关键词VPN;虚拟专用网;SSLVPN;IPSecVPN
1引言
VPN(VirtualPrivateNetwork)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
2隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,如图1所示。
图1
现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
3军队院校校园网建设VPN技术应用设想
随着我军三期网的建设,VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先,军队的特殊性要求一些信息的传达要做到安全可靠,采用VPN技术会大大提高网络传输的可靠性;第二,军队院校不但有各教研室和学员队,还包括保障部队、管理机构等,下属部门较多,有些部门相距甚至不在一个地方,采用VPN技术可简化网络的设计和管理;第三,采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。
而VPN技术的特点正好能够满足以上几点需求。首先是安全性,VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP),并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据,还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。第二,在解决异地访问本地电子资源问题上,这正是VPN技术的主要特点之一,可以让外地的授权用户方便地访问本地的资源。目前,主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术,它能够更加有效地进行访问控制,而且安全易用,不需要高额的费用。该技术主要具有以下几个特点:第一,安全性高;第二,便于扩展;第三,简单性;第四,兼容性好。
我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好,由于IPSecVPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSecVPN网关,它可以在内部为所欲为。因此,IPSecVPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全,而SSLVPN则是接入企业内部的应用,而不是企业的整个网络。它可以根据用户的不同身份,给予不同的访问权限,从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构,安全保密应该是主要考虑的方面之一。第二,SSLVPN与IPSecVPN相比,具有更好的可扩展性。可以随时根据需要,添加需要VPN保护的服务器。而IPSecVPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSecVPN就要重新部署。第三,操作的复杂度低,它不需要配置,可以立即安装、立即生效,另外客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行。第四,SSLVPN的兼容性很好,而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。此外,使用SSLVPN还具有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入;但是对于IPSecVPN来说,每增加一个需要访问的分支就需要添加一个硬件设备。
虽然SSLVPN的优点很多,但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个局域网之间通过网络建立的安全连接,保护的是点对点之间的通信,并且,IPSecVPN工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。可用于军校之间建立虚拟专用网,进行安全可靠的信息传送。
4结论
总之,VPN是一项综合性的网络新技术,目前的运用还不是非常地普及,在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求,VPN技术将会发挥其应有的作用。
参考文献
关键词:虚拟专用网VPN远程访问网络安全
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、VPN技术简介
VPN(VirtualPrivateNetwork)即虚拟专用网络,指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和Internet用户的接入,以实现安全快捷的网络连接。
二、基于Internet的VPN网络架构及安全性分析
VPN技术类型有很多种,在互联网技术高速发展的今天,可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用,基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对VPN的常规需求。
2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。
2.2VPN技术安全性分析VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、Windows环境下VPN网络的设计与应用
企业利用Internet网络技术和Windows系统设计出VPN网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,VPN服务端需要建立在Windows服务器的运行环境中,客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。
3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或VPN)”;外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,即赋予了远端用户拨入VPN服务器的权限。
3.2VPN客户端配置VPN客户端适用范围更广,这里以Windows2003为例说明,其它的Windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“VPN服务器选择”窗口里,输入VPN服务端地址,可以是固定IP,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。:
3.3连接后的共享操作当VPN客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业OA,ERP等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献:
关键词:VPN简介特点实现技术
中图分类号:TP393文献标识码:A 文章编号:1672-3791(2012)04(a)-0000-00
现如今,针对网络的安全性、保密性、可靠稳定性的问题而研究出来并迅速发展起来了一种技术,那就是VPN。无论是数据传输的可靠性、网络安全性,还是经济实用性来看,VPN技术是一种不错的选择。
1VPN
1.1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork)简称VPN,它是一种“用于公共数据网络,提供用户一种可以直接连接到私人局域网感觉的服务”。它不仅节省了用户不少的费用,还提供了更强大的安全性和可靠性。
我们将VPN分成三大类:一是企业与合作伙伴、客户、供应商之间的ExtranetVPN,二是企业网与远程(移动)雇员之间的远程访问(Re-moteAccess)VPN,三是企业各部门与远程分支之间的In-tranetVPN。
1.2 VPN特点
1.2.1 非常良好的安全性
VPN 在架构上采用了很多种安全机制,例如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(Intrusion Detection)等技术来解决这个问题。就是为了保证重要性的资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。它可以通过使用点到点协议用户级身份验证的方法来进行确认,而对一些敏感的数据,我们将通过使用VPN连接VPN服务器将高度敏感的数据地址物理地进行分隔,它只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,我们还可以访问一些敏感部门网络中受到保护的资源。所有的流量都经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。
1.2.2 成本低
远程用户可以通过向当地的ISP申请账户登陆到Internet,我们可以将Internet作为隧道与企业内部专用网络相连,用户的通信费用大幅度降低;然后,企业可以节省购买和维护通讯设备的费用。据分析,在 LAN(局域网)-to-LAN(局域网)连接时,用 VPN 与使用专线的成本相比较,要比其它的节省 30%~50% 左右;就远程访问而言,用 VPN比直接拨入到企业内部网络节省 60%~80% 的成本。这是由于VPN 在设备的使用量及广域网络的频宽使用上,平均比专线式的架构节省,因而能使网络的总成本(Total Cost of Ownership)降低。
1.2.3 管理简便
由于VPN 使用了比较少的设备来建立网络,所以使网络的管理更为轻松;不管连接的是哪个用户都需要通过VPN隧道的路径来进入内部网络。
1.2.4 网络架构弹性大
VPN的平台具备非常完整的扩展性,大到企业总部的各个设备,小到各分公司,还有个人拨号用户,都能被包含于整体的 VPN 架构中,同时,VPN 的平台还具有对未来广域网络频宽扩充及连接更新架构的特性。VPN 和专线式的架构相比较具有弹性,当将网络扩充或是变更网络架构时, VPN 可以轻松的达到目的。
1.2.5 它还具有网络协议的支持
对于IP、IPX和NetBEUI协议,网络客户机都可以轻易的使用VPN。这就意味着我们通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。所以VPN支持最常用的网络协议。
1.2.6 能够使用多种宽带技术
不论是ADSL、Cable还是 Modem,用户都可以选择使用本地服务供应商所能够提供的宽带接入技术。
1.2.7 IP地址的安全性
我们以Internet作为传输载体,再采用VPN技术,来实现企业网宽带远程访问,那是一个非常理想的企业网远程宽带访问解决方案。因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只能看到公用的IP地址,却看不到VPN使用的协议。
1.2.8 具有高度的灵活性
只要该用户能够接入Internet,用户不论是在家中、在出差途中、还是在任何环境中,他都能够安全地连接到企业网内部。这样既不受到地域限制,也不会受到接入方式限制。
2VPN的实现技术
VPN实现具有三个关键技术是隧道技术、加密技术和QoS技术。
2.1 隧道技术
隧道技术可以通过路由器满足ExtranetVPN以及IntranetVPN的需求。但在远程访问VPN过程中,多数用户是采用拨号上网。这时我们就可以通过L2TP和PPTP来加以解决。
2.2 加密技术
加密技术可以对数据或报文头进行加密。网络层加密实现的最安全方法是在主机的端到端进行。在网络层中的加密标准是IPSec。它的另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。
2.3 QoS技术
QoS应该在主机网络中实行,这也就是VPN建立起来的隧道这一段,这样我们才可以建成一条性能符合用户要求的隧道。 对于公共网的VPN我们可以通过隧道技术、数据加密技术以及QoS机制,来使VPN用户降低成本、提高效率、增强安全性,VPN终将是广大用户的最终选择。
我们通过隧道技术和加密技术,已经能够建立起一个具有互操作性、安全性的VPN,但是这个VPN在性能上还不稳定,管理上仍不能满足所有企业的要求,这就要加入一些QoS技术。
3 结 语
现如今,VPN技术可以利用在公共网络上建立起来的安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,它是企业内部网的一个扩展和延伸。VPN技术在未来的企业信息化建设中具有广阔的前景,国内的VPN应用已经有向银行、保险、运输、大型制造与连锁企业迅速扩散的趋势,这是市场发展的必然。VPN已经是通信技术上的一个重要的突破,它使Internet这种大众化而又不安全的网络发挥出了重要作用。但就现在而言,VPN还存在一些缺陷,VPN协议还没有完全标准化,而各VPN产品厂商对VPN也有不同的认知。总的来说,随着虚拟运营商逐渐进入VPN服务领域,我们还有更多的电信业务运营的ISP浮出水面,而国内的一些企业对VPN的认识还在逐步加深和探究。
参考文献
[1] 杨小平等.《Internet应用基础教程》.省略screen.省略/zhishipuji/knowledge/vpn.htm
[3] 王达等.虚拟专用网(VPN)精解[M] 北京:清华大学出版社,2004.
[4] 杨永斌.VPN技术应用研究[J]. 计算机科学,2004,(10).
关键词:VPN,多出口,校园网,远程访问,ISP
1.校园网问题分析及其解决方案的提出
虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。
近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。
为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。
2.VPN关键技术研究
⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。
3.基于VPN技术的多出口校园网的设计
3.1 网络结构规划
为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。
图1 网络拓扑图
3.2 网络工作原理
在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。
3.3 技术要点
⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。
⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。
⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。
⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。
4.结束语
多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。
参考文献
[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07
[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11
[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01
[4]何胜辉.多出口校园网体系结构分析设计.网络通讯及安全,2008.02
关键词:VPN,多出口,校园网,远程访问,ISP
1.校园网问题分析及其解决方案的提出
虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。
近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。
为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。
2.VPN关键技术研究
⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。
3.基于VPN技术的多出口校园网的设计
3.1 网络结构规划
为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。
图1 网络拓扑图
3.2 网络工作原理
在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。
3.3 技术要点
⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。
⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。
⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。
⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。
4.结束语
多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。
参考文献
[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07
[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11
[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01
[4]何胜辉.多出口校园网体系结构分析设计.网络通讯及安全,2008.02
【关键词】VPN 安全 SSL
VPN网络广泛应用于各行各业,那么VPN真的安全吗?这是作为网络管理人员不得不考虑的问题。下面我们将通过对SSL VPN的安全性的讨论来窥伺VPN安全性的一斑。
1 VPN基本结构
VPN和简单的将数据包加密是完全不同的。它主要由隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术组成。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。SSL加密协议应用到VPN中,就是我们常说的SSL VPN,安全性相对比较高。
2 VPN安全隐忧
理论上VPN具有较高的安全性,但网络中没有绝对的安全,我们以安全性较高的SSL VPN来深入探讨。由于SSL VPN并不需要特殊的客户端软件,而是用Web浏览器代替,因此SSL VPN的安全威胁主要集中在浏览器和服务器上。
2.1 客户端的安全隐患
2.1.1 临时文件
WINDOWS系统在运行过程中会产生临时文件,包括系y运行和上网所产生的临时文件,SSL VPN通过浏览器与服务器端进行通信活动,用户退出VPN系统时,不会自行清除临时文件。这些数据会被缓存在临时文件夹中,浏览器的缓存信息、浏览器URL记录、Cookie等都可能被保存下来。
2.1.2 用户忘记退出
由于网络用户是一个庞大的用户群,大部分用户都不知道如何正确退出VPN系统,单位管理员也不会刻意要求用户及时退出系统,用户事后一般就是关闭浏览器,并没有真正退出VPN系统,这就给SSL VPN系统带来了又一安全隐患。
2.1.3 病毒通过隧道感染内部网络
SSL VPN用户可以使用任何电脑远程登录单位内部网络,用户如果使用带有病毒的电脑接入SSL VPN网络,即使用户网与VPN网之间有防火墙,有些病毒仍将会通过VPN隧道感染SSL VPN网络内部的软件与文件资料。
2.1.4 操作环境风险
通过浏览器,用户可以不受使用地点限制,随意登录VPN系统,在公共场合,如果用户的防护意识不强,登录口令等安全信息泄露的风险增加,他人可以临时“借用”身份证书即可轻松进入相关系统。
2.1.5 内部网络信息泄密
内部应用程序往往使用到内网IP地址或是内部机器名,远程用户通过SSL VPN调用内部应用程序时,SSL VPN就必须将这些内部地址转化为因特网可识别的地址(HAT技术)。由于各个系统对安全性有不同的要求,HAT技术在实现,如果HAT技术应用不恰当,那么黑客可能通过用户访问内部网络的历史记录中分析到内部网络结构情况。
2.2 服务器端安全问题
2.2.1 应用层的安全威胁
SSL VPN一般通过两种方法实现:一是直接使用Web服务器作为其底层平台架设VPN服务器,由于VPN和Web服务器在同一台设备上,Web服务器的安全隐患也将会影响VPN。二是通过独立设备实现SSL VPN,包括硬件与操作系统,这种方式具有较高的安全性,但随着技术的进步,一段时间后这种方式也将暴露出其本身的固有的隐患,这种独立硬件的漏洞决定了整个系统的安全性。
2.2.2 身份认证
由于用户可以通过任何计算机登录进入VPN,可能将用户名和密码泄露,因此服务器端对请求接入的用户的身份认证过程显得更加复杂和重要,对安全性的要求也更高。
3 VPN安全隐患解决方案
3.1 客户端问题解决方案
VPN网络在使用中存在一些问题,但我们可以建立相应的机制来解决或缓解上述问题,使用VPN网络安全更上层楼。
3.1.1 临时数据处理
浏览器一般都带有自动清除临时数据的选项,但用户一般不会自行设置,因此需要在服务器端编写一个小程序,客户端自动下载运行,该程序记录用户登录后的操作及产生的临时数据,退出登录后自动清除用户这个过程中留下的各种格式的临时数据。
3.1.2 使用进程超时机制
大部分用户对于数字证书的安全不太重视,证书长期插在电脑上,导致电脑长时间与SSL VPN处于连接状态,这种情况一方面可以由单位制定操作规章,规定用户离开时证书也要拔下,另一方面可以采用进程超时机制,由系统实时检测用户的操作情况,当用户一定时间内没有操作时,系统自动断开VPN的连接,而用户下一次连接时需要重新认证。
3.1.3 应用层网关技术
应用层网关担任VPN内部网络设备与VPN网外的主机的连结中继者,在SSL VPN服务器上使用应用层过滤技术能有效地防止计算机病毒和黑客通过VPN的隧道感染和攻击VPN内部网络,相当于多了一道有效的防火墙,通过对所有应用请求的审核,将非法的应用请求过滤掉,这样即使应用系统有一些未知的漏洞也不影响安全性能,可以有效防止大部分病毒传播。
3.1.4 加密内部网络信息。
我们通过扫描能很方便地获知网络内的主机名、IP地址等信息,这容易被攻击者利用,因此SSL VPN应对网内的主机名、服务器IP地址等内部网络信息进行加密,尽量减少攻击者获取信息量,让其无从下手。
3.2 服务器端问题解决方案
服务器端的问题主要有下面的几种解决方法:
(1)为了抵制黑客对服务器端应用层漏洞的攻击,利用基于应用层封包过滤技术,只允许已知的合法应用层数据包通过SSL VPN服务器也能有效防止黑客利用非法请求攻击内部服务器。
(2)使用更强的认证机制。取消传统的静态用户名和口令的身份认证机制,最好是使用强的双因素认证机制和一次性口令鉴别机制。最好能够具备LDAP和短信息认证等多种认证功能。同时,还要强制要求用户一段时间后就要修改数字身份证书的密码,防止身份认证设备被人“借用”。
4 结束语
VPN作为一种安全技术和比较有效的网络安全解决途径,由于受各种不确定因素以及人为原因的影响,仍然存在着安全隐患,作为一种应用范围较广泛的安全应用解决方案,这些安全问题不容忽视。
参考文献
[1]马军锋.SSL VPN技术原理及其应用[J].电信网技术,2005,8(08):6-7.
[2]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
关键词:vpn ipsec ssl 天融信
中图分类号:文献标识码:A文章编号:1007-9416(2010)05-0000-00
随着企业信息化程度的加深,远程安全访问、协同工作的需求日益明显,VPN技术逐渐成为企业用户远程安全接入的重要方式。本文正是作者在河南中烟工业公司协同办公系统上线运行3年来的一些思考和研究。
越来越多的企业通过Internet来满足员工、客户以及合作伙伴远程访问企业内部网络资源,这势必会给企业的内部网络带来一定的安全威胁,所以需要提供一种安全接入机制来保障通信以及敏感信息的安全。VPN(虚拟专用网)技术可以扩展企业的内部网络,具体实现是通过互联网建立一条虚拟的专用加密线路,使局域网之外的用户通过分配的帐号,进入局域网进行访问企业内部网络。适用于出差、在家办公时访问局域网,前提是使用VPN客户端的计算机必须能上互联网。IPSec VPN和SSL VPN是两种不同的技术手段,可以实现大量数据的远程访问,为人们提供了一种低运行成本、高生产效率的远程访问方式,根据企业不同特点,巧用企业VPN,激活远程办公,将为企业的协同办公、业务效率带来较大提升。
远程分支机构用什么?
带着这些问题,笔者走访了河南牧业高等专科学院,对那里部署的SSL VPN Succendo远程接入平台情况进行了解。据学院方面介绍,该学院现有教职员工和学生近万人,并分为两个校区,日常教学活动的开展离不开网络的应用,院方也很早就开始着手打造信息化教育平台。但随着信息化技术应用的不断进步和应用范围的扩展,原有网络已经无法满足全校师生们的需求,最终采用了其Succendo系列SSL VPN产品中的Succendo 502。
IPSec VPN是工作在网络层的,提供所有在网络层上的数据保护和透明的安全通信,是被设计用于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,该技术被越来越多的企业用来连接远程分支机构。
分散用户的VPN
SSL(Secure Sockets Layer),即安全套接协议层,它是一种基于Web应用的安全协议,在Http、FTP、Telnet等应用协议和TCP/IP协议之间提供一种数据安全分层机制。该协议支持多种认证机制,如数字证书、智能卡、令牌等。SSL协议只对通信双方所使用的应用通道进行加密,并不会对通信双方的整个通道进行加密。结合了SSL 协议的VPN技术更适用于远程分散用户的安全接入。
SSL VPN相对于IPSec VPN,具有以下优点:
(1)支持维护简单
基于SSL协议的远程访问不需要安装客户端,通过标准的Web浏览器就可以访问企业内部的网络资源;而IPSec VPN需要在远程终端安装客户端软件,以建立安全隧道。
(2)安全性能高
IPSec VPN通过在两站点间创建安全隧道提供直接接入,实现对整个网络的透明访问; 一旦隧道创建,用户终端就如同物理地处于企业内部局域网中,接入用户权限过大时会带来很多安全风险。所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
基于以上分析,作者通过对国内知名度较高的VPN安全设备对比分析,漯河卷烟厂最终选择了市场占有率第一的天融信5130系列产品。下面是具体使用当中的配置截图
(1)打开IE浏览器,在地址栏中输入:xxx.xxx.xxx.xxx然后按回车键,在弹出的“安全警报”对话框中,选择“是”。
(2)安装完成后,VPN客户端将开始建立连接,直到出现VPN隧道建立成功,“OA系统”颜色变成黑色后,VPN建立才算完成,点击“OA系统”即可进入我厂OA。
SSL VPN 技术的应用不仅激活了远程办公能力,同时也极大的提高了协同办公的效率,收到了广泛好评。但是,SSL VPN技术只支持基于Web方式的应用,不能像IPSec VPN那样几乎可以支持所有的应用;由于SSL VPN是对应用通道进行加密,对系统性能有较大的影响; 此外,SSL VPN适用于点到点的通信,对大量分散在外地的个人提供了便利的访问企业内网资源的手段,无法完成分支机构或驻外单位网络到企业网络的安全连接,那样的连接只能考虑采用IPSec VPN。
参考文献
[1]高海英,薛元星,辛阳等.VPN技术.机械工业出版社,2004.4,170―182 .
[2]Mark Levis. VPN故障诊断与排除. 人民邮电出版社,第二版,2006.2.1.
