vpn技术十篇

时间:2023-03-15 02:40:52

vpn技术

vpn技术篇1

一般所说的虚拟专用网不是真的专用网络,虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame. Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。

二、VPN的特点

在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:

1.安全保障

在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。

2.服务质量保证(QoS)

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等,所有以上网络应用均要求网络根据需要提供不同等级的服务质量。

3.可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。所以,VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

三、VPN安全技术

目前VPN主要采用四项技术来保证安全。

1.隧道技术是VPN的基本技术,类似于点对点连接技术。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议有VTP、IPSec等。

2.加解密技术是数据通信中一项较成熟的技术,第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。

3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。一般分为对称加密与非对称加密(专用密钥与公用密钥)。

4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

四、VPN的应用方案

随着互联网的兴起,企业开始寻求利用互联网来扩展他们的网络。按接入方式划分VPN,这是用户和运营商最关心的划分方式。建立在IP网上的VPN也就对应的有两种接入方式:专线接入方式和拨号接入方式。

一般来说,公司都会把搭建大型远程访问VPN的工作外包给企业服务提供商(ESP)。例如,3Com为企业和NSP提供多种端对端的VPN解决方案。所有的3Com VPN产品彼此兼容,还配备了TranscendWare软件,使用户可以对常规网络和VPN执行统一的策略。TranscendWare软件使边界设备可以与终端设备通信,进而强制执行网络策略。这些设备通过监视VPN隧道,可以更好地管理拨号端口、带宽分配、网络负载等,对VPN环境进行有效的控制。

华为公司提供了各种有效的VPN解决方案,包括:Access VPN、Intranet VPN、Extranet VPN及结合防火墙的VPN解决方案。Quidway系列路由器支持各种VPN技术,包括隧道技术、IPsec、密钥交换技术、防火墙技术、QoS与配置管理等,并可继续发展,支持越来越多的先进技术,可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境,增强抵御黑客攻击、禁止非法访问的能力。

五、结束语

基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代:VPN路由器、交换机,发展到第二代的VPN集中器,性能不断得到提高。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。

参考文献:

[1]何宝宏,田辉等编著.IP虚拟专用网技术.人民邮电,出版日期:2008年06月

[2]Richard Deal.Cisco VPN完全配置指南,人民邮电出版社.2007-4

vpn技术篇2

【关键词】SSL VPN;IPSEC VPN;网络安全

【中图分类号】TN711

【文献标识码】A

【文章编号】1672-5158(2012)12-0004-01

一、SSL VPN的基本学术概念

1.1 什么是SSL VPN

SSL(Secure Sockets Layer)是一种Intemet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。VPN(Virtual Private Network虚拟专用网络),可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在利用公共网络建立虚拟私有网,被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。

SSL VPN就是指应用层的vpn,它是基于https来访问受保护的应用。目前常见的SSL VPN方案有两种方式:直路方式和旁路方式。直路方式中,当客户端需要访问一台应用服务器时:首先,客户端和SSL VPN网关通过证书互相验证双方;其次,客户端和SSL VPN网关之间建立ssl通道;然后,SSL VPN网关作为客户端的和应用服务器之间建立tcp连接,在客户端和应用服务器之间转发数据。旁路方式和直路不同的是:为了减轻在进行ssl加解密时的运行负担,也可以独立出ssl加速设备,在SSL VPN server接收到https请求时,将ssl加密的过程交给ssl加速设备来处理,当ssl加速设备处理完之后再将数据转发给SSL VPN server。

1.2 SSL VPN的特性

保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。由于使用的是Ssl协议,该协议是介于http层及tcp层的平安协议,传输的内容是经过加密的。SSL VPN通过设置不同级别的用户和不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、radius机制等不同的方式。ssl数据加密的平安性由加密算法来保证,各家公司的算法可能都不一样。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。

完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。由于SSL VPN一般在gateway上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上。这样对于gateway来讲,需要开通443这样的端口到ssl vpn即可,而不需要开通所有内部的应用的端口。假如有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。

可用性就是保证信息及信息系统确实为授权使用者所用。前面已经提到,对于SSL VPN要保护的后台应用,可以为其设置不同的级别,只有相应级别的用户才可以访问到其对应级别的资源,从而保证了信息的可用性。

可控性就是对信息及信息系统实施平安监控。SSL VPN作为一个平安的访问连接建立工具,所有的访问信息都要经过这个网关,所以记录日志对于网关来说非常重要。不仅要记录日志,还要提供完善的超强的日志分析能力,才能帮助管理员有效地找到可能的漏洞和已经发生的攻击,从而对信息系统实施监控。

二、SSL VPN的优势

2.1 零客户端

客户端的区别是SSL VPN最大的优势。浏览器内嵌了ssl协议,所以预先安装了web浏览器的客户机可以随时作为SSL VPN的客户端。这样,使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供给商等。通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问。也就是说是基于b/s结构的业务时,可以直接使用浏览器完成ssl的vpn建立;而IPSEC VPN只答应已经定义好的客户端进行访问,所以它更适用于企业内部。

2.2 平安性

SSL VPN的平安性前面已经讨论过,和IPSEC VPN相比较,SSL VPN在防病毒和防火墙方面有它特有的优势。

一般企业在Internet联机入口,都是采取适当的防毒侦测办法。不论是IPSEC VPN或SSL VPN联机,对于人口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSEC VPN联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。

2.3 访问控制

用户部署vpn是为了保护网络中重要数据的平安。IPSEC VPN只是搭建虚拟传输网络,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。

2.4 经济性

使用SSL VPN具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程平安访问接入。但是对于IPSEC VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定Internet知识的普通工作人员就可以完成日常的管理工作。

vpn技术篇3

论文摘要:重点分析了vpn的实现技术。

随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看vpn技术无疑是一种不错的选择。下面就vpn技术的实现做一下粗浅的分析:

1 vpn简介

虚拟专用网(virtuaiprivatenetwork, vpn)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。vpn极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。

vpn可分为三大类:(1)企业各部门与远程分支之间的in-tranet vpn;(2)企业网与远程(移动)雇员之间的远程访问(re-mote access)vpn;(3)企业与合作伙伴、客户、供应商之间的extranet vpno

在extranetvpn中,企业要与不同的客户及供应商建立联系,vpn解决方案也会不同。因此,企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec、点到点隧道协议(pointtopoint tunneling protocol,pptp)、第二层隧道协议(layer2 tunneling protocol,i,2tp)等。

2 vpn的实现技术

vpn实现的两个关键技术是隧道技术和加密技术,同时qos技术对vpn的实现也至关重要。

2.1 vpn访问点模型

首先提供一个vpn访问点功能组成模型图作为参考。其中ipsec集成了ip层隧道技术和加密技术。

2.2隧道技术

隧道技术简单的说就是:原始报文在a地进行封装,到达b地后把封装去掉还原成原始报文,这样就形成了一条由a到b的通信隧道。目前实现隧道技术的有一般路由封装(generi-croutingencapsulation, gre )i,2tp和pptpo

(1)gre

gre主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(gre报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,gre报文头被剥掉,继续原始报文的目标地址进行寻址。gre隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(next-hoproutingprotocol , nhrp)结合使用。nhrp主要是为了在路由之间建立捷径。

gre隧道用来建立vpn有很大的吸引力。从体系结构的观点来看,vpn就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在gre隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是vpn的地址空间,这样反过来就要求隧道的终点应该配置成vpn与普通主机网络之间的交界点。这种方法的好处是使vpn的路由信息从普通主机网络的路由信息中隔离出来,多个vpn可以重复利用同一个地址空间而没有冲突,这使得vpn从主机网络中独立出来。从而满足了vpn的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现vpn功能函数的数量。还有,对许多vpn所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。ip路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把vpn私有协议从主机网络中隔离开来。基于隧道技术的vpn实现的另一特点是对主机网络环境和vpn路由环境进行隔离。对vpn而言主机网络可看成点到点的电路集合,vpn能够用其路由协议穿过符合vpn管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受vpn用户网络的路由协议限制。

虽然gre隧道技术有很多优点,但用其技术作为vpn机制也有缺点,例如管理费用高、隧道的规模数量大等。因为gre是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。

gre隧道技术是用在路由器中的,可以满足extranetvpn以及intranetvpn的需求。但是在远程访问vpn中,多数用户是采用拨号上网。这时可以通过l2tp和pptp来加以解决。

(2)l2tp和pptp

l2tp是l2f( layer2forwarding)和ppt’i〕的结合。但是由于pc机的桌面操作系统包含着pptp,因此ppt’i〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“nas初始化”(networkaccess server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。l2tp作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:

a.用户通过modem与nas建立连接;b.用户通过nas的l2tp接入服务器身份认证;;c.在政策配置文件或nas与政策服务器进行协商的基础上,nas和l2tp接入服务器动态地建立一条l2tp隧道;d.用户与l2tp接入服务器之间建立一条点到点协议(pointtopointprotocol, ppp)访问服务隧道;e.用户通过该隧道获得vpn服务。

与之相反的是,pptp作为“主动”隧道模型允许终端系统进行配置,与任意位置的pptp服务器建立一条不连续的、点到点的隧道。并且,pptp协商和隧道建立过程都没有中间媒介nas的参与。nas的作用只是提供网络服务。pptp建立过程如下:a.用户通过串口以拨号ip访问的方式与nas建立连接取得网络服务;b.用户通过路由信息定位pptp接入服务器;c.用户形成一个pptp虚拟接口;d.用户通过该接口与pptp接入服务器协商、认证建立一条ppp访问服务隧道;e.用户通过该隧道获得vpn服务。

在l2tp中,用户感觉不到nas的存在,仿佛与pptp接入服务器直接建立连接。而在pptp中,pptp隧道对nas是透明的;nas不需要知道pptp接入服务器的存在,只是简单地把pptp流量作为普通ip流量处理。

采用l2tp还是pptp实现vpn取决于要把控制权放在nas还是用户手中。砚tp比pptp更安全,因为砚tp接入服务器能够确定用户从哪里来的。砚tp主要用于比较集中的、固定的vpn用户,而pptp比较适合移动的用户。

2.3加密技术

数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次deso rc4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;des和三次des强度比较高,可用于敏感的商业信息。

加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,vpn安全粒度达到个人终端系统的标准;而“隧道模式”方案,vpn安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。

2.4 qos技术

vpn技术篇4

关键词:虚拟;专用;隧道;协议;安全;方案

中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)17-31254-01

Technology and Application of VPN

JIN Wu-gong

(Information Resource Management Center in Hefei,Hefei 230071,China)

Abstract:As computer has stepped into daily life in depth, people will not use special net and public net limitedly, but also take full advantage of Internet technology to build their own inner net.

The content of this thesis covers the category and speciality of VPN, tunnel technology, encryption & decode techniques, authentication system, PPTP protocol, L2TP protocol, IPSec protocol, resolve means, advantages & disadvantages when VPN is applied in reality.

Key words:virtual;special;tunnel;protocol;safety;plan

虚拟专用网(Virtual Private Network)不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体,通过应用多种技术提供用户认证、数据完整性和访问控制,从而提供网络应用程序之间的安全通信。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。

VPN不是一种单一的技术,而是具有若干特性的系统,IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络,如自主定义的IP地址空间。 本文讨论的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,以IP为主要通讯协议的VPN,也可称之为IP-VPN。

1 VPN的安全性

VPN的主要目的是保护传输数据必须具备4个关键功能。

认证:数据传输的来源确如其声明所言,目的地确实是数据期望到达的位置;

访问控制:限制对网络未经授权的访问;

机密性:防止数据在通过网络时被察看;

数据完整性:防止传输中对数据的任何篡改。

VPN的目的是保护从信道的一个端点到另一端点传输的信息流,信道的端点之前和之后,VPN不提供任何的数据包保护。

2 为什么选择VPN

(1)成本低是最大的优势。传统方式是租用专线建设自己的网络系统,Internet能以很低的代价提供高带宽的链路,缺点是安全性不高。由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。 如2M的专线,国内长途4000/月,对应的10M Internet链路一般2000/月。

(2)灵活性高。只要有Internet链路,随时可以建立VPN链路,对于单个用户,使用VPN可以在任何地方安全访问内部网

3 VPN的类型

每种VPN都具有特定的要求和优先权,实现的目的、解决的问题也不同。用于移动工作者的远程访问Client-LAN VPN,也叫 Access VPN,替代早期的拨号远程访问网络。用于局域网间连接的有LAN-LAN型、IntranetVPN和ExtranetVPN。

4 VPN的特性

安全性:隧道、加密、密钥管理、数据包认证、用户认证、访问控制;

可靠性:硬件、软件、基础网络的可靠性;

可管理性:记帐、审核、日志的管理,支持集中的安全控制策略;

可用性:系统对应用尽量透明,对终端用户来说使用方便;

互操作性:尽量采用标准协议,与其他供应商的设备能互通

服务质量 QoS:通过Internet连接的VPN服务质量很大程度取决于Internet的状况;

多协议支持:支持IP,IPX,或NetBEUI等多种协议。

5 VPN涉及的技术

5.1隧道技术

第二层隧道把网络数据包封装在PPP协议中,PPP协议的数据包放到隧道中传输,L2TP、PPTP(集成在windows中,所以最常用)第三层隧道把网络数据包指直接在隧道中传输,IPsec利用隧道技术,理论上任何协议的数据都可以透过IP网络传输。

5.2加密/解密技术

(1)对称加密技术:速度快,常用的DES、3DES、IDEA等,缺点是密钥传递不方便,经常被用来对数据进行加/解密处理,提高保密性。

(2)公钥加密技术:速度慢,常用的RSA、Diffie-Hellman,用于签名和会话的密钥交换。

(3)哈希函数:速度快,产生的消息摘要用于信息的完整性检查。

6 认证系统

(1)VPN设备间的认证可通过密码、密钥、证书等认证,如果使用证书,可以考虑使用自己的CA或第三方的CA。

(2)对于Access VPN,对个人进行认证可采用简单密码、一次性密码S/KEY、基于硬件的令牌(令牌卡、智能卡、PC卡、USB卡)、生理ID(指纹、声音、视网膜扫描)等。

7 安全协议

7.1安全IP(IPSec)隧道模式

三层协议,直接传输网络协议数据包,基于TCP/IP的标准协议,集成到IPv6中,仅仅传输IP协议数据包,提供了强大的安全、加密、认证和密钥管理功能,适合大规模VPN使用。

7.2点对点隧道协议(PPTP)

二层协议,需要把网络协议包封装到PPP包,PPP数据依靠PPTP协议传输,PPTP通信时,客户机和服务器间有2个通道,一个通道是tcp 1723端口的控制连接,另一个通道是传输GRE PPP数据包的IP隧道。PPTP没有加密、认证等安全措施,安全的加强通过PPP协议的MPPE(Microsoft Point-to-Point Encryption)实现。windows中集成了PPTP Server和Client,适合中小企业支持少量移动工作者,如果有防火墙的存在或使用了地址转换,PPTP可能无法工作。

7.3第2层隧道协议(L2TP)

允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据包传递的任意网络发送,如IP,X.25,桢中继或ATM,它是在Cisco公司的L2F和PPTP的基础上开发,使用并不普遍。

8 VPN解决方案

一个VPN解决方案不仅仅是一个经过加密的隧道,它包含访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理VPN系统大体分为专用的VPN硬件、支持VPN的硬件或软件防火墙、VPN软件、VPN服务提供商4类。前面提到的VPN是独立于网络服务提供商的,但是服务器提供商也会提供某种“VPN”接入。

8.1Access VPN案例

某大学为外部移动用户提供VPN接入服务,接入VPN后的用户拥有校内用户完全相同的访问权限,以便访问各种校内外电子资源。

建设一个Access VPN系统。校内设置一台VPN服务器,运行Windows 2000 Server作为PPTP 接入服务器,使用PPTP 接入服务器使用radius协议对用户的接入请求进行身份验证。

PPTP协议的缺点:使用的GRE协议经常被ISP封锁或由于NAT设备不支持,导致用户无法正常连接VPN。最近流行的SSL方式的VPN就是解决这个问题。采用SSL协议,从外部看是UDP协议,不被ISP封锁,能穿透几乎所有NAT设备,如OpenVPN系统。

8.2 LAN-LAN VPN案例

企业内部各分支机构的互连,使用LAN-LAN VPN是很好的方式。 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性和IPsec技术可以在Internet上组建世界范围内的LAN-LAN VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个LAN-LAN VPN上安全传输。

IPsec VPN优点:用户只要在具有Internet链路的基础上,增加IPsec VPN的网关设备即可利用IPsec VPN把局域网安全的互连。带宽高,VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽,如在某电信公司宽带网络连接的2个100M站点间,建立的VPN带宽可达60Mbps以上。灵活性高,随时可以建立和取消VPN。

IPsec VPN缺点:安全性较差,由于跟Internet有“物理”连接,普遍认为保密的信息不宜在IPsec VPN 上传输;稳定性不高,带宽、延迟、丢包跟外部的ISP主干网运行状况密切相关,用户不可控。

9 结束语

目前VPN技术应用比较广泛,低成本、易维护,性能比较稳定,体现了它强大的生命力与吸引力。VPN 作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,相信随着IP技术的发展,VPN技术会日臻完善!

参考文献:

[1]常晓波.等.译.安全体系结构的设计部署与操作[M].清华大学出版社.

vpn技术篇5

关键词:IPv6;QoS;MPLS;VPN

中图分类号:TP273 文献标识码:A

1 概述

多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。MPLS独立于第二和第三层协议,诸如ATM和IP。它提供了一种方式,将IP地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。它是现有路由和交换协议的接口,如IP、ATM、帧中继、资源预留协议(RSVP)、开放最短路径优先(OSPF)等等。

虚拟专用网(VPN,Virtual Private Network)是指在公共网络上构造的专用网络,按照RFC2764对其提出3个基本要求:数据传输透明性、数据安全性、服务质量(QoS,quality of service)保证,根据这些要求,VPN的实现必须采用某种形式的隧道机制。

随着网络经济的发展,企业对于自身网络的建设提出了越来越高的要求,主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下,VPN以其独有的优势赢得了越来越多企业的青睐。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、和可管理性等。在所有的VPN技术中,MPLS VPN具有良好的可扩展性和灵活性,是目前发展最为迅速的VPN技术之一。

2 传统的VPN

2.1 基本概念

VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows 2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

2.2 网络协议

IPSec[2]:IPsec(缩写IP Security)是保护IP协议安全通信的标准,它主要对IP协议分组进行加密和认证。

IPsee作为一个协议族(即一系列相互关联的协议)由以下部分组成:

(1)保护分组流的协议;(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分:加密分组流的封装安全载荷(ESP)及较少使用的认证头(AH),认证头提供了对分组流的认证并保证其消息完整性,但不提供保密性。目前为止,IKE协议是唯一已经制定的密钥交换协议。

PPTP[3]:Point to Point Tunneling Protocol点到点隧道协议

在因特网上建立IP虚拟专用网隧道的协议,主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。

L2F:Layer 2 Forwarding――第二层转发协议

L2TP:Layer 2 Tunneling Protocol――第二层隧道协议

GRE:VPN的第三层隧道协议

3 MPLS

3.1 基本概念

多协议标签交换MPLS最初是为了提高转发速度而提出的。与传统IP路由方式相比,它在数据转发时,只在网络边缘分析IP报文头,而不用在每一跳都分析IP报文头,从而节约了处理时间。

MPLS起源于IPv4(Internet Protocol version 4),其核心技术可扩展到多种网络协议,包括IPX(Intemet Packet Exchange)、Appletalk、DECnet、CLNP(Connectionless Network Protoc01)等。“MPLS”中的“Muhiprotocol”指的就是支持多种网络协议。

3.2 基本工作过程

3.2.1 LDP和传统路由协议(如OSPF、ISIS等)一起,在各个LSR中为有业务需求的FEC建立路由表和标签映射表;

3.2.2 入节点Ingress接收分组,完成第三层功能,判定分组所属的FEC,并给分组加上标签,形成MPLS标签分组,转发到中间节点Transit;

3.2.3 Transit根据分组上的标签以及标签转发表进行转发,不对标签分组进行任何第三层处理;

3.2.4 在出节点Egress去掉分组中的标签,继续进行后面的转发。

由此可以看出,MPLS并不是一种业务或者应用,它实际上是一种隧道技术,也是一种将标签交换转发和网络层路由技术集于一身的路由与交换技术平台。这个平台不仅支持多种高层协议与业务,而且,在一定程度上可以保证信息传输的安全性。

3.3 体系结构

3.3.1 控制平面(Control Plane)之间基于无连接服务,利用现有IP网络实现;

3.3.2 转发平面(Forwarding Plane)也称为数据平面(Data Plane),是面向连接的,可以使用ATM、帧中继等二层网络。

MPLS使用短而定长的标签(Iabel)封装分组,在数据平面实现快速转发。

在控制平面,MPLS拥有IP网络强大灵活的路由功能,可以满足各种新应用对网络的要求。

对于核心LSR,在转发平面只需要进行标签分组的转发。

对于LER,在转发平面不仅需要进行标签分组的转发,也需要进行IP分组的转发,前者使用标签转发表LFIB,后者使用传统转发表FIB(ForwardingInformation Base)。

4 基于MPLS的IP-VPN

4.1 基本工作过程

同传统的VPN不同,MPLS VPN不依靠封装和加密技术,MPLS VPN依靠转发表和数据包的标记

来创建一个安全的VPN,MPLS VPN的所有技术产生于InternetConnect网络。

CPE被称为客户边缘路由器(CE)。在Internet-Connect网络中,同CE相连的路由器称为供应商边缘路由器(PE)。一个VPN数据包括一组CE路由器,以及同其相连的InternetConnect网中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潜在的网络。

CE可以感觉到同一个专用网相连。每个VPN对应一个VPN路由/转发实例(VRF)。一个VRF定义了同PE路由器相连的客户站点的VPN成员资格。一个VRF数据包括IP路由表,一个派生的Cisco Express Forwarding(CEF)表,一套使用转发表的接口,一套控制路由表中信息的规则和路由协议参数。一个站点可以且仅能同一个VRF相联系。客户站点的VRF中的数据包含了其所在的VPN中,所有的可能连到该站点的路由。

对于每个VRF,数据包转发信息存储在IP路由表和CEF表中。每个VRF维护一个单独的路由表和CEF表。这些表各可以防止转发信息被传输到VPN之外,同时也能阻止VPN之外的数据包转发到VPN内不的路由器中。这个机制使得VPN具有安全性。

在每个VPN内部,可以建立任何连接:每个站点可以直接发送IP数据包到VPN中另外一个站点,无需穿越中心站点。一个路由识别器(RD)可以识别每一个单独的VPN。一个MPLS网络可以支持成千上万个VPN。每个MPLS VPN网络的内部是由供应商(P)设备组成。这些设备构成了MPLS核,且不直接同CE路由器相连。围绕在P设备周围的供应商边缘路由器(PE)可以让MPLS VPN网络发挥VPN的作用。P和PE路由器称为标记交换路由器(LSR)。LSR设备基于标记来交换数据包。

客户站点可以通过不同的方式连接到PE路由器,例如帧中继,ATM,DSL和T1方式等等。

4.2 主要特点

4.2.1 PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户各分支问路由分派。

4.2.2 PE间的路由分派通常是用LDP或扩展的BGP协议实现。

4.2.3 支持不同分支间IP地址复用和不同VPN间互通。

5 结语

vpn技术篇6

    关键词:网络;VPN;金融;信息;安全

    在现代金融行业里,计算机网络有着广泛全面的应用,现代金融管理正朝着电子化、信息化、网络安全化的方向在发展,尤其是网络信息安全化发展的VPN技术在现代金融行业管理中起着越来越重要的作用。

    一、现代金融网络系统典型架构及其安全现状

    就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。

    从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。

    由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。

    就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御,这些都是金融管理信息系统亟待解决的安全问题。

    二、现代金融网络面临的威胁及安全需求

    目前金融系统存在的网络安全威胁,就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,而实施安全攻击的人员则可能是外部人员,也可能是机构内部人员。

    针对信息的攻击是最常见的攻击行为,信息攻击是针对处于传输和存储形态的信息进行的,其攻击地点既可以在局域网内,也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;犯罪者也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端层出不穷,而未公开案例与之相比更是数以倍数。

    利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,为了照顾使用的方便性而忽略了安全性,导致许多安全漏洞的产生,如果再考虑到某些软件供应商出于政治或经济的目的,可能在系统中预留“后门”,因此必须采用有效的技术手段加以预防。

    针对使用者的攻击是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并可在事后嫁祸他人或毁灭证据,导致此类攻击难以取证。

    针对资源的攻击是以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击,即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。

    金融的安全需求安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。

    必须指出:网络信息系统是由人参与的信息环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。

    三、网络安全基本技术与VPN技术

    解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。

    密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护,在现代金融的网络安全的应用上起着非常关键的作用。

    虚拟专用网络(VPN:Virtual Private Network)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,金融机构只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全的传递信息;另外,金融机构还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全的连接进入金融机构网络中,进行各类网络结算和汇兑。

    综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公共的网络基础设施上建立安全的虚拟专用网络系统,可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。

    当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高,适应性差,无统一标准等缺陷,又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势,成为目前和今后金融安全网络发展的一个必然趋势。

    从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网;虚拟专用拨号网络是使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件:保证数据的真实性,通讯主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。

    针对现行的金融机构的网络信息安全,VPN具有以下优点:(1)降低成本。不必租用长途专线建设专网,不必大量的网络维护人员和设备投资;(2)容易扩展。网络路由设备配置简单,无需增加太多的设备,省时省钱;(3)完全控制主动权。VPN上的设施和服务完全掌握在金融机构自己的手中。比方说,金融机构可以把拨号访问交给网络服务商(NSP)去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

    综上所述,VPN技术使金融行业各部门的内部信息可以跨越公共网络进行传输,如同在各金融机构各部门之间架起众多的“虚拟专用”的网络连接线,同时,VPN为每个用户定义出各自相应的网络空间,根据使用者的身份和权限,直接将他们引导到应该接触的信息环境中去,针对目前金融管理的信息安全存在的隐患,VPN技术可以弥补这些缺点。VPN作为广域网的一种新形式,确实为金融行业在新世纪提供了一个系统实用的技术平台。总之,VPN技术拥有很吸引人的优点,随着VPN技术发展的不断完善,在未来的金融管理信息安全领域里,将会起着至关重要的作用。

    参考文献:

    1.戴相龙,桂世镛.中国金融改革与发展.北京:中国金融出版社,2000.

vpn技术篇7

【关键词】VPN;校园网;Access VPN;Intranet VPN

【中图分类号】TP393.03

【文献标识码】A

【文章编号】1672—5158(2012)10-0062-01

随着信息技术的快速发展,校园网建设变得越来越迫切。为了能够满足校园网在资源共享、联合办学发展过程中的需要,利用VPN技术来建设校园网相对更加合适。随着学校的发展,对网络的要求越来越高,传统的校园网组网技术已经难以适应学校的发展要求。较为简单的处理方式是通过公共互联网来进行互访,但是这种方法却难以保证校园网资源的安全性。为了能够更好的实现高效、安全、低成本地交换数据,在组建校园网的过程中必须要使用合理的技术进行规划。

一、VPN简介

VPN是利用公共网络资源为客户搭建专用网的一种技术,这是相对应实际的专用网络而言的,主要是基于Internet/Intranet等各种公用的开放的传输媒体,通过加密与验证等安全措施来建立起虚拟的数据传输通道,用来防止在公共网络上所传递的数据被窃取、篡改、复制,使得用户能够享受到相当与专用网络的安全服务。VPN技术当前被广泛的应用于电子商务、电子政务、大型企业等当中。总的来将VPN具有两层含义:

第一层是Virtual,指的是它是一种虚拟的网,没有固定的物理连接,只有当用户有需要时才会建立网络。

第二层是Private,指的是通过公共的网络设施来组成私有的专用网。

虚拟专用网(VPN)是当前网络发展的一种新趋势,它对传统数据网络的性能优点(安全与QOS)与共享数据网络结构的优点(成本低与简单)进行了综合。通过VPN可以进行远程访问,实现外网与内网的连接,而价格却要比专线或者是帧中继网络要低很多。并且VPN能够在降低成本的同时还可以满足对网络贷款、接入以及服务需求不断增加的情况。因此VPN技术在教育行业的应用前景相当的广泛。总的来说VPN有着以下几个特点:(1) 成本低廉可以利用现有的Internet来组建起虚拟专网,而并不需要利用专用线路就能够实现数据的安全传输;(2) 容易进行扩展,当内部网络结点越来越多时,采用专线连接的网络结构会变得越来越复杂昂贵,但是VPN只需要在结点处假设VPN设备,就能够利用Interet来建立起安全连接;(3) VPN技术有着较强的安全性,可以利用可靠的加密认证技术,在内部网络建立隧道,可以有效的防止信息泄露、篡改以及复制;(4) 能够让地理与物理上分布分散的若干知网从逻辑上进行有效集成。

二、基于VPN的校园网络建设

VPN的关键技术就在于隧道,而隧道的形成是采用隧道协议来对数据进行封装。利用VPN技术将校园网的数据封装在隧道之中,并通过公网进行传输。在隧道协议中SSL、IPSEC、L2TP、PPTP等都是属于较为典型的。其中SSL是属于安全套接层协议,IPSEC则是属于第三层隧道协议,L2TP和PPTP则都属于第二层隧道协议。第二层隧道协议与第三层隧道协议相比,这两者的最根本的区别就在于用户的IP数据包是被封装到哪一种数据包中在隧道之中进行传输的。并且安全套接层隧道还具有更多的细粒度管理,使用更加的方便并具有良好的安全性。在校园网的组建过程中,可以采用Access VPN和Intranet VPN这两类。

(一) 远程用户访问虚拟网

远程用户访问虚拟网主要采用Access VPN。Access VPN通过一个与和专用网络具有相同策略的共享基础设施来提供对内部网或者是外部网的远程访问。通过Access VPN,用户可以随时、随地通过他们所需要的方式访问所需要的内部资源。Access VPN有着以下几个方面的优点:(1) 能够减少用于调制解调器与终端服务设备的资金投入,对网络进行简化;(2) 可以实现本地拨号的功能取代远距离接入,能降低远距离通信的费用;(3) 有着相当良好的扩展性;(4) 能够更加方便的对接入网络的新用户进行调度。

(二)利用Intranet VPN构建校区之间的VPN

对于不同校区之间可以建立Intranet VPN。Intranet VPN是利用Internet线路来组建VPN,通过Interet的线路可以保证网络的互联性,而利用VPN的隧道、加密等特性则能够保证信息在InternetVPN传输时的安全性。Intranet VPN通过一个使用专用连接的共享基础设施,对校本部与其他各个校区进行连接。其特点是:(1) 能够减少WAN带宽费用;(2) 可以利用较为灵活的拓扑结构,其中包括了全网孔连接;(3) 通过设备提供商WAN的连接冗余可以对网络的可用时间进行延长;(4) 新的站点能够更陕、更容易的被链接。

在两个校区之间所建立的VPN,其在策略上要求允许两个校区之中的所有用户都可以进行互访。对于这样的网络,其安全性级别要求并不是非常高,因为如果安全级别提高,不仅仅开销增加,而且数据传送也会非常的困难,特别是在很多用户都在使用VPN网络时。虽然IPSEC与L2TP和PPTP相比都有着更高的安全性,但是相对而言PPTP的实现更加容易。因此在校区之间构建的VPN连接可以采用PPTP协议。在两个校区之间建立VPN,需要在两段的VPN设备中配置路由,并让所有到达对方校区的访问都通过VPN。校园网中的用户很多都是使用的Windows系统平台,因此,可以利用Windows系统来建立VPN路由,同时还需要对VPN方案的稳定性以及设备本身的交换能力进行考虑,因此具有VPN功能的路由器将会是更好的选择。在两个校区具有VPN功能的路由器之间建立隧道,这两个路由器主要起封装和解包的作用。

在两个校区之间建立VPN时如果采用带有VPN功能的路由器来实现,需要对两地的路由、用户、地址池以及协议进行配置,通过这样的方式在这两个校区的路由器之间建立起虚拟专用链路。当校区1的用户对校区2的网络进行访问时,根据校区1VPN路由器中的静态路由,用户能够通过这两个校区之间的虚拟隧道来道德校区2的路由器,而校区2的路由器则为该用户分配一个在校区2内的校园网专用IP,并根据用户的账户名等相关信息来检测自身配置,根据检查的结果赋予相应的权限,反之亦然。

三、结语

随着信息技术的快速发展,学校中的软硬件资源已经较为完备,各种设施也较为齐全,这些都为构建VPN提供了基本的物质条件。同时如今VPN技术已经较为成熟,并且在商业上的应用也相当成熟,校园网在利用VPN构建校园网时可以对商业解决方案进行借鉴。相信,通过采用合理的VPN技术可以使得校园网络更加的合理。

参考文献

[1] 张敏波.网络安全实战详解:企业专供版[M].北京:电子工业出版社,2008

[2] 安钢.校园网扩展建设中的VPN技术探析[J].科技信息,2009,(01)

vpn技术篇8

关键词:VPN 技术;MPLS;流量工程;电力综合数据网

1 VPN 技术原理

VPN(虚拟私有网络)建立在公网网络资源的基础上通过隧道技术与加密技术,从而组建出虚拟的用户私有网络,这就如用户可以连接到私有局域网一样。和传统专网的区别在于VPN的逻辑网络建设在电信运营商提供的公网之上,相同的VPN 用户间可以通过逻辑链接实现数据交互,而不是传统专网的端到端的物理链路连接。VPN技术里面包含有加解密、隧道、身份认证等技术。

2 MPLS/ VPN 技术在电力综合数据网中的应用

本案例中需要重新建设新的高性能的电力综合数据网。根据对该公司的网络流量进行数据预测,为所构建的电力综合数据网设置 6 个节点在其核心层、17 个节点在骨干层、59 个节点在接入层。

2.1 电力综合数据网络拓扑结构

本文对该公司的电力综合数据网采取层次化的结构设计,这完全满足公司在建设成本、电力系统网络特殊性、已有的光纤部署结构、节点的地理分布、光网络路由走向、规模等方面的要求,使得其结构设计经济合理。层次化的结构设计能够使得整个综合数据网的各网络层次能够互联,便于节点管理和网络升级。本案例中的网络结构共有核心层、骨干层和接入层3层次。通道组织建设的核心层采用万兆、骨干层与接入层采用千兆光纤网络,采取广域网进行业务传输,以IP技术为支撑,网络构架将覆盖整个公司的全部营业网点、35KV及其以上的变电站。

下图为该公司电力综合数据网络拓扑结构,其中中间的6个点是核心层节点,从和骨干层G1~G6,是骨干节点。

2.2 MPLS/ VPN 技术在电力综合数据网中的应用设计

第一,MPLS VPN 技术的应用设计概述。在该电力公司中,把核心层、骨干层的路由器都开启MPLS,并依据数据网特征把整个网的路由器当作PE 路由器,交换本地电力管理信息系统与其它节点管理信息系统 VPN 路由;在数据交换时,需要把核心层与骨干层节点的路由器当作 P 路由器,再与其它节点交换数据;把VPN 内的路由器当作CE 设备,只和本节点内PE 路由器交换信息,通过物理隔离,本节点内部的管理信息系统中,会将需求不同的信息系统连接到PE 路由器,其链路各不同,通过PE路由器的端口来进行业务隔离,最终达成 VPN。在本文所述的该电力公司中,根据其业务进行电力综合数据网VPN的划分和命名,如下表:

在本案例中,PE 路由器的作用是进行层次化,以此达到MPLS VPN的分层次管理目的,通过高端路由器设备,VPN网络进行数据过滤、汇聚,从而将接入层节点传输过来的路由信息数目进行化简。此处需要注意,VPN网络的设计必须充分考虑电力公司的访问需求,访问需求主要来自经营管理模块与电力管理系统,同时也要兼顾网络升级调整需求,从而了解和确定VPN路由访问规则。必须要科学制定防问规则,确保业务数据的安全性和相互访问的安全性。

第二,路由策略。在本案例中,通过BGP 路由属性控制VPN 路由的接收和发送,并根据公司的综合数据网规模,确定100 条以内的接入节点的路由数,目的是通过降低接入节点路由器转发的路由数量压力,从而将数据处理性能提高。此外,为了最优化 VPN路由性能,其路由的接收与发送控制的依据条件还有AS路径(自治系统)、访问规则、路由命名前缀、团体属性。最后,通过RT属性控制VPN site 之间的路由。本案例中所划分的4个VPN彼此之间由于企业经营管理的需要,所以必须在部署MPLS VPN时对VPN穿透问题进行考虑,其关键在于让内部网关协议链路能够在一个自治系统内相互连通,对于所用哪一种内部网关协议却不用考虑。由于VPN透传技术只是在原骨干VPN上多嵌套一层单个子VPN或多个VPN,这就使得该技术要求具备较好的核心层和骨干层的路由,并对其转发性的要求也偏高,还要求CD/SPE设备要具备强劲的性能。NoPE(多层嵌套结构)的框架是将SPE(Sub-PE)设备嵌套在PE中,作用是直接连接用户设备,而骨干层PE设备的作用是连接和维护骨干层VPN Site路由,还与直连的Site路由进行内层标签的分配和到骨干层的其他PE设备。本地与远程SPE Site路由由SPE设备维护和带标签的vpn路由,并转发默认路由到相同VPN中的其他SPE。在骨干层PE和SPE之间不设关联的VPN路由和标签,并且SPE和骨干层二者所承载的VPN完全独立不关联,但SPE与骨干层PE有基本一样的功能。

第三,VPN公共资源规划。下表为本例中VRF、RD命名规则情况。RD 命名是根据自治系统VPN 类别编号进行分配的。

而RT命名规则的编号为VPN 类别号,格式为16bits:32bits。其分配规则是:①VPN之间的设备均是独立不相互访问的;②只有在同一VPN 内才会在骨干层与接入层设备间进行互访;③由于企业的生产管理工作需要,要求电力管理信息 VPN 间进行数据互通,所以设计了在VPN 内的嵌套 VPN 的子 VPN满足管理信息 VPN 间的互访需求。

2.3 跨域 MPLS VPN 方案在 SY 电力综合数据网的应用

本例的电力综合数据网也部署和国家电力通信网相同的4个MPLS VPN,保证该公司和国家的电力通信网能够进行4个MPLS VPN(管理信息、电力调度、视频会议、电力通信)的对应和互连互通。由此,当前本例实现两个电力数据网 MPLS VPN 跨域业务所采用的是VRF-TO-VRF 方式,未来规模扩大以后,可以采用Multi-Hop e BGP 方式实现跨域互联互通。

2.4 MPLS 流量工程在 SY 电力综合数据网的应用

本例中电力综合数据网的 MPLS 流量工程分为流量优化和网络保护两个部分。在流量优化方面,通过建立流量分析、预测模型,并合理建立多条LSP分担高流量链路的网络流量。在设置流量路径时,要根据网络流量模型进行设置,再根据流量情况进行骨干层网络资源的分配。具体步骤:①收集、统计MPLS VPN中各节点路由器之间的流量信息,可以用MPLS LSP工具,通过布设没有带宽要求的LSP对POP点间的流量进行统计;②再通过部署有带宽需求的MPLS LSP来提供所统计的带宽需求,并为LSP预留出实际值值80%的带宽;③对带宽进行定期调整;④采取离线分析法定期分析MPLS LSP的路径安排,通^离线约束路由计算选择更加的业务路径,达到对MPLS链路的优化,也可采取平衡链路法来均衡流量负载。

在MPLS网络保护上,要分析用户的网络位置、对网络的需求来采取网络保护手段。

结语

综述,对本次工程的电力综合数据网的建设中,本文展开了网络拓扑结构的设计,为保证设计的电力综合数据网满足该公司的生产管理需要、数据安全传输需求,从而设计了四个 MPLS VPN,使得其成功组网能够有效的解决该公司目前所遇到的网络资源瓶颈问题,并对公司未来的发展需求也进行了充分考虑。

参考文献

[1] 黄晓涛.MPLS VPN电力调度数据网的实现[J]. 硅谷. 2013(21).

vpn技术篇9

摘要:本文阐述了VPN技术用于高校数字资源网络服务的必要性,通过分析VPN的特点和应用技术,提出VPN在高校数字资源共享中的解决方案并对方案效果进行了讨论。

中图分类号:G258.6文献标识码:A文章编号:1003-1588(2012)01-0093-03

随着高校信息化建设的逐渐完善,高校图书馆承担着校园网绝大多数数据的传输和信息,为读者提供网上浏览、信息查询、数据库检索、信息咨询等服务。通过已建成的信息系统(如图书管理系统、OA系统、数字图书资源、文献数据库等),校园网内读者可以通过网络迅速地获取信息。然而,为了提高服务质量,读者需要异地、移动等多种远程访问的场合越来越多。本文通过分析VPN(虚拟专用网)的技术特点与原理,结合图书馆数字资源网络服务的实际工作特点,介绍一种利用VPN技术做好高校数字资源共享的方法。

1VPN技术用于高校数字资源网络服务的必要性

1.1外联信息交换面临的安全威胁

由于Inerne网采用的CP/IP协议对任何数据都以明文的方式进行传输,整个信息服务都暴露在Inerne网上,很容易被入侵者窃取或篡改,造成以下安全威胁。

(1)非授权访问:分支机构、在外工作人员基于互联网来访问校园网内图书馆的信息网络,传输的口令或密码没有采取任何加密措施的情况下,容易造成泄露,被攻击者利用,造成非授权访问。

(2)信息篡改:总校区或分校区的分支机构和在外工作人员进行数据访问的过程中,数据以明文的方式传递,容易被窃听和篡改。

(3)访问行为抵赖:部分分支机构、在外工作人员存在IP地址不固定现象,易造成抵赖行为。

1.2分校区办公和在外工作人员的安全接入

对于图书馆来说,文献信息资源并不是无限制地对外开放,我们购买的数据库资源必须是校园网的合法用户(访问者的IP地址作为合法用户的依据)才能使用。但是随着宽带网络的大范围普及,更多的教师希望能够在家或出差在外以及各个分校和主校区之间都能实现对校园网内图书馆资源的访问。数字图书馆远程访问系统VPN的出现很好地解决了这个问题。

2VPN在高校数字资源共享中的解决方案

2.1VPN技术

VPN是一种公用网络,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,实现企业总部、分支机构、合作伙伴及移动办公人员之间互联互通和资源共享技术。VPN技术包括基于二层的PPP/L2P;基于三层的IPSEC VPN;基于七层的SSL VPN技术。IPSEC VPN和SSL VPN应用广泛。

IPSEC VPN:IPSEC VPN是在特定的通信方之间在IP层通过加密与数据源进行验证,保证数据包在公网上传输时的保密性、完整性和真实性,适用于在局域网之间,建立基于互联网之间的安全传输通道。

SSL VPN:主要的浏览器和WEB服务器都支持SSL VPN,对于Web信息传输通道的机密性及完整性,SSL是最佳的解决方案,无需被加载到终端设备上,无需终端用户配置,无需限制终端,只需标准浏览器即可。

2.2技术方案分析

IPSEC VPN和SSL VPN各具特色,IPSEC VPN的普遍适用性、SSL VPN的方便性等,我们将从以下方面进行分析。

2.2.1选择合适的接入方式

SSL VPN设备通常以并联的方式接入网络,对网络结构不会产生影响;IPSEC VPN存在两种方式:串联,设备串在网络中,网络流量贯穿其中,设备故障将导致传输中断。

并联,旁路方式接入网络,对网络结构不产生影响。因此,尽可能选择并联接入方式。

吴:VPN技术在高校数字资源共享中的应用*

2.2.2选择便于扩展的设备及结构

VPN设备因性能问题存在接入数量的限制,IPSEC VPN限制隧道数和移动用户接入数;SSL VPN限制用户接入数量。选择设备时,须考虑设备的扩展性,同时选择便于扩展的网络结构,并联方式不影响网络结构便于扩展。

2.2.3选择多种VPN技术以适应情况变化

IPSEC VPN为网络层加密隧道,属全网接入方式,分支局域网通过网络建立隧道或者用户通过移动客户端接入后,能够对内网的网络资源进行访问,不受业务提供方式限制。当某些用户在没有移动客户端的情况下,SSL VPN凸显了不需要安装客户端的特点。因此,最好的方式是以IPSEC VPN接入为主,SSL VPN为辅。

2.3系统安全策略设计思路

VPN设备实现身份认证和访问授权:保证合法用户的合法接入,并且只能访问授权内的办公资源用户进行身份认证和访问授权。IPSEC VPN 和SSL VPN技术都采用安全加密技术和身份认证技术保障数据的加密传输。

VPN安全技术实现通信内容安全:选择具有防火墙、防病毒和内容过滤等功能的VPN网关,并且各功能相互融合,VPN数据进行检查从而拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全。

3VPN方案设计

图1VNP方案设计拓扑图

3.1设备部署

VPN网关设备部署: VPN网关设备并联部署在中心机房各分支机构的防火墙之上(如图1所示)。

VPN客户端部署:在每台移动办公设备上统一安装客户端软件。

VPN集中管理软件:软件分为服务器、管理控制器和数据库三部分,分别部署在图书馆中心机房安全服务器区的服务器上。

3.2方案安全性策略描述

(1)结构保障系统可用性:VPN网关并联接入,当设备断电或故障时,不影响各局域网员工访问互联网资源;并联方式便于扩充,通过简单的加入交换设备进行设备扩充。

(2)技术选择保障系统可用性:IPSEC VPN与SSL VPN的混合使用。正常情况下使用IPSEC VPN,任何种类的应用。在缺少VPN网关和客户端的时候使用SSL VPN临时接入,无条件支持B/S服务;采用端口转发、全网接入等技术,通过插件实现对C/S服务访问。

(3)管理保障系统可用性:通过集中管理软件的帮助,实现客户端自动部署,提高了自动部署的机动性和灵活性;增大管理容量。

(4)VPN隧道安全技术组合:利用IPSEC VPN和SSL VPN二合一网关上的IPSEC VPN功能建立与数据中心、各分支机构和移动办公终端的VPN通道,实现数据通信的机密性、完整性;在没有VPN网关设备和VPN客户端的情况下,通过浏览器与图书馆数据中心建立SSL VPN隧道,实现安全数据通信;利用身份认证功能,实现对访问校园网的用户、局域网的访问的身份认证和授权;利用防火墙、病毒防护、内容过滤等功能,对访问数据进行过滤,实现VPN的安全控制和功能。

3.3方案效果

通过VPN设备的部署和安全策略设置,使图书馆网络服务实现了基于互联网的安全延伸,并具有以下良好效果:旁路接入的方式,对现有网络结构的影响减少到最小,有效保障网络结构的稳定性并具有良好的扩展性;通过综合使用IPSEC VPN和SSL VPN技术,覆盖了各种情况下的远程接入,具有良好的环境适应能力;通过VPN设备上的病毒过滤功能的启动,尽量减少移动用户对内网的影响;通过认证技术具有一定的抗抵赖性,通过加密技术保障数据传输的完整性和保密性。

4制定方案需要注意的问题

4.1保证校园网及图书馆网络的安全

产品在客户端与网关进行连接时,采用应用层进行控制,防止病毒、木马、蠕虫通过远程访问方式进入校园网进行传播;其次是在用户组和用户管理方面对用户组权限可以做详细的划分,用户只能浏览和运行我们授权其使用的校园网和电子资源。

4.2保护数据库提供商的数字版权

在建设远程访问时,我们也必须考虑到数据版权方面的纠纷,应该做到对用户身份的强认证,保证每一个远程访问的使用者都是学校的合法用户。

4.3有效预防恶意下载数字资源的情况发生

有些学校曾经遇到由于无法限制用户的下载流量,而经常发生恶意下载,影响了广大师生的正常访问秩序,并给大学的声誉带来了负面的影响,而且事后的警告并不会减少其他用户恶意下载的发生。对此,学校在使用了远程访问系统之后,可以在设置用户组权限时,给不同的用户组设置不同的在线时长、最大流量、平均流量等几个指标来综合限制用户的下载流量。当用户发生大流量下载时,系统会自动中断客户端与网关之间的连接,并将用户挂起,待管理员重新激活该用户时此用户才能正常使用。

4.4方便用户申请、下载客户端、使用客户端

由于现在的大学规模越来越大,有远程访问使用需求的人员也越来越多,如果所有的人员都需要手工审核用户、建立用户、分发密码、安装客户端,必须考虑VPN产品可以方便快捷地解决这个问题。

4.5监控用户的下载流量、资源使用情况

用户日志也是很多大学所关心的问题,通过用户活动记录可以随时调整系统设定和工作进程。所以,远程访问系统应该具有完备的网关流量审计、用户流量和行为审计,并且增加资源访问审计系统可以统计管理员设定的各种电子资源的访问流量和访问次数,为购买数据和资源整合提供依据。

4.6扩展远程访问的应用,服务于学校自建数据库的推广

各个大学图书馆有相应的办公系统、自动化系统、自建特色库和专题库等等,通过远程访问系统自身先进的网络协议去完全承载各种形式的办公系统软件。使学校的老师在授权的范围内可以方便的做到远程办公、远程、远程借还书等等工作,扩展了远程访问系统使用空间,并且对自建数据库的访问用户进行严格的权限控制、严格的身份认证以及较高的加密强度,以便对自建库进行推广,使其发挥更大的作用。

5结语

VPN利用公用网组建虚拟的专用网,使用计算机和计算机网络在校园网外就可以对数字资源随时进行访问,提高了数字资源的利用率,为读者提供数字资源共享服务。目前,市场上有多个公司的多种VPN产品,这些产品提供的功能和网络性能也不尽相同。我们可以根据本单位的具体情况。选择不同的产品,实现数字资源安全、低成本的远程访问。

参考文献:

[1]刘洋.IPSEC VPN和SSL VPN的分析比较[J].电脑知识与技术,2009(4).

[2]张颖.利用VPN技术实现图书馆信息资源远程访问[J].情报探索,2008(7).

[3]王健. 利用VPN技术实现高校图书馆数字资源的远程访问[J]. 图书馆建设, 2006(5).

[4]张文丰.VPN技术在档案信息化中的应用[J]. 科技资讯,2007(25).

vpn技术篇10

关键词:SSL VPN; IPsec VPN; 数字化校园; 远程访问

中图分类号:TP393 文献标识码:A文章编号:2095-2163(2013)02-0032-03

0引言

随着信息化进程的加快,各个高校对校园信息化投入不断增加,致力于建成数据交换与共享的数字化校园平台。虽然目前很多学校已经拥有了应用管理系统、数据资源库系统、公共通讯平台,但这些网络资源和办公平台常常受到网络的限制,只能在校园内部使用。本校2012年师生问卷调查显示:居住在外的教师、经常出差的行政办公人员以及在外实习的大四毕业生对于校外不能访问校内数字化资源,均已感到极为不便。具体来说,教师在外网不能登录学习平台批改作业;行政人员出差时,不能获取部门统计数据;大四未在校的学生不能通过毕业设计系统提交论文。这些状况即已表明目前校园的基础网络及其实现方案存在一定的不足,亟需新技术的应用以解决校园外部访问校内数字化资源的问题。经过广泛,深入的调研分析可知,VPN(Virtual Private Network)正是解决这一瓶颈的技术方案。

1VPN 的原理及SSL VPN方案的优势

11VPN原理

VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式[1]。VPN利用公用网络来实现任意两个节点之间的专有连接,适用于移动用户、分支机构以及远程用户安全、稳定地接入到内部网络。同时,VPN还向用户提供了专用网络所独具的功能,但其本身却不是一种真正意义上的独立物理网络,没有固定物理线路连接。近年来,VPN技术已经大量应用于高校的移动办公,并且在数字化资源的多校区数据访问方面也有着广泛应用。VPN远程访问的思路是,用户在网络覆盖的任意地点,首先,通过ADSL或者LAN方式接入互联网;其后,通过拨号校园网的VPN网关,构建一条从用户所在网络地址到校园网的二层隧道;而后是VPN服务器给用户分配相应的校园网地址,从而实现校园网数字化资源的远程访问[2]。

12两种VPN方案的对比

按照协议划分,VPN主要有两大主流,分别是IPsec VPN和SSL VPN。IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等[3]。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Point to Site的连接方式。总体来看,相比于IPsec VPN方案,SSL VPN方案有三点优势,具体如下。

(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。

(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。

(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSL VPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。2SSL-VPN的关键技术及性能分析

21访问控制技术

访问控制技术是由VPN服务的提供者根据用户的身份标志对访问某些信息项进行相应操控的作用机制。目前,通用的VPN方案中,常常是由系统管理员来控制相关用户的访问权限。作为安全的VPN设备,SSL VPN可通过“组”策略对应用进行访问控制[4]。有些SSL VPN产品可以将Web应用定义为一系列的URL,而组和用户则可允许和禁止访问相应的应用。其它一些SSL VPN产品可以提供更为精细的高级控制,控制策略不仅含有“允许”和“禁止”,还包括用户能访问的资源列表以及对这些资源的操作权限控制。由于SSL VPN工作在网络的应用层,管理员可以基于应用需求、用户特征以及TCP/IP端口进行严密的访问控制策略设置。SSL VPN还能通过浏览器中的参数支持动态访问部署策略,管理员可以依据用户身份、设备类型、网络信任级别、会话参数等各型因子,定义不同的会话角色,并给与不同的访问权限。另外,基于用户的访问控制需要维护大量的用户信息,当前最流行的控制策略则是基于角色的访问控制,在握手协议的过程中统一集成访问控制的基础功能,再将资源的控制权交托于可信的授权管理模型。

22性能分析

VPN的性能指标值对校园网中关键业务的应用实现具有直接影响,在设计数字化校园的VPN详尽方案之前,有必要了解其性能指标。SSL VPN中,常见的性能指标有连接速率、网络延迟、加密吞吐量、并发用户数,等。其中,连接速率表示了SSL VPN系统每秒钟可建立或终止的最大会话连接数目,用以度量被测VPN设备在单位时间内交易事务的处理能力[5]。可以通过添置SSL硬件加速卡、提高控制速率上限等举措来改善其性能。另外,SSL VPN使用的是非对称加密算法,这就导致VPN服务器的CPU将在高负荷状况下处理SSL的加解密。而对于这种计算密集型的加解密操作,为了保障服务器能够正常工作,既可以限制SSL会话的数量,也可以添加服务器的数目。只是这两种方式各有利弊,若限制会话数目,就会出现高峰期间的部分用户无法连接服务器,而添加服务器数目又会大幅增加VPN系统的财务用度。因而,通常情况下,使用SSL加速器来提升加解密速度,进入SSL的数据流由加速器解密并传给服务器,而外流的数据又经过加速器加密再回传给客户。服务器方面,只需要处理简单的SSL请求,将消耗资源的工作完全交给加速器,全面有效地提升了VPN方案的整体性能。

3SSL-VPN下的数字化校园解决方案

31需求分析与设计目标

校园数字化资源中集结了多种重要的数据库以及多款办公软件。大四年级的学生会经常需要登录毕业设计系统上传学科论文;校外居住的教师也需要登录图书馆期刊检索系统,下载专业文献;另外,因公在外的招生、财务人员又需要及时获取部门的数字化信息,并借助办公自动化的高端平台与其它部门顺畅沟通。上述校园网的这些外部访问通常都是不确定的动态IP地址,在数据库服务器的安全策略中多会将之认定为是非法用户而遭到拒绝。因此,在外部访问校园网之数字化校园时,就需要研发一个远程访问方案,该方案可将合法的非授权校外地址转化为授权的校园网内地址。此方案需要考虑的用户有三种,分别是:在外居住的教师、大四实习生以及在外办公的行政人员。

32系统体系结构

经过实地调研和深入分析,采用了SSL VPN架构,具体框架如图1所示。

由图1可知,这是一个基于Web模式的SSL VPN系统,在用户和应用服务器之间构建了一个安全的信息传递通道。其中,SSL VPN服务器相当于一个网关,且具备双重身份。对用户而言,这是服务器,负责提供基于证书的身份鉴别;对应用服务器而言,则属于客户端的身份,并向服务器递交访问申请。由此,通过在防火墙后安装VPN设备,校外用户只需要打开IE浏览器,就可以访问到校园数字化资源的URL。其后,SSL VPN 设备将取得连接并验证用户的身份,此时SSL服务器就会将连接映射到不同应用的服务器上。而且方案中又采用了技术,所有成功接入SSL VPN系统的校外用户都可以全面访问LAN口所能获得的数字化资源。本系统还具备较高的传输性能,优先考虑SSL VPN服务器的性能,将需要消耗大量资源的加解密工作交给加速器。实现过程中,采用的设备是由Cisco ASA建立Web VPN服务器,而将Radius Server作为验证用户身份的服务器。

33改进型安全策略——基于角色的控制

本校SSL VPN系统采用的是基于角色的访问控制策略,既包括用户安全认证的接口也包括用户访问的资源列表。实际上,校园网系统的用户认证和访问控制均在控制协议部分获得实现,可以在此过程中添加角色的访问控制。通过在证书中集成角色属性,系统在进行安全认证时,就可以同步实现角色验证。VPN系统在明确用户角色属性的基础上确定其访问权限,而后给出该用户可以访问的资源列表信息。另外,用户在登录VPN系统时,还需要在登录界面输入身份信息。

4结束语

随着校外用户对数字化校园资源访问需求的日益迫切增长,使得VPN技术也随之广受关注[6]。为了给予校外访问、使用校园数字化资源提供更大便利,因而在综合考虑本校实际用户数量和主要用户角色的基础上,由网络中心主持设计并全面实现了SSL VPN系统。目前,本校SSL VPN系统运转良好,能够满足现有的使用需求,并且也具备了一定的扩展能力。当然,该实施方案并不是唯一可选,当校园网的VPN用户数量并不多、要求也不高时,就可以考虑软件型VPN方案。不然,还可通过购买专业的VPN设备打造高水准、高级别的SSL VPN系统。

参考文献:

[1]王达. 虚拟专用网(VPN)精解[M]. 北京:清华大学出版社,2004:45-46.

[2]朱伟珠. 利用VPN技术实现高校图书馆资源共享[J]. 情报科学,2007,25(7):1158-1061.

[3]徐家臻,陈莘萌. 基于IPsec与基于SSL的VPN的比较与分析[J]. 计算机工程与设计,2004,25(4):186-188.

[4]沈海波,洪帆. 访问控制模型研究综述[J].计算机应用研究,2005,32(5):9-11.