25.1. IPSEC/VPN -FreeS/WAN
IPSEC 即互联网协议安全(Internet Protocol Security)。它使用强大的密码学技术来提供身份验证和加密服务。身份验证确保数据包来自正确的发送者,并且在传输过程中没有被篡改。加密防止未经授权读取数据包内容。IPSEC 可以保护任何在 IP 之上运行的协议以及任何在 IP 之下使用的介质。
IPSEC 还可以在后台提供一些安全服务,对用户没有任何可见的影响。更重要的是,它可以保护在复杂介质组合上运行的多种协议,例如 IMAP/POP 等,而无需以任何方式更改它们,因为加密发生在 IP 层。
IPSEC 服务允许您通过不受信任的网络构建安全隧道。所有通过不受信任网络传输的内容都由 IPSEC 网关机器加密,并在另一端的网关解密。结果就是虚拟专用网络,即 VPN (Virtual Private Network)。这是一个即使包含通过不安全的互联网连接的多个不同站点的机器,也实际上是私有的网络。
这些安装说明假设:
命令与 Unix 兼容。
源路径是:/usr/src
安装已在 Red Hat Linux 6.1 和 6.2 上测试过。
安装中的所有步骤都将在超级用户帐户中进行:root
内核版本号为 2.2.14
FreeS/WAN VPN 版本号为 1.3
以下是软件包及其可用位置:
| 内核主页:http://www.kernelnotes.org/ |
| 您必须确保下载:linux-2_2_14_tar.gz |
| FreeS/WAN VPN 主页站点:http://www.freeswan.org/ |
| FreeS/WAN VPN FTP 站点:194.109.6.26 |
| 您必须确保下载:freeswan-1.3.tar.gz |
在解压缩 tarball 之前,最好先列出安装 FreeS/WAN 之前系统上的文件列表,然后再列出安装之后的列表,然后使用 diff 命令比较它们,以找出它将文件放置在何处。只需运行 find/* > Freeswan1之前和 find/* > Freeswan2安装软件之后,并使用 diffFreeswan1 Freeswan2 > Freeswan-Installed以获取更改的文件列表。
一些先决条件;IPSEC FreeS/WAN 虚拟专用网络软件的安装需要对原始内核进行一些修改,因为必须将 FreeS/WAN 包含并合并到您的内核中才能使用它。因此,安装 FreeS/WAN 软件的第一步是转到本书中的 Linux 内核 部分,并按照关于如何在您的系统上安装 Linux 内核的说明进行操作,即使您之前已经这样做过,并在执行了 make dep; make clean 命令之后,但在 Linux 内核部分的 make bzImage 命令之前,返回到 Linux FreeS/WAN VPN(本节)。
 |
强烈建议您不要在内核中使用优化标志编译任何内容,如果您打算在系统上安装 FreeSWAN 软件。添加到 Linux 内核的任何优化标志都会在 FreeSWAN IPSEC 软件尝试运行时产生错误消息;这是一个重要的警告,您必须注意,否则 FreeSWAN 将无法工作。 配置和构建安全、优化的内核 中记录的优化标志适用于本书的所有章节和部分,但 FreeSWAN IPSEC 软件除外。再次强调,我重复一遍,在编译和修补 Linux 内核以支持 FreeSWAN 时,请勿使用或添加任何优化选项或标志。 |
要编译 FreeS/WAN,您需要解压缩 tarball 文件 (tar.gz)。
[root@deep] /# cp freeswan-version.tar.gz /usr/src/
[root@deep] /# cd /usr/src
[root@deep ]/src# tar xzpf freeswan-version.tar.gz
[root@deep ]src# chown -R 0.0 /usr/src/freeswan-version
|