vpn技術(shù)論文范文

導(dǎo)語：如何才能寫好一篇vpn技術(shù)論文，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：虛擬專用網(wǎng)vpn遠(yuǎn)程訪問網(wǎng)絡(luò)安全

引言

隨著信息時(shí)代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴(kuò)大，不論是企業(yè)內(nèi)部職能部門，還是企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員，都需要同企業(yè)總部之間建立起一個(gè)快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣建立外部網(wǎng)絡(luò)環(huán)境與內(nèi)部網(wǎng)絡(luò)環(huán)境之間的安全通信，實(shí)現(xiàn)企業(yè)外部分支機(jī)構(gòu)遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)資源，成為當(dāng)前很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問題。

一、VPN技術(shù)簡(jiǎn)介

VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)絡(luò)，指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專用網(wǎng)絡(luò)。在隧道的發(fā)起端（即服務(wù)端），用戶的私有數(shù)據(jù)經(jīng)過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地到達(dá)用戶端。

VPN可以提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過隧道加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)。它能夠提供Internet遠(yuǎn)程訪問，通過安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶、現(xiàn)場(chǎng)服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，此外它還提供了對(duì)移動(dòng)用戶和漫游用戶的支持，使網(wǎng)絡(luò)時(shí)代的移動(dòng)辦公成為現(xiàn)實(shí)。

隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的蓬勃發(fā)展，基于Internet的商務(wù)應(yīng)用在企業(yè)信息管理領(lǐng)域得到了長(zhǎng)足發(fā)展。根據(jù)企業(yè)的商務(wù)活動(dòng)，需要一些固定的生意伙伴、供應(yīng)商、客戶也能夠訪問本企業(yè)的局域網(wǎng)，從而簡(jiǎn)化信息傳遞的路徑，加快信息交換的速度，提高企業(yè)的市場(chǎng)響應(yīng)速度和決策速度。同時(shí)，圍繞企業(yè)自身的發(fā)展戰(zhàn)略，企業(yè)的分支機(jī)構(gòu)越來越多，企業(yè)需要與各分支機(jī)構(gòu)之間建立起信息相互訪問的渠道。面對(duì)越來越復(fù)雜的網(wǎng)絡(luò)應(yīng)用和日益突出的信息處理問題，VPN技術(shù)無疑給我們提供了一個(gè)很好的解決思路。VPN可以幫助遠(yuǎn)程用戶同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，大幅度地減少了企業(yè)、分支機(jī)構(gòu)、供應(yīng)商和客戶花在信息傳遞環(huán)節(jié)的時(shí)間，降低了企業(yè)局域網(wǎng)和Internet安全對(duì)接的成本。VPN的應(yīng)用建立在一個(gè)全開放的Internet環(huán)境之中，這樣就大大簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)和管理，滿足了不斷增長(zhǎng)的移動(dòng)用戶和Internet用戶的接入，以實(shí)現(xiàn)安全快捷的網(wǎng)絡(luò)連接。

二、基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析

VPN技術(shù)類型有很多種，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，可以利用Internet網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)VPN服務(wù)器架構(gòu)以及客戶端連接應(yīng)用，基于Internet環(huán)境的VPN技術(shù)具有成本低、安全性好、接入方便等特點(diǎn)，能夠很好的滿足企業(yè)對(duì)VPN的常規(guī)需求。

2.1Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶端、VPN連接、隧道等幾個(gè)重要環(huán)節(jié)。在VPN服務(wù)器端，用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸，通過虛擬隧道到達(dá)接收端，接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據(jù)交互。基于Internet環(huán)境的企業(yè)VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2.2VPN技術(shù)安全性分析VPN技術(shù)主要由三個(gè)部分組成：隧道技術(shù)，數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜取；用戶認(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸，因此安全問題是VPN技術(shù)的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)的，以此確保遠(yuǎn)程客戶端能夠安全地訪問VPN服務(wù)器。

在運(yùn)行性能方面，隨著企業(yè)電子商務(wù)活動(dòng)的激增，信息處理量日益增加，網(wǎng)絡(luò)擁塞的現(xiàn)象經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此制定VPN方案時(shí)應(yīng)考慮到能夠?qū)W(wǎng)絡(luò)通信進(jìn)行控制來確保其性能。我們可以通過VPN管理平臺(tái)來定義管理策略，分配基于數(shù)據(jù)傳輸重要性的接口帶寬，這樣既能滿足重要數(shù)據(jù)優(yōu)先應(yīng)用的原則，又不會(huì)屏蔽低優(yōu)先級(jí)的應(yīng)用。考慮到網(wǎng)絡(luò)設(shè)施的日益完善、網(wǎng)絡(luò)應(yīng)用程序的不斷增加、網(wǎng)絡(luò)用戶數(shù)量的快速增長(zhǎng)，對(duì)與復(fù)雜的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、權(quán)限分配的綜合處理能力是VPN方案應(yīng)用的關(guān)鍵。因此VPN方案要有一個(gè)固定的管理策略以減輕管理、報(bào)告等方面的負(fù)擔(dān)，管理平臺(tái)要有一個(gè)定義安全策略的簡(jiǎn)單方法，將安全策略進(jìn)行合理分布，并能管理大量網(wǎng)絡(luò)設(shè)備，確保整個(gè)運(yùn)行環(huán)境的安全穩(wěn)定。

三、Windows環(huán)境下VPN網(wǎng)絡(luò)的設(shè)計(jì)與應(yīng)用

企業(yè)利用Internet網(wǎng)絡(luò)技術(shù)和Windows系統(tǒng)設(shè)計(jì)出VPN網(wǎng)絡(luò)，無需鋪設(shè)專用的網(wǎng)絡(luò)通訊線路，即可實(shí)現(xiàn)遠(yuǎn)程終端對(duì)企業(yè)資源的訪問和共享。在實(shí)際應(yīng)用中，VPN服務(wù)端需要建立在Windows服務(wù)器的運(yùn)行環(huán)境中，客戶端幾乎適用于所有的Windows操作系統(tǒng)。下面以Windows2003系統(tǒng)為例介紹VPN服務(wù)器與客戶端的配置。

3.1Windows2003系統(tǒng)中VPN服務(wù)器的安裝配置在Windows2003系統(tǒng)中VPN服務(wù)稱之為“路由和遠(yuǎn)程訪問”，需要對(duì)此服務(wù)進(jìn)行必要的配置使其生效。

3.1.1VPN服務(wù)的配置。桌面上選擇“開始”“管理工具”“路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問”服務(wù)窗口；鼠標(biāo)右鍵點(diǎn)擊本地計(jì)算機(jī)名，選擇“配置并啟用路由和遠(yuǎn)程訪問”；在出現(xiàn)的配置向?qū)Т翱邳c(diǎn)下一步，進(jìn)入服務(wù)選擇窗口；標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡（分別對(duì)應(yīng)內(nèi)網(wǎng)和外網(wǎng)），選擇“遠(yuǎn)程訪問（撥號(hào)或VPN）”；外網(wǎng)使用的是Internet撥號(hào)上網(wǎng)，因此在彈出的窗口中選擇“VPN”；下一步連接到Internet的網(wǎng)絡(luò)接口，此時(shí)會(huì)看到服務(wù)器上配置的兩塊網(wǎng)卡及其IP地址，選擇連接外網(wǎng)的網(wǎng)卡；在對(duì)遠(yuǎn)程客戶端指派地址的時(shí)候，一般選擇“來自一個(gè)指定的地址范圍”，根據(jù)內(nèi)網(wǎng)網(wǎng)段的IP地址，新建一個(gè)指定的起始IP地址和結(jié)束IP地址。最后，“設(shè)置此服務(wù)器與RADIUS一起工作”選否。VPN服務(wù)器配置完成。

3.1.2賦予用戶撥入權(quán)限設(shè)置。默認(rèn)的系統(tǒng)用戶均被拒絕撥入到VPN服務(wù)器上，因此需要為遠(yuǎn)端用戶賦予撥入權(quán)限。在“管理工具”中打開“計(jì)算機(jī)管理”控制臺(tái)；依次展開“本地用戶和組”“用戶”，選中用戶并進(jìn)入用戶屬性設(shè)置；轉(zhuǎn)到“撥入”選項(xiàng)卡，在“選擇訪問權(quán)限(撥入或VPN)”選項(xiàng)組下選擇“允許訪問”，即賦予了遠(yuǎn)端用戶撥入VPN服務(wù)器的權(quán)限。

3.2VPN客戶端配置VPN客戶端適用范圍更廣，這里以Windows2003為例說明，其它的Windows操作系統(tǒng)配置步驟類似。

在桌面“網(wǎng)上鄰居”圖標(biāo)點(diǎn)右鍵選屬性，之后雙擊“新建連接向?qū)А贝蜷_向?qū)Т翱诤簏c(diǎn)下一步；接著在“網(wǎng)絡(luò)連接類型”窗口里選擇“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”；在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專用網(wǎng)絡(luò)連接”；接著為此連接命名后點(diǎn)下一步；在“VPN服務(wù)器選擇”窗口里，輸入VPN服務(wù)端地址，可以是固定IP，也可以是服務(wù)器域名；點(diǎn)下一步依次完成客戶端設(shè)置。在連接的登陸窗口中輸入服務(wù)器所指定的用戶名和密碼，即可連接上VPN服務(wù)器端。:

3.3連接后的共享操作當(dāng)VPN客戶端撥入連接以后，即可訪問服務(wù)器所在局域網(wǎng)里的信息資源，就像并入局域網(wǎng)一樣適用。遠(yuǎn)程用戶既可以使用企業(yè)OA，ERP等信息管理系統(tǒng)，也可以使用文件共享和打印等共享資源。

四、小結(jié)

現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)，在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問以及企業(yè)電子商務(wù)環(huán)境中，虛擬專用網(wǎng)(VPN)技術(shù)為信息集成與優(yōu)化提供了一個(gè)很好的解決方案。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)，從而為企業(yè)用戶提供了一個(gè)低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸。VPN技術(shù)在企業(yè)資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價(jià)值，在未來的企業(yè)信息化建設(shè)中具有廣闊的前景。

參考文獻(xiàn):

篇2

      本篇校園網(wǎng)論文介紹加強(qiáng)對(duì)新技術(shù)在校園網(wǎng)中的應(yīng)用理論研究，對(duì)實(shí)際的發(fā)展有著重要的指導(dǎo)性。 

1 MPLS技術(shù)原理及體系結(jié)構(gòu)分析 

1.1 MPLS技術(shù)原理分析 

從實(shí)際來看，在傳統(tǒng)以IP分組轉(zhuǎn)發(fā)的技術(shù)方面，主要是在IP分組報(bào)頭基礎(chǔ)上，通過IP地址在路由表當(dāng)中實(shí)施的最長(zhǎng)匹配查找。MPLS技術(shù)將網(wǎng)絡(luò)層靈活的路由選擇功能及數(shù)據(jù)鏈路層高速交換性能特點(diǎn)進(jìn)行的完美結(jié)合，這樣就對(duì)以往的以IP分組技術(shù)為主的局限性得到了優(yōu)化。另外在這一技術(shù)上同時(shí)也引進(jìn)了標(biāo)簽概念，這是比較短并方便處置以及對(duì)拓?fù)湫畔]有包含的信息內(nèi)容。這一原理是對(duì)標(biāo)簽交換機(jī)制進(jìn)行的引入，也就是將路由控制以及數(shù)據(jù)轉(zhuǎn)發(fā)等進(jìn)行單獨(dú)化的處理，從而就為每個(gè)IP數(shù)據(jù)包提供了固定長(zhǎng)度標(biāo)簽，就決定了數(shù)據(jù)包路徑及優(yōu)先級(jí)。  　    　1.2 MPLS體系結(jié)構(gòu)分析 

MPLS這一體系結(jié)構(gòu)當(dāng)中，MPLS所使用的短而定長(zhǎng)標(biāo)簽封裝分組在數(shù)據(jù)平面實(shí)現(xiàn)了快速轉(zhuǎn)發(fā)功能，并在這一平面有著IP網(wǎng)絡(luò)的強(qiáng)大靈活路由功能，對(duì)實(shí)際所需要的網(wǎng)絡(luò)需求能夠得以有效滿足。其體系結(jié)構(gòu)圖示如下圖1所示，針對(duì)核心的LSR主要是在平面進(jìn)行標(biāo)簽的分組并轉(zhuǎn)發(fā)，在LER方面主要是轉(zhuǎn)發(fā)平面所進(jìn)行實(shí)施的工作任務(wù)，同時(shí)也包含了對(duì)傳統(tǒng)IP分組的轉(zhuǎn)發(fā)。 

通過上圖就能夠看出，對(duì)這一體系結(jié)構(gòu)起到支持的主要就是顯示路由以及逐跳路由，在對(duì)MPLS進(jìn)行實(shí)際應(yīng)用的過程中，實(shí)行標(biāo)記分發(fā)過程中也需要對(duì)顯示路由進(jìn)行規(guī)定，但這一路由并不會(huì)對(duì)每個(gè)IP分組進(jìn)行規(guī)定，這樣就會(huì)使得MPLS顯示路由會(huì)比傳統(tǒng)IP源點(diǎn)路由在作業(yè)額效率上得到很大程度的提升。不僅如此，在對(duì)MPLS LSP進(jìn)行構(gòu)建的過程中，能夠通過有序LSP以及獨(dú)立LSP進(jìn)行控制。 

2 MPLS VPN技術(shù)在校園網(wǎng)中的規(guī)劃設(shè)計(jì)及應(yīng)用 

2.1 MPLS VPN技術(shù)在校園網(wǎng)中的規(guī)劃設(shè)計(jì)分析 

通過對(duì)相關(guān)的技術(shù)加以借鑒對(duì)校園網(wǎng)要進(jìn)行詳細(xì)的規(guī)劃設(shè)計(jì)，通過實(shí)踐之后主要是采取了MPLS/BGP VPN技術(shù)作為是實(shí)現(xiàn)MPLS VPN業(yè)務(wù)技術(shù)路線所構(gòu)建的各業(yè)務(wù)系統(tǒng)虛擬獨(dú)立網(wǎng)絡(luò)，而后在各業(yè)務(wù)系統(tǒng)部門間的可控互通訪問。另外就是在MPLS VPN技術(shù)支持下通過對(duì)IP VPN部署來進(jìn)行提供安全保證，構(gòu)建能夠?qū)崿F(xiàn)全網(wǎng)電子信息資源庫，以及通過H3C網(wǎng)管平臺(tái)技術(shù)進(jìn)行實(shí)現(xiàn)網(wǎng)管中心對(duì)全網(wǎng)MPLS VPN業(yè)務(wù)的統(tǒng)一管理。具體的規(guī)劃設(shè)計(jì)能夠通過分校區(qū)規(guī)劃以及主校區(qū)規(guī)劃、共享數(shù)據(jù)VPN規(guī)劃的方式進(jìn)行實(shí)現(xiàn)。 

2.2 MPLS VPN技術(shù)在校園網(wǎng)中的實(shí)際應(yīng)用 

通過對(duì)MPLS VPN技術(shù)在校園網(wǎng)中的簡(jiǎn)單規(guī)劃設(shè)計(jì)的分析，主要是能夠在實(shí)際中得到應(yīng)用。在具體應(yīng)用中主要是將局域網(wǎng)交換技術(shù)作為重要的基礎(chǔ)，并對(duì)虛擬局域網(wǎng)技術(shù)進(jìn)行有機(jī)的結(jié)合，在校園網(wǎng)當(dāng)中來實(shí)現(xiàn)單純的在OR基礎(chǔ)上第二層優(yōu)先級(jí)服務(wù)。由于所需服務(wù)的差異性，例如音視頻傳輸自身的要求。故此要能夠緊密的和服務(wù)機(jī)制進(jìn)行結(jié)合，來為校園網(wǎng)當(dāng)中一些關(guān)鍵通信數(shù)據(jù)幀設(shè)置較高的用戶優(yōu)先級(jí)。 

另外就是要結(jié)合實(shí)際進(jìn)行差別服務(wù)結(jié)合資源預(yù)留協(xié)議，雖然在綜合服務(wù)所提供的更高QOS保證，而對(duì)于校園網(wǎng)這類非運(yùn)營(yíng)性網(wǎng)絡(luò)來說，過高的實(shí)現(xiàn)現(xiàn)代價(jià)以及復(fù)雜度并非是合適的。在具體的應(yīng)用過程中要能夠?qū)S域設(shè)置問題以及DSCP分類實(shí)現(xiàn)問題進(jìn)行有效的解決。MPLS VPN實(shí)現(xiàn)了VPN間的路由隔離，在每個(gè)PE路由器方面為每個(gè)所連接的VPN都進(jìn)行維護(hù)了獨(dú)立虛擬路由轉(zhuǎn)發(fā)實(shí)例，而每個(gè)VF駐留都是來自于同一VPN路由配置，穿越MPLS核心到其它的PE路由器過程中，這一隔離是過多協(xié)議，并增加了唯一VPN標(biāo)識(shí)符進(jìn)行實(shí)現(xiàn)。 

網(wǎng)絡(luò)通信的大部分信息不再來自工作組內(nèi)部，主要是來自于外部對(duì)因特網(wǎng)的訪問，倘若是對(duì)第三層QOS問題得到有效解決，那么在校園網(wǎng)中所有第三層網(wǎng)絡(luò)設(shè)備就會(huì)成為校園網(wǎng)QOS的發(fā)展瓶頸。從當(dāng)前的大型復(fù)雜網(wǎng)絡(luò)建設(shè)過程中能夠發(fā)現(xiàn)，通過對(duì)MPLS VPN技術(shù)的有效應(yīng)用，能夠?qū)⑿畔⑹芸卦L問及安全隔離等問題得到有效的解決，這一技術(shù)能夠保證各業(yè)務(wù)系統(tǒng)邏輯網(wǎng)絡(luò)相對(duì)獨(dú)立性，并對(duì)各種類型的業(yè)務(wù)系統(tǒng)安全性有著很強(qiáng)的保護(hù)作用，所以在校園網(wǎng)的應(yīng)用上有著比較廣闊的前景。 

篇3

【關(guān)鍵詞】L2 VPNIPSec隧道虛擬化The Research and Design of IPSec-based L2 VPN

ZHU Yufeng（School of Electronics Engineering and Computer Science， Peking University， Beijing， 100871， China）

Abstract： L2 VPN is working at layer 2 of OSI network model， which can hide the geographical limitations and provide virtual private network service.

This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.

Key Words：L2 VPN， IPSec Tunnel， Virtualization

一、引言

隨著虛擬化及云計(jì)算的興起和應(yīng)用，VPN隧道成為一個(gè)連接不同地區(qū)虛擬數(shù)據(jù)中心或者云計(jì)算中心的必備技術(shù)，其中L2 VPN工作在OSI網(wǎng)絡(luò)模型的第二層，它可以隱藏地域限制，提供虛擬專有網(wǎng)絡(luò)服務(wù)，能夠更好的滿足虛擬化及云計(jì)算的需求。

二、方法研究

L2 VPN基本的概念是將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合，利用VPN隧道模擬物理網(wǎng)線，將2臺(tái)或者多臺(tái)跨越因特網(wǎng)的網(wǎng)橋連接起來。

如圖所示：

為了實(shí)現(xiàn)以上L2 VPN的功能，我們需要考慮以下因素：

（1）如何將L2數(shù)據(jù)包導(dǎo)向VPN隧道；

（2）如何封裝以太網(wǎng)幀；

（3）數(shù)據(jù)包的flow設(shè)計(jì)；

（4）如何支持VLAN；

（5）如何支持多站點(diǎn)多用戶（例如，星型拓?fù)洌?/p>

2.1重定向數(shù)據(jù)包到VPN隧道

為了很好的連接L2網(wǎng)橋和VPN網(wǎng)關(guān)，我們定義一個(gè)虛擬的隧道端口，用來解耦合網(wǎng)橋和VPN的功能。對(duì)于網(wǎng)橋來說，虛擬隧道端口就像是一個(gè)物理端口一樣，用來收發(fā)以太網(wǎng)數(shù)據(jù)包。對(duì)于VPN網(wǎng)關(guān)來說，虛擬隧道端口就是一個(gè)明文數(shù)據(jù)包進(jìn)入加密隧道的入口，所有到達(dá)虛擬隧道端口的數(shù)據(jù)包，都將會(huì)被加密從隧道發(fā)出去。

虛擬隧道端口模擬物理以太網(wǎng)端口，它的功能如下：

（1）在內(nèi)核中創(chuàng)建一個(gè)虛擬網(wǎng)絡(luò)端口；

（2）發(fā)送以太網(wǎng)數(shù)據(jù)包。而驅(qū)動(dòng)程序的發(fā)送功能，就是VPN隧道加密。

（3）接收以太網(wǎng)數(shù)據(jù)包。VPN加密后，會(huì)把明文放到虛擬端口的接收隊(duì)列。

（4）支持網(wǎng)橋MAC反向?qū)W習(xí)。

（5）支持VLAN tag。

所有對(duì)于L2網(wǎng)橋看來，虛擬隧道端口和物理網(wǎng)橋端口沒有任何區(qū)別，收到和發(fā)送的都是以太網(wǎng)數(shù)據(jù)包。網(wǎng)橋也不知道VPN網(wǎng)關(guān)的存在。同樣，VPN網(wǎng)關(guān)也知道網(wǎng)橋的存在，到達(dá)VPN網(wǎng)關(guān)也只是以太網(wǎng)數(shù)據(jù)包。

2.2以太網(wǎng)數(shù)據(jù)包封裝

IPSec隧道工作在三層，用來設(shè)計(jì)封裝IP數(shù)據(jù)包，所以我們需要將以太網(wǎng)幀封裝成IP數(shù)據(jù)包，再將該IP數(shù)據(jù)包封裝成IPSec數(shù)據(jù)包。

我們可以考慮以下方式：

（1）EtherIP over IPSec；

（2）非標(biāo)準(zhǔn)的IPSec封裝；

（3）混合模式。

（8）VPN1收到ARP應(yīng)答密文包，解密去EtherIP和IPSec包頭，查詢MAC地址表，得知出口是eth1，然后將報(bào)文發(fā)往PC1。此時(shí)，VPN1并且更新MAC地址表。

VPN2網(wǎng)橋的MAC表：

（9）PC1收到ARP應(yīng)答明文包，學(xué)到PC2的MAC地址。然后發(fā)送ICMP請(qǐng)求到PC2。數(shù)據(jù)包的目的MAC是PC2-MAC，源MAC是PC1-MAC。

（10）VPN1收到ICMP請(qǐng)求，查詢MAC地址表得到出口是tun1，將數(shù)據(jù)包送到VPN隧道加密，然后發(fā)往VPN2網(wǎng)關(guān)。

（11）VPN2收到ICMP請(qǐng)求，查詢MAC地址表，得到出口是eth1，將數(shù)據(jù)包發(fā)送到PC2。

（12）PC2收到ICMP請(qǐng)求并發(fā)送ICMP應(yīng)答，該應(yīng)答數(shù)據(jù)包被發(fā)發(fā)送到VPN2。

（13）VPN2收到ICMP應(yīng)答，查詢MAC地址表，得到出口是tun1，將數(shù)據(jù)包通過隧道發(fā)送到VPN1。

（14）VPN1收到ICMP應(yīng)答，查詢MAC地址表，得到出口是eth1，將數(shù)據(jù)包發(fā)送到PC1。

3.1VLAN支持

二層網(wǎng)橋可能連接很多VLAN，隧道端口需要工作在TRUNK模式，這樣可以允許VLAN數(shù)據(jù)包通過VPN隧道。

拓?fù)淙缦拢?/p>

EtherIP over IPSec可以封裝VLAN tag，但是overhead會(huì)比較大。一種優(yōu)化的方法是分配每個(gè)tunnel端口和tunnel一個(gè)VALN tag，這樣就不需要封裝VLAN tag，提高有效載荷。

3.2星型拓?fù)渲С?/p>

要支持Hub & Spoke星型拓?fù)洌覀冎恍枰僭黾右粋€(gè)tunnel端口，并且把該端口綁定到一個(gè)到Spoke的VPN隧道。該設(shè)計(jì)非常靈活，易于擴(kuò)展。

拓?fù)淙缦拢?/p>

四、結(jié)束語

本文通過引入虛擬隧道端口，巧妙的將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合在一起，簡(jiǎn)單并且有效的將數(shù)據(jù)包重定向到VPN隧道。

另外，本文通過結(jié)合EtherIP over IPSec封裝發(fā)送多播和廣播數(shù)據(jù)包，IPSec封裝發(fā)送單播數(shù)據(jù)包，有效提高了VPN隧道的有效載荷和傳輸性能。

參考文獻(xiàn)

[1] RFC3378： EtherIP： Tunneling Ethernet Frames in IP Datagrams

[2] RFC2784： Generic Routing Encapsulation

[3] RFC3438： Layer Two Tunneling Protocol

[4] RFC4664： Framework for Layer 2 Virtual Private Networks

[5] RFC4665： Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks

[6] RFC4026； Provider Provisioned Virtual Private Network （VPN） Terminology

[7] RFC4301： Security Architecture for the Internet Protocol

篇4

關(guān)鍵詞：文山學(xué)院 虛擬專用網(wǎng) VPN

一、現(xiàn)狀及需求

文山學(xué)院坐落于祖國西南邊陲云南省文山州州府所在地文山市，學(xué)校占地948畝，有教職工594人，學(xué)校設(shè)有10個(gè)二級(jí)學(xué)院共43個(gè)本專科專業(yè)，全日制在校生9183人。從學(xué)校建設(shè)角度，可以把文山學(xué)院分為老校區(qū)和新校區(qū)。學(xué)校校園網(wǎng)覆蓋到辦公樓、教學(xué)樓、教職工宿舍樓及老校區(qū)部分學(xué)生宿舍，由于校園網(wǎng)出口帶寬不高，整體網(wǎng)速慢以及很多學(xué)生宿舍沒有校園網(wǎng)布線，使得很多學(xué)生都是自己向網(wǎng)絡(luò)供應(yīng)商申請(qǐng)接入互聯(lián)網(wǎng)。由于我校的教務(wù)管理系統(tǒng)只能在校園網(wǎng)內(nèi)部訪問，教師查詢教學(xué)信息以及考試成績(jī)等的錄入只能局限在校園網(wǎng)內(nèi)部，另外廣大教師在獲取學(xué)校圖書館提供的電子圖書、科研論文等信息資源時(shí)，也只能在校園網(wǎng)訪問。因此，迫切需要一種方法能讓學(xué)校的師生無論是在學(xué)校內(nèi)還是校外，都能順利地訪問校園網(wǎng)里的資源。這對(duì)提高教學(xué)效率和教師的科研水平都是很有益的。因此，提出建設(shè)我校的VPN解決方案，能夠兼顧性能和價(jià)格，實(shí)現(xiàn)真正意義的優(yōu)質(zhì)低價(jià)的網(wǎng)絡(luò)VPN互聯(lián)。

二、VPN技術(shù)分析

虛擬專用網(wǎng)（Virtual Private NetWork，VPN）是指利用Internet等公共網(wǎng)絡(luò)創(chuàng)建遠(yuǎn)程的計(jì)算機(jī)到局域網(wǎng)以及局域網(wǎng)到局域網(wǎng)的連接，而建立的一種可以跨躍更大的物理范圍的局域網(wǎng)應(yīng)用。

1.隧道技術(shù)

隧道技術(shù)（Tunneling）是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝然后通過隧道發(fā)送。新的幀頭提供路由信息，以便通過互聯(lián)網(wǎng)傳遞被封裝的負(fù)載數(shù)據(jù)。

VPN采用隧道（Tunneling）技術(shù)，利用PPTP與L2TP等協(xié)議對(duì)數(shù)據(jù)包進(jìn)行封裝和加密，所以保證了在Internet等公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的安全性。

2.VPN分類

VPN按照它的應(yīng)用可以分為兩種：?jiǎn)螜C(jī)到局域網(wǎng)的連接（point to LAN）（如圖1所示）和局域網(wǎng)到局域網(wǎng)的連接（LAN to LAN）[1]（如圖2所示）。

單機(jī)到局域網(wǎng)的連接適用于單個(gè)用戶連接到企業(yè)局域網(wǎng)。只要用戶個(gè)人計(jì)算機(jī)能夠訪問Internet，用戶就能通過VPN方式跟企業(yè)局域網(wǎng)建立連接，從而訪問企業(yè)局域網(wǎng)提供的資源。

局域網(wǎng)到局域網(wǎng)的連接適用于企業(yè)分支機(jī)構(gòu)（可以是多個(gè)分支機(jī)構(gòu)）連接到企業(yè)總部局域網(wǎng)。企業(yè)分支機(jī)構(gòu)和企業(yè)總部既可以通過Internet互聯(lián)也可以通過專線連接，達(dá)到分支機(jī)構(gòu)局域網(wǎng)和總部局域網(wǎng)邏輯上屬于一個(gè)更大的局域網(wǎng)，實(shí)現(xiàn)資源的相互共享。

圖1單機(jī)到局域網(wǎng)的連接

圖2 局域網(wǎng)到局域網(wǎng)的連接

根據(jù)我校的實(shí)際情況，提供VPN服務(wù)可以方便廣大師生員工通過外網(wǎng)訪問校園網(wǎng)登陸教務(wù)管理系統(tǒng)數(shù)字圖書館等操作，選擇單機(jī)到局域網(wǎng)的連接。

一個(gè)完整的VPN系統(tǒng)一般由VPN服務(wù)器、VPN數(shù)據(jù)通道和VPN客戶端三個(gè)單元構(gòu)成。

三、VPN服務(wù)器及客戶機(jī)的安裝配置

1.VPN服務(wù)器的安裝與配置

方案以安裝有Windows Server 2008操作系統(tǒng)作為VPN服務(wù)器。

①單擊“開始”“程序”“管理工具”“管理您的服務(wù)器”命令，添加“遠(yuǎn)程訪問/VPN服務(wù)器”角色，啟動(dòng)“路由和遠(yuǎn)程訪問服務(wù)器向?qū)А?/p>

②在向?qū)У呐渲媒缑嬷校x擇“虛擬專用網(wǎng)絡(luò)（VPN）訪問和NAT”單選按鈕，配置該服務(wù)器為VPN服務(wù)器，同時(shí)具有NAT功能，然后單擊“下一步”按鈕

③選擇“VPN”和撥號(hào)復(fù)選框，然后單擊“下一步”按鈕

④使用VPN，在VPN服務(wù)器上必須有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)連接到Internet，一個(gè)接到校園網(wǎng)網(wǎng)絡(luò)。選擇“本地連接”為VPN服務(wù)器到Internet的網(wǎng)絡(luò)接口，“本地連接2”連接到校園局域網(wǎng)。單擊“下一步”按鈕

⑤選擇“自動(dòng)”單選按鈕，因?yàn)樾@網(wǎng)內(nèi)專門有DHCP服務(wù)器進(jìn)行IP地址的指派。單擊“下一步”按鈕

⑥提示是否選擇此服務(wù)器與RADIUS服務(wù)器一起工作，選擇“否”，單擊“下一步”按鈕

⑦最后單擊“完成”按鈕，結(jié)束“遠(yuǎn)程訪問/VPN服務(wù)器”的配置。

為用戶配置遠(yuǎn)程訪問權(quán)限

用戶可以通過VPN服務(wù)器上的本地用戶賬戶和局域網(wǎng)中的域用戶賬戶通過VPN訪問局域網(wǎng)。要使用戶通過VPN訪問局域網(wǎng)，賬戶都應(yīng)該具有“撥入權(quán)限”。

2.VPN客戶端計(jì)算機(jī)安裝與配置

遠(yuǎn)程客戶首要條件是已經(jīng)連接到Internet。遠(yuǎn)程客戶機(jī)接入Internet可以是通過寬帶撥號(hào)，也可以是局域網(wǎng)到Internet的網(wǎng)絡(luò)連接。

方案以安裝有windows 7 SP1操作系統(tǒng)作為VPN客戶端。

①打開控制面板進(jìn)入“網(wǎng)絡(luò)和共享中心”。

②點(diǎn)擊進(jìn)入“設(shè)置新的連接和網(wǎng)絡(luò)”，選擇“連接到工作區(qū)”并點(diǎn)擊“下一步”。

③點(diǎn)擊“使用我的Internet連接（VPN）”

④在“Internet地址”欄輸入企業(yè)網(wǎng)絡(luò)地址，并“下一步”。

⑤輸入企業(yè)網(wǎng)絡(luò)管理員提供的用戶名和密碼，點(diǎn)擊“連接”便可以連接到企業(yè)網(wǎng)絡(luò)。

⑥連接成功后，VPN客戶端邏輯上已經(jīng)和企業(yè)網(wǎng)絡(luò)處在同一局域網(wǎng)內(nèi)，此時(shí)VPN客戶端便可以使用遠(yuǎn)程局域網(wǎng)提供的各種資源。

四、結(jié)論

建立校園VPN，可以利用現(xiàn)有的公共網(wǎng)絡(luò)資源，在普通用戶和校區(qū)之間建立安全、可靠、經(jīng)濟(jì)和高效的傳輸鏈路，利用Internet的傳輸線路保證了網(wǎng)絡(luò)的互聯(lián)性，采用隧道、加密等VPN技術(shù)保證了信息傳輸?shù)陌踩裕瑥亩鴺O大地提高了辦公效率，節(jié)省了學(xué)校資源，為校園信息化建設(shè)奠定了基礎(chǔ)。

參考文獻(xiàn)：

[1]郝興偉.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].中國水利水電出版社，2009年：196-212.

[2]高博，趙映紅.虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)應(yīng)用與實(shí)踐[J].水科學(xué)與工程技術(shù)，2014（3）：93-96.

篇5

關(guān)鍵詞:訪問型VPN;L2TP;IPSec;PPP;隧道

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)31-pppp-0c

Research of Access VPN Solution Based on L2TP and IPSEC

JIANG Ying1, MIAO Chang-yun2

(1.Tianjin Polytechnic University,Tianjin 300000,China;2.HeBei University of Technology LangFang Department,LangFang 065000,China)

Abstract: Tunneling is the key technology for constructing Virtual Private Network(VPN). As the noticeable tunnel protocols,Layer Two Tunneling Protocol (L2TP) and IP Security Protocol (IPSec) are firstly introduced in this paper. we analyze the latent security trouble of Access VPN based on L2TP, and the cause, which restricts the secure creation of IP-VPN with IPSec. Finally we provide the Access VPN solution based on L2TP and IPSEC.

Key words: Access VPN; L2TP; IPSec; PPP; Tunnel

虛擬專用網(wǎng)絡(luò)(VPN,Virtual Private Network),是利用各種安全協(xié)議,在公眾網(wǎng)絡(luò)中建立安全隧道,將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公人員等與總部連接起來,并且提供安全的端到端的數(shù)據(jù)通信的一種網(wǎng)絡(luò)技術(shù)。最初VPN是以LAN間互連型VPN為主要目的開發(fā)的,但隨著公司職工異地辦工和移動(dòng)用戶遠(yuǎn)程通信的迫切需要,訪問型VPN日益受到重視。訪問型VPN即處于公司內(nèi)部網(wǎng)外部的終端通過在Internet網(wǎng)上構(gòu)建的VPN與公司內(nèi)部網(wǎng)相連,使外部終端能夠像內(nèi)部網(wǎng)中的用戶一樣使用內(nèi)部網(wǎng)資源。

目前VPN主要采用四項(xiàng)技術(shù)來保證通信安全[1]:隧道技術(shù)、加解密技術(shù)、密鑰交換與管理技術(shù)、身份認(rèn)證技術(shù)。隧道技術(shù)是VPN的核心技術(shù),類似于點(diǎn)對(duì)點(diǎn)連接技術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),使數(shù)據(jù)包通過這條隧道安全傳輸。隧道由隧道協(xié)議形成,隧道協(xié)議規(guī)定了隧道的建立,維護(hù)和刪除規(guī)則以及怎樣將用戶數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。到現(xiàn)在為止,比較成熟的隧道協(xié)議有:1) 鏈路層隧道協(xié)議,主要有點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP、第二層轉(zhuǎn)發(fā)協(xié)議L2F以及第二層隧道協(xié)議L2TP;2) 網(wǎng)絡(luò)層隧道協(xié)議,主要有通用路由封裝協(xié)議GRE和IP安全協(xié)議IPSec。

L2TP是對(duì)端到端協(xié)議(PPP)的一種擴(kuò)展,它結(jié)合了L2F和PPTP的優(yōu)點(diǎn),成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。像PPTP一樣,L2TP支持多種傳輸協(xié)議,它將用戶的數(shù)據(jù)封裝在PPP幀中,然后通過IP骨干網(wǎng)進(jìn)行傳輸。與PPTP不同的是,L2TP對(duì)隧道維護(hù)和用戶數(shù)據(jù)都使用UDP作為封裝方法。盡管許多人相信L2TP是安全的協(xié)議,但是它除了提供方便的用戶和連接的認(rèn)證外,自身對(duì)傳輸?shù)挠脩魯?shù)據(jù)并不執(zhí)行任何加密,因此,它不能提供安全的隧道;IPSec則不然,它工作在OSI參考模型的網(wǎng)絡(luò)層(第三層)。其最大的優(yōu)點(diǎn)是提供了非常強(qiáng)大的安全功能,包括數(shù)據(jù)的機(jī)密性、數(shù)據(jù)完整性和驗(yàn)證、抗回放檢測(cè)等服務(wù)。

L2TP是一種訪問型VPN解決方案,它不能提供安全的隧道,并不能滿足用戶對(duì)數(shù)據(jù)傳輸安全性的需求。如果需要安全的VPN,則需要IPSec和L2TP結(jié)合使用。本文對(duì)L2TP和IPSec分別進(jìn)行討論,分析其優(yōu)缺點(diǎn),并給出利用L2TP與IPSec結(jié)合實(shí)現(xiàn)訪問型VPN的解決方案。

1 L2TP和IPSEC協(xié)議分析

1.1 第二層隧道協(xié)議 L2TP

L2TP協(xié)議是將PPP分組進(jìn)行隧道封裝并在不同的傳輸媒體上傳輸,所以L2TP可看作虛擬PPP連續(xù),并且它利用PPP NCP來協(xié)商IP的分配。使用L2TP,有兩種隧道模式:自愿隧道模式和強(qiáng)制隧道模式。在自愿隧道中,遠(yuǎn)程訪問用戶運(yùn)行L2TP,并且建立到服務(wù)器的VPN連接;在強(qiáng)制隧道中,另外一臺(tái)設(shè)備代表用戶,負(fù)責(zé)建立隧道。如圖1所示,L2TP主要由訪問集中器LAC (L2TP Access Concentrator)和網(wǎng)絡(luò)服務(wù)器LNS (L2TP Network Server)構(gòu)成。LAC支持客戶端的L2TP,用于發(fā)起呼叫、接收呼叫和建立隧道。LNS是所有隧道的終點(diǎn)。在傳統(tǒng)的PPP連接中,用戶撥號(hào)連接的終點(diǎn)是LAC,L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。L2TP解決了多個(gè)PPP鏈路的捆綁問題,使物理上連接到不同NAS的PPP鏈路,在邏輯上的終結(jié)點(diǎn)為同一個(gè)物理設(shè)備。

作為PPP的擴(kuò)展,L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP,可以進(jìn)行用戶身份認(rèn)證。L2TP定義了控制包的加密傳輸,每個(gè)被建立的隧道生成一個(gè)獨(dú)一無二的隨機(jī)鑰匙,以便抵抗欺騙性的攻擊,但是它對(duì)傳輸中的用戶數(shù)據(jù)并不加密。因此,L2TP并不能滿足用戶對(duì)安全性的需求,L2TP封裝存在以下安全隱患[2]:

1)L2TP分組在網(wǎng)上傳輸時(shí),攻擊者可以通過竊取數(shù)據(jù)分組而知曉用戶身份;

2)攻擊者可以修改L2TP控制數(shù)據(jù)和L2TP數(shù)據(jù)分組;

3)攻擊者可以劫持L2TP隧道或隧道中的PPP連接;

4)攻擊者可以通過終止PPP連接或L2TP隧道,而進(jìn)行拒絕服務(wù)攻擊;

5)攻擊者可以修改PPP ECP或CCP協(xié)議,以削弱或去除對(duì)PPP連接的機(jī)密性保護(hù);也可通過破壞PPP LCP鑒別協(xié)議而削弱PPP鑒別過程的強(qiáng)度或獲取用戶口令。

1.2 IP安全協(xié)議IPSec

IPSec是IETF IPSec工作組制訂的一組基于密碼學(xué)的開放網(wǎng)絡(luò)安全協(xié)議,用以保證IP網(wǎng)絡(luò)上數(shù)據(jù)通信的安全性。IPSec利用密碼技術(shù)從三個(gè)方面來保證數(shù)據(jù)的安全:通過認(rèn)證,對(duì)主機(jī)和端點(diǎn)進(jìn)行身份鑒別;利用完整性檢查來保證數(shù)據(jù)在傳輸過程中沒有被修改;加密IP地址和數(shù)據(jù)以保證數(shù)據(jù)私有性。

IPSec的安全結(jié)構(gòu)由三個(gè)主要的協(xié)議組成:封裝安全負(fù)載(Encapsulating Security Payload, ESP) 定義了為通信提供機(jī)密性、完整性保護(hù)和抗重播服務(wù)的具體實(shí)現(xiàn)方法。認(rèn)證頭(Authentication Header, AH) 定義了為通信提供完整性和抗重放服務(wù)的具體實(shí)現(xiàn)方法。ESP和AH協(xié)議都有一個(gè)確定特定的算法和可選功能的支持文獻(xiàn)集。

Internet安全協(xié)會(huì)和密鑰管理協(xié)議(ISAKMP)是IPSec的另一個(gè)主要組件。ISADMP提供了用于應(yīng)用層服務(wù)的通用格式,它支持IPSec協(xié)議和密鑰管理需求。IETF設(shè)計(jì)了Oakley密鑰確定協(xié)議(Key Determination Protocol)來實(shí)施ISAKMP功能。這個(gè)協(xié)議在通信系統(tǒng)之間建立一個(gè)安全聯(lián)系,它是一個(gè)產(chǎn)生和交換IPSec密鑰材料并且協(xié)調(diào)IPSec參數(shù)的框架。

IPSec提供了網(wǎng)絡(luò)層IP的安全機(jī)制,能夠?qū)P數(shù)據(jù)流完整性、機(jī)密性、防重放等進(jìn)行保護(hù),也能提供靈活的連接級(jí)、數(shù)據(jù)分組級(jí)的源鑒別。目前,通常利用IPSec在INTERNET網(wǎng)上構(gòu)建LAN間的VPN,但不被用于獨(dú)立構(gòu)建遠(yuǎn)程訪問型VPN,主要原因如下:

1)IPSec雖然提供了很強(qiáng)的主機(jī)級(jí)的身份鑒別,但它只能支持有限的用戶級(jí)身份鑒別。而在遠(yuǎn)程訪問型VPN中遠(yuǎn)程終端用戶要進(jìn)入企業(yè)內(nèi)部網(wǎng)必須進(jìn)行嚴(yán)格的身份鑒別。目前IPSec協(xié)議還不能方便、有效地實(shí)現(xiàn)這項(xiàng)功能。

2)在IPSec安全協(xié)議中,總是假設(shè)封裝的分組是IP分組,目前尚不能支持多協(xié)議封裝。

3)目前的IPSec只支持以固定的IP地址查找對(duì)應(yīng)的預(yù)享密鑰、證書等鑒別信息,尚不支持動(dòng)態(tài)分配的IP地址。而出差在外的公司員工通常使用電話撥號(hào)方式接入INTERNET網(wǎng),此時(shí)用戶使用的是動(dòng)態(tài)分配的IP地址,因此無法通過身份鑒別,接入內(nèi)部網(wǎng)。

通過以上對(duì)L2TP和IPSec協(xié)議各自優(yōu)缺點(diǎn)的分析,可以考慮構(gòu)建一種更加安全、經(jīng)濟(jì)的遠(yuǎn)程訪問VPN的解決方案:將L2TP協(xié)議和IPSec協(xié)議綜合起來使用,利用IPSec彌補(bǔ)L2TP的安全方面的不足,同時(shí)又利用L2TP彌補(bǔ)IPSec在用戶級(jí)鑒別、授權(quán)等方面的不足。

2 基于L2TP/IPSec構(gòu)建訪問型VPN

2.1 L2TP/IPSec方案的原理分析

通過分析可知:L2TP 其實(shí)就是IP 封裝協(xié)議的另一個(gè)變種,L2TP通道的IP 封裝結(jié)構(gòu)為(IP 報(bào)頭(UDP 報(bào)頭(L2TP報(bào) 頭(PPP報(bào)頭(PPP 負(fù)載)))))。創(chuàng)建一個(gè)L2TP 通道就是將L2TP幀封裝在UDP 報(bào)頭中,再將該UDP保文封裝在以通道端點(diǎn)作為源地址和目的地址的IP 報(bào)文中。因?yàn)橥獠糠庋b使用的是IP協(xié)議,所以IPSec可以用于保護(hù)上述合成的IP數(shù)據(jù)報(bào)文,也就是保護(hù)L2TP通道中流動(dòng)的數(shù)據(jù)。

假設(shè)所有的隧道和鏈路都已經(jīng)建立成功,遠(yuǎn)程用戶使用該VPN進(jìn)行通信的過程如下[3]:

1)首先遠(yuǎn)程用戶端產(chǎn)生一個(gè)終止于LNS的、封裝了一個(gè)內(nèi)部IP包的PPP包,內(nèi)部IP包的源地址是LNS分配給用戶的VPN內(nèi)網(wǎng)地址,目的地址是VPN內(nèi)網(wǎng)服務(wù)器,這個(gè)PPP包通過用戶和LAC間的PPP物理鏈路傳送到LAC。

2)LAC根據(jù)PPP包中的用戶名找到對(duì)應(yīng)的L2TP隧道和IPSec隧道并對(duì)其進(jìn)行L2TP封裝和IPSec處理,生成L2TP/IPSec包。

3)LAC從自己的動(dòng)態(tài)IP池里分配一個(gè)隨機(jī)IP地址,為L(zhǎng)2TP/IPSec包封裝外部IP頭并傳送給LNS。

4)LNS收到這個(gè)包后,首先進(jìn)行IPSec的解密和認(rèn)證處理,然后依次去除L2TP頭和PPP頭,最后根據(jù)內(nèi)部IP頭的目的地址發(fā)往VPN內(nèi)網(wǎng)服務(wù)器。

在L2TP/IPSec 方案實(shí)現(xiàn)時(shí),L2TP運(yùn)行在IP 之上,而IP層已經(jīng)部署了IPSec軟件,所以在LAC和LNS之間所有的數(shù)據(jù)包在傳遞給L2TP軟件處理前都要進(jìn)行IPSec的相應(yīng)處理。假設(shè)IPSec軟件提供了ESP和AH兩種安全協(xié)議,那么IPSec便可以首先使用ESP 完成對(duì)L2TP包加密的工作,對(duì)整個(gè)高層報(bào)文進(jìn)行保護(hù),然后利用AH對(duì)加密數(shù)據(jù)和外部頭進(jìn)行認(rèn)證,生成的L2TP/IPSec包格式如圖2所示。其中IP2是內(nèi)部的IP頭部,包含有數(shù)據(jù)的真正的源和目的地址選項(xiàng)(一般考慮為私有地址)。IP1利用公網(wǎng)的傳輸特性(如公共網(wǎng)的傳輸?shù)刂贰挼?傳送內(nèi)部數(shù)據(jù)。

本實(shí)現(xiàn)方案中,由L2TP提供隧道服務(wù),而IPSec提供安全服務(wù),這樣可以提供一個(gè)更安全的VPN實(shí)現(xiàn)方案。通過將L2TP的基于點(diǎn)到點(diǎn)協(xié)議(PPP)的特點(diǎn)和IPSec的安全特點(diǎn)結(jié)合在一起,不僅利用了L2TP的封裝機(jī)制,而且對(duì)數(shù)據(jù)分組提供了安全性保護(hù),可以防止非法用戶對(duì)VPN的攻擊,能夠滿足遠(yuǎn)程用戶接入VPN的要求。

2.2 L2TP/IPSec方案的應(yīng)用模式

2.2.1 基于L2TP和IPSec的自愿隧道模式

這種模式下,L2TP和IPSec均安裝于遠(yuǎn)程用戶主機(jī)上。此時(shí)用戶主機(jī)充當(dāng)了LAC,用戶自主對(duì)L2TP進(jìn)行配置和管理。如圖3所示,LAC將L2TP分組發(fā)送到ISP,再經(jīng)過Internet到LNS,通過一個(gè)訪問連接將L2TP依次封裝在PPP和IP包中,這樣LAC可以取

(下轉(zhuǎn)第8654頁)

(上接第8646頁)

得它與LNS端的SA屬性。如果LAC取得SA,它能獲得LAC和LNS的安全服務(wù)[4]。由于LAC和LNS之間有安全服務(wù),則可以利用IPSec而取消PPP的加密和壓縮。

2.2.2 基于IPSec和L2TP的強(qiáng)制隧道的模式

此種模式將IPSec安裝于遠(yuǎn)程訪問主機(jī),而L2TP集成于LAC。PPP Client發(fā)送PPP幀給LAC,在LNS端收到的數(shù)據(jù)包是封裝了PPP的L2TP包,如圖4所示。在這種模式下,Client和LNS擁有安全服務(wù)的不同的信息,PPP加密和壓縮是否執(zhí)行,要依靠Client的策略。由于Client沒有任何LAC和LNS之間的服務(wù),而Client不信任LAC以及它和LAC之間的線路,Client 一般要求它到LNS的端到端的IPSec加密或者PPP的加密/壓縮[5]。

3 結(jié)束語

以L2TP協(xié)議與IPSec協(xié)議的結(jié)合使用來實(shí)現(xiàn)訪問型V PN時(shí),L2TP利用IPSec強(qiáng)大的安全功能,以彌補(bǔ)自身安全方面的不足,提供了具有多種協(xié)議封裝和完備的安全功能的V PN,提高了應(yīng)用方案的安全性、完善了方案的鑒別和授權(quán)機(jī)制,具有一定的使用價(jià)值,但同時(shí)也產(chǎn)生了因重復(fù)封裝引起的額外開銷。隨著對(duì)訪問型V PN研究的不斷深入,協(xié)議進(jìn)一步完善,存在的問題會(huì)逐步得到解決。

參考文獻(xiàn):

[1] 高德昊.VPN技術(shù)在組網(wǎng)中的研究與應(yīng)用[D].中國優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫,2007,(5).

[2] 戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2002.

[3] 季超,楚艷萍.基于L2TP/IPSEC的安全隧道技術(shù)方案[J].河南大學(xué)學(xué)報(bào)(自然科學(xué)版),2004,(34)1:94-96.

篇6

關(guān)鍵詞：信息安全，移動(dòng)通信，密碼學(xué)，信息系統(tǒng)

 

1 前言公安信息化工作的快速推進(jìn)，金盾工程的全面建設(shè)，使得各級(jí)公安機(jī)關(guān)和廣大干警在執(zhí)行警務(wù)工作中將廣泛應(yīng)用公安警務(wù)信息來偵破案件、抓捕逃犯、核查車輛、打擊和預(yù)防犯罪等。在街面和移動(dòng)中，充分利用警務(wù)信息已成為公安工作的緊迫需求，公安信息移動(dòng)應(yīng)用系統(tǒng)建設(shè)也是金盾工程的主要建設(shè)內(nèi)容之一。警務(wù)通是基于移動(dòng)通信技術(shù)的公安信息綜合業(yè)務(wù)查詢系統(tǒng)和指揮調(diào)度系統(tǒng)。充分發(fā)揮了移動(dòng)通信技術(shù)所特有的隨時(shí)、隨地、隨心的特點(diǎn)，滿足了外勤警務(wù)人員在治安、交通、刑偵、監(jiān)管、戶政、經(jīng)偵、邊防、消防、出入境等方面需要適時(shí)進(jìn)行信息交互的工作需要，是用信息化實(shí)現(xiàn)“科技強(qiáng)警”的成功典范。

正是警務(wù)信息處理的特殊性要求系統(tǒng)開發(fā)人員在設(shè)計(jì)系統(tǒng)應(yīng)將其安全性和健壯性放在最重要的位置，以保證系統(tǒng)的正常運(yùn)行和涉秘信息的安全處理。本文將從網(wǎng)絡(luò)安全、數(shù)據(jù)訪問安全和數(shù)據(jù)存儲(chǔ)安全三方面討論移動(dòng)警務(wù)系統(tǒng)的安全策略。

2 網(wǎng)絡(luò)安全由于保密性需要，網(wǎng)絡(luò)設(shè)計(jì)階段的所有需求都應(yīng)該以安全為中心。接下來將從宏觀到微觀，從“大網(wǎng)”設(shè)計(jì)到設(shè)備選型，來分析網(wǎng)絡(luò)安全的策略需求。

2.1 移動(dòng)網(wǎng)絡(luò)的安全所有的移動(dòng)數(shù)據(jù)專線，都采用APN或者VPN方式，由交換網(wǎng)直接連接運(yùn)營(yíng)商的專網(wǎng)，不連接公共互聯(lián)網(wǎng)，同時(shí)避免中間存在其他的連接點(diǎn)。在此基礎(chǔ)上，相關(guān)通道可提供加密的傳輸保證。

2.2 網(wǎng)絡(luò)安全設(shè)備的綜合使用采用防火墻和網(wǎng)閘設(shè)備，提供網(wǎng)絡(luò)訪問的安全。防火墻設(shè)備，用于在交換網(wǎng)內(nèi)隔離接入服務(wù)區(qū)與信息服務(wù)區(qū)。隔離網(wǎng)閘設(shè)備，按照在公安部的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)使用，并提高了一個(gè)級(jí)別，除了交換網(wǎng)與公安內(nèi)網(wǎng)的隔離網(wǎng)閘外，在交換網(wǎng)與運(yùn)營(yíng)商數(shù)據(jù)專線的接口處也設(shè)置了隔離網(wǎng)閘，進(jìn)一步提高了安全性。

2.3 網(wǎng)絡(luò)攻擊的抵抗能力通過VPN網(wǎng)關(guān)、防火墻等網(wǎng)絡(luò)設(shè)備的使用，共同抵抗來自公網(wǎng)網(wǎng)絡(luò)攻擊(如DDOS等)。基于IPSec的VPN和防火墻可防止IP層以上的攻擊行為。使用SSL VPN和防火墻：可防止應(yīng)用層的攻擊。

2.5 采用加密的VPN網(wǎng)關(guān)在接入認(rèn)證中，使用公安部認(rèn)可的VPN加密數(shù)據(jù)網(wǎng)關(guān)，建立起移動(dòng)警務(wù)終端到交換網(wǎng)的VPN加密隧道（基于RSA1024）。避免了數(shù)據(jù)在專線傳輸過程中被窺探。

2.6 應(yīng)用層的加密通道所有的移動(dòng)應(yīng)用系統(tǒng)，主要是基于Web的B/S應(yīng)用體系。在此之上，應(yīng)用層通信，均采用基于SSL的HTTPS的加密處理通道（支持RSA 1024）。

3 數(shù)據(jù)訪問安全數(shù)據(jù)訪問是真實(shí)世界中業(yè)務(wù)處理流程到軟件設(shè)計(jì)的微觀化，數(shù)據(jù)訪問安全的策略應(yīng)該從設(shè)計(jì)正確的數(shù)據(jù)流圖到保證數(shù)據(jù)流圖各個(gè)環(huán)節(jié)安全進(jìn)行分析，主要由以下幾個(gè)方面共同負(fù)責(zé)。

3.1 專門的安全業(yè)務(wù)交換平臺(tái)采用公安部認(rèn)可的安全業(yè)務(wù)交換平臺(tái)，提供業(yè)務(wù)與數(shù)據(jù)的安全訪問。該交換平臺(tái)位于交換網(wǎng)和內(nèi)網(wǎng)之間，通過專用服務(wù)設(shè)備和網(wǎng)閘連接，建立一個(gè)單向的通道，并通過內(nèi)網(wǎng)端主動(dòng)提取和控制的機(jī)制，實(shí)現(xiàn)相關(guān)交換的安全處理。支持業(yè)務(wù)系統(tǒng)和數(shù)據(jù)系統(tǒng)的安全交換，具有統(tǒng)一的管理界面，便于管理。

3.2 多層次的綜合身份認(rèn)證功能對(duì)于每個(gè)移動(dòng)警務(wù)的實(shí)際用戶，提供了以下幾個(gè)層次的認(rèn)證處理。

移動(dòng)終端對(duì)用戶的認(rèn)證。確定使用終端的用戶的合法性。主要采用開機(jī)密碼、指紋識(shí)別（需硬件支持）、操作系統(tǒng)登錄密碼等多種方式。

網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)撥號(hào)終端身份的認(rèn)證。所有的移動(dòng)警務(wù)終端的手機(jī)卡，需事先在運(yùn)營(yíng)商的專線接入點(diǎn)登記。無線撥號(hào)中，只有已經(jīng)登記的SIM卡，才能撥叫網(wǎng)絡(luò)運(yùn)營(yíng)商的接入點(diǎn)，否則將無法撥叫。

公安移動(dòng)接入?yún)^(qū)對(duì)撥號(hào)終端身份的認(rèn)證。公安移動(dòng)接入?yún)^(qū)的移動(dòng)終端撥入驗(yàn)證系統(tǒng)，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商的接入點(diǎn)傳來的移動(dòng)終端的身份信息（如SIM卡號(hào) 分組名等）進(jìn)行身份核實(shí)，對(duì)于非法的撥入號(hào)碼拒絕連接。這樣，即使由網(wǎng)絡(luò)運(yùn)營(yíng)商的接入點(diǎn)傳來的非法終端號(hào)碼，也無法進(jìn)入接入平臺(tái)

移動(dòng)終端接入公安移動(dòng)區(qū)中時(shí)，接入網(wǎng)關(guān)對(duì)移動(dòng)終端的單向認(rèn)證。認(rèn)證過程基于終端的設(shè)備數(shù)字證書和簽名密鑰，由終端設(shè)備和接入VPN網(wǎng)關(guān)自動(dòng)完成。。

接入平臺(tái)對(duì)用戶可訪問應(yīng)用的認(rèn)證。移動(dòng)接入?yún)^(qū)的平臺(tái)統(tǒng)一管理系統(tǒng)，對(duì)每個(gè)接入用戶可以訪問的子應(yīng)用系統(tǒng)進(jìn)行了限制。這樣，每個(gè)用戶只能訪問受限制的移動(dòng)警務(wù)應(yīng)用，而不能訪問全部。

應(yīng)用程序的用戶認(rèn)證。當(dāng)移動(dòng)終端上的應(yīng)用系統(tǒng)登錄交換網(wǎng)的移動(dòng)警務(wù)應(yīng)用時(shí)，需要使用移動(dòng)用戶的個(gè)人數(shù)字證書，與應(yīng)用服務(wù)器進(jìn)行身份驗(yàn)證（基于數(shù)字簽名，可考慮連接內(nèi)網(wǎng)PKI系統(tǒng)），只有通過驗(yàn)證，才能進(jìn)入到系統(tǒng)內(nèi)部，進(jìn)行相關(guān)的操作。

3.3 數(shù)據(jù)的加密傳輸所有的數(shù)據(jù)，均通過兩個(gè)級(jí)別的加密機(jī)制來完成。主要如下：

（1）傳輸通道加密。

從移動(dòng)終端到移動(dòng)警務(wù)應(yīng)用系統(tǒng)的整個(gè)通道，采用加密的方式，進(jìn)行保護(hù)。包括兩個(gè)層面：

網(wǎng)絡(luò)層的加密：通過終端加密卡和加密VPN網(wǎng)關(guān)的認(rèn)證，建立其基于網(wǎng)絡(luò)層的加密隧道（基于RSA 1024）

應(yīng)用層的加密：基于HTTPS和SSL協(xié)議的使用，通過用戶數(shù)字證書和移動(dòng)警務(wù)應(yīng)用系統(tǒng)進(jìn)行身份認(rèn)證，建立起應(yīng)用層的加密隧道（基于RSA 1024）

（2）傳輸數(shù)據(jù)加密

會(huì)話中所傳輸?shù)乃袛?shù)據(jù)均采用加密的方式進(jìn)行。進(jìn)一步避免了數(shù)據(jù)通道被破解后，數(shù)據(jù)被窺探的可能。具體的加密算法，對(duì)稱算法采用SCB2，雜湊算法采用SHA-256（高于公安部標(biāo)準(zhǔn)）

3.4 密碼體系在數(shù)據(jù)安全體系中很多方面都與密碼體系緊密相關(guān)。因此對(duì)于該方面特別加以說明。。在移動(dòng)警務(wù)平臺(tái)的實(shí)施中，密碼體系按照公安部建設(shè)指導(dǎo)書的方針完成。具體包括以下幾方面：

（1）密碼算法

對(duì)稱算法：采用不低于AES256的加密。主要用于傳輸中的數(shù)據(jù)加密、移動(dòng)終端安全卡認(rèn)證等。

公鑰算法：采用RSA（1024位），主要用于移動(dòng)用戶的證書認(rèn)證，SSL通道的加密協(xié)商、證書的簽發(fā)等。

散列算法：采用SHA-1（160）或者更高級(jí)別的（256或者384），產(chǎn)生消息摘要。

（2）專用密碼設(shè)備

在移動(dòng)警務(wù)平臺(tái)的使用中，需要使用相關(guān)的密碼設(shè)備，以保證相應(yīng)的加密處理。相關(guān)的設(shè)備主要有如下兩類：

移動(dòng)接入專用密碼卡：用于配合服務(wù)端系統(tǒng)，完成數(shù)據(jù)加解密、簽名、消息驗(yàn)證等功能。對(duì)于每個(gè)相關(guān)的服務(wù)器需要安裝相應(yīng)產(chǎn)品。相關(guān)產(chǎn)品采用公安部認(rèn)證的產(chǎn)品。

移動(dòng)接入終端專用安全卡：用于驗(yàn)證接入終端的安全性，對(duì)于每個(gè)移動(dòng)終端，需要安裝。根據(jù)不同的終端類型，當(dāng)前適合的有三種：

SDIO安全卡：處理能力強(qiáng)，適合具備SDIO接口的移動(dòng)終端設(shè)備（實(shí)際比較少）。。

PCMCIA卡：適合具有PCMCIA接口的筆記本電腦。

安全SIM卡：功能較弱，適合常見手機(jī)和PDA，對(duì)終端要求低。

以上三種產(chǎn)品，將根據(jù)實(shí)際的終端特點(diǎn)，分別采購。所有的產(chǎn)品需經(jīng)過公安部相關(guān)認(rèn)證。

3.5 入侵檢測(cè)對(duì)非法侵入交換網(wǎng)的攻擊事件的發(fā)現(xiàn)和自動(dòng)阻斷，由綜合安全防護(hù)系統(tǒng)完成，如果網(wǎng)閘可以有相應(yīng)功能則由網(wǎng)閘實(shí)行。具體是否使用根據(jù)情況而定，這里不再多介紹。

3.6 病毒的防范移動(dòng)警務(wù)應(yīng)用系統(tǒng)涉及的所有的服務(wù)器，將盡量采用基于Linux的操作系統(tǒng)，避免病毒的干擾。對(duì)于必須采用Windows系統(tǒng)的服務(wù)器系統(tǒng)，使用國家有關(guān)部門批準(zhǔn)的查殺毒軟件，定時(shí)查殺和升級(jí)。制定完善的防病毒制度，關(guān)閉服務(wù)器系統(tǒng)上的一些外部接口（如USB口等），切斷病毒傳播途徑。對(duì)于移動(dòng)應(yīng)用服務(wù)器要重點(diǎn)防護(hù)。

4 數(shù)據(jù)存儲(chǔ)安全主要防范由于意外事故造成的數(shù)據(jù)丟失。主要手段包括：

硬件設(shè)備冗余：所有數(shù)據(jù)服務(wù)器，均要求采用基于RAID5的SCSI磁盤冗余陣列。

數(shù)據(jù)備份：所有的數(shù)據(jù)庫，均要求定期進(jìn)行備份。備份策略根據(jù)具體服務(wù)器而定。

專用存儲(chǔ)服務(wù)器，提供專業(yè)存儲(chǔ)管理。建議采用存儲(chǔ)服務(wù)器，可有效管理維護(hù)數(shù)據(jù)庫資源

參考文獻(xiàn)：

[1]《PGP在移動(dòng)警務(wù)通系統(tǒng)中的應(yīng)用研究》，朱永勝，計(jì)算機(jī)應(yīng)用技術(shù)碩士畢業(yè)論文，2007 年

[2]《安全隔離與信息交換助力公安移動(dòng)警務(wù)》，王羽，《信息網(wǎng)絡(luò)安全》，2005年3期

[3] 《警務(wù)通:加速移動(dòng)警務(wù)信息化》，《中國新通信》，2007年4期

[4] 《數(shù)字水印取證技術(shù)在移動(dòng)警務(wù)通中的應(yīng)用》，應(yīng)影，計(jì)算機(jī)應(yīng)用技術(shù)碩士畢業(yè)論文，2007年

篇7

【關(guān)鍵詞】 圖書館;SSL VPN;數(shù)字資源;遠(yuǎn)程訪問

高校圖書館是學(xué)校文獻(xiàn)資源的中心，承擔(dān)著為學(xué)校的教學(xué)、科研和管理工作提供文獻(xiàn)信息服務(wù)。隨著高等教育和互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，師生利用圖書館資源的方式和手段發(fā)生了巨大的變化，傳統(tǒng)的到館借閱方式逐步被網(wǎng)上借閱方式取代，人們利用文獻(xiàn)信息的方式在某種意義上講已經(jīng)突破了時(shí)空的限制。師生在校外如何通過互聯(lián)網(wǎng)共享學(xué)校的文獻(xiàn)信息資源是近年來圖書館界和IT界研究較多的課題，目前外網(wǎng)用戶共享內(nèi)網(wǎng)資源的技術(shù)主要有電話撥號(hào)、服務(wù)器(proxy)、虛擬專用網(wǎng)(VPN)，VPN是近年來發(fā)展較快，實(shí)現(xiàn)方式比較簡(jiǎn)便，較容易被接受的一種接入技術(shù)，現(xiàn)就VPN技術(shù)中的SSL VPN及其在圖書館信息資源共享中的應(yīng)用進(jìn)行介紹。

1 SSL VPN 概述

1.1 SSL VPN的概念 VPN(Virtual Private Network)是指依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)在公用網(wǎng)上建立的一條虛擬專用通道，讓兩個(gè)遠(yuǎn)距離的網(wǎng)絡(luò)客戶能在這個(gè)專用的網(wǎng)絡(luò)通道中相互傳遞數(shù)據(jù)信息。SSL VPN是采用SSL(Security Socket Layer)協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，是一種在應(yīng)用層協(xié)議和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性的機(jī)制，它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶端認(rèn)證[1]。SSL協(xié)議提供了網(wǎng)絡(luò)上通信雙方的安全保護(hù)，避免信息在網(wǎng)絡(luò)傳輸過程中被截取、改編和破壞，現(xiàn)在SSL協(xié)議已成為Internet中用來鑒別用戶身份及在瀏覽器與WEB服務(wù)器之間進(jìn)行加密通訊的全球化標(biāo)準(zhǔn)。

1.2 SSL VPN的通信過程 SSL VPN一般的實(shí)現(xiàn)方式是在內(nèi)網(wǎng)中的防火墻后面放置一個(gè)SSL服務(wù)器，SSL服務(wù)器將提供一個(gè)遠(yuǎn)程用戶與各種不同的應(yīng)用服務(wù)器之間的連接，實(shí)現(xiàn)起來主要有握手協(xié)議、記錄協(xié)議、警告協(xié)議的通信，SSL VPN的通信過程主要集中在握手協(xié)議上，主要有：第1步：SSL客戶機(jī)連接到SSL服務(wù)器，并要求服務(wù)器驗(yàn)證身份;第2步：服務(wù)器通過發(fā)送它的數(shù)字證書證明自身的身份。這個(gè)交換包括整個(gè)證書鏈，直到某個(gè)證書頒發(fā)機(jī)構(gòu)(CA)，通過檢查有效日期并確認(rèn)證書包含可信任CA的數(shù)字簽名來驗(yàn)證證書的有效性; 第3步：服務(wù)器發(fā)出一個(gè)請(qǐng)求，對(duì)客戶端的證書進(jìn)行驗(yàn)證;第4步：雙方協(xié)商用于加密的消息加密算法和用于完整性檢查的HASH函數(shù)，通常由客戶端提供它所支持的所有算法列表，然后由服務(wù)器選擇其中最強(qiáng)大的加密算法;第5步：客戶機(jī)和服務(wù)器通過下列步驟生成會(huì)話密鑰。客戶機(jī)生成一個(gè)隨機(jī)數(shù)，并使用服務(wù)器的公鑰(從服務(wù)器證書中獲得)對(duì)它加密，再送到服務(wù)器;服務(wù)器用更加隨機(jī)的數(shù)據(jù)，用客戶機(jī)的公鑰加密，發(fā)送至客戶機(jī)以表示響應(yīng);使用 HASH函數(shù)從隨機(jī)數(shù)據(jù)中生成密鑰[2]。

1.3 SSL VPN的優(yōu)點(diǎn) 相對(duì)于其它接入方式，SSL VPN在實(shí)現(xiàn)遠(yuǎn)程訪問內(nèi)網(wǎng)資源時(shí)有其獨(dú)特的優(yōu)勢(shì)，因此，近年來SSL VPN技術(shù)在各個(gè)行業(yè)，特別在企業(yè)、高校、公司及政府部門得到了廣泛的應(yīng)用。①無需安裝客戶端軟件。客戶端的區(qū)別是SSL VPN最大的優(yōu)勢(shì)，有Web瀏覽器的地方的就有SSL，所以預(yù)先安裝了Web瀏覽器的客戶機(jī)可以隨時(shí)作為SSL VPN的客戶端，在大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問是不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件。這樣，遠(yuǎn)程訪問的用戶可以在任何時(shí)間任何地點(diǎn)對(duì)應(yīng)用資源進(jìn)行訪問。②適用大多數(shù)設(shè)備。基于 Web訪問的開放體系可以在運(yùn)行標(biāo)準(zhǔn)的瀏覽器下訪問任何設(shè)備，包括非傳統(tǒng)設(shè)備，如可以上網(wǎng)的電話和PDA等通訊產(chǎn)品等。 ③適用于大多數(shù)操作系統(tǒng)。可以運(yùn)行標(biāo)準(zhǔn)的因特網(wǎng)瀏覽器的大多數(shù)操作系統(tǒng)都可以用來進(jìn)行基于Web的遠(yuǎn)程訪問，不管操作系統(tǒng)是 Windows、Macinwsh、Unix還是 Linux。④支持網(wǎng)絡(luò)驅(qū)動(dòng)器訪問。用戶通過SSL VPN通信可以訪問在網(wǎng)絡(luò)驅(qū)動(dòng)器上的資源。 ⑤良好的安全性。SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的，客戶對(duì)資源的每一次操作都需要經(jīng)過安全的身份驗(yàn)證和加密。⑥較強(qiáng)的資源控制能力。基于Web的訪問允許網(wǎng)絡(luò)管理部門為遠(yuǎn)程訪問用戶進(jìn)行詳盡的資源訪問控制，這樣有利于對(duì)不同身份用戶進(jìn)行訪問權(quán)限的控制。 ⑦經(jīng)濟(jì)實(shí)用性較好。使用SSL VPN具有很好的經(jīng)濟(jì)性，因?yàn)橹恍枰趦?nèi)網(wǎng)架設(shè)一臺(tái)VPN硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程安全訪問接入，遠(yuǎn)程用戶只要依賴現(xiàn)有互聯(lián)網(wǎng)設(shè)備就可以方便訪問內(nèi)網(wǎng)資源。 ⑧可以繞過防火墻和服務(wù)器進(jìn)行訪問。基于SSL的遠(yuǎn)程訪問方案中，使用 NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)服務(wù)的遠(yuǎn)程用戶或者因特網(wǎng)服務(wù)的用戶可以繞過防火墻和服務(wù)器進(jìn)行訪問，這是采用基于 IPSec安全協(xié)議的遠(yuǎn)程訪問很難或者根本做不到的[3]。

1.4 SSL VPN接入拓樸圖 目前，一般大學(xué)校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)是比較規(guī)范的，至少擁有一條大寬帶的外網(wǎng)接口及防火墻、安全過濾網(wǎng)關(guān)系統(tǒng)、認(rèn)證系統(tǒng)、路由交換機(jī)和大量的服務(wù)器，要實(shí)現(xiàn)內(nèi)網(wǎng)資源的遠(yuǎn)程訪問，只要在防火墻后面設(shè)置一臺(tái)SSL VPN網(wǎng)關(guān)，并根據(jù)網(wǎng)絡(luò)和用戶的具體情況進(jìn)行配置，就可以實(shí)現(xiàn)內(nèi)網(wǎng)資源共享。SSL VPN在內(nèi)部網(wǎng)中的應(yīng)用結(jié)構(gòu)，見圖1。

2 SSL VPN在高校圖書館中的應(yīng)用

2.1 高校圖書館數(shù)字資源建設(shè)及應(yīng)用 隨著信息技術(shù)的快速發(fā)展，圖書館的數(shù)字化建設(shè)步伐也越來越快，圖書館的管理和服務(wù)正向數(shù)字化、網(wǎng)絡(luò)化大步邁進(jìn)。當(dāng)前，幾乎所有高校圖書館都建立了各自的數(shù)字圖書館，數(shù)字資源的建設(shè)經(jīng)費(fèi)比例也逐年的提高，師生獲取文獻(xiàn)資源的方式很大程度上趨向網(wǎng)絡(luò)化發(fā)展。高校圖書館除了擁有各種各樣的自建數(shù)據(jù)庫，還引進(jìn)了大量的外來數(shù)據(jù)庫，包括電子圖書、電子期刊、博碩士論文數(shù)據(jù)庫、報(bào)紙、年鑒、專利、工具書、視聽報(bào)告、教學(xué)資源庫等等，這些資源有的是安裝在本地服務(wù)器，有的是購買網(wǎng)上包庫，但不管是哪種形式的數(shù)據(jù)庫，由于受到知識(shí)產(chǎn)權(quán)保護(hù)和商業(yè)利益影響的限制，往往只限于本校的師生使用，其實(shí)現(xiàn)的方式一種是使用IP地址限制，即只允許某一特定范圍內(nèi)的IP地址用戶擁有瀏覽和下載權(quán)限，這種用戶的IP地址是相對(duì)固定的，一般是在學(xué)校的校園網(wǎng);另一種訪問方式是設(shè)定訪問賬號(hào)和密碼，但這種方式往往是和訪問及下載流量互相捆綁。第二種方式對(duì)用戶數(shù)較多的大單位明顯是不合適的，因?yàn)椋S著多元化社會(huì)的發(fā)展，很多老師和學(xué)生住在校外，教師到外出差和學(xué)習(xí)、學(xué)生到外地實(shí)習(xí)等，這一部分人群對(duì)學(xué)校的數(shù)字資源擁有使用的權(quán)利，但現(xiàn)有條件又不能允許他們使用，因此，通過SSL VPN實(shí)現(xiàn)高校圖書館資源的遠(yuǎn)程共享是最為有效、最為簡(jiǎn)便和最為經(jīng)濟(jì)的途徑。

2.2 SSL VPN在高校圖書館中的應(yīng)用情況 由于SSL VPN具有安全性好、易于管理、實(shí)用性較強(qiáng)、擴(kuò)展方便及性能可靠等諸多優(yōu)點(diǎn)，近年來在實(shí)現(xiàn)高校校園網(wǎng)內(nèi)網(wǎng)資源的遠(yuǎn)程訪問中得到了廣泛應(yīng)用。SSL VPN是一種新興的VPN技術(shù)，相對(duì)于IPSec，VPN具有明顯的優(yōu)越性，在解決外網(wǎng)用戶訪問內(nèi)網(wǎng)Web服務(wù)方面日益受到人們的青睞，目前大多數(shù)高校圖書館都設(shè)置VPN服務(wù)，在內(nèi)網(wǎng)資源的遠(yuǎn)程訪問，特別是在解決圖書館數(shù)字資源的遠(yuǎn)程訪問方面發(fā)揮了重要的作用，可以說，VPN技術(shù)解決了非校內(nèi)用戶共享內(nèi)網(wǎng)優(yōu)質(zhì)資源的難題，SSL VPN的出現(xiàn)使得遠(yuǎn)程資源共享更加容易實(shí)現(xiàn)，同時(shí)也更容易被用戶接受，因?yàn)閷?duì)于用戶而言，只要能夠接入互聯(lián)網(wǎng)，無需對(duì)客戶電腦作任何設(shè)置，在https協(xié)議下直接輸入SSL VPN網(wǎng)關(guān)的IP地址，就如同在內(nèi)網(wǎng)一樣享受到各種服務(wù)。

SSL VPN通過在Internet上建立移動(dòng)用戶與內(nèi)部網(wǎng)間的專用數(shù)據(jù)通道，很好地解決了外網(wǎng)用戶訪問和使用圖書館數(shù)字資源時(shí)所面臨的具體問題。同時(shí)，SSL VPN因其具有安全、靈活、低成本等優(yōu)勢(shì)，逐步成為了圖書館電子資源遠(yuǎn)訪問的主流技術(shù)，為發(fā)揮數(shù)字資源的共享性和可傳播性、提升信息服務(wù)質(zhì)量和水平提供了良好的技術(shù)支持環(huán)境，圖書館數(shù)字資源訪問真正突破了時(shí)空的限制。

參考文獻(xiàn)

[1] 史春光.淺析基于SSL VPN 協(xié)議的VPN技術(shù)[J].信息技術(shù)，2009，(3)：121-123.

篇8

【 關(guān)鍵詞 】 VPN；仿真；Chariot；性能

1 引言

VPN（Virtual Private Network，虛擬私有網(wǎng)）是指通過公共網(wǎng)絡(luò)建立的一個(gè)臨時(shí)、安全的連接，它能夠穿過不安全的公用網(wǎng)絡(luò)。通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密傳輸，實(shí)現(xiàn)在公網(wǎng)上傳遞私密數(shù)據(jù)。VPN能夠很好地保護(hù)數(shù)據(jù)的完整性和準(zhǔn)確性，避免收發(fā)數(shù)據(jù)不一致。VPN主要采用隧道、加密解密、身份認(rèn)證、密鑰管理，在公共網(wǎng)絡(luò)中為客戶端虛擬出類似于局域網(wǎng)的專有線路。

Chariot是由NetIQ公司推出的一款網(wǎng)絡(luò)測(cè)試軟件，是目前世界上唯一認(rèn)可的應(yīng)用層IP網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的測(cè)試軟件，可提供端到端、多操作系統(tǒng)、多協(xié)議、多應(yīng)用模擬測(cè)試，還可以進(jìn)行網(wǎng)絡(luò)故障定位、網(wǎng)絡(luò)優(yōu)化等。它可以從用戶角度測(cè)試網(wǎng)絡(luò)或網(wǎng)絡(luò)參數(shù)（吞吐量、反應(yīng)時(shí)間、延時(shí)、抖動(dòng)、丟包等），能夠模擬眾多的商業(yè)應(yīng)用進(jìn)行測(cè)試，例如HTTP、FTP、AD、Exchange、SQL、Oracle和SAP等。

Chariot通過模仿各種應(yīng)用程序所發(fā)出的網(wǎng)絡(luò)數(shù)據(jù)交換，幫助網(wǎng)絡(luò)設(shè)計(jì)者或網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)進(jìn)行評(píng)沽。通過Chariot附帶的各種測(cè)試腳本用戶可以測(cè)試網(wǎng)絡(luò)的數(shù)據(jù)流量、響應(yīng)時(shí)間以及數(shù)據(jù)吞吐量，也可以根據(jù)網(wǎng)絡(luò)中所采用的應(yīng)用程序的需要，選擇相應(yīng)的測(cè)試腳本或根據(jù)實(shí)際需要編制符合自己要求的腳本。

Chariot采用主動(dòng)式監(jiān)視及定量的測(cè)量，通過產(chǎn)生模擬真實(shí)的流量，采用端到端的方法測(cè)試網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)系統(tǒng)在真實(shí)環(huán)境中的性能。

2 測(cè)試方案設(shè)計(jì)

本方案分別測(cè)試VPN系統(tǒng)和由同一硬件和軟件搭建的路由器傳輸性能，由于只是對(duì)比測(cè)試VPN及路由器的性能，這里將測(cè)試模型進(jìn)行了簡(jiǎn)化。

由于測(cè)試條件有限，為了不影響校園網(wǎng)的整體運(yùn)行，本測(cè)試采用非獨(dú)立控制臺(tái)測(cè)試方式，測(cè)試VPN系統(tǒng)的傳輸特性并與傳統(tǒng)路由方式傳輸進(jìn)行對(duì)比。測(cè)試中服務(wù)器運(yùn)行VPN軟件時(shí)為VPN方式連接，關(guān)閉VPN軟件則整個(gè)鏈路改為傳統(tǒng)的路由連接，其拓?fù)洵h(huán)境如圖1所示。

在A機(jī)器上安裝Chariot，打開運(yùn)行界面，在主界面中點(diǎn)NEW按鈕，彈出的界面中點(diǎn)上方一排按鈕的ADD PAIR，在ADD AN ENDPOINT PAIR窗口中輸入PAIR名稱，在Endpoint1和Endpoint2處分別輸入客戶端B和控制臺(tái)A的IP地址，再點(diǎn)擊“select script”按鈕并選擇一個(gè)腳本，由于我們的測(cè)量是以百兆帶寬為主，所以選擇軟件內(nèi)置的腳本High Performance Throughput。可采用復(fù)制方式，建立多個(gè)收發(fā)線程。確定后點(diǎn)擊主菜單的“RUN”按鈕啟動(dòng)測(cè)量工作，軟件會(huì)同時(shí)每對(duì)連接測(cè)試100個(gè)數(shù)據(jù)包從B發(fā)送到A。

3 測(cè)試對(duì)象模擬

本測(cè)試得到了VPN準(zhǔn)入系統(tǒng)的吞吐量、反應(yīng)時(shí)間、時(shí)延等指標(biāo)的數(shù)據(jù)。同時(shí)，我們還在相同硬件、軟件及網(wǎng)絡(luò)設(shè)備基礎(chǔ)上，測(cè)試了僅啟用轉(zhuǎn)發(fā)功能的路由器模式下的相關(guān)數(shù)據(jù)，進(jìn)行對(duì)比。

為了仿真多用戶同時(shí)通過VPN服務(wù)器進(jìn)行訪問，我們?cè)贑hariot控制臺(tái)上建立了8對(duì)通信線程（線對(duì)數(shù)對(duì)測(cè)試時(shí)間影響較大），使Endpoint1向Endpoint2同時(shí)發(fā)送測(cè)試報(bào)文，并在控制界面上顯示測(cè)試情況。Group/Pair是所建立的通信連接的名字，用Pair1～Pair8表示，Endpoint1和Endpoint2分別表示連接雙方的IP地址。在VPN模式下，Endpoint1的地址設(shè)置為Chariot控制臺(tái)A的VPN虛擬地址10.10.0.6，EndPoint2的地址設(shè)置為客戶端B的IP地址172.16.7.133。Network Protocol是連接選選擇的通信協(xié)議，為了表示廣泛性，我們選擇了使用最多的TCP協(xié)議。最后一欄是本測(cè)試為連接選擇的腳本文件，為了更好的觀察，我們選擇了文件內(nèi)容較大的腳本。

同時(shí)為了進(jìn)行對(duì)比，本測(cè)試在同樣的網(wǎng)絡(luò)環(huán)境下，將VPN服務(wù)器換為僅啟用路由轉(zhuǎn)發(fā)的服務(wù)器，并利用Chariot軟件同樣建立了8對(duì)連接進(jìn)行測(cè)試對(duì)比，Endpoint1的地址設(shè)置為Chariot控制臺(tái)A的實(shí)際網(wǎng)卡地址210.45.50.123，EndPoint2地址不變。

4 測(cè)試結(jié)果

在網(wǎng)絡(luò)通信中，用戶通常對(duì)網(wǎng)絡(luò)的速率和傳輸質(zhì)量較為看重，針對(duì)這兩點(diǎn)要求，我們分別對(duì)VPN模式和普通路由模式的吞吐量、傳輸率記憶響應(yīng)時(shí)間進(jìn)行了對(duì)比測(cè)試，得到如下測(cè)試結(jié)果。

4.1 吞吐量測(cè)試

作者首先對(duì)VPN模式下的數(shù)據(jù)吞吐量進(jìn)行測(cè)試，兩臺(tái)測(cè)試機(jī)器分別通過100M網(wǎng)絡(luò)接口于VPN服務(wù)器相連，在11分鐘的測(cè)試時(shí)間內(nèi)，8對(duì)連接的瞬時(shí)吞吐量起伏較大，最大值近乎最小值的兩倍。但從8對(duì)連接的平均值來看，相差很小，整個(gè)VPN模式下的吞吐量分配較為公平。同時(shí)，8對(duì)連接的平均吞吐量總和為93.079Mbps，接近100M的帶寬上限，作者認(rèn)為通過VPN模式下對(duì)物理線路有著很高的利用率。

同樣，作者對(duì)路由模式下的數(shù)據(jù)傳輸吞吐量也進(jìn)行了對(duì)比測(cè)試，發(fā)現(xiàn)在同環(huán)境下采用路由模式得到的測(cè)試數(shù)據(jù)，最大值和最小值差異比VPN模式下的更大，并且8對(duì)連接的平均吞吐率差別也更為明顯。同時(shí)，8對(duì)連接的平均吞吐量之和僅為86.038Mbps，也小于VPN模式下的93.078Mbps。由此，可以判斷在吞吐量方面，VPN模式比傳統(tǒng)路由模式具有更好的性能。

4.2 傳輸率測(cè)試

對(duì)于一個(gè)網(wǎng)絡(luò)來說，除了吞吐量以外，其數(shù)據(jù)的傳輸效率也是一個(gè)很重要的評(píng)價(jià)因素。VPN模式下的網(wǎng)絡(luò)傳輸率測(cè)試結(jié)果表明，在數(shù)據(jù)傳輸率方面，VPN模式下8對(duì)連接的平均值非常接近，各連接具有極好的公平性，進(jìn)一步反映了VPN通道是公平可靠的。

在對(duì)路由模式下網(wǎng)絡(luò)數(shù)據(jù)傳輸率的對(duì)比測(cè)試中，8對(duì)連接的最大值和最小值差別很大，且其平均傳輸率變化也更為明顯。從總的傳輸效率來說，路由模式下的平均傳輸效率之和也比VPN模式下得到的數(shù)據(jù)小了很多。因此，VPN模式下的傳輸率也優(yōu)與傳統(tǒng)路由模式。

4.3 響應(yīng)時(shí)間測(cè)試

對(duì)于一個(gè)可靠的網(wǎng)絡(luò)，用戶的連接請(qǐng)求應(yīng)當(dāng)在很短時(shí)間內(nèi)給出回應(yīng)，對(duì)用戶作出回答。最后，為全面評(píng)估VPN方案的可行度，本文還進(jìn)行了響應(yīng)時(shí)間的測(cè)試，其結(jié)果可以看到在VPN模式下，8對(duì)連接的響應(yīng)時(shí)間非常接近，一方的連接請(qǐng)求平均可以在7秒內(nèi)得到另一方的回應(yīng)，最小為4.552秒，最大為8.412秒，在日常使用中基本能夠滿足大多數(shù)網(wǎng)絡(luò)應(yīng)用的要求。

我們還對(duì)路由模式下的網(wǎng)絡(luò)相應(yīng)時(shí)間進(jìn)行了測(cè)試，測(cè)試結(jié)果表明，相比VPN模式下來說，傳統(tǒng)路由模式下的連接響應(yīng)時(shí)間更長(zhǎng)，且最小值為4.188秒，最大值為20.858秒，更不穩(wěn)定。由此可以得知，VPN模式下的響應(yīng)時(shí)間也更為穩(wěn)定和可靠。

5 對(duì)比分析

我們對(duì)VPN模式下的測(cè)試數(shù)據(jù)和傳統(tǒng)路由轉(zhuǎn)發(fā)模式下的測(cè)試數(shù)據(jù)進(jìn)行了對(duì)比，結(jié)果見表1。

由測(cè)試結(jié)果對(duì)比可見，本設(shè)計(jì)實(shí)現(xiàn)的VPN準(zhǔn)入系統(tǒng)在吞吐量、傳輸率、響應(yīng)時(shí)間等指標(biāo)的平均性能明顯優(yōu)于基于同平臺(tái)上的路由轉(zhuǎn)發(fā)模式。但是從理論上來說，VPN傳輸過程是采用SSL協(xié)議對(duì)報(bào)文進(jìn)行加密、解密，而路由模式中的IP包轉(zhuǎn)發(fā)僅為尋址和分組的操作，VPN傳輸過程中的開銷應(yīng)遠(yuǎn)大于路由模式。

這里出現(xiàn)的現(xiàn)象，我們認(rèn)為是在通信線路質(zhì)量較高的情況下，VPN系統(tǒng)采用的UDP傳輸協(xié)議較路由模式采用的TCP協(xié)議簡(jiǎn)便，沒有三次握手的確認(rèn)開銷，所以在大量數(shù)據(jù)傳輸時(shí)能體現(xiàn)高效特點(diǎn)。

6 結(jié)束語

本文介紹了網(wǎng)絡(luò)傳輸性能測(cè)試軟件Chariot，并利用該軟件對(duì)自建的VPN系統(tǒng)模型進(jìn)行了仿真測(cè)試。雖然我們的測(cè)試條件有限，在與同平臺(tái)、同網(wǎng)絡(luò)環(huán)境的路由轉(zhuǎn)發(fā)模式的測(cè)試對(duì)比中，發(fā)現(xiàn)在通信線路質(zhì)量較高的情況下，VPN系統(tǒng)采用的UDP傳輸協(xié)議較路由模式采用的TCP協(xié)議要簡(jiǎn)化，沒有三次握手的確認(rèn)開銷，在大量數(shù)據(jù)傳輸時(shí)能體現(xiàn)高效特點(diǎn)。在某些特定的應(yīng)用中，可以取代路由器和NAT設(shè)備，保證網(wǎng)絡(luò)傳輸?shù)陌踩浴?/p>

參考文獻(xiàn)

[1] 黃華鍵. SSL VPN中安全身份人證的研究[D]. 西安電子科技大學(xué)碩士學(xué)位論文，2008.

[2] 武鴻浩.CUDA并行計(jì)算技術(shù)在情報(bào)信息研判中的應(yīng)用[J].信息網(wǎng)絡(luò)安全，2012，（02）：58-59.

[3] 田愛軍，張勇進(jìn). 安全模型的研究和實(shí)現(xiàn)[J]. 信息安全與通信保密，2001， （8）： 34-36.

[4] 張震. VPN技術(shù)分析及安全模型研究[J]. 微型機(jī)與應(yīng)用， 2002， 21（2）： 28-30.

[5] Aboba B，Calhoun P. RADIUS（Remote Authentication Dial In User Service） Support For Extensible Authentication Protocol（EAP）[EB].

[6] 于曉. 高安全機(jī)制VPN組網(wǎng)關(guān)鍵技術(shù)研究[R]. 北京：中國科學(xué)院， 2008.

[7] 吳軒亮.三網(wǎng)融合下城域網(wǎng)DDoS攻擊的監(jiān)測(cè)及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012.（03）：45-48.

[8] 王俊峰，周明天. 高速網(wǎng)絡(luò)性能測(cè)量研究[J]. 計(jì)算機(jī)科學(xué)， 2004， 31（9）： 66-71.

[9] 孫志崗，李扎，王宇穎. 網(wǎng)絡(luò)應(yīng)用軟件健壯性測(cè)試方法研究[J]. 計(jì)算機(jī)工程與科學(xué)，2005， （4）： 63-65.

基金項(xiàng)目：

本課題為安徽省教育廳自然基金課題項(xiàng)目延深（2003KJ161），基于Linux通過公網(wǎng)IP加密隧道實(shí)現(xiàn)Cernet遠(yuǎn)程互連的研究。

篇9

論文摘要:隨著計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時(shí)代的來臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個(gè)發(fā)展非常活躍的領(lǐng)域，可能會(huì)受到黑客的非法攻擊，所以在任何情況下，對(duì)于各種事故，無意或有意的破壞，保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。計(jì)劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時(shí)，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。本文介紹了防火墻技術(shù)的基本概念、系統(tǒng)結(jié)構(gòu)、原理、構(gòu)架、入侵檢測(cè)技術(shù)及VPN等相關(guān)問題。

Abstract:Along with the fast computer development and the universal application of the network technology， along with information times coming up on， Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers， It is very necessary for data’s protection， delivery and protection against various accidents， intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering， which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level.....

第一章 緒論

§1.1概述

隨著以 Internet為代表的全球信息化浪潮的來臨，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，其中以黨政系統(tǒng)、大中院校網(wǎng)絡(luò)系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門、政府或軍事領(lǐng)域等為典型。伴隨網(wǎng)絡(luò)的普及，公共通信網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全問題日益成為關(guān)注的焦點(diǎn)。一方面，網(wǎng)絡(luò)化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統(tǒng)效率和可靠性，并且還具備可擴(kuò)充性。另一方面，也正是由于具有這些特點(diǎn)增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。

開放性的網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的，例如:可能來自物理傳輸線路的攻擊，也可以對(duì)網(wǎng)絡(luò)通信協(xié)議和實(shí)現(xiàn)實(shí)施攻擊，可以是對(duì)軟件實(shí)施攻擊，也可以對(duì)硬件實(shí)施攻擊。國際性的網(wǎng)絡(luò)，意味著網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶，也可以來自 linternet上的任何一臺(tái)機(jī)器，也就是說，網(wǎng)絡(luò)安全所面臨的是一個(gè)國際化的挑戰(zhàn)。開放的、國際化的 Internet的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位的工作帶來了革命性的變革和開放，使得他們能夠利用 Internet提高辦事效率、市場(chǎng)反應(yīng)能力和競(jìng)爭(zhēng)力。通過 Internet，他們可以從異地取回重要數(shù)據(jù)，同時(shí)也面臨 Internet開放所帶來的數(shù)據(jù)安全的挑戰(zhàn)與危險(xiǎn)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵，己成為政府機(jī)構(gòu)、企事業(yè)單位信息化建設(shè)健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內(nèi)部網(wǎng)絡(luò)由公共網(wǎng)絡(luò)互聯(lián)起來，這種互聯(lián)方式面臨多種安全威脅，極易受到外界的攻擊，導(dǎo)致對(duì)網(wǎng)絡(luò)的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國內(nèi)己有許多成熟的防火墻及其他相關(guān)安全產(chǎn)品，并且這些產(chǎn)品早已打入市場(chǎng)，但是對(duì)于安全產(chǎn)品來說，要想進(jìn)入我軍部隊(duì)。我們必須自己掌握安全測(cè)試技術(shù)，使進(jìn)入部隊(duì)的安全產(chǎn)品不出現(xiàn)問題，所以對(duì)網(wǎng)絡(luò)安全測(cè)試的研究非常重要，具有深遠(yuǎn)的意義。

§1.2本文主要工作

了解防火墻的原理 、架構(gòu)、技術(shù)實(shí)現(xiàn)

了解防火墻的部署和使用配置

熟悉防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)

掌握防火墻產(chǎn)品的功能、性能、安全性和可用性的測(cè)試方法

掌握入侵檢測(cè)與VPN的概念及相關(guān)測(cè)試方法

第二章 防火墻的原理 、架構(gòu)、技術(shù)實(shí)現(xiàn)

§2.1什么是防火墻？

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

§2.2防火墻的原理

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測(cè))，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻 (Firewall)，防火墻是用來在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比較廣泛的安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞. DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

§2.3防火墻的架構(gòu)

防火墻產(chǎn)品的三代體系架構(gòu)主要為：

第一代架構(gòu)：主要是以單一cpu作為整個(gè)系統(tǒng)業(yè)務(wù)和管理的核心，cpu有x86、powerpc、mips等多類型，產(chǎn)品主要表現(xiàn)形式是pc機(jī)、工控機(jī)、pc-box或risc-box等；

第二代架構(gòu)：以np或asic作為業(yè)務(wù)處理的主要核心，對(duì)一般安全業(yè)務(wù)進(jìn)行加速，嵌入式cpu為管理核心，產(chǎn)品主要表現(xiàn)形式為box等；

第三代架構(gòu)：iss（integrated security system）集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級(jí)的高可靠、背板交換式的機(jī)架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。

§2.4防火墻的技術(shù)實(shí)現(xiàn)

從Windows軟件防火墻的誕生開始，這種安全防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭(zhēng)，不斷的進(jìn)化與升級(jí)。從最早期的只能分析來源地址，端口號(hào)以及未經(jīng)處理的報(bào)文原文的封包過濾防火墻，后來出現(xiàn)了能對(duì)不同的應(yīng)用程序設(shè)置不同的訪問網(wǎng)絡(luò)權(quán)限的技術(shù)；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時(shí)候單純的一個(gè)截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強(qiáng)大的整體性的安全套件。

第三章 防火墻的部署和使用配置

§ 3.1防火墻的部署

雖然監(jiān)測(cè)型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻，但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測(cè)型防火墻。基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì)，大多數(shù)服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過應(yīng)用，應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn)，使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

----那么我們究竟應(yīng)該在哪些地方部署防火墻呢？

----首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部 Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻；第三，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

§ 3.2 防火墻的使用配置

一、防火墻的配置規(guī)則：

沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無法穿過防火墻。(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務(wù)器允許外部發(fā)起連接)

inside可以訪問任何outside和dmz區(qū)域。

dmz可以訪問outside區(qū)域。

inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

outside訪問dmz需要配合acl(訪問控制列表)。

二、防火墻設(shè)備的設(shè)置步驟：

1、確定設(shè)置防火墻的部署模式；

2、設(shè)置防火墻設(shè)備的IP地址信息（接口地址或管理地址（設(shè)置在VLAN 1上））；

3、設(shè)置防火墻設(shè)備的路由信息；

4、確定經(jīng)過防火墻設(shè)備的IP地址信息（基于策略的源、目標(biāo)地址）；

5、確定網(wǎng)絡(luò)應(yīng)用（如FTP、EMAIL等應(yīng)用）；

6、配置訪問控制策略。

第四章 防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)

防火墻作為信息安全產(chǎn)品的一種，它的產(chǎn)生源于信息安全的需求。所以防火墻的測(cè)試不僅有利于提高防火墻的工作效率，更是為了保證國家信息的安全。依照中華人民共和國國家標(biāo)準(zhǔn)GB/T 18019-1999《信息技術(shù)包過濾防火墻安全技術(shù)要求》、GB/T18020-1999《信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求》和GB/T17900-1999《網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求》以及多款防火墻隨機(jī)提供的說明文檔，中國軟件評(píng)測(cè)中心軟件產(chǎn)品測(cè)試部根據(jù)有關(guān)方面的標(biāo)準(zhǔn)和不同防火墻的特點(diǎn)整理出以下軟件防火墻的測(cè)試標(biāo)準(zhǔn)：

4.1 規(guī)則配置方面

要使防火墻軟件更好的服務(wù)于用戶，除了其默認(rèn)的安全規(guī)則外，還需要用戶在使用過程中不斷的完善其規(guī)則；而規(guī)則的設(shè)置是否靈活方便、實(shí)際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標(biāo)準(zhǔn)。簡(jiǎn)單快捷的規(guī)則配置過程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實(shí)施在線檢測(cè)所有對(duì)本機(jī)的訪問并控制它們、分別對(duì)應(yīng)用程序、文件或注冊(cè)表鍵值實(shí)施單獨(dú)的規(guī)則添加等等，這將成為此款軟件防火墻規(guī)則配置的一個(gè)特色。

§ 4.2 防御能力方面

對(duì)于防火墻防御能力的表現(xiàn)，由于偶然因素太多，因此無法從一個(gè)固定平等的測(cè)試環(huán)境中來得出結(jié)果。但是可以使用了X-Scan等安全掃描工具來測(cè)試。雖然得出的結(jié)果可能仍然有一定的出入，但大致可以做為一個(gè)性能參考。

§ 4.3 主動(dòng)防御提示方面

對(duì)于網(wǎng)絡(luò)訪問、系統(tǒng)進(jìn)程訪問、程序運(yùn)行等本機(jī)狀態(tài)發(fā)生改變時(shí)，防火墻軟件一般都會(huì)有主動(dòng)防御提示出現(xiàn)。這方面主要測(cè)試軟件攔截或過濾時(shí)是否提示用戶做出相應(yīng)的操作選擇。

§ 4.4 自定義安全級(jí)別方面

用戶是否可以參照已有安全級(jí)別的安全性描述來設(shè)置符合自身特殊需要的規(guī)則。防火墻可設(shè)置系統(tǒng)防火墻的安全等級(jí)、安全規(guī)則，以防止電腦被外界入侵。一般的防火墻共有四個(gè)級(jí)別：

高級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶可以上網(wǎng)，收發(fā)郵件；l

中級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶可以上網(wǎng)，收發(fā)郵件，網(wǎng)絡(luò)聊天， FTP、Telnet等；l

低級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，只對(duì)已知的木馬進(jìn)行攔截，對(duì)于其它的訪問，只是給于提示用戶及記錄；l

自定義：用戶可自定義防火墻的安全規(guī)則，可以根據(jù)需要自行進(jìn)行配置。l

§ 4.5 其他功能方面

這主要是從軟件的擴(kuò)展功能表現(xiàn)、操作設(shè)置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網(wǎng)址、實(shí)施木馬掃描、阻止彈出廣告窗口、將未受保護(hù)的無線網(wǎng)絡(luò)“學(xué)習(xí)”為規(guī)則、惡意軟件檢測(cè)、個(gè)人隱私保護(hù)等豐富的功能項(xiàng)，是否可以滿足用戶各方面的需要。

§ 4.6 資源占用方面

這方面的測(cè)試包括空閑時(shí)和瀏覽網(wǎng)頁時(shí)的CPU占用率、內(nèi)存占有率以及屏蔽大量攻擊時(shí)的資源占用和相應(yīng)速度。總的來是就是資源占用率越低越好，啟動(dòng)的速度越快越好。

§ 4.7 軟件安裝方面

這方面主要測(cè)試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過程是不是方便、安裝完成后是否提示升級(jí)本地?cái)?shù)據(jù)庫的信息等等。

§ 4.8 軟件界面方面

軟件是否可切換界面皮膚和語言、界面是否簡(jiǎn)潔等等。簡(jiǎn)潔的界面并不代表其功能就不完善，相反地，簡(jiǎn)化了用戶的操作設(shè)置項(xiàng)也就帶來了更智能的安全防護(hù)功能。比如有的防護(hù)墻安裝完成后會(huì)在桌面生成簡(jiǎn)單模式和高級(jí)模式兩個(gè)啟動(dòng)項(xiàng)，這方便用戶根據(jù)不同的安全級(jí)別啟動(dòng)相應(yīng)的防護(hù)

第五章 防火墻的入侵檢測(cè)

§ 5.1 什么是入侵檢測(cè)系統(tǒng)？

入侵檢測(cè)可被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過程，它不僅檢測(cè)來自外部的入侵行為，同時(shí)也檢測(cè)內(nèi)部用戶的未授權(quán)活動(dòng)。

入侵檢測(cè)系統(tǒng) (IDS)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認(rèn)為是防火墻之后的第二道安全閘門，它作為一種積極主動(dòng)的安全防護(hù)技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)，從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵

§ 5.2 入侵檢測(cè)技術(shù)及發(fā)展

自1980年產(chǎn)生IDS概念以來，已經(jīng)出現(xiàn)了基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，出現(xiàn)了基于知識(shí)的模型識(shí)別、異常識(shí)別和協(xié)議分析等入侵檢測(cè)技術(shù)，并能夠?qū)Π僬住⑶д咨踔粮吡髁康木W(wǎng)絡(luò)系統(tǒng)執(zhí)行入侵檢測(cè)。

入侵檢測(cè)技術(shù)的發(fā)展已經(jīng)歷了四個(gè)主要階段：

第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)，其優(yōu)點(diǎn)是對(duì)于已知的攻擊行為非常有效，各種已知的攻擊行為可以對(duì)號(hào)入座，誤報(bào)率低;缺點(diǎn)是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測(cè)，漏報(bào)率高。

第二階段是以基于模式匹配+簡(jiǎn)單協(xié)議分析+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是能夠分析處理一部分協(xié)議，可以進(jìn)行重組;缺點(diǎn)是匹配效率較低，管理功能較弱。這種檢測(cè)技術(shù)實(shí)際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對(duì)異常行為分析的功能。

第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是誤報(bào)率、漏報(bào)率和濫報(bào)率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實(shí)現(xiàn)了多級(jí)分布式的檢測(cè)管理;缺點(diǎn)是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是入侵管理和多項(xiàng)技術(shù)協(xié)同工作，建立全局的主動(dòng)保障體系，具有良好的可視化、可控性和可管理性。以該技術(shù)為核心，可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體系，即IMS——入侵管理系統(tǒng)。

新一代的入侵檢測(cè)系統(tǒng)應(yīng)該是具有集成HIDS和NIDS的優(yōu)點(diǎn)、部署方便、應(yīng)用靈活、功能強(qiáng)大、并提供攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)等配套服務(wù)功能的智能化系統(tǒng)

§ 5.3入侵檢測(cè)技術(shù)分類

從技術(shù)上講，入侵檢測(cè)技術(shù)大致分為基于知識(shí)的模式識(shí)別、基于知識(shí)的異常識(shí)別和協(xié)議分析三類。而主要的入侵檢測(cè)方法有特征檢測(cè)法、概率統(tǒng)計(jì)分析法和專家知識(shí)庫系統(tǒng)。

(1)基于知識(shí)的模式識(shí)別

這種技術(shù)是通過事先定義好的模式數(shù)據(jù)庫實(shí)現(xiàn)的，其基本思想是：首先把各種可能的入侵活動(dòng)均用某種模式表示出來，并建立模式數(shù)據(jù)庫，然后監(jiān)視主體的一舉一動(dòng)，當(dāng)檢測(cè)到主體活動(dòng)違反了事先定義的模式規(guī)則時(shí)，根據(jù)模式匹配原則判別是否發(fā)生了攻擊行為。

模式識(shí)別的關(guān)鍵是建立入侵模式的表示形式，同時(shí)，要能夠區(qū)分入侵行為和正常行為。這種檢測(cè)技術(shù)僅限于檢測(cè)出已建立模式的入侵行為，屬已知類型，對(duì)新類型的入侵是無能為力的，仍需改進(jìn)。

(2)基于知識(shí)的異常識(shí)別

這種技術(shù)是通過事先建立正常行為檔案庫實(shí)現(xiàn)的，其基本思想是：首先把主體的各種正常活動(dòng)用某種形式描述出來，并建立“正常活動(dòng)檔案”，當(dāng)某種活動(dòng)與所描述的正常活動(dòng)存在差異時(shí)，就認(rèn)為是“入侵”行為，進(jìn)而被檢測(cè)識(shí)別。

異常識(shí)別的關(guān)鍵是描述正常活動(dòng)和構(gòu)建正常活動(dòng)檔案庫。

利用行為進(jìn)行識(shí)別時(shí)，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據(jù)異常識(shí)別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測(cè)技術(shù)可以檢測(cè)出未知行為，并具有簡(jiǎn)單的學(xué)習(xí)功能。

以下是幾種基于知識(shí)的異常識(shí)別的檢測(cè)方法：

1)基于審計(jì)的攻擊檢測(cè)技術(shù)

這種檢測(cè)方法是通過對(duì)審計(jì)信息的綜合分析實(shí)現(xiàn)的，其基本思想是：根據(jù)用戶的歷史行為、先前的證據(jù)或模型，使用統(tǒng)計(jì)分析方法對(duì)用戶當(dāng)前的行為進(jìn)行檢測(cè)和判別，當(dāng)發(fā)現(xiàn)可疑行為時(shí)，保持跟蹤并監(jiān)視其行為，同時(shí)向系統(tǒng)安全員提交安全審計(jì)報(bào)告。

2)基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)

由于用戶的行為十分復(fù)雜，要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的，這也是基于審計(jì)攻擊檢測(cè)的主要弱點(diǎn)。

而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)則是一個(gè)對(duì)基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的攻擊檢測(cè)方法的改進(jìn)方向，它能夠解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的若干問題，例如，建立確切的統(tǒng)計(jì)分布、實(shí)現(xiàn)方法的普遍性、降低算法實(shí)現(xiàn)的成本和系統(tǒng)優(yōu)化等問題。

3)基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)

所謂專家系統(tǒng)就是一個(gè)依據(jù)專家經(jīng)驗(yàn)定義的推理系統(tǒng)。這種檢測(cè)是建立在專家經(jīng)驗(yàn)基礎(chǔ)上的，它根據(jù)專家經(jīng)驗(yàn)進(jìn)行推理判斷得出結(jié)論。例如，當(dāng)用戶連續(xù)三次登錄失敗時(shí)，可以把該用戶的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測(cè)技術(shù)

攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ停瑥亩軌虮O(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

使用基于知識(shí)的模式識(shí)別和基于知識(shí)的異常識(shí)別所得出的結(jié)論差異較大，甚至得出相反結(jié)論。這是因?yàn)榛谥R(shí)的模式識(shí)別的核心是維護(hù)一個(gè)入侵模式庫，它對(duì)已知攻擊可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但對(duì)未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基于知識(shí)的異常識(shí)別則是通過對(duì)入侵活動(dòng)的檢測(cè)得出結(jié)論的，它雖無法準(zhǔn)確判斷出攻擊的手段，但可以發(fā)現(xiàn)更廣泛的、甚至未知的攻擊行為。

§ 5.4入侵檢測(cè)技術(shù)剖析

1）信號(hào)分析

對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡(jiǎn)單（如通過字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。一般來講，一種進(jìn)攻模式可以用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過的黑客攻擊手段。

3）統(tǒng)計(jì)分析

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。在比較這一點(diǎn)上與模式匹配有些相象之處。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，本來都默認(rèn)用GUEST帳號(hào)登錄的，突然用ADMINI帳號(hào)登錄。這樣做的優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。

4）完整性分析

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特咯伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，用于事后分析而不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開啟完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。

§ 5.5防火墻與入侵檢測(cè)的聯(lián)動(dòng)

網(wǎng)絡(luò)安全是一個(gè)整體的動(dòng)態(tài)的系統(tǒng)工程，不能靠幾個(gè)產(chǎn)品單獨(dú)工作來進(jìn)行安全防范。理想情況下，整個(gè)系統(tǒng)的安全產(chǎn)品應(yīng)該有一個(gè)響應(yīng)協(xié)同，相互通信，協(xié)同工作。其中入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)就能更好的進(jìn)行安全防護(hù)。圖8所示就是入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)，當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵后，通過和防火墻通信，讓防火墻自動(dòng)增加規(guī)則，以攔截相關(guān)的入侵行為，實(shí)現(xiàn)聯(lián)動(dòng)聯(lián)防。

§ 5.6什么是VPN ?

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或Windows 2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

§ 5.7VPN的特點(diǎn)

1.安全保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。

2.服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

3.可擴(kuò)充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

4.可管理性

從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

§ 5.8 VPN防火墻

VPN防火墻就是一種過濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里，要由VPN防火墻過濾的就是承載通信數(shù)據(jù)的通信包。

最簡(jiǎn)單的VPN防火墻是以太網(wǎng)橋。但幾乎沒有人會(huì)認(rèn)為這種原始VPN防火墻能管多大用。大多數(shù)VPN防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門。這些VPN防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的VPN防火墻只對(duì)特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的VPN防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做VPN防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈隫PN防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?/p>

所有的VPN防火墻都具有IP地址過濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定。看看下面這張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)VPN防火墻，VPN防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。

當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過橫在PC和UNIX計(jì)算機(jī)中的VPN防火墻才能到達(dá)UNIX計(jì)算機(jī)。

現(xiàn)在我們“命令”（用專業(yè)術(shù)語來說就是配制）VPN防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，比較好的VPN防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問UNIX計(jì)算機(jī)了。

還有一種情況，你可以命令VPN防火墻專給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是VPN防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的VPN防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)面臨的最主要挑戰(zhàn)有兩個(gè)：一個(gè)是虛警率太高，一個(gè)是檢測(cè)速度太慢。現(xiàn)有的入侵檢測(cè)系統(tǒng)還有其他技術(shù)上的致命弱點(diǎn)。因此，可以這樣說，入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識(shí)別和完整性檢測(cè)）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。

但無論如何，入侵檢測(cè)不是對(duì)所有的入侵都能夠及時(shí)發(fā)現(xiàn)的，即使擁有當(dāng)前最強(qiáng)大的入侵檢測(cè)系統(tǒng)，如果不及時(shí)修補(bǔ)網(wǎng)絡(luò)中的安全漏洞的話，安全也無從談起。

同樣入侵檢測(cè)技術(shù)也存在許多缺點(diǎn)，IDS的檢測(cè)模型始終落后于攻擊者的新知識(shí)和技術(shù)手段。主要表現(xiàn)在以下幾個(gè)方面：

1)利用加密技術(shù)欺騙IDS;

2)躲避IDS的安全策略;

3)快速發(fā)動(dòng)進(jìn)攻，使IDS無法反應(yīng);

4)發(fā)動(dòng)大規(guī)模攻擊，使IDS判斷出錯(cuò);

5)直接破壞IDS;

6)智能攻擊技術(shù)，邊攻擊邊學(xué)習(xí)，變IDS為攻擊者的工具。

我認(rèn)為在與防火墻技術(shù)結(jié)合中應(yīng)該注意擴(kuò)大檢測(cè)范圍和類別、加強(qiáng)自學(xué)習(xí)和自適應(yīng)的能力方面發(fā)展。

參考文獻(xiàn) ：

1..Marcus Goncalves著。宋書民，朱智強(qiáng)等譯。防火墻技術(shù)指南[M]。機(jī)械工業(yè)出版社

2.梅杰，許榕生。Internet防火墻技術(shù)新發(fā)展。微電腦世界 .

3.Ranum M J. Thinking About Firewalls.

篇10

關(guān)鍵詞： 安全隱患； 全網(wǎng)動(dòng)態(tài)安全體系模型； 信息安全化； 安全防御

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著現(xiàn)代校園網(wǎng)接入互聯(lián)網(wǎng)以及各種應(yīng)用急劇增加，在享受高速互聯(lián)網(wǎng)帶來無限方便的同時(shí)，我們也被各種層次的安全問題困擾著。現(xiàn)代校園網(wǎng)絡(luò)安全是一個(gè)整體系統(tǒng)工程，必須要對(duì)現(xiàn)代校園網(wǎng)進(jìn)行全方位多層次安全分析，綜合運(yùn)用先進(jìn)的安全技術(shù)和產(chǎn)品，制定相應(yīng)的安全策略，建立一套深度防御體系[1]，以自動(dòng)適應(yīng)現(xiàn)代校園網(wǎng)的動(dòng)態(tài)安全需求。

1 現(xiàn)代校園網(wǎng)絡(luò)的安全隱患分析

現(xiàn)代校園網(wǎng)作為信息交換平臺(tái)重要的基礎(chǔ)設(shè)施，承擔(dān)著教學(xué)、科研、辦公等各種應(yīng)用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個(gè)層面。

⑴ 物理層的安全分析：物理層安全指的是網(wǎng)絡(luò)設(shè)備設(shè)施、通信線路等遭受自然災(zāi)害、意外或人為破壞，造成現(xiàn)代校園網(wǎng)不能正常運(yùn)行。在考慮現(xiàn)代校園網(wǎng)安全時(shí)，首先要考慮到物理安全風(fēng)險(xiǎn)，它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提保障。

⑵ 網(wǎng)絡(luò)層的安全分析：網(wǎng)絡(luò)層處于網(wǎng)絡(luò)體系結(jié)構(gòu)中物理層和傳輸層之間，是網(wǎng)絡(luò)入侵者進(jìn)入信息系統(tǒng)的渠道和通路，網(wǎng)絡(luò)核心協(xié)議TCP/IP并非專為安全通信而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。

⑶ 系統(tǒng)層的安全分析：現(xiàn)代校園網(wǎng)中采用的各類操作系統(tǒng)都不可避免地存在著安全脆弱性，并且當(dāng)今漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差越來越小，這就使得所有操作系統(tǒng)本身的安全性給整個(gè)現(xiàn)代校園網(wǎng)系統(tǒng)帶來巨大的安全風(fēng)險(xiǎn)。

⑷ 數(shù)據(jù)層的安全分析：數(shù)據(jù)審計(jì)平臺(tái)的原始數(shù)據(jù)來源各種應(yīng)用系統(tǒng)及設(shè)備，采集引擎實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用服務(wù)等事件收集，采用多種方式和被收集設(shè)備進(jìn)行數(shù)據(jù)交互，主要面臨著基于應(yīng)用層數(shù)據(jù)的攻擊。

⑸ 應(yīng)用層的安全分析[2]：為滿足學(xué)校教學(xué)、科研、辦公等需要，在現(xiàn)代校園網(wǎng)中提供了各層次的網(wǎng)絡(luò)應(yīng)用，用戶提交的業(yè)務(wù)信息被監(jiān)聽或篡改等存在很多的信息安全隱患，主機(jī)系統(tǒng)上運(yùn)行的應(yīng)用軟件系統(tǒng)采購自第三方，直接使用造成諸多安全要素。

⑹ 管理層的安全分析：人員有各種層次，對(duì)人員的管理和安全制度的制訂是否有效，影響由這一層次所引發(fā)的安全問題。

⑺ 非法入侵后果風(fēng)險(xiǎn)分析：非法入侵者一旦獲得對(duì)資源的控制權(quán)，就可以隨意對(duì)數(shù)據(jù)和文件進(jìn)行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務(wù)、拒絕服務(wù)等。

2 現(xiàn)代校園網(wǎng)安全APPDRR模型提出

全網(wǎng)動(dòng)態(tài)安全體系模型[3]（APPDRR）從建立全網(wǎng)自適應(yīng)的、動(dòng)態(tài)安全體系的角度出發(fā)，充分考慮了涉及網(wǎng)絡(luò)安全技術(shù)的六方面，如風(fēng)險(xiǎn)分析（Analysis）、安全策略（Policy）、安全防護(hù)（Protection）、安全檢測(cè)（Detection）、實(shí)時(shí)響應(yīng)（Response）、數(shù)據(jù)恢復(fù)（Recovery）等，并強(qiáng)調(diào)各個(gè)方面的動(dòng)態(tài)聯(lián)系與關(guān)聯(lián)程度。現(xiàn)代校園網(wǎng)安全模型如圖1所示，該模型緊緊圍繞安全策略構(gòu)建了五道防線：第一道防線是風(fēng)險(xiǎn)分析，這是整體安全的前提和基礎(chǔ)；第二道防線是安全防護(hù)，阻止對(duì)現(xiàn)代校園網(wǎng)的入侵和破壞；第三道防線是安全監(jiān)測(cè)，及時(shí)跟蹤發(fā)現(xiàn)；第四道防線是實(shí)時(shí)響應(yīng)，保證現(xiàn)代校園網(wǎng)的可用性和可靠性；第五道防線是數(shù)據(jù)恢復(fù)，保證有用的數(shù)據(jù)在系統(tǒng)被入侵后能迅速恢復(fù)，并把災(zāi)難降到最低程度。

3 現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化的技術(shù)研究

為了保護(hù)現(xiàn)代校園網(wǎng)的信息安全，結(jié)合福建農(nóng)業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)的實(shí)際需求，現(xiàn)代校園網(wǎng)信息中心將多種安全措施進(jìn)行整合，建立一個(gè)立體的、完善的、多層次的現(xiàn)代校園網(wǎng)安全防御體系，主要技術(shù)有加解密技術(shù)、防火墻技術(shù)、防病毒系統(tǒng)、虛擬專用網(wǎng)、入侵防護(hù)技術(shù)、身份認(rèn)證系統(tǒng)、數(shù)據(jù)備份系統(tǒng)和預(yù)警防控系統(tǒng)等，如圖2所示。

3.1 加解密技術(shù)

現(xiàn)代校園網(wǎng)中將部署各種應(yīng)用系統(tǒng)，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區(qū)和部門之間交換過程中的保密性、完整性、可用性、真實(shí)性和可控性，需運(yùn)用先進(jìn)的對(duì)稱密碼算法、公鑰密碼算法、數(shù)字簽名技術(shù)、數(shù)字摘要技術(shù)和密鑰管理分發(fā)等加解密技術(shù)。

3.2 防火墻技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施必要的不可分割的組成元素，是構(gòu)成現(xiàn)代校園網(wǎng)信息安全化不可缺少的關(guān)鍵部分。它按照預(yù)先設(shè)定的一系列規(guī)則，對(duì)進(jìn)出內(nèi)外網(wǎng)之間的信息數(shù)據(jù)流進(jìn)行監(jiān)測(cè)、限制和過濾，只允許匹配規(guī)則的數(shù)據(jù)通過，并能夠記錄相關(guān)的訪問連接信息、通信服務(wù)量以及試圖入侵事件，以便管理員分析檢測(cè)、迅速響應(yīng)和反饋調(diào)整。

3.3 防病毒系統(tǒng)

抗病毒技術(shù)可以及時(shí)發(fā)現(xiàn)內(nèi)外網(wǎng)病毒的入侵和破壞，并通過以下兩種有效的手段進(jìn)行相應(yīng)地控制：一是有效阻止網(wǎng)絡(luò)病毒的廣泛傳播，采用蜜罐技術(shù)、隔離技術(shù)等；二是殺毒技術(shù)，使用網(wǎng)絡(luò)型防病毒系統(tǒng)進(jìn)行預(yù)防、實(shí)時(shí)檢測(cè)和殺毒技術(shù)，讓現(xiàn)代校園網(wǎng)系統(tǒng)免受其危害。

3.4 虛擬專用網(wǎng)

虛擬專用網(wǎng)（全稱為Virtual Private NetWork，簡(jiǎn)稱VPN）指的是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)現(xiàn)代校園網(wǎng)內(nèi)部網(wǎng)的擴(kuò)展，由若干個(gè)不同的站點(diǎn)組成的集合，一個(gè)站點(diǎn)可以屬于不同的VPN，站點(diǎn)具有IP連通性，VPN間可以實(shí)現(xiàn)防問控制[4]。使用VPN的學(xué)校不僅提升了效率，而且學(xué)校各校區(qū)間的連接更加靈活。只要能夠上網(wǎng)，各校區(qū)均可以安全訪問到主校區(qū)網(wǎng)。使用VPN數(shù)據(jù)加密傳輸，保證信息在公網(wǎng)中傳輸?shù)乃矫苄院桶踩浴PN按OSI參考模型分層來分類有：①數(shù)據(jù)鏈路層有PPTP、L2F和L2TP；②網(wǎng)絡(luò)層有GRE、IPSEC、 MPLS和DMVPN；③應(yīng)用層有SSL。

3.5 入侵防護(hù)技術(shù)

入侵防護(hù)技術(shù)包含入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）。IDS可以識(shí)別針對(duì)現(xiàn)代校園網(wǎng)資源或計(jì)算機(jī)的惡意企圖和不良行為，并能對(duì)此及時(shí)作出防控。IDS不僅能夠檢測(cè)未授權(quán)對(duì)象（人或程序）針對(duì)系統(tǒng)的入侵企圖或行為，同時(shí)能監(jiān)控授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作，提高了現(xiàn)代校園網(wǎng)的動(dòng)態(tài)安全保護(hù)。IPS幫助系統(tǒng)應(yīng)對(duì)現(xiàn)代校園網(wǎng)的有效攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和及時(shí)響應(yīng)），提高現(xiàn)代校園網(wǎng)基礎(chǔ)結(jié)構(gòu)的完整性。

3.6 身份認(rèn)證系統(tǒng)

現(xiàn)代校園網(wǎng)殊部門（如檔案、財(cái)務(wù)、招生等）要建設(shè)成系統(tǒng)。要采用身份認(rèn)證系統(tǒng)[5]，應(yīng)建立相應(yīng)的身份認(rèn)證基礎(chǔ)平臺(tái)，加強(qiáng)用戶的身份認(rèn)證，防止對(duì)網(wǎng)絡(luò)資源的非授權(quán)訪問以及越權(quán)操作，加強(qiáng)口令的管理。

3.7 數(shù)據(jù)備份系統(tǒng)

在現(xiàn)代校園網(wǎng)系統(tǒng)中建立安全可靠的數(shù)據(jù)備份系統(tǒng)是保證現(xiàn)代校園網(wǎng)系統(tǒng)數(shù)據(jù)安全和整體網(wǎng)絡(luò)可靠運(yùn)行的必要手段，可保證在災(zāi)難突發(fā)時(shí)，系統(tǒng)及業(yè)務(wù)有效恢復(fù)。現(xiàn)代校園網(wǎng)的數(shù)據(jù)備份系統(tǒng)平臺(tái)能實(shí)時(shí)對(duì)整個(gè)校園網(wǎng)的數(shù)據(jù)及系統(tǒng)進(jìn)行集中統(tǒng)一備份，備份策略采用完全備份與增量備份相結(jié)合的方式。

3.8 預(yù)警防控系統(tǒng)

現(xiàn)代校園網(wǎng)絡(luò)安全管理人員必須對(duì)整個(gè)校園網(wǎng)體系的安全防御策略及時(shí)地進(jìn)行檢測(cè)、修復(fù)和升級(jí)，嚴(yán)格履行國家標(biāo)準(zhǔn)的信息安全管理制度，構(gòu)建現(xiàn)代校園網(wǎng)統(tǒng)一的安全管理與監(jiān)控機(jī)制，能實(shí)行現(xiàn)代校園網(wǎng)統(tǒng)一安全配置，調(diào)控多層面分布式的安全問題，提高現(xiàn)代校園網(wǎng)的安全預(yù)警能力，加強(qiáng)對(duì)現(xiàn)代校園網(wǎng)應(yīng)急事件的處理能力，切實(shí)建立起一個(gè)方便快捷、安全高效的現(xiàn)代校園網(wǎng)預(yù)警防控系統(tǒng)，實(shí)現(xiàn)現(xiàn)代校園網(wǎng)信息安全化的可控性。

4 現(xiàn)代校園網(wǎng)絡(luò)安全問題的解決方案

通過對(duì)現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化技術(shù)的深入研究，針對(duì)現(xiàn)代校園網(wǎng)的安全隱患，提出現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案。

⑴ 物理層安全：主要指物理設(shè)備的安全，機(jī)房的安全等，包括物理層的軟硬件設(shè)備安全性、設(shè)備的備份、防災(zāi)害能力、防干擾能力、設(shè)備的運(yùn)行環(huán)境和不間斷電源保障等。相關(guān)環(huán)境建設(shè)和硬件產(chǎn)品必須按照我國相關(guān)國家標(biāo)準(zhǔn)執(zhí)行。

⑵ 網(wǎng)絡(luò)層安全：針對(duì)現(xiàn)代校園網(wǎng)內(nèi)部不同的業(yè)務(wù)部門及應(yīng)用系統(tǒng)安全需求進(jìn)行安全域劃分，并按照這些安全功能需求設(shè)計(jì)和實(shí)現(xiàn)相應(yīng)的安全隔離與保護(hù)措施[6]，采用核心交換機(jī)的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實(shí)現(xiàn)信息安全化。

⑶ 系統(tǒng)層安全：現(xiàn)代校園網(wǎng)管理平臺(tái)的主機(jī)選擇安全可靠的操作系統(tǒng)，采取以下技術(shù)手段進(jìn)行安全防護(hù)：補(bǔ)丁分發(fā)技術(shù)、系統(tǒng)掃描技術(shù)、主機(jī)加固技術(shù)、網(wǎng)絡(luò)防病毒系統(tǒng)。

⑷ 數(shù)據(jù)層安全：主要使用數(shù)據(jù)庫審計(jì)系統(tǒng)進(jìn)行監(jiān)控管理，對(duì)審計(jì)記錄結(jié)果進(jìn)行保存，檢索和查詢，按需審計(jì)；同時(shí)還能夠?qū)ξｋU(xiǎn)行為進(jìn)行報(bào)警及阻斷，并提供對(duì)數(shù)據(jù)庫訪問的統(tǒng)計(jì)和分析，實(shí)現(xiàn)分析結(jié)果的可視化，能夠針對(duì)數(shù)據(jù)庫性能進(jìn)行改進(jìn)提供參考依據(jù)。

⑸ 應(yīng)用層安全：應(yīng)用層安全的安全性策略包括用戶和服務(wù)器間的雙向身份認(rèn)證、信息和服務(wù)資源的訪問控制和訪問資源的加密，并通過審計(jì)和記錄機(jī)制，確保服務(wù)請(qǐng)求和資源訪問的防抵賴。

⑹ 管理層安全：現(xiàn)代校園網(wǎng)應(yīng)依法來制訂安全管理制度，提供數(shù)據(jù)審計(jì)平臺(tái)。一方面，對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。另一方面，當(dāng)事故發(fā)生后，提供黑客攻擊行為的追蹤線索及破案依據(jù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的可控性與可審查性。

5 構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全防御體系

現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案綜合應(yīng)用到實(shí)際工作環(huán)境中，在配套安全管理制度規(guī)范下[7]，現(xiàn)代校園網(wǎng)可實(shí)現(xiàn)全方位多層次的信息安全化管理，配有一整套完備的現(xiàn)代校園網(wǎng)安全總需求分析、校園網(wǎng)風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)控制及安全風(fēng)險(xiǎn)評(píng)估、安全策略和布署處置、預(yù)警防控系統(tǒng)、安全實(shí)時(shí)監(jiān)控系統(tǒng)、數(shù)據(jù)審計(jì)平臺(tái)、數(shù)據(jù)存儲(chǔ)備份與恢復(fù)等動(dòng)態(tài)自適應(yīng)的防御體系，可有效防范、阻止和切斷各種入侵者，構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全屏障。

6 結(jié)束語

信息安全化是現(xiàn)代校園網(wǎng)實(shí)施安全的有效舉措，并建立一套切實(shí)可行的現(xiàn)代校園網(wǎng)絡(luò)安全保護(hù)措施，提高現(xiàn)代校園網(wǎng)信息和應(yīng)急處置能力，發(fā)揮現(xiàn)代校園網(wǎng)服務(wù)教學(xué)、科研和辦公管理的作用。現(xiàn)代網(wǎng)絡(luò)的高速發(fā)展同時(shí)伴隨著種種不確定的安全因素，時(shí)時(shí)威脅現(xiàn)代校園網(wǎng)的健康發(fā)展，要至始至終保持與時(shí)俱進(jìn)的思想，適時(shí)調(diào)整相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。

參考文獻(xiàn)（Reference）：

[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)

構(gòu)[M].人民郵電出版社，2005.

[2] Cbris McNab著，王景新譯.網(wǎng)絡(luò)安全評(píng)估[M].中國電力出版

社，2006.

[3] 陳杰新.校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[J].吉林大學(xué)碩士學(xué)

位論文，2010.

[4] Teare D.著，袁國忠譯.Cisco CCNP Route學(xué)習(xí)指南[M].北京

人民郵電出版社.2011.

[5] 張彬.高校數(shù)字化校園安全防護(hù)與管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].

電子科技大學(xué)碩士學(xué)位論文，2015.5.

[6] 彭勝偉.高校校園計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].無線互聯(lián)技術(shù)，

2012.11.