ipsec安全协议在提高内网安全性中的综合应用

2019年第22期
信息与电脑
China Computer & Communication
信息安全与管理
IPSec安全协议在提高内网安全性中的综合应用
陈向飞1　张　江2　丁伟峻2　黄佑强2　赵思思2
（1.解放军边防314旅，云南 文山　663000；2.云南省军区，云南 昆明　650051）
摘　要：目前，多数企事业单位内网安全管理的重点仍然集中在对网络出入口的管理方面，采用的技术手段主要用于解决来自外部网络的威胁与攻击，内网安全的重要性往往被网络管理者所忽视，使用IPSec技术可以有效地提高内网安全性。

笔者主要针对以上4个方面的内网安全问题，综合采用IPSec安全协议的各种应用策略，提出了一种处置多方面安全威胁的综合防范方案。

关键词：IPSec；内网安全；网络管理
中图分类号：TP393.08 文献标识码：A 文章编号：1003-9767（2019）22-195-03
Integrated Application of IPSec Security Protocol in Improving the
Security of Intranet
Chen Xiangfei1, Zhang Jiang2, Ding Weijun2, Huang Youqiang2, Zhao Sisi2
(1. PLA 314 Frontier Defense Brigade, Wenshan Yunnan 663000, China; 2. Yunnan Military Region, Kunming Yunnan 650051,
China)
Abstract: At present, the focus of Intranet Security Management in most enterprises and institutions is still focused on the management of network access. The technical means adopted are mainly used to solve the threats and attacks from external networks. The importance of intranet security is often ignored by network managers. Using IPSec technology can effectively improve intranet security. In view of the above four aspects of internal network security, the author proposes a comprehensive prevention scheme to deal with various security threats by comprehensively using various application strategies of IPSec Security Protocol.
Key words: IPSec; intranet security; network management
1　研究背景
统计数字表明，数量众多的安全威胁其实来自网络内部。

忽视内网安全，是很多企事业单位发生信息安全事故的主要原因[1-3]。

当前，从防范信息泄密和保证重要模块可靠性的角度来讲，大多数企事业单位的内网都存在以下4个方面的安全隐患：第一，对网络中重要的功能模块没有做专门的安全隔离；第二，对相对重要的通信信道未做信息加密；第三，不能有效地处置内网终端违规外联事件。

第四，对来自内部的网络攻击没有更好的防范手段。

2　IPSec安全协议简介
IPSec是一个位于网络层（IP层）的网络数据安全协议标准，是网络安全业内的一个开放性安全框架。

和其他处于应用层的安全协议不同的是：IPSec可以“透明”地为上层应用提供数据保护，也就是说无论应用程序是否具有加密功能，只要终端之间设置了IPSec“加密通道”，应用程序所传输的数据都可以“无感”地自然获得加密服务。

IPSec提供的服务主要有以下3种：第一，数据加密；第二，数据完整性检查和数据源地址效验；第三，防重发攻击。

3　配置IPSec安全策略
各种主流的路由交换设备、网关和操作系统均支持IPsec 协议，本文主要讨论通过在终端设置IPSec协议来提升内网的安全性。

IPsec协议可被微软Windows 2000以上的操作系统支持，并可通过组策略分配IPsec策略，从而导致IPsec策略可以分配在域、站点或组织单位等多个层级上[4-5]。

3.1　IPSec策略的制定
当建立一个IPSec策略时，首先需要考虑哪些服务、端口和应用程序需要处理以及怎样处理，处理的方式可以是加
作者简介：陈向飞(1977—)，男，云南曲靖人，硕士研究生，工程师。

研究方向：通信工程。

2019年第22期
信息与电脑
China Computer & Communication
信息安全与管理
密、验证、阻止或允许等操作。

3.2　配置IPSec 策略
Windows 环境下可以通过组策略编辑器配置IPSec 。

以Win7系统为例，运行“gpedit.msc ”，打开组策略编辑器，依次选择“计算机配置”“Windows 配置”“安全设置”，点击“IP 安全策略”，右侧窗格即可显示现有的IPSec 安全策略。

3.2.1　IPSec 策略基本设置
在组策略编辑器中，右键点击“IP 安全策略”，选择“创建IP 安全策略”即可添加IPSec 策略，可以设置策略名、策略描述、策略更改间隔等基本信息。

3.2.2　IP 筛选器设置
右键点击“IP 安全策略”，选择“管理IP 筛选器列表和筛选器操作”即可添加和设置IP 筛选器，在筛选器的属性设置中可对源地址、目的地址和网络协议等属性进行详细设置，从而实现对IP 数据包的精确监控。

3.2.3　IPSec 规则
IP 安全规则的作用是规定在何时以何种方式对IP 通信进行控制，根据数据流的协议类型、源地址、目的地址和时间段触发相关的操作。

一个IPSec 策略可以包含一条或多条规则，微软的IP 安全策略组件提供了多种预设安全规则，用户可以根据需要选取或修改。

3.3　IPSec 策略的命令行模式
微软的IP 安全策略组件不仅提供了上述的图形管理界面，还提供了命令行和批处理模式，有助于对策略进行快速、批量的统一部署。

IPSec 的控制命令在Win2000中为ipsecpol ，在XP 系统中为ipseccmd ，在Win2003以上操作系统中为netshipsec 。

尽管只有一条语句，但是通过丰富的参数设置和微软的批处理语言，可以生成功能强大的批处理文件，实现几乎所有图形界面可以实现的功能。

4　应用IPSec 安全协议，提高内网的安全性
IPSec 的安全管理功能非常强大，在企业级VPN 和异地校园网管理中有着广泛的应用，本文所讨论的则是IPSec 技术在局域网安全管理中的应用。

4.1　建立无干扰的专用逻辑信道
有些企事业单位往往将日常的网上办公和视频会议系统甚至视频监控系统应用在同一网络中，如果内网爆发病毒或网络攻击则会对重要系统的稳定性产生不可估量的影响。

最好的解决方式是为重要系统单独建立一个网络，在成本不允许的情况下，利用IPSec 安全策略可以解决这样的难题。

如图1所示，视频监控服务器和视频监控终端均处于某单位的办公网络内，物理上混合连接。

网络管理者的需求如下：第一，视频监控服务器和监控终端可以相互访问；第二，视频监控终端和办公网络中的其他终端逻辑隔离；第三，视频监控服
务器和办公网络中的其他终端逻辑隔离，但需要连接一台远
程控制终端。

图1　视频监控系统与企业局域网混连
实现的方式如下。

第一，在监控服务器上建立3个筛选器列表，分别是“监控终端”“局域网”“远程终端”。

其中，“监控终端”筛选器的源地址为“我的IP 地址”，目标地址选择“一个特定的IP 地址或子网”并设置为监控终端所在子网，协议类型为TCP ，协议端口为任意到任意。

另外两个筛选器列表根据对应的IP 设置。

第二，创建“允许”和“拒绝”两种筛选器操作。

第三，创建“服务器IP 安全策略”设置IP 规则，在规则列表中添加上述的IP 筛选器列表并设置对应的筛选器操作。

以上设置实现了服务器对监控终端和远程终端的单向网络互通以及对局域网无关电脑的网络隔离，之后还需要在每台监控终端和远程登陆终端上进行对应的设置。

4.2　重要信息加密及保护
根据局域网的设计理念，处于同一局域网的各个终端在整个网络中的地位和安全性都是对等的，一般情况下企业总经理所获得的网络安全性并不比一个普通员工更高。

然而这种同等的安全性其实并不符合企业中不同用户对安全性的实际需要，如图2所示，总经理和财务经理之间的通信、财务经理对财务系统服务器的访问必然要求更高级别的安全性，财务服务器只有财务经理才能访问，其余网络部位的互访则
可以通过普通的明文传递信息。

图2　某企业网络结构示意图
这样的应用需要可以通过IPSec 规则设置实现，方法如下。

第一，在总经理终端和财务经理终端之间、财务经理终端和财务服务器之间采用本文所提供的方法建立IPSec 安全通信。

第二，在财务服务器上的IPSec 安全规则中增加一个筛选器，拒绝其他终端访问。

第三，在建立的所有IPSec 安全策略中设置交换密钥，实现关键部位之间的加密通信。

这样就使得不同网络实体获得了不同的安全性，还可以通过同样的方式设置更为复杂的规则，实现更为精细化的安全设置。

2019年第22期
信息与电脑
China Computer & Communication
信息安全与管理
4.3　防范违规外联
几乎所有的违规外联防护系统都无法有效处理内网终端直接接入互联网之后产生的数据外泄，然而通过设置IPSec 安全策略可以使终端在物理连接互联网的情况下也不会出现对外数据交换，设置的方法如下。

第一，在每一台终端的IP 安全策略中建立名为“内网”和“外网”的两个筛选器，内网目标地址为局域网所在子网，外网的目标地址为任意地址。

第二，为“内网”筛选器设置“允许”的筛选器操作，为“外网”筛选器设置“拒绝”的筛选器操作。

第三，如果企业内网范围较大，存在多个子网，则添加多个内网筛选器。

通过上述的简单设置，即实现内网终端即使物理连接互联网也不会产生对外数据交换的安全要求。

4.4　防范内部网络攻击
如前文所述，IPSec协议本身就是为提高网络传输安全性定制的协议簇，一旦终端之间选用了IPSec协议进行通信，就自然具备了以下的几种安全性：第一，信息防窃取；第二，信息防篡改；第三，防重发攻击。

除此之外，通过进一步的设置还可以进一步提高安全性，以防范内部的网络攻击。

（1）禁用协议。

常见的十几种网络协议对于多数终端而言其实大部分都是不需要的，可以通过IP安全筛选器将其中不需要的协议禁用，也可以选择禁用“所有”协议，仅保留常用的TCP、UDP等协议。

（2）关闭端口。

在定义筛选器选择协议之后，部分协议（如TCP）可以进一步选择端口，从而可以将有害端口关闭。

（3）身份验证。

可通过IPSec的“筛选器操作”实现对数据通信的身份验证。

除了前文所述的“许可”和“阻止”两种基本操作之外，还可以选择“协商安全”的处理方式：通过选择完整性和加密算法，以及设置会话密钥，可实现数据通信的进一步加密和身份验证。

4.5　使用批处理和域控批量推送IPSec安全策略
4.1-4.4所讨论的各种IPSec应用策略功能固然强大，然而这些配置如果让终端用户自己来操作，难度将是不可想像的，让网络管理员来为每一位用户配置也不切实际，实际上可以通过安装AD服务（活动目录服务）对整个网络的终端统一推送IPSec策略，从而实现了安全性和便利性的统一。

5　结　语
本文分析和探讨了IPSec安全协议在局域网安全中的应用并提供了几个具体实例，对于企事业单位的网络安全管理者具有一定的参考价值。

参考文献
[1]徐宏斌.使用IPSec保护网络安全的研究和实践[J].微计算机信息,2006(27):131-133.
[2]刘小伟,霍静.在局域网中应用IPSec的主要问题及解决方案[J].天水师范学院学报,2006(5):62-65.
[3]曾章勇,王玲.IPSec VPN与防火墙协同工作的系统设计与实现[J].通信技术,2008(9):155-157.
[4]廖悦欣.IPSec协议实现技术研究[D].广州:华南理工大学,2013:34.
[5]张越.国密IPSec VPN安全机制研究与实现[D].西安:西安电子科技大学,2018:28.
对网络进行检测，并可以有效确保信息传递的安全。

相关工作人员可以对计算机防火墙进行不断升级和完善，提高防火墙的检测效率、准确性，能够让防火墙自动对计算机网络和互联网传递的信息进行检测和识别，及时发现恶意入侵计算机网络的信息和一些垃圾信息，对这些信息进行阻止和屏蔽，确保这些信息不会进入计算机网络中造成破坏。

4.2　完善计算机系统的漏洞
针对计算机系统自身存在的漏洞，相关计算机网络安全管理人员需要频繁对计算机网络系统进行检查，及时发现计算机网络系统中存在的漏洞，并采取合理的措施修复存在的漏洞，避免让一些不法分子有机可乘，通过计算机网络系统的漏洞窃取计算机网络中的信息。

计算机网络安全管理人员也要明确当前计算机网络中存在的问题，不断查缺补漏，不断采取措施来提高计算机网络的安全性。

4.3　提高安全意识
加强网络信息安全防护，还需要提高计算机操作者的安全意识，无论是专业的计算机操作人员，还是个人计算机用户，都需要有着极高的网络信息安全意识，意识到网络中潜伏的各种安全问题，及时下载杀毒软件并对杀毒软件进行不断更新，不进入来路不明的网站，不下载未知的文件，确保不会受到计算机病毒和黑客的攻击，确保能够有效保障网络信息的安全。

5　结　语
计算机病毒、黑客、系统漏洞以及人为的操作都会影响网络信息的安全，使网络信息受到破坏。

必须对计算机系统的漏洞和网络安全技术进行不断完善，加强对网络的监管并提高计算机操作人员的安全意识，切实提高网络信息的安全性，切实推动各行业在大数据时代下的发展。

参考文献
[1]任桦.大数据时代计算机网络信息安全与防护[J].黑龙江科学,2019,10(18):132-133.
[2]李妍.大数据时代计算机网络信息安全及防护策略研究[J].无线互联科技,2019,16(15):23-24.
（上接第194页）。