vpn虛擬網(wǎng)絡(luò)畢業(yè)論文

1、<p><b>　　摘 要</b></p><p>　　虛擬專用網(wǎng)絡(luò) VPN（Virtual Private Network )能通過(guò)公用網(wǎng)絡(luò)Internet建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。許多公司使用VPN向

2、公司外部的員工提供企業(yè)網(wǎng)絡(luò)接入。</p><p>　　本文基于VPN的理論，在前期對(duì)幾種VPN實(shí)際運(yùn)用中的各種問(wèn)題比較的基礎(chǔ)上，對(duì)反饋進(jìn)行分析來(lái)反映VPN現(xiàn)狀。之后，從客戶角度出發(fā)，分析了造成問(wèn)題的原因，進(jìn)而從可用性、安全性及管理性三個(gè)角度對(duì)顧客的需求進(jìn)行了分析。在此基礎(chǔ)上，筆者提出解決VPN問(wèn)題的措施。</p><p>　　關(guān)鍵字：VPN，IPSEC,SSLVPN, 安全性，虛擬化，遠(yuǎn)程

3、接入 </p><p><b>　　ABSTRACT</b></p><p>　　VPN (Virtual Private Network) through the public network to create a temporary, secure connection, which is a public network through the chaos o

4、f the security, stability of the tunnel. VPN is an extension of the intranet, it can help remote users, corporate offices, business partners and suppliers with the company's internal network connection to establish c

5、redible security and ensure the security of data transmission. Many companies provide VPN to the employees outside the corporate network acc</p><p>　　Key Words: VPN，IPSEC , SSLVPN, Security，Virtualization，Re

6、mote access</p><p><b>　　目 錄</b></p><p><b>　　第1章引言1</b></p><p>　　1.1 選題背景1</p><p>　　1.2 研究目標(biāo)和意義1</p><p>　　1.3 研究思路1</p>

7、<p>　　第2章研究的理論基礎(chǔ)2</p><p>　　2.1 VPN的定義2</p><p>　　2.2 VPN種類3</p><p>　　2.2.1 二層VPN L2TP3</p><p>　　2.2.2 三層VPN5</p><p>　　2.2.3 MPLSVPN9</p>

8、<p>　　2.3 VPN原理淺析9</p><p>　　2.3.1 機(jī)密性10</p><p>　　2.3.2 完整性和數(shù)據(jù)包認(rèn)證11</p><p>　　2.3.3 源認(rèn)證和數(shù)據(jù)來(lái)源認(rèn)證11</p><p>　　2.3.4 防重放13</p><p>　　2.3.5 Diffie-Hellman

9、算法13</p><p>　　2.4 VPN的比較14</p><p>　　2.4.1 IPsecVPN的優(yōu)點(diǎn)14</p><p>　　2.4.2 IPsecVPN的缺點(diǎn)15</p><p>　　2.4.3 SSL VPN的優(yōu)勢(shì)15</p><p>　　2.4.4 ISA VPN16</p>

10、<p>　　第3章VPN案例及其分析18</p><p>　　3.1 VPN在校園網(wǎng)構(gòu)建上的應(yīng)用18</p><p>　　3.1.1 方案背景18</p><p>　　3.1.2 VPN解決校園網(wǎng)安全風(fēng)險(xiǎn)18</p><p>　　3.1.3 VPN選擇： IPSec VPN還是SSL VPN20</p>&

11、lt;p>　　3.1.4 VPN為校園網(wǎng)帶來(lái)的應(yīng)用22</p><p>　　3.1.5 VPN支持的校園網(wǎng)接入方式23</p><p>　　3.1.6 VPN在某校校園網(wǎng)中的實(shí)際應(yīng)用27</p><p>　　3.1.7 結(jié)論28</p><p>　　3.2 方案分析28</p><p>　　第4章VP

12、N在企業(yè)構(gòu)建的應(yīng)用與優(yōu)化30</p><p>　　4.1 VPN在企業(yè)構(gòu)建的應(yīng)用30</p><p>　　4.1.1 意義，目標(biāo)和總體方案30</p><p>　　4.1.2 具體設(shè)計(jì)方案31</p><p>　　4.1.3 關(guān)鍵技術(shù)35</p><p>　　4.1.4 設(shè)計(jì)結(jié)果及作用36</p>

13、;<p>　　4.1.5 案例分析36</p><p>　　4.2 虛擬化的實(shí)現(xiàn)36</p><p>　　4.2.1 桌面虛擬化36</p><p>　　4.2.2 虛擬化的優(yōu)勢(shì)37</p><p>　　4.2.3 虛擬化的應(yīng)用方案40</p><p>　　第5章總結(jié)和展望44</p&

14、gt;<p>　　5.1 VPN的運(yùn)營(yíng)現(xiàn)狀44</p><p>　　5.2 VPN的前景展望44</p><p><b>　　參考文獻(xiàn)46</b></p><p><b>　　致謝48</b></p><p><b>　　引言</b></p>

15、<p><b>　　選題背景</b></p><p>　　虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)

16、投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 　目前很多單位都面臨著這樣的挑戰(zhàn)：分公司、經(jīng)銷商、合作伙伴、客戶和外地出差人員要求隨時(shí)經(jīng)過(guò)公用網(wǎng)訪問(wèn)公司的資源,這些資源包括:公司的內(nèi)部資料、辦公OA、ERP

17、系統(tǒng)、CRM系統(tǒng)、項(xiàng)目管理系統(tǒng)等?，F(xiàn)在很多公司通過(guò)使用IPSec VPN來(lái)保證公司總部和分支機(jī)構(gòu)以及移動(dòng)工作人員之間安全連接。</p><p><b>　　研究目標(biāo)和意義 </b></p><p>　　研究VPN的目標(biāo)是：找一種實(shí)施簡(jiǎn)便，不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，運(yùn)營(yíng)成本低的解決方案。</p><p><b>　　研究思路</b&g

18、t;</p><p>　　VPN原理分析，并且結(jié)合實(shí)際運(yùn)用分析各種VPN優(yōu)缺點(diǎn)，根據(jù)企業(yè)類型及大小選擇VPN及天翼，極通，CTRIX等遠(yuǎn)程接入軟件協(xié)同工作。</p><p><b>　　研究的理論基礎(chǔ)</b></p><p><b>　　VPN的定義</b></p><p>　　VPN的英文全稱是“

19、Virtual Private Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密的通訊協(xié)議為連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。</p><p>　　我們可以把VPN理解成為是建立在實(shí)際網(wǎng)絡(luò)（或物理網(wǎng)絡(luò)）基礎(chǔ)上的一

20、種功能性網(wǎng)絡(luò)。它利用低成本的公共網(wǎng)絡(luò)做為企業(yè)骨干網(wǎng)，同時(shí)又克服了公共網(wǎng)絡(luò)缺乏保密性的弱點(diǎn)，在VPN網(wǎng)絡(luò)中，位于公共網(wǎng)絡(luò)兩端的網(wǎng)絡(luò)在公共網(wǎng)絡(luò)上傳輸信息時(shí)，其信息都是經(jīng)過(guò)安全處理的，可以保證數(shù)據(jù)的完整性、真實(shí)性和私有性。</p><p>　　每家公司都有自己的內(nèi)部網(wǎng)絡(luò)，而這個(gè)網(wǎng)絡(luò)是封閉的、有邊界的。小一些的網(wǎng)絡(luò)可能僅由辦公室中的幾臺(tái)電腦組成，規(guī)模較大的網(wǎng)絡(luò)可能由一棟建筑物中的所有終端組成甚至整個(gè)廠區(qū)中的所有終端組成，

21、但無(wú)論如何，這個(gè)內(nèi)部網(wǎng)絡(luò)總是有邊界的，所以物理上將上?？偛康膬?nèi)網(wǎng)與北京分部的內(nèi)網(wǎng)直接相連在一般條件下是不可能實(shí)現(xiàn)的，而這一問(wèn)題同時(shí)也限制了企業(yè)內(nèi)部各種應(yīng)用的延伸。</p><p>　　網(wǎng)絡(luò)通信是采用分層機(jī)制實(shí)現(xiàn)的，上層的各種應(yīng)用無(wú)法查覺(jué)到下層網(wǎng)絡(luò)的工作方式，所以無(wú)論是邏輯上還是物理上只要將兩個(gè)網(wǎng)絡(luò)進(jìn)行直接連連，對(duì)于上層應(yīng)用來(lái)講是沒(méi)有分別的。VPN所實(shí)現(xiàn)的效果正是將兩個(gè)物理上分離的網(wǎng)絡(luò)通過(guò)Internet這個(gè)公共網(wǎng)

22、絡(luò)進(jìn)行邏輯上的直接連接，通過(guò)這種方式我們可以無(wú)限延伸企業(yè)的內(nèi)部網(wǎng)絡(luò)，繼而使所有用戶可以訪問(wèn)相同的資源，使用相同的應(yīng)用。</p><p>　　VPN的優(yōu)勢(shì)之處還在于它可以很好的利用當(dāng)前既有的Internet線路資源，不再受地域的限制，而對(duì)于用戶來(lái)講，VPN的工作方式是完全透明的。VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。針對(duì)不同的用戶要求，VPN有

23、三種解決方案：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），分別適用于遠(yuǎn)程/移動(dòng)用戶訪問(wèn)、連接各個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)、連接企業(yè)內(nèi)部網(wǎng)與合作伙伴內(nèi)部網(wǎng)。</p><p><b>　　VPN種類</b></p><p>　　二層VPN L2TP</p><p>　　該協(xié)議是

24、一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過(guò)也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP不支持。L2TP協(xié)議是由IETF起草，微軟、Ascend、Cisco，3com等公司參予制定的二層隧道協(xié)議，它結(jié)合了PPTP和L2F兩種二層隧道協(xié)議的優(yōu)點(diǎn)，為眾多公司所

25、接受，已經(jīng)成為IETF有關(guān)2層通道協(xié)議的工業(yè)標(biāo)準(zhǔn)，基于微軟的點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)和思科2層轉(zhuǎn)發(fā)協(xié)議(L2F)之上的，被一個(gè)因特網(wǎng)服務(wù)提供商和公司使用使這個(gè)虛擬私有網(wǎng)絡(luò)的操作能夠通過(guò)因特網(wǎng)。</p><p>　　L2TP VPN適用于移動(dòng)辦公用戶的VPN接入，可以提供嚴(yán)格的用戶驗(yàn)證功能，確保VPN接入用戶的合法性。L2TP VPN的連接方式分為兩種：PC直接發(fā)起連接和LAC設(shè)備發(fā)起連接。兩種方式適用于不同企

26、業(yè)對(duì)于VPN接入控制和管理的不同要求。</p><p>　　L2TP VPN可以提供LAC側(cè)的用戶接入驗(yàn)證和LNS側(cè)的用戶再次驗(yàn)證，可以提供比較安全的VPN接入功能。</p><p>　　L2TP 安全性考慮</p><p>　　L2TP VPN本身雖然提供較為嚴(yán)格的接入用戶的認(rèn)證功能，但不提供VPN數(shù)據(jù)的加密功能，如果需要對(duì)數(shù)據(jù)進(jìn)行安全加密可以同IPSEC協(xié)議進(jìn)行

27、配合。</p><p><b>　　L2TP客戶端功能</b></p><p>　　擴(kuò)展了標(biāo)準(zhǔn)的L2TP功能，支持LAC客戶端功能，不僅可以為PPP或PPPOE用戶提供接入，而且也可以為其他連接方式的用戶提供接入，例如以太網(wǎng)接入。并且可以適用動(dòng)態(tài)路由協(xié)議如OSPF進(jìn)行路由選路，增強(qiáng)了可擴(kuò)展性。</p><p>　　L2TP中的NAT問(wèn)題<

28、/p><p>　　LAC在同位于NAT之后的LNS建立連接時(shí)可能會(huì)出現(xiàn)問(wèn)題</p><p><b>　　L2TP多實(shí)例</b></p><p>　　L2TP協(xié)議上加入多實(shí)例技術(shù)，讓L2TP支持在一臺(tái)設(shè)備將不同的用戶劃分在不同的VPN，各個(gè)VPN之內(nèi)的數(shù)據(jù)可以互通，且在LNS兩個(gè)不同VPN之間的數(shù)據(jù)不能互相訪問(wèn)，即使L2TP接入是同一個(gè)設(shè)備。<

29、/p><p><b>　　三層VPN</b></p><p>　　三層VPN包含了很多種VPN，標(biāo)準(zhǔn)的IPsecVPN，SSLVPN，GRE隧道VPN，混合VPN等。企業(yè)一般按照自己的需求選擇合適的VPN，每種VPN都有自己的優(yōu)點(diǎn)和缺點(diǎn)。</p><p><b>　　1）SSLVPN</b></p><p&

30、gt;　　SSLVPN指的是基于安全套接層協(xié)議(Security Socket Layer-SSL)建立遠(yuǎn)程安全訪問(wèn)通道的VPN技術(shù)。它是近年來(lái)興起的VPN技術(shù)，其應(yīng)用隨著Web的普及和電子商務(wù)、遠(yuǎn)程辦公的興起而發(fā)展迅速。</p><p>　　2）GRE隧道VPN</p><p>　　通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC

31、1702中定義，它規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。 </p><p>　　GRE VPN：GRE（Generic Routing Encapsulation）即通用路由封裝協(xié)議是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如IP和IPX）的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。GRE是VPN（Virtual Private Network ）的第三層隧道協(xié)議，即在協(xié)議層之間采用

32、了一種被稱之為Tunnel（隧道）的技術(shù)。</p><p>　　GRE的隧道由兩端的源IP地址和目的IP地址來(lái)定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，并支持全部的路由協(xié)議，如RIP、OSPF、IGRP、EIGRP。通過(guò)GRE，用戶可以利用公用IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)和AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互聯(lián)，或?qū)W(wǎng)隱藏企業(yè)網(wǎng)的IP地址。</p><p>

33、　　3）IPsecVPN</p><p>　　IPsecVPN是網(wǎng)絡(luò)層的VPN技術(shù)，它獨(dú)立于應(yīng)用程序，以自己的封包封裝原始IP信息，因此可隱藏所有應(yīng)用協(xié)議的信息。一旦IPSEC建立加密隧道后，就可以實(shí)現(xiàn)各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等，每個(gè)傳輸直接對(duì)應(yīng)到VPN網(wǎng)關(guān)之后的相關(guān)服務(wù)器上。IPSEC是與應(yīng)用無(wú)關(guān)的技術(shù)，因此IPSec VPN的客戶端支持所有IP層協(xié)議，對(duì)應(yīng)用層協(xié)議完全透明，這是I

34、PSEC VPN最大優(yōu)點(diǎn)所在。</p><p><b>　　MPLSVPN</b></p><p>　　MPLS-VPN是指采用MPLS技術(shù)在寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實(shí)現(xiàn)跨地域、安全、高速、可靠 的數(shù)據(jù)、語(yǔ)音、圖像多業(yè)務(wù)通信，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專用網(wǎng)的安全 、靈活、高效結(jié)合在一起，為用戶提供高質(zhì)量

35、的服務(wù)。</p><p>　　MPLS-VPN產(chǎn)品可提供從64K－2M－100M的帶寬，目前已覆蓋全國(guó)50多個(gè)大中城市，以及香港、臺(tái)灣、日本、美國(guó)、韓國(guó)、新加坡、澳大利亞、馬來(lái)西亞、菲律賓等地，可充分滿足大型企業(yè)、跨國(guó)集團(tuán)進(jìn)行全國(guó)或全球組網(wǎng)的需求。</p><p><b>　　VPN原理淺析</b></p><p><b>　　IPs

36、ec協(xié)議棧</b></p><p>　　IPsec 結(jié)合了三個(gè)主要的協(xié)議從而組成了一個(gè)和諧的安全框架：</p><p>　　--Internet密鑰交換(IKE)協(xié)議----提供協(xié)商安全參數(shù)和創(chuàng)建認(rèn)證密鑰的框架。</p><p>　　--ESP(負(fù)載安全封裝)協(xié)議----提供加密,認(rèn)證和保護(hù)數(shù)據(jù)的框架。</p><p>　　--認(rèn)

37、證頭(AH)協(xié)議----提供認(rèn)證和保護(hù)數(shù)據(jù)的框架。</p><p>　　在這些協(xié)議中,IKE和ESP在一起配置.盡管AH也是IPsec協(xié)議的一個(gè)重要成分。但不像使用IPsec時(shí)那樣要做那么多的配置。一般情況下,AH的很多功能都被嵌入到ESP中了。IKE協(xié)議是負(fù)責(zé)在二個(gè)IPsec對(duì)等體間協(xié)商一條IPsec隧道的協(xié)議,IKE在隧道建立過(guò)程中主要完成以下任務(wù):</p><p><b>

38、　　--協(xié)商協(xié)議參數(shù)</b></p><p><b>　　--交換公共密鑰</b></p><p><b>　　--對(duì)雙方進(jìn)行認(rèn)證</b></p><p>　　--在交換后對(duì)密鑰進(jìn)行管理</p><p>　　IKE也是由三個(gè)協(xié)議組成：</p><p>　　--SK

39、EME----提供為認(rèn)證目的使用公開密鑰加密的機(jī)制</p><p>　　--Oakley----提供在二個(gè)IPsec對(duì)等體間達(dá)成相同加密密鑰的基于模式的機(jī)制。</p><p>　　--ISAKMP----定義了消息交換的體系結(jié)構(gòu),包括二個(gè)IPsec對(duì)等體間分組形式和狀態(tài)轉(zhuǎn)換。</p><p>　　IPsec協(xié)議可以完成四個(gè)功能：機(jī)密性，完整性，源認(rèn)證，防重放。<

40、;/p><p><b>　　機(jī)密性 </b></p><p>　　1）DES與3DES</p><p>　　DES和3DES是在VPN中非常普遍采用的加密算法。DES原名Lucifer，是IBM在20世紀(jì)70年代初期開發(fā)的。</p><p>　　DES是一個(gè)塊密碼加密算法。他提取一個(gè)固定長(zhǎng)度的數(shù)據(jù)塊，并使用對(duì)稱密鑰把它轉(zhuǎn)換

41、成同樣大小的加密數(shù)據(jù)塊。這個(gè)密鑰長(zhǎng)度是64位，但是其中8位用來(lái)做奇偶效驗(yàn)，所以有效密鑰長(zhǎng)度位56位。解密是使用相同的對(duì)稱密鑰對(duì)加密的數(shù)據(jù)塊進(jìn)行一個(gè)反過(guò)程。</p><p>　　攻破DES還沒(méi)有找到更容易的方法，但通過(guò)使用一種強(qiáng)力攻擊，嘗試2的55次方種可能的密鑰值來(lái)猜測(cè)使用的密碼信息。也有其他的攻破DES的方法，但是強(qiáng)力攻擊應(yīng)經(jīng)被證明是最適用的方法。DES在1998年被一臺(tái)超級(jí)計(jì)算機(jī)在56小時(shí)內(nèi)攻破，1999年用

42、分布式計(jì)算機(jī)DES被22小時(shí)內(nèi)攻破。而且很可能會(huì)出現(xiàn)一種專門破解DES的硬件設(shè)備，可以在一小時(shí)內(nèi)破解DES加密?，F(xiàn)在DES可以在PC上用40分鐘的時(shí)間攻破。</p><p>　　為了使DES算法有更強(qiáng)的生命力，NIST在1999年創(chuàng)建了3DES。理論上3DES 是DES的增強(qiáng)版本。3DES使用了3個(gè)階段的DES，而且更安全。DES使用了三個(gè)不同的56為密鑰，被執(zhí)行了三次，產(chǎn)生一個(gè)168位的有效密鑰長(zhǎng)度，而且沒(méi)有被

43、攻破。當(dāng)前還沒(méi)有出現(xiàn)可以攻破3DES的超級(jí)計(jì)算機(jī)。</p><p><b>　　2）AES</b></p><p>　　NITS在2002年用先進(jìn)的加密標(biāo)準(zhǔn)AES代替了DES和3DES。AES是一個(gè)對(duì)稱的數(shù)據(jù)塊密碼算法，它支持128、192、256位密鑰長(zhǎng)度，它在一輪計(jì)算中包含4個(gè)階段：它對(duì)128位密鑰重復(fù)10次，對(duì)192位密鑰重復(fù)12次，對(duì)256位密鑰重復(fù)14次。即

44、使是這樣，因?yàn)锳ES是用有效的方法編寫的，它實(shí)際上消耗CPU較少。在執(zhí)行加密的時(shí)候，密鑰的大小，和需要CPU的運(yùn)行時(shí)間并沒(méi)有什么線性關(guān)系。AES是IPsecVPN中最常使用的加密算法，也是對(duì)稱加密中最安全的算法。</p><p><b>　　完整性和數(shù)據(jù)包認(rèn)證</b></p><p>　　數(shù)據(jù)包認(rèn)證的實(shí)施——散列函數(shù)被用于將一個(gè)可變長(zhǎng)度的輸入，例如用戶數(shù)據(jù)或數(shù)據(jù)包以及

45、一個(gè)密鑰共同輸入一個(gè)散列函數(shù)來(lái)產(chǎn)生一個(gè)簽名。輸出的是一個(gè)固定的長(zhǎng)度結(jié)果。</p><p>　　散列消息驗(yàn)證碼（HMAC）是散列函數(shù)的一個(gè)子集。HMAC功能特別開發(fā)用于處理和數(shù)據(jù)及數(shù)據(jù)包有關(guān)的驗(yàn)證問(wèn)題。HMAC使用一個(gè)共享的對(duì)稱密鑰來(lái)產(chǎn)生固定輸出，也叫數(shù)字簽名或手印。只有知道密鑰的一方才能建立并檢驗(yàn)發(fā)送的數(shù)據(jù)簽名。1）MD5 HMAC</p><p>　　MD5是1994年由Ronald R

46、ivest 開發(fā)的。MD5創(chuàng)建一個(gè)128位的數(shù)字簽名。它比SHA更快，但是安全性稍差。它是目前IT市場(chǎng)上用的最多的HMAC。</p><p>　　2）SHA HMAC</p><p>　　SHA安全的散列算法由NITS開發(fā)，在VPN中使用的是SHA-1，它比md5慢，但是更安全，因?yàn)樗拿荑€比較長(zhǎng)，它可以有效地防止強(qiáng)大的攻破功能。</p><p>　　源認(rèn)證和數(shù)據(jù)來(lái)

47、源認(rèn)證</p><p><b>　　1）帶外域共享密鑰</b></p><p>　　最常用的設(shè)備驗(yàn)證方法就是帶外域共享對(duì)稱密鑰加密認(rèn)證。</p><p>　　自己的身份信息加上KEY，運(yùn)行HMAC算法發(fā)給對(duì)端（簽名發(fā)給對(duì)端）對(duì)端把收到的信息用自己的KEY和HMAC算法也算出一個(gè)簽名，這2個(gè)簽名如果一樣就說(shuō)明設(shè)備驗(yàn)證通過(guò)。一般設(shè)備驗(yàn)證的KEY不用

48、做加密，因?yàn)榧用芏际强赡娴模▽?duì)稱加密） 而HMAC不可逆。</p><p>　　2）域共享非對(duì)稱加密（加密隨機(jī)值）</p><p>　　表2-1域共享非對(duì)稱加密</p><p>　　3）數(shù)字證書（CA）</p><p><b>　　表2-2 數(shù)字證書</b></p><p>　　A和B如何確認(rèn)這個(gè)

49、公鑰就是CA給的，A和B會(huì)把這個(gè)CA的公鑰HASH了得到一個(gè)HASH結(jié)果，之后給網(wǎng)管打電話去問(wèn)看這個(gè)結(jié)果和CA服務(wù)器上的結(jié)果是不是一樣如果一樣則OK，這個(gè)叫離線確認(rèn)</p><p><b>　　防重放</b></p><p><b>　　1）AH</b></p><p>　　IPsec 認(rèn)證頭協(xié)議（IPsec AH）是 I

50、Psec 體系結(jié)構(gòu)中的一種主要協(xié)議，它為 IP 數(shù)據(jù)報(bào)提供無(wú)連接完整性與數(shù)據(jù)源認(rèn)證，并提供保護(hù)以避免重播情況。一旦建立安全連接，接收方就可能會(huì)選擇后一種服務(wù)。 AH 盡可能為 IP 頭和上層協(xié)議數(shù)據(jù)提供足夠多的認(rèn)證。但是，在傳輸過(guò)程中某些 IP 頭字段會(huì)發(fā)生變化，且發(fā)送方無(wú)法預(yù)測(cè)當(dāng)數(shù)據(jù)包到達(dá)接受端時(shí)此字段的值。 AH 并不能保護(hù)這種字段值。因此， AH 提供給 IP 頭的保護(hù)有些是零碎的。</p><p>　　A

51、H 可被獨(dú)立使用，或與 IP 封裝安全負(fù)載（ESP）相結(jié)合使用，或通過(guò)使用隧道模式的嵌套方式。在通信主機(jī)與通信主機(jī)之間、通信安全網(wǎng)關(guān)與通信安全網(wǎng)關(guān)之間或安全網(wǎng)關(guān)與主機(jī)之間可以提供安全服務(wù)。 ESP 提供了相同的安全服務(wù)并提供了一種保密性（加密）服務(wù)，而 ESP 與 AH 各自提供的認(rèn)證其根本區(qū)別在于它們的覆蓋范圍。特別地，不是由 ESP 封裝的 IP 頭字段則不受 ESP 保護(hù)。</p><p><b>

52、;　　2）ESP</b></p><p>　　IPsec 封裝安全負(fù)載（IPsec ESP）是 IPsec 體系結(jié)構(gòu)中的一種主要協(xié)議，其主要設(shè)計(jì)來(lái)在 IPv4 和 IPv6 中提供安全服務(wù)的混合應(yīng)用。IPsec ESP 通過(guò)加密需要保護(hù)的數(shù)據(jù)以及在 IPsec ESP 的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來(lái)提供機(jī)密性和完整性。根據(jù)用戶安全要求，這個(gè)機(jī)制既可以用于加密一個(gè)傳輸層的段（如：TCP、UDP、ICMP

53、、IGMP），也可以用于加密一整個(gè)的 IP 數(shù)據(jù)報(bào)。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個(gè)原始數(shù)據(jù)報(bào)提供機(jī)密性。</p><p>　　Diffie-Hellman算法</p><p>　　表2-3 Diffie-Hellman算法</p><p><b>　　VPN的比較</b></p><p>　　IPsecVP

54、N的優(yōu)點(diǎn)</p><p>　　IKE使IPsecVPN配置簡(jiǎn)單</p><p>　　簡(jiǎn)單的講IKE是一種安全機(jī)制，它提供端與端之間的動(dòng)態(tài)認(rèn)證。IKE為IPsec提供了自動(dòng)協(xié)商交換密鑰、建立SA的服務(wù)，這能夠簡(jiǎn)化IPsec的使用和管理，大大簡(jiǎn)化IPsec的配置和維護(hù)工作。IKE不是在網(wǎng)絡(luò)上直接傳輸密鑰，而是通過(guò)一系列數(shù)據(jù)的交換，最終計(jì)算出雙方共享的密鑰，有了IKE，IPsec很多參數(shù)（如：密

55、鑰）都可以自動(dòng)建立，降低了手工配置的復(fù)雜度。</p><p>　　IPsecVPN對(duì)應(yīng)用程序的高可擴(kuò)展性</p><p>　　所有使用IP協(xié)議進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用系統(tǒng)和服務(wù)都可以使用IPsec，由于IPSec工作在OSI的第3層，低于應(yīng)用程序直接涉及的層級(jí)，所以對(duì)于應(yīng)用程序來(lái)講，利用IPSec VPN所建立起來(lái)的隧道是完全透明的，無(wú)需修改既有的應(yīng)用程序，并且，現(xiàn)有應(yīng)用程序的安全解決方法也不會(huì)

56、受到任何影響。且當(dāng)有新的加密算法產(chǎn)生時(shí)可以直接移植進(jìn)IPsec協(xié)議棧。</p><p>　　IpsecVPN加密靈活：</p><p>　　對(duì)數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個(gè)數(shù)據(jù)流為單位，這不僅靈活而且有助于進(jìn)一步提高IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡(luò)攻擊。</p><p>　　IPsecVPN將網(wǎng)絡(luò)擴(kuò)展：</p><p>　　I

57、psecvpn完成使二個(gè)專用的網(wǎng)絡(luò)組合成一個(gè)虛擬網(wǎng)絡(luò)的無(wú)縫連接。將虛擬網(wǎng)絡(luò)擴(kuò)展成允許遠(yuǎn)程訪問(wèn)用戶(也被稱為road warriors)成為可信任網(wǎng)絡(luò)的一部分。</p><p>　　IPsecVPN的缺點(diǎn)</p><p>　　IPSec在客戶機(jī)/服務(wù)器模式下實(shí)現(xiàn)有一些問(wèn)題，在實(shí)際應(yīng)用中，需要公鑰來(lái)完成。IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動(dòng)態(tài)分配IP地址時(shí)不太適合于I

58、PSec。除了TCP/IP協(xié)議外，IPSec不支持其他協(xié)議。除了包過(guò)濾之外，它沒(méi)有指定其他訪問(wèn)控制方法?？赡芩淖畲笕秉c(diǎn)是微軟公司對(duì)IPSec的支持不夠。 IPSec在部署安全網(wǎng)關(guān)時(shí)要考慮拓?fù)渑判?，一旦添加新設(shè)備就要改變網(wǎng)絡(luò)結(jié)構(gòu)。</p><p>　　IPsecvpn須在防火墻上開放不同的通訊埠（21、25、80、110、443等）來(lái)作為服務(wù)器和客戶端之間的數(shù)據(jù)傳輸通道。在防火墻上，每開啟一個(gè)通訊埠，就多一個(gè)黑客

59、攻擊機(jī)會(huì)。</p><p>　　SSL VPN的優(yōu)勢(shì) </p><p>　　由于SSL協(xié)議本身就是一種安全技術(shù)，因此SSL VPN就具有防止信息泄漏、拒絕非法訪問(wèn)、保護(hù)信息的完整性、防止用戶假冒、保證系統(tǒng)的可用性的特點(diǎn)，能夠進(jìn)一步保障訪問(wèn)安全，從而擴(kuò)充了安全功能設(shè)施。</p><p>　　首先SSL VPN可以實(shí)現(xiàn)128位數(shù)據(jù)加密，保證數(shù)據(jù)在傳輸過(guò)程中不被竊取，確保

60、ERP數(shù)據(jù)傳輸?shù)陌踩?。其次，多種認(rèn)證和授權(quán)方式的使用能夠只讓“正確”的用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)，從而保護(hù)了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。 在應(yīng)用性方面，SSL VPN不需要安裝客戶端軟件。遠(yuǎn)程用戶只需借助標(biāo)準(zhǔn)的瀏覽器連接Internet，即可訪問(wèn)企業(yè)的網(wǎng)絡(luò)資源。這樣盡管購(gòu)買軟件和硬件的費(fèi)用不一定低，但是 SSL VPN的部署成本卻很低。只要安裝了SSL VPN，基本上就不需要IT部門的支持了，所以維護(hù)成本可以忽略不計(jì)。對(duì)于那些只需進(jìn)入企業(yè)內(nèi)

61、部網(wǎng)站或者進(jìn)行E-mail通信的遠(yuǎn)程用戶來(lái)說(shuō)，SSL VPN顯然是一個(gè)價(jià)廉物美的選擇。此外，SSL VPN連接要比IPSec VPN更穩(wěn)定，這是因?yàn)镮PSec VPN是網(wǎng)絡(luò)層連接，故容易中斷。除此之外，在管理維護(hù)和操作性方面，SSL VPN方案可以做到基于應(yīng)用的精細(xì)控制，基于用戶和組賦予不同的應(yīng)用訪問(wèn)權(quán)限，并對(duì)相關(guān)訪問(wèn)操作進(jìn)行審計(jì)。此外，SSL VPN還提高了平臺(tái)的靈活性，方便擴(kuò)展應(yīng)用和增強(qiáng)性能，尤其是在降低使用成本、最有效地保護(hù)用戶投

62、資這一敏感話題上，SSL VPN贏得了用戶</p><p>　　當(dāng)今Web成為標(biāo)準(zhǔn)平臺(tái)已勢(shì)不可擋，越來(lái)越多的企業(yè)開始將系統(tǒng)移植到Web上。而SSL VPN通過(guò)特殊的加密通訊協(xié)議，被認(rèn)為是實(shí)現(xiàn)遠(yuǎn)程安全訪問(wèn)Web應(yīng)用的最佳手段，能夠讓用戶隨時(shí)隨地甚至在移動(dòng)中連入企業(yè)內(nèi)網(wǎng)，將給企業(yè)帶來(lái)很高的利益和方便。</p><p><b>　　ISA VPN簡(jiǎn)介</b></p&g

63、t;<p>　　一些大型跨國(guó)公司解決這個(gè)問(wèn)題的方法，就是在各個(gè)公司之間租用運(yùn)營(yíng)商的專用線路。這個(gè)辦法雖然能解決問(wèn)題，但是費(fèi)用昂貴，對(duì)于中小企業(yè)來(lái)說(shuō)是無(wú)法負(fù)擔(dān)的，而VPN技術(shù)能解決這個(gè)問(wèn)題。根據(jù)該公司用戶的需求，遵循著方便實(shí)用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用ISA Server VPN安全方案，以ISA作為網(wǎng)絡(luò)訪問(wèn)的安全控制。ISA Server集成了Windows server VPN服務(wù)，提供一

64、個(gè)完善的防火墻和VPN解決方案。以 ISA VPN作為連接Internet的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡(luò)安全性。ISA具備了基于策略的安全性，并且能夠加速和管理對(duì)Internet的訪問(wèn)。防火墻能對(duì)數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)行數(shù)據(jù)過(guò)濾、對(duì)穿過(guò)防火墻的數(shù)據(jù)進(jìn)行狀態(tài)檢查、對(duì)訪問(wèn)策略進(jìn)行控制并對(duì)網(wǎng)絡(luò)通信進(jìn)行路由。對(duì)于各種規(guī)模的企業(yè)來(lái)說(shuō)，ISA Server 都可以增強(qiáng)網(wǎng)絡(luò)安全性、貫徹一致的 Internet 使用策略、加速 In

65、ternet 訪問(wèn)并實(shí)現(xiàn)員工工作效率最大化。</p><p>　　在ISA中可以使用以下三種協(xié)議來(lái)建立VPN連接： </p><p>　　?IPSEC隧道模式； </p><p>　　?L2TP over IPSec模式； </p><p><b>　　?PPTP； </b></p><p>　　

66、下表比較了這三種協(xié)議</p><p>　　表2-4 ISA 協(xié)議比較</p><p><b>　　VPN案例及其分析</b></p><p>　　VPN在校園網(wǎng)構(gòu)建上的應(yīng)用 </p><p><b>　　方案背景 </b></p><p>　　隨著教育信息化的深入，很多學(xué)校

67、都建立了校園網(wǎng)，為了實(shí)現(xiàn)校內(nèi)資源優(yōu)化整合，讓師生們更好的進(jìn)行工作和學(xué)習(xí)，他們需要在校園網(wǎng)內(nèi)部或在校外的遠(yuǎn)程節(jié)點(diǎn)上，隨時(shí)享受校園網(wǎng)內(nèi)部的各項(xiàng)服務(wù)，然而由于互聯(lián)網(wǎng)黑客對(duì)各高校的資源虎視眈眈，在沒(méi)有經(jīng)過(guò)任何允許的情況下，黑客們很容易就潛入校園網(wǎng)內(nèi)部進(jìn)行"搗亂"，為此，多數(shù)校園網(wǎng)都不會(huì)將自己的各種應(yīng)用系統(tǒng)和所有信息資源完全開放，因?yàn)檫@樣讓整個(gè)校園網(wǎng)面臨無(wú)以估量的破壞性損失，為了網(wǎng)絡(luò)安全考慮，將VPN技術(shù)應(yīng)用于基于公共互聯(lián)網(wǎng)構(gòu)

68、架的校園網(wǎng)，可以較好的解決校園網(wǎng)多校區(qū)、遠(yuǎn)程訪問(wèn)、遠(yuǎn)程管理等問(wèn)題。 根據(jù)接入方式的不同，校園網(wǎng)VPN可以為兩種類型：一是專線VPN通過(guò)固定的線路連接到ISP（如DDN、幀中繼等都是專線連接）；其次是撥號(hào)接入VPN（簡(jiǎn)稱VPDN），使用撥號(hào)連接（如模擬電話、ISDN和ADSL等）連接到ISP是典型的按需連接方式，這是-種非固定線路的VPN，比如ADSL是基于ATM（異步傳送模式）光纜傳輸接入Internet，學(xué)?？梢岳肁D

69、SL的公共IP地址建立自己的WWW服務(wù)器，因而也可以提供基于ATM的VPN（虛擬專用網(wǎng)）服務(wù)，從而形成虛擬的教育城域網(wǎng)實(shí)</p><p>　　VPN解決校園網(wǎng)安全風(fēng)險(xiǎn)</p><p>　　對(duì)于校園網(wǎng)而言，它雖然給師生帶來(lái)了資源共享的便捷，但同時(shí)也意味著具有安全風(fēng)險(xiǎn)，比如非授權(quán)訪問(wèn)，沒(méi)有預(yù)先經(jīng)過(guò)授權(quán)，就使用校園網(wǎng)絡(luò)或計(jì)算機(jī)資源；信息泄漏或丟失，重要數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失；以非法手

70、段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息；不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓；利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒等。那么，校園網(wǎng)利用VPN技術(shù)方案，是否能避免校園網(wǎng)的潛在安全隱患，杜絕上述情況的發(fā)生呢？</p><p>　　圖3-1 普通校園網(wǎng)方案并不安全</p><p>　　VPN的安全功能包括：通道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。遠(yuǎn)程外網(wǎng)

71、客戶機(jī)向校園網(wǎng)內(nèi)的VPN服務(wù)器發(fā)出請(qǐng)求，VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問(wèn)的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限，VPN服務(wù)器接受此連接。在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密。簡(jiǎn)單來(lái)說(shuō)，VPN可以通過(guò)對(duì)校園網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行封包和加密傳輸，在互聯(lián)網(wǎng)公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私

72、有網(wǎng)絡(luò)的安全級(jí)別。 </p><p>　　圖3-2 校園網(wǎng)VPN方案更為安全</p><p>　　選擇IPSec VPN還是SSL VPN：</p><p>　　校園網(wǎng)VPN方案可以通過(guò)公眾IP網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動(dòng)辦公人員等連接起來(lái)，減輕了校園網(wǎng)的遠(yuǎn)程訪問(wèn)費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開支，不過(guò)對(duì)于端到端的安全數(shù)據(jù)通訊，還需要

73、根據(jù)實(shí)際情況采取不同的架構(gòu)。一般而言，IPsec VPN和SSL VPN是目前校園網(wǎng)VPN方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，總體來(lái)說(shuō)，IPSEC VPN是提供站點(diǎn)與站點(diǎn)之間的連接，比較適合校園網(wǎng)內(nèi)分校與分校的連接；而SSL VPN則提供遠(yuǎn)程接入校園網(wǎng)服務(wù)，比如適合校園網(wǎng)與外網(wǎng)的連接。</p><p>　　圖3-3 VPN可實(shí)現(xiàn)多校區(qū)資源共享</p><p>　　從VPN技

74、術(shù)架構(gòu)來(lái)看，IPSec VPN是比較理想的校園網(wǎng)接入方案，由于它工作在網(wǎng)絡(luò)層，可以對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，可以實(shí)現(xiàn)Internet多專用網(wǎng)安全連接，而不管是哪類網(wǎng)絡(luò)應(yīng)用，它將遠(yuǎn)程客戶端"置于"校園內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。IPSec VPN還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置IPSec客戶端軟件和接入設(shè)備，這大大提高了安全級(jí)別，因?yàn)樵L問(wèn)受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)

75、制和預(yù)定義安全規(guī)則的限制。而且這些IPSec客戶端軟件能實(shí)現(xiàn)自動(dòng)安裝，不需要用戶參與，因而無(wú)論對(duì)網(wǎng)管還是終端用戶，都可以減輕安裝和維護(hù)上的負(fù)擔(dān)。</p><p>　　圖3-4 IPSec VPN實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)的原理</p><p>　　與IPSec VPN不同的是，SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)和TCP層之間，因而SSL VPN的"零客戶端"架構(gòu)特別適合

76、于遠(yuǎn)程用戶連接，用戶可通過(guò)任何Web瀏覽器訪問(wèn)校園網(wǎng)Web應(yīng)用，因而SSL VPN存在一定安全風(fēng)險(xiǎn)。而IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點(diǎn)接入，所以安全性更高一些。但不可否認(rèn)，SSL VPN依然更加適合大多數(shù)校園網(wǎng)，因?yàn)樵诨ヂ?lián)網(wǎng)時(shí)代，更多的信息交流需要實(shí)現(xiàn)完全互通，比如SSL VPN提供更細(xì)粒度的訪問(wèn)控制、能夠穿越NAT和防火墻設(shè)置、能夠較好地抵御外部系統(tǒng)和病毒攻擊、網(wǎng)絡(luò)部署靈活方便等特點(diǎn)，為其在校園網(wǎng)應(yīng)

77、用中贏得了不少亮點(diǎn)。</p><p>　　圖3-5 SSL VPN可實(shí)現(xiàn)校園網(wǎng)安全管理</p><p>　　VPN為校園網(wǎng)帶來(lái)的應(yīng)用</p><p>　　在校園網(wǎng)中，通過(guò)VPN給校外住戶、分校區(qū)用戶、出差遠(yuǎn)程辦公用戶、遠(yuǎn)程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。那么，VPN能為校園網(wǎng)帶來(lái)哪些具體應(yīng)用優(yōu)勢(shì)呢？首先就是辦公自動(dòng)化，比如校園辦公樓共有40個(gè)信息點(diǎn)，此時(shí)

78、可以通過(guò)校園網(wǎng)連至INTERNET用戶，實(shí)現(xiàn)100M甚至1000M到桌面的帶寬，并對(duì)財(cái)務(wù)科、人事科等科室進(jìn)行單獨(dú)子網(wǎng)管理。 還可以利用VPN在校園網(wǎng)內(nèi)建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學(xué)校具有兩個(gè)多媒體教室，每個(gè)教室60臺(tái)PC，通過(guò)校園網(wǎng)上連至INTERNET，實(shí)現(xiàn)遠(yuǎn)程多媒體教學(xué)的目的。也可以將學(xué)生、教職工宿舍區(qū)的PC通過(guò)校園網(wǎng)上連至INTERNET，而不進(jìn)行任何布置。</p><p>　　校園網(wǎng)采用VPN

79、技術(shù)可以降低使用費(fèi)，遠(yuǎn)程用戶可以通過(guò)向當(dāng)?shù)氐腎SP申請(qǐng)賬戶登錄到Internet，以Internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；學(xué)?？梢怨?jié)省購(gòu)買和維護(hù)通信設(shè)備的費(fèi)用?，F(xiàn)在很多大學(xué)都有多個(gè)分校，各個(gè)分校和培訓(xùn)場(chǎng)所網(wǎng)絡(luò)整合使學(xué)校的信息化管理成本必然的增加，比如學(xué)校的數(shù)據(jù)存儲(chǔ)，許多學(xué)校都采用了分布式存儲(chǔ)方式，其具有較低的投資花費(fèi)和軟件部署的靈活性，然而其管理難度高，后期維護(hù)成本高，如果采取VPN服務(wù)器，可以對(duì)各分校進(jìn)行

80、Web通訊控制，同時(shí)又可以實(shí)現(xiàn)分校訪問(wèn)互通。</p><p>　　圖3-6 校園網(wǎng)VPN典型應(yīng)用方案</p><p>　　為了讓師生共享圖書資源，與國(guó)外高校合作交換圖書館數(shù)據(jù)，以及向國(guó)外商業(yè)圖書館交納版權(quán)費(fèi)，獲得更多電子文獻(xiàn)資料的瀏覽權(quán)，很多高校都建立了數(shù)字圖書館，但在應(yīng)用上也會(huì)產(chǎn)生相應(yīng)的約束性，比如說(shuō)為了保證數(shù)據(jù)信息的知識(shí)產(chǎn)權(quán)，瀏覽者必須是已繳納版權(quán)費(fèi)的本校內(nèi)網(wǎng)地址，或則被校方授權(quán)過(guò)的內(nèi)

81、部合法師生，此時(shí)采用VPN加密技術(shù)，數(shù)據(jù)在Internet中傳輸時(shí)，Internet上的用戶只看到公共的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。不僅可以實(shí)現(xiàn)將校園網(wǎng)的連續(xù)性擴(kuò)展到校外；在校外可以訪問(wèn)校內(nèi)未向互聯(lián)網(wǎng)開放的資源。同時(shí)又確保了校園數(shù)字圖書館的易用性和安全性。      </p><p>　　圖3-7 VPN在校園數(shù)字圖書館的作用</p>

82、<p>　　VPN支持的校園網(wǎng)接入方式</p><p>　　在教育機(jī)構(gòu)的校園網(wǎng)，由于不同地區(qū)、不同學(xué)校的條件不同，它們選擇的網(wǎng)絡(luò)接入方式也有差異，比如條件不大好的中小學(xué)校，可能還在采取模擬電話、ISDN、ADSL撥號(hào)上網(wǎng)，而對(duì)于條件好的高校，則采取了光纖或DDN、幀中繼等專線連接，那么，VPN方案到底支持哪種接入方式呢？實(shí)際上，VPN可以支持最常用的網(wǎng)絡(luò)協(xié)議，因?yàn)樵贗nternet上組建VPN，用戶

83、計(jì)算機(jī)或網(wǎng)絡(luò)需要建立到ISP連接，與用戶上網(wǎng)接入方式相似，比如基于IP、IPX和NetBUI協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)都能使用VPN方案。</p><p>　　圖3-8 ADSL虛擬撥號(hào)實(shí)現(xiàn)VPN組網(wǎng)</p><p>　　A校校園網(wǎng)VPN解決方案：</p><p>　　我校共有兩個(gè)校區(qū)：老校區(qū)和新校區(qū)，兩個(gè)校區(qū)之間通過(guò)新校區(qū)的Cisco6513和老校區(qū)Cisco6509萬(wàn)

84、兆相連，Cisco6513又與邊界出口Cisco6503相連,具有四條通道：計(jì)費(fèi)網(wǎng)關(guān)，VPN，兩條Trunk通道。 網(wǎng)絡(luò)拓?fù)鋱D如圖3-9所示： </p><p>　　圖3-9 校園網(wǎng)VPN解決方案</p><p>　　因?yàn)镃isco6513為我校校園網(wǎng)核心交換，因此我們選擇CISCO VPN模塊安裝在Cisco6513上。在Cisco6513上的VPN配置如下： &#

85、160;  以下是啟動(dòng) aaa，打開radius服務(wù)器上的用戶認(rèn)證，打開cisco組用戶的本地授權(quán)的配置aaa new-modelaaa authentication login default group radius localaaa authorization network cisco local以下是為遠(yuǎn)端VPN用戶定義crypto策略，使用3des加密、共享密鑰和用group2產(chǎn)生密鑰的配置cr

86、ypto isakmp policy 1encr 3desauthentication pre-sharegroup 2以下是創(chuàng)建組驗(yàn)證的用戶名和密碼，分配DNS地址，指定要分配給VPN用戶的地址池以及允VPN用戶所能訪問(wèn)的IP范圍的配置：crypto isakmp invalid-spi-recoverycrypto isakmp keepalive 10crypto isakmp nat keepalive 15&l

87、t;/p><p>　　以下是定義crypto的transform屬性的配置：crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac以下是定義crypto的動(dòng)態(tài)map的配置crypto dynamic-map dynmap 1set transform-set transform-1 以下是創(chuàng)建一個(gè)合成的map，將合成map綁定到端口上的配置：

88、crypto map client-map client authentication list defaultcrypto map client-map isakmp authorization list ciscocrypto map client-map client configuration address respondcrypto map client-map 1 ipsec-isakmp dynamic dynm

89、ap 以下是定義兩個(gè)端口為vpn模塊的虛擬端口的配置：interface GigabitEthernet2/1switchportswitchport t</p><p>　　VPN在某校校園網(wǎng)中的實(shí)際應(yīng)用</p><p>　　該校VPN主要應(yīng)用于校園網(wǎng)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理以及校外用戶訪問(wèn)校內(nèi)網(wǎng)絡(luò)資源。具體應(yīng)用是通過(guò)VPN客戶端EZ-VPN,因?yàn)镋Z-VPN是Cisco公司的VPN客

90、戶端軟件，它允許用戶在不安全的網(wǎng)絡(luò)上建立VPN終端設(shè)備與客戶端之間的VPN通道，從而使得用戶能夠通過(guò)比如撥號(hào)等上網(wǎng)方式來(lái)安全的接入到校園網(wǎng)內(nèi)部，接入后獲得校園網(wǎng)內(nèi)部地址，這樣就可以訪問(wèn)校內(nèi)的共享資源。以下是客戶端操作實(shí)例圖，如圖3-10所示。以下是VPN客戶端軟件的配置說(shuō)明    Connection Entry中填寫VPN的名稱，Description可隨意填寫，Host中填寫VPN的服務(wù)器

91、名稱，Name和Password中分別填寫用戶名和密碼。</p><p>　　圖3-10 VPN客戶端</p><p><b>　　結(jié)論</b></p><p>　　該校校園網(wǎng)自2004年10月以來(lái)，利用VPN實(shí)現(xiàn)的遠(yuǎn)程OA和遠(yuǎn)程網(wǎng)絡(luò)管理運(yùn)行正常。實(shí)踐證明，VPN技術(shù)解決方案具有強(qiáng)勁的認(rèn)證功能、有效的加密保障、安全的遠(yuǎn)端存取、IP路徑選擇、防火

92、墻等功能，能夠較好地應(yīng)用于遠(yuǎn)程訪問(wèn)、企業(yè)網(wǎng)連接、外部網(wǎng)連接等。</p><p><b>　　方案分析 </b></p><p>　　由于SSL VPN網(wǎng)關(guān)雖然提供簡(jiǎn)單的包過(guò)濾功能，但是遠(yuǎn)遠(yuǎn)不如防火墻/VPN一體機(jī)安全，因此SSLVPN網(wǎng)關(guān)需要通過(guò)防火墻進(jìn)行特殊的安全保護(hù)部署；同時(shí)由于它位于防火墻后面，也使得SSL的數(shù)據(jù)無(wú)法被防火墻進(jìn)行安全過(guò)濾，但在同等條件下防火墻/V

93、PN一體機(jī)則很好解決了加密和防火墻的訪問(wèn)控制的矛盾。</p><p>　　圖3-11 在Windows中可輕易實(shí)現(xiàn)VPN連接</p><p>　　實(shí)際上，VPN技術(shù)原是路由設(shè)備具有的重要技術(shù)之一，也就是說(shuō)，市場(chǎng)上大部分交換機(jī)、路由器都可以支持VPN功能，因而從廣義上來(lái)看，目前VPN產(chǎn)品包括單純VPN網(wǎng)關(guān)、VPN路由器、VPN防火墻、VPN服務(wù)器等。如果選擇普通VPN設(shè)備，盡管其提供了身份驗(yàn)

94、證和數(shù)據(jù)加密能力，但對(duì)于需要與Internet互通的校園網(wǎng)，安全級(jí)別還遠(yuǎn)遠(yuǎn)不夠，為此，建議校園網(wǎng)選擇VPN防火墻，或者為普通VPN設(shè)備搭配一臺(tái)專用防火墻，不過(guò)要注意，如果采用普通VPN設(shè)備搭配防火墻，VPN與防火墻的協(xié)同工作會(huì)遇到很多難以解決的問(wèn)題，有可能不同廠家的防火墻和VPN不能協(xié)同工作，防火墻的安全策略無(wú)法制定或者帶來(lái)性能的損失，如防火墻無(wú)法使用NAT功能等。而如果采用VPN防火墻，則上述問(wèn)題不存在或很容易解決。</p>

95、;<p>　　VPN在企業(yè)構(gòu)建的應(yīng)用與優(yōu)化</p><p>　　VPN在企業(yè)構(gòu)建的應(yīng)用 </p><p><b>　　意義目標(biāo)和總體方案</b></p><p><b>　　1. 設(shè)計(jì)意義</b></p><p>　　通過(guò)功能模塊的設(shè)計(jì)，企業(yè)使用VPN技術(shù)組建網(wǎng)絡(luò)可以帶來(lái)以下好處<

96、;/p><p><b>　　2.降低費(fèi)用</b></p><p>　　首先遠(yuǎn)程用戶可以通過(guò)向當(dāng)?shù)氐腎sP申請(qǐng)賬戶登錄到Internet，以Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；其次企業(yè)可以節(jié)省購(gòu)買和維護(hù)通訊設(shè)備的費(fèi)用。</p><p><b>　　3.增強(qiáng)的安全性</b></p>&

97、lt;p>　　VPN使用三個(gè)方面的技術(shù)保證了通信的安全性通道協(xié)議，身份驗(yàn)證和數(shù)據(jù)加密?？蛻魴C(jī)向VPN服務(wù)器發(fā)出請(qǐng)求，VPN服務(wù)器響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問(wèn)的權(quán)限。如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限，VPN服務(wù)器接受此連接。在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密。</p

98、><p><b>　　4.網(wǎng)絡(luò)協(xié)議支持</b></p><p>　　VPN支持最常用的網(wǎng)絡(luò)協(xié)議?；贗P、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機(jī)都可以很容易地使用VPN。這意味著通過(guò)VPN連接可以遠(yuǎn)程運(yùn)行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。</p><p><b>　　5.IP地址安全</b></p><p&g

99、t;　　因?yàn)閂PN是加密的，VPN數(shù)據(jù)包在Internet中傳輸時(shí)，Internet上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址。因此遠(yuǎn)程專用網(wǎng)絡(luò)上指定的地址是受到保護(hù)的。</p><p><b>　　6.設(shè)計(jì)目標(biāo)</b></p><p>　　VPN相對(duì)于專線而言，在價(jià)格上有著絕對(duì)的優(yōu)勢(shì)；相對(duì)于普通PSTN撥號(hào)連接，VPN在安全性、保密性上更勝一籌。

100、企業(yè)通過(guò)使用VPN技術(shù)組建網(wǎng)絡(luò)，可以保證數(shù)據(jù)在傳輸過(guò)程中的安全性和QOS(服務(wù)質(zhì)量保證)。VPN具有很好的擴(kuò)展性，當(dāng)網(wǎng)絡(luò)擴(kuò)充與遠(yuǎn)程辦公室、國(guó)際區(qū)域、遠(yuǎn)程計(jì)算機(jī)、漫游的移動(dòng)用戶以及由于商務(wù)要求的商務(wù)伙伴等連接或是變更網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，企業(yè)只需依靠提供VPN服務(wù)的ISP就可以隨時(shí)擴(kuò)大VPN的容量和覆蓋范圍，因此可以大幅度降低數(shù)據(jù)通信的費(fèi)用。</p><p><b>　　7.總體方案</b></p

101、><p>　　使用基于IPSEC協(xié)議的VPN技術(shù)組建企業(yè)網(wǎng)，通過(guò)雙方路由器端的設(shè)置，Windows 2000 Server 服務(wù)器的配置和客戶端端撥號(hào)軟件的設(shè)置。使得一個(gè)企業(yè)總部與分公司或者是合作伙伴能夠使用現(xiàn)有網(wǎng)絡(luò)連接建立虛擬隧道連接。通過(guò)設(shè)置賬號(hào)、密碼以及權(quán)限，移動(dòng)辦公人員可以隨時(shí)隨地通過(guò)接入Internet，查看企業(yè)內(nèi)部資料。</p><p><b>　　具體設(shè)計(jì)方案</

102、b></p><p><b>　　1．需求分析</b></p><p>　　在本文設(shè)計(jì)的企業(yè)模型中，企業(yè)內(nèi)部以及各分支機(jī)構(gòu)網(wǎng)絡(luò)運(yùn)行有多種企業(yè)應(yīng)用。如總部?jī)?nèi)建設(shè)www、文檔共用服務(wù)、視頻會(huì)議系統(tǒng)、電子郵件系統(tǒng)、企業(yè)辦公自動(dòng)化系統(tǒng)、公司ERP系統(tǒng)等。公司在未來(lái)可能開發(fā)更多的內(nèi)部應(yīng)用，如Client/Server模式的應(yīng)用(TCP、UDP或TCP/UDP協(xié)議的應(yīng)用)，

103、公司通過(guò)防火墻接入Internet。而目前公司所有應(yīng)用僅限于公司局域網(wǎng)內(nèi)，出差員工不能訪問(wèn)。</p><p>　　隨著企業(yè)規(guī)模的擴(kuò)大，業(yè)務(wù)量也隨之逐漸增加，各地分公司、辦事處的業(yè)務(wù)部門之間的信息交互也日漸頻繁。部門間經(jīng)常需要傳遞一些重要的數(shù)據(jù)和信息，對(duì)于數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過(guò)程中的安全性要求顯得越來(lái)越重要。目前僅僅依靠Modem撥號(hào)，ADSL以及專線的組網(wǎng)模式已經(jīng)越來(lái)越不適應(yīng)本企業(yè)對(duì)信息傳輸平臺(tái)的要求了。為了實(shí)現(xiàn)在

104、整個(gè)企業(yè)范圍內(nèi)，能實(shí)時(shí)地與各異地分支機(jī)構(gòu)互聯(lián)。能夠很好地為各分支機(jī)構(gòu)提供各類現(xiàn)存服務(wù)，急需建設(shè)覆蓋各個(gè)異地分支機(jī)構(gòu)的信息服務(wù)網(wǎng)絡(luò)。根據(jù)企業(yè)情況，可以從經(jīng)濟(jì)、安全、經(jīng)營(yíng)方面考慮該企業(yè)的建網(wǎng)需求。</p><p>　　2. 從經(jīng)濟(jì)角度考慮</p><p>　　電信提供的專線組網(wǎng)方式費(fèi)用比較昂貴。企業(yè)在其他城市設(shè)立了許多家分支機(jī)構(gòu)，同時(shí)擁有緊密型的合作伙伴。相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點(diǎn)數(shù)目比較多，分部地區(qū)

105、比較廣，信息交互比較頻繁，每月的巨額通訊費(fèi)用和專線租用費(fèi)會(huì)給該企業(yè)帶來(lái)很大的壓力。</p><p><b>　　3.從安全方面考慮</b></p><p>　　電信提供的DDN、ADSL等傳輸平臺(tái)沒(méi)有經(jīng)過(guò)加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人篡改、竊取甚至破壞企業(yè)數(shù)據(jù)，將給企業(yè)造成不可估量的損失。</p><p>　　4

106、. 從經(jīng)營(yíng)角度考慮</p><p>　　該企業(yè)需要一個(gè)實(shí)時(shí)的、安全的、高速的、快捷的、穩(wěn)定的信息交互平臺(tái)，來(lái)滿足企業(yè)信息頻繁傳輸?shù)男枰?，增加企業(yè)的工作效率，提高企業(yè)的服務(wù)質(zhì)量，加快企業(yè)的信息化建設(shè)。適應(yīng)企業(yè)的快速發(fā)展，提升企業(yè)的良好形象。根據(jù)對(duì)該企業(yè)網(wǎng)絡(luò)需求進(jìn)行的深入了解和分析，此次VPN網(wǎng)絡(luò)方案實(shí)施將在保留原有網(wǎng)絡(luò)環(huán)境的情況下，將需要提供以下的一些具體的設(shè)置以滿足該企業(yè)需求：</p><p&

107、gt;　?、賹?shí)現(xiàn)總公司內(nèi)部區(qū)域網(wǎng)絡(luò)互聯(lián)，以及分公司，各分支機(jī)構(gòu)和辦事處的內(nèi)部區(qū)域網(wǎng)絡(luò)互聯(lián)；</p><p>　?、诳蛻?，合作伙伴或分公司可以安全訪問(wèn)公司授權(quán)訪問(wèn)的企業(yè)內(nèi)部網(wǎng)絡(luò)資源；</p><p>　?、鄢霾顔T工利用筆記本或公共電腦(如機(jī)場(chǎng)候機(jī)廳的電腦)也能夠較安全地訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)資源。</p><p>　　總部?jī)?nèi)網(wǎng)保證至少1OO臺(tái)電腦接入Internet，還要考

108、慮到公司以后的發(fā)展接入點(diǎn)的增加。同時(shí)實(shí)現(xiàn)一級(jí)分部通過(guò)相關(guān)設(shè)備在連到總部網(wǎng)絡(luò)的同時(shí)還提供訪問(wèn)公司FTP服務(wù)器，連接公司ERP系統(tǒng)提交與查詢相關(guān)資訊等要求?？梢蕴峁┕境霾钊藛T在各地通過(guò)互聯(lián)網(wǎng)和公司網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)。還提供訪問(wèn)公司FTP服務(wù)器，連接公司ERP系統(tǒng)提交與查詢相關(guān)資訊等需求。在各分支機(jī)構(gòu)和總公司之間創(chuàng)造一個(gè)集成化的辦公環(huán)境</p><p>　　為工作人員提供多功能的桌面辦公環(huán)境，解決辦公人員處理不同事務(wù)需

109、要使用不同工作環(huán)境的問(wèn)題；支持不同機(jī)構(gòu)間資訊傳遞，解決由人工傳送紙介質(zhì)或磁介質(zhì)資訊的問(wèn)題，實(shí)現(xiàn)工作效率和可靠性的有效提高。</p><p>　　綜上所述，如何快捷地解決該企業(yè)的企業(yè)聯(lián)網(wǎng)問(wèn)題，如何有效地降低企業(yè)的巨額通訊費(fèi)用，如何很好地解決信息的共享和信息的安全問(wèn)題是本方案重點(diǎn)討論要解決的問(wèn)題，使整個(gè)網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個(gè)網(wǎng)絡(luò)的安全性達(dá)到一個(gè)全面加強(qiáng)。通過(guò)綜合比較，采用VPN方式組網(wǎng)具有投資成本低、高帶寬