虚拟专用网络远程接入安全性讨论毕业论文.doc

目录虚拟专用网络远程接入安全性讨论毕业论文目 录第1章引言11.1 选题背景11.2 研究目标和意义11.3 研究思路1第2章研究的理论基础22.1 VPN的定义22.2 VPN种类32.2.1 二层VPN L2TP32.2.2 三层VPN52.2.3 MPLSVPN92.3 VPN原理浅析92.3.1 机密性102.3.2 完整性和数据包认证112.3.3 源认证和数据来源认证112.3.4 防重放132.3.5 Diffie-Hellman算法132.4 VPN的比较142.4.1 IPsecVPN的优点142.4.2 IPsecVPN的缺点152.4.3 SSL VPN的优势152.4.4 ISA VPN16第3章VPN案例及其分析183.1 VPN在校园网构建上的应用183.1.1 方案背景183.1.2 VPN解决校园网安全风险183.1.3 VPN选择： IPSec VPN还是SSL VPN203.1.4 VPN为校园网带来的应用223.1.5 VPN支持的校园网接入方式233.1.6 VPN在某校校园网中的实际应用273.1.7 结论283.2 方案分析28第4章VPN在企业构建的应用与优化304.1 VPN在企业构建的应用304.1.1 意义，目标和总体方案304.1.2 具体设计方案314.1.3 关键技术354.1.4 设计结果及作用364.1.5 案例分析364.2 虚拟化的实现364.2.1 桌面虚拟化364.2.2 虚拟化的优势374.2.3 虚拟化的应用方案40第5章总结和展望445.1 VPN的运营现状445.2 VPN的前景展望44参考文献46致谢48外文资料原文48译文5147第1章 引言第1章 引言1.1 选题背景虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 目前很多单位都面临着这样的挑战：分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。1.2 研究目标和意义 研究VPN的目标是：找一种实施简便，不需改变现有网络结构，运营成本低的解决方案。1.3 研究思路VPN原理分析，并且结合实际运用分析各种VPN优缺点，根据企业类型及大小选择VPN及天翼，极通，CTRIX等远程接入软件协同工作。第2章 研究的理论基础第2章 研究的理论基础2.1 VPN的定义VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议为连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。我们可以把VPN理解成为是建立在实际网络（或物理网络）基础上的一种功能性网络。它利用低成本的公共网络做为企业骨干网，同时又克服了公共网络缺乏保密性的弱点，在VPN网络中，位于公共网络两端的网络在公共网络上传输信息时，其信息都是经过安全处理的，可以保证数据的完整性、真实性和私有性。每家公司都有自己的内部网络，而这个网络是封闭的、有边界的。小一些的网络可能仅由办公室中的几台电脑组成，规模较大的网络可能由一栋建筑物中的所有终端组成甚至整个厂区中的所有终端组成，但无论如何，这个内部网络总是有边界的，所以物理上将上海总部的内网与北京分部的内网直接相连在一般条件下是不可能实现的，而这一问题同时也限制了企业内部各种应用的延伸。网络通信是采用分层机制实现的，上层的各种应用无法查觉到下层网络的工作方式，所以无论是逻辑上还是物理上只要将两个网络进行直接连连，对于上层应用来讲是没有分别的。VPN所实现的效果正是将两个物理上分离的网络通过Internet这个公共网络进行逻辑上的直接连接，通过这种方式我们可以无限延伸企业的内部网络，继而使所有用户可以访问相同的资源，使用相同的应用。VPN的优势之处还在于它可以很好的利用当前既有的Internet线路资源，不再受地域的限制，而对于用户来讲，VPN的工作方式是完全透明的。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），分别适用于远程/移动用户访问、连接各个企业内部网络、连接企业内部网与合作伙伴内部网。2.2 VPN种类2.2.1 二层VPN L2TP该协议是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。L2TP协议是由IETF起草，微软、Ascend、Cisco，3com等公司参予制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关2层通道协议的工业标准，基于微软的点对点隧道协议 (PPTP)和思科2层转发协议(L2F)之上的，被一个因特网服务提供商和公司使用使这个虚拟私有网络的操作能够通过因特网。L2TP VPN适用于移动办公用户的VPN接入，可以提供严格的用户验证功能，确保VPN接入用户的合法性。L2TP VPN的连接方式分为两种：PC直接发起连接和LAC设备发起连接。两种方式适用于不同企业对于VPN接入控制和管理的不同要求。L2TP VPN可以提供LAC侧的用户接入验证和LNS侧的用户再次验证，可以提供比较安全的VPN接入功能。L2TP 安全性考虑L2TP VPN本身虽然提供较为严格的接入用户的认证功能，但不提供VPN数据的加密功能，如果需要对数据进行安全加密可以同IPSEC协议进行配合。L2TP客户端功能扩展了标准的L2TP功能，支持LAC客户端功能，不仅可以为PPP或PPPOE用户提供接入，而且也可以为其他连接方式的用户提供接入，例如以太网接入。并且可以适用动态路由协议如OSPF进行路由选路，增强了可扩展性。L2TP中的NAT问题LAC在同位于NAT之后的LNS建立连接时可能会出现问题L2TP多实例L2TP协议上加入多实例技术，让L2TP支持在一台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。2.2.2 三层VPN三层VPN包含了很多种VPN，标准的IPsecVPN，SSLVPN，GRE隧道VPN，混合VPN等。企业一般按照自己的需求选择合适的VPN，每种VPN都有自己的优点和缺点。1）SSLVPNSSLVPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术，其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。2）GRE隧道VPN通用路由封装（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定义，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。 GRE VPN：GRE（Generic Routing Encapsulation）即通用路由封装协议是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE是VPN（Virtual Private Network ）的第三层隧道协议，即在协议层之间采用了一种被称之为Tunnel（隧道）的技术。GRE的隧道由两端的源IP地址和目的IP地址来定义，它允许用户使用IP封装IP、IPX、AppleTalk，并支持全部的路由协议，如RIP、OSPF、IGRP、EIGRP。通过GRE，用户可以利用公用IP网络连接IPX网络和AppleTalk网络，还可以使用保留地址进行网络互联，或对公网隐藏企业网的IP地址。3）IPsecVPNIPsecVPN是网络层的VPN技术，它独立于应用程序，以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后，就可以实现各种类型的连接，如Web、电子邮件、文件传输、VoIP等，每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议，对应用层协议完全透明，这是IPSEC VPN最大优点所在。2.2.3 MPLSVPNMPLS-VPN是指采用MPLS技术在宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠 的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起，为用户提供高质量的服务。MPLS-VPN产品可提供从64K2M100M的带宽，目前已覆盖全国50多个大中城市，以及香港、台湾、日本、美国、韩国、新加坡、澳大利亚、马来西亚、菲律宾等地，可充分满足大型企业、跨国集团进行全国或全球组网的需求。2.3 VPN原理浅析 IPsec协议栈IPsec 结合了三个主要的协议从而组成了一个和谐的安全框架：-Internet密钥交换(IKE)协议-提供协商安全参数和创建认证密钥的框架。-ESP(负载安全封装)协议-提供加密,认证和保护数据的框架。-认证头(AH)协议-提供认证和保护数据的框架。在这些协议中,IKE和ESP在一起配置.尽管AH也是IPsec协议的一个重要成分。但不像使用IPsec时那样要做那么多的配置。一般情况下,AH的很多功能都被嵌入到ESP中了。IKE协议是负责在二个IPsec对等体间协商一条IPsec隧道的协议,IKE在隧道建立过程中主要完成以下任务:-协商协议参数-交换公共密钥-对双方进行认证-在交换后对密钥进行管理IKE也是由三个协议组成：-SKEME-提供为认证目的使用公开密钥加密的机制-Oakley-提供在二个IPsec对等体间达成相同加密密钥的基于模式的机制。-ISAKMP-定义了消息交换的体系结构,包括二个IPsec对等体间分组形式和状态转换。IPsec协议可以完成四个功能：机密性，完整性，源认证，防重放。2.3.1 机密性 1）DES与3DESDES和3DES是在VPN中非常普遍采用的加密算法。DES原名Lucifer，是IBM在20世纪70年代初期开发的。DES是一个块密码加密算法。他提取一个固定长度的数据块，并使用对称密钥把它转换成同样大小的加密数据块。这个密钥长度是64位，但是其中8位用来做奇偶效验，所以有效密钥长度位56位。解密是使用相同的对称密钥对加密的数据块进行一个反过程。攻破DES还没有找到更容易的方法，但通过使用一种强力攻击，尝试2的55次方种可能的密钥值来猜测使用的密码信息。也有其他的攻破DES的方法，但是强力攻击应经被证明是最适用的方法。DES在1998年被一台超级计算机在56小时内攻破，1999年用分布式计算机DES被22小时内攻破。而且很可能会出现一种专门破解DES的硬件设备，可以在一小时内破解DES加密。现在DES可以在PC上用40分钟的时间攻破。为了使DES算法有更强的生命力，NIST在1999年创建了3DES。理论上3DES 是DES的增强版本。3DES使用了3个阶段的DES，而且更安全。DES使用了三个不同的56为密钥，被执行了三次，产生一个168位的有效密钥长度，而且没有被攻破。当前还没有出现可以攻破3DES的超级计算机。2）AESNITS在2002年用先进的加密标准AES代替了DES和3DES。AES是一个对称的数据块密码算法，它支持128、192、256位密钥长度，它在一轮计算中包含4个阶段：它对128位密钥重复10次，对192位密钥重复12次，对256位密钥重复14次。即使是这样，因为AES是用有效的方法编写的，它实际上消耗CPU较少。在执行加密的时候，密钥的大小，和需要CPU的运行时间并没有什么线性关系。AES是IPsecVPN中最常使用的加密算法，也是对称加密中最安全的算法。2.3.2 完整性和数据包认证数据包认证的实施散列函数被用于将一个可变长度的输入，例如用户数据或数据包以及一个密钥共同输入一个散列函数来产生一个签名。输出的是一个固定的长度结果。散列消息验证码（HMAC）是散列函数的一个子集。HMAC功能特别开发用于处理和数据及数据包有关的验证问题。HMAC使用一个共享的对称密钥来产生固定输出，也叫数字签名或手印。只有知道密钥的一方才能建立并检验发送的数据签名。1）MD5 HMACMD5是1994年由Ronald Rivest 开发的。MD5创建一个128位的数字签名。它比SHA更快，但是安全性稍差。它是目前IT市场上用的最多的HMAC。2）SHA HMACSHA安全的散列算法由NITS开发，在VPN中使用的是SHA-1，它比md5慢，但是更安全，因为它的密钥比较长，它可以有效地防止强大的攻破功能。2.3.3 源认证和数据来源认证1）带外域共享密钥最常用的设备验证方法就是带外域共享对称密钥加密认证。自己的身份信息加上KEY，运行HMAC算法发给对端（签名发给对端）对端把收到的信息用自己的KEY和HMAC算法也算出一个签名，这2个签名如果一样就说明设备验证通过。一般设备验证的KEY不用做加密，因为加密都是可逆的（对称加密） 而HMAC不可逆。2）域共享非对称加密（加密随机值）表2-1域共享非对称加密对等体A交互说明 对等体BpubA各自生成公钥pubBprivA各自生成私玥privBPub公钥交换pubA产生随机数QQ随机生成产生随机数WWQQ+pubB发给BMD5哈希并互传WW+pubA发给A解密后得到WWMD5解密解密后得到QQA自己的身份信息加WW加HMAC产生一个签名发给BB自己的身份信息加QQ加HMAC产生一个签名发给AA用自己的QQ和信息和HMAC也产生一个签名后B用自己的WW和信息和HMAC也产生一个签名后和刚才接收的签名对比如果一样则完成和刚才接收的签名对比如果一样则完成3）数字证书（CA）表2-2 数字证书CA服务器CA公钥ACA私钥BA公钥B公钥A私钥B私钥首先CA把自己的公钥分别给A和BA和B都有了CA的公钥后，把自己的信息（比如名字和自己的公钥）交给CACA把A和B的信息HASH HASH的结果加自己的私钥加密加密后的结果加A的信息得到A的证书，加B的信息得到B的证书A获得B的证书B获得A的证书A有CA的公钥所以能解出CA里面的东西，这样就说明验证成功。B有CA的公钥所以能解出CA里面的东西，这样就说明验证成功。A和B如何确认这个公钥就是CA给的，A和B会把这个CA的公钥HASH了得到一个HASH结果，之后给网管打电话去问看这个结果和CA服务器上的结果是不是一样如果一样则OK，这个叫离线确认2.3.4 防重放1）AH IPsec 认证头协议（IPsec AH）是 IPsec 体系结构中的一种主要协议，它为 IP 数据报提供无连接完整性与数据源认证，并提供保护以避免重播情况。一旦建立安全连接，接收方就可能会选择后一种服务。 AH 尽可能为 IP 头和上层协议数据提供足够多的认证。但是，在传输过程中某些 IP 头字段会发生变化，且发送方无法预测当数据包到达接受端时此字段的值。 AH 并不能保护这种字段值。因此， AH 提供给 IP 头的保护有些是零碎的。AH 可被独立使用，或与 IP 封装安全负载（ESP）相结合使用，或通过使用隧道模式的嵌套方式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。 ESP 提供了相同的安全服务并提供了一种保密性（加密）服务，而 ESP 与 AH 各自提供的认证其根本区别在于它们的覆盖范围。特别地，不是由 ESP 封装的 IP 头字段则不受 ESP 保护。2）ESPIPsec 封装安全负载（IPsec ESP）是 IPsec 体系结构中的一种主要协议，其主要设计来在 IPv4 和 IPv6 中提供安全服务的混合应用。IPsec ESP 通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性。2.3.5 Diffie-Hellman算法表2-3 Diffie-Hellman算法对等体1对等体2生成随机数P和Q生成随机数M和N用PQ生成公钥A和私玥a用MN生成公钥B和私玥b对等体1和2互相交换各自公钥对方的公玥和自己的私玥加起来运行DH算法各得到同一个数ZZ由ZZ产生对称加密密钥用于DES或md5，而ZZ便是域共享的共享密钥2.4 VPN的比较2.4.1 IPsecVPN的优点IKE使IPsecVPN配置简单 简单的讲IKE是一种安全机制，它提供端与端之间的动态认证。IKE为IPsec提供了自动协商交换密钥、建立SA的服务，这能够简化IPsec的使用和管理，大大简化IPsec的配置和维护工作。IKE不是在网络上直接传输密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，有了IKE，IPsec很多参数（如：密钥）都可以自动建立，降低了手工配置的复杂度。IPsecVPN对应用程序的高可扩展性 所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec，由于IPSec工作在OSI的第3层，低于应用程序直接涉及的层级，所以对于应用程序来讲，利用IPSec VPN所建立起来的隧道是完全透明的，无需修改既有的应用程序，并且，现有应用程序的安全解决方法也不会受到任何影响。且当有新的加密算法产生时可以直接移植进IPsec协议栈。IpsecVPN加密灵活：对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高IP数据包的安全性，可以有效防范网络攻击。IPsecVPN将网络扩展： Ipsecvpn完成使二个专用的网络组合成一个虚拟网络的无缝连接。将虚拟网络扩展成允许远程访问用户(也被称为road warriors)成为可信任网络的一部分。2.4.2 IPsecVPN的缺点IPSec在客户机/服务器模式下实现有一些问题，在实际应用中，需要公钥来完成。IPSec需要已知范围的IP地址或固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。除了TCP/IP协议外，IPSec不支持其他协议。除了包过滤之外，它没有指定其他访问控制方法。可能它的最大缺点是微软公司对IPSec的支持不够。 IPSec在部署安全网关时要考虑拓扑排序，一旦添加新设备就要改变网络结构。IPsecvpn须在防火墙上开放不同的通讯埠（21、25、80、110、443等）来作为服务器和客户端之间的数据传输通道。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。2.4.3 SSL VPN的优势 由于SSL协议本身就是一种安全技术，因此SSL VPN就具有防止信息泄漏、拒绝非法访问、保护信息的完整性、防止用户假冒、保证系统的可用性的特点，能够进一步保障访问安全，从而扩充了安全功能设施。首先SSL VPN可以实现128位数据加密，保证数据在传输过程中不被窃取，确保ERP数据传输的安全性。其次，多种认证和授权方式的使用能够只让“正确”的用户访问内部网络，从而保护了企业内部网络的安全性。 在应用性方面，SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet，即可访问企业的网络资源。这样尽管购买软件和硬件的费用不一定低，但是 SSL VPN的部署成本却很低。只要安装了SSL VPN，基本上就不需要IT部门的支持了，所以维护成本可以忽略不计。对于那些只需进入企业内部网站或者进行E-mail通信的远程用户来说，SSL VPN显然是一个价廉物美的选择。此外，SSL VPN连接要比IPSec VPN更稳定，这是因为IPSec VPN是网络层连接，故容易中断。除此之外，在管理维护和操作性方面，SSL VPN方案可以做到基于应用的精细控制，基于用户和组赋予不同的应用访问权限，并对相关访问操作进行审计。此外，SSL VPN还提高了平台的灵活性，方便扩展应用和增强性能，尤其是在降低使用成本、最有效地保护用户投资这一敏感话题上，SSL VPN赢得了用户最终的好感。当今Web成为标准平台已势不可挡，越来越多的企业开始将系统移植到Web上。而SSL VPN通过特殊的加密通讯协议，被认为是实现远程安全访问Web应用的最佳手段，能够让用户随时随地甚至在移动中连入企业内网，将给企业带来很高的利益和方便。2.4.4 ISA VPN简介一些大型跨国公司解决这个问题的方法，就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题，但是费用昂贵，对于中小企业来说是无法负担的，而VPN技术能解决这个问题。根据该公司用户的需求，遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定采用ISA Server VPN安全方案，以ISA作为网络访问的安全控制。ISA Server集成了Windows server VPN服务，提供一个完善的防火墙和VPN解决方案。以 ISA VPN作为连接Internet的安全网关，并使用双网卡，隔开内外网，增加网络安全性。ISA具备了基于策略的安全性，并且能够加速和管理对Internet的访问。防火墙能对数据包层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对于各种规模的企业来说，ISA Server 都可以增强网络安全性、贯彻一致的 Internet 使用策略、加速 Internet 访问并实现员工工作效率最大化。在ISA中可以使用以下三种协议来建立VPN连接： l IPSEC隧道模式； l L2TP over IPSec模式； l PPTP； 下表比较了这三种协议表2-4 ISA 协议比较协议何时使用安全等级备注IPSec隧道模式连接到第三方的VPN服务器高这是唯一一种可以连接到非微软VPN服务器的方式L2TP over IPSec连接到ISA Server 2000、ISA Server 2004或者Windows VPN服务器高使用RRAS。比IPSec隧道模式更容易理解，但是要求远程VPN服务器是ISA Server或者Windows VPN服务器。PPTP连接到ISA Server 2000、ISA Server 2004或者Windows VPN服务器中等使用RRAS，和L2TP具有同样的限制，但是更容易配置。因为使用IPSec加密，L2TP更认为更安全。第3章VPN 案例及其分析第3章 VPN案例及其分析3.1 VPN在校园网构建上的应用 3.1.1 方案背景 随着教育信息化的深入，很多学校都建立了校园网，为了实现校内资源优化整合，让师生们更好的进行工作和学习，他们需要在校园网内部或在校外的远程节点上，随时享受校园网内部的各项服务，然而由于互联网黑客对各高校的资源虎视眈眈，在没有经过任何允许的情况下，黑客们很容易就潜入校园网内部进行捣乱，为此，多数校园网都不会将自己的各种应用系统和所有信息资源完全开放，因为这样让整个校园网面临无以估量的破坏性损失，为了网络安全考虑，将VPN技术应用于基于公共互联网构架的校园网，可以较好的解决校园网多校区、远程访问、远程管理等问题。根据接入方式的不同，校园网VPN可以为两种类型：一是专线VPN通过固定的线路连接到ISP（如DDN、帧中继等都是专线连接）；其次是拨号接入VPN（简称VPDN），使用拨号连接（如模拟电话、ISDN和ADSL等）连接到ISP是典型的按需连接方式，这是-种非固定线路的VPN，比如ADSL是基于ATM（异步传送模式）光缆传输接入Internet，学校可以利用ADSL的公共IP地址建立自己的WWW服务器，因而也可以提供基于ATM的VPN（虚拟专用网）服务，从而形成虚拟的教育城域网实现资源共享。3.1.2 VPN解决校园网安全风险对于校园网而言，它虽然给师生带来了资源共享的便捷，但同时也意味着具有安全风险，比如非授权访问，没有预先经过授权，就使用校园网络或计算机资源；信息泄漏或丢失，重要数据在有意或无意中被泄漏出去或丢失；以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息；不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪；利用网络传播计算机病毒等。那么，校园网利用VPN技术方案，是否能避免校园网的潜在安全隐患，杜绝上述情况的发生呢？ 图3-1 普通校园网方案并不安全VPN的安全功能包括：通道协议、身份验证和数据加密。远程外网客户机向校园网内的VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务端，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问的权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说，VPN可以通过对校园网内的数据进行封包和加密传输，在互联网公网上传输私有数据、达到私有网络的安全级别。 图3-2 校园网VPN方案更为安全选择IPSec VPN还是SSL VPN：校园网VPN方案可以通过公众IP网络建立了私有数据传输通道，将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来，减轻了校园网的远程访问费用负担，节省电话费用开支，不过对于端到端的安全数据通讯，还需要根据实际情况采取不同的架构。一般而言，IPsec VPN和SSL VPN是目前校园网VPN方案采用最为广泛的安全技术，但它们之间有很大的区别，总体来说，IPSEC VPN是提供站点与站点之间的连接，比较适合校园网内分校与分校的连接；而SSL VPN则提供远程接入校园网服务，比如适合校园网与外网的连接。图3-3 VPN可实现多校区资源共享从VPN技术架构来看，IPSec VPN是比较理想的校园网接入方案，由于它工作在网络层，可以对终端站点间所有传输数据进行保护，可以实现Internet多专用网安全连接，而不管是哪类网络应用，它将远程客户端置于校园内部网，使远程客户端拥有内部网用户一样的权限和操作功能。IPSec VPN还要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些IPSec客户端软件能实现自动安装，不需要用户参与，因而无论对网管还是终端用户，都可以减轻安装和维护上的负担。图3-4 IPSec VPN实现数据访问的原理与IPSec VPN不同的是，SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间，因而SSL VPN的零客户端架构特别适合于远程用户连接，用户可通过任何Web浏览器访问校园网Web应用，因而SSL VPN存在一定安全风险。而IPSec VPN需要软件客户端支撑，不支持公共Internet站点接入，所以安全性更高一些。但不可否认，SSL VPN依然更加适合大多数校园网，因为在互联网时代，更多的信息交流需要实现完全互通，比如SSL VPN提供更细粒度的访问控制、能够穿越NAT和防火墙设置、能够较好地抵御外部系统和病毒攻击、网络部署灵活方便等特点，为其在校园网应用中赢得了不少亮点。 图3-5 SSL VPN可实现校园网安全管理3.1.3 VPN为校园网带来的应用在校园网中，通过VPN给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么，VPN能为校园网带来哪些具体应用优势呢？首先就是办公自动化，比如校园办公楼共有40个信息点，此时可以通过校园网连至INTERNET用户，实现100M甚至1000M到桌面的带宽，并对财务科、人事科等科室进行单独子网管理。 还可以利用VPN在校园网内建立考试监控系统、综合多媒体教室等，比如学校具有两个多媒体教室，每个教室60台PC，通过校园网上连至INTERNET，实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的PC通过校园网上连至INTERNET，而不进行任何布置。校园网采用VPN技术可以降低使用费，远程用户可以通过向当地的ISP申请账户登录到Internet，以Internet作为通道与企业内部专用网络相连，通信费用大幅度降低；学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校，各个分校和培训场所网络整合使学校的信息化管理成本必然的增加，比如学校的数据存储，许多学校都采用了分布式存储方式，其具有较低的投资花费和软件部署的灵活性，然而其管理难度高，后期维护成本高，如果采取VPN服务器，可以对各分校进行Web通讯控制，同时又可以实现分校访问互通。 图3-6 校园网VPN典型应用方案 为了让师生共享图书资源，与国外高校合作交换图书馆数据，以及向国外商业图书馆交纳版权费，获得更多电子文献资料的浏览权，很多高校都建立了数字图书馆，但在应用上也会产生相应的约束性，比如说为了保证数据信息的知识产权，浏览者必须是已缴纳版权费的本校内网地址，或则被校方授权过的内部合法师生，此时采用VPN加密技术，数据在Internet中传输时，Internet上的用户只看到公共的IP地址，看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外；在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。 图3-7 VPN在校园数字图书馆的作用3.1.4 VPN支持的校园网接入方式在教育机构的校园网，由于不同地区、不同学校的条件不同，它们选择的网络接入方式也有差异，比如条件不大好的中小学校，可能还在采取模拟电话、ISDN、ADSL拨号上网，而对于条件好的高校，则采取了光纤或DDN、帧中继等专线连接，那么，VPN方案到底支持哪种接入方式呢？实际上，VPN可以支持最常用的网络协议，因为在Internet上组建VPN，用户计算机或网络需要建立到ISP连接，与用户上网接入方式相似，比如基于IP、IPX和NetBUI协议的网络中的客户机都能使用VPN方案。 图3-8 ADSL虚拟拨号实现VPN组网A校校园网VPN解决方案：我校共有两个校区：老校区和新校区，两个校区之间通过新校区的Cisco6513和老校区Cisco6509万兆相连，Cisco6513又与边界出口Cisco6503相连,具有四条通道：计费网关，VPN，两条Trunk通道。网络拓扑图如图3-9所示： 图3-9 校园网VPN解决方案因为Cisco6513为我校校园网核心交换，因此我们选择CISCO VPN模块安装在Cisco6513上。在Cisco6513上的VPN配置如下：以下是启动 aaa，打开radius服务器上的用户认证，打开cisco组用户的本地授权的配置aaa new-modelaaa authentication login default group radius localaaa authorization network cisco local以下是为远端VPN用户定义crypto策略，使用3des加密、共享密钥和用group2产生密钥的配置crypto isakmp policy 1encr 3desauthentication pre-sharegroup 2以下是创建组验证的用户名和密码，分配DNS地址，指定要分配给VPN用户的地址池以及允VPN用户所能访问的IP范围的配置：crypto isakmp invalid-spi-recoverycrypto isakmp keepalive 10crypto isakmp nat keepalive 15crypto isakmp xauth timeout 45crypto isakmp client configuration group ciscokey ciscodns 0 6pool remote-poolacl 101 以下是定义crypto的transform属性的配置：crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac以下是定义crypto的动态map的配置crypto dynamic-map dynmap 1set transform-set transform-1 以下是创建一个合成的map，将合成map绑定到端口上的配置：crypto map client-map client authentication list defaultcrypto map client-map isakmp authorization list ciscocrypto map client-map client configuration address respondcrypto map client-map 1 ipsec-isakmp dynamic dynmap 以下是定义两个端口为vpn模块的虚拟端口的配置：interface GigabitEthernet2/1switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 906switchport mode trunkspanning-tree portfast trunkinterface GigabitEthernet2/2switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 903switchport mode trunkspanning-tree portfast trunk以下是接口为PORT VLAN的配置，它接口地址分配在防火墙INSIDE接口上：interface Vlan903no ip addresscrypto connect vlan 906interface Vlan906ip address 9 52以下是将合成的map应用到该接口的配置：crypto map client-mapcrypto engine slot 2以下是定义分配给VPN用户的地址段的配置:ip local pool remote-pool 54以下是定义VPN允许访问的地址范围。access-list 101 permit ip x.x.x.x x.x.x.x以下是电信防火墙上的配置，其中，192.168.203网段是用户获得的地址池的地,192.168.201网段是vpn接口地址定义VPN用户允许访问的范围。nat (inside) 1 global (outside) 1 netmask 24route inside 1route inside 1在配置中需要注意的是，如果VPN用户通过防火墙拨号进来，则要在防火墙outside端口上允许esp协议，具体配置如下：access-list 105 extended permit esp any host x.x.x.xaccess-group 105 in interface outside 3.1.5 VPN在某校校园网中的实际应用该校VPN主要应用于校园网网络设备的远程管理以及校外用户访问校内网络资源。具体应用是通过VPN客户端EZ-VPN,因为EZ-VPN是Cisco公司的VPN客户端软件，它允许用户在不安全的网络上建立VPN终端设备与客户端之间的VPN通道，从而使得用户能够通过比如拨号等上网方式来安全的接入到校园网内部，接入后获得校园网内部地址，这样就可以访问校内的共享资源。以下是客户端操作实例图，如图3-10所示。以下是VPN客户端软件的配置说明Connection Entry中填写VPN的名称，Description可随意填写，Host中填写VPN的服务器名称，Name和Password中分别填写用户名和密码。图3-10 VPN客户端3.1.6 结论该校校园网自2004年10月以来，利用VPN实现的远程OA和远程网络管理运行正常。实践证明，VPN技术解决方案具有强劲的认证功能、有效的加密保障、安全的远端存取、IP路径选择、防火墙等功能，能够较好地应用于远程访问、企业网连接、外部网连接等。3.2 方案分析 由于SSL VPN网关虽然提供简单的包过滤功能，但是远远不如防火墙/VPN一体机安全，因此SSLVPN网关需要通过防火墙进行特殊的安全保护部署；同时由于它位于防火墙后面，也使得SSL的数据无法被防火墙进行安全过滤，但在同等条件下防火墙/VPN一体机则很好解决了加密和防火墙的访问控制的矛盾。图3-11 在Windows中可轻易实现VPN连接实际上，VPN技术原是路由设备具有的重要技术之一，也就是说，市场上大部分交换机、路由器都可以支持VPN功能，因而从广义上来看，目前VPN产品包括单纯VPN网关、VPN路由器、VPN防火墙、VPN服务器等。如果选择普通VPN设备，尽管其提供了身份验证和数据加密能力，但对于需要与Internet互通的校园网，安全级别还远远不够，为此，建议校园网选择VPN防火墙，或者为普通VPN设备搭配一台专用防火墙，不过要注意，如果采用普通VPN设备搭配防火墙，VPN与防火墙的协同工作会遇到很多难以解决的问题，有可能不同厂家的防火墙和VPN不能协同工作，防火墙的安全策略无法制定或者带来性能的损失，如防火墙无法使用NAT功能等。而如果采用VPN防火墙，则上述问题不存在或很容易解决。 第4章 VPN在企业建构的应用与优化第4章 VPN在企业构建的应用与优化4.1 VPN在企业构建的应用 4.1.1 意义目标和总体方案 1. 设计意义通过功能模块的设计，企业使用VPN技术组建网络可以带来以下好处2.降低费用首先远程用户可以通过向当地的IsP申请账户登录到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。3.增强的安全性VPN使用三个方面的技术保证了通信的安全性通道协议，身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务端，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问的权限。如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。4.网络协议支持VPN支持最常用的网络协议。基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。5.IP地址安全因为VPN是加密的，VPN数据包在Internet中传输时，Internet上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。 6.设计目标VPN相对于专线而言，在价格上有着绝对的优势；相对于普通PSTN拨号连接，VPN在安全性、保密性上更胜一筹。企业通过使用VPN技术组建网络，可以保证数据在传输过程中的安全性和QOS(服务