下载文档第一篇:VPN技术的学习总结
VPN技术的学习总结
在网络安全课程的学习过程中,我对网络安全有了一些了解和认识。特别是它的基础概念,网络安全的具体要求,安全通信模型以及目前广泛使用的安全技术等知识。其中VPN技术是目前安全通信中既能保证一定的安全性又具有经济性的一项技术,因此它目前的市场应用十分广泛。所以在学习完这门课程后,我想对所有学过的知识做一个梳理,然后把我比较感兴趣的VPN技术做深入一些的学习和整理。
1.网络安全的基本概念
网络安全包含网络系统硬件、软件以及网络上存储和传输的信息资源的安全性。而其安全性包括计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续正常运行,网络服务不中断。
网络安全的威胁包括:计算机病毒,蠕虫,木马,拒绝服务攻击,逻辑炸弹,后门和隐蔽通道等。
在网络信息传输的过程中,信息的安全特性包括:机密性,完整性,可用性,不可否认性,可控性,可审查性,可恢复性。只有在满足了以上特性的信息传输才被认为是安全的。因此相对应于各个安全特性,网络安全服务需要做到的有:认证服务,访问控制服务,数据机密性服务,数据完整性服务,不可否认服务。在认证服务中,需要提供某个实体(人或系统)的身份保证,确保通信实体就是它们所声称的实体。使用口令是一种提供认证的熟知方法,数字证书和签名也可以提供信息发送方的身份认证。认证是对付假冒攻击的有效方法;
访问控制服务中,要能够防止对系统资源(如计算资源、通信资源或信息资源)的非授权访问和非授权使用,确保只有授权的实体才能访问授权的资源。访问控制直接支持机密性、完整性、可用性以及合法使用等安全目标。访问控制系统的关键是制定访问控制策略。它是系统安全防范中应用最普遍和最重要的安全机制,可提供机密性和完整性服务。访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。
数据机密性服务,能够保护信息不泄漏或不暴露给那些未授权掌握这一信息的实体(人或组织),确保授权实体才能理解受保护的信息,防止传输的数据遭到窃听、流量分析等被动攻击。机密性服务是通过加密机制来实现的,目前已有多种加密算法来保护数据的安全,可以根据不同的需求在网络结构的不同层次来实现。比如:若需保护全部通信业务流的机密性,可在物理层加密;若希望对端系统到端系统之间的通信进行保护,可在网络层加密。有时也可根据多个需求,在多个层次上提供加密。
数据完整性服务,是用来维护信息的一致性防止对信息的非授权篡改和破坏,使消息的接受者能判断消息是否被修改或被攻击者用假消息替换。数据完整性可以通过安全协议中的认证头AH协议,ESP协议,MAC算法等来保证。
不可否认服务,其目的是保护通信用户免遭来自系统中其他合法用户的威胁,而不是来自未知攻击者的威胁。通过公证机制的数字证书和时间戳可以保证信息发送方对发出的消息不能抵赖。
2.虚拟专用网VPN技术
虚拟专用网VPN(Virtual Private Network)技术是在公共传输网络中采用隧道技术,形成逻辑私有的通讯网络的技术。这样对通信安全要求高的用户就不需要向网络运营商要求单独牵一条专线,可以节省不少成本。VPN可实现数据公网传输的机密性、完整性,对通信双方的身份进行认证,并可解决异构网传输问题等。VPN可工作在很多层次,如工作在链路层的链路密码技术,工作在IP层的IPSEC VPN,GRE封装,工作在传输层的SSL VPN等。2.1.VPN系统的组成
VPN系统由以下七个部分组成,VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:终端计算机或者路由器。隧道:数据传输通道,其中传输的数据必须经过封装。隧道协议:封装数据、管理隧道的通信标准。VPN连接:在VPN连接中,数据必须经过加密。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享型网络。下图一直观的显示了VPN系统的组成。
图一 VPN系统的组成
2.2.VPN系统通信流程与功能
首先,需要保护的主机发送明文信息到其VPN设备,其VPN设备根据管理员设置的规则,确定是对数据加密还是直接传送。如果是需要加密的数据,VPN 设备将其整个数据包进行加密和签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和初始化参数)重新封装;封装后的数据包通过隧道在公网上传输;然后数据包到达目的VPN设备,收端VPN设备将数据包解封,核对签名后,将数据包解密。
实现的基本功能有五项,分别是身份鉴别:包括验证用户的身份,限制非授权用户的时候访问了什么资源。不同的用户对不同的资源应有不同的访问权限;地址管理:为每个客户分配一个地址,并保证地址对虚拟专用网外的不可见性;数据加密:保证通过公共网络传送的信息即使被他人截获也不会泄密;密钥管理:能够为VPN的客户和服务器生成和更新加密密钥;多协议支持:VPN必需能够处理公共网络常用的各种协议,包括IP、IPX等等; 2.3.VPN系统的分类
Intranet VPN:用于集团的总部和多个分支机构之间;分支机构网络是集团总部网络的可靠延伸;
Extranet VPN:为集团的供货商、重要客户和消费者等商业伙伴提供访问权限;电子商务是Extranet VPN的一种特殊形式;
Access VPN:为移动用户远程访问集团总部网络提供服务; 2.4.关键技术
隧道技术:VPN的核心技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道由隧道协议形成,常用的有2、3层隧道协议。
密码技术(由下面三项技术组成)
加解密技术:将认证信息、通信数据等转换为密文的相关技术,其可靠性主要取决于加解密的算法及强度。
密钥管理技术:如何在公用网上安全地传递密钥而不被窃取。身份认证技术:在正式的隧道连接开始之前需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权。2.5.身份认证方法
PAP(Password Authentication Protocol):是一种简单的明文用户名/口令认证方式。
CHAP(Challenge Handshake Authentication Protocol询问握手身份验证协议):是一种挑战响应式协议。它是PPP(MODEM或ADSL拨号)中普遍使用的认证协议。MS-CHAP:是微软针对Windows系统设计的,采用MPPE加密用户密码和数据。
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统):最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。
2.6.具体通信协议与方法 2.6.1.点对点隧道协议(PPTP)
PPTP(point – to – point Tunneling Protocol)是1996年Microsoft 和Ascend等在PPP协议上开发的支持Client-to-LAN类型的VPN连接。PPTP 使用 PPP 拨号连接,通过对PPP 分组的封装传输,将PPP 链接逻辑地延伸到远程用户与企业总部的PPTP服务器之间,从而借用PPP 协议成熟的机制对用户进行身份鉴别、访问授权以及网络配置,同时,通过PPTP封装传输,也使得使用企业内部地址的分组,能成功地穿越IP 异构网络,到达企业总部,以此达到资源共享。PPTP只能在两端点间建立单一隧道。
PPTP工作模式分为被动和主动两种模式。被动模式中,PPTP会话通过一个一般位于ISP 处的前端处理器发起,客户端不需安装任何PPTP软件,ISP 为用户提供相应的服务,这种方式降低了对客户的要求,但限制了客户对Internet 其他部分的访问。主动模式中,客户与网络另一端的服务器直接建立PPTP隧道,不需ISP 的参与,不需位于ISP 处的前端处理器,ISP 只提供透明的传输通道。这种方式的优点是客户对PPTP有绝对的控制。
PPTP隧道机制的特点有,PPTP不提供数据安全性保证,它必须借助PPP 的加密机制,如MPPE(Window自带),或者与其它安全协议如IPsec)结合使用,才能为隧道通信提供安全保护;由于PPP协议本身支持多协议传输,PPTP因此支持多协议传输; PPTP不支持多隧道复用,但通过呼叫ID 能支持对隧道的会话复用; PPTP通过GRE头中的序列号支持有限的分组排序功能; PPTP协议的系统开销适中;除了有限的流量控制功能,PPTP也基本不能提供QoS 保障。2.6.2.第2层转发L2F(Layer 2 Forward)协议
L2F(Layer 2 Forward)协议由Cisco公司提出,通过对PPP或SLIP分组的封装传输,能使PPP/SLIP分组在多种网络(如ATM、帧中继和IP网络)中传输。其标准于1998年提交IETF,发布在RFC 2341。L2F协议设计了L2F封装头, 形成L2F分组。L2F分组可在任何能提供点到点链接的底层媒体上发送。当L2F分组在IP网络上发送时,L2F分组将作为UDP协议的上层协议数据单元被封装成为UDP报文,经过IP协议发送。
以下是一个典型的L2F协议的实现:
图二 L2F协议的典型实现
远程用户通过ISDN/PSTN 网与NAS建立PPP 连接。VPN客户机通过VPN拨号向NAS服务器发送请求,希望建立与远程HGW的VPN连接。NAS根据用户名称等信息向HGW发送隧道建立连接请求,实现与HGW之间通过IP 网、帧中继或其它网络建立L2F 隧道,总部局域网通过HGW与外界连接。即远程用户与NAS之间建立一条PPP 链接。这条链接被NAS与HGW之间的L2F 隧道逻辑地延伸到HGW。2.6.3.第2层隧道协议(L2TP)
因特网工程任务组(IETF)希望统一虚拟拨号的标准,由此产生了L2TP(Layer 2 Tunneling Protocol)协议。它由微软、Ascend、Cisco、3COM等公司参予制定,结合了PPTP和L2F两种协议的优点,成为IETF标准RFC 2661。L2TP是典型的被动式隧道协议,可让用户从客户机或接入服务器发起VPN连接。L2TP协议设计了L2TP封装头,设计思想类似于L2F头。封装形成的L2TP分组可在任何能提供点到点链接的媒体上发送,如IP网、ATM和帧中继。当L2TP分组在IP网上进行发送时,L2TP分组被封装入UDP报文,再递交给IP协议进行发送。
而L2TP协议的工作流程如下:远程用户通过PSTN或ISDN网,向ISP发起PPP链接请求。在ISP的呈现点 POP处,LAC接受此连接,建立远程用户到LAC的PPP链接。远程用户与LAC互换LCP配置信息,并可能实现如CHAP身份鉴别信息的局部交换;
ISP的LAC依据CHAP应答中的名字信息,确定是否对此远程用户提供虚拟的拨号访问服务。若需要,则由名字信息确定该用户的总部所在地,即目的LNS;
如果LAC与该LNS之间没有建立隧道,或者因为保证QoS服务的需要,由LAC向LNS发起隧道的建立,并为该隧道分配一个隧道号,即Tunnel ID;并在隧道中为该用户呼叫分配一个ID号,称Call ID。LAC随后向LNS发出入站呼叫请求。该请求中可能包括LAC对远程用户收集的鉴别信息以及其它配置信息;如果LNS接受此入站呼叫,则在LNS为此呼叫产生一个“虚拟接口”,该虚拟接口为L2TP隧道的终点,其另一终点是建立于LAC上的一个L2TP虚拟接口;
LNS为远程用户分配IP地址。LNS分配给远程用户的IP地址由管理员设置,一般使用私有地址,但LAC和LNS需使用公共IP地址。从远程用户发送的PPP帧到达LAC后,LAC上的L2TP虚拟接口将PPP帧封装为L2TP分组之中,在特定的传输媒体上发送。当L2TP分组到达LNS端后,L2TP头被剥去,剩余的PPP或SLIP分组将与正常进入的分组一样被送入相应的接口进行处理。
从LNS发送到远程用户的数据的处理过程与此完全相似。2.6.4.IP安全协议(IPSec)与SSL VPN VPN技术虽然种类众多,但IETF下的IPSec工作组推出的IPSec协议是目前工业界IP VPN标准,安全性明显优于其它隧道协议,以IPSec协议构建虚拟专用网已成为主流。
基于IPSec构建IP VPN是指利用实现IPsec协议的安全网关(Security Gateway)充当边界路由器,完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等。
IPSec VPN的建立方式包括:Host 对Host,Host 对VPN 网关,VPN 对VPN 网关,Remote User 对VPN 网关,Host 对Host,Host 对VPN 网关,VPN 对VPN 网关,Remote User 对VPN 网关。SSL VPN主要供远程用户访问内部网络资源时使用,包括Web服务、文件服务(包括FTP 服务、Windows网上邻居服务)、可转化为Web方式的应用(如Webmail)以及基于C/S的各类应用等。SSL 应用模式基本分为三类:Web浏览器模式、专门的SSL VPN客户端模式和LAN 到LAN 模式。
在Web浏览器模式中,SSL VPN服务器使用https和socks 协议(实现代理功能,负责转发数据)。SSL VPN客户端与SSL VPN服务器间使用https协议;而SSL VPN服务器与单位内部服务器间使用http 协议。当客户端需要访问内部网络中的C/S应用时,它从SSL VPN服务器下载控件。该控件是一个服务监听程序,用于将客户端的C/S数据包转换为Http 协议支持的连接方法,并通知SSL VPN服务器它所采用的通信协议(TCP/UDP)及访问的目的服务地址和端口。客户端控件与SSL VPN服务器建立安全通道后,在本机接收客户端数据包后,通过SSL 通道转发给SSL VPN服务器。SSL VPN服务器解密数据后转发给内部网络的目的服务器。SSL VPN服务器接收到内部网络的服务器的响应数据包后,通过SSL 通道发给客户端控件。客户端控件解密后转发给客户端应用程序。
3.学习总结
网络安全技术是保证网络通信过程中,传递信息的机密性,完整性,可用性,不可否认性等。硬件层面的设备,线缆等安全性可以通过加强设计和提高生产技术来保证。软件层面的通信安全就需要靠安全通信协议和对明文内容的加密算法来实现。在通信网络的OSI分层中,软件层面的通信安全主要体现在网络层,传输层,会话层,表示层。在每个层中,根据网络通信类型和服务不同,使用的安全协议也有区别。密钥技术,数字证书技术等保证信息机密性,完整性,可用性,不可否认性的技术主要工作在表示层。而VPN技术是从链路层到表示层都有一整套协议和通信方式的技术,在各个层都能够保证信息不被篡改,阅读,抵赖。所以几乎能够相当于在用户之间建立了一条专线进行通信。
第二篇:vpn学习小结
VPN学习小结
1.VPN概述
随着通信基础设施建设和互联网络技术的飞速发展,各行各业纷纷借助互联网络技术来加快信息的流动速度,提升企业的综合竞争力。VPN 技术,就是一种目前业界主流的解决异地网络安全互连的加密通信协议。
VPN是Virtual Private Network(虚拟专用网络)的简称,指综合利用封装技术、加密技术,密钥交换技术、PKI技术,可以在公用的互联网络上,建立安全虚拟专用网络。
VPN 是一个被加密或封装的通信过程,该过程把数据安全地从一端传送到另一端,这里数据的安全性由可靠的加密技术来保障,而数据是在一个开放的、有安全保障的互联网上传输的。VPN 技术能够有效保证信息安全传输中的性”、“完整性”和“不可抵赖性”。
实际上,VPN是一种依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在VPN服务中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。用户不再需要拥有成本极高的长途数据线路,用Internet公众数据网络的长途数据线路,为自己制定一个最符合自己需求的网络,从而实现企业内部多个分支机构之间的数据通信、Voip电话、视频会议等多种业务。
包没“机密而是使
2.VPN主要技术
目前市场上多种 VPN技术并存,主要有以下几种:
PPTP/L2TP:属于上世纪末的技术,实现比较便捷,集成在 Windows 操作系统之中,使用方便。但技术过于简单,加密算法和协议的安全性以及性能吞吐率都很低,并发接入数目较低,属于非主流的VPN 技术,基本已被淘汰。
MPLS VPN:在IP路由和控制协议的基础上提供面向连接(基于标记)的交换。MPLS VPN需要公共IP网内部的所有相关路由器都能够支持 MPLS,所以这种技术对网络有较为特殊的要求。特别需要强调的是MPLS VPN的实施必须由运营商进行。MPLS VPN适用于对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。MPLS VPN的用户,需要通过光纤或者以太网接口FR(EDSL)专线接入电信骨干网络,MPLS VPN服务给企业提供高带宽的二层透明通路,企业可以自定义规划其网络结构和地址。
IPSec VPN:目前市场主流 VPN技术,由于 IPSec是在 IP 层进行加密和封装,所以在性能表现强劲的同时,又能支持各种基于 IP 协议的网络应用,是国际上公认的 IP 层 VPN技术标准。IPSec VPN 安全性好,对 IP 应用透明,性能高,灵活稳定,易于扩展,互通性强;适合网间互连(Site To Site)和客户端接入互连(Client To Site)。但是,局限性主要在于在Client To Site的通讯模式下,移动用户需要安装专门的VPN客户端软件,增添了使用和维护的复杂程度。
SSL VPN:专用于解决客户端接入互连(Client To Site)的传输层VPN技术。移动用户不需要安装VPN客户端软件,而使用WEB浏览器作为登陆方式。SSL VPN安全性好,使用灵活,不受网络接入环境的限制,对应用的控制粒度更细。但其局限性是:对许多 C/S应用的支持能力较差,性能相对较低;并且不能满足网间互连(Site To Site)的VPN连接需求,设备价格高昂,且SSL VPN 网关自身抗攻击能力差,需要额外的防火墙或安全网关等防护设备的保护。
3.VPN产品分类
根据产品应用对象,VPN产品分为:
中小型企业VPN:百兆接口、嵌入式处理器 大中型企业VPN:百兆接口、嵌入式处理器
大型企业VPN:千兆接口、X86架构处理器、集成加密卡
面向骨干网络和超大型企业VPN:千兆+光纤接口、至强处理器、集成加密卡
根据产品采用的技术,VPN产品分为: MPLS VPN IPSec VPN SSL VPN IPSec/SSL VPN
4.VPN产品主要功能
4.1.VPN产品通用功能
SSL VPN的关键技术包括:Web代理、端口转发、应用转换、网络连接(Network Connection, NC),目前大部分的SSL VPN产品,都是以这几项技术的一项或几项为基础研发实现的。那么,对国产SSL VPN产品而言,哪些技术尤其重要呢? 首先是Web代理技术。由于用户需要访问内网的Web应用,而且希望访问方式尽量简便,而只有具备Web代理技术,SSL VPN产品才能做到100%零客户端,才能为用户提供最简便的接入方式,因此,Web代理技术对国产SSL VPN产品而言是一项必须技术,也是SSL VPN产品是否专业的重要标准之一。
除了Web代理技术,端口转发技术的重要性也不容小觑。除了要访问除Web应用外,用户还需要经常访问组织内部的C/S架构应用,例如邮件、FTP、文件共享、数据库、ERP等,这时,SSL VPN产品采用端口转发技术实现对C/S应用的处理,是再合适不过的了。
至于应用转换技术,目前国内用户需求并不迫切。由于SSL VPN产品需要把FTP、Email,SSH等应用以Web的形式重新实现,实现起来比较复杂,还可能存在提供的功能不够完整,界面不够友好,不太符合用户的操作习惯以及控件引用是不合法等一系列问题。从另一个角度来看,用户在没有使用SSL VPN之前,都已经习惯通过相应的客户端软件对C/S应用进行访问,在使用SSL VPN后,仍然希望通过使用原来的客户端软件访问内部的各种C/S应用。由此看来,应用转换技术并不十分适应于国内的用户,也并非是国产SSL VPN产品的必须功能。
最后再看NC技术,由于NC技术可以实现SSL VPN与应用无关的特性,因此客户端通过SSL VPN访问内部整个子网的需求仍然存在。然而,在使用该功能时,需要给客户端配置虚拟IP地址,这样一来,就会遇到地址规划上的一些问题,在配置和使用上也比较复杂。目前,国内已经有SSL VPN厂商注意到这个问题,为了更好地满足用户对易用性的要求,采用了一种“网络层代理”技术,客户端通过SSL VPN产品访问内部整个子网时,不需要借助虚拟IP地址,也不需要改变内网服务器网关指向,有效地解决了NC功能配置和使用复杂的难题。但目前,“网络层代理”技术还存在一个问题,即无法处理TCP连接由内向外发起的应用,无法做到“与应用无关”。如果有SSL VPN产品能够同时具备NC和网络代理功能,将会受到更多国内用户的青睐。
以上列举的只是SSL VPN产品的几项主要技术,为了更好地满足国内用户的需求,SSL VPN产品还必须在功能上进一步贴近需求,不断丰富,主要包括:
丰富的认证方式:国内用户类型众多,对认证方式和安全性要求也不尽相同。除了基本的本地口令外,动态口令、短信口令、口令+动态附加密、证书+USBKEY、口令+证书+USBKEY等多因素认证方式也越来越常见,成为对SSL VPN产品的基本要求。此外,随着CA体系在中国不断健全,越来越多的用户从专业的CA企业购买服务,因此国产SSL VPN产品能否很好地与标准第三方CA系统兼容,能否提供标准OSCP、CRL等证书校验接口,在一定程度上决定了该产品能否应用到用户现有环境中。
线路优化:国内用户常常向不同的ISP申请了多个公网IP提供服务。如果SSL VPN产品能够利用多个网口通过多个公网IP对外提供接入访问,并可以根据接入客户端的ISP来源选择最佳路径,那么将可以大大提高访问效率,更好地适应国内的网络环境。
单点登录:在用户的内网中,OA系统通常都带认证功能,使用者需要提交用户名及口令才可登录。加上SSL VPN后,用户就首先要登录SSL VPN,然后再次提交认证信息登录OA,导致重复认证过程。为了简化登陆程序,SSL VPN产品应该能记录用户登录SSL VPN时的认证信息,在用户访问OA时,代替用户提交认证,用户不需要再次输入用户名和口令就可打开登录成功后的页面。
端点安全:安装SSL VPN产品后,端点安全也是不得不考虑的重要方面。是否允许所有PC都接入SSL VPN,在连接SSL VPN隧道后是否允许访问互联网,在SSL VPN客户端注销后,访问痕迹是否应该清理,都是SSL VPN需要重点考虑的几个安全问题。目前,国内很多SSL VPN产品也都有应对措施。在客户端主机接入之前,先检测终端主机上是否具备管理员要求的某些特征,如操作系统版本、IE浏览器版本、是否运行了杀毒软件等等,如果不满足安全策略,则拒绝连接。在建立隧道后,SSL VPN产品还可以禁止客户端主机访问隧道以外的网络以确保隧道安全;在终端用户注销后,还会自动清除此次的访问痕迹,确保信息不被泄漏。此外,如果产品能实现帐号和客户端主机特征绑定以及防伪造功能等,将可以进一步提高客户端的端点安全性。
应用层防御:SSL VPN产品是以应用为核心的安全接入产品,因此应用层的安全防御必不可少。目前,防SQL注入,防跨站脚本和防非法URL访问等功能已经出现在一些国内品牌发上限控制功能,保障了应用服务系统。安全审计:而言,SSL VPN哪个用户、在什么时间,在什么地理位置通过哪个什么服务,访问了哪些条件(如时间范围、浏览和下载。4.2.安达通4.2.1.特色功能 IPSec over HTTPS/HTTP 隧道接力技术 虚地址互联技术 自动路由技术 多播隧道技术 准入控制技术 动态口令短信认证技术4.2.2.负载均衡功能 智能均衡上网技术SSL VPN产品上。甚至有厂商还提供了基于账号的最大并有效防止了一个账号恶意产生大量连接的DoS攻击行为,有效
SSL VPN产品相对传统VPN的优势之一就是审计更加详细。相比IP地址。在日志中应该可以记录ISP登录了SSL VPN,访问了Web页面等等。另外,SSL VPN产品还应该提供基于各种关键字等)的查询功能,甚至可以根据时间范围生成报表提供VPN产品主要功能
技术
产品更关注账号而不仅仅只是 VPN多点接入和均衡技术 VPN链路备份技术
4.2.3.VPN 移动接入加速系统功能 4.2.4.防火墙功能
网络地址转换(NAT)技术 状态检测防火墙技术 HTTP 检测技术 IP-MAC地址绑定技术 内网用户认证技术 IDS联动技术
4.2.5.其他功能
双机热备 流量控制 路由支持 配置和升级管理 日志管理
5.VPN典型应用
5.1.单臂连接模式
“单臂连接”模式是用户已有防火墙等设备时安达通首推的部署方式。“单臂连接”模式指的是安全网关只接一个口到内网交换机中,另外一个口不接线,即把安全网关设备当作一台服务器或主机,专门处理 VPN 报文的加解密。从实现技术上而言,单臂连接结合了串行连接和并行连接两者的优势,实现了部署和性能的最优化。在实施时,需要在防火墙(路由器)上为安全网关做静态端口映射(静态 NAPT),同时也需要在防火墙(路由器)上添加静态路由来解决要通过VPN的数据包正确流向的问题。
结合”自动路由”技术,单臂连接方式能在对用户环境最小改动的前提下部署 VPN,大大增加了VPN设备对网络环境的适应能力。
单臂连接实际案例配置示意图如下所示:
上图示例中总部局域网利用一台防火墙通过光纤接入互联网,防火墙外口 IP 地址为218.1.1.1,内口IP 地址为192.168.1.1,现仅将安全网关的LAN 口接到内网交换机。安全网关工作在路由模式下,LAN口IP 地址 192.168.1.254,WAN口任意设置一个 IP 地址,比如为 1.1.1.1,总部内网只有一个子网 192.168.1.0/24。该单位有一异地分部,采用 ADSL 接入互联网,并使用 SJW74A 安全网关作为接入设备,内网也只有一个子网为 192.168.2.0/24。通过这样的部署,可实现该分部与总部子网的 VPN 互连。同时还可实现移动客户端的远程接入(如上图),客户端的私有 IP 地址为172.16.1.1-10。
5.2.路由模式
“路由模式”是指VPN网关内外网接口路由不同,网关本身要作为路由器或NAT 转换设备,实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。通过使用安达通自带的初始化向导工具可以非常简便的部署“路由模式”网关,典型部署示意如下图:
上图示例中,VPN 安全网关作为总部局域网的出口,对内提供上网服务,对外提供 VPN接入服务。内部 192.168.1.X 的 PC 用户默认网关指向 VPN 内网口 192.168.1.1,通过 NAT 映射访问公网和其他VPN子网。
5.3.透明模式
“透明模式”又称为“网桥模式”,是指安全网关接入在防火墙(路由器)与内网之间,透明转发除VPN报文之外所有数据的一种连接方式。
安达通 VPN 安全网关的“透明模式”主要分成链路层协议的学习功能,报文的接收和转发功能。对于透明模式下收到的报文,根据其目的 MAC地址可以分为,发往网关自身的报文、广播报文和发往其他的报文,由于透明模式仅仅对 VPN 报文进行加密,其他报文在出入端口上进行完整复制,所以保证了链路的透明性和 VPN的安全性。
以某商业银行网络的 VPN安全网关部署为例。所有的安达通安全网关均部署在防火墙/路由器之后,工作在“透明”模式下。安装这些安全网关设备的前后,原有网络系统:路由器、PC、Server 等没有调整过任何配置,就实现了各分行和总行之间数据传输加密。“透明模式”部署的安达通 VPN 安全网关的 WAN 和 LAN 口 IP 是和本地内网同一网段的未被使用的IP 地址。如下图示意: 6.VPN与TPN是,可信专用网防护、VPN接入、全网行为管理、主机安全管理等组成。可信专用网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。企业对VPN分布在异地的局域网络进行互联。随着网络互联的进行,的基础设施。
这些基础设施,安全可信是最重要的。可信平台建设包括了边界、内网、主机、接入等部分。目前来看,企业可以用各种技术来确保这四部分成为有机整体。网技术TPN.TPN互联以后全网的可信任安全平台。目前来看,能:包括虚拟专网、防火墙、入侵检测、漏洞扫描、病毒防护、网络审计、身份认证、桌面安全等。网络边界防护力度不够、分支机构的统一、垃圾邮件和病毒、越权访问密、非法接入TPN(Trusted 系统通过对“用户—角色—资源”的集中描述,因为信息的共享有网络互联的需求,整个网络平台已经越来越成为企业以及政府单位运行VPN的主要区别,TPN模型需要实现所有传统安全设备所提供的安全功而TPN应对的问题则包括了:实现“内网
客观上需要将从而产生/盗取机
TPN
Private Network)系统的简称,由边界
TPN都不会陌生,而安达通在其中提供的就是可信专用与就在于融合了可信任的内网技术,一套完整的远程接入用户带进木马和病毒、/非法外联、补丁和病毒库的统一升级、以及聊天、游戏、下载等网络滥用。
第三篇:VPN实验总结
网络上关于vpn的原理的文章很多,这里就不再罗嗦了。下面是我最近做vpn实验的小结:
(一)vpn access server的配置 实验网络拓扑:
pc(vpn client 4.01)---switch---router1720(vpn access server)pc配置: ip:10.130.23.242/28
gw:10.130.23.246 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 步骤:
1、配置isakmp policy: crypto isakmp policy 1 encr 3des authen pre-share group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
cry isa client conf group vclient-group ####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。key vclient-key ####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步对应
6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization cry map vpnmap client conf address respond ####响应client分配地址的请求
7、配置静态路由
ip route 192.168.1.0 255.255.255.0 fastethernet0 说明几点:(1)因为1720只有一个fastethernet口,所以用router1720上的lo0地址来模拟router内部网络。
(2)vpn client使用的ip pool地址不能与router内部网络ip地址重叠。(3)10.130.23.0网段模拟公网地址,172.16.1.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。(4)没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。(5)关于split tunnel。配置方法:首先,设置access 133 permit ip 172.16.1.0 0.0.0.255 any,允许1720本地网络数据通过tunnel,然后在第三步骤中添加一个参数:acl 133。1720的完整配置:
VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192!crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs!crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map!!interface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable!!line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置:
新建一个connection entry,参数中name任意起一个,host填入vpn access server的f0地址
10.130.23.246,group auahentication中name填vclient-group,password填vclient-key.测试:
(1)在pc上运行VPN client,连接vpn access server。(2)ipconfig/all,查看获取到的ip地址与其他参数。(3)在router,show cry isa sa,看连接是否成功。
(4)从router,ping client已经获取到的ip地址,通过。
(5)从client,ping router的lo0配置的地址172.16.1.1,通过。
(6)查看vpn client软件的status--statistics,可以看到加密与解密的数据量。
(7)1720上show cry ip sa, 也可以查看加密与解密的数据量。
常用调试命令: show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####这是最常用的debug命令,vpn连接的基本错误都可以用它来找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
实验网络拓扑:
router3662(vpn client)---switch---router1720(vpn access server)pc(vpn client 4.01)------| 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 pc配置: ip:10.130.23.242/28 gw:10.130.23.246 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步骤:
1、配置1720路由器,参照实验一,设置为vpn server。
2、配置3662路由器,设置vpn client参数
cry ip client ezvpn vclient ####定义crypto-ezvpn name mode network-extension ####设置为网络扩展模式
group vclient-group key vclient-key ####设置登录vpn server的组名与组口令
peer 10.130.23.246 ####设置vpn server的ip地址,如果启用dns,则可以用hostname connect auto ####设置为自动连接。如果设为手动,则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。
local-address F0/0 ####设置vpn通道本地地址,选用f0/0,可以保证vpn server找到它
3、定义加密数据入口,这里为f0/1 inter f0/1 cry ip client ezvpn vclient inside
4、定义加密数据出口,这里为连接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside
5、在1720上设置静态路由,地址范围为3662路由本地网络的地址 ip route 172.16.2.0 255.255.255.0 f0
6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。
service dhcp ####启动dhcp 服务
ip dhcp pool dhcppool ####定义dhcp pool name network 172.16.2.0 /24 ####定义可分配的IP地址段
default-router 172.16.2.1 ####定义dhcp client的默认网关 lease 1 0 0 ####设置ip保留时间
import all ####如果配置了上级dhcp,server,则接受其所有参数 ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据没有进行加密。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以发现数据不通过加密。(6)启动pc vpn client,ping 172.16.1.1,通过。在1720上查看show cry ip sa,可以看到数据通过加密进行传输。
(7)在pc vpn client,ping 172.16.2.1,通过。在1720和3662上查看show cry ip sa,可以看到数据通过加密进行传输。在1720上show cry isa sa,可以看到两个vpn连接。
(8)在3660上扩展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client获得的ip),通过。查看show cry ip sa,可以发现数据通过加密进行传输。
说明:
(1)不同平台,不同ios版本,easy vpn client的配置有所不同。特别是加密数据入出接口的配置,配置接口前后,用show cry ip client ezvpn来查看与验证。
(2)network-extension模式,vpn client端本地ip不通过nat/pat进行数据传输。
(3)以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验
(一),设置acl 133和cry isa client conf group中的参数,完成后,可以实现测试(1)-(5)。要实现Pc vpn client和3662 vpn client 互通,即测试(6)-(8),还要在1720 的acl 133中添加两条,分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要复位vpn通道,才可以起作用。在pc端,是通过disconnect再connect来实现;在3662上,通过clear cry ip client ezvpn来复位。
常用调试命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa
(三)easy vpn client的配置(client mode)
实验网络拓扑同实验
(二)实验步骤参考实验
(二),其中第二步,将mode network-extension改为mode client。
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,不通。这是因为3662端ip数据流是通过nat进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。在1720上打开deb ip icmp,可以看到echo reply信息的dst地址为192.168.1.19(vpn client 从vpn server获取的ip地址)。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。
说明:
(1)client 模式,vpn client端内部网络采用nat方式与vpn server进行通信,vpn client端网络可以访问server端网络资源,server端网络不能访问client端内部网络资源。
(2)client与network-extension两种模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置与数据流量。
(4)关于split tunnel,client模式的easy vpn client,与pc的vpn client类似,配置split tunnel的方法也相同。常用调试命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
实验网络拓扑: router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244(2)定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255(3)定义isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。(4)定义pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 为key,两个路由器上要一样 ####其中10.130.23.244为peer路由器的ip地址。(5)定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name,后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值,此配置可选(6)定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应
####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer(7)将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map(8)同样方法配置3662路由器。1720的完整配置: VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244!crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144!!interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable!access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 测试:
(1)未将map应用到接口之前,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。
(2)map应用到接口之后,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。
查看show cry ip sa,可以看到数据没有通过vpn 通道进行传输,因为不符合acl 144。(3)map应用到接口之后,在1720,扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据通过vpn 通道进行传输。
(4)在3662上同样进行测试。
说明:
(1)采用pre-share方式加密数据,配置简单,数据传输效率较高,但是安全性不高。
(2)加密数据前后,通过ping大包的方式测试,可以发现这种利用软件进行数据加密的方式,延时较大。如果需要开展voip、ip 视讯会议等业务,建议选配vpn模块进行硬件加密。
常用调试命令: show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
实验网络拓扑:
router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244(2)定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255(3)生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key 这里 统一用general purpose key(4)复制peer router的public key到本地router中(A)在3662上生成general purpose key(B)在3662上show cry key mypubkey rsa,复制其中的General Purpose Key(C)在1720上,cry key pubkey-chain rsa ####设置public key addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key key-string ####定义key串
粘贴从3662上复制的General Purpose Key #####如果第三步生成了两种key,则这里复制粘贴的,应该是Encryption Key(三个key中的第二个)(5)定义isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。(6)定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name,后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值,此配置可选(7)定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应
####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer;同样,pubkey 也要对应进行设置。
(7)将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map(8)同样方法配置3662路由器。
1720完整配置:
VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2!crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144!!interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable!access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end
说明:
(1)采用rsa encrypted方式加密传输数据,默认key长度为512字节,最高可设为2048字节。安全性能较高。
(2)100M双工交换网络中,在双向同时ping 15000字节的大包进行测试时,1720的cpu使用率一度高达90%左右,3662的使用率约为25%,两台路由器内存使用率则变化不大。可见用rsa encrypted方式加密,对低端路由器的cpu性能影响很大。常用调试命令: show cry ip sa show cry isa sa deb cry isa deb cry ip clear cry isa clear cry sa
第四篇:VPN的四种安全技术详解
VPN的四种安全技术详解
我们都知道,由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全,下面,517网游加速器芯晴就来给大家一一道来。
1.隧道技术:
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.加解密技术:
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术:
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4.使用者与设备身份认证技术:
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
第五篇:VPN研究报告
一、前言
互联网的普及、移动通信技术的进步、信息化程度的提高,使全世界的数字信息高度共
享成为可能。中国高校也越来越重视数字化校园的开发,依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一,电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义,数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。
二、选题背景
随着教育信息化的深入,很多学校都建立了校园网,为了实现校内资源优化整合,让师
生们更好的进行工作和学习,他们需要在校园网内部或在校外的远程节点上,随时享受校园网内部的各项服务,然而由于互联网黑客对各高校的资源虎视眈眈,在没有经过任何允许的情况下,黑客们很容易就潜入校园网内部进行捣乱,为此,多数校园网都不会将自己的各种应用系统和所有信息资源完全开放,因为这样让整个校园网面临无以估量的破坏性损失,为了网络安全考虑,将vpn技术应用于基于公共互联网构架的校园网,可以较好的解决校园网多校区、远程访问、远程管理等问题。
三、vpn简介
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安
全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
四、vpn功能
vpn可以提供的功能: 防火墙功能、认证、加密、隧道化。
vpn可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个
企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一,在交换机,防火墙设备或windows 2000等软件里也都支持vpn功能,一句话,vpn的核心就是在利用公共网络建立虚拟私有网。
五、vpn常用的网络协议
常用的虚拟私人网络协议有:
ipsec : ipsec(缩写ip security)是保护ip协议安全通信的标准,它主要对ip协议分组进行加密和认证。ipsec作为一个协议族(即一系列相互关联的协议)由以下部分组成:(1)保护分组流的协议;(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分: vpn加密分组流的封装安全载荷(esp)及较少使用的认证头(ah),认证头提供了对分组流的认证并保证其消息完整性,但不提供保密性。目前为止,ike协议是唯一已经制定的密钥交换协议。
pptp: point to point tunneling protocol--点到点隧道协议。在因特网上建立ip虚拟专用网
(vpn)隧道的协议,主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。l2f: layer 2 forwarding--第二层转发协议
l2tp: layer 2 tunneling protocol--第二层隧道协议 gre:vpn的第三层隧道协议
六、vpn研究问题
? vpn如何解决校园网安全风险
对于校园网而言,它虽然给师生带来了资源共享的便捷,但同时也意味着具有安全风险,比如非授权访问,没有预先经过授权,就使用校园网络或计算机资源;信息泄漏或丢失,重要数据在有意或无意中被泄漏出去或丢失;以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息;不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪;利用网络传播计算机病毒等。那么,校园网利用vpn技术方案,是否能避免校园网的潜在安全隐患,杜绝上述情况的发生呢?
vpn即虚拟私有网络技术,它的安全功能包括:通道协议、身份验证和数据加密,实际工作时,远程外网客户机向校园网内的vpn服务器发出请求,vpn服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到vpn服务端,vpn服务器根据用户数据库检查该响应,如果账户有效,vpn服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,vpn服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说,vpn可以通过对校园网内的数据进行封包和加密传输,在互联网公网上传输私有数据、达到私有网络的安全级别。? 选择ipsec vpn还是ssl vpn 校园网vpn方案可以通过公众ip网络建立了私有数据传输通道,将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来,减轻了校园网的远程访问费用负担,节省电话费用开支,不过对于端到端的安全数据通讯,还需要根据实际情况采取不同的架构。一般而言,ipsec vpn和ssl vpn是目前校园网vpn方案采用最为广泛的安全技术,但它们之间有很大的区别,总体来说,ipsec vpn是提供站点与站点之间的连接,比较适合校园网内分校与分校的连接;而ssl vpn则提供远程接入校园网服务,比如适合校园网与外网的连接。
从vpn技术架构来看,ipsec vpn是比较理想的校园网接入方案,由于它工作在网络层,可以对终端站点间所有传输数据进行保护,可以实现internet多专用网安全连接,而不管是哪类网络应用,它将远程客户端置于校园内部网,使远程客户端拥有内部网用户一样的权限和操作功能。ipsec vpn还要求在远程接入客户端适当安装和配置ipsec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些ipsec客户端软件能实现自动安装,不需要用户参与,因而无论对网管还是终端用户,都可以减轻安装和维护上的负担。? vpn为校园网带来哪些应用
在校园网中,通过vpn给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么,vpn能为校园网带来哪些具体应用优势呢?首先就是办公自动化,比如校园办公楼共有40个信息点,此时可以通过校园网连至internet用户,实现100m甚至1000m到桌面的带宽,并对财务科、人事科等科室进行单独子网管理。还可以利用vpn在校园网内建立考试监控系统、综合多媒体教室等,比如学校具有两个多媒体教室,每个教室60台pc,通过校园网上连至internet,实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的pc通过校园网上连至internet,而不进行任何布置。
校园网采用vpn技术可以降低使用费,远程用户可以通过向当地的isp申请账户登录到internet,以internet作为通道与企业内部专用网络相连,通信费用大幅度降低;学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校,各个分校和培训场所网络整合使学校的信息化管理成本必然的增加,比如学校的数据存储,许多学校都采用了分布式存储方式,其具有较低的投资花费和软件部署的灵活性,然而其管理难度高,后期维护成本高,如果采取vpn服务器,可以对各分校进行web通讯控制,同时又可以实现分校访问互通。为了让师生共享图书资源,与国外高校合作交换图书馆数据,以及向国外商业图书馆交纳版权费,获得更多电子文献资料的浏览权,很多高校都建立了数字图书馆,但在应用上也会产生相应的约束性,比如说为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址,或则被校方授权过的内部合法师生,此时采用vpn加密技术,数据在internet中传输时,internet上的用户只看到公共的ip地址,看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外;在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。? vpn支持哪种校园网接入方式
在教育机构的校园网,由于不同地区、不同学校的条件不同,它们选择的网络接入方式也有差异,比如条件不大好的中小学校,可能还在采取模拟电话、isdn、adsl拨号上网,而对于条件好的高校,则采取了光纤或ddn、帧中继等专线连接,那么,vpn方案到底支持哪种接入方式呢?实际上,vpn可以支持最常用的网络协议,因为在internet上组建vpn,用户计算机或网络需要建立到isp连接,与用户上网接入方式相似,比如基于ip、ipx和netbui协议的网络中的客户机都能使用vpn方案。
七、vpn在校园图书馆系统中的调查分析
数字图书馆的版权问题不容忽视,不管什么类型的图书,都要遵循数字版权保护(digital rights management,drm)的规定,通过安全和加密技术控制数字内容及其分发途径,从而防止对数字产品非授权使用。
正是在这样一种保护知识产权的背景下,高校图书馆所购买的电子资源大部分都有限制访问的ip地址范围。即:
1、采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商是根据访问者的ip地址来判断是否是经过授权的用户。
2、只要是从校园网出去的ip地址都是认可的,因为校园网出口ip和部分公网ip地址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
3、如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用pstn拨号、adsl、小区宽带,使用的都是社会网络运营商提供的ip地址,不是校园网的ip地址范围,因此数据库服务商认为是非授权用户,拒绝访问。当然,我们也可以要求服务商进一步开放更多的ip地址为合法用户,但是这要求访问者的ip地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态ip地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而自动屏蔽。
因此,就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过鉴权后拥有校内地址再访问资源数据库。到底有没有这样一种方案呢?虚拟专用网即vpn技术,给了我们很好的答案。vpn是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
实际上,目前国内已经有不少高校采用了或者正常尝试使用vpn技术来解决这个问题,而且大多是采用的ipsec vpn技术。利用ipsec技术,校外用户在本机安装一个vpn客户端软件后经过配置连入图书馆网络,ipsec vpn中心端会给每个远程用户分配一个校园网ip地址,从而实现远程用户以校园网用户身份访问电子资源。
虽说ipsec vpn是目前vpn的主流技术之一,但ipsec协议最初是为了解决site to site的安全问题而制定的,因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。
首先是客户端配置问题:在每个远程接入的终端都需要安装相应的ipsec客户端,并且需要做复杂的配置,随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了ipsec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
其次是ipsec vpn自身安全问题:往往传统的ipsec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的vpn厂商已经着手改进这些问题并取得了相应的成绩)。
然后是对网络的支持问题:传统的ipsec vpn在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于ipsec vpn对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,ipsec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此,ssl vpn技术应运而生。ssl vpn的突出优势在于web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。ssl在web的易用性和安全性方面架起了一座桥梁。目前,对ssl vpn公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的ssl协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆,ssl vpn技术采用了一种类似代理性质的技术,所有的访问都是以ssl vpn设备的lan口的名义发起的,所以只要ssl vpn设备的lan口ip是一个合法的校园网ip,所有成功接入ssl的校外用户都可以成功访问这个ssl vpn设备lan口所能访问的资源。
但ssl vpn并不能取代ipsec vpn。因为,这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性,更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过internet建立的安全连接,保护的是点对点之间的通信,并且,ipsec工作于网络层,不局限于web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。从高校应用来看,由于ssl接入方式下所有用户的访问请求都是从ssl vpn设备的lan口发起的,对于那些对单个用户流量有严格限制的资源商来说,这些ssl用户的访问会被当成一个用户对待,很快就会因为达到资源商的流量限制而造成该ip被禁用,也就导致所有ssl用户无法继续访问图书馆资源。
那么,高校图书馆应该选择何种vpn技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看,比较合理的应用方式应该是ipsec和ssl共同使用。
正如我们前面所分析的,上游资源商对于资源的应用是有限制的,除了限制发起请求的ip地址外,还会限制单个ip地址所产生的流量,因此在图书馆大量的校外用户群中,我们将用户分为两个类型,一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主,数量较少),另一类则是使用次数较少、访问数据不多的用户(以学生为主,数量较多),通过用户划分,我们给访问量大但数量少的教师用户分配ipsec接入方式,这样就可以把大量的用户流量分配到不同的ip地址上,避免单个ip流量过大造成的问题,而那些数量众多但访问量小的学生用户分配ssl接入方式,利用ssl vpn无需部署客户端的特性大大降低客户端的维护工作量,从而实现vpn在图书馆应用的快速部署。经过长时间的测试,华师图书馆选择使用国内专业vpn厂商深信服科技推出了ipsec/ssl 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和ssl vpn功能,利用两种技术的集成很好解决了图书馆应用的需求,同时一体化的设计能够大幅度的降低整个vpn产品的投入,满足教育行业低成本高效率it建设的需求。
八、结论
vpn技术代表了当今网络发展的最新趋势,它综合了传统数据网络性能的优点(安全和qos)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的安全连接,建设与维护费用比专线网络要低得多.而且,vpn在降低成本的同时满足了对网络带宽,接入和服务不断增加的需求.根据调查数据表明,用vpn替代租用线路来连接远程站点可节约20%~47%的开支,这么一种经济,安全和灵活的技术,在国外图书馆已经逐步普及.在国内,一些高校图书馆也开始应用vpn技术实现多校区图书馆互联和开展一些远程文献信息服务.vpn技术在高校图书馆的应用,必将提高图书馆利用效率,为图书馆的远程文献信息服务打开新局面,尤其为多校区图书馆之间资源的共享提供安全,高效,经济的网络传输和数据访问途径.随着vpn技术的日益成熟,它将在图书馆得到更为广泛的应用。
