VPN技术范文10篇
时间:2023-03-17 20:14:17 版权声明
VPN技术范文篇1
关键词VPN;虚拟专用网;SSLVPN;IPSecVPN
1引言
VPN(VirtualPrivateNetwork)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
2隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,如图1所示。
图1
现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
3军队院校校园网建设VPN技术应用设想
随着我军三期网的建设,VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先,军队的特殊性要求一些信息的传达要做到安全可靠,采用VPN技术会大大提高网络传输的可靠性;第二,军队院校不但有各教研室和学员队,还包括保障部队、管理机构等,下属部门较多,有些部门相距甚至不在一个地方,采用VPN技术可简化网络的设计和管理;第三,采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。
而VPN技术的特点正好能够满足以上几点需求。首先是安全性,VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP),并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据,还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。第二,在解决异地访问本地电子资源问题上,这正是VPN技术的主要特点之一,可以让外地的授权用户方便地访问本地的资源。目前,主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术,它能够更加有效地进行访问控制,而且安全易用,不需要高额的费用。该技术主要具有以下几个特点:第一,安全性高;第二,便于扩展;第三,简单性;第四,兼容性好。
我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好,由于IPSecVPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSecVPN网关,它可以在内部为所欲为。因此,IPSecVPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全,而SSLVPN则是接入企业内部的应用,而不是企业的整个网络。它可以根据用户的不同身份,给予不同的访问权限,从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构,安全保密应该是主要考虑的方面之一。第二,SSLVPN与IPSecVPN相比,具有更好的可扩展性。可以随时根据需要,添加需要VPN保护的服务器。而IPSecVPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSecVPN就要重新部署。第三,操作的复杂度低,它不需要配置,可以立即安装、立即生效,另外客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行。第四,SSLVPN的兼容性很好,而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。此外,使用SSLVPN还具有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入;但是对于IPSecVPN来说,每增加一个需要访问的分支就需要添加一个硬件设备。
虽然SSLVPN的优点很多,但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个局域网之间通过网络建立的安全连接,保护的是点对点之间的通信,并且,IPSecVPN工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。可用于军校之间建立虚拟专用网,进行安全可靠的信息传送。
4结论
总之,VPN是一项综合性的网络新技术,目前的运用还不是非常地普及,在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求,VPN技术将会发挥其应有的作用。
参考文献
VPN技术范文篇2
摘要:重点分析了VPN的实现技术。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看VPN技术无疑是一种不错的选择。下面就VPN技术的实现做一下粗浅的分析:
1VPN简介
虚拟专用网(VirtuaIPrivateNetwork,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
VPN可分为三大类:(1)企业各部门与远程分支之间的In-tranetVPN;
(2)企业网与远程(移动)雇员之间的远程访问(Re-moteAccess)VPN;
(3)企业与合作伙伴、客户、供应商之间的ExtranetVPNo;
在ExtranetVPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPointTunnelingProtocol,PPTP)、第二层隧道协议(layer2TunnelingProtocol,I,2TP)等。
2VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
2.1VPN访问点模型
首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。
2.2隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation,GRE)I,2TP和PPTPo。
(1)GRE
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol,NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。
GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。
(2)L2TP和PPTP
L2TP是L2F(Layer2Forwarding)和PPT’I〕的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPT’I〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(NetworkAccessServer)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过Modem与NAS建立连接;b.用户通过NAS的L2TP接入服务器身份认证;;c.在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;d.用户与L2TP接入服务器之间建立一条点到点协议(PointtoPointProtocol,PPP)访问服务隧道;e.用户通过该隧道获得VPN服务。
与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;b.用户通过路由信息定位PPTP接入服务器;c.用户形成一个PPTP虚拟接口;d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;e.用户通过该隧道获得VPN服务。
在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。砚TP比PPTP更安全,因为砚TP接入服务器能够确定用户从哪里来的。砚TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。
2.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESoRC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
2.4QoS技术
VPN技术范文篇3
一、现代金融网络系统典型架构及其安全现状
就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。
从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。
由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。
就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御,这些都是金融管理信息系统亟待解决的安全问题。
二、现代金融网络面临的威胁及安全需求
目前金融系统存在的网络安全威胁,就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,而实施安全攻击的人员则可能是外部人员,也可能是机构内部人员。
针对信息的攻击是最常见的攻击行为,信息攻击是针对处于传输和存储形态的信息进行的,其攻击地点既可以在局域网内,也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;犯罪者也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端层出不穷,而未公开案例与之相比更是数以倍数。
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,为了照顾使用的方便性而忽略了安全性,导致许多安全漏洞的产生,如果再考虑到某些软件供应商出于政治或经济的目的,可能在系统中预留“后门”,因此必须采用有效的技术手段加以预防。
针对使用者的攻击是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并可在事后嫁祸他人或毁灭证据,导致此类攻击难以取证。
针对资源的攻击是以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击,即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。
金融的安全需求安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。
必须指出:网络信息系统是由人参与的信息环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。
三、网络安全基本技术与VPN技术
解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护,在现代金融的网络安全的应用上起着非常关键的作用。
虚拟专用网络(VPN:VirtualPrivateNetwork)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,金融机构只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全的传递信息;另外,金融机构还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全的连接进入金融机构网络中,进行各类网络结算和汇兑。
综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公共的网络基础设施上建立安全的虚拟专用网络系统,可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。
当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高,适应性差,无统一标准等缺陷,又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势,成为目前和今后金融安全网络发展的一个必然趋势。公务员之家
从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网;虚拟专用拨号网络是使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件:保证数据的真实性,通讯主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
VPN技术范文篇4
关键词:虚拟专用网VPN远程访问网络安全
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、VPN技术简介
VPN(VirtualPrivateNetwork)即虚拟专用网络,指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和Internet用户的接入,以实现安全快捷的网络连接。
二、基于Internet的VPN网络架构及安全性分析
VPN技术类型有很多种,在互联网技术高速发展的今天,可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用,基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对VPN的常规需求。
2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。
2.2VPN技术安全性分析VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、Windows环境下VPN网络的设计与应用
企业利用Internet网络技术和Windows系统设计出VPN网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,VPN服务端需要建立在Windows服务器的运行环境中,客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。
3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1VPN服务的配置。桌面上选择“开始”→“管理工具”→“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或VPN)”;外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”→“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,即赋予了远端用户拨入VPN服务器的权限。
3.2VPN客户端配置VPN客户端适用范围更广,这里以Windows2003为例说明,其它的Windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“VPN服务器选择”窗口里,输入VPN服务端地址,可以是固定IP,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。公务员之家:
3.3连接后的共享操作当VPN客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业OA,ERP等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献:
VPN技术范文篇5
顾名思义所谓的虚拟,是指我们电子商务网络用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路;所谓专用网络,是指用户可以为自己制定Internet最符合自己需求的网络。虚拟专用网Internet一般指的是构建在Internet上能够自我管理的专用网络,而不是FR或ATM等提供虚拟固定线路服务的网络。以IP为主要通信协议的VPN,也可称之为IP-VPN。由于VPN是在Internet定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。为了让广大网络用户进一步了解VPN网络技术,下面我们具体的介绍分析一下虚拟专用网VPN的特点、安全技术及其发展趋势。
一、虚拟专用网VPN的本质特点:
(一)建网成本较低
VPN在设备的使用量及广域网络的频宽使用上,均比专线式的架构节省,故能使网络的总成本(TotalCostofOwnership)降低。根据分析,在LAN(局域网)-to-LAN(局域网)连接时,用VPN较使用专线的成本节省30%~50%左右;而就远程访问而言,用VPN更能比直接拨入到企业内部网络节省60%~80%的成本。
(二)网络之间可扩充性好且灵活性高
VPN较专线式的架构有弹性,当有必要将网络扩充或是变浅谈VPN技术在电子商务中的应用文/段丽更网络架构时,VPN可以轻易的达到目的,VPN(特别是硬件VPN)的平台具备完整的扩展性,大至企业总部的设备,小至各分公司,甚至个人拨号用户,均可被包含于整体的VPN架构中,同时,VPN的平台亦具有对未来广域网络频宽扩充及连接更新架构的特性,可以说实用性较强。
(三)良好的安全性
有一个很好的的安全保障:能实现不同等级的服务质量保证认可。VPN架构中采用了多种安全机制,如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(IntrusionDetection)等技术,通过上述的各项网络安全技术,确保资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。
(四)管理方便
VPN有很好的可管理性,用户可以根据自己的实际需要进行特定的管理。从用户的角度和运营商角度应可方便地进行管理、维护。VPN使用了较少的设备来建立网络,使网络的管理较为轻松;不论连接的是什么用户,均需通过VPN隧道的路径进入内部网络。
二、虚拟专用网VPN的安全技术:
(一)隧道技术:是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道,让数据包通过这条遂道传输。
(二)加解密技术:是数据通信中一项较成熟的技术,VPN可直接利用现有技术实现加解密。
(三)密钥管理技术:主要任务是如何在人公用数据网上安全地传送密钥而不被窃取。
(四)使用者与设备身份认证技术:使用者与设备身份认证技术最常用的是使用者与密码或卡片式认证行方式。
VPN技术范文篇6
关键词:图书馆网络互联vpn技术
0引言
随着Internet和信息技术的快速发展,人们越来越依赖Internet进行各种数据交换和信息存取,高校信息化建设也进一步完善,应用系统逐渐丰富,图书馆信息资源得到飞速的发展,现在教师的教学、科研都离不开图书馆信息资源。
然而对于图书馆来说,基于安全和知识产权的考虑,文献信息资源并不是无限制地对外开放,图书馆许多信息资源仅限校内访问。如图书馆所购买的电子资源,大部分只允许拥有校内IP地址的授权用户访问。这样,对于某些在校外通过拨号等方式上网却没有固定IP地址的用户,以及范围不在校园局域网内的宽带用户就很难利用到校园图书馆网上的文献资源。
此外,许多高校图书馆为了规范化管理,均采用统一的图书馆管理系统在校园网上支撑多校区图书馆业务,势必存在许多安全隐患,为了安全起见一般采用独立成网,但是这种做法费用高而且不灵活。若能在校园网的基础上架构一个安全、可靠的专用虚拟网络,专供图书馆管理系统使用,既廉价又方便。
本文介绍了运用VPN技术来解决以上问题的方案。
1VPN描述
1.1VPN的定义VPN(VirtualPrivateNetwork,虚拟专用网)是一种通过对网络数据进行封包和加密,在公网如因特网上传输私有数据,同时保证私有网络安全性的技术。它是利用公共网络资源和设备建立一个临时、安全、逻辑上的专用通道,尽管没有自己的专用线路,但是这个逻辑上的专用通道却可以提供和专用网络同样的功能[1]。
1.2VPN的主要特点
1.2.1网际互联安全性高[2]VPN技术继承了现有网络的安全技术,并结合了下一代IPv6的安全特性,通过隧道、认证、接入控制、数据加密技术,利用公网建立互联的虚拟专用通道,实现网络互联的安全。
1.2.2经济实用、管理简化[3]由于VPN独立于初始协议,用户可以继续使用传统设备,保护了用户在现有硬件和软件系统上的投资。由于VPN可以完全管理,并且能够从中央网站进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销和安全配置。
1.2.3可扩展性好[4]如果想扩大VPN的容量和覆盖范围,管理者只需与新加入的分馆签约,建立账户;或者与原有的下级组织重签合约,扩大服务范围。在远程地点增加VPN能力也很简单,几条命令就可以使Extranet路由器拥有因特网和VPN能力,路由器还能对工作站自动进行配置。
1.2.4支持多种应用由于VPN给我们提供了安全的通道,可以把目前在局域网上的应用直接运用在广域网上。VPN则可以支持各种高级的应用,如IP语音,IP传真等。
1.2.5有效实现网络资源共建共享在网络安全的保证下和认证技术的支持下,可以实现整个VPN体系中互联单位的资源共建共享,避免资源重复开发带来的巨大浪费,甚至可以实现普通读者在家用ADSL来访问公共图书馆局域网络中的全文数据库。
2利用VPN实现图书馆网络互联
要实现对分布在不同地域的信息资源实行更为方便有效的统一规划与管理,并有效地利用各总馆与分馆的资源,进行内部业务交流和开展读者服务工作,必须解决两个问题:第一,要建立图书馆网络间的安全通道,保护链路的通讯安全。第二,要根据身份认证实现图书馆网络内部共享资源的访问控制。利用VPN技术将有效解决上述问题。
2.1采用自建方式构建VPN网络虽然可以通过ISP(InternetServiceProvider,网络服务提供商)的中心交换设备来构建专用通道,但公共图书馆内部局域网互联速度相对较快,所以图书馆VPN网络互联宜采用自建的方式。其优势如下:①多数公共图书馆都具备良好的计算机基础设施和内联局域网,接入因特网带宽有百兆、甚至千兆,而总馆在这方面的优势更加突出。在此基础上自建VPN,既便捷又经济。②能使图书馆互联网络对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。③开发额外的新的应用服务不用通过与ISP协商。图书馆信息技术应用人员可得到可持续性锻炼和培养。④可以根据需要来配置自己的安全策略,满足不同级别的安全需要。
2.2VPN类型的选择目前国内高校大多采用IPSec(IPSecurity)VPN技术来解决校外用户访问校图书馆问题。但由于IPSec协议最初是为了解决点对点的安全问题而制定的。因此在此基础上建立的远程接入方案面对越来越多终端站点时,已日渐显得力不从心。
在此情况下,SSL(SecruitySocketLayer)VPN技术应运而生。SSLVPN的突出优势在于Web安全和移动接入。它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSLVPN公认的三大好处:一是它不需要配置,可以立即安装立即生效和使用;二是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;三是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开IE浏览器访问图书馆的InternetIP即可成功接入图书馆。
但SSLVPN并不能取代IPSecVPN,因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个局域网之间通过Intemet建立安全连接,是实现点对点之间的通信。并且,IPSec工作于网络层,不局限于Web应用。从高校应用来看,由于SSL接人方式下所有用户的访问请求都是从SSLVPN设备的LAN口发起的。对于那些对单个用户流量有严格限制的资源商来说,集群SSL用户的访问会被当成一个用户对待。这样当集群访问流量达到资源商限制的数值时,就极易造成该IP被禁用,从而导致所有SSL用户无法继续访问图书馆。
为解决这个问题,可以将图书馆大量的校外用户分为两类,一类是使用图书馆资源较为频繁、访问数据量较大的用户(比如教师,但用户数量少);另一类则是使用次数较少、访问数据不多的用户(比如学生,但用户将数量多)。通过用户划分,我们给教师用户分配IPSec接入方式,这样就可以把大流量的用户分配到不同的IP地址上。避免IP流量过大造成IP被禁用问题;而将那些数量众多但访问量小的学生用户分配SSL接入方式。利用SSLVPN无需部署客户端的特性来降低客户端的维护工作量,从而实现VPN在图书馆应用的快速部署。
目前,许多VPN产品都能提供多种VPN接入形式,如:CiscoASA5500系列可以在单一平台上提供IPSec和基于SSL(SecureSocketsLayer,安全套协议)的VPN服务,避免了为SSL和IPSecVPN部署分立的平台而导致低效和成本增加。
2.3VPN支持的认证技术一个VPN系统应支持标准的认证方式,如基于机器特征码、数字证书技术、远程用户拨号认证系统(RADIUS,RemoteAuthenticationDialInUserService)认证、基于公开密钥基础设施(PKI,PublicKeyInfrastructure)[5]的证书认证以及逐渐兴起的生物识别技术等等。另外,还要提供基于用户组策略的认证。
2.4VPN接入控制的选择机制为了方便网络使用者(包括馆员、读者、管理部门等等)互联,所有局域网内部的用户都必须有使用VPN服务器的权限。因此,接入控制显得比其他两种隧道形式更为重要。可以采用两级的控制机制,粗度的接入控制交给VPN服务器来完成,VPN服务器上的安全策略数据库(SPD,SafetyPolicyDatabase)可以实现基于类似于用户组级别的控制,既把所有用户划分为不同等级的组来配置接入控制策略。细度的接入控制将由独立的认证服务器来完成,可以使局域网共享一个证书机构CA(CertificateAuthority,数字证书认证中心)和安全策略服务器,由它来管理和发放数字证书,实现对控制资源的访问。
2.5VPN数据安全采用分级处理方式数据安全包括数据加密、完整性检测和抗篡改。VPN技术在支持多种加密算法的同时还提供了对数据完整性进行检测的功能。在数据安全上,采用分级处理方式,对不同的等级的用户配置不同的数据安全策略,把用户分为普通级、普通加密级、高级加密级。对在普通级的用户通讯数据(例如:读者访问图书馆电子资源)配置为不使用任何加密的安全策略;普通加密级的通讯数据采用低位的加密和散列函数进行完整性检测安全策略;高级加密级的通讯数据可以采用多位的加密+散列函数的安全策略。
2.6VPN的设备选择对于设备的选择,可以根据自己的实际情况,结合已有网络的特点从可扩展性、效果、性能、价钱等进行分析衡量选配。最好选择集成防火墙功能的VPN产品,以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DoS(DenialofService,拒绝服务)攻击和入侵威胁,提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。
3总结
总之,VPN新技术综合传统数据网络的安全性和较好的服务质量,以及共享数据网络结构的简单和低成本,建立安全的数据通道,满足了用户对网络带宽、接入和服务不断增加的需求,在高校图书馆中构建以公众网为基础的虚拟专用网(VPN)系统,能有效解决当前高校图书馆资源的远程利用问题和资源统一管理问题。随着VPN技术的日益成熟,VPN必将成为未来图书馆互联网络的主要发展方向。
参考文献:
[1]焦青亮.虚拟网络VPN综述[J].黑龙江科技信息.2007(1):54.
[2]唐淑娟,秦一方,井向阳.VPN技术与图书馆资源远程利用[J].情报探索.2007(1):49-51.
[3]韩明明.VIP技术在高校图书馆中的应用探讨[J].高校图书情报论坛.2007(1):43-45.
VPN技术范文篇7
【关键词】VPN隧道IPSecQoS
1概述
虚拟专用网(简称VPN)是一种利用公共网络来构建私有数据传输通道,将远程的用户端连接起来,提供端到端的服务质量(QoS)保证以及安全服务的私有专用网络。目前,能够用于构建VPN的公共网络包括Internet和服务提供商(ISP)所提供的DDN专线、帧中继(FR)、ATM等,构建在这些公共网络上的VPN将给企业提供集安全性、可靠性、可管理性、互操作性于一身的私有专用网络。
2VPN的要求
2.1安全性
VPN提供用户一种私人专用的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在IntranetVPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可靠的认证机制。
2.2性能
VPN要发展,其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此,VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理策略来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”低优先级的应用。
2.3管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络进行管理,网络安全处理能力的大小是VPN解决方案好坏至关紧要的区分。因此,VPN要有一个固定的管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全策略的简单方法,将安全策略进行分布,并管理大量设备。
2.4互操作
在ExtranetVPN中,企业要与不同的客户及合作伙伴建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec(Internet安全协议)、PPTP(点到点隧道协议)、L2TP(第二层隧道协议)等。
3VPN的实现技术
3.1隧道技术
VPN区别于一般网络互联的关键是隧道的建立,然后数据包经过加密,按隧道协议进行封装、传送以保证安全性。
现有两种类型的隧道协议,一种是二层隧道协议,用于传输第二层网络协议,它主要应用于构建远程访问VPN;另一种是三层隧道协议,用于传输第三层网络协议,它主要应用于构建IntranetVPN和ExtranetVPN。
3.2加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于保护敏感的商业信息。
加密技术可以在协议栈的任意层进行,可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此,所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
3.3QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。公务员之家
QoS机制具有通信处理机制以及供应和配置机制。网络资源是有限的,有时用户要求的网络资源得不到满足,管理员基于一定的策略进行QoS机制配置,通过QoS机制对用户的网络资源分配进行控制以满足应用的需求,这些QoS机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。
除了这3种主要技术以外,还有如备份技术,流量控制技术,包过滤技术,网络地址转换技术,抗击打能力和网络监控和管理技术等。
4VPN的应用模式
4.1远程访问
为克服传统远程访问的问题,推出了基于VPN的远程访问解决方案。如图1所示,这种方案充分利用了公共基础设施和ISP,远程用户通过ISP接入Internet,再穿过Internet连接与Internet相连的企业VPN服务器,来访问位于VPN服务器后面的内部网络。一旦接入VPN服务器,就在远程用户与VPN服务器之间建立一条穿越Internet的专用隧道连接。这样,远程客户到当地ISP的连接和VPN服务器到当地ISP的连接都是本地网内通信,虽然Internet不够安全,但是由于采用加密技术,远程客户到VPN服务器之间的连接是安全的。
4.2远程网络互联
基于VPN的网络互联已成为一种热门的新型WAN技术,它利用专用隧道取代长途线路来降低成本,提高效率。两端的内部网络通过VPN服务器接入本地网内的ISP,通过Internet建立虚拟的专用连接,如图2所示。特别是宽带网业务的发展,为基于VPN的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。
VPN技术范文篇8
【关键词】VPN隧道IPSecQoS
1概述
虚拟专用网(简称VPN)是一种利用公共网络来构建私有数据传输通道,将远程的用户端连接起来,提供端到端的服务质量(QoS)保证以及安全服务的私有专用网络。目前,能够用于构建VPN的公共网络包括Internet和服务提供商(ISP)所提供的DDN专线、帧中继(FR)、ATM等,构建在这些公共网络上的VPN将给企业提供集安全性、可靠性、可管理性、互操作性于一身的私有专用网络。
2VPN的要求
2.1安全性
VPN提供用户一种私人专用的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在IntranetVPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可靠的认证机制。
2.2性能
VPN要发展,其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此,VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理策略来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”低优先级的应用。
2.3管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络进行管理,网络安全处理能力的大小是VPN解决方案好坏至关紧要的区分。因此,VPN要有一个固定的管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全策略的简单方法,将安全策略进行分布,并管理大量设备。
2.4互操作
在ExtranetVPN中,企业要与不同的客户及合作伙伴建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec(Internet安全协议)、PPTP(点到点隧道协议)、L2TP(第二层隧道协议)等。
3VPN的实现技术
3.1隧道技术
VPN区别于一般网络互联的关键是隧道的建立,然后数据包经过加密,按隧道协议进行封装、传送以保证安全性。
现有两种类型的隧道协议,一种是二层隧道协议,用于传输第二层网络协议,它主要应用于构建远程访问VPN;另一种是三层隧道协议,用于传输第三层网络协议,它主要应用于构建IntranetVPN和ExtranetVPN。
3.2加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要(贵.州,学.习,网)保护的敏感信息,使非授权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于保护敏感的商业信息。
加密技术可以在协议栈的任意层进行,可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此,所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
3.3QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
QoS机制具有通信处理机制以及供应和配置机制。网络资源是有限的,有时用户要求的网络资源得不到满足,管理员基于一定的策略进行QoS机制配置,通过QoS机制对用户的网络资源分配进行控制以满足应用的需求,这些QoS机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。
除了这3种主要技术以外,还有如备份技术,流量控制技术,包过滤技术,网络地址转换技术,抗击打能力和网络监控和管理技术等。
4VPN的应用模式
4.1远程访问
为克服传统远程访问的问题,推出了基于VPN的远程访问解决方案。如图1所示,这种方案充分利用了公共基础设施和ISP,远程用户通过ISP接入Internet,再穿过Internet连接与Internet相连的企业VPN服务器,来访问位于VPN服务器后面的内部网络。一旦接入VPN服务器,就在远程用户与VPN服务器之间建立一条穿越Internet的专用隧道连接。这样,远程客户到当地ISP的连接和VPN服务器到当地ISP的连接都是本地网内通信,虽然Internet不够安全,但是由于采用加密技术,远程客户到VPN服务器之间的连接是安全的。
4.2远程网络互联
基于VPN的网络互联已成为一种热门的新型WAN技术,它利用专用隧道取代长途线路来降低成本,提高效率。两端的内部网络通过VPN服务器接入本地网内的ISP,通过Internet建立虚拟的专用连接,如图2所示。特别是宽带网业务的发展,为基于VPN的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。
VPN技术范文篇9
虚拟专用网(简称VPN)是一种利用公共网络来构建私有数据传输通道,将远程的用户端连接起来,提供端到端的服务质量(QoS)保证以及安全服务的私有专用网络。目前,能够用于构建VPN的公共网络包括Internet和服务提供商(ISP)所提供的DDN专线、帧中继(FR)、ATM等,构建在这些公共网络上的VPN将给企业提供集安全性、可靠性、可管理性、互操作性于一身的私有专用网络。
2VPN的要求
2.1安全性
VPN提供用户一种私人专用的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在IntranetVPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可靠的认证机制。
2.2性能
VPN要发展,其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此,VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理策略来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”低优先级的应用。
2.3管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络进行管理,网络安全处理能力的大小是VPN解决方案好坏至关紧要的区分。因此,VPN要有一个固定的管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全策略的简单方法,将安全策略进行分布,并管理大量设备。
2.4互操作
在ExtranetVPN中,企业要与不同的客户及合作伙伴建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec(Internet安全协议)、PPTP(点到点隧道协议)、L2TP(第二层隧道协议)等。
3VPN的实现技术
3.1隧道技术
VPN区别于一般网络互联的关键是隧道的建立,然后数据包经过加密,按隧道协议进行封装、传送以保证安全性。
现有两种类型的隧道协议,一种是二层隧道协议,用于传输第二层网络协议,它主要应用于构建远程访问VPN;另一种是三层隧道协议,用于传输第三层网络协议,它主要应用于构建IntranetVPN和ExtranetVPN。
3.2加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于保护敏感的商业信息。
加密技术可以在协议栈的任意层进行,可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一跳路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此,所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
3.3QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
QoS机制具有通信处理机制以及供应和配置机制。网络资源是有限的,有时用户要求的网络资源得不到满足,管理员基于一定的策略进行QoS机制配置,通过QoS机制对用户的网络资源分配进行控制以满足应用的需求,这些QoS机制相互作用使网络资源得到最大化利用,同时又向用户提供了一个性能良好的网络服务。
除了这3种主要技术以外,还有如备份技术,流量控制技术,包过滤技术,网络地址转换技术,抗击打能力和网络监控和管理技术等。
4VPN的应用模式
4.1远程访问
为克服传统远程访问的问题,推出了基于VPN的远程访问解决方案。如图1所示,这种方案充分利用了公共基础设施和ISP,远程用户通过ISP接入Internet,再穿过Internet连接与Internet相连的企业VPN服务器,来访问位于VPN服务器后面的内部网络。一旦接入VPN服务器,就在远程用户与VPN服务器之间建立一条穿越Internet的专用隧道连接。这样,远程客户到当地ISP的连接和VPN服务器到当地ISP的连接都是本地网内通信,虽然Internet不够安全,但是由于采用加密技术,远程客户到VPN服务器之间的连接是安全的。
4.2远程网络互联
基于VPN的网络互联已成为一种热门的新型WAN技术,它利用专用隧道取代长途线路来降低成本,提高效率。两端的内部网络通过VPN服务器接入本地网内的ISP,通过Internet建立虚拟的专用连接,如图2所示。特别是宽带网业务的发展,为基于VPN的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。
VPN技术范文篇10
关键词:RRAS;Windows;虚拟专用网技术;安全
虚拟专用网是公共数据网的一种类型,但可以方便的让企业外地用户直接连接到企业的内部网络。虚拟专用网可以跨专用网络或公用网络(如Internet)创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性。虚拟专用网中采用了一些网络安全机制,如隧道技术、认证技术、加密技术、解密技术以及密钥管理技术等,这些网络安全技术能够确保各种数据在公用网络中传输时不被非法用户获取,即便被窃取也无法读取数据包中的有效信息。
1构建RRAS服务
RRAS也叫路由和远程访问服务,通过将“路由和远程访问”配置为充当远程访问服务器,可以将企业的远程工作人员或流动工作人员连接到企业内部网络上,远程用户可以像其计算机物理连接到企业内部网络上一样进行资源共享和数据交换。虽然现在很多企业网络组建都采用了VPN技术,但是基本上是基于网络硬件设备的,比如锐捷硬件VPN、路由器等,而利用WindowsServer2003内置的RRAS组建VPN网络价格低廉、管理方便、性能良好,而且容易维护。
利用路由和远程访问连接的用户可以使用企业内网的所有服务,其中包括文件服务的共享、企业打印机共享、企业Web服务的访问和邮件服务及数据库服务的访问。例如,在运行“路由和远程访问”的服务器上,客户端可以使用Windows资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和统一资源定位器UNC名称,因此连接到企业内网的外部用户的大多数应用程序不必进行修改即可直接使用职称论文。
RRAS是WindowsServer2003的默认Windows组件,其初始状态为停用,因此在构建RRAS之前必须将其激活,只有在RRAS管理控制台中服务器上的箭头变为绿色的向上箭头,才表明此RRAS服务已经被激活,激活状态如下图所示:
2配置远程访问服务器
2.1远程访问服务器属性的配置
2.1.1常规属性设置在WindowsServer2003的路由和远程访问服务中,可以使该服务器作为一个路由器或者是一个远程访问服务器。当作为路由器时,它可以作为企业网和因特网之间的一座桥梁,因此可以通过选中“远程访问服务器”复选框来改变该服务器的角色,使其成为一台VPN服务器。
2.1.2安全设置VPN始终是通过公用网络如Internet在VPN客户端与服务器之间建立的逻辑连接。为了确保隐私安全,必须对通过该连接发送的数据进行加密。RRAS中的安全信息包括身份验证方法和记账提供程序。身份验证方法包括默认的Windows身份验证和RADIUS身份验证,服务器通过一系列的验证方法对远程系统进行身份验证。
2.1.3远程用户IP设置远程VPN客户必须通过IP地址连接到服务器从而访问企业网络,通过IP设置可以给远程客户机指派IP地址。一般通过两种方法来指派:第一种是利用企业网络内部的DHCP服务器动态的分配IP地址,另一种方法是指定某个范围的静态地址池,其中“启用IP路由”可以使远程企业用户访问到此远程访问服务器所连接的整个企业内部网络。
2.2远程访问服务器端口的配置在企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,例如:对WAN微型端口(PPTP)和(L2TP)的数量的更改。在WAN微型端口(PPTP)中,“远程访问连接(仅入站)”是为企业用户启用远程访问,“请求拨号路由选择连接(入站和出站)”是为企业用户启用请求拨号路由。
2.3用户拨入的配置企业远程访问服务器同时也具备域控制器的功能,它是通过“ActiveDirectory用户和计算机”来管理企业远程客户的,而它所管理的用户对象属性中存在“拨入”选项卡,“拨入”属性可以允许或禁止远程企业用户连接到企业内部服务器上。其中“回拨选项”可以为远程用户拨入实现多种不同的功能,当用户拨号到企业RRAS服务器后,只要账户正确就允许与企业网络建立连接,则选择“不回拨”;当远程企业用户拨入到RRAS服务器后,输入正确的账户,服务器会要求用户输入回拨的电话号码,然后挂断电话,并由服务器对用户进行拨号,为远程用户节省电话费用,则选择“由呼叫方设置(仅路由和远程访问服务)”。
由于企业的规模各不相同,因此企业内部节点数量和网络带宽等也不同,远程访问服务器可以根据企业自身的状况选择以下三种不同的方式来部署:
2.3.1单接口VPN服务器。此时用企业的核心路由器或硬件防火墙负责转发IP数据包到因特网并对外网提供各种服务,企业客户端在呼叫服务器时的地址就是核心路由器或硬件防火墙的公网地址。
2.3.2双接口VPN服务器。适用于企业网络中具有多个公网地址。这种方式可以减少核心路由器或者硬件防火墙的网络负载,因为双接口VPN服务器网络中,客户端直接通过VPN服务器访问企业内部网络。公务员之家
2.3.3服务器做VPN服务器。如果企业原先通过服务器构建企业网络,可以在服务器上启用VPN服务器,或者是直接采用ISAServer作为服务器,在ISAServer上启用VPN服务器并且代替原来的防火墙与路由器。
3构建远程客户机的网络连接
虚拟专用网络VPN客户端能使用“点对点隧道协议”(PPTP)、“第二层隧道协议”(L2TP)和“IP安全协议(IPSec)”来创建一个通往VPN服务器的安全隧道。通过这种方法,客户端就变成了专用网络上的一个远程节点。PPTP是一种常用的VPN协议,它使用支持56位密钥的MPPE增强加密方式,因此非常安全,而且易于进行配置和维护。在纯microsoft环境和混合环境中,基于PPTP的VPN客户端部署方便,而且可以通过使用远程访问策略的规则进行PPTP连接的允许或拒绝,使远程客户机能够在规定的时间访问公司局域网,并且可以实现各种安全的身份验证方式和加密方式。在客户端建立一个基于VPN的WAN微型端口(PPTP)连接后,就可以通过此连接自动获取一个VPN服务器上分配的IP地址,从而实现客户端与企业内部网络构成同一个局域网。当远程客户端通过VPN连接自动获取到一个和企业内网同一网段的IP地址后,就可以像在公司内部一样安全、方便、快速、高效地与Intranet交换机密的商务信息,从而实现企业网络用户跨因特网的安全访问。
参考文献:
[1]IvanPepelnjakJimGuichard.MPLS和VPN体系结构[M].北京:人民邮电出版社,2004.
[2](美)罗等,刘伟琴,米强译.第二层VPN体系结构[M].北京:人民邮电出版社,2006.
VPN技术范文
时间:2023-03-17 20:14:17 阅读:0
推荐度: