怎么登录万向平台一般所说的虚拟专用网不是真的专用网络,虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame. Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。
在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等,所有以上网络应用均要求网络根据需要提供不同等级的服务质量。
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。所以,VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
1.隧道技术是VPN的基本技术,类似于点对点连接技术。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议有VTP、IPSec等。
2.加解密技术是数据通信中一项较成熟的技术,第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。
3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。一般分为对称加密与非对称加密(专用密钥与公用密钥)。
随着互联网的兴起,企业开始寻求利用互联网来扩展他们的网络。按接入方式划分VPN,这是用户和运营商最关心的划分方式。建立在IP网上的VPN也就对应的有两种接入方式:专线接入方式和拨号接入方式。
一般来说,公司都会把搭建大型远程访问VPN的工作外包给企业服务提供商(ESP)。例如,3Com为企业和NSP提供多种端对端的VPN解决方案。所有的3Com VPN产品彼此兼容,还配备了TranscendWare软件,使用户可以对常规网络和VPN执行统一的策略。TranscendWare软件使边界设备可以与终端设备通信,进而强制执行网络策略。这些设备通过监视VPN隧道,可以更好地管理拨号端口、带宽分配、网络负载等,对VPN环境进行有效的控制。
华为公司提供了各种有效的VPN解决方案,包括:Access VPN、Intranet VPN、Extranet VPN及结合防火墙的VPN解决方案。Quidway系列路由器支持各种VPN技术,包括隧道技术、IPsec、密钥交换技术、防火墙技术、QoS与配置管理等,并可继续发展,支持越来越多的先进技术,可以利用防火墙的许多安全特性在VPN上建立更加安全的网络环境,增强抵御黑客攻击、禁止非法访问的能力。
基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代:VPN路由器、交换机,发展到第二代的VPN集中器,性能不断得到提高。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。
[1]何宝宏,田辉等编著.IP虚拟专用网技术.人民邮电,出版日期:2008年06月
SSL(Secure Sockets Layer)是一种Intemet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。VPN(Virtual Private Network虚拟专用网络),可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在利用公共网络建立虚拟私有网,被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
SSL VPN就是指应用层的vpn,它是基于https来访问受保护的应用。目前常见的SSL VPN方案有两种方式:直路方式和旁路方式。直路方式中,当客户端需要访问一台应用服务器时:首先,客户端和SSL VPN网关通过证书互相验证双方;其次,客户端和SSL VPN网关之间建立ssl通道;然后,SSL VPN网关作为客户端的和应用服务器之间建立tcp连接,在客户端和应用服务器之间转发数据。旁路方式和直路不同的是:为了减轻在进行ssl加解密时的运行负担,也可以独立出ssl加速设备,在SSL VPN server接收到https请求时,将ssl加密的过程交给ssl加速设备来处理,当ssl加速设备处理完之后再将数据转发给SSL VPN server。
保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。由于使用的是Ssl协议,该协议是介于http层及tcp层的平安协议,传输的内容是经过加密的。SSL VPN通过设置不同级别的用户和不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、radius机制等不同的方式。ssl数据加密的平安性由加密算法来保证,各家公司的算法可能都不一样。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。由于SSL VPN一般在gateway上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上。这样对于gateway来讲,需要开通443这样的端口到ssl vpn即可,而不需要开通所有内部的应用的端口。假如有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。
可用性就是保证信息及信息系统确实为授权使用者所用。前面已经提到,对于SSL VPN要保护的后台应用,可以为其设置不同的级别,只有相应级别的用户才可以访问到其对应级别的资源,从而保证了信息的可用性。
可控性就是对信息及信息系统实施平安监控。SSL VPN作为一个平安的访问连接建立工具,所有的访问信息都要经过这个网关,所以记录日志对于网关来说非常重要。不仅要记录日志,还要提供完善的超强的日志分析能力,才能帮助管理员有效地找到可能的漏洞和已经发生的攻击,从而对信息系统实施监控。
客户端的区别是SSL VPN最大的优势。浏览器内嵌了ssl协议,所以预先安装了web浏览器的客户机可以随时作为SSL VPN的客户端。这样,使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供给商等。通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问。也就是说是基于b/s结构的业务时,可以直接使用浏览器完成ssl的vpn建立;而IPSEC VPN只答应已经定义好的客户端进行访问,所以它更适用于企业内部。
SSL VPN的平安性前面已经讨论过,和IPSEC VPN相比较,SSL VPN在防病毒和防火墙方面有它特有的优势。
一般企业在Internet联机入口,都是采取适当的防毒侦测办法。不论是IPSEC VPN或SSL VPN联机,对于人口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSEC VPN联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
用户部署vpn是为了保护网络中重要数据的平安。IPSEC VPN只是搭建虚拟传输网络,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
使用SSL VPN具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程平安访问接入。但是对于IPSEC VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定Internet知识的普通工作人员就可以完成日常的管理工作。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看vpn技术无疑是一种不错的选择。下面就vpn技术的实现做一下粗浅的分析:
虚拟专用网(virtuaiprivatenetwork, vpn)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。vpn极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
在extranetvpn中,企业要与不同的客户及供应商建立联系,vpn解决方案也会不同。因此,企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec、点到点隧道协议(pointtopoint tunneling protocol,pptp)、第二层隧道协议(layer2 tunneling protocol,i,2tp)等。
vpn实现的两个关键技术是隧道技术和加密技术,同时qos技术对vpn的实现也至关重要。
首先提供一个vpn访问点功能组成模型图作为参考。其中ipsec集成了ip层隧道技术和加密技术。
隧道技术简单的说就是:原始报文在a地进行封装,到达b地后把封装去掉还原成原始报文,这样就形成了一条由a到b的通信隧道。目前实现隧道技术的有一般路由封装(generi-croutingencapsulation, gre )i,2tp和pptpo
gre主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(gre报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,gre报文头被剥掉,继续原始报文的目标地址进行寻址。gre隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(next-hoproutingprotocol , nhrp)结合使用。nhrp主要是为了在路由之间建立捷径。
gre隧道用来建立vpn有很大的吸引力。从体系结构的观点来看,vpn就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在gre隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是vpn的地址空间,这样反过来就要求隧道的终点应该配置成vpn与普通主机网络之间的交界点。这种方法的好处是使vpn的路由信息从普通主机网络的路由信息中隔离出来,多个vpn可以重复利用同一个地址空间而没有冲突,这使得vpn从主机网络中独立出来。从而满足了vpn的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现vpn功能函数的数量。还有,对许多vpn所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。ip路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把vpn私有协议从主机网络中隔离开来。基于隧道技术的vpn实现的另一特点是对主机网络环境和vpn路由环境进行隔离。对vpn而言主机网络可看成点到点的电路集合,vpn能够用其路由协议穿过符合vpn管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受vpn用户网络的路由协议限制。
虽然gre隧道技术有很多优点,但用其技术作为vpn机制也有缺点,例如管理费用高、隧道的规模数量大等。因为gre是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
gre隧道技术是用在路由器中的,可以满足extranetvpn以及intranetvpn的需求。但是在远程访问vpn中,多数用户是采用拨号上网。这时可以通过l2tp和pptp来加以解决。
l2tp是l2f( layer2forwarding)和ppt’i〕的结合。但是由于pc机的桌面操作系统包含着pptp,因此ppt’i〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“nas初始化”(networkaccess server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。l2tp作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过modem与nas建立连接;b.用户通过nas的l2tp接入服务器身份认证;;c.在政策配置文件或nas与政策服务器进行协商的基础上,nas和l2tp接入服务器动态地建立一条l2tp隧道;d.用户与l2tp接入服务器之间建立一条点到点协议(pointtopointprotocol, ppp)访问服务隧道;e.用户通过该隧道获得vpn服务。
与之相反的是,pptp作为“主动”隧道模型允许终端系统进行配置,与任意位置的pptp服务器建立一条不连续的、点到点的隧道。并且,pptp协商和隧道建立过程都没有中间媒介nas的参与。nas的作用只是提供网络服务。pptp建立过程如下:a.用户通过串口以拨号ip访问的方式与nas建立连接取得网络服务;b.用户通过路由信息定位pptp接入服务器;c.用户形成一个pptp虚拟接口;d.用户通过该接口与pptp接入服务器协商、认证建立一条ppp访问服务隧道;e.用户通过该隧道获得vpn服务。
在l2tp中,用户感觉不到nas的存在,仿佛与pptp接入服务器直接建立连接。而在pptp中,pptp隧道对nas是透明的;nas不需要知道pptp接入服务器的存在,只是简单地把pptp流量作为普通ip流量处理。
采用l2tp还是pptp实现vpn取决于要把控制权放在nas还是用户手中。砚tp比pptp更安全,因为砚tp接入服务器能够确定用户从哪里来的。砚tp主要用于比较集中的、固定的vpn用户,而pptp比较适合移动的用户。
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次deso rc4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;des和三次des强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,vpn安全粒度达到个人终端系统的标准;而“隧道模式”方案,vpn安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
虚拟专用网(Virtual Private Network)不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。利用像Internet这样的公共的或不安全的媒体,通过应用多种技术提供用户认证、数据完整性和访问控制,从而提供网络应用程序之间的安全通信。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
VPN不是一种单一的技术,而是具有若干特性的系统,IETF草案理解基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络,如自主定义的IP地址空间。 本文讨论的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,以IP为主要通讯协议的VPN,也可称之为IP-VPN。
VPN的目的是保护从信道的一个端点到另一端点传输的信息流,信道的端点之前和之后,VPN不提供任何的数据包保护。
(1)成本低是最大的优势。传统方式是租用专线建设自己的网络系统,Internet能以很低的代价提供高带宽的链路,缺点是安全性不高。由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。 如2M的专线M Internet链路一般2000/月。
(2)灵活性高。只要有Internet链路,随时可以建立VPN链路,对于单个用户,使用VPN可以在任何地方安全访问内部网
每种VPN都具有特定的要求和优先权,实现的目的、解决的问题也不同。用于移动工作者的远程访问Client-LAN VPN,也叫 Access VPN,替代早期的拨号远程访问网络。用于局域网间连接的有LAN-LAN型、IntranetVPN和ExtranetVPN。
服务质量 QoS:通过Internet连接的VPN服务质量很大程度取决于Internet的状况;
第二层隧道把网络数据包封装在PPP协议中,PPP协议的数据包放到隧道中传输,L2TP、PPTP(集成在windows中,所以最常用)第三层隧道把网络数据包指直接在隧道中传输,IPsec利用隧道技术,理论上任何协议的数据都可以透过IP网络传输。
(1)对称加密技术:速度快,常用的DES、3DES、IDEA等,缺点是密钥传递不方便,经常被用来对数据进行加/解密处理,提高保密性。
(2)公钥加密技术:速度慢,常用的RSA、Diffie-Hellman,用于签名和会线)哈希函数:速度快,产生的消息摘要用于信息的完整性检查。
(1)VPN设备间的认证可通过密码、密钥、证书等认证,如果使用证书,可以考虑使用自己的CA或第三方的CA。
(2)对于Access VPN,对个人进行认证可采用简单密码、一次性密码S/KEY、基于硬件的令牌(令牌卡、智能卡、PC卡、USB卡)、生理ID(指纹、声音、视网膜扫描)等。
三层协议,直接传输网络协议数据包,基于TCP/IP的标准协议,集成到IPv6中,仅仅传输IP协议数据包,提供了强大的安全、加密、认证和密钥管理功能,适合大规模VPN使用。
二层协议,需要把网络协议包封装到PPP包,PPP数据依靠PPTP协议传输,PPTP通信时,客户机和服务器间有2个通道,一个通道是tcp 1723端口的控制连接,另一个通道是传输GRE PPP数据包的IP隧道。PPTP没有加密、认证等安全措施,安全的加强通过PPP协议的MPPE(Microsoft Point-to-Point Encryption)实现。windows中集成了PPTP Server和Client,适合中小企业支持少量移动工作者,如果有防火墙的存在或使用了地址转换,PPTP可能无法工作。
允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据包传递的任意网络发送,如IP,X.25,桢中继或ATM,它是在Cisco公司的L2F和PPTP的基础上开发,使用并不普遍。
一个VPN解决方案不仅仅是一个经过加密的隧道,它包含访问控制、认证、加密、隧道传输、路由选择、过滤、高可用性、服务质量以及管理VPN系统大体分为专用的VPN硬件、支持VPN的硬件或软件防火墙、VPN软件、VPN服务提供商4类。前面提到的VPN是独立于网络服务提供商的,但是服务器提供商也会提供某种“VPN”接入。
某大学为外部移动用户提供VPN接入服务,接入VPN后的用户拥有校内用户完全相同的访问权限,以便访问各种校内外电子资源。
建设一个Access VPN系统。校内设置一台VPN服务器,运行Windows 2000 Server作为PPTP 接入服务器,使用PPTP 接入服务器使用radius协议对用户的接入请求进行身份验证。
PPTP协议的缺点:使用的GRE协议经常被ISP封锁或由于NAT设备不支持,导致用户无法正常连接VPN。最近流行的SSL方式的VPN就是解决这个问题。采用SSL协议,从外部看是UDP协议,不被ISP封锁,能穿透几乎所有NAT设备,如OpenVPN系统。
企业内部各分支机构的互连,使用LAN-LAN VPN是很好的方式。 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性和IPsec技术可以在Internet上组建世界范围内的LAN-LAN VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个LAN-LAN VPN上安全传输。
IPsec VPN优点:用户只要在具有Internet链路的基础上,增加IPsec VPN的网关设备即可利用IPsec VPN把局域网安全的互连。带宽高,VPN连接提供的带宽取决于加密/解密的的速度和2点间Internet带宽,如在某电信公司宽带网络连接的2个100M站点间,建立的VPN带宽可达60Mbps以上。灵活性高,随时可以建立和取消VPN。
IPsec VPN缺点:安全性较差,由于跟Internet有“物理”连接,普遍认为保密的信息不宜在IPsec VPN 上传输;稳定性不高,带宽、延迟、丢包跟外部的ISP主干网运行状况密切相关,用户不可控。
目前VPN技术应用比较广泛,低成本、易维护,性能比较稳定,体现了它强大的生命力与吸引力。VPN 作为一种新型的网络技术,为企业建设计算机网络提供了一种新的思路,相信随着IP技术的发展,VPN技术会日臻完善!
[1]常晓波.等.译.安全体系结构的设计部署与操作[M].清华大学出版社.
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。MPLS独立于第二和第三层协议,诸如ATM和IP。它提供了一种方式,将IP地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。它是现有路由和交换协议的接口,如IP、ATM、帧中继、资源预留协议(RSVP)、开放最短路径优先(OSPF)等等。
虚拟专用网(VPN,Virtual Private Network)是指在公共网络上构造的专用网络,按照RFC2764对其提出3个基本要求:数据传输透明性、数据安全性、服务质量(QoS,quality of service)保证,根据这些要求,VPN的实现必须采用某种形式的隧道机制。
随着网络经济的发展,企业对于自身网络的建设提出了越来越高的要求,主要表现在网络的灵活性、经济性、扩展性等方面。在这样的背景下,VPN以其独有的优势赢得了越来越多企业的青睐。在公共网络上组建的VPN象企业现有的私有网络一样提供安全性、和可管理性等。在所有的VPN技术中,MPLS VPN具有良好的可扩展性和灵活性,是目前发展最为迅速的VPN技术之一。
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows 2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
IPSec[2]:IPsec(缩写IP Security)是保护IP协议安全通信的标准,它主要对IP协议分组进行加密和认证。
(1)保护分组流的协议;(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分:加密分组流的封装安全载荷(ESP)及较少使用的认证头(AH),认证头提供了对分组流的认证并保证其消息完整性,但不提供保密性。目前为止,IKE协议是唯一已经制定的密钥交换协议。
在因特网上建立IP虚拟专用网隧道的协议,主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。
多协议标签交换MPLS最初是为了提高转发速度而提出的。与传统IP路由方式相比,它在数据转发时,只在网络边缘分析IP报文头,而不用在每一跳都分析IP报文头,从而节约了处理时间。
3.2.1LDP和传统路由协议(如OSPF、ISIS等)一起,在各个LSR中为有业务需求的FEC建立路由表和标签映射表;
3.2.2入节点Ingress接收分组,完成第三层功能,判定分组所属的FEC,并给分组加上标签,形成MPLS标签分组,转发到中间节点Transit;
3.2.3Transit根据分组上的标签以及标签转发表进行转发,不对标签分组进行任何第三层处理;
由此可以看出,MPLS并不是一种业务或者应用,它实际上是一种隧道技术,也是一种将标签交换转发和网络层路由技术集于一身的路由与交换技术平台。这个平台不仅支持多种高层协议与业务,而且,在一定程度上可以保证信息传输的安全性。
3.3.1控制平面(Control Plane)之间基于无连接服务,利用现有IP网络实现;
MPLS使用短而定长的标签(Iabel)封装分组,在数据平面实现快速转发。
在控制平面,MPLS拥有IP网络强大灵活的路由功能,可以满足各种新应用对网络的要求。
对于LER,在转发平面不仅需要进行标签分组的转发,也需要进行IP分组的转发,前者使用标签转发表LFIB,后者使用传统转发表FIB(ForwardingInformation Base)。
同传统的VPN不同,MPLS VPN不依靠封装和加密技术,MPLS VPN依靠转发表和数据包的标记
CPE被称为客户边缘路由器(CE)。在Internet-Connect网络中,同CE相连的路由器称为供应商边缘路由器(PE)。一个VPN数据包括一组CE路由器,以及同其相连的InternetConnect网中的PE路由器。只有PE路由器理解VPN。CE路由器并不理解潜在的网络。
CE可以感觉到同一个专用网相连。每个VPN对应一个VPN路由/转发实例(VRF)。一个VRF定义了同PE路由器相连的客户站点的VPN成员资格。一个VRF数据包括IP路由表,一个派生的Cisco Express Forwarding(CEF)表,一套使用转发表的接口,一套控制路由表中信息的规则和路由协议参数。一个站点可以且仅能同一个VRF相联系。客户站点的VRF中的数据包含了其所在的VPN中,所有的可能连到该站点的路由。
对于每个VRF,数据包转发信息存储在IP路由表和CEF表中。每个VRF维护一个单独的路由表和CEF表。这些表各可以防止转发信息被传输到VPN之外,同时也能阻止VPN之外的数据包转发到VPN内不的路由器中。这个机制使得VPN具有安全性。
在每个VPN内部,可以建立任何连接:每个站点可以直接发送IP数据包到VPN中另外一个站点,无需穿越中心站点。一个路由识别器(RD)可以识别每一个单独的VPN。一个MPLS网络可以支持成千上万个VPN。每个MPLS VPN网络的内部是由供应商(P)设备组成。这些设备构成了MPLS核,且不直接同CE路由器相连。围绕在P设备周围的供应商边缘路由器(PE)可以让MPLS VPN网络发挥VPN的作用。P和PE路由器称为标记交换路由器(LSR)。LSR设备基于标记来交换数据包。
客户站点可以通过不同的方式连接到PE路由器,例如帧中继,ATM,DSL和T1方式等等。
4.2.1PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户各分支问路由分派。
在现代金融行业里,计算机网络有着广泛全面的应用,现代金融管理正朝着电子化、信息化、网络安全化的方向在发展,尤其是网络信息安全化发展的VPN技术在现代金融行业管理中起着越来越重要的作用。
就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。
从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。
由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。
就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御,这些都是金融管理信息系统亟待解决的安全问题。
目前金融系统存在的网络安全威胁,就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,而实施安全攻击的人员则可能是外部人员,也可能是机构内部人员。
针对信息的攻击是最常见的攻击行为,信息攻击是针对处于传输和存储形态的信息进行的,其攻击地点既可以在局域网内,也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;犯罪者也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端层出不穷,而未公开案例与之相比更是数以倍数。
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,为了照顾使用的方便性而忽略了安全性,导致许多安全漏洞的产生,如果再考虑到某些软件供应商出于政治或经济的目的,可能在系统中预留“后门”,因此必须采用有效的技术手段加以预防。
针对使用者的攻击是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并可在事后嫁祸他人或毁灭证据,导致此类攻击难以取证。
针对资源的攻击是以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击,即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。
金融的安全需求安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。
必须指出:网络信息系统是由人参与的信息环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。
解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护,在现代金融的网络安全的应用上起着非常关键的作用。
虚拟专用网络(VPN:Virtual Private Network)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,金融机构只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全的传递信息;另外,金融机构还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全的连接进入金融机构网络中,进行各类网络结算和汇兑。
综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公共的网络基础设施上建立安全的虚拟专用网络系统,可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。
当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高,适应性差,无统一标准等缺陷,又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势,成为目前和今后金融安全网络发展的一个必然趋势。
从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网;虚拟专用拨号网络是使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件:保证数据的真实性,通讯主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
针对现行的金融机构的网络信息安全,VPN具有以下优点:(1)降低成本。不必租用长途专线建设专网,不必大量的网络维护人员和设备投资;(2)容易扩展。网络路由设备配置简单,无需增加太多的设备,省时省钱;(3)完全控制主动权。VPN上的设施和服务完全掌握在金融机构自己的手中。比方说,金融机构可以把拨号访问交给网络服务商(NSP)去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
综上所述,VPN技术使金融行业各部门的内部信息可以跨越公共网络进行传输,如同在各金融机构各部门之间架起众多的“虚拟专用”的网络连接线,同时,VPN为每个用户定义出各自相应的网络空间,根据使用者的身份和权限,直接将他们引导到应该接触的信息环境中去,针对目前金融管理的信息安全存在的隐患,VPN技术可以弥补这些缺点。VPN作为广域网的一种新形式,确实为金融行业在新世纪提供了一个系统实用的技术平台。总之,VPN技术拥有很吸引人的优点,随着VPN技术发展的不断完善,在未来的金融管理信息安全领域里,将会起着至关重要的作用。
1.戴相龙,.中国金融改革与发展.北京:中国金融出版社,2000.
随着信息技术的快速发展,校园网建设变得越来越迫切。为了能够满足校园网在资源共享、联合办学发展过程中的需要,利用VPN技术来建设校园网相对更加合适。随着学校的发展,对网络的要求越来越高,传统的校园网组网技术已经难以适应学校的发展要求。较为简单的处理方式是通过公共互联网来进行互访,但是这种方法却难以保证校园网资源的安全性。为了能够更好的实现高效、安全、低成本地交换数据,在组建校园网的过程中必须要使用合理的技术进行规划。
VPN是利用公共网络资源为客户搭建专用网的一种技术,这是相对应实际的专用网络而言的,主要是基于Internet/Intranet等各种公用的开放的传输媒体,通过加密与验证等安全措施来建立起虚拟的数据传输通道,用来防止在公共网络上所传递的数据被窃取、篡改、复制,使得用户能够享受到相当与专用网络的安全服务。VPN技术当前被广泛的应用于电子商务、电子政务、大型企业等当中。总的来将VPN具有两层含义:
第一层是Virtual,指的是它是一种虚拟的网,没有固定的物理连接,只有当用户有需要时才会建立网络。
虚拟专用网(VPN)是当前网络发展的一种新趋势,它对传统数据网络的性能优点(安全与QOS)与共享数据网络结构的优点(成本低与简单)进行了综合。通过VPN可以进行远程访问,实现外网与内网的连接,而价格却要比专线或者是帧中继网络要低很多。并且VPN能够在降低成本的同时还可以满足对网络贷款、接入以及服务需求不断增加的情况。因此VPN技术在教育行业的应用前景相当的广泛。总的来说VPN有着以下几个特点:(1)成本低廉可以利用现有的Internet来组建起虚拟专网,而并不需要利用专用线路就能够实现数据的安全传输;(2)容易进行扩展,当内部网络结点越来越多时,采用专线连接的网络结构会变得越来越复杂昂贵,但是VPN只需要在结点处假设VPN设备,就能够利用Interet来建立起安全连接;(3)VPN技术有着较强的安全性,可以利用可靠的加密认证技术,在内部网络建立隧道,可以有效的防止信息泄露、篡改以及复制;(4)能够让地理与物理上分布分散的若干知网从逻辑上进行有效集成。
VPN的关键技术就在于隧道,而隧道的形成是采用隧道协议来对数据进行封装。利用VPN技术将校园网的数据封装在隧道之中,并通过公网进行传输。在隧道协议中SSL、IPSEC、L2TP、PPTP等都是属于较为典型的。其中SSL是属于安全套接层协议,IPSEC则是属于第三层隧道协议,L2TP和PPTP则都属于第二层隧道协议。第二层隧道协议与第三层隧道协议相比,这两者的最根本的区别就在于用户的IP数据包是被封装到哪一种数据包中在隧道之中进行传输的。并且安全套接层隧道还具有更多的细粒度管理,使用更加的方便并具有良好的安全性。在校园网的组建过程中,可以采用AccessVPN和IntranetVPN这两类。
远程用户访问虚拟网主要采用AccessVPN。AccessVPN通过一个与和专用网络具有相同策略的共享基础设施来提供对内部网或者是外部网的远程访问。通过AccessVPN,用户可以随时、随地通过他们所需要的方式访问所需要的内部资源。AccessVPN有着以下几个方面的优点:(1)能够减少用于调制解调器与终端服务设备的资金投入,对网络进行简化;(2)可以实现本地拨号的功能取代远距离接入,能降低远距离通信的费用;(3)有着相当良好的扩展性;(4)能够更加方便的对接入网络的新用户进行调度。
对于不同校区之间可以建立IntranetVPN。IntranetVPN是利用Internet线路来组建VPN,通过Interet的线路可以保证网络的互联性,而利用VPN的隧道、加密等特性则能够保证信息在InternetVPN传输时的安全性。IntranetVPN通过一个使用专用连接的共享基础设施,对校本部与其他各个校区进行连接。其特点是:(1)能够减少WAN带宽费用;(2)可以利用较为灵活的拓扑结构,其中包括了全网孔连接;(3)通过设备提供商WAN的连接冗余可以对网络的可用时间进行延长;(4)新的站点能够更陕、更容易的被链接。
在两个校区之间所建立的VPN,其在策略上要求允许两个校区之中的所有用户都可以进行互访。对于这样的网络,其安全性级别要求并不是非常高,因为如果安全级别提高,不仅仅开销增加,而且数据传送也会非常的困难,特别是在很多用户都在使用VPN网络时。虽然IPSEC与L2TP和PPTP相比都有着更高的安全性,但是相对而言PPTP的实现更加容易。因此在校区之间构建的VPN连接可以采用PPTP协议。在两个校区之间建立VPN,需要在两段的VPN设备中配置路由,并让所有到达对方校区的访问都通过VPN。校园网中的用户很多都是使用的Windows系统平台,因此,可以利用Windows系统来建立VPN路由,同时还需要对VPN方案的稳定性以及设备本身的交换能力进行考虑,因此具有VPN功能的路由器将会是更好的选择。在两个校区具有VPN功能的路由器之间建立隧道,这两个路由器主要起封装和解包的作用。
在两个校区之间建立VPN时如果采用带有VPN功能的路由器来实现,需要对两地的路由、用户、地址池以及协议进行配置,通过这样的方式在这两个校区的路由器之间建立起虚拟专用链路。当校区1的用户对校区2的网络进行访问时,根据校区1VPN路由器中的静态路由,用户能够通过这两个校区之间的虚拟隧道来道德校区2的路由器,而校区2的路由器则为该用户分配一个在校区2内的校园网专用IP,并根据用户的账户名等相关信息来检测自身配置,根据检查的结果赋予相应的权限,反之亦然。
随着信息技术的快速发展,学校中的软硬件资源已经较为完备,各种设施也较为齐全,这些都为构建VPN提供了基本的物质条件。同时如今VPN技术已经较为成熟,并且在商业上的应用也相当成熟,校园网在利用VPN构建校园网时可以对商业解决方案进行借鉴。相信,通过采用合理的VPN技术可以使得校园网络更加的合理。
[1]张敏波.网络安全实战详解:企业专供版[M].北京:电子工业出版社,2008
[2]安钢.校园网扩展建设中的VPN技术探析[J].科技信息,2009,(01)
摘 要 vpn是一项迅速发展起来的新技术,其在电子商务、公司各部门信息传送方面已经显现出了很大的发展潜力。相信将来其在军队院校信息化建设和信息安全传输上也能发挥应有的作用。 关键词 vpn;虚拟专用网;ssl vpn;ipsec vpn 1 引言 vpn(virtual private network)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。vpn同样也由这三部分组成,不同的是vpn连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于tcp/ip协议的。 2 隧道技术的实现 假设某公司在相距很远的两地的部门a和b建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球ip的路由器。这里假设部门a、b的路由器分别为r1、r2,且其全球ip地址分别为125.1.2.3和192.168.5.27,如图1所示。
现在设部门a的主机x向部门b的主机y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机x发送给路由器r1。路由器r1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是r1在因特网上的ip地址125.1.2.3,而目的地址是路由器r2在因特网上的ip地址192.168.5.27。路由器r2收到r1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机y。这样便实现了虚拟专用网的数据传输。 3 军队院校校园网建设vpn技术应用设想 随着我军三期网的建设,vpn技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先,军队的特殊性要求一些信息的传达要做到安全可靠,采用vpn技术会大大提高网络传输的可靠性;第二,军队院校不但有各教研室和学员队,还包括保障部队、管理机构等,下属部门较多,有些部门相距甚至不在一个地方,采用vpn技术可简化网络的设计和管理;第三,采用了vpn技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。 而vpn技术的特点正好能够满足以上几点需求。首先是安全性,vpn通过使用点到点协议(ppp)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议(pap)、质询握手身份验证协议(chap)、shiva密码身份验证协议(spap)、microsoft质询握手身份验证协议(ms-chap)和可选的可扩展身份验证协议(eap),并且采用微软点对点加密算法(mppe)和网际协议安全(ipsec)机制对数据包进行加密。对于敏感的数据,还可以使用vpn连接通过vpn服务器将高度敏感的数据服务器物理地进行分隔,只有拥有适当权限的用户才能通过远程访问建立与vpn服务器的vpn连接,并且可以访问敏感部门网络中受到保护的资源。第二,在解决异地访问本地电子资源问题上,这正是vpn技术的主要特点之一,可以让外地的授权用户方便地访问本地的资源。
目前,主要的vpn技术有ipsec vpn和ssl vpn两种。其中ipsec技术的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个ip数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的ip数据包进行处理。但是ipsec不同于包过滤防火墙的是,对ip数据包的处理方法除了丢弃,直接转发(绕过ipsec)外还能对ip数据包进行加密和认证。而ssl vpn技术则是近几年发展起来的新技术,它能够更加有效地进行访问控制,而且安全易用,不需要高额的费用。该技术主要具有以下几个特点:第一,安全性高;第二,便于扩展;第三,简单性;第四,兼容性好。 我认为军队院校校园网vpn技术应主要采用ssl vpn技术。首先因为其安全性好,由于ipsec vpn部署在网络层,因此,内部网络对于通过vpn的使用者来说是透明的,只要是通过了ipsec vpn网关,它可以在内部为所欲为。因此,ipsec vpn的目标是建立起来一个虚拟的ip网,而无法保护内部数据的安全,而ssl vpn则是接入企业内部的应用,而不是企业的整个网络。它可以根据用户的不同身份,给予不同的访问权限,从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构,安全保密应该是主要考虑的方面之一。第二,ssl vpn与ipsec vpn相比,具有更好的可扩展性。可以随时根据需要,添加需要vpn保护的服务器。而ipsec vpn在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么ipsec vpn就要重新部署。第三,操作的复杂度低,它不需要配置,可以立即安装、立即生效,另外客户端不需要麻烦的安装,直接利用浏览器中内嵌的ssl协议就行。第四,ssl vpn的兼容性很好,而不像传统的ipsec vpn对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。此外,使用ssl vpn还具有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入;但是对于ipsec vpn来说,每增加一个需要访问的分支就需要添加一个硬件设备。 虽然ssl vpn的优点很多,但也可结合使用ipsec vpn技术。因为这两种技术目前应用在不同的领域。ssl vpn考虑的是应用软件的安全性,更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过网络建立的安全连接,保护的是点对点之间的通信,并且,ipsec vpn工作于网络层,不局限于web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。可用于军校之间建立虚拟专用网,进行安全可靠的信息传送。 4 结论 总之,vpn是一项综合性的网络新技术,目前的运用还不是非常地普及,在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求,vpn技术将会发挥其应有的作用。 参考文献 [1] 谢希仁.计算机网络(第4版).北京:电子工业出版社,2003 [2] cisco systems公司,cisco networking academy program.思科网络技术学院教程(第一、二学期)(第三版).北京:人民邮电出版社,2004
随着高校信息化建设的逐渐完善,高校图书馆承担着校园网绝大多数数据的传输和信息,为读者提供网上浏览、信息查询、数据库检索、信息咨询等服务。通过已建成的信息系统(如图书管理系统、OA系统、数字图书资源、文献数据库等),校园网内读者可以通过网络迅速地获取信息。然而,为了提高服务质量,读者需要异地、移动等多种远程访问的场合越来越多。本文通过分析VPN(虚拟专用网)的技术特点与原理,结合图书馆数字资源网络服务的实际工作特点,介绍一种利用VPN技术做好高校数字资源共享的方法。
由于Inerne网采用的CP/IP协议对任何数据都以明文的方式进行传输,整个信息服务都暴露在Inerne网上,很容易被入侵者窃取或篡改,造成以下安全威胁。
(1)非授权访问:分支机构、在外工作人员基于互联网来访问校园网内图书馆的信息网络,传输的口令或密码没有采取任何加密措施的情况下,容易造成泄露,被攻击者利用,造成非授权访问。
(2)信息篡改:总校区或分校区的分支机构和在外工作人员进行数据访问的过程中,数据以明文的方式传递,容易被窃听和篡改。
(3)访问行为抵赖:部分分支机构、在外工作人员存在IP地址不固定现象,易造成抵赖行为。
对于图书馆来说,文献信息资源并不是无限制地对外开放,我们购买的数据库资源必须是校园网的合法用户(访问者的IP地址作为合法用户的依据)才能使用。但是随着宽带网络的大范围普及,更多的教师希望能够在家或出差在外以及各个分校和主校区之间都能实现对校园网内图书馆资源的访问。数字图书馆远程访问系统VPN的出现很好地解决了这个问题。
VPN是一种公用网络,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,实现企业总部、分支机构、合作伙伴及移动办公人员之间互联互通和资源共享技术。VPN技术包括基于二层的PPP/L2P;基于三层的IPSEC VPN;基于七层的SSL VPN技术。IPSEC VPN和SSL VPN应用广泛。
IPSEC VPN:IPSEC VPN是在特定的通信方之间在IP层通过加密与数据源进行验证,保证数据包在公网上传输时的保密性、完整性和真实性,适用于在局域网之间,建立基于互联网之间的安全传输通道。
SSL VPN:主要的浏览器和WEB服务器都支持SSL VPN,对于Web信息传输通道的机密性及完整性,SSL是最佳的解决方案,无需被加载到终端设备上,无需终端用户配置,无需限制终端,只需标准浏览器即可。
SSL VPN设备通常以并联的方式接入网络,对网络结构不会产生影响;IPSEC VPN存在两种方式:串联,设备串在网络中,网络流量贯穿其中,设备故障将导致传输中断。
并联,旁路方式接入网络,对网络结构不产生影响。因此,尽可能选择并联接入方式。
VPN设备因性能问题存在接入数量的限制,IPSEC VPN限制隧道数和移动用户接入数;SSL VPN限制用户接入数量。选择设备时,须考虑设备的扩展性,同时选择便于扩展的网络结构,并联方式不影响网络结构便于扩展。
IPSEC VPN为网络层加密隧道,属全网接入方式,分支局域网通过网络建立隧道或者用户通过移动客户端接入后,能够对内网的网络资源进行访问,不受业务提供方式限制。当某些用户在没有移动客户端的情况下,SSL VPN凸显了不需要安装客户端的特点。因此,最好的方式是以IPSEC VPN接入为主,SSL VPN为辅。
VPN设备实现身份认证和访问授权:保证合法用户的合法接入,并且只能访问授权内的办公资源用户进行身份认证和访问授权。IPSEC VPN 和SSL VPN技术都采用安全加密技术和身份认证技术保障数据的加密传输。
VPN安全技术实现通信内容安全:选择具有防火墙、防病毒和内容过滤等功能的VPN网关,并且各功能相互融合,VPN数据进行检查从而拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全。
VPN网关设备部署: VPN网关设备并联部署在中心机房各分支机构的防火墙之上(如图1所示)。
VPN集中管理软件:软件分为服务器、管理控制器和数据库三部分,分别部署在图书馆中心机房安全服务器区的服务器上。
(1)结构保障系统可用性:VPN网关并联接入,当设备断电或故障时,不影响各局域网员工访问互联网资源;并联方式便于扩充,通过简单的加入交换设备进行设备扩充。
(2)技术选择保障系统可用性:IPSEC VPN与SSL VPN的混合使用。正常情况下使用IPSEC VPN,任何种类的应用。在缺少VPN网关和客户端的时候使用SSL VPN临时接入,无条件支持B/S服务;采用端口转发、全网接入等技术,通过插件实现对C/S服务访问。
(3)管理保障系统可用性:通过集中管理软件的帮助,实现客户端自动部署,提高了自动部署的机动性和灵活性;增大管理容量。
(4)VPN隧道安全技术组合:利用IPSEC VPN和SSL VPN二合一网关上的IPSEC VPN功能建立与数据中心、各分支机构和移动办公终端的VPN通道,实现数据通信的机密性、完整性;在没有VPN网关设备和VPN客户端的情况下,通过浏览器与图书馆数据中心建立SSL VPN隧道,实现安全数据通信;利用身份认证功能,实现对访问校园网的用户、局域网的访问的身份认证和授权;利用防火墙、病毒防护、内容过滤等功能,对访问数据进行过滤,实现VPN的安全控制和功能。
通过VPN设备的部署和安全策略设置,使图书馆网络服务实现了基于互联网的安全延伸,并具有以下良好效果:旁路接入的方式,对现有网络结构的影响减少到最小,有效保障网络结构的稳定性并具有良好的扩展性;通过综合使用IPSEC VPN和SSL VPN技术,覆盖了各种情况下的远程接入,具有良好的环境适应能力;通过VPN设备上的病毒过滤功能的启动,尽量减少移动用户对内网的影响;通过认证技术具有一定的抗抵赖性,通过加密技术保障数据传输的完整性和保密性。
产品在客户端与网关进行连接时,采用应用层进行控制,防止病毒、木马、蠕虫通过远程访问方式进入校园网进行传播;其次是在用户组和用户管理方面对用户组权限可以做详细的划分,用户只能浏览和运行我们授权其使用的校园网和电子资源。
在建设远程访问时,我们也必须考虑到数据版权方面的纠纷,应该做到对用户身份的强认证,保证每一个远程访问的使用者都是学校的合法用户。
有些学校曾经遇到由于无法限制用户的下载流量,而经常发生恶意下载,影响了广大师生的正常访问秩序,并给大学的声誉带来了负面的影响,而且事后的警告并不会减少其他用户恶意下载的发生。对此,学校在使用了远程访问系统之后,可以在设置用户组权限时,给不同的用户组设置不同的在线时长、最大流量、平均流量等几个指标来综合限制用户的下载流量。当用户发生大流量下载时,系统会自动中断客户端与网关之间的连接,并将用户挂起,待管理员重新激活该用户时此用户才能正常使用。
由于现在的大学规模越来越大,有远程访问使用需求的人员也越来越多,如果所有的人员都需要手工审核用户、建立用户、分发密码、安装客户端,必须考虑VPN产品可以方便快捷地解决这个问题。
用户日志也是很多大学所关心的问题,通过用户活动记录可以随时调整系统设定和工作进程。所以,远程访问系统应该具有完备的网关流量审计、用户流量和行为审计,并且增加资源访问审计系统可以统计管理员设定的各种电子资源的访问流量和访问次数,为购买数据和资源整合提供依据。
各个大学图书馆有相应的办公系统、自动化系统、自建特色库和专题库等等,通过远程访问系统自身先进的网络协议去完全承载各种形式的办公系统软件。使学校的老师在授权的范围内可以方便的做到远程办公、远程、远程借还书等等工作,扩展了远程访问系统使用空间,并且对自建数据库的访问用户进行严格的权限控制、严格的身份认证以及较高的加密强度,以便对自建库进行推广,使其发挥更大的作用。
VPN利用公用网组建虚拟的专用网,使用计算机和计算机网络在校园网外就可以对数字资源随时进行访问,提高了数字资源的利用率,为读者提供数字资源共享服务。目前,市场上有多个公司的多种VPN产品,这些产品提供的功能和网络性能也不尽相同。我们可以根据本单位的具体情况。选择不同的产品,实现数字资源安全、低成本的远程访问。
[2]张颖.利用VPN技术实现图书馆信息资源远程访问[J].情报探索,2008(7).
[3]王健. 利用VPN技术实现高校图书馆数字资源的远程访问[J]. 图书馆建设, 2006(5).
随着信息化进程的加快,各个高校对校园信息化投入不断增加,致力于建成数据交换与共享的数字化校园平台。虽然目前很多学校已经拥有了应用管理系统、数据资源库系统、公共通讯平台,但这些网络资源和办公平台常常受到网络的限制,只能在校园内部使用。本校2012年师生问卷调查显示:居住在外的教师、经常出差的行政办公人员以及在外实习的大四毕业生对于校外不能访问校内数字化资源,均已感到极为不便。具体来说,教师在外网不能登录学习平台批改作业;行政人员出差时,不能获取部门统计数据;大四未在校的学生不能通过毕业设计系统提交论文。这些状况即已表明目前校园的基础网络及其实现方案存在一定的不足,亟需新技术的应用以解决校园外部访问校内数字化资源的问题。经过广泛,深入的调研分析可知,VPN(Virtual Private Network)正是解决这一瓶颈的技术方案。
VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式[1]。VPN利用公用网络来实现任意两个节点之间的专有连接,适用于移动用户、分支机构以及远程用户安全、稳定地接入到内部网络。同时,VPN还向用户提供了专用网络所独具的功能,但其本身却不是一种真正意义上的独立物理网络,没有固定物理线路连接。近年来,VPN技术已经大量应用于高校的移动办公,并且在数字化资源的多校区数据访问方面也有着广泛应用。VPN远程访问的思路是,用户在网络覆盖的任意地点,首先,通过ADSL或者LAN方式接入互联网;其后,通过拨号校园网的VPN网关,构建一条从用户所在网络地址到校园网的二层隧道;而后是VPN服务器给用户分配相应的校园网地址,从而实现校园网数字化资源的远程访问[2]。
按照协议划分,VPN主要有两大主流,分别是IPsec VPN和SSL VPN。IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等[3]。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Point to Site的连接方式。总体来看,相比于IPsec VPN方案,SSL VPN方案有三点优势,具体如下。
(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。
(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。
(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSL VPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。2SSL-VPN的关键技术及性能分析
访问控制技术是由VPN服务的提供者根据用户的身份标志对访问某些信息项进行相应操控的作用机制。目前,通用的VPN方案中,常常是由系统管理员来控制相关用户的访问权限。作为安全的VPN设备,SSL VPN可通过“组”策略对应用进行访问控制[4]。有些SSL VPN产品可以将Web应用定义为一系列的URL,而组和用户则可允许和禁止访问相应的应用。其它一些SSL VPN产品可以提供更为精细的高级控制,控制策略不仅含有“允许”和“禁止”,还包括用户能访问的资源列表以及对这些资源的操作权限控制。由于SSL VPN工作在网络的应用层,管理员可以基于应用需求、用户特征以及TCP/IP端口进行严密的访问控制策略设置。SSL VPN还能通过浏览器中的参数支持动态访问部署策略,管理员可以依据用户身份、设备类型、网络信任级别、会话参数等各型因子,定义不同的会话角色,并给与不同的访问权限。另外,基于用户的访问控制需要维护大量的用户信息,当前最流行的控制策略则是基于角色的访问控制,在握手协议的过程中统一集成访问控制的基础功能,再将资源的控制权交托于可信的授权管理模型。
VPN的性能指标值对校园网中关键业务的应用实现具有直接影响,在设计数字化校园的VPN详尽方案之前,有必要了解其性能指标。SSL VPN中,常见的性能指标有连接速率、网络延迟、加密吞吐量、并发用户数,等。其中,连接速率表示了SSL VPN系统每秒钟可建立或终止的最大会话连接数目,用以度量被测VPN设备在单位时间内交易事务的处理能力[5]。可以通过添置SSL硬件加速卡、提高控制速率上限等举措来改善其性能。另外,SSL VPN使用的是非对称加密算法,这就导致VPN服务器的CPU将在高负荷状况下处理SSL的加解密。而对于这种计算密集型的加解密操作,为了保障服务器能够正常工作,既可以限制SSL会话的数量,也可以添加服务器的数目。只是这两种方式各有利弊,若限制会话数目,就会出现高峰期间的部分用户无法连接服务器,而添加服务器数目又会大幅增加VPN系统的财务用度。因而,通常情况下,使用SSL加速器来提升加解密速度,进入SSL的数据流由加速器解密并传给服务器,而外流的数据又经过加速器加密再回传给客户。服务器方面,只需要处理简单的SSL请求,将消耗资源的工作完全交给加速器,全面有效地提升了VPN方案的整体性能。
校园数字化资源中集结了多种重要的数据库以及多款办公软件。大四年级的学生会经常需要登录毕业设计系统上传学科论文;校外居住的教师也需要登录图书馆期刊检索系统,下载专业文献;另外,因公在外的招生、财务人员又需要及时获取部门的数字化信息,并借助办公自动化的高端平台与其它部门顺畅沟通。上述校园网的这些外部访问通常都是不确定的动态IP地址,在数据库服务器的安全策略中多会将之认定为是非法用户而遭到拒绝。因此,在外部访问校园网之数字化校园时,就需要研发一个远程访问方案,该方案可将合法的非授权校外地址转化为授权的校园网内地址。此方案需要考虑的用户有三种,分别是:在外居住的教师、大四实习生以及在外办公的行政人员。
由图1可。
