VPN安全范文-盘古文库

VPN安全范文

资料大全

来源：莲生三十二

作者：开心麻花

2025-09-19

VPN安全范文（精选12篇）

VPN安全第1篇

随着Internet网络技术的普及,网络安全越显重要。为了能更好地解决公司安全问题,让公司总部服务器最小限度地免受外界网络攻击,也为了使企业用户方便地从远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网,企业可以考虑采用VPN技术。

1 VPN概念

VPN是以一个公用网络为基础,建立一个临时的、安全的连接方式,它是一条穿越混乱的公用网络的安全、稳定的隧道,目标是在不安全的公用网络基础上建立一个安全的专用通信网络。

VPN的最大优点是不需要租用电信部门的专用线路,而是由本地ISP提供的VPN服务所替代。所以,人们更加关注基于Internet的VPN技术及应用。

VPN是一种企业内部网的扩展的服务。VPN中传输的是企业的内部信息,因此数据的安全性特别重要。VPN保证数据的安全性主要包括以下3个方面:

(1)数据保密性(Confidentiality):通过数据加密来确保通过公网传输的数据外人无法看到或截获,即便被他人看到也不会泄露出去。

(2)数据完整性(Integrity):确保数据在传输过程中没有被非法改动,保证数据信息以原样到达目的地。

(3)身份验证(Authentication):为确保数据是从正确的发送方传输来的,必须对通信实体的身份认证和信息的完整性进行检查,对于不同的用户必须授予不同的访问权限。

VPN最终用户提供类似于专用网络的网络技术,具有以下特点:

(1)具有高安全性:通过VPN帮助远程用户、公司分支机构、商业伙伴与公司内部网之间建立可信的安全连接,从而保证数据的安全传输。

(2)可降低投资成本:VPN是建立在现有的网络硬件设施的基础上,所以它能保护用户现有的网络基础设施投资;大大降低用户在广域网和远程连接的成本;降低企业内部网络的建设成本。

(3)便于优化管理:VPN方案可以简化网络的设计和管理, 加速新的用户和网站的连接,并且能够极大地提高用户网络运营和管理的灵活性。

2 VPN实现技术

2.1隧道技术

隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,是VPN的核心。

隧道技术是在公共网络中建立专用的数据通道,实现点对点的连接,使来自不同的数据来源的网络服务通过不同的渠道,在同一网络体系结构中使网络协议不兼容的系统结构。

2.2加解密技术(Encryption & Decryption)

通过公共互联网的数据必须进行加密,以确保网络是不经授权的网络读取信息。

2.3密钥管理技术(Key Management)

密钥管理技术的主要任务是如何在公共数据网络中传输密钥而不是被窃取。目前常用的密钥管理技术可分为SKIP与ISAKMP/Oakley两种。

2.4身份认证技术(Authentication)

在公共网络上大量的用户和设备,如何正确识别合法用户和设备,使单位的人员和设备可以与设备进行通信,构成一个VPN, 让未经授权的人无法进入系统,这是解决问题的用户和设备身份认证技术。

3 VPN安全协议

网络隧道协议有两种:一种是二层隧道协议,用于传输二层网络协议数据,以构建远程访问虚拟专用网络;另一种是三层隧道协议,用于传输三层网络协议,以建设企业内部虚拟专用网和扩展的企业内部VPN。

3.1二层隧道协议(PPTP/P2TP)

(1)点对点隧道协议(PPTP),该协议是数据链路层协议, 由Microsoft公司提出并且被嵌入到Windows中,作用于路由和远程服务。PPTP通过使用IP包来封装PPP数据帧,它的访问控制是用简单的包过滤和域控制来实现的。

(2)第二层隧道转发协议(L2TP),该协议由PPTP和L2F组合而成,可用于基于Internet的远程拨号访问和使用PPP的客户端建立拨号方式的VPN连接。L2TP可用于传输Net BIOS等多种协议。

3.2三层隧道协议(IPSec)

IPSec是一组开放性协议的总称,它包括认证头(AH)、安全封装载荷(ESP)、Internet安全协议与密钥管理协议(ISAKMP) 三个子协议。IPSec具有以下三个特性。

(1)保密性:为确保的私有性,IPSec在数据传输之前先进行加密。

(2)可靠性:数据到达目标方之后必须进行验证,从而保证数据在传输过程中没有被修改、替换。

(3)真实性:对主机和端点进行身份鉴别。

IPSec有两种工作模式,即运输模式和隧道模式。在隧道模式下,为确保从一个防火墙到另一个防火墙的通信安全性,IPSec把IP分组封装在一个安全的数据报中。

3.3安全会话层(SSL VPN)

在网络中使用浏览网器浏览网站时,主要通过HTTP协议传送网页,是属于明文传播的,传播内容可以被非法读取。SSL的全名叫Secure Session Layer(安全会话层),其最初目的是给HTTP加密使用的安全套件,使用SSL技术的HTTP,就变成了HTTPS,其使用端口从HTTP的默认80端口变成了443端口。 HTTPS既具备安全性,也具备传输数据的能力,被VPN技术的专家认可并得到重视,认为HTTPS可以用于组建VPN网络,加速了SSL VPN技术的推广步伐。

4 VPN的基本类型

根据VPN涉及的业务类型和组网方式的不同,VPN业务总体上可分为以下三类,如图1所示。

4.1内部网VPN(Intranet VPN)

内部网是指企业的总部与分支机构之间,以公共网络为基础构建的虚拟网。Intranet VPN是通过公用网络将某组织的各分支机构的局域网连接而成的网络,它是公司内部网络的扩展。

内部网VPN用于公司远程分支机构的LAN之间、公司远程分支机构的LAN与公司总部LAN之间进行互联,可实现公司内部的资源共享、文件传输、节约DDN专线费用等。

4.2远程访问VPN(Access VPN)

远程访问也称为拨号VPN,是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网,用于在远程用户或移动雇员和公司内部网之间进行互联。

远程访问VPN具有可以实现“透明访问策略”的优点,也就是实现远程用户与主机像是在同一个局域网中一样自由地访问局域网上的资源。

4.3外联网VPN(Extranet VPN)

外联网是指收购、兼并或企业间的战略联盟的企业之间,使不同的企业网络通过公共网络建立虚拟网络,在供应商的局域网之间的互联,业务合作伙伴和公司进行互联。外联网VPN通过一个共享基础设施将客户、供应商、合作伙伴等连接到企业内部网,既可以向外提供有效的信息服务,又可以保证自身的内部网络的安全。

5 VPN在企业中的应用

使用VPN结构,可以实现办公室与办公室之间的互联,可通过VPN建立的隧道,通过先进的加密技术安全地互相传送, 避免被恶意的第三者截取分析;非标准TCP/IP的应用,也可通过VPN专有隧道连通,如像一个局域网一样;外部的移动用户, 只要能连入网络,就可通过VPN相关设置连入公司内部,使用各种办公室的应用,传输办公室间数据,例如语音通讯、视频会议等,通过VPN既不受到网络运行商的管制,带宽也不会受到限制。

VPN的设施和服务是由企业完全掌握的。企业可以把拨号访问权交给NSP,企业方负责用户的检查与验收、网络地址、访问权、网络变化和安全性管理等重要工作。在公共网络中,通过采用“隧道”技术,形成企业数据传输的专用链路,并且能保证数据的安全性、机密性以及数据传输的通畅。企业可以省去租用长途专线建设专网的费用,也不必进行大量的网络维护人员和设备的投入,从而节省大量的成本。

VPN安全第2篇

VPN是什么意思？

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”.顾名思义，虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.----

这一个VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”.顾名思义，虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.他可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或者是多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是他并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止 Arp病毒)等硬件设备.VPN技术原是(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)具有的重要技术之一，目前在交换机，防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)设备或者是WINDOWS2000等软件(soft)里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网.虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的,安全的连接，是一条穿过混乱的公用网络的安全,稳定的隧道.虚拟专用网是对企业内部网的扩展.虚拟专用网可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现安全连接；可以用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯，更多更丰富的相关方面内容我们将在以后日子里进行补充.针对不相同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）,企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络,企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应.VPN有什么用？

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN安全第3篇

2、SSL VPN技术的实现

如果企业将SSL VPN技术应用于移动办公中，对于那些出差在外需要进行远程办公的人员，只需要使用Web浏览器就能实现移动办公，访问企业的内部网络。SSL VPN将公司内部网络的网关设置在远程用户和企业服务器之间的网络边缘上，可以对企业和用户之间的数据连接和数据通信进行主导型的控制。

3、SSL VPN技术的优势

（1）安全性

SSL VPN技术可以有效地避免数据信息泄漏，拒绝非企业用户的非法访问，保护信息不被窃取，维持系统的可用性，在用户访问和数据保密方面具有较高的安全性。

（2）应用性

（下转99页）

SSL VPN不同于IPSec VPN，使用SSL VPN的网络不需要下载安装指定的客户端软件，只需要通过标准浏览器接入Internet就能访问企业内部网络。在对网络进行日常维护和管理时，SSL VPN良好的可操作性为维护管理工作提供了便利，SSL VPN可以对网络应用实现高度的、精细的控制，根据不同用户和用户组各自的特点设置适用于他们的访问权限，还可以实现对所有访问操作的审查统计，此外，便于操作的SSL VPN对于增强网络平台的易操作性和灵活性，为平台的应用更新和性能提升起到了关键作用。

四、 IPSec VPN和SSL VPN的应用选择

基于用户的VPN安全审计模式第4篇

VPN是采用封装、加密、认证、访问控制等手段,而构建的独立、自治的虚拟网络,可应用于网络的安全互联、移动安全接入等领域,是用户进行移动办公、移动纳税首选的安全技术。特别是随着3G等无线宽带的开展,人们对移动业务的需求越来越大, VPN技术越来越受到广大用户的重视。

但是,随着VPN用户的增多,VPN产品面临的挑战越来越大。尽管VPN技术可以保证数据传输的安全性和可靠性,但是不能完全阻止用户对访问资源的滥用等问题,因此,用户的接入控制与安全审计在VPN系统中是至关重要的,能够有效地补充了VPN系统在网上行为监控方面的不足[1,4]。

现有的VPN系统中,安全审计往往借助于系统日志[2]或者基于IP地址[1,5],无法标识使用同一IP地址的不同合法用户,无法将网络数据流与用户进行对应。比如在3G网络,用户IP地址的动态性,致使根据IP地址进行安全审计,已不利于对用户的访问进行统计分析与评估,也无法进行事后责任的追究,更无法对终端用户做出适当的策略调整;而且基于syslog的日志,对于非专业的用户来说,很难看懂其内容。

因此,为便于VPN系统的测试、网络流量分析、用户访问行为的评估以及追究事后责任,本文提出了基于用户的VPN安全审计方法,将用户身份信息与数据流进行绑定,有效地解决了远程用户接入控制与安全审计问题。

1一种基于VPN的典型远程安全接入架构

为了清楚地说明基于用户的安全审计,本文以IPsec VPN系统为例,给出了一种典型的远程/移动安全接入架构[4],如图1所示。

图1所示的远程安全接入中,首先远程终端用户发起接入认证,认证服务器验证远程终端的身份,若合法,则协助远程终端和VPN安全网关建立安全隧道,然后双方在安全隧道的保护下进行安全通信。在安全通信的过程中,VPN安全网关进行基于数据流的安全审计,记录远程终端的访问行为。

从这个典型的远程安全接入架构中,我们可将远程安全接入分为接入认证、安全隧道协商、安全传输、访问控制以及安全审计几个阶段。接入认证,通常情况下厂商会采用基于数字证书的强认证方式;安全隧道协商、安全传输、访问控制,则一般情况下会按照IPsec标准或者按照各自的理解进行实现;而对于安全审计,则会采集系统日志[2]或者截获数据流进行基于IP的安全审计[1,5],它们均是一种基于IP地址的数据流审计,统计与风险分析也仅仅限定在了IP地址级,没有与用户进行有效绑定,因此,很难满足远程用户接入控制与管理需求。

2基于用户的VPN安全审计总体思路

2.1设计思想

在上述典型应用的基础上,本文提出一种基于用户的VPN接入控制与安全审计方法。其设计思想为:

利用用户和设备数字证书的唯一性,将数字证书的ID与用户名进行一一对应。基于用户身份认证与策略管理技术,将用户的身份与安全隧道相关联,实现网络数据流与用户的绑定,从而解决对远程接入用户管理不便和控制粒度不严的问题。

2.2用户与数据流绑定机制

结合第1节中的基于VPN的典型远程安全接入架构,根据上述的设计思想,设计了用户与安全隧道的关联方法,从而实现了用户与数据流的绑定。详见图2所示。

(1) VPN安全网关认证。CA为安全网关分配设备证书,向认证服务器认证,并生成双方之间的会话密钥KAS、SG,由公私钥对保证安全性。

(2) 远程接入用户进行接入请求时,发送证书给认证服务器进行认证,认证服务器验证证书的合法性,若合法,则认证成功,生成双方之间的会话密钥KAS、USER。

(3) 用户向认证服务器申请与VPN安全网关建立安全隧道的请求。认证服务器接收到请求后,则为用户生成安全网关密钥资料,包括会话密钥Ktun、网关IP、SPI(安全参数索引)等信息。安全性由KAS,USER保证。

(4) 用户接收到密钥资料后,形成安全隧道参数(SA,安全关联),包括IPuser、IPsg、Ktun、密码算法、协议操作模式、SPI等。并发送通知网关去认证服务器取密钥资料,通知消息包括了用户选择的密码算法、协议操作模式等信息。

(5) VPN安全网关接收到用户通知消息后,向认证服务器发送获取密钥资料的请求消息。认证服务器接收到消息后,将密钥资料发送给VPN网关,包括Ktun、IPuser、username(用户名)、Certnumuser(证书序列号) 、SPI等。

(6) VPN安全网关得到密钥资料后,形成安全隧道参数SA,包括IPuser、IPsg、Ktun、密码算法、协议操作模式、username(用户名)、Certnumuser(证书序列号) 、SPI等,实现了用户信息与安全隧道的关联。

(7) 协商安全隧道成功后,用户接入内部网络成功,开始传输数据。用户接入终端采用安全隧道参数对数据包进行封装、加密、认证等处理,发送给远程VPN安全网关。

(8) VPN网关接收到数据包后,根据SPI检索SA,对数据包进行解封装、解密、认证等处理,并进行安全审计,并“存”入VPN安全网关安全审计文件中。由于SA中包含用户的信息,所以在对数据包进行安全审计时,就能够实现用户身份信息与数据流的绑定。响应数据流审计也是如此。当安全审计信息需要进行显示时,则由VPN安全网关“推”入安全管理平台,进行可视化显示。

3基于用户的VPN安全审计系统实现

针对安全审计系统的实现,不同学者研究的侧重点也不尽相同。文献[2]是基于系统的syslog日志进行实现,将系统日志作为数据的审计日志;文献[3]基于Linux下的LSK(可加载的内核模块)技术进行实现,将安全审计作为一个模块动态的加载在Linux内核中,完成基于网络层的数据流安全审计;文献[1]给出的安全审计系统是一个安全审计的管理系统,并未对安全审计如何实现进行描述;文献[4,5]设计了安全审计系统,是通过修改Linux源代码在网络层实现了基于数据流的安全审计。这些实现方面都仅仅是对网络层数据流进行审计,审计的粒度限定在IP地址级,存在严重的局限性。

针对目前安全审计系统实现存在局限性,本文在文献[7]基于netfilter框架的VPN网关的一体化设计的基础之上,实现了基于用户的VPN安全审计系统。据netfilter框架可知,不论是路由方式还是网桥方式,网络数据包均要通过NF_IP_PRE_ROU- TING和NF_IP_POST_ROUTING这两个hook点,因此,本文在这两个hook点开发了VPN安全审计模块,实现了路由与网桥两种模式下的VPN安全审计的统一,不仅能够支持路由VPN安全审计,而且也能够支持局域网VPN的安全审计。

3.1数据结构的拓展

数据结构的拓展主要集中在安全隧道和安全审计两个方面,其思想为:同时在安全关联SA(Secure Association)和安全审计数据结构中添加用户信息字段,将安全隧道与用户身份信息相关联,实现数据流与用户身份的绑定,从而完成基于用户的数据流安全审计。

扩展的安全关联SA数据结构如下:

扩展后的安全关联与安全审计数据结构既可用于内核层安全审计,又可在应用层安全审计中应用。

3.2系统的组成

根据上述的设计思想,本文设计实现了基于用户的VPN安全审计系统,其基本组成结构如图3所示。

(1) 内核层安全审计模块

内核层安全审计模块,完成对过往VPN安全网关的数据流进行分级别的安全审计。所谓多级别审计策略是指根据拟被审计信息的重要程度的不同,设置不同的审计级别,以决定审计时所记录内容的详细程度。

对于远程安全接入用户来说,进行基于用户级的VPN安全审计,从图3中可以看出,VPN安全处理模块将安全隧道信息、数据包信息传递给内核安全审计模块,从而完成用户与数据流的绑定;对于网络其他数据流实行基于IP地址的数据流安全审计。

(2) 审计导出模块

内核审计导出模块是将内核审计模块对数据流的审计信息通过系统软中断机制导出到应用层文件中。

(3) 审计转储代理

因为网关自身的存储空间有限,需按照转储策略,在“管理专用安全隧道”的保护下,将网关上的审计数据转储至审计管理中心的大型数据库集中存储。

(4) 安全审计管理中心

主要负责审计参数设置、审计事件选择与审计策略设置,以及对安全域内的所有审计数据查询、综合统计、分析与报表生成打印。

3.3基于用户的VPN安全审计处理流程

基于用户的VPN安全审计实施过程主要分为两个部分,一个部分为安全隧道与用户身份信息的关联;一部分为数据流与用户身份信息的绑定。正是由于用户接入访问数据流受到安全隧道的保护,所以通过安全隧道可以完成数据流与用户身份信息的绑定。

在安全隧道与用户身份信息关联阶段,用户发送接入认证请求,认证成功后,通过认证服务器与VPN安全网关协商安全隧道,并将接入用户身份信息写入安全关联SA中。

在数据流与用户身份信息绑定阶段,也就是进行基于用户的安全审计过程。其流程如图4所示。

当数据包到达VPN安全网关后,首先判断是否为IPsec数据包,如果不是,则进行普通数据流的安全审计,并存入审计数据库中;若是IPsec数据包,则查找安全隧道参数SA,对IPsec数据流进行解封装、解密、认证等处理,还原为用户原始IP数据包,由安全审计模块进行审计,并与SA进行关联,从而完成基于用户的安全审计,存入审计数据库中,并导出安全审计。

4结语

相对于传统的安全审计,本文提出的基于用户的VPN安全审计,其优点在于体现在以下几个方面:

(1) 审计粒度限定在用户级,与IP地址无关,使得接入终端的管理比较方便,易于维护;同时避免了由于接入终端IP地址动态性,无法正确分析用户行为的问题。

(2) 基于用户的安全审计,安全审计数据清晰,更有助于非专业人员的分析与理解。

(3) 同时支持路由VPN和局域网VPN的安全审计,VPN支持的类型多。而传统的审计仅仅支持路由模式下的VPN。

由此可见,基于用户的VPN安全审计,更适合于VPN系统对接入用户行为的统计分析,更有利于安全策略的调整,在一定程度上增强了系统的安全防御机制,也是对远程、移动安全接入系统的有效补充。

摘要：针对现有VPN系统安全审计的不足,提出一种新的VPN安全审计模式。通过将用户身份与数据流的绑定,把传统单一数据流审计转变为用户数据流的访问日志,不仅克服了传统日志信息理解难的问题,而且有效地解决了远程用户接入控制与管理问题。

关键词：虚拟专用网,安全审计,用户,接入控制

参考文献

[1]杨艳,陈性元,杜学绘.基于VPN的安全审计系统的设计与实现[J].计算机工程.2007,33(9):177-179.

[2]李承,等.基于防火墙日志的网络安全审计系统的研究与实现[J].计算机工程,2002,28(6):17-19.

[3]贾春福,等.Linux系统内核级安全审计方法研究[J].计算机工程与应用,2002,31(6):53-55.

[4]陈性元.基于虚拟子网的安全VPN技术研究[D].解放军信息工程大学,2003.

[5]曹守见,陈性元,等.基于IP-VPN网关的安全审计技术[J].电脑应用技术,2001,12(5):31-34.

[6]徐勤军.一种基于IPsec隧道的网络安全审计系统模型[J].计算技术与自动化,2008,27(4):140-143.

VPN研究报告第5篇

互联网的普及、移动通信技术的进步、信息化程度的提高，使全世界的数字信息高度共

享成为可能。中国高校也越来越重视数字化校园的开发，依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一，电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义，数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。

二、选题背景

随着教育信息化的深入，很多学校都建立了校园网，为了实现校内资源优化整合，让师

生们更好的进行工作和学习，他们需要在校园网内部或在校外的远程节点上，随时享受校园网内部的各项服务，然而由于互联网黑客对各高校的资源虎视眈眈，在没有经过任何允许的情况下，黑客们很容易就潜入校园网内部进行捣乱，为此，多数校园网都不会将自己的各种应用系统和所有信息资源完全开放，因为这样让整个校园网面临无以估量的破坏性损失，为了网络安全考虑，将vpn技术应用于基于公共互联网构架的校园网，可以较好的解决校园网多校区、远程访问、远程管理等问题。

三、vpn简介

虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安

全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

四、vpn功能

vpn可以提供的功能：防火墙功能、认证、加密、隧道化。

vpn可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个

企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一，在交换机，防火墙设备或windows 2000等软件里也都支持vpn功能，一句话，vpn的核心就是在利用公共网络建立虚拟私有网。

五、vpn常用的网络协议

常用的虚拟私人网络协议有：

ipsec : ipsec(缩写ip security)是保护ip协议安全通信的标准，它主要对ip协议分组进行加密和认证。ipsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分： vpn加密分组流的封装安全载荷（esp）及较少使用的认证头（ah），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，ike协议是唯一已经制定的密钥交换协议。

pptp: point to point tunneling protocol--点到点隧道协议。在因特网上建立ip虚拟专用网

（vpn）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。l2f: layer 2 forwarding--第二层转发协议

l2tp: layer 2 tunneling protocol--第二层隧道协议 gre：vpn的第三层隧道协议

六、vpn研究问题

? vpn如何解决校园网安全风险

对于校园网而言，它虽然给师生带来了资源共享的便捷，但同时也意味着具有安全风险，比如非授权访问，没有预先经过授权，就使用校园网络或计算机资源；信息泄漏或丢失，重要数据在有意或无意中被泄漏出去或丢失；以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息；不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪；利用网络传播计算机病毒等。那么，校园网利用vpn技术方案，是否能避免校园网的潜在安全隐患，杜绝上述情况的发生呢？

vpn即虚拟私有网络技术，它的安全功能包括：通道协议、身份验证和数据加密，实际工作时，远程外网客户机向校园网内的vpn服务器发出请求，vpn服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到vpn服务端，vpn服务器根据用户数据库检查该响应，如果账户有效，vpn服务器将检查该用户是否具有远程访问的权限，如果该用户拥有远程访问的权限，vpn服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说，vpn可以通过对校园网内的数据进行封包和加密传输，在互联网公网上传输私有数据、达到私有网络的安全级别。? 选择ipsec vpn还是ssl vpn 校园网vpn方案可以通过公众ip网络建立了私有数据传输通道，将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来，减轻了校园网的远程访问费用负担，节省电话费用开支，不过对于端到端的安全数据通讯，还需要根据实际情况采取不同的架构。一般而言，ipsec vpn和ssl vpn是目前校园网vpn方案采用最为广泛的安全技术，但它们之间有很大的区别，总体来说，ipsec vpn是提供站点与站点之间的连接，比较适合校园网内分校与分校的连接；而ssl vpn则提供远程接入校园网服务，比如适合校园网与外网的连接。

从vpn技术架构来看，ipsec vpn是比较理想的校园网接入方案，由于它工作在网络层，可以对终端站点间所有传输数据进行保护，可以实现internet多专用网安全连接，而不管是哪类网络应用，它将远程客户端置于校园内部网，使远程客户端拥有内部网用户一样的权限和操作功能。ipsec vpn还要求在远程接入客户端适当安装和配置ipsec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些ipsec客户端软件能实现自动安装，不需要用户参与，因而无论对网管还是终端用户，都可以减轻安装和维护上的负担。? vpn为校园网带来哪些应用

在校园网中，通过vpn给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么，vpn能为校园网带来哪些具体应用优势呢？首先就是办公自动化，比如校园办公楼共有40个信息点，此时可以通过校园网连至internet用户，实现100m甚至1000m到桌面的带宽，并对财务科、人事科等科室进行单独子网管理。还可以利用vpn在校园网内建立考试监控系统、综合多媒体教室等，比如学校具有两个多媒体教室，每个教室60台pc，通过校园网上连至internet，实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的pc通过校园网上连至internet，而不进行任何布置。

校园网采用vpn技术可以降低使用费，远程用户可以通过向当地的isp申请账户登录到internet，以internet作为通道与企业内部专用网络相连，通信费用大幅度降低；学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校，各个分校和培训场所网络整合使学校的信息化管理成本必然的增加，比如学校的数据存储，许多学校都采用了分布式存储方式，其具有较低的投资花费和软件部署的灵活性，然而其管理难度高，后期维护成本高，如果采取vpn服务器，可以对各分校进行web通讯控制，同时又可以实现分校访问互通。为了让师生共享图书资源，与国外高校合作交换图书馆数据，以及向国外商业图书馆交纳版权费，获得更多电子文献资料的浏览权，很多高校都建立了数字图书馆，但在应用上也会产生相应的约束性，比如说为了保证数据信息的知识产权，浏览者必须是已缴纳版权费的本校内网地址，或则被校方授权过的内部合法师生，此时采用vpn加密技术，数据在internet中传输时，internet上的用户只看到公共的ip地址，看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外；在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。? vpn支持哪种校园网接入方式

在教育机构的校园网，由于不同地区、不同学校的条件不同，它们选择的网络接入方式也有差异，比如条件不大好的中小学校，可能还在采取模拟电话、isdn、adsl拨号上网，而对于条件好的高校，则采取了光纤或ddn、帧中继等专线连接，那么，vpn方案到底支持哪种接入方式呢？实际上，vpn可以支持最常用的网络协议，因为在internet上组建vpn，用户计算机或网络需要建立到isp连接，与用户上网接入方式相似，比如基于ip、ipx和netbui协议的网络中的客户机都能使用vpn方案。

七、vpn在校园图书馆系统中的调查分析

数字图书馆的版权问题不容忽视，不管什么类型的图书，都要遵循数字版权保护(digital rights management，drm)的规定，通过安全和加密技术控制数字内容及其分发途径，从而防止对数字产品非授权使用。

正是在这样一种保护知识产权的背景下，高校图书馆所购买的电子资源大部分都有限制访问的ip地址范围。即:

1、采购的这些数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上，图书馆支付费用以后，数据库服务商是根据访问者的ip地址来判断是否是经过授权的用户。

2、只要是从校园网出去的ip地址都是认可的，因为校园网出口ip和部分公网ip地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。

3、如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源，无论采用pstn拨号、adsl、小区宽带，使用的都是社会网络运营商提供的ip地址，不是校园网的ip地址范围，因此数据库服务商认为是非授权用户，拒绝访问。当然，我们也可以要求服务商进一步开放更多的ip地址为合法用户，但是这要求访问者的ip地址是固定的、静态的，而实际上，绝大多数校外用户使用的都是动态ip地址，是不确定的，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

因此，就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过鉴权后拥有校内地址再访问资源数据库。到底有没有这样一种方案呢?虚拟专用网即vpn技术，给了我们很好的答案。vpn是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商)，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的物理链路资源动态组成的。

实际上，目前国内已经有不少高校采用了或者正常尝试使用vpn技术来解决这个问题，而且大多是采用的ipsec vpn技术。利用ipsec技术，校外用户在本机安装一个vpn客户端软件后经过配置连入图书馆网络，ipsec vpn中心端会给每个远程用户分配一个校园网ip地址，从而实现远程用户以校园网用户身份访问电子资源。

虽说ipsec vpn是目前vpn的主流技术之一，但ipsec协议最初是为了解决site to site的安全问题而制定的，因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。

首先是客户端配置问题:在每个远程接入的终端都需要安装相应的ipsec客户端，并且需要做复杂的配置，随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了ipsec 客户端难以配置和维护的问题，但是还是无法避免在每个终端上安装客户端的麻烦，而且即使这些客户端很少出问题，但随着用户数量的增多，每天需要维护的客户端绝对数量也不少。

其次是ipsec vpn自身安全问题:往往传统的ipsec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径，并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展，新兴的vpn厂商已经着手改进这些问题并取得了相应的成绩)。

然后是对网络的支持问题:传统的ipsec vpn在网络适应性上都存在一些问题，虽然一些领导厂商已经或正在解决网络兼容性问题，但由于ipsec vpn对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口)，因此客户端的网络适应性还是不能做到百分之百完美。

最后是移动设备支持问题:随着未来通讯技术的发展，移动终端的种类将会越来越多，ipsec 客户端需要有更多的版本来适应这些终端，但随着终端种类的爆炸性增长，这几乎是不可能的。

因此，ssl vpn技术应运而生。ssl vpn的突出优势在于web安全和移动接入，它可以提供远程的安全接入，而无需安装或设定客户端软件。ssl在web的易用性和安全性方面架起了一座桥梁。目前，对ssl vpn公认的三大好处是:首先来自于它的简单性，它不需要配置，可以立即安装、立即生效;第二个好处是客户端不需要安装，直接利用浏览器中内嵌的ssl协议就行;第三个好处是兼容性好，可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆，ssl vpn技术采用了一种类似代理性质的技术，所有的访问都是以ssl vpn设备的lan口的名义发起的，所以只要ssl vpn设备的lan口ip是一个合法的校园网ip，所有成功接入ssl的校外用户都可以成功访问这个ssl vpn设备lan口所能访问的资源。

但ssl vpn并不能取代ipsec vpn。因为，这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性，更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过internet建立的安全连接，保护的是点对点之间的通信，并且，ipsec工作于网络层，不局限于web应用。它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。从高校应用来看，由于ssl接入方式下所有用户的访问请求都是从ssl vpn设备的lan口发起的，对于那些对单个用户流量有严格限制的资源商来说，这些ssl用户的访问会被当成一个用户对待，很快就会因为达到资源商的流量限制而造成该ip被禁用，也就导致所有ssl用户无法继续访问图书馆资源。

那么，高校图书馆应该选择何种vpn技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看，比较合理的应用方式应该是ipsec和ssl共同使用。

正如我们前面所分析的，上游资源商对于资源的应用是有限制的，除了限制发起请求的ip地址外，还会限制单个ip地址所产生的流量，因此在图书馆大量的校外用户群中，我们将用户分为两个类型，一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主，数量较少)，另一类则是使用次数较少、访问数据不多的用户(以学生为主，数量较多)，通过用户划分，我们给访问量大但数量少的教师用户分配ipsec接入方式，这样就可以把大量的用户流量分配到不同的ip地址上，避免单个ip流量过大造成的问题，而那些数量众多但访问量小的学生用户分配ssl接入方式，利用ssl vpn无需部署客户端的特性大大降低客户端的维护工作量，从而实现vpn在图书馆应用的快速部署。经过长时间的测试，华师图书馆选择使用国内专业vpn厂商深信服科技推出了ipsec/ssl 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和ssl vpn功能，利用两种技术的集成很好解决了图书馆应用的需求，同时一体化的设计能够大幅度的降低整个vpn产品的投入，满足教育行业低成本高效率it建设的需求。

八、结论

VPN安全第6篇

[关键字]电子政务SSL协议SSL VPN安全

随着信息技术和经济全球化的发展，电子政务已经成为衡量一个国家或地区发展程度的一个重要因素，同时电子政务的水平也反映出一个国家或地区的全球竞争力。在竞争激烈的国际大环境下，电子政务是争得发展“先机”、抓住发展机遇的关键。

1电子政务安全的重要性

电子政务就是指政府机构运用现代计算机和网络技术，将其管理和服务职能转移到网络上去完成，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门的制约，向全社会提供优质高效、规范透明和全方位的管理与服务。

电子政务作为信息网络技术的一个特殊应用领域，运行着大量敏感的、需要保护的数据和信息。但是，由于网络的开放性和公开化，电子政务系统安全问题日益突出和严重，影响了电子政务系统功能的发挥，甚至对政府部门和社会公众产生危害，严重的还将对国家信息安全乃至国家安全产生威胁。如何提高电子政务系统的安全性呢?采用SSL VPN技术方案是解决该问题的最佳途径之一。

2SSL VPN的原理

SSL和VPN本来是两个概念，但是它们结合起来却是一种新技术。

SSL(Security Socket Layer，安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP／IP协议之间进行数据交换的安全机制，为TCP／IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议二部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

VPN的英文全称是“Virtual Private Network”，即“虚拟专用网络”。虚拟专用网不是真的专用网络，是虚拟出来的企业内部专线，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)，在公用网络中建立专用的数据通信网络的技术。VPN则主要应用于虚拟连接网络，它可以确保数据的机密性，并且具有一定的访问控制功能。VPN是一项非常实用的技术，它可以扩展企业的内部网络，允许企业的员工、客户以及合作伙伴利用Internet访问企业网，而成本远远低于传统的专线接入。

所谓的SSL VPN，是指采用SSL协议来实现远程接入的一种新型VPN技术。使用者利用浏览器内置的Secure SocketLayer封包处理功能，通过浏览器访问公司内部SSL VPN服务器，然后透过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密，从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证内网进行安全的全局访问。

3SSL VPN的实现

SSL VPN最大的特点就是实现简单。一般情况，SSL VPN的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到内部网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。SSL VPN的主要实现技术包括代理、应用转换、端口转发和网络扩展。

(1)代理SSL VPN网关将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器，然后将服务器的响应回传给终端用户。

(2)应用转换：对于非Web页面的文件访问，要借助于应用转换。SSL VPN网关与内网的微软CIFS或FTP服务器通信，将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端，而用户感觉这些服务器就是一些基于Web的应用。

(3)端口转发：端口转发用于端口定义明确的应用。它需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器，监听某个端口上的连接。当数据包进入这个端口时，它们通过SSL连接中的隧道被传送到SSL VPN网关，SSLVPN网关解开封装的数据包，将它们转发给目的应用服务器。使用端口转发器，需要终端用户指向他希望运行的本地应用程序，而不必指向真正的应用服务器。

(4)网络扩展：SSL VPN网关还可以帮助用户实现网络扩展。它将终端用户连接到内网时，根据网络层信息(如目的IP地址和端口号)进行接入控制。

4SSL VPN保障电子政务安全的应用优势

不同品牌的SSL VPN产品在接入方式、管理方式上略有不同，但是其保障电子政务安全的原理是相同的，其应用优势体现在以下几个方面：

(1)SSL VPN将用户分成不同的组，以控制访问权限。

在电子政务系统中，用户的种类很多，有政府机关各层次人员、企业内部各层次人员和普通的访问客户，因此该系统对安全审计要求就比较高，而且各种业务的IT架构也有所不同，存在B／S和C／S的并存状况。

SSL VPN方案着眼于通过智能的虚拟技术，为政府机关各层次人员、企业内部各层次人员和普通客户分配不同的用户组，为不同区域工作人员使用路由设备分配不同的IP地址，支持多种应用(B／S和C／S等)和多个门户。

(2)SSL VPN方案可以杜绝非法访问。

SSL VPN采用多级认证和先进的加密技术来保护用户和整个电子政务系统的session安全。SSL VPN的访问要经过认证和授权，充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份，则SSL VPN将拒绝其连接请求，从而限制了非法用户对内网的访问。

电子政务系统向每个用户发送邮件，邮件信息中包含了暂时的随意密码。之后，用户自行更改密码。该密码通过MD5等一系列不可逆算法变换成新的大数密码存入数据库，以便认证。这种方式非常适合电子政务系统大范围的网络部署，而又保持了严谨的身份认证管理。从该意义上来说，SSL VPN可以保护电子政务系统，大大减少受到外网攻击的机会。此外，本地用户数据库还可以和其他更加强大的认证系统结合起来，以便进行多种认汪和授权，以防止用户假冒。

(3)SSL VPN方案可以保障数据的安全性。

在SSL VPN中，由于客户端与网关之间实现高强度的加密信息传输，虽然信息传输是通过外网进行的，但其安全性是可以得到保证的。第二方即使可以得到传输数据，但是却无法得到隐藏到其中的明文信息。因为除了使用者之外谁也无法拥有产生密钥的计算机遥控密码，所以每个人建立的对话活动都不会受到安全威胁。因此敏感的信息如政府机要、秘密文件及税务、工商、金融等重要内容被保护起来，杜绝了有效信息的泄露，从而保障数据的安全性。

(4)SSL VPN方案可以保护信息的完整性。

SSL VPN使用数字证书进行机密性与完整性参数的协商，它不仅能够对所传输的数据进行机密性的保护，同时也对其提供完整性保护。当在传输过程中的数据被篡改之后，SSL VPN是可以检测到的，如果检测到数据被篡改，系统就会放弃所接收到的数据。

(5)SSL VPN可以保证系统的可用性。

由于SSL VPN采用了SSL协议，该协议是介于介于HTTP层及TCP层的安全协议。通过SSL VPN是接入电子政务系统内部的应用，而不是电子政务系统的整个内部网络，没有控制的联入整个网络是非常危险的。

由于采用SSL安全协议在网络中传输，对网关上的防火墙来讲，只需要打开有限的安全端口即可，不需要将所有对应应用的端口开放给外网用户，这样大大降低了整个电子政务系统受到外网攻击的可能性。在远程主机与SSL VPN网关之间，采用SSL通讯端口(port 443)来作为传输通道，这个通讯端口，一般是作为Web Server对外的数据传输通道，因此，不需在防火墙上做任何修改。

5结束语

VPN安全第7篇

虚拟专用网络VPN (Virtual Private Network) , 是指在专用或者万维网中建立与其他网络用户隔离的用户群, 这些用户之间可以像在专用网络上那样相互通信并定义访问资源级别[1]。它是在多个局域网之间通过隧道技术建立一个虚拟的网络专用通道, 可以简单地理解为VNP技术是一根保证数据传输过程安全性和灵活性的虚拟专用网线。

1.1 VPN技术的常规类型

据实施VPN网络过程中采用的设备类型进行分类:软件VPN、硬件VPN、软硬件综合VPN。据VPN网络部署方式进行分类:远程访问VPN、站点到站点VPN。VPN技术通信过程中应用的协议进行分类:PPTP、L2TP、SSTP等。专用网络隧道技术是VPN网络的技术核心部分, 原理是将VPN网络中用户的数据信息封装到PDU (协议数据单元) 中, 接着通过其他传输协议方式传输到外部的对等实体, 然后传输给其他用户。隧道技术可以实现网络和网络、主机和主机、网络和主机之间的安全通信, 其过程为数据封装、加密、传输、拆分、解密过程。

1.2 VPN技术研究的意义

(1) VPN技术提高数据在传输过程中的安全性, 进而提高了数据传输过程的价值; (2) 逐步推进IPv4网络向IPv6网络的过渡; (3) 使得网络操作系统得以普及, 加快网络化进程, 增加网络聚合程度。VPN思想及其技术的出现, 必将在网络进化过程乃至完成其最终形态过程中起到至关重要的作用。

2 VPN技术的不足与优化措施

2.1 VPN网络通信的缺陷和改进思路

当今网络下, 大部分网络仍是IPv4网络, IPv6网络仍然属于孤岛状态, 未来是信息时代, 而美国有着绝对的网络信息控制权, 这使得IPv4向IPv6过渡势在必行而且是迫在眉睫的。对此, 我国应该建立国内自己的缓存域名服务器, 即使是美国将中国国家域名删除, 也不能完全限制国家网络通信。且我国积极参与IPv6制定标准和应用推广, 使得各国分享了IPv6的技术和控制权, 才能将互联网从一个国家绝对控制的形式中解脱出来。过渡过程中可能存在2种情况:通过IPv4网络实现IPv6网络之间的通信;论文提出在IPv6通信网络前增加相对应的网关设备, 该设备主要用于相应的网络协议翻译。虽然增加了网络投资, 但是使得传输的数据经过VPN网络隧道技术和协议网关的包装, 增强了数据传输的安全性。

2.2 VPN技术在移动网络环境中的安全性分析和解决措施

移动通信技术凭借着4G网络的兴起, 已经和互联网技术成为我国信息产业的两大支柱。伴随着移动通信技术的发展, 相应的移动VPN技术需求也得以提出, 移动VPN技术是网络VPN技术在移动网络上的拓展, 其发展时间较短, 仍然处于萌芽阶段, 需要在安全性方面得到更多的技术支持。随着移动网络和IPv6技术的推广和普及。VPN技术在移动网络上一定给信息产业带来巨大的改变。移动网络VPN与固定网络VPN连接在结构上的不同之处在于, 首先要求移动网络和固定网络直接先进性连接, 然后才能将移动VPN客户端与互联网进行连接。无线信号从基站发出传输到移动通信设备过程中很容易被第三方截获, 造成VPN安全通信技术的漏洞。论文采用数字认证证书和对应的数字证书标识值一一绑定的方法解决该问题, 并通过将数字证书所持有的特征值镶嵌入智能卡磁条中的方式进行解决传输数据给终端设备带来的压力及传输过程中速度慢且费用高的缺点, 通过证书的标识值可以在CA服务器上获取相关的数字证书, 同时将证书的处理部分移交到CA服务器上, 进而解放移动客户端的运算资源。通过哈希运算在共享密钥不变原理的基础上进行身份双向认证等一系列的改进, 从而阻止破解攻击的生效[2]。

2.3 在C/S层面对VPN网络的优化设计

不论是RASVPN还是STSVPN网络服务, 都是单向提供服务的结构, 可以理解为客户端都连接着VPN服务器, 虽然这有利于网络的集中管理, 但是不利于多个VPN客户端或者各个VPN网络相互间的通信[3], 因为实现该通信过程中数据转发必须通过一个VPN网络服务器, 增加了该服务器的负载量, 降低VPN客户端的通信速度。且这种单向服务连接结构对单一的VPN服务器的依赖性很大, 一旦该VPN服务器出现故障, 整个VPN网络将处于瘫痪状态。VPN网络与分布式存储概念结合后, 最大的优势是网络中不存在集中式VPN服务器, 这种模式下将服务器与客户端的概念有绝对化变为相对化[4]。

3 结论

从VPN技术在社会需要、VPN技术原理和相对于传统专线网络的优势、移动客户端VPN技术缺陷和优化方法、VPN技术自动化部署和VPN技术在推进当今网络影响及对网络发展展望, 论述了VPN技术对当今网络世界格局改变的作用和存在意义。还完成了以下优化设计: (1) 整合了多个VPN工程, 模拟出一套能在多种网络环境下都适应的VPN通信网络结构模型; (2) 提出了在IPv6和IPv4不同协议间的通信思路, 既解决了网络通信对服务器的依赖又解决了IPv4网址短缺问题; (3) 提出了一系列针对不稳定网络中自动化部署VPN网络客户端和服务端及其之间连接方式的方法。。

摘要：VPN技术凭借着高效、安全、搭建成本低、便捷、可控、客户端部署灵活性高等特点, 逐步替代了传统的专线技术, 成为当今安全传输信息技术的主流。通过现实信息网络中数据包和相关数据的统计和分析, 证明了VPN技术在数据传输安全保障方面的价值, 并对目前VPN技术在固定、移动网络环境下存在的不足进行了分析并提出改进方案。

关键词：VPN网络,网络安全,网络通信

参考文献

[1]王路, 袁宏春, 万里冰.基于IP的点对点分布式VPN系统[J].电子科技大学学报, 2014 (1) :25-27.

[2]刘晓红, 纪越峰.下一代应用层防火墙性能及其测试[J].计算机工程, 2012 (11) :223-224.

[3]鲜继清, 谭丹, 陈辉.局域网中个人防火墙与入侵检测系统联动技术研究[J].计算机应用研究, 2010 (5) :103-105.

VPN安全第8篇

IPSec协议(Internet Protocol Security)是因特网工程任务组(IETF)制定的一套可以用在IPv4和IPv6上的安全协议,该协议基于密码学方法,支持机密性和认证服务等安全服务,具有互操作性[1]。IPSec协议主要用于确保互联网上的一系列IP(网际协议)协议能够进行安全有效的传输。IPSec协议包括一系列以编号排定的文件,为了确保不同方案之间能够实现互通,它定义了一套默认的、强制实施的算法[2]。

认证头协议(AH)和封装安全协议(ESP)是IPSec协议的两个子协议。其中认证头协议(AH)的协议号为51,其主要目的是增加IP数据报的安全性,它能够提供无连接的完整性、防重放攻击保护以及数据源头认证服务,但它不为所保护的数据报加密,即不提供任何的保密性服务;封装安全协议(ESP)的协议号为50,是插在IP报文内的一个协议头,主要为IP提供数据机密性、数据源验证、数据完整性、抗重播等安全服务。AH和ESP两者之间的不同点在于认证头协议(AH)不包含机密过程,而封装安全协议(ESP)有加密措施;此外认证头协议(AH)的验证范围涵盖了整条报文,而封装安全协议(ESP)不需要验证外部的IP数据头。

根据保护对象以及使用地点的不同,,IPSec协议分为隧道模式和传送模式。隧道模式主要用于在Internet中的路由,并对整个IP分组采取保护措施。主要做法是将IP分组加密,并将加密后的分组完全封装到另一个IP分组中;传送模式主要用于主机之间,负责对分组负载进行有效保护,但是不对原来的IP地址进行加密。

二、安全协议IPSec的实现

IPSec是一组开放安全协议的总称,VPN(虚拟局域网)网关支持同时使用IPSec中的ESP和AH协议,以及支持隧道和传送两种模式。现以AH协议处理为例,阐述IPSec模块在Linux下的实现方案。

AH协议分为输入和输出两部分,主要负责报文完整性认证的工作。在AH协议中,驱动程序负责报文的接收,并将报文放入IP队列内。为了确保字段的完整性和正确性,AH协议会对输入的报文进行完整性校验。对于输入的AH报头各字段的合法性和长度值的检查,主要由AH协议的输入部分负责。AH协议报头内专门的序列号字段主要用于进行抗重放攻击服务。在方案中报文的输入过程是:维护一个序号滑动窗口,其主要负责对报文内序号字段进行检查,检查的内容包括:字段接收范围、接收字段号,最后根据检查内容判断是否接收报文。正确报文的接收工作包括:提取报文序列号、修改滑动窗口。确认接收报文后,删除封装的IP隧道头和AH头,还原内部IP报文并将其重新置入IP队列中。报文输出的工作过程包括:计算出完整性校验值,并放入新添加的AH协议头的指定字段位置,并从SA(安全关联)内取出相应的AH头信息填入AH头,添加封装外部隧道的IP头。

三、系统模块的设计原则

为了使基于IPSec的VPN网络系统能够更好地应用于大型局域网,在设计构建VPN网络系统的时候,还需要考虑以下设计原则:

高效率管理:为了提高管理效率,同时降低管理成本,本方案采取中心式的管理方法,通过远端管理配置每一台网关,实现全局的策略配置。网关启动时会自动从中心管理处下载策略,当中心策略发生变动时,会及时通知各个网关进行策略的重新下载更新。除了中心管理外,方案还支持远程配置访问。系统的稳定性:中心网关一般处于24小时不停机的满负荷工作状态,非常忌讳死机现象的发生,对系统的稳定性要求特别高。因此系统的最大无故障工作时间以及平均无故障时间等参数就显得至关重要。硬件设备的可靠性:安全网关对硬件设备的可靠性要求很高,其硬件设备应该满足速度快、散热快、稳定、可靠等高性能要求。便捷的升级方式:系统升级能够很好地解决系统的漏洞,保证系统的稳定性,并增加一定的功能。系统随时都需要进行更新升级,因此最便捷的升级方式就是能够实现在线升级。实时监控:要保证每个网关能够进行信息的统计,包括是否处于安全连接状态、是否正常工作等信息,此外对每个隧道通过的数据也要进行统计。而管理中心能够实时地从各个网关提取统计信息。证书管理:全局应该设定一个CA中心,主要解决证书的产生、发放、签名、验证以及授权管理。

四、结语

利用IPSec组建的VPN已成为新一代网络安全服务的基础,基于IPSec的VPN网络安全的实现,不仅能对不同子网的数据通信进行身份验证,合理有效地进行访问控制,而且很好地隐藏了网络的结构,较好地克服了安全威胁。

参考文献

[1]刘景云.活用IPSEC规则,打造安全网络环境[J].电脑知识与技术:经验技巧,2015(9):116-118.

VPN安全第9篇

当今世界, 互联网技术的应用已经对传统的商业模式和办公模式形成了巨大的冲击, 为了保护自己的业务流和信息流能够在互联网这个公用平台上安全的传输, 许多企业和政府部门开始考虑构建虚拟专用网VPN。

根据实现技术不同, VPN主要可分为PPTP、L2TP、MPLS、SSL等几类。其中由于SSL协议在互联网上的普及应用以及简单高效的安全机制, 使得基于SSL的VPN可以穿透NAT设备和防火墙运行, 做到随时随地办公。本文试图对目前基于SSL协议的VPN原理及安全性进行研究。

2. SSL VPN的技术剖析

2.1 SSL协议分析

SSL协议是一种在应用层协议和TCP/IP协议之间提供数据安全性的机制, 它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户端认证。SSL协议提供了网络上通信双方的安全保护, 避免信息在网络传输过程中被截取、改编和破坏, 现在SSL协议已成为Internet中用来鉴别用户身份及在浏览器与WEB服务器之间进行加密通讯的全球化标准[1]。

SSL协议位于TCP/IP和应用层之间, 用于对服务器和客户端之间进行加密和解密, 通过这个安全编码的过程形成一个客户端与服务器之间的保密通信隧道, 整个过程需要通过二层结构三个协议来完成, SSL协议的层次结构图如图2-1所示。

2.2 VPN概述

VPN是指依靠ISP (Internet服务提供商) 和其它NSP (网络服务提供商) 在公用网上为一组用户实现专用通讯网络[2]。这种技术利用公用网络把企业和合作伙伴的网络安全互连起来, 在企业和合作伙伴之间共享信息资源。

VPN可以在IP协议的各个层级上进行, 在IP层上实施的优点是可以以一个统一的形式对各种信息分组进行安全保护, 而无需专门针对每一种应用执行专用的安全机制。为了保障信息在Internet上传输的安全性, VPN技术采用了加密认证、存取控制、虚拟管道、数据完整性等措施, 确保信息在传输中不被篡改和复制。

2.3 SSL VPN通信原理

基于SSL协议的虚拟专用网上两个通信实体的通信原理如下描述:

第一步:VPN客户端连接至VPN服务器, 并要求服务器验证它的身份。

第二步:服务器通过发送它的数字证书证明其身份。通过检查有效日期并确认证书包含可信任证书颁发机构 (CA) 的数字签名来验证证书的有效性。

第三步:服务器发出一个请求, 对客户端的证书进行验证。由于担心网络开销过大等原因, 这一步有时也省略不做。

第四步:确定身份后, 双方协商加密算法及用于完整性检查的散列函数, 通常客户端提供它支持的所有算法列表, 然后由服务器选择最强大的加密算法。

第五步:客户端和服务器协商会话密钥。

第六步:客户端和服务器分别使用协商好的加密算法及密钥, 对要发送的数据进行加密, 对收到对方的数据进行解密, 从而实现了在客户端和服务器间利用加密信道进行通信的目的。

3. SSL VPN的安全性分析与防范研究

3.1 SSL VPN的应用设计

SSL VPN系统的应用设计应该由Server、Proxy及Client组成, Server为实际服务提供者, Client为标准浏览器, Proxy即SSL VPN服务器, 它是系统访问控制及决策核心。远程用户使用标准的WEB浏览器以安全的方式连接Proxy, Proxy收到用户请求后, 代理Client向真正的Server请求服务, 提供一个远程Client与各种不同的应用Server之间的连接。这种方案可以保证浏览器的使用者与网页的服务器之间进行加密通信, 浏览器的使用者能够信任某个网站服务器, 不会强制验证使用者的身份。SSL VPN系统应用设计的体系结构如图3-1所示。

3.2 SSL VPN的安全隐患

SSL VPN对于企业使用远程访问应用系统提供了方便, 但却降低了公司安全性。SSL VPN的安全隐患主要体现在以下几个方面:

首先, 只能为访问资源提供有限安全保障。由于SSL VPN只对通信双方的某个应用通道进行加密, 而不是对在通信双方的主机之间的整个通道进行加密, 所以对用户而言外部环境并不完全安全。因此, SSL VPN作为一个运行在某一平台上的应用层实施方案, 操作系统平台的安全性也将直接影响到整个方案的安全性和可靠性。

其次, 认证方式单一。采用的认证方式基本上是单向认证, 只适用于数据库-应用服务器---WEB服务器---浏览器模式, 要想支持其它认证方式往往比较麻烦, 验证服务器身份所使用的数字证书有可能被偷窃或复制, 这也带来了安全隐患。

3.3 SSL VPN安全隐患的防范实现

虽然SSL协议提供了在端与端之间实现安全通信, 但并未保证基于SSL的VPN网络中的端点也是安全的。本文针对以上的安全隐患, 提出了对应的防范策略。

(1) 增加客户端的证书认证方式

SSL VPN允许所有的浏览器登录系统, 所以用户在公共场合登录时泄漏用户名和密码的可能性很大, 因此对安全性也提出了更高的要求。传统的用户名+口令的身份认证机制不够安全, 为了增强安全性, 我们在实现中可以考虑采取USB-KEY实现安全认证, 驱动程序由用户从网页上下载。

(2) 应用层协议过滤技术和加密内网

在SSL VPN服务器上启用应用层过滤机制能有效的防止蠕虫和病毒通过SSLVPN建立的隧道感染内部网络, 一般是采用正向过滤技术, 即只允许已知的合法应用请求通过, 而屏蔽发往SSL VPN的其它请求, 这样就能有效地抵制应用层的一些未知漏洞。在一个完整的网络安全体系结构中, 防火墙通常位于SSLVPN系统的前端, 所以把这个任务交给防火墙来处理, 我们不作任何修改。

如果不加密内部的节点信息, 显示给用户的内部主机名, 服务器IP地址等内部网络信息将会暴露内部网络的结构, 所以对内部的节点信息进行加密, 尽量少给黑客攻击内网提供信息。

4. 总结

近年来, 基于SSL协议的VPN系统以其优良特性获得了广泛应用。通常只要客户端系统安装了Web浏览器, SSL VPN即可工作, 并且不会受到安全在与服务器之间的防火墙的影响。此外, SSL VPN所引发的一些安全隐患, 也能够通过合理的防范措施进行有效避免。总之, 随着市场的逐步成熟, 我们有越来越多的理由期待SSL VPN成为企业首选的VPN设备。

摘要：本文在明确SSL VPN优越性的基础上, 分析了SSL协议、VPN内涵以及SSL VPN的通信原理, 重点探讨了基于SSL的VPN带来方便性的同时所引发的一些安全隐患, 并进一步给出了对应的防范策略。

关键词：虚拟专用网,安全套接层,网络安全

参考文献

[1]周亦敏, 邱立强.嵌入式网络SSL VPN安全技术的研究[J].微计算机信息, 2008, (08) :21-23.

VPN安全第10篇

VPN又名虚拟专用网络, 是一种通过公共通信设施建设的虚拟专用或私有的网络用于远程网络访问的新型技术。它作为一种特殊而专有的的通信环境, 适合作为企业、机构和组织的内部网络。VPN的实质是基于网络安全下的通信技术, 它结合了认证技术、通信技术、密码技术和网络技术, 具有较强的复杂性和综合性。在客户需求的基础上, VPN利用安全数据在互联网上长途通信, 不但可以节约通信费用, 还能在很大程度上保证网络的安全。因此, 如何在应用VPN技术的同时确保网络安全, 是VPN技术推广中的重点和难点问题。

1 VPN 技术的安全性

VPN的安全性是指在VPN传输过程中, 确保私有信息的机密性、可控性、可审计性和完整性。其具体的安全性能包括以下几点:

隧道功能。VPN的隧道可以对用户的私有信息进行压缩并协议封装, 从而达到隐藏用户真实数据、保证用户隐私的目的。VPN还能提供在IP网络中的有效逻辑通道, 对私有数据做出基本的保护。近年来, 随着对网络安全要求的逐步提高, VPN能够进一步通过加密隧道来确保数据的私密性和完整性, 避免在透明、开放的网络传输环境中, 用户信息遭到非法窥视或篡改。

数据级鉴别功能。VPN的构建是以公共网络为基础的, 用户信息非常容易遭到非法篡改、截获或再次发送, 导致接收的数据错误或不具有私密性。VPN技术可以验证数据, 辨别是否接收的息已被篡改, 不但确保了数据的完整, 还在一定程度上规避了传输过程中遭到攻击的风险。

用户级认证功能。VPN技术的用户认证功能, 用于确保用户合理访问允许访问的资源, 另一方面也会拦截非授权用户的访问。

设备级认证功能。这种认证功能可以用于认证传输隧道的信任设备, 并验证通信双方是否真实、可靠。

攻击检测和防火墙功能。VPN设有用于过滤数据包的防火墙, 能够拒绝非法访问。而攻击检测功能可以深入分析数据包信息, 以确定数据的合法性, 对非法访问的通信连接进行阻断, 给予警告并生成非法访问记录, 便于对攻击行为进行跟踪分析。该技术将防火墙功能与VPN技术进行有机结合, 对预防攻击有较强的效果, 能确保网络通信安全, 对外部、内部的攻击行为和非法访问都能进行有效的拦截和过滤。

2 VPN 技术基于网络安全的实施策略

2.1 构建 VPN 技术模型

VPN技术涵盖了密钥管理技术、隧道技术、认证技术以及加密解密技术等, 这些技术用于确保传输私有数据的网络安全。

2.2 隧道技术

隧道技术是VPN技术的基础技术, 该技术的基本作用是实现虚拟特征, 类似于点对点的连接, 隧道技术是将逻辑数据通道构建在通在公共网络上, 继而进行用户私有数据的运载。隧道的形成基于隧道协议的保证, 隧道协议一般包括第二层、第三层这两种

在第二层协议的建立中, 首先要分组、封装不同的网络协议至PPP协议中, 其次, 在隧道协议中放入封装数据包, 经第二层协议对双层封装数据包进行传输。

一般情况下, 第二层协议中较为常用的有L2TP、L2F和PPTP等。其中, PPTP的制定基于PPP协议, 但在PPP协议的基础上增加了安全等级, 提供客户、服务器之间的可靠加密通信服务, 目前主要被应用于中小企业的内网建设。但是由于PPTP的安全性较差, 一般不用于需要严密的安全保证的网络通信。L2TP则有效结合了二层转发协议、PPTP的特点, 在控制隧道方面沿用了PPTP协议, 但是利用二层转发协议来进行认证

第三层协议与二层协议不同, 其主要过程为将网络协议分组, 然后直接封装于隧道协议内并展开传输。第三层协议一般有GRE、IPSec这两种。其中, GRE协议规定了网络层协议的封装, 用户通过GRE协议, 可利用私网地址或公共网络, 在隐藏企业IP地址的情况下展开通信互联。GRE所提供的只是数据封装, 并没有加密功能, 同时也没有监听、组织网络攻击的功能, 因此, GRE在实际应用中经常会与IPSec相结合。IPSec的安全服务涵盖了防止重放保护、访问控制、验证数据来源和自动密钥管理等技术。

2.3 加密技术与解密技术

数据通信技术应该包括公开加密、对称加密这两种, 在实际中, 一般混合使用两种加密技术。公开加密可以用于数字签名、安全会话、认证等的加密, 对称加密一般用于数据传输的完整性保护。要保障网络安全, 应结合实际需要, 选择安全性高、无缝集成隧道协议并且性能优越的加密技术和解密技术。

2.4 身份认证技术

即认证使用人员、设备的身份。身份认证一般包括双因素、单因素这两种基本的认证类型。对密码、口令或用户名的简单认证是该技术最为广泛的应用, 充分利用身份认证复杂性强、安全性高的特点。在具体实践中, 表现为基于生物识别、数字证书和动态密码等方式, 通过指纹、密码卡、声音或短信息等做身份认证工作。VPN技术一般结合了简单认证、扩展认证这两种, 实现了双因素认证, 更加强了对用户、设备在网络中的安全保护。

2.5 网络密钥管理技术

密钥管理技术联合了加密技术, 可以确保密钥在开放的网络环境中安全传递, 不被窃取。密钥管理技术目前可以分为ISAKMP、SKIP这两种。SKIP在密钥的传输过程中, 采用了Diffie-Hellman演算法, 而ISAKMP则采用了公开密钥机制, 使通信的双方同时拥有公、私两种密钥。

3 VPN 技术网关

VPN的网关一般位于组织内部与互联网的连接处, 主要用于确保网络安全。网关直接面临着外部网络的威胁, 所以必须集成VPN网关与防火墙来确保网关安全。网络防火墙可以与VPN网关协调, 利用防火墙的性能来实现VPN网管安全性的提高, 从而建立起专用的网关系统, 重新优化、编译linux, 形成并加密VPN技术隧道, 完成IDS的集成, 搜集并分析关键信息, 对于防御黑客非法攻击有实质性作用。另外, 安全网关还可以用于管理服务, 监控、优化服务质量, 做到策略的及时调整, 以实现满足用户不同需求的目的。安全漏洞检测也是安全网关的功能之一, 对攻击行为起到有效阻隔作用。

4 结语

结合全文的分析, VPN是一种新兴的互联网通信技术, 它体现了当今互联网的发展趋势。VPN借鉴了传统的网络网络安全技术, 对数据共享结构进行了高效率的精简, 不但能降低通信成本, 还能有效地保证传输通道的安全。相关技术人员在今后的发展中, 还应不断研究和探索VPN技术在网络安全中的应用, 保障互联网通信安全。

参考文献

[1]吴烈勇.基于VPN技术的多校区校园网络安全探讨[J].硅谷, 2012 (10) .

[2]赵钊.基于VPN技术的校园网络安全体系构建[J].自动化与仪器仪表, 2014 (1) .

[3]沙涛.手机VPN技术对网络安全监管挑战分析[J].信息网络安全, 2013 (6) .

选台适合你的VPN 第11篇

VPN简介

VPN的英文全称是“Virtual Private Network”，直译是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议，在连接在互联网上二的位于不同地方的2个或多个企业内部网之间建立一条专有的通讯线路，就好比是架没了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。

时尚桌面级

Linksys RV042 VPN，更确切地说它是一款带VPN功能的路山器，这款产品最大的亮点就是双WAN口设计。利用双WAN口我们可以实现双线路网通和电信的自动切换和分区数据传输。用户还可以让第2条互联网连接作为备份链路以确保连接不会中断，也可以同时使用2个互联网接口接入同一ISP，利用负载平衡以保障最大带宽效率。

为什么将Linksys RV042定位于桌面级，因为它体积小，重量轻，便于移动，而且外观简洁时尚。LinlcsysRV042机壳采用洁白不锈钢板材料，在机壳左右两侧安排了大量透气孔。它提供了2个百兆WAN接口和4个LAN接口。配置方面，这款产品采用了英特尔XP 266MHz处理器，并安排了32MB的内存和8MB的闪存。它可以作为小型企业局域网和网吧的网络骨干节点设备使用，最多可以支持30个用DES和3DES算法加密过的远程VPN连接。

企业机柜式

一般来说，能安放在机柜里的VPN都是与服务器相互连接，那么其功能必然强大。下面我向大家介绍2款适用于大型企业用户使用的机柜式VPN。

中华卫士CG-SAG 504安全接入网关是卫士通公司推出的一款SSLVPN产品，用户电脑不需要另行安装客户端软件，使用浏览器便可实现VPN服务的访问，不需要繁杂的配置。这款产品可以支持旁路代理和在线转发这2种不同的连接模式，这也为VPN的部署提供了更大灵活性，而负载均衡和主/从应用模式的提供，实现了VPN的接入冗余和负载分担，提高了企业网的可用性。

我们所测试的这款中华卫士CG-SAG 504许可用户数为25，而每个用户的会话数可以在5～1000之间进行设定，对于通过互联网进行内网访问量并不很大的企业，这款产品完全可以满足性能方面的需求。另外，这款产品提供了配置向导，并具有较详细的在线帮助和中文界面，降低了使用和维护的难度，这也正是那些规模不大、网管水平有限的企业用户所更为需要的。

STMlSO是美国Netgear公司推出的ProSecuxe STM内容安全系列产品中的一款，STMl50被设计为是一款“透明”的网络设备，用户不需对现有网络结构做出改动即可将STMl50布署在网络中。一种典型的布署方式是将STMl50安装在公司路由器之后，核心交换机之前，STMl50会对通过的基于WEB/E-maⅡ的流量进行检测，而对于路南器及交换机来讲，STM150是透明的。

VPN安全第12篇

一、VPN及实现技术

分布式企业想在处于不同地域的部门之间安全传递数据, 传统的方法有专线连接、拨号连接、IP地址直接访问等, 可是它们要么费用高昂, 要么功能单一, 还可能带来安全隐患, 而使用VPN连接则将使这些难题迎刃而解。

VPN能够以模拟点对点专用链接的方式通过Intranet或Internet在两台计算机之间发送数据, 是“线路中的线路”, 该技术通过隧道和加密技术达到类似私有网络的安全数据传输功能, 具有费用低、保密性好和抗干扰性强的特点。此外VPN也提供了对移动用户和漫游用户的支持, 对于网络时代出现的SOHO一族无疑是最佳选择。

通常虚拟专用网络 (VPN) 可分为如下几种:

1. 传统的专线虚拟专用网络

传统的虚拟专用网络主要包括帧中继和ATM, 是传统的电信专线业务, 是电信运营商通过帧中继或ATM的专用交换设备建立覆盖一定区域的公用交换平台, 并通过在此公用交换平台上建立虚电路连接, 为用户提供专用网络。

2. 网络提供商指配的虚拟专用网络

网络提供商指配的虚拟专用网络是指利用虚拟路由技术和隧道技术, 由网络提供商管理的网络端设备为不同用户建立独立的路由表和传输隧道, 实现虚拟专用网络。BGP/MPLS VPN技术就是属于此类VPN。MPLS VPN是在网络路由和交换设备上应用MPLS (Multiprotocol Label Switching, 多协议标记交换) 技术, 简化核心路由器的路由选择方式, 利用结合传统路由技术的标记交换实现的IP虚拟专用网络 (IP VPN) 。

3. 基于用户端设备的虚拟专用网络

基于用户端设备的虚拟专用网络是指用户端设备使用封装或加密技术, 在公众网络上建立安全的隧道连接, 实现安全的专用网络。VPN功能都集成在各种各样的CPE (Customer Premises Equipment, 客户端齐备) 设备之中, 运营商的公网为客户提供透明的数据传输。这种方式的VPN, 其最大缺点就在于需要客户投入较大的人力、物力去管理和维护VPN, 同时加密机制也会对设备的转发性能和网络的拓展性产生很大的影响。

4. 基于会话的虚拟专用网络

基于会话的虚拟专用网络是指利用工作在第四层协议, 即传输层协议及以上的安全协议, 实现的虚拟专用网络。目前, 主要是指SSL VPN。SSL VPN产品采用标准的安全套接层 (SSL) 对传输中的数据包进行加密。

二、Windows下VPN的实现技术及安全分析

在各种VPN的实现技术中, 由于专线虚拟专用网络以及由网络提供商指配的虚拟专用网络均需要投入较大的财力和人力, 这使得一般小型企业对VPN望而止步。而微软旗下Windows Server及Windows XP均可很好地支持VPN的软件实现, 从而能够满足小型企业对VPN的需求。

1. 基于Windows的软件VPN一般由以下各部分组成:

(1) VPN服务器指接受来自VPN客户端的虚拟专用网 (VPN) 连接的计算机, 能够提供远程访问VPN连接或路由器到路由器的VPN连接。

(2) VPN客户端在VPN连接中连接到VPN服务器或请求VPN服务器提供服务的任何计算机或程序。

(3) VPN连接连接中加密数据的部分。对典型的安全VPN连接, 数据沿连接的相同部分进行加密和压缩。因为通过共享或公用网络以未加密和易读取的形式传送私用数据是不安全的, 是不能称为VPN连接的。

(4) 隧道连接中封装数据的部分。

(5) 隧道协议用来管理隧道及压缩专用数据的协议。要成为VPN连接, 隧道传输的数据也必须加密。Windows Server包括PPTP和L2TP隧道协议。

(6) 隧道数据在专用点对点的链接间发送的数据。

(7) 传输互联网络 (传输介质) 压缩数据所通过的、共享的或公共的网络。传输互联网络可以是Internet或基于IP的专用Intranet。

2. 点对点隧道协议 (PPTP)

通过在基于IP的数据网络上创建VPN连接, PPTP能使数据安全地从远程计算机传输到专用服务器。PPTP支持通过公共网络 (Internet) 建立按需分配的、多协议的虚拟专用网。

作为点对点协议 (PPP) 的扩展而开发的PPTP, 增加了一个新的增强安全等级, 以及通过Internet的多协议通讯。通过使用新的“可扩展身份验证协议 (EAP) ”以及诸如证书这样的强大身份验证方法, 经由启用PPTP的VPN连接的数据传输, 就像在企业站点的一个LAN内那样安全。

PPTP可以将IP或IPX协议封装在PPP数据报内。这意味着您可以远程运行依赖于特定网络协议的应用程序。隧道服务器执行所有的安全检查和验证, 并启用数据加密, 使得在不安全的网络上发送信息变得比较安全。

PPTP需要在计算机和服务器之间建立IP连接。如果您是直接连接到IP局域网, 而且可以访问服务器, 就可以通过局域网建立PPTP隧道。但是, 如果要在Internet上创建隧道, 并且正常的Internet访问是与ISP的拨号连接, 则在创建隧道之前必须先拨号连接到Internet。

3. 第二层隧道协议 (L2TP)

第二层隧道协议 (L2TP) 是基于RFC的隧道协议, 该协议是一种业内标准, 首次是在Windows 2000客户端和服务器操作系统中所支持。L2TP依赖于加密服务的Internet协议安全性 (IPSec) 。L2TP和IPSec的组合被称为L2TP/IPSec。L2TP/IPSec提供专用数据的封装和加密的主要虚拟专用网 (VPN) 服务。

VPN客户端和VPN服务器必须支持L2TP和IPSec。L2TP与TCP/IP协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择, L2TP可以配置为5个或128个L2TP端口。

L2TP/IPSec数据包的封装:

(1) L2TP封装使用L2TP头文件和UDP头文件包装PPP帧 (包含一个IP数据包或一个IPX数据包) 。

(2) IPSec封装使用IPSec封装式安全措施负载 (ESP) 头文件和尾文件、提供消息完整性和身份验证的IPSec身份验证尾文件及最后的IP头文件包装L2TP结果消息。在IP头文件中有与VPN客户端和VPN服务器对应的源和目标IP地址。

(3) 加密使用Internet密钥交换 (IKE) 协商进程中生成的加密密钥, L2TP消息可用数据加密标准 (DES) 或三级DES (3DES) 进行加密。

4. 构建VPN网络时通讯协议的选择与身份验证

PPTP和L2TP/IPSec都需要经过身份验证。PPTP在身份验证通过后开始加密, 身份验证的过程没有加密, 其安全性稍低。L2TP/IPSec的身份验证过程是加密的, 安全性较高, 但L2TP/IPSec需要证书服务来验证计算机身份。

一般情况下, 因为PPTP配置简单, 可以选择PPTP;如果安全要求较高, 可以选择L2TP/IPSec, 配置稍微复杂, 对硬件要求也更高些。

三、Windows下IPSec VPN的实现

早在Windows NT 4.0时代, Windows就有了支持VPN技术的组件R R A S (远程及路由访问服务) , 而发展到了W i n d o w s2000/2003之后, RRAS组件更加完善和稳定。因此Windows Server都支持VPN服务器接入, 而Windows系统操作系统都可作为VPN客户端。Windows XP作为个人操作系统, 既具有了Windows Me操作方便的特性, 又具有了Windows 2000的网络特性, 因此在办公室、家庭以及移动应用中使用广泛, 此处以Windows XP为例说明VPN服务器的配置。

1. 系统要求

首先, 作为VPN服务器的计算机, 不能是Windows Server域中的成员;其次, 作为VPN服务的计算机应配有两块网卡, 其中一块连接Internet, 另一个连接LAN。

2. VPN服务器接入配置

(1) 依次选择“开始”“程序”“附件”“通讯”“网络连接”, 打开网络连接窗口;

(2) 在“网络连接”窗口中单击“创建一个新的连接”, 打开新建连接向导;

(3) 在网络连接类型中选择“设置高级连接”, 并在高级连接选项中选择“接受传入的连接”, 单击“下一步”;

(4) 在“传入的虚拟专线网 (VPN) 连接”中选择“允许虚拟专线连接”, 单击“下一步”;

(5) 在“用户权限”页中选择允许远程连入的计算机用户, 单击“下一步”;

(6) 在“网络软件”页中选择“Internet Protocol (TCP/IP) ”, 单击“属性”按钮;

(7) 在“TCP/IP属性”对话框中, 选择“允许呼叫方访问我的局域网”, 并根据实际情况给接入的计算机分配IP;

(8) 单击“完成”按钮, 此时在“网络连接”窗口即可看到一个名为“传入的连接”的图标。

四、结论