對(duì)IPSec流量的ACL或conduit檢查。這句絕對(duì)重要！
　　route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
　　!--- 定義缺省路由。走VPN之前先保證你的網(wǎng)絡(luò)是通的
　　
　　最后是完整的配置（這個(gè)例子是Cisco站上的，我上面做了分解并加了注釋）：
　　
　　PIX Version 5.1(5)
　　nameif ethernet0 outside security0
　　nameif ethernet1 inside security100
　　enable password ****** encrypted
　　passwd ****** encrypted
　　hostname Maui-PIX-01
　　fixup protocol ftp 21
　　fixup protocol http 80
　　fixup protocol h323 1720
　　fixup protocol rsh 514
　　fixup protocol rtsp 554
　　fixup protocol smtp 25
　　fixup protocol sqlnet 1521
　　names
　　access-list 101 permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
　　pager lines 24
　　logging on
　　no logging timestamp
　　no logging standby
　　no logging console
　　no logging monitor
　　no logging buffered
　　no logging trap
　　no logging history
　　logging facility 20
　　logging queue 512
　　interface ethernet0 auto
　　interface ethernet1 auto
　　mtu outside 1500
　　mtu inside 1500
　　ip address outside 192.168.1.52 255.255.255.0
　　ip address inside 10.1.1.1 255.255.255.0
　　no failover
　　failover timeout 0:00:00
　　failover ip address outside 0.0.0.0
　　failover ip address inside 0.0.0.0
　　arp timeout 14400
　　nat (inside) 0 access-list 101
　　route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
　　timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
　　timeout rpc 0:10:00 h323 0:05:00
　　ti