vpn技术论文范文
vpn技术论文范文第1篇
关键词:虚拟专用网VPN远程访问网络安全
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、VPN技术简介
VPN(VirtualPrivateNetwork)即虚拟专用网络,指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和Internet用户的接入,以实现安全快捷的网络连接。
二、基于Internet的VPN网络架构及安全性分析
VPN技术类型有很多种,在互联网技术高速发展的今天,可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用,基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对VPN的常规需求。
2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。
2.2VPN技术安全性分析VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、Windows环境下VPN网络的设计与应用
企业利用Internet网络技术和Windows系统设计出VPN网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,VPN服务端需要建立在Windows服务器的运行环境中,客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。
3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或VPN)”;外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,即赋予了远端用户拨入VPN服务器的权限。
3.2VPN客户端配置VPN客户端适用范围更广,这里以Windows2003为例说明,其它的Windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“VPN服务器选择”窗口里,输入VPN服务端地址,可以是固定IP,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。:
3.3连接后的共享操作当VPN客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业OA,ERP等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献:
vpn技术论文范文第2篇
关键词:VPN简介特点实现技术
中图分类号:TP393文献标识码:A 文章编号:1672-3791(2012)04(a)-0000-00
现如今,针对网络的安全性、保密性、可靠稳定性的问题而研究出来并迅速发展起来了一种技术,那就是VPN。无论是数据传输的可靠性、网络安全性,还是经济实用性来看,VPN技术是一种不错的选择。
1VPN
1.1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork)简称VPN,它是一种“用于公共数据网络,提供用户一种可以直接连接到私人局域网感觉的服务”。它不仅节省了用户不少的费用,还提供了更强大的安全性和可靠性。
我们将VPN分成三大类:一是企业与合作伙伴、客户、供应商之间的ExtranetVPN,二是企业网与远程(移动)雇员之间的远程访问(Re-moteAccess)VPN,三是企业各部门与远程分支之间的In-tranetVPN。
1.2 VPN特点
1.2.1 非常良好的安全性
VPN 在架构上采用了很多种安全机制,例如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(Intrusion Detection)等技术来解决这个问题。就是为了保证重要性的资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。它可以通过使用点到点协议用户级身份验证的方法来进行确认,而对一些敏感的数据,我们将通过使用VPN连接VPN服务器将高度敏感的数据地址物理地进行分隔,它只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,我们还可以访问一些敏感部门网络中受到保护的资源。所有的流量都经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。
1.2.2 成本低
远程用户可以通过向当地的ISP申请账户登陆到Internet,我们可以将Internet作为隧道与企业内部专用网络相连,用户的通信费用大幅度降低;然后,企业可以节省购买和维护通讯设备的费用。据分析,在 LAN(局域网)-to-LAN(局域网)连接时,用 VPN 与使用专线的成本相比较,要比其它的节省 30%~50% 左右;就远程访问而言,用 VPN比直接拨入到企业内部网络节省 60%~80% 的成本。这是由于VPN 在设备的使用量及广域网络的频宽使用上,平均比专线式的架构节省,因而能使网络的总成本(Total Cost of Ownership)降低。
1.2.3 管理简便
由于VPN 使用了比较少的设备来建立网络,所以使网络的管理更为轻松;不管连接的是哪个用户都需要通过VPN隧道的路径来进入内部网络。
1.2.4 网络架构弹性大
VPN的平台具备非常完整的扩展性,大到企业总部的各个设备,小到各分公司,还有个人拨号用户,都能被包含于整体的 VPN 架构中,同时,VPN 的平台还具有对未来广域网络频宽扩充及连接更新架构的特性。VPN 和专线式的架构相比较具有弹性,当将网络扩充或是变更网络架构时, VPN 可以轻松的达到目的。
1.2.5 它还具有网络协议的支持
对于IP、IPX和NetBEUI协议,网络客户机都可以轻易的使用VPN。这就意味着我们通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。所以VPN支持最常用的网络协议。
1.2.6 能够使用多种宽带技术
不论是ADSL、Cable还是 Modem,用户都可以选择使用本地服务供应商所能够提供的宽带接入技术。
1.2.7 IP地址的安全性
我们以Internet作为传输载体,再采用VPN技术,来实现企业网宽带远程访问,那是一个非常理想的企业网远程宽带访问解决方案。因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只能看到公用的IP地址,却看不到VPN使用的协议。
1.2.8 具有高度的灵活性
只要该用户能够接入Internet,用户不论是在家中、在出差途中、还是在任何环境中,他都能够安全地连接到企业网内部。这样既不受到地域限制,也不会受到接入方式限制。
2VPN的实现技术
VPN实现具有三个关键技术是隧道技术、加密技术和QoS技术。
2.1 隧道技术
隧道技术可以通过路由器满足ExtranetVPN以及IntranetVPN的需求。但在远程访问VPN过程中,多数用户是采用拨号上网。这时我们就可以通过L2TP和PPTP来加以解决。
2.2 加密技术
加密技术可以对数据或报文头进行加密。网络层加密实现的最安全方法是在主机的端到端进行。在网络层中的加密标准是IPSec。它的另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。
2.3 QoS技术
QoS应该在主机网络中实行,这也就是VPN建立起来的隧道这一段,这样我们才可以建成一条性能符合用户要求的隧道。 对于公共网的VPN我们可以通过隧道技术、数据加密技术以及QoS机制,来使VPN用户降低成本、提高效率、增强安全性,VPN终将是广大用户的最终选择。
我们通过隧道技术和加密技术,已经能够建立起一个具有互操作性、安全性的VPN,但是这个VPN在性能上还不稳定,管理上仍不能满足所有企业的要求,这就要加入一些QoS技术。
3 结 语
现如今,VPN技术可以利用在公共网络上建立起来的安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,它是企业内部网的一个扩展和延伸。VPN技术在未来的企业信息化建设中具有广阔的前景,国内的VPN应用已经有向银行、保险、运输、大型制造与连锁企业迅速扩散的趋势,这是市场发展的必然。VPN已经是通信技术上的一个重要的突破,它使Internet这种大众化而又不安全的网络发挥出了重要作用。但就现在而言,VPN还存在一些缺陷,VPN协议还没有完全标准化,而各VPN产品厂商对VPN也有不同的认知。总的来说,随着虚拟运营商逐渐进入VPN服务领域,我们还有更多的电信业务运营的ISP浮出水面,而国内的一些企业对VPN的认识还在逐步加深和探究。
参考文献
[1] 杨小平等.《Internet应用基础教程》.省略screen.省略/zhishipuji/knowledge/vpn.htm
[3] 王达等.虚拟专用网(VPN)精解[M] 北京:清华大学出版社,2004.
[4] 杨永斌.VPN技术应用研究[J]. 计算机科学,2004,(10).
vpn技术论文范文第3篇
关键词:VPN,多出口,校园网,远程访问,ISP
1.校园网问题分析及其解决方案的提出
虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。
近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。
为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。
2.VPN关键技术研究
⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。
3.基于VPN技术的多出口校园网的设计
3.1 网络结构规划
为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。
图1 网络拓扑图
3.2 网络工作原理
在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。
3.3 技术要点
⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。
⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。
⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。
⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。
4.结束语
多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。
参考文献
[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07
[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11
[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01
[4]何胜辉.多出口校园网体系结构分析设计.网络通讯及安全,2008.02
vpn技术论文范文第4篇
论文关键词:VPN,校园网,远程访问
1 发展校园网的重要性
近几年国家对教育工作日益重视,独立学院规模不断扩大。在发展过程中,各独立学院都十分重视与母体学校的资源整合。
独立学院与母体学校一般都建立了各自的校园网络,且均接入互联网,因为诸多条件的制约,至今多数独立学院与母体学校之间没有专线相互连接,造成了校园网应用水平极低的现象。各种应用系统,如教务管理系统、题库系统和电子图书管等教学资源无法实现共享,迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成:一是母体学校的教师;二是外聘教师;三是专职教师。母体学校的教师和外聘教师,这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系,提高教学、科研和办公效率显得尤为重要。
此外,传统的Internet接入和传输服务缺少安全机制,服务质量无法保证,难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以,建立安全可靠的独立学院与母体学校间校园网的连接,实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务,如登录校内OA系统、教务系统和电子图书馆系统等,是独立学院校园网建设的当务之急。
2 VPN工作原理及其主要优点
虚拟专用网VPN(Virtual Private Network)就是利用公网来构建专用的网络,它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接, 并提供同专用网络一样的安全和功能保障。
VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能,因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点:(1)成本低。VPN在设备的使用量上比专线式的架构节省,故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性,大至学校的主校区设备,小至各分校区,甚至个人拨号用户,均可被包含在整体的VPN架构中,以致他们可以在任何地方,通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等,确保资料在公众网络中传输时不至于被窃取.或是即使被窃取了,对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
3 独立学院校园网络建设中的VPN技术选择及对策
选择适当的VPN技术可以提供安全、高效、快捷的网络服务,能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。
3.1技术选择
VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统,则该操作系统本身就集成了这项功能,只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现,两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙,其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单,只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全,硬件VPN 集成了企业级防火墙、上网控制和路由功能,一次性提供多种宽带安全的解决方案,可以轻松实现远程实施和维护,相比之下软件VPN 的后期维护显得较为复杂。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案,如VPN 隧道类型现就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等,加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等,在构建VPN连接时应根据实际情况进行选用。
3.2 技术对策
VPN产品的性价比不同,对VPN硬件设备的选型也应视需求而定。例如,在构建VPN连接时,如果校园网构架不复杂,通讯需求量不是很大,但要求安全可靠和管理方便,应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求,其次是增加的硬件防火墙能提高校园网络的安全防范等级。
3.3 VPN网络建设实现的目标
主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换,两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器,还需建立远程客户端到主校区的单向VPN访问。
3.3.1 主校区和分校区的VPN连接
在各校区现有校园网的出口处分别安装一台VPN网关,每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下,在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道,实现校区安全互连。
根据主校区和分校区的网络使用要求和经济性等多方面考虑,应选用硬件型的集成VPN功能的防火墙。此外,防火墙还应具备路由功能,支持NAT技术,在分校区相对较小、校园网络构架不复杂的情况下,使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉,是一个理想的选择。主校区选择一台防火墙作为VPN网关,设备应可以支持上千个并发TCP/IP会话和上百个VPN 隧道,可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求,选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂,主、分校区网关均拥有静态公网IP地址,不会做经常性的变动,可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式,创建IP Sec VPN隧道,来实现校区间安全连接。
3.3.2 远程用户到主校区的VPN连接
考虑到远程用户访问校园网络集中于主校区Web服务器,远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制,而且易于安装、配置和管理,避开了部署及管理必要客户软件的复杂性和人力需求。
3.3.3 做好防护,提高VPN的安全性
虽然VPN 为远程工作提供了极大的便利,但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件,而远程计算机就不一定拥有这些安全软件的防护。因此,必须有相应的解决方案堵住VPN的安全漏洞,比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查,对敏感文件进行加密保护等,这样才能防患于未然。
4、结束语
总之,在独立学院与母校之间通信要求越来越高,各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题,满足了经常在校外工作人员查阅、访问本院信息资源的需要;通过VPN连接两个局域网,实现高校各校区之间网络系统的逻辑连接,为各校区的资源共享提供方便、快捷的服务创造了良好条件。
参考文献:
[1] 戴宗坤等 VPN 与网络安全[M]. 北京: 电子工业出版社, 2002.
vpn技术论文范文第5篇
关键词:图书馆,服务模式
一、引言
随着科学技术的飞速发展,国内外各高校图书馆之间的交流合作不断深化、师生员工对于知识的需求多元化,迫使各高校图书馆集中科研力量开发新型借阅系统、利用新兴网络技术建设一个既能满足当前应用又能满足长远发展需求的数字图书馆网络平台。但是在建设数字图书馆的过程中很多高校遇到了一些问题:电子书商基于对产品版权的保护,在电子资源中设置数字版权(DRM),限制了访问的IP地址范围,这与师生员工利用公共网络帐号(网络运营商提供的动态分配IP地址的上网帐号)访问校园内网(专用网络)的电子资源的权限冲突,导致师生员工无法检索需要的信息资料,直接造成许多图书馆电子资源的闲置和浪费,使得投入和产出不成正比,影响了数字图书馆的合理化建设。面对这种情况,VPN技术为我们提供了一套可管理、可认证、安全的远程访问电子资源的解决方案。
二、VPN技术简介
1.VPN简述
VPN(Virtual Private Network)可译为“虚拟专用网”。它并不是一个新名词,因为在电信服务的电话网络中早就提出了VPN的概念。VPN不是真的专用网络,但是却能实现专用网络的功能。因特网工程技术委员会(IETF)对的VPN的解释是:通过公共网络建立一个临时的、安全的、私有的点对点连接,通过对网络数据的封包和加密传输,从而实现在公网上传输私密数据,并达到私有专用网络的安全级别。VPN网络的认证机制很好的保护了用户收发数据的完整性、准确性,避免收发的数据不相符;而且VPN技术本身对网络流量能进行预测和控制,实现网络带宽的优化管理,从而避免在互联网使用高峰期造成网络堵塞,提高了数据传输的质量;另外,单位、企业很在意的经济投入也是非常的合理、节约,只要一次性购买VPN设备(包括服务器、路由器等),而不再需要增购其它的存储设备,进行重复性建设,并且VPN网络更不用考虑线路带宽的利用率和费用的问题。一旦组建好VPN网络之后只须安排一个专业技术员对其进行日常的管理维护(主要是安全管理、设备正常运行监控、配置管理、访问控制列表管理等)即可。此外,现有公共网络提供多种接入方式,如:PSTN拨号、ADSL、CableModem、小区宽带等,VPN网络也可以根据各种接入方式的信息量、实时性及通信条件等情况,分别选择不同的速率与之链接;同时,VPN网络能够支持任何类型的数据流,支持多种类型的传输媒介,满足同步传输语音、图像的需求,方便增加新的节点,增加访问用户的数量,具有很高的可扩充性能。
2.VPN关键技术
那么,VPN是采用什么技术和协议来很好的发挥它的特点的?首先我们需要了解国际标准组织制定的OSI网络模型,它把传统Internet网络分为7层:物理层、数据链路层、网络网际协议层、数据信息传送层、对话层、表示层和应用层;最底层是物理层,而最高层是应用层,VPN技术利用这个OSI模型为基础,开发出目前主流的三类Internet VPN远程安全接入技术(基于网络协议第三层的安全链接技术IPSecVPN、基于多协议的标记交换技术MPLS VPN、基于网络协议第七层的安全链接技术SSL VPN)。这些VPN技术具有类似的功能,但也存在着不同特性和各自擅长的应用取向。无论采用什么技术标准的VPN网络运用下面四种核心手段保证通信安全。
1)隧道技术(Tunneling)
隧道技术是VPN网络的基本技术,并依靠多种隧道协议来完成,例如:PPTP(点对点
隧道协议)、PPP(点对点通信协议)、L2F(数据链路层转发协议)、L2TP(数据链路层隧道协议)等。目前比较流行的隧道协议是IPSec(网络协议安全标准)与SSL(安全认证应用层标准)协议的结合,使用此协议可以很容易地建立IP层(网络协议第三层)用户的要求,也可以实现需要C/S(客户机/服务器)架构或者B/S(浏览器/服务器)架构的数据管理信息系统的要求。
2)加密&解密技术(Encryption&Decryption)
加密&解密技术是网络实时数据通信中一项比较成熟的技术,VPN可以直接利用此项技术。现行VPN使用的加密&解密技术主要有两种:对称加密(单钥加密)算法和不对称加密(公钥加密)算法。其中不对称加密算法生成的密钥用户管理方便,占用存储空间小,所以此算法是目前VPN网络中使用最为广泛的算法。
3)密钥管理&交换技术(KeyManagement)
密钥管理&交换技术是保护在公共网络上传输的私有数据流可以安全地传递密钥、识别密钥从而进行数据交换。为了使数据可以安全、准确、及时地传递,国际标准组织制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密钥管理&交换协议,进而形成了现行的密钥管理&交换机制,主要有三种:KMI机制(基于传统网络)、PKI机制(基于开放网络)和SPK机制(基于大规模专用网络),最为广泛使用的是KMI机制。
4)使用者身份认证技术(Authentication)
使用者身份认证技术最常用的是用户名、口令或智能卡认证(特殊的U盘)等方式。在实际应用中,移动用户使用智能卡方式,此卡内存贮有用户登录VPN网络所要求的各项相关数据信息;远程非移动用户采用用户名与口令方式来登录,例如ADSL连接方式则在拨号时实现,如果是专线用户则在路由器中实现,此用户名与口令一般不需要登录用户来干预,所以用户访问VPN网络就如同在局域网内一样方便。
如今,VPN技术突飞猛进,又出现许多新技术元素,所以VPN技术的发展前景很广阔。而解决数字图书馆建设中的一些疑难问题就目前看来采用VPN技术是一种很高效的解决办法。
三、数字图书馆建设中几种常见(VPN)模式
在各个高校数字图书馆建设过程中,根据师生用户群的使用特点以及应用环境的不同,VPN大致可采用三种不同的解决方案:远程访问虚拟网(AccessVPN)、校园内部虚拟网(IntranetVPN)和校园扩展虚拟网(ExtranetVPN)。
1.远程访问虚拟网(AccessVPN):如果图书馆员或者师生用户需要移动或者远程访问图书馆或者图书馆开展远程教育,就可以考虑使用AccessVPN。AccessVPN通过使用与专用网络相同策略的共享基础设施(公共骨干网),提供图书馆内网和公共网络之间的安全连接。AccessVPN能使图书馆所有用户随时、随地以其所需的方式办理图书馆各种业务。
2.图书馆内部虚拟网(IntranetVPN):近年来随着高校规模的不断扩大,办学方式的不断丰富,各大高校都呈现多校区办学模式,图书馆也不例外,许多高校图书馆组建分支机构,这样就可以考虑使用IntranetVPN。IntranetVPN通过公用网服务商提供的QoS机制(能自动识别数据包并转发到对应的地址去),使图书馆与各个校区分支机构的路由器之间建立VPN安全隧道,保证图书馆各个分支机构能实时、准确的与主机构之间交换数据。论文参考网。
3.图书馆扩展虚拟网(ExtranetVPN):其实这种应用模式只是图书馆内部虚拟网的扩展,这种模式为图书馆和电子资源供应商的网站平台之间提供了一种安全的连接通道,例如电子书商提供图书馆内网远程镜像访问企业主站的安全访问模式和各高校图书馆之间的合作,就可以考虑使用ExtranetVPN。论文参考网。ExtranetVPN更多的是考虑协调和安全问题。
以上提供的几种图书馆VPN解决方案常常通过软、硬件以及辅助设备把他们结合起来使用,这样就大大丰富了VPN技术在图书馆数字化建设中的作用。
四、VPN在安徽农业大学图书馆中的应用
安徽农业大学是安徽省一所省属重点综合性大学,安徽农业大学的数字图书馆建设也采用VPN技术来实现校外公网访问校内资源,实现学校的公共资源的充分利用。
现阶段,安徽农业大学图书馆还没有分馆,所以VPN技术主要应用于校外师生用户通过公共网络访问图书馆电子资源。学校采用一家很有实力的网络技术公司的M5600 SSL VPN路由器构建VPN网络,这种VPN路由器主要采用使用者用户名认证技术保证校外师生用户通过公共网络正确访问图书馆电子资源。论文参考网。根据目前的需求可以看出,现阶段的用户群还是比较集中和狭窄的,这也是为了保护学校资源和电子书商的版权。但是,为了能在不远的将来使图书馆资源利用率达到最优化,学校购买的VPN路由器是智能化和可升级的,这样就足以保证数字图书馆建设的可持续发展。
总之,VPN的应用前景是很广阔的,不仅仅是解决公共网络访问内网资源的问题;可以预见,数据共享是未来图书馆的发展趋势。各高校图书馆都会建设专有VPN网络,从而使信息资源全球化、集成化、多元化。
[参考文献]
1.李红艳. VPN技术在高校图书馆网络系统设计中的应用[J]. 中国期刊网CNKI数字图书馆,科技情报开发与经济,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向阳. VPN技术与图书馆资源远程利用[J]. 中国期刊网CNKI数字图书馆,情报探索,第1期,2007年1月.
3.何坚石. 虚拟专用网技术及其在高校图书馆的应用[J]. 中国期刊网CNKI数字图书馆,农业图书情报学刊,第18卷第3期,2006年3月.
vpn技术论文范文第6篇
关键词 广播电视网络;承载网络;安全;业务隔离
中图分类号 G2 文献标识码 A 文章编号 1674-6708(2017)189-0031-01
随着广播电视网络的日益发展,网络内部多业务多系统并存的现象越来越普遍,单纯运用传统路由器很难完成局域网中不同业务的完整隔离。LAN中业务隔离的传统办法有两种:应用VLAN隔离业务,将用户划分在一个独立的VLAN中或者应用CE设备隔离业务,为每个用户部署一个独立的CE路由器。这些业务应用在广电业务中有许多能通过VLAN隔离,一旦涉及到多业务应用就需要多CE路由器就会对广电网络来说大量资金投入,这些投入既需要大量金钱投入,又需求更多的网络管理工作和用户站点部署。如何把钱花在刀刃上成为一个让人头疼的问题,既要减少设备投入,又要业务安全隔离互补干扰。在这里笔者给大家介绍一下VPN-INSTANCE在广电承载网络中的应用与维护。
1 Vpn实例在广电网络中的作用
广电网络近几年发展迅猛,接入网设备从WiFi、cmts、pon、eoc或者ipqam等设备五花八门,终端设备有pc、pad、stb等业务类型复杂多样。相对应的核心网络在对前端接入设备只是分配ipv4的地址,完成设备的互联互通。当核心网络发展到一定程度负责维护网络的人员就会发现,在核心网络层上各个ipv4的地址都是在同一个动态地址路由转发表里面,或ospf、或静态路由插入。假设说一个用户从上网终端设备获取到dhcp分配的ipv4地址后,不用pppoe拨号就能ping通自己机顶盒ipv4地址,或者其他人获得的ipv4终端地址。其互联互通的特性必将导致安全方面的问题,如果发生病毒、入侵等安全事件,广电网络就会完全暴露在攻击中。笔者认为广电网络中的用户所使用的大量应用会存在某些不稳定的因素,与其要求客户端的安全,不如在核心设备一侧将业务隔离。
2 Vpn实例极简配置与技术细节
Vpn-instance(vpn实例:俗称虚拟化技术中的一虚多技术穷人版)在bgp\Mpls vpn中,不同的vpn之间路由隔离经过vpn-instance完成。Pe(汇聚层设备)为每个直接的站点树立并维护独立的vpn-instance。Vpn-instance包含独立的路由表和D发表。使用vpn-instance可以在一台路由器上虚拟出多立逻辑的路由器,从而实现广电网络IP三层网络路由隔离。这一功能可以在广电网络环境中得到应用,将不同的业务分配到不同的vpn-instance中直到外网防火墙、bars等终结地址设备。完成从业务终端到核心一整条链路的业务二、三层隔离。
#
ip vpn-instance ipvpn (生成vpn-instance实例)
ipv4-family (生成采用ipv4)
route-distinguisher xxxx:xxx (生成路由标识符)
vpn-target xxxx:xxx export-extcommunity (vpn实例输出标签)
vpn-target xxxx:xxx import-extcommunity (vpn实例输入标签)
#
interface Vlanif xxxx (三层VLAN接口xxxx)
ip binding vpn-instance ipvpn (绑定vpn实例)
ip address xxx.xxx.xxx.xxx 255.255.255.252
ospf xxx vpn-instance ipvpn (vpn实例中ospf)
import-route static (允许静态地址插入)
area 0.0.0.0
network xxx.xxx.xxx.xxx xxx.xxx.xxx.0
network xxx.xxx.xxx.xxx 255.255.255.252
ip route-static vpn-instance ipvpn xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
(vpn实例中静态路由)
3 Vpn-instance案例
正常情况下数据互不干扰,各自运行。
发生网络攻击时候的数据走向:
图1
由于dhcp分配的地址所属各自业务都在同一张ospf网络内,理论上都是互联互通的,黑客攻击可以通过ddos、arp等方式攻击网络。如图所示:area102许多用户获取不到正确的IP地址,area100网络arp攻击访问不了出口网络。由于网络的联通性,很难查找到攻击源在哪里,只能通过故障现象发现某一区域有用户故障,从而导致业务处理时间延长。
运行vpn-instance后每台逻辑上的路由器都具有自己的路由表与转发表,完成不同vpn-instance间的IP地址通信。绑定在vpn-instance下的端口转发与其一致的报文的对端设备通信,当发生不同接口报文接错时,则该路径被视为故障链路。笔者还认为vpn-instance虚拟化技术能将一台物理路由器虚拟成多台逻辑路由器,从而减少设备数量,简化网络管理,减少运维人员成本。
4 结论
虽然vpn-instance能实现虚拟化技术,网络三层隔离。但并不是所有的设备都支持该功能。并且一个ospf进程只能属于一个vpn-instance,一个vpn-instance下可以存在多个ospf进程,但在多ospf进程下会导致动态路由环路的情况
发生。
参考文献
vpn技术论文范文第7篇
Abstract: This paper takes campus network transformation project of the higher vocational college as the background to design a security network architecture model of campus network on the basic of VPN and PKI. This model can save the security problems of campus network, especially the attack of campus network from internal campus network. It also can save contradictions between the existing software applications and server security reform.
关键词:校园网;虚拟专用网;公钥设施基础;证书;改造方案
Key words: campus network;virtual private network;public key infrastructure;credential;modification scheme
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2015)35-0219-02
1 绪论
校园网作为高校信息化管理的重要手段,目前已是高等职业教育人才培养工作中重点评估之一。数据共享是校园网的重要组成部分,通过校园网的数据共享模块,可以在线传输教学信息,在线监控教师的教学质量,在线管理学生学籍,在线查询和报送学生成绩。另外,数据共享还为图书管理、网络选课以及各类等级考试的网络报名提供了技术支持。Windows操作系统和SQL Server自身都存在设计缺陷,而校园网是开放的,非法入侵者很容易利用Internet上的黑客工具攻击校园网内部数据库的服务器,盗取或修改包括学籍、学生成绩、缴费信息在内的一系列关键数据,对校内信息安全造成巨大的威胁。由此可见,网络信息安全已是校园网络建设中一个不可忽视的问题。
由于SQL Server系统本身存在设计缺陷,其管理员帐号处在公共网络系统中极易受到非法攻击。高校应该加强安全防盗技术研究,尽量现在不改变原系统主体架构的条件下,力求花费极少的成本建立网络安全防范系统,隔离各类网络非法攻击,提高校园网的安全性能。
目前已有很多关于校园网络安全的研究,并且也取得了一些成果。但是严格来讲,这些成果多半是防范外网的攻击,譬如基于子网过滤结构的各种防火墙体系的安全性分析、利用VPN技术连接多个校区的校园网问题等等,针对校内网络系统的安全研究非常少。鉴于此,本文就将研究重点放在校内网络系统的安全问题上,将校园网视为一个不安全的公共网络,深入分析该网络系统中存在的不安全问题,基于VPN、PKI等安全技术构建一个校园网安全应用模型,并通过这个安全模型来解决校园网中存在的安全问题。
2 VPN与PKI技术
Virtual Private Network,简称VPN,中文翻译是“虚拟专用网”[1,2]。它综合了传统数据网络的性能优点(安全和QOS)和共享数据网络结构的优点(简单和低成本),支持远程访问以及内网和外网的连接。从某种意义上讲,VPN代表了现代网络发展的前沿趋势,它不仅实现了对网络带宽、接入和服务不断增加的需求,而且在一定程度上降低了网络运行成本,因而未来必将广泛应用于校园网络系统中。
现代密码学中最关键的安全技术之一――公钥基础设施(PKI),目前已在互联网和计算机系统中形成一定的应用规模。PKI技术作为一项严谨有效的密码技术,能够为网络系统提供网络系统的安全认证、密匙管理、非否认等技术支持,从而大大提高网络系统的安全性能。
在传统IP协议中,IP的安全性是没有任何保障的,所以网络系统极易遭到非法攻击。VPN中有一项叫做IPsec的重要协议,可以基于IP层建立安全认证系统来提高整个网络系统的安全性。但是严格来讲,IPsec协议也不可避免的存在设计缺陷,比如其身份认证系统不严谨,它无法识别伪装成安全文件的非法入侵,因此即使网络系统已安装IP协议,还是不可避免遭受非法攻击。以身份鉴别见长的PKI技术充分弥补了这一缺陷。在VPN中配置PKI技术后,在网络传输过程中,通过PKI进行网络角色访问控制,经过CA进行身份识别后才能建立信息传输通道,根据角色属性证书控制其每个角色的访问权限,最后基于IPSec为信息传输提供安全保障。总的来说,综合了多种安全措施的PKI技术,与传统的基于IP协议所构建的安全系统相比,VPN通信安全更有保障。
VPN和PKI都是当前网络信息安全领域比较前沿的安全技术,在应用领域各自独立运行。在IPSec安全协议中引入PKI技术,这种创造性的尝试必将为网络信息安全领域带来一次技术革命。校园网虽然具备互联网的开放性,但其运行环境是高职院校校园,主要用户是广大师生,在高职院校网络建设经费吃紧的条件下租用公共PKI来构建安全网络,不仅技术上有难度,而且经济条件也不允许。所以,建议高职院校利用PKI技术自行搭建校内网络用户身份认证系统,以节省网络安全成本,提高校园网的运行效益。
3 基于VPN和PKI技术校园网安全模型的设计与实现
3.1 校园网安全网络架构模型的设计
将PKI置入VPN以后,利用所得到的增强版VPN搭建校园网络安全模型,然后基于该模型逐步拓展校园网络的内容和主体结构(具体流程如下),最终实现安全防护要求。
步骤1:将存储数据的服务器置于校园网内部专用服务器网络中,使该服务器与外网之间有一层物理隔离屏障,以防外来用户非法侵入该服务器的端口或网络地址来篡改服务器的内部参数,确保服务器所搭载的数据安全可靠。
步骤2,在校园网与互联网之间搭建VPN网关,校内网络用户通过该网关访问服务器,以这种合法的方式获取所需数据。这样既能满足用户的信息需求,又保障了服务器的数据安全。
步骤3,将PKI技术置入VPN,只有通过防火墙和VPN网关认证的合法用户才能连接VPN并进入校园网服务器获取所需数据。VPN网关的身份认证具有强制性,它要求访问数据库的用户必须提前关闭除防火墙以外的主机服务和相关端口,同时装配最先进的漏洞补丁,目的是为数据信息提供全方位的保护。
步骤4:实时监控信息和信息系统,以确保信息源安全可靠。VPN中使用IPSec安全协议传输数据,以免数据在传输过程中遭遇非法拦截,或被非法篡改、重播或伪造。另外,将PKI技术置入VPN中,可监控用户的操作行为,防止其进行非法操作,从而实现信息安全全程可控。
根据上述四个步骤,设计了一个基于VPN和PKI技术的校园网安全网络架构模型,模型结构如图1所示。
3.2 校园网安全网络架构模型的实现
分析该校园网络安全模型后,发现该模型需要在Internet、校园网和校园数据库服务器专用网之间建立一套支持用户身份认证功能的VPN网关,并且要在三网之间建立VPN连接通道,以确保三网隔离的同时不会影响合法用户正常访问校园网的数据库。另外,该网关必须支持PKI认证技术,只有通过PKI认证的用户才能连接VPN来访问校园网内部专用服务器网络,以防服务器搭载的数据库遭受非法攻击。
建议使用双重宿主机服务器来建立VPN网关。在双重宿主机服务器内装配两块网卡,依次绑定校园网网段的IP地址和专用网网段IP地址,然后通过过滤路由器进行NAT(地址转换),最后让外网中的公网IP的某个特定端口指向绑定校园网网段IP地址的网卡IP,使内网、外网以及校园网内部专用服务器网络都有权访问该网关。
校园网安全网络架构模型的安全性实验分析论证如下文所述。
3.2.1 数据传输的安全性
在PKI认证网关下,用户只能通过该网关连接VPN,才能进入校园网的数据库,而且校内网的数据传输也要进行认证。可见,VPN技术的安全性能直接决定了数据传输的安全性。VPN技术通过搭建逻辑隧道,运用数据加密和用户身份认证技术来为数据传输提供安全保障。这恰恰是该网关的先进之处。而且经ICSA Labs实验室认证,IPSec-VPN技术非常成熟,能满足大部分数据安全保障的需要。
3.2.2 身份认证的安全性
VPN和PKI技术校园网安全模型将PKI技术置入VPN中,对用户进行强制身份认证后才允许其连接VPN并进入校内网数据库,且需要提前在计算机内装配智能卡或数字证书,系统识别用户身份后,用户才能通过VPN通道访问服务器的数据库。只有用户密码而没有认证证书的用户无法连接校园网,也就是说,只有合法用户才能通过认证进入校内网的服务器。因此,VPN和PKI技术校园网安全模型在一定程度上也保障了用户的信息安全。
3.2.3 数据访问的可靠性
VPN服务器软、硬件的稳定性决定了VPN和PKI技术校园网安全模型连接状态的可靠性。笔者对该安全模型进行了为期7天的测试。在一周之内,令10台工作站通过VPN连接1台服务器。通过软件频繁读取和修改后台数据库中的数据。测试结果显示,工作站与服务器之间的连接非常牢固,没有任何连接中断的情况。可见,高校校园网的日常应用需求只需通过1台服务器即可实现,无需安装其它服务器。
3.2.4 攻击防范能力测试
在攻击防范能力测试实验中,采用了多种方式对被保护的SQL Server作为攻击的对象进行入侵,来破坏数据库系统。对于不熟悉该模型拓朴结构的攻击者来说,要想通过主机扫描来探测数据库服务器位置从而达到入侵数据库服务器的目的是不可能实现的。
为了实现入侵服务器的目的,在肉鸡实验中首先关闭了一台有权与带PKI认证的VPN网关建立VPN连接的客户机上的防病毒软件,在客户机上植入了最常见的“灰鸽子”木马程序,然后在另一台计算机上运行“灰鸽子”的客户端程序,果然不出所料,系统员很快就发现了被植入“灰鸽子”木马的主机,并对它进行了控制,通过实验,能顺利地实现与网关建立VPN连接。
4 结论
本文的研究主要是放在高职院校的校园网内部的安全应用上,将高职院校的校园网当作一个不安全的网络来对待,针对高职院校校园网中可能存在较多的不安全因素,利用VPN和PKI技术建立一个适宜于高职院校的校园网安全网络架构模型,并通过这个安全模型来解决高职院校校园网中存在的安全问题。然后通过理论分析和实验证明该安全模型是可以满足高职院校的校园网应用需求。
本文中提出的校园网安全模型应具有安全性可靠、通用性好、改造成本较低、对网络改动较小、伸缩性较好等特点,对高职院校校园网的建设和改进具有较高的参考价值。
参考文献:
[1]肖松岭.网络安全技术内幕[M].北京:科学出版社,2008:311-315.
vpn技术论文范文第8篇
【论文摘要】:虚拟专用网(VPN)技术主要包括数据封装化,隧道协议,防火墙技术,加密及防止数据被篡改技术等等。文章着重介绍了虚拟专用网以及对相关技术。并对VPN隧道技术的分类提出了一些新的探索。
引言
虚拟专用网即VPN(Virtual Private Network)是利用接入服务器(Access Sever)、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利internet上开展的VPN服务被称为IPVPN。
利用共用的WAN网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
Internet中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接入点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的"目的地址A""源地址B"。因此分组到达分公司的VPN设备后,立即在它的前部加上与全局IP地址对应的"目的地址C"和"源地址D"。全局IP地址C和D是为了通过Internet中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后,全局IP地址即被删除,恢复成IP分组发往地址A。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用VPN技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互连网络传送。
⑶ 2TP(Layer 2 Tunneling Protocol)
该协议是远程访问型VPN今后的标准协议。
L2F、PPTP、L2TP共同特点是从远程客户直至内部网入口的VPN设备建立PPP连接,端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外,还能在VPN上利用PPP支持的多协议通信功能,多链路功能及PPP的其他附加功能。因此在Internet上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ TMP/BAYDVS
ATMP(Ascend Tumneling Management Protocol)和BaydVs(Bay Dial VPN Service)是基于ISP远程访问的VPN协议,它部分采用了移动IP的机制。ATMP以GRE实现封装化,将VPN的起点和终点配置ISP内。因此,用户可以不装与VPN想适配的软件。
⑸ PSEC
IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标(AH:Authmentication Header)和封装化安全净荷(ESP:Encapsnlating Security Paylamd)。
转贴于
IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IP互联网络如INTERNET发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,DSI七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层VPN "与"三层VPN"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的SSLVPN技术[2]、基于端口转发的HTTPTunnel[1]技术等等。如果继续使用这样的分类,将出现"四层VPN"、"五层VPN",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ J.Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的VPN,使用路由方式的VPN,使用专线方式的VPN和使用局域网仿真方式的VPLS。
例如同样是以太网的技术,根据实际情况的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多种VPN组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对VPN技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如L2TP就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如LSVPN。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
IPVPN技术,由于利用了Internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于Internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此,利用IPVPN通信时,应比专线更加注意Internet接入点的安全。为此,IPVPN采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
参考文献
vpn技术论文范文第9篇
关键词:VPN,管理,管理技术
一、VPN服务及其应用
VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。
如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。
二、VPN管理
VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。
通过VPN管理系统,可以实现以下目的:
1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。
2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。
3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。
4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。
三、VPN管理技术
1、第二层通道协议
第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。
L2TP提高了VPN的管理性,表现在以下方面:
(1)安全的身份验证
L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。
(2)内部地址分配
用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。
(3)网络计费
L2TP能够进行用户接口处的数据流量统计,方便计费。
(4)统一网络管理
L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。
2、IKE协议
IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。
在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。
IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。
3、配置管理
可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。
(1)WEB方式的管理
利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。
(2)分级统一管理
如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。
4、IPSec策略
IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。
IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。
利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。
参考文献:
[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
[3]潘爱民.计算机网络(第四版)[M].清华大学出版社2004.8
vpn技术论文范文第10篇
关键词:SSL VPN;组网模式;隧道技术;PMTU
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)34-7727-02
基于SSL(Secure Socket Layer)协议的虚拟专用网络(Virtual Private Network,VPN)已经逐渐成为人们解决Internet安全问题的重要方式。由于传统网络协议在设计之初是建立在相互信赖的基础上的,从而忽视了网络安全问题,从而为今天的应用带来了巨大风险,这也是当初设计人员始料未及的事情。随着互联网规模的迅猛发展,各种新技术的不断涌现,网络攻击手段业变得多样化和复杂起来,用户对于网络安全防范变得越来越困难,从而造成巨大的人力和物力的投入,有时也难以挽回巨大的经济损失,至此,网络安全问题已经变得刻不容缓。而基于SSL的VPN网络可以使人们在任何时候任何地点安全的接入远程网络,并增加企业执行访问控制能力和安全级别,是解决远程用户访问公司敏感数据相当便捷且安全的解决方案。
Netscape公司最早提出了SSL协议,即安全套接字,是建立两台机器之间安全协议通道的桥梁。此后经过标准化后逐渐形成了传输层安全协议(Transport Layer Security protocol,TLS)。SSL/TLS协议的主要针对Web服务的安全性而设计,但其明显的不足是会造成巨大的系统开销。
SSL VPN的特征是利用不同网络的基础设施构建安全通信隧道,从而使得不同网络组件和资源之间互连问题得以解决。基于SSL协议的VPN是首先将浏览器上获取的数据进行封包,然后通过回调函数或其他方法将相关数据包输送回SSL VPN服务器。客户在远端电脑执行应用程序则是通过封包转向的方式完成的,最终实现获取到企业内部服务器资料。但是由于这些传送的信息是私密的,失窃或被破坏则会所造成非常巨大损失。虽然隧道技术能够保证数据在Internet上的安全,但是当远程用户使用SSL VPN访问内部网络的时候,仍然无法防止来自合法用户终端的攻击和用户终端的数据被窃取或遭到破坏。接下来,该文从SSL VPN网络的相关研究现状和组网模式以及关键技术进行展开论述,在论述SSL VPN技术自身优点的通水,也给出其存在的不足,最后给出一些可行的建议和解决方法。
1 VPN组网设计
1.1 SSL VPN 系统组网现状分析
目前,商业主流浏览器都集成了SSL协议,SSL VPN是确保访问远程网络的重要的方案之一,该方案主要依据浏览器和服务之间的数据传输,因而用户安装客户端软件。因此,SSL VPN是典型的“瘦客户端”架构,适合于用户远程安全连接,具有使简单、灵活、易用性好等突出的特点。
在传统VPN上增加SSL协议一般可以采用三种方法实现:其一,一般称之为远程访问VPN,是采用Neoteris、Netilla等公司生产的基于SSL协议的Web安全装置,通过一个拥有专用网络相同策略的公共设施,与企业的服务器直接互联;其二,一般称之为企业内部VPN,已经获得广泛的办事机构、公司和科研院所的认可和使用,是利用相应的SSL软件,将传统IPsec VPN上获得SSL功能,可以使得传统VPN获得较高的安全策略、提高服务质量以及较好的可管理性和可靠性;其三,一般称之为企业扩展VPN,是将SSL VPN作为一种对外提供的服务,用户只需要订购这种服务即可享受SSL功能,而不需要安装软件或添加硬件。无论采用上述何种方法实现SSL功能,都需要支持4个层面的功能,即文件共享应用、C/S应用、Web资源映射和网络扩展功能。
部署SSL VPN网络通道以便用户在互联网上可以随时访问SSL VPN设备,使得网络信息资源能够被用户更加方便的远程接入和使用;同时,远程用户也可以利用权限等级来访问数据中心的内部资源,从而确保SSL VPN安全的接入内部网络。使得SSL VPN具有安全、高效、可靠等突出的特征。
SSL VPN网关在整体的体系结构上设置不同于传统的VPN体系,下面就从组网结构和组网模式两个方面对SSL VPN的体系结构进行分析和讨论。
1.2 SSL VPN 组网结构
SSL VPN网关系统的显著特点是既可以作为企业网络的入口,也可以作为内网服务器群组的网关使用,对现有网络的组网结构不会造成影响,部署便捷、运行高效,下面对作为网络入口和网关进行分别介绍。
1)入口网关。SSL VPN网关系统可作为独立的电子通信设备存在;并能够集成防火墙所具有的功能。由于作为企业网络的入口网关,同时也处在整个网络的出口,该结构需要系统能够提高高度的稳定性和可靠性。如图1所示,即为典型的企业网络的入口网关组网结构示意图。
2)网关。作为网关主要是保护企业内部很多重要的服务器资源,阻止没有授权的各种访问以及来自Internet网络上的非法访问和恶性攻击;同时,也不会因为在访问许多重要的网络资源时对企业网络中其它重要部分造成任何不良影响。作为企业内部网络的结构如图2所示。
1.3 SSL VPN 的组网模式
SSL VPN网关接入网络有很多不同的类型,从而也导致SSL VPN组网模式有所区别,常见的模式有单臂、双臂两种模式。
1)单臂模式。所谓单臂模式是指将SSL VPN网关作为于一台服务器使用;当内部服务器与该远程服务器进行通信时,SSL VPN网关不处在网络通讯的关键路径上。也就是说,单臂模式类似环形网络拓扑结构,当一边环路不通时,可以选择其他的路径方式实现通信。因此,单臂模式的优点是当该网络上某点出现故障时,不会影响整个网络的通信;其不足在于对于网络信息资源不能够实现全面的保护。
2)双臂模式。所谓双臂模式是指将SSL VPN 网关架接在外网与内网之间,即实现了网桥的功能。同时,该网桥也充当必要的防火墙的作用,从而实现对全网络的保护。这种结构具有很好的安全性,但也有比较明显的不足,即会降低内外网络之间数据传输的稳定性。
2 SSL VPN组网关键技术分析
2.1 安全隧道技术
所谓隧道顾名思义是连接一个网络和另一个网络的通道。在SSL VPN体系中,隧道技术是其实现的关键。网络中的隧道就是一个连接传输的分组。换句话说,就是将依据了某种协议的数据单元封装在另一种协议的数据单元中。SSL VPN的私有性就是通过数据包封装的隧道技术予以实现的。
2.2 身份认证技术
简单地说,身份认证就是确认用户的使用权限,常见的身份认证包括口令认证、智能卡认证和生物认证等等。利用身份认证得到确认后,才可以使获得用户授权,进而完成系统资源访问。当SSL开始网络通信时,通信双方都要持有各自由认证中心发放的身份证书和认证中心的公开密钥。以生物认证为例,如指纹,首先用户提交指纹到授权方,办理相应的应用授权,授权方在得到用户的订购需求和提供相应的使用费用后,发出授权。用户即可利用授权方法给出的用户名,并在登陆时提供指纹,远程服务器即可对其身份进行验证,当用户名和指纹都获得通过后,用户即可享用该网络或服务的使用权。
2.3 访问控制技术
所谓访问控制(Access Control)是指对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段,在SSL VPN体系指由服务商对用户的身份标志、成员身份进行限制访问某些信息项或实施某些控制的机制。当定义了应用后,某些应用就可以被用户或组禁止或开放。如果需要放开这种访问权限则需要系统管理员的同意和授权,用户方可对某些订购的应用进行访问。
3 结束语
本文主要从SSL VPN的起源、概念和近几年发展现状进行展开,然后针对其组网方式和模式进行论述,最后对其涉及的几方
面的关键技术进行综述。SSL VPN技术具有先天的优点,但也存在一定的不足,有些技术实现起来相对负责,部署也较为昂贵,因此,虽然SSL VPN技术获得了广泛的应用,但还需要做进一步研究。
参考文献:
[1] 李津生,洪佩琳.下一代Internet的网络技术[M]. 北京:人民邮电出版社, 2001.
[2] 王达.虚拟专用网(VPN)精解[M]. 北京: 清华大学出版社, 2004.
[3] 唐建雄. IPSec体系结构分析及实现策略[J].交通与计算机,2001(2): 41-44.
[4] Ivan Pepelnjak,Jim Guichard.MPLS和VPN体系结构[M].北京:人民邮电出版社,2001: 89-126.
vpn技术论文范文第11篇
关键词:农委信息化需要;VPN技术;特点;应用;配置方法
中图分类号:TP393
随着计算机网络技术的发展,数据传输的安全性与成本方面的矛盾越突出,有时也不能保障数据安全。通过运用VPN技术可以快捷、安全地构建一个安全通道,从而实现广泛的资源共享和移动办公。
1 建立农委虚拟网络是农委信息化工作的需要
近年来,农委工作包罗万象,仅到2008年底,各项数据就有105大类、494项之多,涵盖了土壤、气象、水、地貌等自然资源条件和人口、种植业、养殖业、林业等相关第二和第三产业等社会经济条件;同时覆盖了全部村级合作经济组织,及所有的农村社会经济数据;服务对象包括涉农政府机关、涉农企事业单位、农村各类经济实体和专业协会、城乡居民等。每年农委为国家和各部门提供了大量的决策支持;虽然农委系统信息网络基础建设也已经初具规模:有农委局域网络,存在网络物理隔离,计算机不上网等;农委电子政务框架也分为基础层、数据层、支撑层和应用层等几部分,电子政务成绩显著。但是农委根据部门职责和工作特点,今后以率先支持社会主义新农村建设和率先形成城乡一体化新局面为目标,建立农委政务信息资源共享交换平台,支撑农委跨层级、跨部门政务信息资源共享及业务信息系统共享的任务仍然十分繁重。
2 VPN技术
虚拟专用网络(VirtualPrivateNetwork)简称VPN,VPN作为一种新型的网络技术,是近年来随着Internet的广泛应用而迅速发展起来的,“虚拟”主要指这种网络是一种逻辑上的网络。
那么VPN是怎样工作的?
2.1 VPN的客户端拨叫VPN的服务器,
2.2 VPN的服务器响应
2.3 VPN服务器验证客户机的身份,验证成功VPN的连接建立和发送数据。
可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅降低了网络建设的费用,还提高了网络的安全性。
3 VPN特点
3.1 成本较低
VPN在设备的使用量同专线式比较,网络的总成本(TotalCostofOwner-ship)较低。在LAN(局域网)-to-LAN(局域网)连接时,用VPN比使用专线的成本会节省30%~50%左右;在远程访问方面,VPN和直接拨入到企业内部网络成本相比会节省60%~80%。
3.2 网络架构方面弹性大
VPN和专线式的架构比起来更加有弹性,VPN平台有完整扩展性,大至总部的设备,小至各部门,甚至个人拨号用户,都能在整体的VPN架构中,具有对未来广域网络频宽扩充及连接更新架构的特性。
3.3 安全性能好
VPN架构通过加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(IntrusionDetection)等技术,确保资料的安全。
3.4 管理轻松
VPN在建立网络上可以用较少的设备完成,网络管理轻松;无论什么用户必须通过VPN隧道的路径进入内部网络。
3.5 服务质量好
公共网络中流量不稳定,带宽利用率低,在流量高峰期会引起网络拥堵,很卡,数据发送很慢或失败,数据有时接收不及时,流量低谷期带宽浪费。VPN网络对流量预测并且进行控制,优化了带宽管理,有效防止了网络拥堵,数据传输的质量得到了提高。
4 VPN的应用
4.1 远程访问
农委内部的资源(电子邮件、资料、数据库、重要会议和文件等),农委网的用户(农委各部门)可以通过拨号、ADSL等连接到Internet后,访问农委资源,而资源的管理者通过VPN下的远程桌面控制功能,对农委内资源进行管理。通过互联网建立虚拟专用网络实现了对农委共享目录的远程访问,安全性较高,操作简便。
4.2 IntranetVPN
是利用互联网把总部和分支机构连接起来,成为一个总体网络。这对于农委而言是用最低的成本换来最高的收益的好办法。有了IntranetVPN,农委就可以通过Internet这一公共网络将农委各门分支机构的LAN连到总部的LAN,以实现农委内部的资源共享、文件传送等,可节省开支。
4.3 ExtranetVPN
将IntranetVPN的连接再扩展到其他相关部门,以达到信息共享。
5 配置方法
农委的VPN网络不需要很贵的设备,配置及维护灵活简单,造价低廉实用,只需在Windows系统平台上建立VPN客户端就可以轻松方便地连接到农委网。农委根据工作需要在办公网络设立了专门文件共享目录,并根据各部门的权限可以分别访问各自的文件。由于移动办公需要,有时在外地和家中需要查看共享目录中的文件。借助于虚拟专用网络,可以实现这方便快捷这一功能。
在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。具体操作如下:
第一步,打开管理工具,用鼠标双击“路由和远程访问”。
第二步,弹出“路由和远程访问”的窗口。
第三步,配置路由和远程访问,弹出路由和远程访问的向导窗口。
第四步,单击“下一步”,在“配置”里,选择“自定义的配置”。
第五步,单击下一步,在“自定义配置”里,选择“vpn访问”和“拨号访问”。
第六步,单击下一步,然后单击“完成”按钮。
第七步,提示,是否开始服务,单击“是”。
第八步,出现正在启用路由和远程访问的图标。系统启用路由和远程访问。
第九步,单击已启用的“HANW(本地)”的右键,选择“属性”,并选择“IP”属性页,录入静态IP地址池:192.168.1.1192.168.1.50。然后点确定按钮。VPN服务器设定完毕。
第十步,在服务器上分别给每个部门开设远程访问用户账户,远程访问权限设定为允许。
通过远程访问测试,确认账户可用以后,在农业网通知公告,正式启用农委VPN网络。
6 结论
虚拟专用网VPN能够解决农委各部门远程访问中数字资源的问题,它安全性好、可操作性强、经济实用和灵活方便等,因此随着VPN技术的不断发展和完善,VPN技术在各部门的应用前景一定会更加广阔。
参考文献:
[1]林丽丽.VPN(虚拟专用网络)初探[J].沿海企业与科技,2005,9.
[2]满延俊.VPN安全可靠又省钱的网络新技术[J].高科技与产业化,2004,8.
[3]陈廷勇,邢敏,潘希秋.高校图书馆数字资源的远程访问研究[J].现代情报,,2009,11.
[4]吴文臻.浅谈计算机虚拟专用网络技术[J].科技向导,2010,29.
[5]唐灯平.如何搭建VPN访问企业内部网络[J].现代企业教育,2008,12.
[6]彭鹏.实战MCSE之远程访问[J].电脑知识与技术,2004,5.
[7]舒伟权.浅析校园网中VPN技术的应用[J].浙江国际海运职业技术学院学报,2008,9.
vpn技术论文范文第12篇
(第二炮兵工程学院,西安 710025)
摘要:虚拟专用网(VPN)是利用公共网络构建私有专用网络的技术,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的虚拟专用网络。无论是企业还是高校都希望能够构建一种网络,既确保安全,又便于维护。VPN能够帮助企业通过一个公用网络建立一个临时的、安全稳定的通讯隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。本文结合几种VPN技术设计了一种内部网络的构建方案,既保证了协议之间的兼容,又实现了安全传输。
关键词:VPN技术;MPLS VPN;SSL;IPSec;VOIP VPN;基于VPN的安全多播
0引言
随着Internet和信息化技术的发展,企业和个人在Internet上的交易日益频繁,随之而来的安全问题也日益突出。虚拟专用网就是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能的一种专用网络。
近年来,宽带接入的蓬勃发展带动了VPN在宽带网络平台上的各种应用飞速发展,反过来,VPN的应用又促进宽带内容的不断丰富。
在国外网络通信发达的围家,VPN应用已经非常普及。国外的VPN技术发展较快,基于标准的虚拟专用网技术近年来己成为网络界的新热点,这是因为它有着无可比拟的优势:通过整合几种数据保护的方式,使用户可以在开放的Internet上轻松地交换私有数据,而无需高昂的专用网络及设备。它带来的好处不仅是成本的降低,更重要的是将服务质量也带给了用户。
我国的IP网络安全研究起步晚、投入少、研究力量分散,与技术先进国家有较大的差距,特别是在系统安全和安全协议方面。目前,国内市场对信息安全的需求日益强烈,尤其是颇具规模的客户对网络安全的需求越来越紧迫,因此,需要加大力度,研发方便、安全和适合自己的VPN解决方案。近两年来,一些大中型企业已建立VPN网络,一些学校的校园网也正在尝试使用VPN技术提供远程连接服务。一些高校和公司也正在研究VPN技术,开发实用的VPN软件产品,提高全方位的VPN技术服务。
1VPN技术简介
1.1 IPSec VPNIPSec是由IETF(因特网工程任务组)于1998年11月公布的开放性IP安全标准,用于保护IP数据包或上层数据。IPSec在IP层上对数据包进行高强度的安全处理,提供访问控制、数据源验证、无连接数据完整性、数据机密性、抗重播和有限的通信流机密性等安全服务,具有较好的安全一致性、共享性及应用范围。这是因为,IP层可为上层协议无缝地提供安全保障,各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥协商的开销,也降低了产生安全漏洞的可能性。
1.1.1 IPSec VPN的优点①通用性好。IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,并且IPSec定义了一套用于认证、保护私有性和完整性的标准协议,这使得客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的。而且IPSec VPN支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性,以确保数据没有被篡改;②整合性好。IPSec VPN网关整合了网络防火墙的功能,还可与个人防火墙等其他安全功能一起销售。因此,可保证配置、预防病毒,并进行入侵检测。并且IPSec可在多个防火墙和服务器之间提供安全性,确保运行在TCP/IP协议上的VPN之间的互操作性;③透明性。IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置,即使在终端系统中执行IPSec,应用程序一类的上层软件也不会受到影响。
1.1.2 IPSec VPN的缺点①IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;② IPSec VPN的连接性会受到网络地址转换的影响,或受网关设备的影响;③IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置比较复杂。
1.2 SSL VPNSSL协议的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”。SSL协议是网景公司设计的基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。作为应用层之下的协议,SSL使用公开密钥体制和数字证书技术保护信息传输的机密性和完整性,但它不能保证信息的不可抵赖性。
SSL VPN作为一种新的VPN技术,相对于传统的IPSec VPN等有其自身的技术特点。
1.2.1 SSL VPN的主要优点:① 客户端支撑维护简单;② 良好的安全性;③ 提供更细粒度的访问控制;④ 能够穿越NAT和防火墙设备;⑤ 能够较好地抵御外部系统和病毒攻击;⑥ 网络部署灵活方便;⑦ 适用大多数设备。
1.2.2 SSL VPN的主要缺点:① 安全认证方式比较单一,只能够使用证书方式,而且一般是单向认证;② SSL VPN应用受到限制。一般都用于B/S模式,用户只能访问基于Web服务器的应用;③ SSL VPN是应用层加密,性能相对来说可能会受到较大影响。
1.3 MPLS VPNMPLS(multi-protocollabelswitch)是Internet核心多层交换计算的最新发展。MPLS将转发部分的标记交换和控制部分的IP路由组合在一起,加快了转发速度,而且,MPLS可以运行在任何链接层技术之上。
MPLS VPN网络主要由CE(CustomEdgeRouter,用户网络边缘路由器)、PE(Provider Edge Router,骨干网边缘路由器)和P(Provider Router,骨干网核心路由器)等3部分组成:CE设备直接与服务提供商网络相连,它“感知”不到VPN的存在;PE设备与用户的CE直接相连,负责VPN业务接入,处理VPN-Ipv6路由,是MPLS三层VPN的主要实现者;P负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
MPLS VPN构建在专用网络上,能够保证很好的服务质量,而且价格与传统专线在同一水平。IPSec/SSL VPN承载在公众互联网上,成本相对比较低,但服务质量基本无法保证。服务供应商当然可以部署一种或者同时部署多种VPN架构来支持其新型增值服务,但是,如果能够把各类VPN融合起来更可以获得优势互补所带来的巨大利益。提供设计优良、运行正常和综合性的VPN服务可以同时提升IPsec和MPLS的应用层次。
1.4 内部网VPN构建方案VPN系统的首要职责是保障安全,保障互联网数据传输安全的基本机制包括:身份认证、信息保密和信息完整。
内部网VPN的设计须遵循以下原则:①保障安全;②保证多平台兼容;③提供有效的访问控制;④有效的管理平台。
MPLS VPN主要解决的是固定站点间的互联问题,一般不借助Internet来实现,服务质量和安全性的保障比较方便,适用于中大型客户的组网;而IPSecVPN和SSL VPN主要解决的是基于互联网的远程接入和互联,虽然在技术上来说,它们也可以部署在其它的网络上(如专线),但那样就失去了其应用的灵活性,它们更适用于商业客户等对价格特别敏感的客户。比较前面的几种VPN技术,我们发现,作为SSL VPN产品的一个重要指标就是要能够作到在任何时间及任何地点进行访问,使得移动办公用户能够随时随地地保持联网以及保证安全的网络连接。内部网VPN系统为多种应用服务提供保护,因此应该提供一定的访问控制策略,让不同的用户有不同的访问权限。而SSL VPN较之于IPSec VPN的一个优势就在于,SSL VPN能够提供更细粒度的访问控制管理,即针对具体应用程序实施访问控制策略。SSL VPN服务器同时可以提供客户方和服务器方友好而有效的管理配置界面,方便用户的使用。
虽然目前企业应用最广泛的是IPSec VPN,然而研究表明,在未来的几年中IPSec的市场份额将下降,而SSL VPN将逐渐上升。由于技术进步,用户更愿将应用外包给运营商来提供,或是自己选择部署成本低且应用方便的VPN。
综上所述,内部网的构建方案如下:①对于那些需要较高认证和私密性、而对服务质量要求不高的数据流采用IPsec解决方案,而对网络的带宽和服务质量(QoS)要求较高的需求则采用MPLS解决方案。②对于内部网络中,安全要求较高的局域网选择部署MPLS VPN来支持Sites to Sites间且具有QoS等级的VPN连接;而对于内部网络中涉密级别较低的可以选择SSL这类部署简单、维护成本低、使用方便的VPN。③对于语音业务,可以利用VoIP技术使企业利用IP VPN来传送语音业务,允许语音传送就像一种数据业务一样通过IP网络。基于VPN路由器,通过使用服务类型字段对语音和视频流量作标记,将其显示为IPSec报头的一部分发向网络,使其享有更高的优先级,这样企业可利用IP电话建立起自己的远程家庭办公网络系统。VoIP VPN使企业不必为语音和数据分别建立网络,大大节省了开销。④为更好得实现与IPSec协议的兼容,可以采用基于VPN的安全多播技术。它由安全多播网关和安全多播主机组成,充分利用现有的基于IPSec协议的VPN系统的体系结构,来实现多播数据的安全传输,实现简单,结构灵活。
基于VPN安全多播系统的安全多播网关中有一个网关充当多播组的控制器,一个网关充当多播组的备份控制器。组控制器对整个多播组的安全策略进行管理,备份控制器在主控制器失效时充当多播组的主控制器。多播报文在安全多播网关之间采用隧道进行传输。在多播安全网关和多播安全主机之间采用多播传输。基于VPN的安全多播系统提高了多播数据传输时的安全性和可靠性。
vpn技术论文范文第13篇
VPN虚拟专用网 (Virtual private network):建立在实在网路(或称物理网路)基础上的一种功能性网路,或者说是一种专用网的组网方式,简称VPN。它向使用者提供一般专用网所具有的功能,但本身却不是一个独立的物理网路;也可以说虚拟专用网是一种逻辑上的专用网路。
2 VPN的特点
(1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
(2)服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。所有网络应用均要求网络根据需要提供不同等级的服务质量。
(3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。
3 VPN安全技术
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
(1) 隧道技术
隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
(2)加解密技术
VPN采用何种加密技术依赖于VPN服务器的类型,因此可以分为两种情况。
对于PPTP服务器,将采用MPPE加密技术。MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。
对于L2TP服务器,将使用IPSec机制对数据进行加密。IPSec是基于密码学的保护服务和安全协议的套件。
(3)密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
(4)使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。VPN的身份验证采用PPP的身份验证方法,下面介绍一下VPN进行身份验证的几种方法。
CHAP:CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。MS-CHAP:同CHAP相似,微软开发MS-CHAP是为了对远程Windows工作站进行身份验证,它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。 MS-CHAP v2:MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。
4 VPN发展现状
在国外,Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。
(1)客观因素包括因特网带宽和服务质量QoS问题。
在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。
(2)主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。主观因素之二,也是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。
可以想象,当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。在不远的将来,VPN技术将成为广域网建设的最佳解决方案。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。
参考文献
[1]张忠玉.VPN 技术综述及应用.工程技术,2007(25).
vpn技术论文范文第14篇
[关键词]VPN技术无线局域网SSL VPN
[中图分类号]TP3[文献标识码]A[文章编号]1007-9416(2010)03-0091-02
随着信息产业的飞速发展,通信技术和计算机技术的融合越来越快。无线通信已经成为我们生活不可缺少的一部分。但由于其无线通信设备采用的是无线信号的空中传输,使得在无线链路中传输的信息很容易被窃听,存在很不安全的因素。严重的话甚至导致整个网络的瘫痪。为此在一个企业当中建立一个无线局域网,安全性应是头号要解决的问题。VPN是无线网络建设当中解决无线通信安全问题的一个很好的方案。本文试图就VPN技术在无线局域网中的应用做出一定的探讨。
1 VPN技术概述
VPN (Virtual Private Network,虚拟专用网)是专用网络在公共网络如Internet上的扩展。VPN通过隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的,基于Internet的VPN也称为IP-VPN。所以从本质上说,虚拟专用网(VPN)是一种能够通过公用网络安全地对内部专用网进行远程访问的技术。其要点是在远程用户和VPN服务器之间建立一条加密隧道,将原始数据包加密,并在外面封装新的协议包头。这样只有知道密钥的通信双方能够解开数据包,保证了数据包在公共媒质上传送的时候,不会被非VPN 用户截取。
2 VPN技术在无线局域网中的应用分析
无线局域网因其传输介质、访问方式等原因,使得其很容易受到攻击。无线局域网常用的安全方式,如MAC地址过滤、服务区标识符(SSID)匹配等存在很多明显的弊端。利用VPN技术可以为无线局域网提供更可靠的安全解决方案。但是从目前现状来看,VPN在无线局域网中应用实现方式主要有两种,一种是基于IPSec 的无线VPN设计,另外一种是基于SSL的无线VPN设计。但是IPSec 的无线VPN设计是较早时期VPN在无线局域网中的实现方式,随着近年来无线局域网以及VPN技术的逐渐成熟,基于SSL的无线局域网实现技术已经成为主流,本文将重点探讨基于SSL的VPN技术在无线局域网中的应用。
2.1 SSL VPN在无线局域网中应用原理及功能特点
SSL(Secure Socket Layer,安全套接层)是一种在两台机器间提供安全通道的协议,它具有保护传输数据以及识别通信机器的功能。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。SSL VPN使用SSL协议和为终端用户提供基于HTTP, C/S和共享文件资源的认证和安全访问。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。SSL VPN的工作原理如图1所示:
SSL VPN的功能特点主要体现在以下几个方面:一是无需安装客户端软件。大多数执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件,只需使用标准Web浏览器即可访问到企业内部的网络资源。这样无论是从软件协议购买成本上,还是从维护、管理成本上都可以节省一大笔资金,从而大幅降低VPN网络的实施成本。二是适用于大多数设备及系统。由于Web方式的开放性,支持标准浏览器的任何设备都可以使用SSLVPN进行远程访问,包括非传统设备,如PDA等。三是适用于大多数操作系统。任何支持标准Web浏览器的操作系统都可以作为S SL VPN的客户端进行远程访问。不管用户使用的操作系统是Windows、Macintosh、UNIX还是Linux。都可以非常容易地访问到企业内部网站的资源。
2.2 SSL VPN在无线局域网中的具体应用
通过图1的示意图可以看出,SSL VPN在无线局域网网中应用的整个系统由SSL网关和Web服务器以及AP组成,其中最重要的是SSL网关。网关由多个服务器组成,LDAP服务器负责证书以及证书吊销列表的保存,RADIUS服务器负责访问控制策略,DHCP服务器负责为接入网关的局域网计算机分配IP地址,AD是证书验证服务器。
对于SSL VPN来说,要保证通信的安全,必须要做到保密性、消息完整性和端点的认证。保密性是指传输的数据必须经过加密,消息完整性是指传输的数据能够确认是没有被黑客或攻击者篡改过,端点认证是指客户端或者服务器端能够对另一方确认是否是正确的通信者。SSL协议通过SSL握手来确定密钥并用该对称密钥来对通信的数据进行加密。在握手期间通过公钥技术对双方进行认证,并用密钥交换技术交换通信使用的对称密钥,然后使用对称密钥加密通信数据。SSL的安全依赖于所使用的加密套件,每个加密套件使用四种算法,即:数字签名算法,消息摘要算法,密钥确立算法以及数据加密算法。
SSL VPN在无线局域网中具体应用需要重点解决以下几个方面的问题:一是客户端安全接入问题。对于SSL VPN服务器来说,有效地保证自身的安全和对客户端接入的控制是最重要的。应该具备一个专门的子系统来负责对客户端的认证,它的功能是针对不同的客户端选择相应的策略进行认证;二是有效的访问控制策略。当用户通过了系统的认证之后,如何有效而灵活控制客户的访问权限,是非常重要的问题,同时也是SSL VPN系统最具特色的特点之一。如何实施用户的集中化管理,通过SSL VPN控制台进行管理,更加有效的监控用户使用权限,如何做到能够基于内容的访问控制策略等等都需要更多的关注。三是传输性能问题。对于一个SSL VPN服务器来说,传输在整个SSL VPN系统中是一个性能的瓶颈点。
总之,随着我国网络用户的快速增长,无线网络作为有效网络的有效补充,在人们的网络生活中将会占据更加重要的地位。而VPN技术作为无线局域网的一种有效安全措施,在无线局域网中具有非常广泛的应用。
[参考文献]
[1] 刘乃安.无线局域网(WLAN)――原理、技术与应用[M].西安:电子科技大学出版社,2004.
[2] 周明.SSL VPN体系结构在无线局域网中的应用与设计[J].电子科技大学.2006(4).
vpn技术论文范文第15篇
关键词:VPN;MPLS;多协议标记交换
中图法分类号:TP309文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
随着Internet的VPN连接蓬勃发展,人们对其连接质量提出了更高的要求。但常规的VPN连接方法缺乏高效的连接手段,网络经常会发生阻塞,许多应用对于目前的IP技术(如语音和视频等)显得力不从心,并且实现成本也很高。而新兴的多协议标记交换技术(MPLS:MultiProtocol Label Switching)有望解决这一问题。
1 VPN简介
首先引入现实中的一个例子,经常在外地出差的公司用户希望能从外地的网络访问公司的内网办公,而访问的结果就像在公司内网一样,不会有对资源、权限的限制,就好像在内网里面一样,我们可以利用VPN技术实现这个目的。
由以上来看,究竟什么是VPN呢?虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 常规VPN技术
以往常规的VPN连接技术是在PPTP或者L2TP协议的控制下进行隧道封装加密传输,其中,PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE V2协议中。目前,PPTP协议基本已被淘汰。L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
但是,IPsec协议首要的和最明显的缺点就是性能的下降,其次,在实现成本上非常不利,低端的设备通常用软件实现所有的IPsec功能,因而其速度最慢。价格贵些的用硬件实现IPsec功能。一般来说,性能越好,其价格越贵。
3 基于MPLS的VPN的新技术
同传统的VPN不同,MPLS VPN不依靠封装和加密技术,MPLS VPN依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于InternetConnect网络。
CPE被称为客户边缘路由器(CE)。在InternetConnect网络中,同CE相连的路由器称为供应商边缘路由器(PE)。一个VPN数据包括一组CE路由器,以及同其相连的InternetConnect网中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潜在的网络。
CE可以感觉到同一个专用网相连。每个VPN对应一个VPN路由/转发实例(VRF)。一个VRF定义了同PE路由器相连的客户站点的VPN成员资格。一个VRF数据包括IP路由表,一个派生的Cisco Express Forwarding (CEF)表,一套使用转发表的接口,一套控制路由表中信息的规则和路由协议参数。一个站点可以且仅能同一个VRF相联系。客户站点的VRF中的数据包含了其所在的VPN中,所有的可能连到该站点的路由。
对于每个VRF,数据包转发信息存储在IP路由表和CEF表中。每个VRF维护一个单独的路由表和CEF表。这些表各可以防止转发信息被传输到VPN之外,同时也能阻止VPN之外的数据包转发到VPN内不的路由器中。这个机制使得VPN具有安全性。
在每个VPN内部,可以建立任何连接:每个站点可以直接发送IP数据包到VPN中另外一个站点,无需穿越中心站点。一个路由识别器(RD)可以识别每一个单独的VPN。一个MPLS网络可以支持成千上万个VPN。每个MPLS VPN网络的内部是由供应商(P)设备组成。这些设备构成了MPLS核,且不直接同CE路由器相连。围绕在P设备周围的供应商边缘路由器(PE)可以让MPLS VPN网络发挥VPN的作用。P和PE路由器称为标记交换路由器(LSR)。LSR设备基于标记来交换数据包。
客户站点可以通过不同的方式连接到PE路由器,例如帧中继,ATM,DSL和T1方式等等。
三种不同的VPN,分别用Route Distinguishers 10,20和30来表示。
MPLS VPN中,客户站点运行的是通常的IP协议。它们并不需要运行MPLS,IPSec或者其他特殊的VPN功能。在PE路由器中,路由识别器对应同每个客户站点的连接。这些连接可以是诸如T1,单一的帧中继,ATM虚电路,DSL等这样的物理连接。路由识别器在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在客户设备上进行配置,对于客户来说是透明的。
每个MPLS VPN具有自己的路由表,这样客户可以重叠使用地址且互不影响。对用RFC 1918建议进行寻址的多种客户来说,上述特点很有用处。例如,任何数量的客户都可以在其MPLS VPN中,使用地址为10.1.1.X的网络。MPLS VPN的一个最大的优点是CPE设备不需要智能化。因为所有的VPN功能是在InternetConnect的核心网络中实现的,且对CPE是透明的。CPE并不需要理解VPN,同时也不需要支持IPSec。这意味着客户可以使用价格便宜的CPE,或者甚至可以继续使用已有的CPE。
4 基于MPLS VPN的优点
时延被降到最低,因为数据包不再经过封装或者加密。加密之所以不再需要,是因为MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似。因为不需要隧道,所以要创建一个全网状的VPN网也将变得很容易。事实上,缺省的配置是全网状布局。站点直接连到PE,之后可以到达VPN中的任何其他站点。如果不能连通到中心站点,远程站点之间仍然能够相互通信。
配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络,不需访问CPE。一旦配置好一个站点,在配置其他站点时无需重新配置。因为添加新的站点时,仅需改变所连到的PE的配置。
在MPLS VPN中,安全性可以得到容易地实现。一个封闭的VPN具有内在的安全性,因为它不同Public Internet相连。如果需要访问Internet,则可以建立一个通道,在该通道上,可放置一个防火墙,这样就对整个VPN提供安全的连接。管理起来也很容易,因为对于整个VPN来说,只需要维护一种安全策略。
MPLS VPN的另外一个好处是对于一个远程站点,仅需要一个连接即可。想象一下,带有一个中心站点和10个远程站点的传统帧中继网,每个远程站点需要一个帧中继PVC(永久性虚电路),这意味者需要10个PVC。而在MPLS VPN网中,仅需要在中心站点位置建立一个PVC,这就降低了网络的成本。
5 总结
MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务,也能够开展QoS、TE、组播等等的业务。随着MPLS应用的不断升温,不论是产品还是网络,对MPLS的支持已不再是额外的要求。VPN虽然是一项刚刚兴起的综合性的网络新技术,但却已经显示了其强大的生命力。在我国网络基础薄弱,政府和企业对IP虚拟专用网的需求不高,但相信随着政府上网、特别是在电子商务的推动下,基本MPLS的IP虚拟专用网技术的解决方案必将有不可估量的市场前景。
参考文献:
[1]王达.虚拟专用网(VPN)精解[J].清华大学出版社,2004,173-7.
