求一份关于网络安全配置服务器的端到端IPSEC VPN实验心得

IPSec
端到端技术
Seclarity最近发布的网卡，集成了Peer
to
Peer的功能，从而能够以一种新的方式为局域网和广域网络提供安全性。Seclarity的新产品包括以太网卡和无线局域网卡，在这些网卡中集成了IPSec
的终端，从而能够让计算机和计算机之间建立起安全的IP通道。这种PC到PC(服务器)的全程加密连接，安全性更高。
要实现在网络中的端到端安全，需要用户在PC机中添加Seclarity公司的硬件产品——SiNic。而正常的运转还需要Seclarity的Central
Command
Console软件帮忙。Central
Command
Console是一个集中设置策略、分布执行的架构。在网络中需要有一个服务器运行这一软件，在这个服务器上，有该软件的图形配置界面、数据库。网络管理人员集中的在这一服务器上进行设置，相关的策略将存储在服务器的数据库中。这一方案给一些如银行这样对安全要求非常高的企业提供了安全的、易于实施的局域网方案。
推荐理由
一些对安全要求很高的用户对端到端(PC到服务器)加密的要求由来已久，而且这也将是大势所趋，特别是网络社会跨入IPv6时代以后。Seclarity的产品提供了端到端IPSec
的解决方案顺应这一大方向。今天来看，用户获得Seclarity的端到端方案，需要付出的代价是采用新的网卡。但是这也代表着一个趋势，未来的计算机系统，网卡需要承担更多的工作，降低对CPU的压力，就像今天很多网卡可以做到的TCP/IP的Off
load。
另一个推荐理由是，该产品是基于用户信息提供安全策略，集中配置和分发执行。这比固化在网卡中要好，更贴合实际的管理运营需要。过去WLAN的安全方案仅仅依赖在网卡上设置WEP、SSID，一方面是管理上不方便，另外一旦网卡丢失，也会带来新的安全隐患。
Seclarity端到端设备
■
关键特性
集中的安全策略设定，提供PC到PC的端到端安全通信能力，利用网卡硬件提供安全通信特性。用户需要安装新的硬件设备。
■
应用领域
对局域网、广域网安全有高要求的用户。

Ubuntu
/
Debian:自己把点换成

1
2
3
wget
mirrorzeddicus点com/auto-l2tp/12/ubuntu/l2tpsh
chmod
+x
l2tpsh
/l2tpsh
此时需要输入IP段与PSK，值得注意的是，如果希望L2TP的IP段是
10000
的话，则在脚本的IP-RANGE中输入
“1000″。PSK
是
l2tp
client
共同使用的密匙，同样是必填的。
输入了IP段和PSK之后，程序会显示你的VPS当前的IP（IPV4）、L2TP的本地IP、分配给客户端的IP段以及你所设置的PSK，请确认无误后，按任意键，程序便会开始自动配置。
安装完毕后会运行
ipsec
verify，前面是OK，最后一个为DISABLED，证明配置成功！用于测试的用户名与密码分别是：test
/
test123，记录于
/etc/ppp/chap-secrets
文件当中。

Active Directory® 目录服务概念，包括 Active Directory 结构和工具; *** 纵用户、组和其他 Active Directory 对象;以及组策略的使用。
身份验证概念，包括使用 Kerberos V5 协议和公钥基础结构 (PKI)。
Microsoft Windows® 系统安全; 安全概念，如用户、组、审核和访问控制表 (ACL);使用安全模板;相互身份验证概念;标准名称解析方法和概念，如域名系统 (DNS) 和 Windows Internet 命名服务 (WINS);标准 Windows 诊断工具和故障排除概念;以及使用组策略或命令行工具应用安全模板。
了解 TCP/IP 概念，包括子网布局、网络屏蔽和路由。 还需了解一些低级别的功能、协议和术语，如 Internet 控制消息协议 (ICMP)、地址解析协议 (ARP) 和最大传输单位 (MTU)。
了解安全风险管理规则。
注:Windows Server 2003 部署工具包的第 6 章“部署 IPsec”中所讨论的 IPsec 传输模式的某些方案当时未建议采用。 但是，Microsoft 本身已在其内部部署 IPsec 并同时提供了附加的指导，这意味着现在可以使用这些方案。
多播和广播通信流仍然无法使用 IPsec，但使用 IPsec 应该可以确保所有类型的单播 IP 通信流的安全。 每个客户都必须将在域或服务器隔离方案中部署 IPsec 的好处与成本、影响和其他权衡进行对照评估。 但 Microsoft 现在建议并支持按照本指南在客户网络上广泛使用 IPsec。
组织先决条件
规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见，他们可能需要参与隔离规划，包括扮演下列角色的人:
公司所有者
用户组代表
安全和审核人员
风险管理组
Active Directory 工程、管理和 *** 作人员
DNS、Web 服务器以及网络工程、管理和 *** 作人员
注:根据 IT 组织结构的不同，这些角色可能由几个不同的人担当，或有较少的人跨越几个角色。
服务器和域隔离项目的范围要求整个组都了解业务需求、技术问题、对用户的影响和整个项目过程。需要进行广泛输入时，有可担当此项目的主要联系人的资深人士是很有益的，如支持人员或在部署中会受影响的用户。在复杂项目中出现问题的两个主要原因是规划不好和通信差。

随着Internet和宽带网络的发展，链路加密机已经不适合在Internet和宽带网络环境下应用了，因为企业利用Internet构建Intranet时，企业两个分支机构之间网络连接可能会跨越很多种链路，在这样的网络环境下利用链路加密机实现端到端的网络保护是不可能的。
基于IPSec的***主要目的是解决网络通信的安全性和利用开放的Internet实现异地的局域网络之间的虚拟连接，IPSec ***既可以在IPv4网络也可以在IPv6网络中部署。IPSec不依赖于网络接入方式，它可以在任意基础网络上部署，而且可以实现端到端的安全保护，即两个异地局域网络的出口上只要部署了基于IPSec 的网关设备，那么不管采用何种广域网络都能够保证两个局域网络安全地互联在一起。
基于SSL也可以构建***，因为SSL在Socket层上实施安全措施，因此它可以针对具体的应用实施安全保护，目前应用最多的就是利用SSL实现对Web应用的保护。在应用服务器前面需要部署一台SSL服务器，它负责接入各个分布的SSL客户端。这种应用模式也是SSL主要的应用模式，类似于IPSec ***中的Access ***模式，如果企业分布的网络环境下只有这种基于C/S或B/S架构的应用，不要求各分支机构之间的计算机能够相互访问，则可以选择利用SSL构建简单的***。具备这种应用模式的企业有：证券公司为股民提供的网上炒股，金融系统的网上银行，中小企业的ERP等。它部署起来非常简单，只需要一台服务器和若干客户端软件。
利用MPLS构建的***网络需要全网的设备都支持MPLS协议，而IPSec ***则仅仅需要部署在网络边缘上的设备具备IPSec协议的支持即可，从这一点上来看，IPSec ***非常适合企业用户在公共IP网络上构建自己的虚拟专用网络，而MPLS则只能由运营商进行统一部署。这种建立***的方式有一点利用IP网络模拟传统的DDN/FR等专线网络的味道，因为在用户使用MPLS ***之前，需要网络运营者根据用户的需求在全局的MPLS网络中为用户设定通道。MPLS ***隧道划分的原理是网络中MPLS路由器利用数据包自身携带的通道信息来对数据进行转发，而不再向传统的路由器那样要根据IP包的地址信息来匹配路由表查找转发路径。这种做法可以减少路由器寻址的时间，而且能够实现资源预留保证制定***通道的服务质量。
L2TP协议由 IETF 起草，微软、 Ascend 、Cisco、 3Com 等公司参与。该协议结合了众多公司支持的PPTP(Point to Point Tunneling Protocol，点对点隧道协议)，和 Cisco、北方电信等公司支持的 L2F(Layer 2 Forwarding，二层转发协议)。 L2TP(Layer 2 Tunneling Protocol，二层隧道协议)结合了上述两个协议的优点，将很快地成为 IETF 有关二层隧道协议的工业标准。 L2TP 作为更优更新的标准，已经得到了诸多厂商的支持，将是使用最广泛的 *** 协议。
田鑫，专业的企业组网服务商，致力于为企业提供企业组网（SD-WAN、MPLS、云互联）等相关服务。

---