VPN IPSec

IPsec VPN 的難題：Firewall 與 NAT 的配置 林宸堂 2001/9/12

一、前言

VPN（Virtual Private Network，虛擬私有網路）是近年來網路應用中最受矚目的營運模式，因為它利用公用網路取代專線連接企業的區域網路，不僅大幅降低建置成本，也提高了未來擴充的便利性。一般VPN可分為CPE (Customer Premises Equipment) -based VPN以及Network-based VPN。前者主要由企業用戶端自行利用L2TP或IPsec這類的技術，與遠端的CPE-based VPN Devices建置跨越公用網路的虛擬私有通道，是現今最為常見的VPN解決方案；後者則是由網路服務提供者（Service Providers，SP）直接提供VPN的建置服務，特別現在因為高速網路技術的快速發展（例如DWDM、10 Gigabit Ethernet等），傳輸成本大幅降低，無論是MAN或WAN都可提供更便宜、及更具擴充性的VPN網路建置，並由SP提供專業、且集中式的安全管理（Firewall、Anti-Virus、Intrusion Detection…）、還有更完善的頻寬管理。面對越來越嚴苛的網路安全問題、以及網路迅速擴充的需求，CPE-based VPN雖然為企業帶來極大的CPE設備、系統管理、及人員訓練等成本負擔，但是CPE-based VPN具有較高的技術成熟度、以及一切皆操控於企業主本身的可靠性，仍使得CPE-based VPN受到用戶的極度擁戴。從圖一的相關市場預測看來，未來幾年內，Network-based VPN雖然呈現快速成長的趨勢，但是CPE-based VPN設備仍會佔有大半的市場。

目前CPE-based VPN所使用的技術中約略可區分為Layer 2的PPTP [1] 或是L2TP [2] 的通道（Tunneling）技術，以及Layer 3的IPsec [3、4] 技術。這些VPN技術因為都是透過IP的封裝格式傳送，因此亦被統稱是IP-VPN的技術。Layer 2的Tunneling技術因為對於資料的保護能力較為缺乏，對於企業的網路通訊應用相對受限較多，因此目前企業的VPN多是採用Layer 3的IPsec解決方案。雖然IPsec VPN具有：採用IP封裝技術、適用於Internet的環境，保證資料傳輸過程的隱密與完整，支援完整的加密金鑰的管理協定....等優點，但是因為IPsec所採用的加密技術限制了許多封包處理程序，導致IPsec VPN系統與原有的網路安全保護機制，如Firewall及NAT產生整合困難、甚至是不相容的窘境。這篇文章的目的即是要探討IPsec VPN系統在配置Firewall或NAT機制時所需要的成本、安全性、及可行性的考量。

在接下來的文章中，我們會先簡介IPsec VPN的運作架構特性，以利讀者了解何以IPsec與Firewall或NAT並用時會發生問題（但關於IPsec更詳細的功能規格，請讀者參閱相關的標準文件 [3-6]）。第三節我們會介紹IPsec VPN Devices與Firewall Devices如何組合並用？有何優缺點？第四節我們將介紹IPsec與NAT並用所引起的問題、及可能的解決方式。

二、IPsec VPN簡介

目前絕大部份的VPN應用多是透過Internet，這是一個IP-based的網路環境，如果可以在網際網路層（IP Layer）一次解決安全問題，則不僅VPN的安全問題得以解決，同時也可減少開發VPN應用系統時對安全機制的額外需求。因此IETF在設計下世代IPv6時，即提出相關的安全保密架構，後來該架構才獨立為「網際網路層安全協定」（IP Security Protocol），簡稱IPsec [3、4]。IPsec VPN的「安全」並不僅在於保證資訊的隱密（Confidentiality），避免第三者「竊聽」到通訊內容，同時還確保網路傳送內容不被篡改破壞，亦即所謂資料的一致性（Integrity）；另外就是資料來源的驗證（Authentication），確定資料並非來自公用網路上第三者所偽造。

l IPsec的安全協定

IPsec提供兩種安全協定：AH（Authentication Header [5]）與ESP（Encapsulating Security Payload [6]）。AH主要透過Hash function（例如MD5及SHA-1）的技巧，提供封包來源的驗證、以及內容一致性的檢查，因此，一旦IP封包（包含IP Header及Data Payload）在網路上遭人篡改或假造都可檢查出來。ESP則可同時結合加密演算法（如DES、3DES、或AES）及Hash function，對封包內容加密後即可不用擔心封包遭竊取，同時亦可有類似AH的驗證能力。但是ESP協定對於防篡改或造假的能力並不如AH強大，因此雖然ESP亦有類似驗證功能，仍不可完全取代AH。

l IPsec的封裝機制

對於IPsec如何與既有的IP-based網路結合，IPsec提出兩種不同實作的封裝機制︰Transport Mode與Tunnel Mode [3]。前者即是所謂的Host-to-Host的封裝機制，亦即由連線兩端主機對其交換的IP封包以前段所述的AH或（及）ESP做安全保護，兩通訊主機皆須實作有IPsec。而後者，Tunnel Mode則是所謂Gateway-to-Gateway（或Host），其原理是通訊主機先將未保護的IP封包傳給具IPsec功能的Security Gateway（通常是區域網路對外的Router），Gateway再將封包以IPsec保護、傳給遠端的Gateway，對方在解除IPsec的保護機制後、再把還原後的IP封包轉送至真正的目的端主機。

餘文轉看原作者網頁。
Source: IPsec VPN 的難題：Firewall 與 NAT 的配置
Address : <http://www.iii.org.tw/ncl/document/IPSecVPN.htm>