VPN服务器范文（精选11篇）

VPN服务器 第1篇

关键词：VPN,文件服务器,集中化管理

1 单位文档管理的发展及产生的问题

第一阶段：

以前我单位每天每个人都有大量文档的产生，如excel、word等等，这些文档很多都放在个人的电脑上，这样的方式造成文档都保存在各自的电脑上，管理混乱，无法共享，要找到一个文件需要费很大的功夫。如图1所示。

第二阶段：

这种管理方式已经不能适应单位的工作需要，因而开始考虑建立集中式的文件管理系统，因为单位不大只有50-60人，没有考虑购买专业的文档管理系统，于是采用了架设FTP服务器的办法来实行集中管理。用一台高性能、大存储的的PC机或服务器，在其上架设FTP服务器，并且在FTP服务器上建立用户和配置用户的目录权限。例如：建立一个名为“单位公共文件夹”的文件夹，这个文件夹里面放一些公司的通知，规章制度等，所有的用户都有读权限，只有办公室主任和总经理才有写权限。再建立各个部门的部门文件夹和每个部门内部各个用户的用户文件夹，各个部门的部门文件夹只有部门用户才可以读写，以此类推，按照单位部门层级建立多个用户和文件夹，最后确定用户的访问权限，公司总经理能查看和写“单位公共文件夹”，能够查看“部门文件夹”和所有员工的个人文件夹。各部门领导可以查看“单位公共文件夹”和读写“部门公共文件夹”及其查看本部门员工个人的文件夹，员工只能查看“单位公共文件夹”和读写“部门公共文件夹”、自己的文件夹。如图2和图3所示。

通过采用FTP服务器和建立用户和文件夹的权限设置，彻底解决了以往文件管理混乱的局面，使文档可以共享，增加了文档的安全性。

但是随着这种模式的使用，慢慢的另一个问题就出现了，那就是文件的同步问题。例如张三把他所图3文件夹层级的设置写的一个word文件上传到FTP服务器后，过一段时间他需要修改这个文件了就从FTP服务器上下载下来修改完毕后再上传回去，可能一个个两个文件他记得修改后上传，但是文件多了后，事情忙了后总有一些文件不记得回传到服务器上，这样就造成了文件的不同步，其他的同事如果去看张三的文件就可能看到的是旧的文档，极易影响工作。

于是这就开始考虑用另一种方式去解决这个问题。

第三阶段：

基于FTP文件服务器产生的不同步问题，我们考虑直接采用windows server 2003的文件服务器去建立集中的文档管理。因为NTFS文件系统的权限设置非常完备和安全，并且有极强的管理功能，能够追踪到写文件和删除文件的用户和时间。不同的用户登录到文件服务器上都只能打开属于他权限范围的文件夹，从而进行读写操作，这种读写操作是在文件服务器上对文件直接进行读写，不再有FTP服务器的同步问题的产生。于是就开始创建windows server 2003文件服务器。

2 架设windows server 2003文件服务器：

1)首先在windows server 2003操作系统上安装文件服务器，随后在将一个磁盘分区格式化为NTFS文件系统。

2)在windows server 2003操作系统上添加组和用户，将用户归属到各自的组里。如表1所示。

3)在NTFS分区上建立单位、部门和用户文件夹，如图4所示。

4)针对不同的用户组和用户给予不同的文件夹权限,在给予权限这一块我们要先做好精确的规划,哪个用户组和用户能做什么,最好先用用户组来规定一个所有组员能够做的事情,然后在每个用户权限里在个性化定制。还有一点要注意的是:共享文件夹里的权限和NTFS安全的权限设定是一种与的关系,也就是说哪个更严格就按哪个的执行,我们的权限划分按如下步骤进行:

第一步列出每个用户对所有文件夹的权限,如表2所示。

第二步汇总权限，先按用户组授予各个文件夹共有权限，在针对每个文件夹设置用户个性化权限。

(1)先建立一个“文档文件夹”，然后在其下建立“单位公共文件夹”、“总经理文件夹”等，如图4所示。

(2)设置“文档文件夹”为共享，如图5所示，在这重要的一点就是设置用户组organization可以访问“文档文件夹”，并且把organiza-tion的权限设为更改和读取。在此设置的权限要设大一些,如果只是设置读取,那么它里面的所有文件夹都不能进行更改和删除等操作了。要对里面的文件夹进行更严格的设置我们可以根据NTFS安全的权限去设置。

(3)在NTFS安全里打断“文档文件夹”从分区根目录的继承，如图6所示，注意在左上方的“文档文件夹属性”框里“组或用户名称”里会继承分区根目录的一些组和用户，进入此框的“高级”选项，进入“文档文件夹的高级安全设置”框里将“允许父项的继承权限传播到该对象和所有子对象”前面复选框里的√取消,然后在出现的一个询问界面里点击删除,取消所有从根目录继承来的组、用户及其权限。然后在“文档文件夹的高级安全设置”框里点击添加加入administrators组和organization组。如图7所示。

(4)administrators组是为了能够使administrator用户有权限设置“文档文件夹”的ntfs安全属性。

如图7所示，我们要保证organization组对“文档文件夹”里面的所有文件夹和文件有读取的权限，这些权限会自动继承到里面的所有子文件夹和文件，然后在针对每个文件夹进行用户的细化工作，也就是遵循一个原则：先将一些共有的权限赋予organization组的每一个成员，使他们对所有文件夹和文件有读取的权限，随后在每个文件夹里进行严格的约束。

那么针对“文档文件夹”来说，所有用户对第一层文件夹不能有创建文件夹和创建文件的权限，并且不能有删除文件和文件夹的权限。于是在左上方的“文档文件夹属性”框里给予organization组“读取和运行”、“列出文件目录”、“读取”、“修改”、“写入”五个权限。进入此框的“高级”选项，进入“文档文件夹的高级安全设置”框里，选中organization，然后点击编辑，进入“文档文件夹的权限项目”框里，取消“创建文件/写入数据”、“创建文件夹/附加数据”、“删除”、“删除子文件夹及文件”前面复选框里的√。

通过这样的设置，organization组的所有成员不能在“文档文件夹”的第一层文件夹及其里面的子文件创建新的文件夹和文件，并且不能删除文件和文件夹。

(5)对各层文件夹进行精确设置

A、对顶层“文档文件夹”及其子文件夹和文件来说，现在organization组的所有成员都只有读取权限。

B、针对“单位公共文件夹”设置各用户的权限。

首先设置ceo的权限，ceo对此文件夹具有读，写的权限，并且具有创建新文件夹的权限。设置如图8所示。

因为organization组对此文件夹不具有创建文件夹和文件权限，在ceo里加上去。

接着设置Businessmanager和Zhangsan的权限。因为这两个用户都是Businessdepatment组的成员，对“单位公共文件夹”都具有相同的读取权限，因而我们仅对Businessdepatment组设置权限，以下对其他文件夹的设置类同。如果有其他的部门组，都可以按组设置。又因为organization组对“单位公共文件夹”已经是读取的权限，因而不必针对Businessdepatment组再次设置。

C、针对“总经理文件夹”设置各用户的权限。先设置ceo的权限，ceo对此文件夹具有读，写及其删除的权限，并且具有创建新文件夹的权限。如图9所示。

接着设置Businessdepatment组的权限。Businessdepatment组对此文件夹没有任何权限。如图10所示。接着设置office组的权限。office组对此文件夹没有任何权限。图略。

D、针对“业务部门文件夹”设置各用户的权限。

先设置ceo和Businessdepatment组的权限，ceo和Businessdepatment组需要对此文件夹及其子文件夹具有读的权限，ceo的权限在子文件夹和文件会自动继承，因而不必在子文件夹和文件中再次设置。Businessdepatment组的成员对子文件夹和文件的权限下面进行个性化设置。因为organization组对“业务部门文件夹”已经是读取的权限，因而不必针对ceo和Businessdepatment组再次设置。

再设置Office组的权限。office组对此文件夹及子文件没有任何权限。office组的权限在子文件夹和文件会自动继承，因而不必在子文件夹和文件中再次设置设置。如图11所示。

E、针对“业务部公共文件夹”设置各用户的权限。

全部继承父文件夹的权限不需再设置。

F、针对“业务经理文件夹”设置各用户的权限。

ceo和Businessdepatment组不需再设置。Businessmanager用户需要对此文件夹及其子文件夹具有读，写及其删除的权限，并且具有创建新文件夹的权限。如图12所示。

Zhangsan对此文件夹及子文件没有任何权限。如图13所示。

G、针对“张三文件夹”设置各用户的权限。

其他用户继承父文件夹权限。Zhangsan用户需要对此文件夹及其子文件夹具有读，写及其删除的权限，并且具有创建新文件夹的权限。如图14所示。

至此为止，所有文件夹及其子文件夹和文件的所有用户权限都已经设置完毕，我们就可以开始进行网络访问了。

3 通过网络访问文件服务器

在网络中的任何一台电脑，在我的电脑中通过输入文件服务器的IP或机器名，回车后就会打开一个窗口，让你输入用户名和密码。如图15所示。

在此我们可以根据自己的用户名和密码输入，就可以看到文档文件夹，从而可以访问自己权限范围内的文件了。但是，在实际使用中，发现这样的方式访问经常只能局限在同一个子网内，跨网段的访问是无法打开文件服务器的，让我们分析一下windows下共享文件夹和文件的原理。

3.1 windows中Microsoft网络的文件和打印机共享

1)服务器消息块SMB(Server Message Block)

服务器消息块SMB(Server Message Block)是一种客户端/服务器文件共享协议。IBM于20世纪80年代末期开发了服务器信息块(SMB)，用于规范共享网络资源(如目录、文件、打印机以及串行端口)的结构。这是一种请求/响应协议。与FTP协议支持的文件共享不同，SMB协议中的客户端要与服务器建立长期连接。一旦建立连接，客户端用户就可以访问服务器上的资源，就如同资源位于客户端主机上一样。

SMB使用了NetBIOS的应用程序接口(Application Program Interface，简称API)。最近微软又把SMB改名为网络文件共享协议CIFS(Common Internet File System)，并且加入了许多新的特色，CIFS是SMB的一个公共版本。我们之所以能够在windows的网络邻居下共享文件，共享打印机，共享串口等，就是通过这个协议实现的。

2)NetBIOS

NetBIOS是应用程序编程接口，为应用程序提供了网络通信的一组函数。功能上类似于Socket;允许程序员在应用程序中加入网络能力，并减少实现数据传输的代码量。NetBIOS存在于会话层，因此它独立于低层协议。用NetBIOS接口编写的应用可以很容易在Novell、IBM LAN Server、Microsoft Networks、Mic rosoft LAN Manager等众多系统上运行.因此，NetBIOS是一个有众多网络应用支持的标准的会话层接口，作为事实上的标准，最初由I B M定义的NetBIOS定义了会话层的协议及应提供的服务.向上为表示层服务，向下使用传输层提供的服务。但这些服务可以由不同的方式实现。数字设备公司(Digital Equipment Corporation)提供DECnet、Novell提供IPX/SPX协议、Microsoft公司用NetBEUI协议(NetBIOS Extended User Interface)和TCP/IP两种不同方式为基于NetBIOS的应用提供网络传输服务。

3)SMB与NetBIOS协议

如表1所示。

4)NBT

TCP/IP协议是使用最广泛的网络协议，基于TCP/IP的NetBIOS称为NBT(N etBIOS over TCP/IP)。

按服务分解NBT，基于TCP/IP的NetBIOS(NBT)提供的服务可以分为三类：NetBIOS名称服务、NetBIOS数据报服务和NetBIOS会话服务。每个服务都为应用程序提供了一组独特的功能并对网络有着不同的影响。

NetBIOS名称服务：NetBIOS名称服务在单个网段中提供名称解决，也就是在网络上宣告自己的NetBIOS。NetBIOS名称服名称务使用OSI模型传输层的UDP端口137。由于NetBIOS名称服务采用广播进行名称解决，因此只适用于单个网段，对于典型的路由器TCP/IP网络，要使用lmhosts文件或wins服务。

NetBIOS数据报服务：NetBIOS数据报服务使用UDP端口号138，主要用于浏览器服务通知。这些消息用于在用户桌面系统中构建网上邻居。

NetBIOS会话服务：网络中产生的NetBIOS通信主要是因为使用NetBIOS会话服务。NetBIOS会话服务使用TCP端口139。文件和打印机服务构成了NetBIOS会话服务产生的通信的主要部分。如果在[网络邻居][属性][本地连接][属性]，打上了“Microsoft网络的文件和打印机共享”前面的勾，也就启用了文件和打印机服务，换句话说本机就变成了一台文件服务器或打印服务器(统称SMB服务器)。特别的是，在Windows NT中SMB基于NBT实现。而在Windows2000/xp/2003中，SMB除了基于NBT的实现，还可以直接通过445端口实现。

5)当windows2000以上的操作系统作为SMB文件服务器时，就面临着选择139或者445端口了。下面的情况确定会话使用的端口：

(1)如果SMB文件服务器启用了NBT，那么客户端连接SMB文件服务器的时候将同时访问139和445端口，如果从445端口得到回应，那么客户端将发送RST到139端口，终止这个端口的连接，接着就从445端口进行SMB的会话了;如果没有从445端口而是从139得到回应，那么就从139端口进行会话;如果没有得到任何回应，那么SMB会话失败。

(2)如果SMB文件服务器禁用了NBT，那么客户端连接SMB文件服务器的时候就将只从445端口进行连接。

6)当我们在同一个网段中用客户端去连接SMB文件服务器时，肯定能够连接。但是一旦我们的客户端和SMB文件服务器不在同一网段时，问题就出现了，客户端经常不能连接SMB文件服务器，现象就是在我的电脑中通过输入文件服务器的IP或机器名，会提示找不到文件服务器的IP或机器名。不会出现图14的画面。

3.2 问题分析

看来问题出在跨网段的路由器或三层交换机上，为了证实这个问题，做了两个场景下的访问SMB文件服务器时的抓包实验。

第一个场景是在一台windows server 2003上装两块网卡，在两块网卡上设置不同网段的IP地址，一个网段接SMB文件服务器，一个网段接客户端，如图16所示。

这个软路由上不做任何限制，可以通过任何的通信。用192.168.0.63访问202.192.135.101,在我的电脑中通过输入文件服务器的IP(202.192.135.101)，会出现图14的画面。

对刚才的过程用sniffer pro软件抓包，如图17所示，发现客户端会去连接SMB文件服务器的139和445端口。

第二个场景是在真实的业务环境下，SMB文件服务器位于一个网段，客户机位于另一个网段，之间通过路由器或三层交换机相连。如图18所示。

特别注意的是在客户端和SMB文件服务器之间有可能不止一个路由器或三层交换机。

同样的在客户端10.0.0.180访问202.192.135.101,在我的电脑中通过输入文件服务器的IP(202.192.135.101)，出现错误提示，如图19所示。

对刚才的过程用sniffer pro软件抓包，如图20所示：

发现客户端会去连接SMB文件服务器的139和445端口，但是SMB文件服务器的139和445端口都未对客户端的连接做出任何响应，因而会出现图18的错误提示。

可见出于NetBIOS总所周知的安全问题，一般的路由器或三层交换机都会将NetBIOS的端口(UDP 137 138,TCP 139 445)屏蔽掉，也就是说路由器或三层交换机会建立一系列ACL，只要数据包的UDP和TCP端口是NetBIOS的端口，就会将此数据包丢弃。

4 通过VPN拨号远程访问文件服务器

既然路由器或三层交换机都会将NetBIOS的端口(UDP 137 138,TCP 139 445)屏蔽掉，那么就要找到一种办法让客户端和SMB文件服务器位于同一网段内，这就是VPN的应用场景了。

4.1 VPN简介

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。示意图如图21所示。

4.2 在SMB文件服务器上架设VPN服务器

在windows2003中VPN服务称之为“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效即可。

第一步：依次选择“开始”-“管理工具”-“路由和远程访问”，打开“路由和远程访问”服务窗口;再在窗口右边右击本地计算机名，选择“配置并启用路由和远程访问”。

第二步：在出现的配置向导窗口点下一步，进入服务选择窗口，选择第一项，然后一路点击下一步，完成开启配置后即可开始VPN服务了。

第三步：设置IP地址，在这里我们定义起始IP地址为11.0.0.1，结束IP地址为11.0.0.100共100个。

第四步：给予表2中的用户在“用户属性”-“拨入”-“远程访问权限(拨入或VPN)”允许访问的权限。

4.3 VPN客户端配置

这一端配置相对简单得多，只需建立一个到VPN服务端的专用连接即可。第一步：在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”，继续下一步，在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。

第二步：在“VPN服务器选择”窗口里，等待我们输入的是VPN服务端的IP(SMB文件服务器上架设VPN服务器的IP202.192.135.101),接着出现的“可用连接”窗口保持“只是我使用”的默认选项;最后，为方便操作，可以勾选“在桌面上建立快捷方式”选项，单击完成即会先出现如VPN连接窗口。输入访问VPN服务端合法帐户后的操作就可开始连接了。连接成功后在右下角状态栏会有图标显示。并且VPN服务器会分配11.0.0.2至11.0.0.100中的一个IP给客户端，这样客户端就和SMB文件服务器的IP11.0.0.1位于同一网段，也就可以访问文件服务器上的共享资源了。

5 总结

采用windows server 2003的文件服务器去建立集中的文档管理。可以做到文档的实时同步，也增加了文档的安全性，并且便于管理。如果固定在一台电脑上用同一个账号访问文件服务器，还可以将文档文件夹映射为本地的一个硬盘，这样就可以像访问本地硬盘一样访问文件服务器了。在一些大型的的局域网中，通过VPN连接文件服务器绕过了路由器和三层交换机的屏蔽，可以像在本地网段一样轻松的访问文件服务器，在局域网中，速度和本地网段几乎没有区别，速度非常快。如果你的文件服务器能够发布到公网上，那么任何位于外网的用户同样可以连接通过VPN连接访问文件服务器，达到了远程办公的目的。

参考文献

[1]Uyless Black.TCP/IP and Related Protocols[M].Mc Graw-Hill,1998,1:2-21.

[2]汤教坚.计算机实用网络编程[M].北京:人民邮电出版社,1995:1-73.

VPN服务器 第2篇

VPN是什么意思？

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”.顾名思义，虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.----

这一个VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”.顾名思义，虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.他可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或者是多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是他并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止 Arp病毒)等硬件设备.VPN技术原是(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)具有的重要技术之一，目前在交换机，防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)设备或者是WINDOWS2000等软件(soft)里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网.虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的,安全的连接，是一条穿过混乱的公用网络的安全,稳定的隧道.虚拟专用网是对企业内部网的扩展.虚拟专用网可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现安全连接；可以用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯，更多更丰富的相关方面内容我们将在以后日子里进行补充.针对不相同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）,企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络,企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应.VPN有什么用？

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

方正VPN安全网关 第3篇

评选理由：鞭的由来与锏相同，惟戬必双用，鞭则有单双软硬之分，但是现在普遍所见都是软鞭。鞭要求演习者在身法上转折圆活，刚柔合度；步伐轻捷奋迅，与手法紧密配合。软鞭是软硬兼施的兵器，其特点是身械协调性强，演练者强，既要有击打速度，又要体现灵巧的方法。尤其舞动时，上下翻飞，相击作响，如银蛇飞舞，使人眼光撩乱。方正VPN安全网关是集VPN（虚拟专用网）和防火墙功能于一体的硬件网关设备，同时具有VPN客户端和集中管理软件，整个系统采用先进的认证、加密、访问控制和隧道封装技术，支持策略集中统一管理，可谓软硬兼施，灵活方便。

产品简介：方正VPN安全网关是集VPN（虚拟专用网）和防火墙功能于一体的硬件网关设备，是采用先进的认证、加密、访问控制和隧道封装技术，支持策略集中统一管理，能满足企业总部和分支之间、企业和合作伙伴之间、移动办公用户和企业之间安全连接的需求，还可作为专线的备份线路。适用于静态地址、动态地址、NAT穿越等各种应用环境。适用于静态地址、动态地址、NAT穿越等各种应用环境，能够满足从大型企业集团到中小型企业、政府机关、行业用户的各种组网要求。

方正VPN系统由三部分组成：VPN安全网关、安全管理中心SecuwayCenter2000和VPN客户端SecuwayClient2000。整个系统采用模块化设计，用户可以根据实际需要灵活配置。对于中小企业，由于VPN设备不多，也可以不采用SecuwayCenter2000，直接采用网关自带的GateAdminPro管理软件进行安装、配置，从而最大限度地节省用户的投资，减少系统的维护量。

方正VPN安全网关特点：

独创的芯片级设计思想

独创的芯片级设计是方正VPN在稳定性、安全性和性能方面得以出色表现的坚实基础。它独特的体系结构消除了传统VPN系统中由于使用通用处理器、通用操作系统而导致的自身安全漏洞、稳定隐患和性能瓶颈，同时依然提供了基于完全状态检测的网络通信安全。

使用超级VPN加速芯片

采用芯片级的设计，极大地提高了自身的可靠性和效率。 使用针对VPN高强度运算优化的超级芯片，VPN通讯速度达到软件模拟的10倍以上。

获得专利的黑区安全体系

可灵活提供了一个安全的监视区域，并提供与其他网络安全技术的联动接口。黑区可帮助管理员对整个网络进行安全监控，能够与众多主流入侵检测系统无缝联动，并联合其他安全产品形成立体网络安全体系。

强大的集中管理功能

利用SecuwayCenter2000安全管理中心可对VPN策略、VPN隧道、VPN客户端进行有效的管理。同时SecuwayCenter2000还是证书分发中心、身份认证中心、日志信息收集和分析中心。通过SecuwayCenter2000对VPN网络进行有效的管理。安全管理中心包括SecuwayCenter2000管理中心、SQLServer 数据库和Radius服务器。

独一无二的自毁保护

提供国际先进理念的物理安全，可保证不因人为的物理损坏而导致策略失效和敏感信息泄密，符合国际和国内标准所规定的安全系统本身高安全性的要求。

多ISP线路接入

VPN服务器 第4篇

1 VPN技术内涵与功能优势精细化探究

VPN技术基本上等同于虚拟专用网络, 其核心任务始终在于透过既有公用网络架构形态, 进行专用服务机制延伸。所谓的虚拟网络, 强调的是在对应VPN体系内部不同节点之间的连接模式, 往往主动规避以往端对端的物理链路准则, 对应地希望主动和公用网络服务商家进行交流合作, 借助异步传输方式或是帧中继等逻辑型网络空间, 实现各类用户在逻辑链路中的信息高效传输指标。涉及此类技术功能优势特征具体表现为:

首先, 数据传输方面足够安全可靠。实际上, VPN希望快速开放沿用一类隧道空间, 全程监管各类数据传输细节并在适当状况下予以加密调试, 避免用户连接过程中衍生任何突兀反应。

其次, 连接模式上较为简易灵活。如若特定用户想要与固定组织进行长期联网合作, 一旦说全面脱离虚拟专用网络架构, 彼此之间便只能利用协商途径, 开展特殊性租用或是帧中继线路的构筑活动项目;需要加以强调的是, VPN不管是在Internet或是Extranet等不同类型数据流内部适用能力都极为可观, 对于特定结构单元灵活、扩充性能舒展辅助功效可谓是极为深厚。

再次, 长期发挥完全控制能效。VPN技术沿用主体, 希望长期改良拓展ISP设施既有服务功能, 并且确保自身网络主体控制权力的有效维持结果。因此, 各类用户基本上单纯配合ISP进行不同网络资源开发供应, 至于自身结构网络安全性能管理工作也可单独处置。

最后, 通信费用的高度节约。基本上便是科学调试广域网、远程访问等设备, 在系统化安装和科学维护期间所要耗费的成本数量。

2 结合VPN技术高效延伸学校网络资源服务范围的策略内容细致解析

2.1 技术实现方式探究

透过以往实践调查经验整理判定, 涉及VPN技术交接控制手段众多, 出现频率较高的结构样式具体如下所示:

(1) VPN服务终端, 尤其在大规模局域网络空间内部, 能够借助VPN在网络中心构筑服务单元的途径加以过渡延展。

(2) 软件形式的VPN, 便是利用专业化软件程序进行VPN技术指标贯彻;相应的硬件形式的VPN, 便是利用各类硬件资源完成VPN技术整体改造任务。

(3) 集成化VPN, 其内部提供的硬件设备资源种类丰富, 包括路由器、防护墙等, 内部基本上都会涵盖一定程度的VPN服务功能特性。

2.2 以学校网络资源服务范围拓展延伸为指标的VPN技术改良方案解析

2.2.1 对于不同结构单元设计思路的整理设定

主要是结合不同校区既有外网接入案例进行即时性验证, 毕竟其对于数据安全性保留较高的敏感回应特性, 目前规划主体要做的就是, 主动联合学校既有资源条件, 全程VPN设备不管是针对内网服务端或是外网客户来讲, 涉及内部交接的通讯数据, 都有必要进行加密调试, 实质上就是利用一条专用网络链路实现预设的精准传输绩效指标。在确保数据安全结果基础上, 进行平台资源适当开放共享, 进一步为学校日常教学、技能实训等活动提供便利性指导条件。

2.2.2 涉及VPN技术整体服务功能延伸控制手段补充

现如今包括单位学生各类信息录入、检索, 以及学校教学、实训资源下载等几乎全面实现, 有关整体延伸控制手段具体如下所示:

(1) 在合理时间范围内将VPN设备在校园网络管理中心机房柜之上安置。

(2) 精准、灵活地选取VPN设备资源。有关设备型号可以选定为VPN2050, 防火墙吞吐量:150Mbps;最大并发会话数:350000;SSL-VPN加密速度:100Mbps;并发SSL用户数:300;每秒新建用户数:60;IPSec-VPN加密速度:75Mbps;IPSec-VPN隧道数:3000;网络接口:4个千兆电口;1U机架式。

2.2.3 教授各类用户较为合理的使用方式

(1) 授权接入用户使用学校XX校园网系统。对于各类授权用户来讲, 其可以直接进行特定学校网络主页, 并进行对应链接内容点击, 之后依照系统提示完成操作。VPN用户, 实际上就是临时利用学校提供的用户名、密码信息进行界面登陆的人员, 一旦说VPN验证通过之后, 操作主体就可以随时在特定校园网中进行链接内容直接点击。

(2) 授权用户对学校FTP服务器资源进行访问、下载方法。授权用户接入FTP服务器的方法与进入XX校园网前的操作方法相同, 只不过在通过VPN用户验证后在显示的页面中点击“FTP服务”而直接进入服务器进入资源下载, 第一阶段尚未考虑开放上传功能。

3 结语

综上所述, 经过特定校园内部网络平台系统化改良开发过后, 使得相关技术人员更加细致地掌握VPN技术对于网络信息安全共享的规范调试要诀, 对于日后校园内部异质化网络资源服务空间延伸来讲, 指导意义非凡。相信长此以往, 必将能够为我国各类院校网络文化建设和安定和谐秩序管理前景有机绽放, 提供前所未有的支撑延展动力。

参考文献

[1]熊聪.关于虚拟专用网络的研究与运用[J].科技信息, 2010, 29 (28) :123-130.

[2]韩冬梅.局域网VPN技术的应用探析[J].硅谷, 2014, 16 (13) :97-101.

VPN研究报告 第5篇

互联网的普及、移动通信技术的进步、信息化程度的提高，使全世界的数字信息高度共

享成为可能。中国高校也越来越重视数字化校园的开发，依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一，电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义，数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。

二、选题背景

随着教育信息化的深入，很多学校都建立了校园网，为了实现校内资源优化整合，让师

生们更好的进行工作和学习，他们需要在校园网内部或在校外的远程节点上，随时享受校园网内部的各项服务，然而由于互联网黑客对各高校的资源虎视眈眈，在没有经过任何允许的情况下，黑客们很容易就潜入校园网内部进行捣乱，为此，多数校园网都不会将自己的各种应用系统和所有信息资源完全开放，因为这样让整个校园网面临无以估量的破坏性损失，为了网络安全考虑，将vpn技术应用于基于公共互联网构架的校园网，可以较好的解决校园网多校区、远程访问、远程管理等问题。

三、vpn简介

虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安

全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

四、vpn功能

vpn可以提供的功能： 防火墙功能、认证、加密、隧道化。

vpn可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个

企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一，在交换机，防火墙设备或windows 2000等软件里也都支持vpn功能，一句话，vpn的核心就是在利用公共网络建立虚拟私有网。

五、vpn常用的网络协议

常用的虚拟私人网络协议有：

ipsec : ipsec(缩写ip security)是保护ip协议安全通信的标准，它主要对ip协议分组进行加密和认证。ipsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分： vpn加密分组流的封装安全载荷（esp）及较少使用的认证头（ah），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，ike协议是唯一已经制定的密钥交换协议。

pptp: point to point tunneling protocol--点到点隧道协议。在因特网上建立ip虚拟专用网

（vpn）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。l2f: layer 2 forwarding--第二层转发协议

l2tp: layer 2 tunneling protocol--第二层隧道协议 gre：vpn的第三层隧道协议

六、vpn研究问题

? vpn如何解决校园网安全风险

对于校园网而言，它虽然给师生带来了资源共享的便捷，但同时也意味着具有安全风险，比如非授权访问，没有预先经过授权，就使用校园网络或计算机资源；信息泄漏或丢失，重要数据在有意或无意中被泄漏出去或丢失；以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息；不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪；利用网络传播计算机病毒等。那么，校园网利用vpn技术方案，是否能避免校园网的潜在安全隐患，杜绝上述情况的发生呢？

vpn即虚拟私有网络技术，它的安全功能包括：通道协议、身份验证和数据加密，实际工作时，远程外网客户机向校园网内的vpn服务器发出请求，vpn服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到vpn服务端，vpn服务器根据用户数据库检查该响应，如果账户有效，vpn服务器将检查该用户是否具有远程访问的权限，如果该用户拥有远程访问的权限，vpn服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说，vpn可以通过对校园网内的数据进行封包和加密传输，在互联网公网上传输私有数据、达到私有网络的安全级别。? 选择ipsec vpn还是ssl vpn 校园网vpn方案可以通过公众ip网络建立了私有数据传输通道，将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来，减轻了校园网的远程访问费用负担，节省电话费用开支，不过对于端到端的安全数据通讯，还需要根据实际情况采取不同的架构。一般而言，ipsec vpn和ssl vpn是目前校园网vpn方案采用最为广泛的安全技术，但它们之间有很大的区别，总体来说，ipsec vpn是提供站点与站点之间的连接，比较适合校园网内分校与分校的连接；而ssl vpn则提供远程接入校园网服务，比如适合校园网与外网的连接。

从vpn技术架构来看，ipsec vpn是比较理想的校园网接入方案，由于它工作在网络层，可以对终端站点间所有传输数据进行保护，可以实现internet多专用网安全连接，而不管是哪类网络应用，它将远程客户端置于校园内部网，使远程客户端拥有内部网用户一样的权限和操作功能。ipsec vpn还要求在远程接入客户端适当安装和配置ipsec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些ipsec客户端软件能实现自动安装，不需要用户参与，因而无论对网管还是终端用户，都可以减轻安装和维护上的负担。? vpn为校园网带来哪些应用

在校园网中，通过vpn给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么，vpn能为校园网带来哪些具体应用优势呢？首先就是办公自动化，比如校园办公楼共有40个信息点，此时可以通过校园网连至internet用户，实现100m甚至1000m到桌面的带宽，并对财务科、人事科等科室进行单独子网管理。还可以利用vpn在校园网内建立考试监控系统、综合多媒体教室等，比如学校具有两个多媒体教室，每个教室60台pc，通过校园网上连至internet，实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的pc通过校园网上连至internet，而不进行任何布置。

校园网采用vpn技术可以降低使用费，远程用户可以通过向当地的isp申请账户登录到internet，以internet作为通道与企业内部专用网络相连，通信费用大幅度降低；学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校，各个分校和培训场所网络整合使学校的信息化管理成本必然的增加，比如学校的数据存储，许多学校都采用了分布式存储方式，其具有较低的投资花费和软件部署的灵活性，然而其管理难度高，后期维护成本高，如果采取vpn服务器，可以对各分校进行web通讯控制，同时又可以实现分校访问互通。为了让师生共享图书资源，与国外高校合作交换图书馆数据，以及向国外商业图书馆交纳版权费，获得更多电子文献资料的浏览权，很多高校都建立了数字图书馆，但在应用上也会产生相应的约束性，比如说为了保证数据信息的知识产权，浏览者必须是已缴纳版权费的本校内网地址，或则被校方授权过的内部合法师生，此时采用vpn加密技术，数据在internet中传输时，internet上的用户只看到公共的ip地址，看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外；在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。? vpn支持哪种校园网接入方式

在教育机构的校园网，由于不同地区、不同学校的条件不同，它们选择的网络接入方式也有差异，比如条件不大好的中小学校，可能还在采取模拟电话、isdn、adsl拨号上网，而对于条件好的高校，则采取了光纤或ddn、帧中继等专线连接，那么，vpn方案到底支持哪种接入方式呢？实际上，vpn可以支持最常用的网络协议，因为在internet上组建vpn，用户计算机或网络需要建立到isp连接，与用户上网接入方式相似，比如基于ip、ipx和netbui协议的网络中的客户机都能使用vpn方案。

七、vpn在校园图书馆系统中的调查分析

数字图书馆的版权问题不容忽视，不管什么类型的图书，都要遵循数字版权保护(digital rights management，drm)的规定，通过安全和加密技术控制数字内容及其分发途径，从而防止对数字产品非授权使用。

正是在这样一种保护知识产权的背景下，高校图书馆所购买的电子资源大部分都有限制访问的ip地址范围。即:

1、采购的这些数据库不是存放在图书馆服务器上，而是存储在提供商的服务器上，图书馆支付费用以后，数据库服务商是根据访问者的ip地址来判断是否是经过授权的用户。

2、只要是从校园网出去的ip地址都是认可的，因为校园网出口ip和部分公网ip地址是属于这个有限范围的，所以校园网上的所有上网计算机都可以使用。

3、如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源，无论采用pstn拨号、adsl、小区宽带，使用的都是社会网络运营商提供的ip地址，不是校园网的ip地址范围，因此数据库服务商认为是非授权用户，拒绝访问。当然，我们也可以要求服务商进一步开放更多的ip地址为合法用户，但是这要求访问者的ip地址是固定的、静态的，而实际上，绝大多数校外用户使用的都是动态ip地址，是不确定的，所以数据库服务商无法确定访问者的合法身份，因而自动屏蔽。

因此，就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案，将校园网当作校外用户的中转站，使校外用户通过鉴权后拥有校内地址再访问资源数据库。到底有没有这样一种方案呢?虚拟专用网即vpn技术，给了我们很好的答案。vpn是虚拟专用网的简称，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商)，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的物理链路资源动态组成的。

实际上，目前国内已经有不少高校采用了或者正常尝试使用vpn技术来解决这个问题，而且大多是采用的ipsec vpn技术。利用ipsec技术，校外用户在本机安装一个vpn客户端软件后经过配置连入图书馆网络，ipsec vpn中心端会给每个远程用户分配一个校园网ip地址，从而实现远程用户以校园网用户身份访问电子资源。

虽说ipsec vpn是目前vpn的主流技术之一，但ipsec协议最初是为了解决site to site的安全问题而制定的，因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。

首先是客户端配置问题:在每个远程接入的终端都需要安装相应的ipsec客户端，并且需要做复杂的配置，随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了ipsec 客户端难以配置和维护的问题，但是还是无法避免在每个终端上安装客户端的麻烦，而且即使这些客户端很少出问题，但随着用户数量的增多，每天需要维护的客户端绝对数量也不少。

其次是ipsec vpn自身安全问题:往往传统的ipsec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径，并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展，新兴的vpn厂商已经着手改进这些问题并取得了相应的成绩)。

然后是对网络的支持问题:传统的ipsec vpn在网络适应性上都存在一些问题，虽然一些领导厂商已经或正在解决网络兼容性问题，但由于ipsec vpn对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口)，因此客户端的网络适应性还是不能做到百分之百完美。

最后是移动设备支持问题:随着未来通讯技术的发展，移动终端的种类将会越来越多，ipsec 客户端需要有更多的版本来适应这些终端，但随着终端种类的爆炸性增长，这几乎是不可能的。

因此，ssl vpn技术应运而生。ssl vpn的突出优势在于web安全和移动接入，它可以提供远程的安全接入，而无需安装或设定客户端软件。ssl在web的易用性和安全性方面架起了一座桥梁。目前，对ssl vpn公认的三大好处是:首先来自于它的简单性，它不需要配置，可以立即安装、立即生效;第二个好处是客户端不需要安装，直接利用浏览器中内嵌的ssl协议就行;第三个好处是兼容性好，可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆，ssl vpn技术采用了一种类似代理性质的技术，所有的访问都是以ssl vpn设备的lan口的名义发起的，所以只要ssl vpn设备的lan口ip是一个合法的校园网ip，所有成功接入ssl的校外用户都可以成功访问这个ssl vpn设备lan口所能访问的资源。

但ssl vpn并不能取代ipsec vpn。因为，这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性，更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过internet建立的安全连接，保护的是点对点之间的通信，并且，ipsec工作于网络层，不局限于web应用。它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。从高校应用来看，由于ssl接入方式下所有用户的访问请求都是从ssl vpn设备的lan口发起的，对于那些对单个用户流量有严格限制的资源商来说，这些ssl用户的访问会被当成一个用户对待，很快就会因为达到资源商的流量限制而造成该ip被禁用，也就导致所有ssl用户无法继续访问图书馆资源。

那么，高校图书馆应该选择何种vpn技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看，比较合理的应用方式应该是ipsec和ssl共同使用。

正如我们前面所分析的，上游资源商对于资源的应用是有限制的，除了限制发起请求的ip地址外，还会限制单个ip地址所产生的流量，因此在图书馆大量的校外用户群中，我们将用户分为两个类型，一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主，数量较少)，另一类则是使用次数较少、访问数据不多的用户(以学生为主，数量较多)，通过用户划分，我们给访问量大但数量少的教师用户分配ipsec接入方式，这样就可以把大量的用户流量分配到不同的ip地址上，避免单个ip流量过大造成的问题，而那些数量众多但访问量小的学生用户分配ssl接入方式，利用ssl vpn无需部署客户端的特性大大降低客户端的维护工作量，从而实现vpn在图书馆应用的快速部署。经过长时间的测试，华师图书馆选择使用国内专业vpn厂商深信服科技推出了ipsec/ssl 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和ssl vpn功能，利用两种技术的集成很好解决了图书馆应用的需求，同时一体化的设计能够大幅度的降低整个vpn产品的投入，满足教育行业低成本高效率it建设的需求。

八、结论

建立VPN轻松实现远程协助 第6篇

TeamViewer对于PC远程协助就是不错的解决方案，现在它提供的Android与iOS的应用程序就能很好地建立移动设备与PC之间的特殊通道。

首先，在需要远程协助的PC安装TeamViewer软件。安装步骤虽然简单，但是需要用户注意的是，在选择安装类型这一步骤时选择“Yes”建立无人值守，以便用户随时访问远程PC，并注意选择“使用TeamViewer VPN”用来创建安全的VPN远程控制链接。之后程序会自动弹出设置无人值守安装向导，依次设置PC用户名与预定义密码，以后无需在PC端操作即可使用Android或iOS设备远程控制了。

完成安装后，运行TeamViewer即可获得一个远程连接ID，在移动终端连接PC主机时，只需将刚获得的ID与预定义密码输入即可，不用操控PC端获得TeamViewer随机生成的连接密码。

接下来，就在手机或平板电脑中下载并安装移动版的TeamViewer应用。运行应用后，在登录界面中输入远程PC的ID与预设密码，也可以通过“伙伴”功能，直接输入预设的PC用户名与密码连接。

触控“连接至伙伴”按钮，即可看到PC端桌面，可以通过触屏操作来控制鼠标、图标的拖动以及屏幕的缩放，双手指点击可实现鼠标右键功能。

VPN服务器 第7篇

基于VPN技术的通信服务迅速发展,但带来日益突出的信息安全问题。政府部门对VPN业务的管理做出了一些规定,但由于针对VPN加密隧道通信技术尚缺乏有效的安全监测手段,信息安全管理存在空白,违规信息很容易躲避网络监控系统的过滤及监管。

对此,业界应以技术攻关为重点,尽快研究针对VPN加密隧道通信技术的监测手段,提升相关信息安全系统能力,同时加大管理力度,提升信息安全管控水平,实现VPN业务健康发展。

VPN技术通信服务迅速发展

VPN(Virtual Private Network,虚拟专用网)指通过对连接到公共网络环境中特定节点集合施加特定的控制策略,所形成的相互间具有可达连接的闭合性用户群网络。

VPN技术的特性是利用共享的公众网络资源为特定用户提供具有一定安全性和保密性的逻辑通道,将分散的用户侧网络、主机连接起来,实现虚拟专网内用户数据包透明传送;同时,用户可在一定程度上自主地对VPN通道的相关控制策略进行操作和管理。

按所属节点接入形式的不同,VPN技术应用主要有网络到网络互联和主机到网络互联两种形式。对于主机到网络互联形式,目前尚无相应的管理法规;属于网络到网络互联形式的应用有6类,其中两类无管理法规,其他4类有管理法规。

《电信业务分类目录》对这4类业务做了明确规定:1)依托国内互联网实现的闭合性用户群VPN服务,属于第一类增值电信业务(B13);2)基于国内公共数据网络(承载网、帧中继和ATM等)实现的国内端到端数据传送业务,属于第二类基础电信业务(A23-1);3)通过互联网国际出入口提供的国际闭合用户群数据业务,属于第一类基础电信业务(A14-1);4)利用国际线路或国际专线等数据网络资源提供的国际数据通信业务,属于第一类基础电信业务(A14-4)。

目前国内VPN业务的主要市场份额集中于基础运营商,其中中国电信占据40%,中国联通30%。其他获得国内VPN业务牌照的中小型增值运营商,主要运营模式是以低价租用电信、联通的电路构建骨干网,再向其客户提供VPN服务。国际VPN业务也以中国电信、中国联通为主,均在10亿元人民币规模,属于高增长业务,业务年增长率基本在30%左右。

基于VPN的信息安全问题日益突出

各类基于VPN技术的通信服务迅速发展,与市场高速增长形成强烈对比的是,近年来所产生的信息安全问题日益突出。以谷歌云(Google drive)为例,该应用目前在我国属于违规禁用范畴,但通过VPN加密管道,用户可以绕过监测管控环节进行访问并使用谷歌云服务,从而实现与境外节点的不受控的信息交互。

目前,一些基于VPN技术的网络服务和应用已纳入电信业务管理范畴,业务分类、经营主体和权限等在有关规定中都有明确的界定,但在信息安全管理上还是一个空白,究其原因,主要是缺乏针对VPN加密隧道通信技术的监控手段。

一、对VPN加密隧道技术缺乏监控手段。

VPN技术(主要是IP隧道技术)具有专用(用户间数据实现逻辑隔离)、安全(以加密通道对用户通信数据进行保护)、自主(用户自主控制、承载业务多样)等特性,导致难以借助现有技术手段对VPN用户(自主加密)的业务(数据)实施有效的安全监测和管理。

VPN技术是使用正常的信道(公用网络)建立一条专属的加密信道(专用网络)。国内用户可以通过VPN方式连接到境外虚拟专用网络,用户的下载及浏览请求就会传送到境外虚拟专用网络,然后境外虚拟专用网络完成下载或浏览操作,并将国内用户请求的资源加密传输回来。

对于这种加密信道通信方式,目前还不具备相应的监控技术手段,主管部门、业务运营商无法监测VPN用户的业务应用行为和数据流量属性,也不能对潜在的从事境外违规信息浏览和交互等行为进行查处,因此违规信息很容易躲避网络监控系统的过滤及监管,信息安全管理要求无法落实。

二、对境外资源的访问和应用无法控制。

目前,除了由国内运营商提供的VPN业务,网络上还存在或免费、或收费的其他VPN服务,这些VPN服务主要面向个人,采用L2TP、PPTP、IPsec等加密隧道协议,通过租用国外运营商的网络资源,向国内用户提供相关服务。用户可使用拨号等客户端软件通过架设在国外的服务器,获取国外IP地址,实现对境外资源不受控访问和应用。

在这个过程中,用户数据经过L2TP、PPTP等协议加密封装后,在公网中传输,而VPN的运营者通过向国内用户销售账号获取利润。由于缺乏对VPN加密管道技术的有效监管手段,同时此类VPN账号都是通过网络销售,服务器架设在国外,这类应用对我国信息安全已构成威胁。

信息安全管控对策和建议

VPN业务市场需求大,发展快,同时在监控技术上又存在难点,影响了信息安全管理的落实。我们建议业界各方从多个方面采取措施,加强有效管控。

一是组织技术攻关。尽快研究针对VPN加密隧道通信技术的监控手段,适时改造和提升相关信息安全系统能力,应对更加复杂的挑战;同时进一步强化国内网络环境的VPN业务信息安全监管,严格限制拨号接入点位于境外的主机拨号接入式VPN应用。

二是加大管理力度。行业主管部门应进一步加强市场监管,要求业务运营商通过签订协议、技术手段监测等方式,对用户及其业务应用行为进行切实有效的信息安全管理和监督。应明确业务定位仅面向企业用户,不得向个人用户提供VPN业务,承担业务合作和经营过程中对合作单位行为的规范与监督责任,严格履行VPN业务信息安全数据上报、信息备案的义务。

VPN服务器 第8篇

南凌科技重点推出的IP-VPN产品，具有部署灵活、扩展性强、节省费用、多业务融合等优势。使客户不再为日益扩大的网络需求和寻找高品质，有Qo S(服务质量)和SLA(服务水平承诺)保证的网络服务而苦恼，保证了企业总部与各分支机构之间的透明连接和传输数据、促进信息的传递。

同时，为了给客户提供更加便捷优质的服务，在高交会期间，南凌科技正式启用了400全国统一服务热线：400-700-6699，通过人工和自动语音方式，提供小时故障受理、服务投诉意见处理、业务咨询服务。所有客户及合作伙伴，可以采用灵活多样的通信方式(固定电话、小灵通和移动电话均可)接入南凌科技客户服务中心，为客户免去长途费用的同时提高服务效率。

回顾12年的发展历程，南凌科技作为国内最专业的ICT服务商，一直以"即时、可靠、主动、专业"的服务精神和优质服务，赢得行业内的高度名誉以及众多客户的信任与支持。目前，南凌科技已为国内2000多家大中型客户提供了优质服务，实现信息网络价值，显示出全方位综合服务的实力。

自2008年2月获得全国首批IP-VPN业务经营许可证以来，南凌科技更以提供优质客户服务为自己的使命，与香港萃峰公司合作引进先进的OSS服务系统，通过开展内部流程改造，提升管理水平，加强管理效益，提高服务质量，旨在使服务质量达到世界级电信运营标准，增强客户满意度，突出在服务方面的品牌优势。

VPN技术应用 第9篇

1 VPN的工作原理

VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护,数据完整性保护,数据源身份认证,数据重放避免的方法进行数据保护的技术。

1.1 网络风险

数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括:攻击者在拨入链路上实施监听;ISP查看用户的数据;In-ternet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器,明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据,逐段加密不能防止报文在路由器上被抓取,恶意的ISP(网络提供商)经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险:数据在安全网关中是没有经过加密的,所以网关管理员可以随意查看机密数据,网关本身也会存在漏洞,一旦被黑客攻破,流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险:内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等,内部员工可以获得企业内部网的数据报文。

数据源身份伪造:发送信息者伪造别人的身份进行信息的传送,而接收者不能明确的确定发送者的身份,从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导身份发送重要的决策指令将会给公司和企业带来重大的损失。

信息篡改,截断:当黑客通过其他相关手段掌握了信息的传递方式,以及信息格式等相应的规律后,通过各种方法,将网络上传送的报文信息在中间路由器上被修改,然后再发向目的地,这种方式是恶意者常使用的方法[9]。

重放攻击:重放攻击又称重播攻击、回放攻击是计算机世界黑客常用的攻击方式,所谓重放攻击就是恶意人员发送一个目的主机已接收过的包,让系统重新执行相关操作来进行恶意活的过程,这种方式主要用来身份认证阶段。

1.2 VPN协议介绍

采用VPN技术,通过使用VPN服务器可以通畅的链接单组或组织内部网,同时又能保证信息的安全保密。当前直接使用路由器可以很容易实现不同主机网络之间的互联,但是并不能对特别用途的数据进行限制。使用VPN服务器进行网络信息的管控,只有符合单位身份要求的用户才能连接VPN服务器获得访问信息的权限。此外,VPN服务器可以对所有VPN数据进行加密,部门内部的局域网对其他用户来说是不可见的,从而确保数据的安全性。

常用的VPN协议有:L2F(Layer 2 Forwarding Protocol),是由思科系统公司开发的,创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密,L2F是专为隧道点对点协议(PPP)通信[3]。L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是一种虚拟隧道协议,是一种虚拟专用网的协议。L2TP协议本身不具有加密的功能,因此必须跟其他协议配和使用才能完成保密通信的工作。与L2TP协议搭配的加密协议是IPsec,通常称为L2TP/IPsec。点对点隧道协议(Point to Point Tunneling Protocol)是实现虚拟专用网(VPN)的方式之一,PPTP使用传输控制协议(TCP)创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议(PPP)数据包以发送数据,这个协议最早由微软等厂商主导开发,但因为它的加密方式容易被破解,微软已经不再建议使用这个协议。

1.3 VPN隧道技术

隧道技术是一种在现在网络协议的基础之上,通过在现有报文中增加相关的内容,让带有这样信息的报文在公共的网络中进行安全传输。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。这些包含有VPN相关协议的帧或包封装到新带有路由信息的包头中,从而使封装的负载数据能够通过互联网络传递。

经过封装的数据包在网络上的两个端点之间通过公共互联网络进行传输,这段公共互联网络上传递时所经过的逻辑路径称为隧道[16]。一旦到达接收数据的网络,数据将被解包并转发到最终目的地。隧道技术的本质就是数据封装,传输和解包在内的全过程如图1所示。

PPP(Point to Point Protocol)协议隧道技术建立过程:

阶段1:创建PPP链路

PPP使用链路控制协议(LCP)进行物理链路的链接,链路创建的过程中首先是选择通信的方式;通信双方的验证协议;通信双方的数据压缩或加密方式。

阶段2:用户验证

这此阶段客户端将自己的身份信息发送给你远端接入服务器,这个过程是以安全的方式进行的避免信息的泄露。这个过程通常使用包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。

阶段3:PPP回叫控制

回叫控制阶段是PPP中的一个可选的阶段。当验证完成后远程客户和网络访问服务器断开,然后由网络服务器使用特点的电话号码进行回叫。这样能够对远程客户身份进行重新确认,有效增加了通信的安全性。

阶段4:调用网络层协议

在上面阶段完成后,在数据进行传输以前要完成网络层协议的调用,当前网络层的一般为IP协议,此时IP控制协议就会为用户分配动态地址。在微软的PPP方案中还会调用压缩控制协议和数据加密协议。

阶段5:数据传输阶段

在此阶段PPP就开始在连接对等双方之间数据转发。每个被传送的数据包都被封装在PPP包头内,该包头将会在到达接收方后被去除。如果选择使用数据压缩并且完成了协商,数据将会在被传送之前进行压缩。同样如果选择了数据加密并完成了协商,数据将会在传送之前进行加密。

1.4 IPSec隧道数据传输过程

IPSec是网络层的协议标准,主要负责数据的安全传输是当前使用较多的网络协议。IPsec对规定了IP数据流的加密机制,并且制定了隧道模式的数据包格式,使用IPsec协议隧道一般称为IPSEC隧道。由一个隧道客户和隧道服务器组成IPSec隧道,两端都配置使用IPSec隧道技术,加密机制采用协商完成。为实现数据传输的安全,IPSEC隧道模式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地[4]。

一个数据包经IPsec VPN隧道的传送过程,由左边的VPN保护子网内的PC机向右边VPN保护子网内的PC机传送数据时。 1 Host A发送的数据由VPN网关1 内口;2 VPN网关1 内口接收后发现需要经过隧道,则把数据交由VPN网关1 加密;3 加完密后再由左eth0外口发送到VPN网关2的eth0外口;4右VPN网关2 外口收到数据发现需要解密;5 则由右VPN网关2内口解完密后交由右内网交换机转发或由本机接收,具图如图2所示。

2 VPN技术应用

2.1 用VPN连接分支机构

随着社会的发展当前有很多大型的公司企业他们在全球有很多分支机构,而每个分支机构都要与总部进行频繁信息传输,这些信息之中有很多是重要的商业机密信息一旦泄露会给公司带来巨大的损失。所以分支构与总部以及分支之间的信息通信一定要进行保护,由于公司地域范围太大不可能建立私的网络。使用VPN连接公司的各个各支机构是进行保密通信是VPN是当前最好的选择。由于公司各个分支以及总部的内部都是安全的线路,只要在公共网上保证信息的保密就能保证信息的安全,所在各个分支以及总部接入到公网以前架设VPN网关,双方的通信信息发出时对信息进行加密,接收到信息对信息进行解密,保证通信的安全。总部与分支机构之间VPN组网的示意如:图3所示。

2.2用VPN连接合作伙伴

当前很多大型的生产性企业都有很多的原料供应商,众多的原料供应商是公司的业务伙伴。公司与这些原料供商之间有相应的数据进行传输。这种模式跟总部与分支机构之间的关系是不相同的,公司与合作伙伴有时有竞争关系业务伙伴间的主机不是可信任的,所以合作双方对自己的数据都会使用更高级别的保护,因此在VPN网的设计时公司网与VPN网关之间的通信信息也要进行保密保护。公司与合作机构的VPN方案如图4所示。

2.3 用VPN连接远程用户

为保障单位内部网的安全,很多应用不会对公网放,比如办公协同OA系统、财务查询系统等。但是有时候又需要在单位以外访问,比如当放假期间,老师可能需要在家里登陆OA查看学校最近发布的通知,这时可通过VPN的方式实现安全登录单位内部网。如图所示在个人用户在访问到公司内部网之前保证信息的安全,所以从个人到ISP提供商之间的网通信息也要进行信息的保护,这时用户一般使用户名密码的方式进行登录,然后取得双方进行通信的证书,然后通信双方通过证书中指定的加密方式进行保密通信,此方法是个人和单位进行通信的常用方法。

3 结论

VPN技术及其发展 第10篇

VPN即虚拟专用网, 是利用公用互连网来实现的某个机构的专用网.IETF草案理解基于IP的VPN为:"使用IP机制仿真出一个私有的广域网", 它是一种通过私有的隧道技术在公共数据网络上仿真一条点到点专线的技术.

在虚拟专用网中, 任意两个节点之间的连接并没有端到端的物理链路, 而是利用某种公众网的资源之上的逻辑网络动态组成, 用户数据在逻辑链路中传输.在因特网上传送的外部数据报的数据部分 (即内部数据报) 是加密的, 这样既利用了因特网的网络资源又保证了数据传送的安全性.

VPN可以取代租用DDN专线或帧中继解决企业异地局域网的互连问题, 主要有以下优势:

a.使用VPN可降低成本:通过公用网来建立VPN, 可节省通信费用, 而且不必安装和维护WAN设备和远程访问设备.

b.传输数据安全可靠:虚拟专用网产品均采用加密及身份验证等安全技术, 保证连接用户的可靠性及传输数据的安全和保密性.

c.连接方便灵活:双方只需配置安全连接信息即可, 不需建立租用线路或帧中继线路.

d.完全控制:用户只利用ISP提供的网络资源, 对于其它的安全设置、网络管理可由自己控制.

2. VPN安全技术

目前VPN主要采用四项技术来保证安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Au-thentication) .

2.1 隧道技术

隧道技术是VPN的基本技术, 类似于点对点连接技术, 它在公用网建立一条数据通道 (隧道) , 让数据包通过这条隧道传输.

隧道是由隧道协议形成的, 分为第二、三层隧道协议.第二层隧道协议是先把各种网络协议封装到PPP中, 再把整个数据包装入隧道协议中.第二层隧道协议有L2F、PPTP、L2TP等.其中L2TP协议是目前IETF的标准, 由IETF融合PPTP与L2F而形成.第三层隧道协议是把各种网络协议直接装入隧道协议中, 形成的数据包依靠第三层协议进行传输.第三层隧道协议有VTP、IPSec等.IP网络上的SNA隧道技术和IP网络上的Novell Net Ware IPX隧道技术是目前较成熟的隧道技术..

2.2 加解密技术

加解密技术是数据通信中一项较成熟的技术, VPN可直接利用现有技术.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取.现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种.SKIP主要是利用Diffie-Hellman的演算法则, 在网络上传输密钥.而在ISAKMP中, 双方都有两把密钥, 分别用于公用、私用.

2.3 身份认证技术

最常用的是使用者名称与密码或卡片式认证等方式.目前常用的方法是依赖于CA (数字证书签发中心) 所签发的符合X.509规范的标准数字证书.通信双方交换数据前.需先确认彼此的身份, 交换彼此的数字证书, 双方将此证书进行比较, 只有比较结果正确, 双方才开始交换数据.

3. VPN解决方案

针对不同的用户要求, VPN有三种解决方案:远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) 、企业扩展虚拟网 (Extranet VPN) .这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet (外部扩展) 相对应.

远程访问虚拟通过一个拥有与专用网络相同策略的共享基础设施, 提供对企业内部网或外部网的远程访问.实现了以本地拨号接入的功能来取代远距离接入, 降低通信的费用.并且有极大的可扩展性, 可简便地对加入网络的新用户进行调度, 提供远端验证拨入用户服务的安全保证.

企业内部虚拟网利用Internet的线路保证网络的互联性, 而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输.它具有以下优点:减少WAN带宽的费用;能使用灵活的拓扑结构;新的站点能更快、更容易地被连接;通过设备供应商WAN的连接冗余, 可以延长网络的可用时间.

企业扩展虚拟网通过一个使用专用连接的共享基础设施, 将客户、供应商等连接到企业内部网.Extranet VPN结构的主要好处是能容易地对外部网进行部署和管理, 外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署.

4. VPN方案的要求

成功的VPN方案应该能为用户分配专用网络上的地址并确保其安全性, 并对通过公共互联网络传递的数据必须经过加密.必须能够生成并更新客户端和服务器的加密密钥, 提供身份审查严格控制只有授权用户才能访问VPN.具有审计和记费功能.还必须支持公共互联网络上普遍使用的基本协议.

5. 下一代VPN

虚拟专用网 (VPN) 是由在公用网上提供安全路径的一些路由器及防火墙组成.下一代VPN的概念还包括网络设计策略.下一代的VPN要求设计师不仅要仔细研究VPN的每一个技术细节, 而且要有宏观意识.

5.1 目录服务器

下一代VPN的最为主要的部件是目录服务器, 主要用于存放端用户的信息及网络配置数据, 公司的网络可以横跨网络公共服务设施, 因此, 传统公用网与专用网的界线已经变得模糊.

这种网络必须生成一个逻辑与物理目录服务器, 该服务器既可设置于公司的一端, 也可设置于电话公司的网络运行中心NOC处, 且有防火墙的保护.这种多个地点使用的目录服务器在NOC端做镜像, 提供了物理与逻辑的冗余备份, 却也给黑客提供了攻击的机会.

这种使用网络目录的方式也改变了传统网

络的访问点, 这些载有整个公司用户相关资料及网络配置的目录应置于用户或网络运行中心NOC的安全区内.该安全区是进一步开发VPN的基础, 它主要由策略服务器与认证服务器组成策略服务器根据公司的规则制定访问策略, 认证服务器则负责公共密钥的认证及其他有关安全任务.

5.2 服务质量

实现上述VPN仍有许多工作要做, 首当其冲的是要解决服务质量Qo S问题.基于策略的网络中, 策略服务器装载有关应用及网络资源的信息, 动态地确定端用户如何访问应用程序.IPv Qo S的实现是通过将IPv6的信息包定义为不同级别的信息流.

由于Qo S要求提供跨越LAN与WAN的端对端的服务, 网络设计人员必须了解每个公司的网络在何处结束, 公用网的VPN又从何处开始.要求网络设计师要予以规划、区分不同系统间的各种进程流及每个公司各拥有哪些VPN部件等.另外, 如何对那些跨越多个VPN的信息包进行跟踪与收费以及计费的可行性, 例如由谁结算账单等, 所有这些问题都有待于下一代VP来解决.

5.3 安全问题

安全是VPN的核心问题.目前一种灵活的、可伸缩性的、并具有互操作性的安全服务已经出现, 如PKI (公共密钥结构) 及IKE (因特网密钥交换) .PKI允许端用户使用从有关权威部门获得的公用及专用密钥在因特网上加密与交换信息.目前, ITUT的X.509标准已成为公认的构建上述结构的基础, 并用以定义经由认证部门签署的有关公共密钥的过程及数据格式.IETF正在研究PKI的简化版本SPKI, 它将简化目前所使用的层次验证机制.

6. 结论

VPN的出现, 使企业可借助公共网络服务平台, 搭建廉价而广泛的通信.同时, 通过各种安全技术的引入, 可以保证通信的安全性, 提供较高的网络性能.

VPN兼备了公众网和专用网的许多优点, 价格低廉、功能丰富以及高性能、高安全性, 成为构建企业专用网络的一种有效的解决方案, 将逐渐取代采用专线构建企业专用网络的传统做法.

参考文献

[1].谢希仁.计算机网络 (第四版) .电子工业出版社, 2003年6月

[2].陈选育, 李灿平.IPv6下基于IPSec的VPN的研究与性能分析.广东通信技术, 2007, 1

[3].刘茵, 陈常嘉.VPN技术应用与实现浅谈.电子科技, 2006年第11期

[4].李世武, 韩雅琴.VPN技术与实现策略研究.计算机与网络, 2006年第23期

VPN服务器 第11篇

随着Internet技术的迅速发展, 计算机技术的应用已经渗入人们生活工作的各个环节, 人们在享受计算机网络带来的便利的同时也饱受私有数据在网络传输过程中存在的安全威胁和传输的快速性、高效性所带来的煎熬。目前主要采用VPN技术来解决此类问题。VPN (Virtual Private Network) , 即虚拟专用网络, 它是在网络通信中较重要的一种互联方式。一方面, 可以利用VPN技术来构建私人专用网络, 可以说它是在公共网络架构的一种技术拓展;另一方面, VPN利用隧道技术、加解密、认证技术、密钥管理技术以及访问控制技术来保证重要信息传输的安全性。其主要优点就是高效、稳定、快速、安全、低廉, 使其在internet与intranet中均发挥出相当重要的作用, 并显示出广泛应用前景[1]。

本文讨论了采用MPLS VPN和IPSec VPN混合组网模式构建多点无纸化阅卷私有数据系统。该模式综合了MPLS VPN是第三层的智能VPN, 具有很强的可扩展性。标签交换转发技术可以使基于MPLS的VPN达到第二层VPN具有的专用性、安全性和数据传输的高速度的优点, 同时结合了IPSec VPN一般不向外界开放, 认证与连接双方设备、设备的网络参数和策略设置、设备的IP地址等有直接关系, 对远程连接相当安全的优点。从而增强了私有数据在网络中传输的安全性、快速性和安全性, 提高了MPLS VPN和IPSec VPN组网模式业务在不同场景下对网络QoS (抖动、时延、丢包率) 的要求[2]。

1、主要技术

1.1MPLS VPN

MPLS (Multiprotocol Label Switching) 是多协议标签交换的简称。

MPLS VPN是结合了ATM和IP技术优点的MPLS技术的一个重要应用, 主要分为二层和三层MPLS VPN。其中二层MPLS VPN相当于在互联网上仿真出来的类似于ATM/FR的二层专线VPN, 而三层MPLS VPN则是将企业路由表的处理功能基本都交给了运营商的网络边缘路由器。

MPLS VPN网络一般采用图1所示的网络结构, VPN由若干不同的Site组成的集合, 一个Site可以属于不同的VPN, 属于同一VPN的Site具有IP连通性, 不同VPN之间可以有控制地实现互访与隔离。设备主要由CE、PE和P三部分组成, 功能如下:

CE (用户网络边缘路由器) 设备直接与服务提供商网络相连, 它“感知”不到VPN的存在, 也就意味用户感知不到VPN数据;

PE (骨干网边缘路由器) 设备与用户的CE直接相连, 负责VPN业务接入, 处理VPN路由, 是MPLS三层VPN的主要实现者;

P (骨干网核心路由器) 负责快速转发数据, 不与CE直接相连[3]。

在整个MPLS-VPN中, P、PE设备需要支持MPLS的基本功能, CE设备不必支持MPLS。

MPLS VPN组网优势:在组网应用中, MPLS VPN具有网络部署灵活简便、一次性投资较小、管理和维护成本低的优势。MPLS-VPN组网能以较低的价格充分利用路由器的快速转发能力和巨大的传输带宽, 满足用户较高带宽的应用要求, 如视频、话音与数据的一体化传输。因此MPLS VPN特别适合那些对安全和QoS没有特殊要求的在中高速率 (2M以上) 专网组建。

1.2 IPSec VPN

IPSec (IP Security) 是由IETF IPSec工作组制订的一系列RFC标准协议所组成的体系。IPSec是在网络层实现数据加密和验证, 提供端到端的网络安全方案, 可以提供访问控制、数据源的验证、无连接数据的完整性验证、数据内容的机密性、抗重放保护以及有限的数据流机密性保证等服务[4]。由于加密后的数据包仍然是一般的IP数据包, 作为网络层的安全标准, IPSec为IP协议提供了一整套的安全机制。IPSec在网络层提供的安全服务对任何IP上层协议及应用进程透明, 多种协议和各种应用程序都可以共享IP层安全服务和密钥管理, 而不必设计和实现自己的安全机制, 从而减少密钥协商的开销, 也降低了产生安全漏洞的可能性。IPSec是Internet上提供安全保障最通用的方法[5]。

IPSec的工作原理类似于包过滤防火墙。当接收到一个IP数据包时, IPSec通过查询SPD (安全策略数据库) 决定对接收到的IP数据包的处理。IPSec提供了3种结构:1) 主机到主机 (Host to Host) 客户机到服务器之间的整个连接都是加密的;2) 主机到网关 (Host to Gateway) 整个连接除了网关和远端服务器之间的那段外都是加密的;3) 网关到网关 (Gateway to Gateway) 两个网关之间的连接是加密的, 但从客户到客户的网关之间的连接, 服务器与服务器的网关的连接是未加密的.无论是加密还是认证, IPSec都有两种工作模式, 一种是传输模式, 另外一种是隧道模式.传输模式:只对IP数据包的有效载荷进行加密或认证.继续使用以前的IP头, 只对IP头的部分进行修改, 而IPSec协议头插入到IP头和传输层头之间.隧道模式:对整个IP数据包进行加密或认证.IPSec头被放在新产生的IP头和IP数据包之间, 从而组成一个新的IP头[6]。

2、单一VPN组网中传输无纸化阅卷私有数据存在的问题

单一的MPLS VPN组网中, 虽然解决了数据在传输过程中的安全性、高效性、快速性和QoS, 但是它必须依赖路由协议来准确的传递信息, 完成与标签分发相关的工作.它并不提供加密、认证等安全服务, 传输的数据是明文的, 仍将带来安全漏洞, 并且它所提供的结构和工作的模式没有IPSec VPN丰富。本文所设计的混合组网模式主要就是用到IPSec VPN所提供的主机到主机之间的整个连接都是加密的结构, 同时使用的工作模式是IPSec VPN的传输模式, 用来解决无纸化阅卷中私有数据在End-to-End上的传输。

单一的IPSec VPN组网中, 虽然解决了数据在传输过程中的对IP数据包的有效载荷, 进行加密或认证, 提供了整个连接过程中的安全性, 但是它没有很好的解决无纸化阅卷中有很大的私有数据在网络中传输的快速性、高效性和QoS (抖动、延时、丢包率) , 而这些刚好通过MPLS VPN来弥补[4]。

综合以上两种VPN技术的优缺点, 提出了采用MPLS VPN和IPSec VPN混合组网的模型来解决无纸化阅卷时多点传输私有数据的QoS (抖动、延时、丢包率) 、安全性、高效性、快速性等。

3、MPLS VPN和IPSec VPN混合组网模型

3.1 MPLS-IPSec VPN混合组网的网络拓扑图

无纸化阅卷多点私有数据传输混合组网拓扑图如图2所示[7][8], 其中P (骨干网核心路由器) 为核心节点, 在核心节点的组网方式是利用专线接入, 从中国电信核心机房新增FE专线至贵州师范大学网络中心中心机房, 完成全网流量汇集和通信。根据以贵州师范大学网络中心为中心的多点无纸化阅卷私有数据传输VPN组网需求, 建议采用下面的网络架构方式:

(1) 将黔南州、黔东南州、凯里市、毕节市、遵义市各市 (州) 的边缘路由器 (CE) 节点封装在MPLS VPN网中, 借助中国电信MPLS VPN网进行数据传输。

(2) 以贵阳 (贵州师范大学为中心) , 通过光纤专线VPN接入到离贵州师范大学较近的中国电信的中心机房, 向图2中五个分支阅卷点传输实时私有数据。

(3) 贵州师范大学数据中心以及其他五个分支阅卷点通过中国电信专用IPSec网关统一进入中国电信IPSec集中认证平台通过认证后, 接入骨干MPLS VPN网络。

各个分支无纸化阅卷点接收贵州师范大学数据中心通过MPLS-IPSec VPN混合组网实时发送过来的私有数据后, 进行阅卷的拓扑图如图3所示:

3.2 MPLS-IPSec VPN混合组网方式说明

(1) 由于无纸化多点阅卷跨越多个城市要通过Internet来传输学生试卷的私有数据, 为确保指定的分支阅卷点安全接入核心的MPLS VPN网络必须采用混合组网模式, 利用IPSec VPN网关来组建专门的私有数据传输所用的VPN隧道, 实现以贵州师范大学为中心与其他几个分支阅卷点系统互联的需求。所以本方案在中心节点选择新建中心IPSec VPN汇聚网关管理平台一套, 用于全局所有的IPSec VPN远程终端设备的汇聚。该平台是专门为本次混合组网提供统一的部署和管理的高可靠性管理服务系统。支持远程所有IPSec VPN方式接入的节点设备异常、隧道异常报警等, 提供可视化的信息形式汇报节点设备在线及联网情况, 可查询节点设备当前IP、配置信息、登陆时间、离线时间、防火墙配置等实时信息, 提供VPN网络统一安全访问控制策略管理服务。

(2) 各分支阅卷点的远程IPSec VPN接入设备, 都是与中国电信的中心汇聚管理平台建立加密的VPN隧道连接, 所有的数据都能防止不法人员的窃取和篡改。所有远程接入终端上的防火墙规则可以单独配置, 也可以通过电信公司统一下发。

MPLS-IPSec VPN混合组网中使用的IPSec VPN产品可由指定的公司根据电信网络的状况, 并结合私有数据在该混合网络中传输时的安全性、快速性和高效性的要求来定做。

3.3 MPLS-IPSec VPN混合组网达到的目标

该种混合组网的优点除了能保证在贵州省内实现多个无纸化阅卷点能安全地接入VPN系统外, 还有以下优点:

(1) 可扩展性好。该系统可以在保证当前的物理网络不变的情况下, 通过VPN技术实现增加全省内各个自治区、市、县的接入, 实现与现有网络的无缝连接。

(2) 安全性高。该系统采用MPLS-IPSec VPN混合组网的方式来建立, 结合了IPSec VPN确保在端与端之间建立的连接路径的安全性优点和MPLS VPN确保了数据在传输过程中QoS (抖动、延时、丢包率) 的提高。

(3) 适用范围广。该模型还适用于在贵州较为落后的地区。比如:中国电信没有覆盖的地区, 这些地区可以通过利用IPSec VPN实现单点接入该系统, 从而确保指定无纸化阅卷地区的全网覆盖, 实现全网统一管理。

4、结束语

本模型是针对为了解决贵州师范大学贵州省信息与计算科学重点实验室中无纸化阅卷项目过程中多点私有数据传输过程中数据的QoS、安全性、快速性、高效性而提出的。结合了IPSec VPN能提供端到端之间数据加密和认证的优点, MPLS VPN能提高多点之间数据传输过程中的QoS、安全性、快速性、高效性等优点。从而将两种VPN技术结合在一起形成一种MPLS-IPSec VPN混合组网模型来很好地保证了无纸化阅卷过程中多点之间私有数据传输过程中的安全性、高效性、快速性, 同时可以更好地保证数据传输过程中的QoS (抖动、延时、丢包率) , QoS的提高可以参考[3]参考文献中研究的成果。该模型的提出同时也为今后的VPN技术的扩展提供了一种新的方向, 可以结合当前流行三种VPN技术的优点来混合组网从而更好的解决部分用户的特殊需求。

参考文献

[1]易光华, 傅光轩, 周锦顺.MPLS VPN、IPSec VPN和SSL VPN技术的研究与比较[J].贵州科学, 2007, 25 (2) :35-38.

[2]倪波, 黄柯佳.采用MPLS VPN和IPSec VPN混合组网模式构建某集团财务系统[J].通信与信息技术.2011, 5:52-55.

[3]荷璐茜.MPLS VPN技术研究与应用[J].现代电子技术, 2011, 34 (15) :127-130.

[4]玄文启.VPN的技术原理及其安全性分析[J].中国科技信息, 2011, 23:92.

[5]郑博.基于IPSec的VPN技术及应用[J].数字技术与应用, 2011, 9:52-54.

[6]张文华.IPSec VPN的应用与组网方案[J].信息通信, 2011, 4:129-130.

[7][EB/OL]——http://wenku.baidu.com/view/b7ac5273f242336c1eb95e81.html.