VPN范文10篇

VPN范文篇1

关键词VPN；虚拟专用网；SSLVPN；IPSecVPN

1引言

VPN(VirtualPrivateNetwork)即虚拟专用网，是一项迅速发展起来的新技术，主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络，仅在效果上和真正的专用网一样，故称之为虚拟专用网。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成，不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术，使得传送数据报的路由器均不知道数据报的内容，就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。

2隧道技术的实现

假设某公司在相距很远的两地的部门A和B建立了虚拟专用网，其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然，这两个部门若利用因特网进行通信，则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2，且其全球IP地址分别为125.1.2.3和192.168.5.27，如图1所示。

图1

现在设部门A的主机X向部门B的主机Y发送数据报，源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密，然后重新封装成在因特网上发送的外部数据报，这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3，而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后，对其进行解密，恢复出原来的内部数据报，并转发给主机Y。这样便实现了虚拟专用网的数据传输。

3军队院校校园网建设VPN技术应用设想

随着我军三期网的建设，VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先，军队的特殊性要求一些信息的传达要做到安全可靠，采用VPN技术会大大提高网络传输的可靠性；第二，军队院校不但有各教研室和学员队，还包括保障部队、管理机构等，下属部门较多，有些部门相距甚至不在一个地方，采用VPN技术可简化网络的设计和管理；第三，采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。

而VPN技术的特点正好能够满足以上几点需求。首先是安全性，VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP)，并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据，还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。第二，在解决异地访问本地电子资源问题上，这正是VPN技术的主要特点之一，可以让外地的授权用户方便地访问本地的资源。目前，主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术，它能够更加有效地进行访问控制，而且安全易用，不需要高额的费用。该技术主要具有以下几个特点：第一，安全性高；第二，便于扩展；第三，简单性；第四，兼容性好。

我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好，由于IPSecVPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSecVPN网关，它可以在内部为所欲为。因此，IPSecVPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的安全，而SSLVPN则是接入企业内部的应用，而不是企业的整个网络。它可以根据用户的不同身份，给予不同的访问权限，从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构，安全保密应该是主要考虑的方面之一。第二，SSLVPN与IPSecVPN相比，具有更好的可扩展性。可以随时根据需要，添加需要VPN保护的服务器。而IPSecVPN在部署时，要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSecVPN就要重新部署。第三，操作的复杂度低，它不需要配置，可以立即安装、立即生效，另外客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行。第四，SSLVPN的兼容性很好，而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件。此外，使用SSLVPN还具有更好的经济性，这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入；但是对于IPSecVPN来说，每增加一个需要访问的分支就需要添加一个硬件设备。

虽然SSLVPN的优点很多，但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSecVPN是在两个局域网之间通过网络建立的安全连接，保护的是点对点之间的通信，并且，IPSecVPN工作于网络层，不局限于Web应用。它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。可用于军校之间建立虚拟专用网，进行安全可靠的信息传送。

4结论

总之，VPN是一项综合性的网络新技术，目前的运用还不是非常地普及，在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求，VPN技术将会发挥其应有的作用。

参考文献

VPN范文篇2

摘要：重点分析了VPN的实现技术。

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性，对于企业和一些跨区域专门从事特定业务的部门，从经济实用性、网络安全性、数据传输可靠性上来，看VPN技术无疑是一种不错的选择。下面就VPN技术的实现做一下粗浅的分析：

1VPN简介

虚拟专用网(VirtuaIPrivateNetwork,VPN)是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。

VPN可分为三大类：(1)企业各部门与远程分支之间的In-tranetVPN；

(2)企业网与远程(移动)雇员之间的远程访问(Re-moteAccess)VPN；

(3)企业与合作伙伴、客户、供应商之间的ExtranetVPNo；

在ExtranetVPN中，企业要与不同的客户及供应商建立联系，VPN解决方案也会不同。因此，企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPointTunnelingProtocol,PPTP)、第二层隧道协议(layer2TunnelingProtocol,I,2TP)等。

2VPN的实现技术

VPN实现的两个关键技术是隧道技术和加密技术，同时QoS技术对VPN的实现也至关重要。

2.1VPN访问点模型

首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。

2.2隧道技术

隧道技术简单的说就是：原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation,GRE)I,2TP和PPTPo。

(1)GRE

GRE主要用于源路由和终路由之间所形成的隧道。例如，将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时，GRE报文头被剥掉，继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的，即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点，即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol,NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。

GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看，VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接，配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间，而在隧道中流动的原始报文用的是VPN的地址空间，这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来，多个VPN可以重复利用同一个地址空间而没有冲突，这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求：可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族，减少实现VPN功能函数的数量。还有，对许多VPN所支持的体系结构来说，用同一种格式来支持多种协议同时又保留协议的功能，这是非常重要的。IP路由过滤的主机网络不能提供这种服务，而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合，VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样，主机网络用符合网络要求的路由设计方案，而不必受VPN用户网络的路由协议限制。

虽然GRE隧道技术有很多优点，但用其技术作为VPN机制也有缺点，例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变，隧道要重新配置。隧道也可自动配置，但有缺点，如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路，会极大恶化路由的效率。除此之外，通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话，就会影响路由发送速率的能力及服务性能。

GRE隧道技术是用在路由器中的，可以满足ExtranetVPN以及IntranetVPN的需求。但是在远程访问VPN中，多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。

(2)L2TP和PPTP

L2TP是L2F(Layer2Forwarding)和PPT’I〕的结合。但是由于PC机的桌面操作系统包含着PPTP，因此PPT’I〕仍比较流行。隧道的建立有两种方式即：“用户初始化”隧道和“NAS初始化”(NetworkAccessServer)隧道。前者一般指“主动’，隧道，后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下：

a.用户通过Modem与NAS建立连接；b.用户通过NAS的L2TP接入服务器身份认证；；c.在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；d.用户与L2TP接入服务器之间建立一条点到点协议(PointtoPointProtocol,PPP)访问服务隧道；e.用户通过该隧道获得VPN服务。

与之相反的是，PPTP作为“主动”隧道模型允许终端系统进行配置，与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且，PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下：a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务；b.用户通过路由信息定位PPTP接入服务器；c.用户形成一个PPTP虚拟接口；d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道；e.用户通过该隧道获得VPN服务。

在L2TP中，用户感觉不到NAS的存在，仿佛与PPTP接入服务器直接建立连接。而在PPTP中，PPTP隧道对NAS是透明的；NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量处理。

采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。砚TP比PPTP更安全，因为砚TP接入服务器能够确定用户从哪里来的。砚TP主要用于比较集中的、固定的VPN用户，而PPTP比较适合移动的用户。

2.3加密技术

数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESoRC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES强度比较高，可用于敏感的商业信息。

加密技术可以在协议栈的任意层进行；可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一条路由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中，VPN安全粒度达到个人终端系统的标准；而“隧道模式”方案，VPN安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。

2.4QoS技术

VPN范文篇3

一、现代金融网络系统典型架构及其安全现状

就金融业目前的大部分网络应用而言，典型的省内网络结构一般是由一个总部（省级网络中心）和若干个地市分支机构、以及数量不等的合作伙伴和移动远程（拨号）用户所组成。除远程用户外，其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心，为金融机构中心服务所在地，同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样，包括远程拨号、专线、Internet等。

从省级和地市金融机构的互联方式来看，可以分为以下三种模式：（1）移动用户和远程机构用户通过拨号访问网络，拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式；（2）各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接；（3）合作伙伴（客户、供应商）局域网通过专线或公共网络与总部局域网连接。

由于各类金融机构网络系统均有其特定的发展历史，其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中，主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。

就网络信息系统安全而言，目前金融机构的安全防范机制仍然是脆弱的，一般金融机构仅利用了一些常规的安全防护措施，这些措施包括利用操作系统、数据库系统自身的安全设施；购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中，也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的，也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件，这些软件通常仅具备一些基本的安全功能，而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性，如考虑不周很容易留下安全漏洞。此外，金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障，Internet服务提供商（ISP）采取的安全手段都是为了保护他们自身和他们核心服务的可靠性，而不是保护他们的客户不被攻击，他们对于你的安全问题的反应可能是提供建议，也可能是尽力帮助，或者只是关闭你的连接直到你恢复正常。因此，总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别，有的甚至对于一些常规的攻击手段也无法抵御，这些都是金融管理信息系统亟待解决的安全问题。

二、现代金融网络面临的威胁及安全需求

目前金融系统存在的网络安全威胁，就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类，而实施安全攻击的人员则可能是外部人员，也可能是机构内部人员。

针对信息的攻击是最常见的攻击行为，信息攻击是针对处于传输和存储形态的信息进行的，其攻击地点既可以在局域网内，也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性，攻击者可以不动声色地窃取并利用信息，而无虑被发现；犯罪者也可以在积聚足够的信息后骤起发难，进行敲诈勒索。此类案件见诸报端层出不穷，而未公开案例与之相比更是数以倍数。

利用系统（包括操作系统、支撑软件及应用系统）固有的或系统配置及管理过程中的安全漏洞，穿透或绕过安全设施的防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台，为了照顾使用的方便性而忽略了安全性，导致许多安全漏洞的产生，如果再考虑到某些软件供应商出于政治或经济的目的，可能在系统中预留“后门”，因此必须采用有效的技术手段加以预防。

针对使用者的攻击是一种看似困难却普遍存在的攻击途径，攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点，通过种种手段窃取系统权限，通过合法程序来达到非法目的，并可在事后嫁祸他人或毁灭证据，导致此类攻击难以取证。

针对资源的攻击是以各种手段耗尽系统某一资源，使之丧失继续提供服务的能力，因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击，即攻击者利用其所控制的成百上千个系统同时发起攻击，迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构，尤其是Internet以及TCP/IP协议的固有缺陷，因此在网络的基础设施没有得到大的改进前，难以彻底解决。

金融的安全需求安全包括五个基本要素：机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题，即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有：传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。

必须指出：网络信息系统是由人参与的信息环境，建立良好的安全组织和管理是首要的安全需求，也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。

三、网络安全基本技术与VPN技术

解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护，抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。

密码技术是实现网络安全的最有效的技术之一，实际上，数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下，数据加密是保证信息机密性的唯一方法。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法，这使得它能以较小的代价提供很强的安全保护，在现代金融的网络安全的应用上起着非常关键的作用。

虚拟专用网络（VPN：VirtualPrivateNetwork）技术就是在网络层通过数据包封装技术和密码技术，使数据包在公共网络中通过“加密管道”传播，从而在公共网络中建立起安全的“专用”网络。利用VPN技术，金融机构只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相安全的传递信息；另外，金融机构还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全的连接进入金融机构网络中，进行各类网络结算和汇兑。

综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术，并通过适当的密钥管理机制，在公共的网络基础设施上建立安全的虚拟专用网络系统，可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统，采用VPN技术可以在不影响现行业务系统正常运行的前提下，极大地提高系统的安全性能，是一种较为理想的基础解决方案。

当今VPN技术中对数据包的加解密一般应用在网络层（对于TCP/IP网络，发生在IP层），从而既克服了传统的链（线）路加密技术对通讯方式、传输介质、传输协议依赖性高，适应性差，无统一标准等缺陷，又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题，使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势，成为目前和今后金融安全网络发展的一个必然趋势。公务员之家

从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络（VPDN）。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网；虚拟专用拨号网络是使用电话拨号（PPP拨号）上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议应该具备以下条件：保证数据的真实性，通讯主机必须是经过授权的，要有抵抗地址假冒（IPSpoofing）的能力。保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。保证通道的机密性，提供强有力的加密手段，必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。

VPN范文篇4

关键词：虚拟专用网VPN远程访问网络安全

引言

随着信息时代的来临，企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升，信息管理范围不断扩大，不论是企业内部职能部门，还是企业外部的供应商、分支机构和外出人员，都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信，实现企业外部分支机构远程访问内部网络资源，成为当前很多企业在信息网络化建设方面亟待解决的问题。

一、VPN技术简介

VPN（VirtualPrivateNetwork）即虚拟专用网络，指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术，通过对网络数据的封装和加密传输，在公用网络上传输私有数据的专用网络。在隧道的发起端（即服务端），用户的私有数据经过封装和加密之后在Internet上传输，到了隧道的接收端（即客户端），接收到的数据经过拆封和解密之后安全地到达用户端。

VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境，是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能，具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问，通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来，构成一个扩展的公司企业网，此外它还提供了对移动用户和漫游用户的支持，使网络时代的移动办公成为现实。

随着互联网技术和电子商务的蓬勃发展，基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动，需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网，从而简化信息传递的路径，加快信息交换的速度，提高企业的市场响应速度和决策速度。同时，围绕企业自身的发展战略，企业的分支机构越来越多，企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题，VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接，并保证数据的安全传输，通过将数据流转移到低成本的网络上，大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间，降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中，这样就大大简化了网络的设计和管理，满足了不断增长的移动用户和Internet用户的接入，以实现安全快捷的网络连接。

二、基于Internet的VPN网络架构及安全性分析

VPN技术类型有很多种，在互联网技术高速发展的今天，可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用，基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点，能够很好的满足企业对VPN的常规需求。

2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端，用户的私有数据经过隧道协议和和数据加密之后在Internet上传输，通过虚拟隧道到达接收端，接收到的数据经过拆封和解密之后安全地传送给终端用户，最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。

2.2VPN技术安全性分析VPN技术主要由三个部分组成：隧道技术，数据加密和用户认证。隧道技术定义数据的封装形式，并利用IP协议以安全方式在Internet上传送；数据加密保证敏感数据不会被盗取；用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输，因此安全问题是VPN技术的核心问题，目前，VPN的安全保证主要是通过防火墙和路由器，配以隧道技术、加密协议和安全密钥来实现的，以此确保远程客户端能够安全地访问VPN服务器。

在运行性能方面，随着企业电子商务活动的激增，信息处理量日益增加，网络拥塞的现象经常发生，这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略，分配基于数据传输重要性的接口带宽，这样既能满足重要数据优先应用的原则，又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长，对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担，管理平台要有一个定义安全策略的简单方法，将安全策略进行合理分布，并能管理大量网络设备，确保整个运行环境的安全稳定。

三、Windows环境下VPN网络的设计与应用

企业利用Internet网络技术和Windows系统设计出VPN网络，无需铺设专用的网络通讯线路，即可实现远程终端对企业资源的访问和共享。在实际应用中，VPN服务端需要建立在Windows服务器的运行环境中，客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。

3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”，需要对此服务进行必要的配置使其生效。

3.1.1VPN服务的配置。桌面上选择“开始”→“管理工具”→“路由和远程访问”，打开“路由和远程访问”服务窗口；鼠标右键点击本地计算机名，选择“配置并启用路由和远程访问”；在出现的配置向导窗口点下一步，进入服务选择窗口；标准VPN配置需要两块网卡（分别对应内网和外网），选择“远程访问（拨号或VPN）”；外网使用的是Internet拨号上网，因此在弹出的窗口中选择“VPN”；下一步连接到Internet的网络接口，此时会看到服务器上配置的两块网卡及其IP地址，选择连接外网的网卡；在对远程客户端指派地址的时候，一般选择“来自一个指定的地址范围”，根据内网网段的IP地址，新建一个指定的起始IP地址和结束IP地址。最后，“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。

3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上，因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台；依次展开“本地用户和组”→“用户”，选中用户并进入用户属性设置；转到“拨入”选项卡，在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”，即赋予了远端用户拨入VPN服务器的权限。

3.2VPN客户端配置VPN客户端适用范围更广，这里以Windows2003为例说明，其它的Windows操作系统配置步骤类似。

在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”；在网络连接方式窗口里选择“虚拟专用网络连接”；接着为此连接命名后点下一步；在“VPN服务器选择”窗口里，输入VPN服务端地址，可以是固定IP，也可以是服务器域名；点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码，即可连接上VPN服务器端。公务员之家:

3.3连接后的共享操作当VPN客户端拨入连接以后，即可访问服务器所在局域网里的信息资源，就像并入局域网一样适用。远程用户既可以使用企业OA，ERP等信息管理系统，也可以使用文件共享和打印等共享资源。

四、小结

现代化企业在信息处理方面广泛地应用了计算机互联网络，在企业网络远程访问以及企业电子商务环境中，虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络，从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务，是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值，在未来的企业信息化建设中具有广阔的前景。

参考文献:

VPN范文篇5

顾名思义所谓的虚拟,是指我们电子商务网络用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路;所谓专用网络,是指用户可以为自己制定Internet最符合自己需求的网络。虚拟专用网Internet一般指的是构建在Internet上能够自我管理的专用网络,而不是FR或ATM等提供虚拟固定线路服务的网络。以IP为主要通信协议的VPN,也可称之为IP-VPN。由于VPN是在Internet定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。为了让广大网络用户进一步了解VPN网络技术,下面我们具体的介绍分析一下虚拟专用网VPN的特点、安全技术及其发展趋势。

一、虚拟专用网VPN的本质特点:

(一)建网成本较低

VPN在设备的使用量及广域网络的频宽使用上,均比专线式的架构节省,故能使网络的总成本(TotalCostofOwnership)降低。根据分析,在LAN(局域网)-to-LAN(局域网)连接时,用VPN较使用专线的成本节省30%~50%左右;而就远程访问而言,用VPN更能比直接拨入到企业内部网络节省60%~80%的成本。

(二)网络之间可扩充性好且灵活性高

VPN较专线式的架构有弹性,当有必要将网络扩充或是变浅谈VPN技术在电子商务中的应用文／段丽更网络架构时,VPN可以轻易的达到目的,VPN(特别是硬件VPN)的平台具备完整的扩展性,大至企业总部的设备,小至各分公司,甚至个人拨号用户,均可被包含于整体的VPN架构中,同时,VPN的平台亦具有对未来广域网络频宽扩充及连接更新架构的特性,可以说实用性较强。

(三)良好的安全性

有一个很好的的安全保障:能实现不同等级的服务质量保证认可。VPN架构中采用了多种安全机制,如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(IntrusionDetection)等技术,通过上述的各项网络安全技术,确保资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。

(四)管理方便

VPN有很好的可管理性,用户可以根据自己的实际需要进行特定的管理。从用户的角度和运营商角度应可方便地进行管理、维护。VPN使用了较少的设备来建立网络,使网络的管理较为轻松;不论连接的是什么用户,均需通过VPN隧道的路径进入内部网络。

二、虚拟专用网VPN的安全技术:

(一)隧道技术:是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道,让数据包通过这条遂道传输。

(二)加解密技术:是数据通信中一项较成熟的技术,VPN可直接利用现有技术实现加解密。

(三)密钥管理技术:主要任务是如何在人公用数据网上安全地传送密钥而不被窃取。

(四)使用者与设备身份认证技术:使用者与设备身份认证技术最常用的是使用者与密码或卡片式认证行方式。

VPN范文篇6

关键词：图书馆网络互联vpn技术

0引言

随着Internet和信息技术的快速发展，人们越来越依赖Internet进行各种数据交换和信息存取，高校信息化建设也进一步完善，应用系统逐渐丰富，图书馆信息资源得到飞速的发展，现在教师的教学、科研都离不开图书馆信息资源。

然而对于图书馆来说，基于安全和知识产权的考虑，文献信息资源并不是无限制地对外开放，图书馆许多信息资源仅限校内访问。如图书馆所购买的电子资源，大部分只允许拥有校内IP地址的授权用户访问。这样，对于某些在校外通过拨号等方式上网却没有固定IP地址的用户，以及范围不在校园局域网内的宽带用户就很难利用到校园图书馆网上的文献资源。

此外，许多高校图书馆为了规范化管理，均采用统一的图书馆管理系统在校园网上支撑多校区图书馆业务，势必存在许多安全隐患，为了安全起见一般采用独立成网，但是这种做法费用高而且不灵活。若能在校园网的基础上架构一个安全、可靠的专用虚拟网络，专供图书馆管理系统使用，既廉价又方便。

本文介绍了运用VPN技术来解决以上问题的方案。

1VPN描述

1.1VPN的定义VPN（VirtualPrivateNetwork，虚拟专用网）是一种通过对网络数据进行封包和加密，在公网如因特网上传输私有数据，同时保证私有网络安全性的技术。它是利用公共网络资源和设备建立一个临时、安全、逻辑上的专用通道，尽管没有自己的专用线路，但是这个逻辑上的专用通道却可以提供和专用网络同样的功能[1]。

1.2VPN的主要特点

1.2.1网际互联安全性高[2]VPN技术继承了现有网络的安全技术，并结合了下一代IPv6的安全特性，通过隧道、认证、接入控制、数据加密技术，利用公网建立互联的虚拟专用通道，实现网络互联的安全。

1.2.2经济实用、管理简化[3]由于VPN独立于初始协议，用户可以继续使用传统设备，保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。

1.2.3可扩展性好[4]如果想扩大VPN的容量和覆盖范围，管理者只需与新加入的分馆签约，建立账户；或者与原有的下级组织重签合约，扩大服务范围。在远程地点增加VPN能力也很简单，几条命令就可以使Extranet路由器拥有因特网和VPN能力，路由器还能对工作站自动进行配置。

1.2.4支持多种应用由于VPN给我们提供了安全的通道，可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用，如IP语音，IP传真等。

1.2.5有效实现网络资源共建共享在网络安全的保证下和认证技术的支持下，可以实现整个VPN体系中互联单位的资源共建共享，避免资源重复开发带来的巨大浪费，甚至可以实现普通读者在家用ADSL来访问公共图书馆局域网络中的全文数据库。

2利用VPN实现图书馆网络互联

要实现对分布在不同地域的信息资源实行更为方便有效的统一规划与管理，并有效地利用各总馆与分馆的资源，进行内部业务交流和开展读者服务工作，必须解决两个问题：第一，要建立图书馆网络间的安全通道，保护链路的通讯安全。第二，要根据身份认证实现图书馆网络内部共享资源的访问控制。利用VPN技术将有效解决上述问题。

2.1采用自建方式构建VPN网络虽然可以通过ISP（InternetServiceProvider，网络服务提供商）的中心交换设备来构建专用通道，但公共图书馆内部局域网互联速度相对较快，所以图书馆VPN网络互联宜采用自建的方式。其优势如下：①多数公共图书馆都具备良好的计算机基础设施和内联局域网，接入因特网带宽有百兆、甚至千兆，而总馆在这方面的优势更加突出。在此基础上自建VPN，既便捷又经济。②能使图书馆互联网络对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全结构，集成和协调现有的内部安全技术。③开发额外的新的应用服务不用通过与ISP协商。图书馆信息技术应用人员可得到可持续性锻炼和培养。④可以根据需要来配置自己的安全策略，满足不同级别的安全需要。

2.2VPN类型的选择目前国内高校大多采用IPSec（IPSecurity）VPN技术来解决校外用户访问校图书馆问题。但由于IPSec协议最初是为了解决点对点的安全问题而制定的。因此在此基础上建立的远程接入方案面对越来越多终端站点时，已日渐显得力不从心。

在此情况下，SSL（SecruitySocketLayer）VPN技术应运而生。SSLVPN的突出优势在于Web安全和移动接入。它可以提供远程的安全接入，而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSLVPN公认的三大好处：一是它不需要配置，可以立即安装立即生效和使用；二是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；三是兼容性好，可以适用于任何的终端及操作系统。所有的校外用户只需要打开IE浏览器访问图书馆的InternetIP即可成功接入图书馆。

但SSLVPN并不能取代IPSecVPN，因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSecVPN是在两个局域网之间通过Intemet建立安全连接，是实现点对点之间的通信。并且，IPSec工作于网络层，不局限于Web应用。从高校应用来看，由于SSL接人方式下所有用户的访问请求都是从SSLVPN设备的LAN口发起的。对于那些对单个用户流量有严格限制的资源商来说，集群SSL用户的访问会被当成一个用户对待。这样当集群访问流量达到资源商限制的数值时，就极易造成该IP被禁用，从而导致所有SSL用户无法继续访问图书馆。

为解决这个问题，可以将图书馆大量的校外用户分为两类，一类是使用图书馆资源较为频繁、访问数据量较大的用户（比如教师，但用户数量少）；另一类则是使用次数较少、访问数据不多的用户（比如学生，但用户将数量多）。通过用户划分，我们给教师用户分配IPSec接入方式，这样就可以把大流量的用户分配到不同的IP地址上。避免IP流量过大造成IP被禁用问题；而将那些数量众多但访问量小的学生用户分配SSL接入方式。利用SSLVPN无需部署客户端的特性来降低客户端的维护工作量，从而实现VPN在图书馆应用的快速部署。

目前，许多VPN产品都能提供多种VPN接入形式，如：CiscoASA5500系列可以在单一平台上提供IPSec和基于SSL（SecureSocketsLayer，安全套协议）的VPN服务，避免了为SSL和IPSecVPN部署分立的平台而导致低效和成本增加。

2.3VPN支持的认证技术一个VPN系统应支持标准的认证方式，如基于机器特征码、数字证书技术、远程用户拨号认证系统（RADIUS，RemoteAuthenticationDialInUserService）认证、基于公开密钥基础设施（PKI，PublicKeyInfrastructure）[5]的证书认证以及逐渐兴起的生物识别技术等等。另外，还要提供基于用户组策略的认证。

2.4VPN接入控制的选择机制为了方便网络使用者（包括馆员、读者、管理部门等等）互联，所有局域网内部的用户都必须有使用VPN服务器的权限。因此，接入控制显得比其他两种隧道形式更为重要。可以采用两级的控制机制，粗度的接入控制交给VPN服务器来完成，VPN服务器上的安全策略数据库（SPD,SafetyPolicyDatabase）可以实现基于类似于用户组级别的控制，既把所有用户划分为不同等级的组来配置接入控制策略。细度的接入控制将由独立的认证服务器来完成，可以使局域网共享一个证书机构CA（CertificateAuthority，数字证书认证中心）和安全策略服务器，由它来管理和发放数字证书，实现对控制资源的访问。

2.5VPN数据安全采用分级处理方式数据安全包括数据加密、完整性检测和抗篡改。VPN技术在支持多种加密算法的同时还提供了对数据完整性进行检测的功能。在数据安全上，采用分级处理方式，对不同的等级的用户配置不同的数据安全策略，把用户分为普通级、普通加密级、高级加密级。对在普通级的用户通讯数据（例如：读者访问图书馆电子资源）配置为不使用任何加密的安全策略；普通加密级的通讯数据采用低位的加密和散列函数进行完整性检测安全策略；高级加密级的通讯数据可以采用多位的加密+散列函数的安全策略。

2.6VPN的设备选择对于设备的选择，可以根据自己的实际情况，结合已有网络的特点从可扩展性、效果、性能、价钱等进行分析衡量选配。最好选择集成防火墙功能的VPN产品，以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS（DenialofService，拒绝服务）攻击和入侵威胁，提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。

3总结

总之，VPN新技术综合传统数据网络的安全性和较好的服务质量，以及共享数据网络结构的简单和低成本，建立安全的数据通道，满足了用户对网络带宽、接入和服务不断增加的需求，在高校图书馆中构建以公众网为基础的虚拟专用网（VPN）系统，能有效解决当前高校图书馆资源的远程利用问题和资源统一管理问题。随着VPN技术的日益成熟，VPN必将成为未来图书馆互联网络的主要发展方向。

参考文献：

[1]焦青亮.虚拟网络VPN综述[J].黑龙江科技信息.2007(1):54.

[2]唐淑娟，秦一方，井向阳.VPN技术与图书馆资源远程利用[J].情报探索.2007(1):49-51.

[3]韩明明.VIP技术在高校图书馆中的应用探讨[J].高校图书情报论坛.2007(1):43-45.

VPN范文篇7

［关键词］PSecVPN；安全策略数据库；安全关联数据库；安全策略

1引言

随着Internet等公共网络的迅速发展和国际经济一体化的发展趋势，企业内部及企业间通过网络传递信息的需求越来越多。如何以最低的费用保障通信的安全与高效，是企业极其关注的问题。流行的解决方案是利用隧道技术，在Internet等不安全的公共网络上建立安全的虚拟专用网络，即虚拟专用网（VPN）。

IPSec是实现VPN的一种协议，正在得到越来越广泛的应用，将成为虚拟专用网的主要标准。尽管IPSec已经是一种包容极广、功能极强的IP安全协议，但却仍然不能算是适用于所有配置的一套极为完整的方案，其中仍然存在一些需要解决的问题。本文对IPSec相关协议进行分析的基础上，针对IPSec协议族在安全策略方面的不足，提出在远程访问模型中使用集中试策略管理，并对该管理系统进行了研究。

2IPSecVPN

IPSec协议为IPv4和IPv6提供可互操作的、高质量的、基于加密体制的安全方案。包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密和流量保密等安全服务。所有这些服务都建立在IP层，并保护上层的协议。这些服务通过使用两个安全协议：认证头AH[RFC2402]和封装安全载荷ESP[RFC2406]，以及通过使用加密密钥管理过程和协议来实现。这些加密密钥管理过程和协议包括Internet安全联盟（SA）和密钥管理协议（ISAKMP）[RFC2408]以及Internet密钥交换协议（IKE）[RFC2409]。

2.1认证头（AH）协议。协议的目的是用来增加IP数据包的安全性。AH协议提供无连接的完整性、数据源认证和抗重播保护服务。

2.2封装安全载荷（ESP）协议。协议的目的和认证头（AH）一样，是用于提高IP的安全性。ESP提供数据保密、数据源认证、无连接完整性、抗重播服务和有限的数据流保护。

AH和ESP协议都支持两种工作模式：传输模式和隧道模式。传输模式为上层协议提供安全保护，保护的是IP包的有效载荷或者说保护的是上层协议（如TCP、UDP和ICMP）。隧道模式是为整个IP包提供保护。

2.3Internet安全联盟密钥管理协议（ISAKMP）。协议定义了协商、建立、修改和删除SA的过程和包格式。ISAKMP提供了一个通用的SA属性格式框架和一些可由不同密钥交换协议使用的协商、修改、删除SA的方法。ISAKMP被设计为密钥交换无关的协议；并没有让它受限于任何具体的密钥交换协议、密码算法、密钥生成技术或认证机制。

2.4IKE。IKE是一个以受保护的方式为SA协商并提供经认证的密钥信息的协议。IKE是一个混合协议，它使用到了三个不同协议的相关部分：Internet安全联盟和密钥管理协议（ISAKMP）[MSST98]、Oakley密钥确定协议[Orm98]和SKEME[Kra96]。IKE为IPSec双方提供用于生成加密密钥和认证密钥的密钥信息。同样，IKE使用ISAKMP为其他IPSec（AH和ESP）协议协商SA。

2.5安全联盟(SA)。SA的概念是IPSec密钥管理的基础。AH和ESP都使用SA，而且IKE协议的主要功能就是建立和维护SA。SA是两个通信实体经过协商建立起来的一种简单的“连接”，规定用来保护数据的IPSec协议类型、加密算法、认证方式、加密和认证密钥、密钥的生存时间以及抗重播攻击的序列号等，为所承载的流量提供安全服务。

IPSec的实现必须维护以下两个与SA相关的数据库：安全策略数据库（SPD），指定给IP数据流提供的安全服务，主要根据源地址、目的地址、入数据还是出数据等确定。SPD有一个排序的策略列表，针对入数据和出数据有不同的数据项。这些数据项可以指定某些数据流必须绕过IPSec处理，一些必须被丢弃或经过IPSec处理等策略；安全联盟数据库（SAD）,包含每一个SA的参数信息，如AH或ESP算法和密钥、序列号、协议模式以及SA的生命周期。对于出数据的处理，有一个SPD数据项包含指向某个SAD数据项的指针。也就是说，SPD决定了一个特定的数据包使用什么样的SA。对于入数据的处理，由SAD来决定如何对特定的数据包作处理。

3IPSec策略管理分析与设想

3.1IPSecVPN中的策略管理

在一个IPSec中，IPSec功能的正确性完全依据安全策略的正确制定与配置。传统的方法是通过手工配置IPSec策略，这种方式在大型的分布式网络中存在效率低、易出错等问题。而一个易出错的策略将可能导致通讯的阻塞和严重的安全隐患。而且，既使每个安全域策略的制订是正确的，也可能会在不同的安全域中，由于策略之间的交互，出现在局部范围内安全策略的多样性，从而造成端到端间通讯的严重问题。根据以上协议建立起来的基于IPSec的VPN，当主机使用动态地址接入，发起VPN连接时。主机将使用协商好的SA处理的数据包发送到网关。网关接收到数据包后，使用相应的SA处理数据包，而后进行载荷校验。这时，在载荷校验过程中，会因为没有将新协商而建立起来的SA的数据项与SPD连接在一起，而造成不能通过载荷校验。而且，当网关需要给主机发送数据时，并不能在SPD中通过使用目的地址检索到相应的安全策略。因为，主机是动态地址，每次发送时使用的地址都有可能变化。如果发生这样的状况，那么由传输层交给IPSec模块的数据包将会被丢弃。也就是说，网关将不能通过VPN隧道向主机发送数据。这个问题显然是由于SPD数据的更新问题所引起的。因此，必须构建一个安全策略系统来系统地管理和验证各种IPSec策略。

3.2远程访问模型中策略系统的构想

构建一个策略系统，需要解决策略的定义、存取、管理、交换、验证、发现机制等问题以及系统自身的安全性问题。其中策略的表示和策略在动态交换中的安全性问题是系统的核心问题。目前RFC尚未制定关于策略系统的标准，因此还没有成熟的实现方案。

现在较为流行的方案是：策略系统由四个部分组成——安全策略仓库、策略服务器、安全网关、策略客户端。其中安全策略仓库（Repository）用于存储策略信息，能对系统中的策略进行汇总。它可以是目录服务器或数据库服务器，除了储存管理员已经编辑好的策略信息，还可以存储其它的网络信息和系统参数。策略决策点（PolicyDecisionPoint，PDP）通常也被称为策略服务器，是整个系统的决策中心。它负责存取策略仓库中的策略，并根据策略信息做出决策，然后将相应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突，从而采取应对措施。策略执行点（PolicyEnforcementPoint，PEP）是接受策略管理的网络实体，通常也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备，负责执行由策略决策点分配来的策略。同时它还向策略决策点发送信息，使策略决策点知道网络的变化以及策略的执行情况。服务器利用LDAP（轻量级目录访问协议）与数据库交互，安全网关通过COPS（普通开放式策略服务协议）与服务器交互，策略服务器之间以及服务器与客户端之间通过SPP（安全策略协议）进行通讯。

而在远程访问的模式下，只有公司总部一端设置了安全网关和策略服务器。所以可以把前面提到的方案进行改进，应用到远程访问模型中。

因此，可以将安全策略仓库放置在策略服务器上，而策略服务器与安全网关相连。安全策略仓库中存储了一些永久信息，策略服务器可以依据这些信息做出相关的策略决定。安全策略仓库最好采用LDAP这一类的标准目录机制来进行策略存。策略服务器负责使用策略决议方法来完成策略制订。

把安全网关和远程访问主机作为策略客户端。当策略客户端启动的时候，需要自动访问策略服务器，读取关于自己的安全策略。此外，当策略服务器改变了某些安全策略时，就需要通知相关的策略客户端访问策略服务器来更新策略。策略客户端必须实行本地保存策略，这是因为它必须知道哪些数据包实施了安全保护，哪些没有。如果策略没有进行本地保存，内核的各个数据包就会找不到这个策略，内核就必须调用策略客户端（这个客户机必须依次与存储中心联系）和密钥管理协议。另外，还要更新内核策略。这样，就会导致最初几个数据包出现令人难以接受的延迟。

策略分配机制必须是安全的。策略下载的服务器应该是通过验证的。除此以外，对该服务器的访问也应该是有限制的。如果这一条遭到破坏，网络的安全就会大受威胁。我们仍然使用COPS在客户端与策略服务器之间交换策略信息。

VPN范文篇8

VPN是一种网络专用技术，简称虚拟专用网。其基本原理是将访问控制技术、加密技术和网络技术综合运用，并通过一定的管理机制，利用公共网络中的隧道来建立“安全”的连接，从而达到传输私有数据的目的。在经历过三代VPN技术的发展和完善之后，第四代VPN技术不但可以满足各网络设备生产商、软件开发商的市场需求，而且也能充分实现企业，机构，组织等客户的应用需求。

1VPN技术的安全性

众所周知的是，互联网不仅是一个开放性极强的大数据网络，而且也是具有很多安全隐患的网络。通常，在Internet上传输数据都是用明文的方式进行。例如：HTTP，FTP，TFTP，POP，SMTP等。类似这种方式的传输容易泄露数据内容，源地址等，如果被不道德的人利用，其后果是不堪设想的。VPN技术就能很好的解决这些问题，VPN系统采用复杂的算法来加密传输信息，安全性更加可靠，其安全优势在于四大技术。（1）隧道技术VPN隧道技术是通过隧道协议形成的，隧道协议又分为多层（数据链层协议和网络层协议）隧道协议，通过传输载体和不同的封装风格对数据进行压缩、密封及包装来实现对用户真实数据的隐藏。经过处理的数据只能是源用户和目的用户可以解压查看，而其他人却无法获取。（2）加解密技术为了确保数据在VPN中传输是不被非法获取者截取、浏览和修改，打包数据都需要使用密码来进行包装，当数据包从源地址出发后，该数据包首先被用户端连接到互联网上的路由器进行硬件加密，数据包在互联网上是以加密的形式传送的，当达到目的地址时，该路由器就会对数据包进行解密，从而目的用户就可以查看数据了。（3）密匙管理技术密匙管理技术的主要功能是使数据在公用网上安全的传递密匙而不被发现，现行的密匙管理技术又分为SKIP和ISAKMP/OAKLEY两种。系统对于硬件系统的保护是系统安全的一个重要指标，但是对软件的保护也是极为重要，尤其是对密匙的保护。（4）使用者与设备身份认证技术使用者与设备身份认证技术又可分为单因素认证和双因素认证两种，最常见的就是用户名和密码认证。除此之外，简单口令如询问握手协议CHAP和硬件数字证书USBKEY、生物识别技术、动态密码也是VPN常用的认证技术。VPN系统认证中，核心技术是IPSEC、和IKE协议，他们能灵活的将加密、认证和密匙管理控制等结合到一起，为Internet提供安全、标准可靠的网络环境。通过这些技术VPN使用户级和设备级的安全性更加可信。

2VPN在高校网中的网络特点及应用

随着信息化时代的降临，网络成为生活的一部分，特别是在大学生对互联网越来越依赖，已经成为了当代网民中的一支主力军，对其运用也是十分熟悉。由于网络传播的迅速性、互动性、自由行、开放性，如何控制好校园网络，减少其带来的负面影响，更好的将互联网的优势发挥到极致成为很多高校管理互联网的一个主要问题。下面就来说一下高校网的一些特点。

2.1高校的网络概况及特点

随着高等教育向大众化推进，高等学校规模越来越大，现在很多高校都有多个校区，多校区管理使各校区图书馆的交流出现阻力，在各个校区图书馆和办公室之间如何进行及时的交流，更加有效的管理大量的信息是首要问题。VPN技术在高校网络中扮演着重要的角色。其设备部署在校区的网络出口位置，上连互联网的出口线路，在不同校区节点之间使用IPSECVNP方式，从而实现不同校区之间的移动办公，还可以进行校际交流。

2.2VPN在高校网中的应用

当前的图书馆管理系统大多是采用C/S两层结构体系，不能直接在校园网上运行。VPN技术和路由的多通路应用解决了诸多问题。首先，VPN有对图书馆的流通数据、数目数据、读者信息等的保护作用，有效的提高了校园网络的安全性。其次，在不同的校区图书馆之间应用专用网络会带来很多麻烦，例如网络信息共享问题，但是应用VPN技术就能很好的解决这些问题，为图书馆之间的管理带来便宜。最方便的一点是相对比其他的浏览器，VPN是通过大众化的web浏览器进行浏览，只需要输入账户、密码和地址，而不需要改变原来的网络设置就可以实现数据之间的安全访问。降低了使用的复杂程度和经济成本，提高使用效率。

3VPN和路由的关系及其设置

3.1VPN和路由器的区别

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接。可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。路由器：连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器英文名Router，路由器是互联网络的枢纽、"交通警察"。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由器具有交换机的使用功能，即可以通过路由技术用一根线连接到外网。而VPN是一种技术和功能。一般来讲，现在很多的路由器都含有VPN技术的功能，但交换机基本是不含有的。我们可以把VPN比作成一种隧道技术，在公网环境下，建设一条隧道点对点，以此来实现相应所需的连接。两者之间各有优缺点，相比之下，在安全性方面VPN更有优势。

3.2路由设置

局域网是路由的首要前提条件，路由器的放置地点要选在所使用范围的中央区域，以此来保证所有人都能使用到，避免顾此失彼。其次需要考虑上级接入点的位置。首先打开浏览器，在地址栏中输入192.168.1.1进入无线路由器的设置界面。默认的登录用户名和密码都是admin。根据提示操作以后会遇到IP地址等设置问题，IP设置为192.168.1.2子网为255.255.255.0网关为192.168.1.1IP网段设置在192.168.1.2-192.168.1.254之间都是可以的，但不能在多台电脑设置同一IP地址，防止引起IP地址的冲突。所有的设置都就绪之后，进入路由器中，找到DHCP选项，激活固定的IP和能用的网段，这样就可以成功使用路由器了。

4VPN和路由组成的内网的安全访问和通路扩展

VPN技术和路由组成的内网安全体系共有三种应用方案：AccessVPN、IntranetVPN、ExtranetVPN。这三种不同的应用方案适用于不同的安全访问服务。通常，内部网的安全构架是由AccessVPN和IntranetVPN组成的。内部网的安全体系中的技术会对应用系统数据进行加密，从而保证数据传输过程中的安全性，除此之外还使用了防火墙和NET设备来对校园网内部进行保护。这样的设置安全性增加了，可与此同时访问难度也相应增加了，但是VPN和路由多通路技术构建在传输层之上，所以能够游历所有的防火墙和NET设备，保证了用户能随时连入校园网。

5结束语

现在，VPN和路由的多通路技术已经成为各大高校网络应用中的热点，其安全访问的优点为校园网络带来便宜，尤其是在多校区之间其应用优势更加明显。本文主要分析了VPN技术和路由多通的优缺点及其在高校中的应用，展现了他们的安全性、可靠性。相信VPN和路由多通路技术的强大优势会在越来越多的企业、组织、机构会使用。

作者:范兆忠 魏跃堂 单位:西安交通大学

引用：

VPN范文篇9

（etwork）即虚拟专用网络指的依靠ISP（Internet服务提供商）和其他SP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术通过对网络数据的封装和加密传输在公用网络上传输私有数据的专用网络在隧道的发起端（即服务端）用户的私有数据经过封装和加密之后在Internet上传输到了隧道的接收端（即客户端）接收到的数据经过拆封和解密之后安全地到达用户端。

可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境企业网络在互联网上的延伸该技术通过隧道加密技术达到类似私有网络的安全数据传输功能具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点它能够提供Internet远程访问通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来构成一个扩展的公司企业网此外它还提供了对移动用户和漫游用户的支持使网络时代的移动办公成为现实。

随着互联网技术和电子商务的蓬勃发展基于Internet的商务应用在企业信息管理领域得到了长足发展根据企业的商务活动需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网从而简化信息传递的路径加快信息交换的速度提高企业的市场响应速度和决策速度同时围绕企业自身的发展战略企业的分支机构越来越多企业需要与各分支机构之间建立起信息相互访问的渠道面对越来越复杂的网络应用和日益突出的信息处理问题技术无疑给我们提供了一个很好的解决思路可以帮助远程用户同公司的内部网建立可信的安全连接并保证数据的安全传输通过将数据流转移到低成本的网络上大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间降低了企业局域网和Internet安全对接的成本的应用建立在一个全开放的Internet环境之中这样就大大简化了网络的设计和管理满足了不断增长的移动用户和Internet用户的接入以实现安全快捷的网络连接。

2基于Internet的网络架构及安全性分析

技术类型有很多种在互联网技术高速发展的今天可以利用Internet网络技术实现服务器架构以及客户端连接应用基于Internet环境的技术具有成本低、安全性好、接入方便等特点能够很好的满足企业对的常规需求。

2.1Internet环境下的网络架构Internet环境下的网络包括服务器、客户端、连接、隧道等几个重要环节在服务器端用户的私有数据经过隧道协议和和数据加密之后在Internet上传输通过虚拟隧道到达接收端接收到的数据经过拆封和解密之后安全地传送给终端用户最终形成数据交互基于Internet环境的企业网络拓扑。

技术安全性分析技术主要由三个部分组成：隧道技术数据加密和用户认证隧道技术定义数据的封装形式并利用IP协议以安全方式在Internet上传送；数据加密保证敏感数据不会被盗取；用户认证则保证未获认证的用户无法访问网络资源的实现必须保证重要数据完整、安全地在隧道中进行传输因此安全问题技术的核心问题目前的安全保证主要通过防火墙和路由器配以隧道技术、加密协议和安全密钥来实现的以此确保远程客户端能够安全地访问服务器。

在运行性能方面随着企业电子商务活动的激增信息处理量日益增加网络拥塞的现象经常发生这给性能的稳定带来极大的影响因此制定方案时应考虑到能够对网络通信进行控制来确保其性能我们可以通过管理平台来定义管理策略分配基于数据传输重要性的接口带宽这样既能满足重要数据优先应用的原则又不会屏蔽低优先级的应用考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长对与复杂的网络管理、网络安全、权限分配的综合处理能力方案应用的关键因此方案要有一个固定的管理策略以减轻管理、报告等方面的负担管理平台要有一个定义安全策略的简单方法将安全策略进行合理分布并能管理大量网络设备确保整个运行环境的安全稳定。

3Windows环境下网络的设计与应用

企业利用Internet网络技术和Windows系统设计出网络无需铺设专用的网络通讯线路即可实现远程终端对企业资源的访问和共享在实际应用中服务端需要建立在Windows服务器的运行环境中客户端几乎适用于所有的Windows操作系统下面以Windows2003系统为例介绍服务器与客户端的配置。

3.1Windows2003系统中服务器的安装配置在Windows2003系统中服务称之为“路由和远程访问”需要对此服务进行必要的配置使其生效。

服务的配置桌面上选择“开始”→“管理工具”→“路由和远程访问”打开“路由和远程访问”服务窗口；鼠标右键点击本地计算机名选择“配置并启用路由和远程访问”；在出现的配置向导窗口点下一步进入服务选择窗口；标准配置需要两块网卡（分别对应内网和外网）选择“远程访问（拨号或）”；外网使用的Internet拨号上网因此在弹出的窗口中选择“”；下一步连接到Internet的网络接口此时会看到服务器上配置的两块网卡及其IP地址选择连接外网的网卡；在对远程客户端指派地址的时候一般选择“来自一个指定的地址范围”根据内网网段的IP地址新建一个指定的起始IP地址和结束IP地址最后“设置此服务器与RADIUS一起工作”选否服务器配置完成。

3.1.2赋予用户拨入权限设置默认的系统用户均被拒绝拨入到服务器上因此需要为远端用户赋予拨入权限在“管理工具”中打开“计算机管理”控制台；依次展开“本地用户和组”→“用户”选中用户并进入用户属性设置；转到“拨入”选项卡在“选择访问权限(拨入或)”选项组下选择“允许访问”即赋予了远端用户拨入服务器的权限。

客户端配置客户端适用范围更广这里以Windows2003为例说明其它的Windows操作系统配置步骤类似在桌面“网上邻居”图标点右键选属性之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”；在网络连接方式窗口里选择“虚拟专用网络连接”；接着为此连接命名后点下一步；在“服务器选择”窗口里输入服务端地址可以固定IP也可以服务器域名；点下一步依次完成客户端设置在连接的登陆窗口中输入服务器所指定的用户名和密码即可连接上服务器端。

3.3连接后的共享操作当客户端拨入连接以后即可访问服务器所在局域网里的信息资源就像并入局域网一样适用远程用户既可以使用企业RP等信息管理系统也可以使用文件共享和打印等共享资源。

VPN范文篇10

【关键词】VPN隧道IPSecQoS

1概述

虚拟专用网(简称VPN)是一种利用公共网络来构建私有数据传输通道，将远程的用户端连接起来，提供端到端的服务质量（QoS）保证以及安全服务的私有专用网络。目前，能够用于构建VPN的公共网络包括Internet和服务提供商(ISP)所提供的DDN专线、帧中继(FR)、ATM等，构建在这些公共网络上的VPN将给企业提供集安全性、可靠性、可管理性、互操作性于一身的私有专用网络。

2VPN的要求

2.1安全性

VPN提供用户一种私人专用的感觉，因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在IntranetVPN中，要有高强度的加密技术来保护敏感信息；在远程访问VPN中要有对远程用户可靠的认证机制。

2.2性能

VPN要发展，其性能至少不应该低于传统方法。尽管网络速度不断提高，但在Internet时代，随着电子商务活动的激增，网络拥塞经常发生，这给VPN性能的稳定带来极大的影响。因此，VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台，管理员定义管理策略来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能，又不会“饿死”低优先级的应用。

2.3管理问题

由于网络设施、应用不断增加，网络用户所需的IP地址数量持续增长，对越来越复杂的网络进行管理，网络安全处理能力的大小是VPN解决方案好坏至关紧要的区分。因此，VPN要有一个固定的管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全策略的简单方法，将安全策略进行分布，并管理大量设备。

2.4互操作

在ExtranetVPN中，企业要与不同的客户及合作伙伴建立联系，VPN解决方案也会不同。因此，企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec（Internet安全协议）、PPTP（点到点隧道协议）、L2TP（第二层隧道协议）等。

3VPN的实现技术

3.1隧道技术

VPN区别于一般网络互联的关键是隧道的建立，然后数据包经过加密，按隧道协议进行封装、传送以保证安全性。

现有两种类型的隧道协议，一种是二层隧道协议，用于传输第二层网络协议，它主要应用于构建远程访问VPN；另一种是三层隧道协议，用于传输第三层网络协议，它主要应用于构建IntranetVPN和ExtranetVPN。

3.2加密技术

数据加密的基本思想是通过变换信息的表示形式来伪装需要(贵.州,学.习,网)保护的敏感信息，使非授权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES强度比较高，可用于保护敏感的商业信息。

加密技术可以在协议栈的任意层进行，可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中，VPN安全粒度达到个人终端系统的标准；而“隧道模式”方案，VPN安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此，所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。

3.3QoS技术

通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足企业的要求，这就要加入QoS技术。实行QoS应该在主机网络中，即VPN所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。

QoS机制具有通信处理机制以及供应和配置机制。网络资源是有限的，有时用户要求的网络资源得不到满足，管理员基于一定的策略进行QoS机制配置，通过QoS机制对用户的网络资源分配进行控制以满足应用的需求，这些QoS机制相互作用使网络资源得到最大化利用，同时又向用户提供了一个性能良好的网络服务。

除了这3种主要技术以外，还有如备份技术，流量控制技术，包过滤技术，网络地址转换技术，抗击打能力和网络监控和管理技术等。

4VPN的应用模式

4.1远程访问

为克服传统远程访问的问题，推出了基于VPN的远程访问解决方案。如图1所示，这种方案充分利用了公共基础设施和ISP，远程用户通过ISP接入Internet，再穿过Internet连接与Internet相连的企业VPN服务器，来访问位于VPN服务器后面的内部网络。一旦接入VPN服务器，就在远程用户与VPN服务器之间建立一条穿越Internet的专用隧道连接。这样，远程客户到当地ISP的连接和VPN服务器到当地ISP的连接都是本地网内通信，虽然Internet不够安全，但是由于采用加密技术，远程客户到VPN服务器之间的连接是安全的。

4.2远程网络互联

基于VPN的网络互联已成为一种热门的新型WAN技术，它利用专用隧道取代长途线路来降低成本，提高效率。两端的内部网络通过VPN服务器接入本地网内的ISP，通过Internet建立虚拟的专用连接，如图2所示。特别是宽带网业务的发展，为基于VPN的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。