vpn技术论文
开篇:润墨网以专业的文秘视角,为您筛选了八篇vpn技术论文范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
vpn技术论文范文第1篇
关键词:图书馆,服务模式
一、引言
随着科学技术的飞速发展,国内外各高校图书馆之间的交流合作不断深化、师生员工对于知识的需求多元化,迫使各高校图书馆集中科研力量开发新型借阅系统、利用新兴网络技术建设一个既能满足当前应用又能满足长远发展需求的数字图书馆网络平台。但是在建设数字图书馆的过程中很多高校遇到了一些问题:电子书商基于对产品版权的保护,在电子资源中设置数字版权(DRM),限制了访问的IP地址范围,这与师生员工利用公共网络帐号(网络运营商提供的动态分配IP地址的上网帐号)访问校园内网(专用网络)的电子资源的权限冲突,导致师生员工无法检索需要的信息资料,直接造成许多图书馆电子资源的闲置和浪费,使得投入和产出不成正比,影响了数字图书馆的合理化建设。面对这种情况,vpn技术为我们提供了一套可管理、可认证、安全的远程访问电子资源的解决方案。
二、VPN技术简介
1.VPN简述
VPN(Virtual Private Network)可译为“虚拟专用网”。它并不是一个新名词,因为在电信服务的电话网络中早就提出了VPN的概念。VPN不是真的专用网络,但是却能实现专用网络的功能。因特网工程技术委员会(IETF)对的VPN的解释是:通过公共网络建立一个临时的、安全的、私有的点对点连接,通过对网络数据的封包和加密传输,从而实现在公网上传输私密数据,并达到私有专用网络的安全级别。VPN网络的认证机制很好的保护了用户收发数据的完整性、准确性,避免收发的数据不相符;而且VPN技术本身对网络流量能进行预测和控制,实现网络带宽的优化管理,从而避免在互联网使用高峰期造成网络堵塞,提高了数据传输的质量;另外,单位、企业很在意的经济投入也是非常的合理、节约,只要一次性购买VPN设备(包括服务器、路由器等),而不再需要增购其它的存储设备,进行重复性建设,并且VPN网络更不用考虑线路带宽的利用率和费用的问题。一旦组建好VPN网络之后只须安排一个专业技术员对其进行日常的管理维护(主要是安全管理、设备正常运行监控、配置管理、访问控制列表管理等)即可。此外,现有公共网络提供多种接入方式,如:PSTN拨号、ADSL、CableModem、小区宽带等,VPN网络也可以根据各种接入方式的信息量、实时性及通信条件等情况,分别选择不同的速率与之链接;同时,VPN网络能够支持任何类型的数据流,支持多种类型的传输媒介,满足同步传输语音、图像的需求,方便增加新的节点,增加访问用户的数量,具有很高的可扩充性能。
2.VPN关键技术
那么,VPN是采用什么技术和协议来很好的发挥它的特点的?首先我们需要了解国际标准组织制定的OSI网络模型,它把传统Internet网络分为7层:物理层、数据链路层、网络网际协议层、数据信息传送层、对话层、表示层和应用层;最底层是物理层,而最高层是应用层,VPN技术利用这个OSI模型为基础,开发出目前主流的三类Internet VPN远程安全接入技术(基于网络协议第三层的安全链接技术IPSecVPN、基于多协议的标记交换技术MPLS VPN、基于网络协议第七层的安全链接技术SSL VPN)。这些VPN技术具有类似的功能,但也存在着不同特性和各自擅长的应用取向。无论采用什么技术标准的VPN网络运用下面四种核心手段保证通信安全。
1)隧道技术(Tunneling)
隧道技术是VPN网络的基本技术,并依靠多种隧道协议来完成,例如:PPTP(点对点
隧道协议)、PPP(点对点通信协议)、L2F(数据链路层转发协议)、L2TP(数据链路层隧道协议)等。目前比较流行的隧道协议是IPSec(网络协议安全标准)与SSL(安全认证应用层标准)协议的结合,使用此协议可以很容易地建立IP层(网络协议第三层)用户的要求,也可以实现需要C/S(客户机/服务器)架构或者B/S(浏览器/服务器)架构的数据管理信息系统的要求。
2)加密&解密技术(Encryption&Decryption)
加密&解密技术是网络实时数据通信中一项比较成熟的技术,VPN可以直接利用此项技术。现行VPN使用的加密&解密技术主要有两种:对称加密(单钥加密)算法和不对称加密(公钥加密)算法。其中不对称加密算法生成的密钥用户管理方便,占用存储空间小,所以此算法是目前VPN网络中使用最为广泛的算法。
3)密钥管理&交换技术(KeyManagement)
密钥管理&交换技术是保护在公共网络上传输的私有数据流可以安全地传递密钥、识别密钥从而进行数据交换。为了使数据可以安全、准确、及时地传递,国际标准组织制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密钥管理&交换协议,进而形成了现行的密钥管理&交换机制,主要有三种:KMI机制(基于传统网络)、PKI机制(基于开放网络)和SPK机制(基于大规模专用网络),最为广泛使用的是KMI机制。
4)使用者身份认证技术(Authentication)
使用者身份认证技术最常用的是用户名、口令或智能卡认证(特殊的U盘)等方式。在实际应用中,移动用户使用智能卡方式,此卡内存贮有用户登录VPN网络所要求的各项相关数据信息;远程非移动用户采用用户名与口令方式来登录,例如ADSL连接方式则在拨号时实现,如果是专线用户则在路由器中实现,此用户名与口令一般不需要登录用户来干预,所以用户访问VPN网络就如同在局域网内一样方便。
如今,VPN技术突飞猛进,又出现许多新技术元素,所以VPN技术的发展前景很广阔。而解决数字图书馆建设中的一些疑难问题就目前看来采用VPN技术是一种很高效的解决办法。
三、数字图书馆建设中几种常见(VPN)模式
在各个高校数字图书馆建设过程中,根据师生用户群的使用特点以及应用环境的不同,VPN大致可采用三种不同的解决方案:远程访问虚拟网(AccessVPN)、校园内部虚拟网(IntranetVPN)和校园扩展虚拟网(ExtranetVPN)。
1.远程访问虚拟网(AccessVPN):如果图书馆员或者师生用户需要移动或者远程访问图书馆或者图书馆开展远程教育,就可以考虑使用AccessVPN。AccessVPN通过使用与专用网络相同策略的共享基础设施(公共骨干网),提供图书馆内网和公共网络之间的安全连接。AccessVPN能使图书馆所有用户随时、随地以其所需的方式办理图书馆各种业务。
2.图书馆内部虚拟网(IntranetVPN):近年来随着高校规模的不断扩大,办学方式的不断丰富,各大高校都呈现多校区办学模式,图书馆也不例外,许多高校图书馆组建分支机构,这样就可以考虑使用IntranetVPN。IntranetVPN通过公用网服务商提供的QoS机制(能自动识别数据包并转发到对应的地址去),使图书馆与各个校区分支机构的路由器之间建立VPN安全隧道,保证图书馆各个分支机构能实时、准确的与主机构之间交换数据。论文参考网。
3.图书馆扩展虚拟网(ExtranetVPN):其实这种应用模式只是图书馆内部虚拟网的扩展,这种模式为图书馆和电子资源供应商的网站平台之间提供了一种安全的连接通道,例如电子书商提供图书馆内网远程镜像访问企业主站的安全访问模式和各高校图书馆之间的合作,就可以考虑使用ExtranetVPN。论文参考网。ExtranetVPN更多的是考虑协调和安全问题。
以上提供的几种图书馆VPN解决方案常常通过软、硬件以及辅助设备把他们结合起来使用,这样就大大丰富了VPN技术在图书馆数字化建设中的作用。
四、VPN在安徽农业大学图书馆中的应用
安徽农业大学是安徽省一所省属重点综合性大学,安徽农业大学的数字图书馆建设也采用VPN技术来实现校外公网访问校内资源,实现学校的公共资源的充分利用。
现阶段,安徽农业大学图书馆还没有分馆,所以VPN技术主要应用于校外师生用户通过公共网络访问图书馆电子资源。学校采用一家很有实力的网络技术公司的M5600 SSL VPN路由器构建VPN网络,这种VPN路由器主要采用使用者用户名认证技术保证校外师生用户通过公共网络正确访问图书馆电子资源。论文参考网。根据目前的需求可以看出,现阶段的用户群还是比较集中和狭窄的,这也是为了保护学校资源和电子书商的版权。但是,为了能在不远的将来使图书馆资源利用率达到最优化,学校购买的VPN路由器是智能化和可升级的,这样就足以保证数字图书馆建设的可持续发展。
总之,VPN的应用前景是很广阔的,不仅仅是解决公共网络访问内网资源的问题;可以预见,数据共享是未来图书馆的发展趋势。各高校图书馆都会建设专有VPN网络,从而使信息资源全球化、集成化、多元化。
[参考文献]
1.李红艳. VPN技术在高校图书馆网络系统设计中的应用[J]. 中国期刊网CNKI数字图书馆,科技情报开发与经济,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向阳. VPN技术与图书馆资源远程利用[J]. 中国期刊网CNKI数字图书馆,情报探索,第1期,2007年1月.
3.何坚石. 虚拟专用网技术及其在高校图书馆的应用[J]. 中国期刊网CNKI数字图书馆,农业图书情报学刊,第18卷第3期,2006年3月.
vpn技术论文范文第2篇
关键词:计算机教学资源网络;网络安全;SSL VPN
中图分类号:TP258.6文献标识码:A文章编号:1007-9599 (2012) 03-0000-02
The Application of SSL VPN Technology in the Computer Network of Teaching Resources
Tan Qinhong
(Tongren Polytechnic,Tongren554300,China)
Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.
Keywords:Computer teaching resources network;Network security;SSL VPN
一、校园网计算机教学系统面临的安全风险分析
随着国家教育事业的快速发展以及IT技术的迅猛发展,人们的生产、生活方式发生了翻天覆地的变化,传统的教室内黑板面授教学模式已经不能完全满足当代的教学工作,必须有一种新的教学方式来弥补传统教学模式单一的不足,计算机教学应运而生,特别是计算机多媒体教学。计算机教学方式中,学习的人可以随时随地的学习,不受时间和空间的限制,并且具有学习成本低廉等一系列优点,因此计算机教学受到越来越多的欢迎。
为方便教师和学生等对教学资源的外部访问,存储有教学资源的网络大多与互联网相连,难免会受到来自于网络内部和外部的攻击,计算机网络的大多设备或软件为国外生产,其中可能存在一些后门程序,操作系统、应用系统等都存在大量的漏洞可以让攻击者利用,计算机病毒等恶意程序、SQL注入攻击、跨站脚本攻击、DDOS攻击、钓鱼网站的泛滥让校园网的安全形式不容乐观。
校园网中,用户有学生、教师、外部学习者等主体,教学资源的访问主体的身份不好控制、资源访问控制困难,很难让指定的用户只能访问指定的资源,不能访问其它非授权访问资源、用户对资源的访问不具有抗抵赖等问题。
校园网是学校的门户,是学校的形象窗口,是学校赖以生存的生产资料的一部分,如果遭到恶意攻击,导致不能正常对外部提供服务,将对学校造成严重损失。
二、SSL VPN简介
VPN(Virtual Private Network虚拟专用网络)[1]是一种在公共的网络基础平台(如internet)上建立专用的数据通信网络的技术。VPN通过对数据包进行加密和封包,在公共网络基础平台上构建出安全、可靠的专用隧道,使私有数据在公共网络上安全传输。用户使用VPN技术,不需要建设自己的专用网络,节省投资,使用便捷,VPN技术因而获得了广泛的应用。
VPN技术发展至今,产生了多个种类,有工作在2层的L2TP VPN,工作在3层的IPsec VPN,工作在传输层和应用层之间的SSL(Secure Socket Layer安全套接层)VPN,基于虚拟路由表和标签转发的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用户通过公共网络(如internet)接入业务网络,在远程接入上应用广泛。
SSL是一个独立于平台并独立于应用的协议,用户保护基于TCP的应用。在TCP/IP四层架构中,SSL在传输层之上,应用层之下,像TCP连接所连接的套接字一样工作。
SSL VPN技术帮助用户使用标准的Web浏览器就可以通过公共网络平台接入所要访问的远程资源。在用户的计算机上,不需要安装客户端软件及进行复杂的配置,大大方便了用户,仅仅通过一台接入了Internet的计算机就能访问远程资源。这为企业及政府提高效率也带来了方便。
用户所要访问的资源位于企业网或者政务网内部,在此情况下,需要部署SSL VPN网关在企业网或者政务网的边缘,介于服务器与远程用户之间,控制二者的通信。如下图所示:
SSL VPN网关除了作为隧道的终点,还要执行以下三种功能:,应用转换、端口转发[2]。
1.:它将来自远端浏览器的页面请求(采用
vpn技术论文范文第3篇
【 关键词 】 经济型;VPN;网络平台;构建方法
An Economical VPN Network Platform Construction Methods
Zhang Ding-xiang
(Guizhou Commercial College, Guiyang GuizhouGuiyang 550004)
【 Abstract 】 Although at present to provide enterprises with VPN network platform building scheme is more, but the building costs are high, make many enterprise hope and stopped. Therefore, seek a kind of economic and enough VPN network platform construction scheme is very necessary.This paper will introduce a kind of deployment scheme and configuration method which that using ADSL dial-up internet, dynamic DNS technology and software VPN over the internet to construct economic VPN network platform. This program can be used for the construction or upgrading of an enterprise VPN platform.
【 Keywords 】 economical ;VPN; network platform; construction method
1 引言
随着互联网在企业领域应用的不断深化,VPN(虚拟专用网)已作为一种安全的局域网远程扩展方案,并受到越来越多的企业关注和运用。对于占全国企业总数80%的中小型企业来说,大多数都需要通过计算机网络安全地、可靠地、及时地传输各种业务数据,并希望投入的成本越少越好,还期望原有的和即将发生的投资都能够得到长期的保护。因而,为这些企业寻求一种经济的够用的VPN网络平台解决方案和实现方法是很有必要的、迫切的。
2 解决方案
在企业构建VPN平台过程中,无论采用何种方案都应以追求数据传输的机密性、完整性、可控性和可维护性等为建设目标。这里以论文《集散式中小型企业远程数据安全传输解决方案》中提出的“6+”解决方案为基础,概要地介绍一种经济的VPN网络平台构建方法,以起到抛砖引玉的作用。“6+” 解决方案为PC机、操作系统、ADSL拨号、DDNS、二级域名、集成型VPN网关软件6种组件的综合集成。
2.1 VPN网络部署拓扑图
企业VPN部署的典型拓扑结构图如图1所示,企业总部与互联网的连接均通过VPN网关接入,VPN网关通过网线物理连接到ADSL Modem上,ADSL Modem再通过电话线逻辑接入到互联网;各分支机构和企业移动用户也通过VPN网关接入因特网,接入方式可以不采用ADSL Modem拨号连接。
2.2 方案要点
(1) 选配PC机。总部VPN网关主机选用一台质量较好的普通PC机即可。主机基本配置要求为Pentium CPU、512MB内存、80GB硬盘、10/100Mbps双网卡。这些技术参数也可作为分支机构VPN网关的参考。
(2) 选定主机操作系统。从习惯性和普及性考虑,选用专业版或服务器版的Windows作为VPN网关(主机)的操作系统,如Windows 2000 专业版、Windows 2003服务器版、Windows XP SP3专业版等。
(3) 采用ADSL拨号接入互联网。总部与因特网的接入方式采用常规的ADSL Modem拨号接入,目的是可以获得一个免费的公网IP地址,只不过该IP地址是动态的,每次拨号时可能获得不同的IP地址。
(4) DDNS的选用。选用拥有我国自主知识产权的花生壳作为DDNS(动态域名解析服务系统),花生壳DDNS能自动地准确地将动态IP地址与固定域名实时绑定,使得VPN客户端根据域名就可以随时找到VPN服务端的动态公网IP地址。
(5) 二级域名的申请。通常情况下,申请租用一级(顶级)域名都是要付费的,而申请租用二级域名多数都是免费的。对于构建VPN平台来说,域名叫什么都无所谓,仅仅是一个符号而已,只要能准确地解析到IP地址即可。为能更好地运用花生壳DDNS解析IP地址,这里在花生壳网站上申请一个二级域名作为VPN服务端网关的域名地址(如“iioffice.省略”)。
(6) 集成型VPN网关软件的选用。选用高性能高可靠的Injoy Firewall综合型网关软件(已获得中国公安部的安全认证许可)来构建VPN平台。该软件除具备VPN的基本功能(隧道传输、加密解密、密钥管理、身份认证等)外,还具有较强的防火墙和入侵检测功能,并内置了PPPoE及PSTN拨号器、DHCP Server,还支持NAT-T技术和高强度高速度的AES加密算法。
vpn技术论文范文第4篇
随着网络的不断普及和电子商务的迅猛发展,电子商务这种商务活动新模式已经逐渐改变了人们的经济活动方式、工作方式和生活本论文由整理提供方式,越来越多的人们开始接受并喜爱网上购物,可是,电子商务发展的瓶颈——安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。校园电子商务是电子商务在校园环境下的具体应用与实现,其安全性也同样是其发展所不容忽视的关键问题,因此应当着重研究。
1校园电子商务概述
1.1校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校本论文由整理提供园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
1.2校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群本论文由整理提供稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
2校园电子商务的安全问题
2.1校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
2.2校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非本论文由整理提供授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
2.3校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,可以本论文由整理提供看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
3校园电子商务安全解决方案
3.1校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系本论文由整理提供结构,如图所示:
上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和本论文由整理提供交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
(1)营造良好校园人文环境。加强大学生本论文由整理提供的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共
同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而本论文由整理提供不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
3.2校园网络安全对策。
保障校园网络安全的主要措施有:
(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问本论文由整理提供,防止来自外部互联网对内部网络的破坏。
(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的本论文由整理提供安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
3.3交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解本论文由整理提供决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务本论文由整理提供中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
3.4基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:
(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。超级秘书网
(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
4结束语
开展校园电子商务是推进校园信息化建设的重要内容,随着我国校园信息化建设的不断深入,目前已有许多高校开展了校园电子商务,它极大的方便了校园内师生员工的工作、学习、生活。可是与此同时,安全问题成为制约校园电子商务发展的障碍。因此,如何建立一个安全、便捷的校园电子商务应用环境,让师生能够方便可靠的进行校园在线交易和网上支本论文由整理提供付,是当前校园电子商务发展要着重研究的关键问题。
vpn技术论文范文第5篇
关键词:RRAS Windows 虚拟专用网技术 安全
虚拟专用网是公共数据网的一种类型,但可以方便的让企业外地用户直接连接到企业的内部网络。虚拟专用网可以跨专用网络或公用网络(如Internet)创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性。虚拟专用网中采用了一些网络安全机制,如隧道技术、认证技术、加密技术、解密技术以及密钥管理技术等,这些网络安全技术能够确保各种数据在公用网络中传输时不被非法用户获取,即便被窃取也无法读取数据包中的有效信息。
1 构建RRAS服务
RRAS也叫路由和远程访问服务,通过将“路由和远程访问”配置为充当远程访问服务器,可以将企业的远程工作人员或流动工作人员连接到企业内部网络上,远程用户可以像其计算机物理连接到企业内部网络上一样进行资源共享和数据交换。虽然现在很多企业网络组建都采用了VPN技术,但是基本上是基于网络硬件设备的,比如锐捷硬件VPN、路由器等,而利用Windows Server 2003内置的RRAS组建VPN网络价格低廉、管理方便、性能良好,而且容易维护。
利用路由和远程访问连接的用户可以使用企业内网的所有服务,其中包括文件服务的共享、企业打印机共享、企业Web服务的访问和邮件服务及数据库服务的访问。例如,在运行“路由和远程访问”的服务器上,客户端可以使用Windows资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和统一资源定位器UNC名称,因此连接到企业内网的外部用户的大多数应用程序不必进行修改即可直接使用职称论文。
RRAS是Windows Server 2003的默认Windows组件,其初始状态为停用,因此在构建RRAS之前必须将其激活,只有在RRAS管理控制台中服务器上的箭头变为绿色的向上箭头,才表明此RRAS服务已经被激活,激活状态如下图所示:
2 配置远程访问服务器
2.1 远程访问服务器属性的配置
2.1.1 常规属性设置 在Windows Server 2003的路由和远程访问服务中,可以使该服务器作为一个路由器或者是一个远程访问服务器。当作为路由器时,它可以作为企业网和因特网之间的一座桥梁,因此可以通过选中“远程访问服务器”复选框来改变该服务器的角色,使其成为一台VPN服务器。
2.1.2 安全设置 VPN始终是通过公用网络如Internet在VPN客户端与服务器之间建立的逻辑连接。为了确保隐私安全,必须对通过该连接发送的数据进行加密。RRAS中的安全信息包括身份验证方法和记账提供程序。身份验证方法包括默认的Windows身份验证和RADIUS身份验证,服务器通过一系列的验证方法对远程系统进行身份验证。
2.1.3 远程用户IP设置 远程VPN客户必须通过IP地址连接到服务器从而访问企业网络,通过IP设置可以给远程客户机指派IP地址。一般通过两种方法来指派:第一种是利用企业网络内部的DHCP服务器动态的分配IP地址,另一种方法是指定某个范围的静态地址池,其中“启用IP路由”可以使远程企业用户访问到此远程访问服务器所连接的整个企业内部网络。
2.2 远程访问服务器端口的配置 在企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,例如:对WAN微型端口(PPTP)和(L2TP)的数量的更改。在WAN微型端口(PPTP)中,“远程访问连接(仅入站)”是为企业用户启用远程访问,“请求拨号路由选择连接(入站和出站)”是为企业用户启用请求拨号路由。
2.3 用户拨入的配置 企业远程访问服务器同时也具备域控制器的功能,它是通过“Active Directory 用户和计算机”来管理企业远程客户的,而它所管理的用户对象属性中存在“拨入”选项卡,“拨入”属性可以允许或禁止远程企业用户连接到企业内部服务器上。其中“回拨选项”可以为远程用户拨入实现多种不同的功能,当用户拨号到企业RRAS服务器后,只要账户正确就允许与企业网络建立连接,则选择“不回拨”;当远程企业用户拨入到RRAS服务器后,输入正确的账户,服务器会要求用户输入回拨的电话号码,然后挂断电话,并由服务器对用户进行拨号,为远程用户节省电话费用,则选择“由呼叫方设置(仅路由和远程访问服务)”。
由于企业的规模各不相同,因此企业内部节点数量和网络带宽等也不同,当远程客户端通过VPN连接自动获取到一个和企业内网同一网段的IP地址后,就可以像在公司内部一样安全、方便、快速、高效地与Intranet交换机密的商务信息,从而实现企业网络用户跨因特网的安全访问。
参考文献
[1]Ivan Pepelnjak Jim Guichard. MPLS和VPN体系结构[M].北京:人民邮电出版社,2004.
[2](美)罗等,刘伟琴,米强译.第二层VPN体系结构[M].北京:人民邮电出版社,2006.
[3]徐祗祥.Windows网络服务[M].北京:科学技术文献出版社,2008.
[4]玛尼尔(Ruest,D.),尼尔森(Ruest,N.).Windows Server 2003企业部署原理与实践[M].北京:清华大学出版社,2006.远程访问服务器可以根据企业自身的状况选择以下三种不同的方式来部署:
2.3.1 单接口VPN服务器。此时用企业的核心路由器或硬件防火墙负责转发IP数据包到因特网并对外网提供各种服务,企业客户端在呼叫服务器时的地址就是核心路由器或硬件防火墙的公网地址。
2.3.2 双接口VPN服务器。适用于企业网络中具有多个公网地址。这种方式可以减少核心路由器或者硬件防火墙的网络负载,因为双接口VPN服务器网络中,客户端直接通过VPN服务器访问企业内部网络。
2.3.3 服务器做VPN服务器。如果企业原先通过服务器构建企业网络,可以在服务器上启用VPN服务器,或者是直接采用ISA Server作为服务器,在ISA Server上启用VPN服务器并且代替原来的防火墙与路由器。
vpn技术论文范文第6篇
关键词: 多协议标签交换; 快速重路由技术; 互联网安全协议; 虚拟专用网
中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2014)08-31-02
Application of MPLS VPN technology in campus network
Huang Hongjie
(Fujian Vocational College of Agriculture Information Technology Department, Fuzhou, Fujian 350119, China)
Abstract: In this paper, based on the MPLS VPN technique, a MPLS VPN based on IPSec and LDP FRR is designed and is widely applied in campus network. The system structure, network structure, routing design, planning design and safety technology are designed carefully. By using MPLS Fast ReRoute technology of LDP FRR, a reliable campus network is constructed.
Key words: MPLS VPN; LDP FRR; IPSec; VPN
0 引言
校园数字化现阶段一般采用以MPLS VPN技术为基础,构建多业务分组承载平台,同时对安全性要求较高的业务系统,通常全面部署IPSec VPN;对于可靠性要求较高的网络环境,可选择LDP FRR支持技术。本文综合运用其各自的优点,进行路由优化技术应用研究,以达其优势互补;运用有效的网络管理,真正实现安全可靠的业务隔离、灵活的路由机制,实现校园网设计的可用性、灵活性、扩展性、安全性和可靠性。
1 MPLS VPN体系结构
MPLS是多协议标签交换的简称,是一种第三层路由结合第二层属性的交换技术,引入了基于标签的机制,它把路由选择和数据转发分开,由标签来规定一个分组通过网络的路径。MPLS网络由核心部分的标签交换路由器(LSR)、边缘部分的标签边缘路由器(LER)组成。LSR的作用可以看作是ATM交换机与传统路由器的结合,是由控制单元和交换单元组成;而LER主要用于分析IP包头,决定相应的传送级别和标签交换路径(LSP)[1]。
VPN虚拟专用网(Virtual Private NetWork)指的是在公共网络上建立虚拟专用通信网络,由若干不同的站点组成的集合。一个站点可以属于不同的VPN,站点具有IP连通性,VPN间可以有控制地实现互访与隔离。
MPLS VPN是一种以MPLS技术为核心的IPVPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,通过在网络设备上利用传统路由技术的标记交换实现的IP虚拟专用网[2]。MPLS VPN一般采用多级网状拓扑结构,MPLS VPN的体系结构主要分成数据面和控制面。数据面定义了VPN数据的转发过程;控制面则定义了LSP的建立和VPN路由信息的分发过程[3]。MPLS VPN利用MPLS实现数据在各VPN站点间的转发, 同时结合BGP技术在运营商骨干网中VPN路由信息。
2 MPLS VPN网络结构
我们将校园网规划成骨干、核心、汇聚和接入等四层的层次化结构模式,核心层与骨干层为网状拓扑,可提高设备的冗余度,确保网络具有优良的可靠性。校园网主要分为办公教学区、学生宿舍区、校园网信息中心区和分校区等四大区域。在各个区域内采用双核心架设,相互之间通过多路光纤联接,链路带宽达十万或万兆;汇聚层面通过双链路方式接入该区域的双核心架设,链路带宽万兆或千兆;各个汇聚节点下的接入层面有相当数量接入交换机,链路带宽为千兆或百兆,用来满足全校师生员工的上网需求。网络拓扑如图1所示。
3 MPLS VPN路由设计
MPLS VPN数据流与公共网络(如:教育网和因特网等)数据流相隔离,其中VPN数据流在校园网上采用标记交换,而公共网络数据流则采用IP路由/转发。在校园MPLS骨干网络中使用标签分发协议(Label Distribute Protocol,LDP),实现标记从校园网的一个边缘区域交换到另一边缘区域。当前只对VPN数据流进行标记交换,公共网络数据流则以常规IP路由进行转发。
路由协议的应用,在MPLS VPN的网络中分为三个层面:骨干层MPLS、PE与CE互联、CE以下内部网络。对于骨干层MPLS,需要IGP协议与MP-BGP结合使用,IGP协议主要用在保证内部PE之间的连通性,MP-BGP协议主要完成指定并分发MPLS标签,各区CE之间的VPN路由的传递、VPN路由标签的分发,都是通过骨干区域MP-BGP协议的扩展属性实现的;CE路由器和PE路由器物理连接后,它还必须能够与ISP交换路由信息,CE路由器和PE路由器之间的连接可使用各种路由协议;对于CE以下的内部网络的路由协议完全保持原有网络的相关协议即可,接入层通过默认路由把流量引入汇聚层。
总之,校园网建设中采用的路由策略为:设置一个自治域;MPLS骨干网的路由采用MP-BGP协议和OSPF协议;PE与CE互联采用BGP协议和OSPF路由协议;CE以下内部网络采用OSPF协议[3]。
4 MPLS VPN规划设计
校园网建设是一个复杂的系统工程,承载的是数据、语音、交换的网络平台和视频等多种综合业务系统。MPLS VPN的整体部署需要进行规划,是业务开展的要求,同时也是业务可持续发展的保证。MPLS VPN涉及业务的划分、IP地址的规划,VRF标志,RD/RT等几类网络资源,这些资源与传统的IP业务稍有不同,需要进行合理的分配。
校园网代表性的业务系统有:办公自动化系统、校园一卡通、教务管理系统、数字图书馆、财务管理系统和网络信息中心等。根据各系统业务的不同,在校园网络中建立各自的VPN。
VPN用户通常都有自己的地址规划和分配原则,由于采用MPLS作为骨干传输支撑平台,可以允许用户独立设计IP地址。在为VPN用户提供公共网络访问服务时,需要为用户分配公共网络IP地址,最为关键的是在现存IPv4骨干核心上实现IPv6的无缝实施。
VRF(VPN Routing and Forwarding)是一种虚拟化技术,允许在逻辑上把共享的网络设备路由功能公开。每一个VRF可以看成是一台虚拟的路由器,包括独立路由表/转发表、一组归属于这个VRF的接口集合和一组只用于本VRF的路由协议。VRF常与MPLS VPN一起使用,为VPN VRF选择名称时,在VRF名称后加上业务名称的英文的格式,中间下划线连接[4]。
由于校园网络的骨干和核心层的路由器数量不多,且路由基本固定。因此,校园网络规划为一个自治域即可满足网络路由规模的需求。私有AS号范围为:64512-65535,可以在私有AS号范围随便选择,支持路由区分RD和路由目标RT的分配。路由区分RD对于路由器是无格式的,但是为了各个AS之间的互操作,规定了RD的格式。一般情况下采用RD格式为:ASN: XXX,其中ASN为2个字节,XXX子域为4个字节,资源非常充足。路由目标RT定义了路由可以为哪些站点接受,以及PE设备可以接受哪些站点发来的路由。默认情况下,为每个VPN分配一个惟一的RT。
5 MPLS VPN安全技术
MPLS VPN网络的信息传递和处理分为控制、数据和管理三个层面[3]。在控制平面完成路由信息的交换和处理,建立并维护VPN路由表;在数据平面实现VPN用户数据快速转发;在管理平面完成设备的配置管理及相应管理信息的传递功能。
MPLS VPN网络安全的威胁来自三个层面:①在控制面,包括MPLS骨干网路由器协议的攻击;②在数据面,包括公共网络和服务器等的安全威胁;③在管理面,包括攻击网络设备、影响或破坏信息传递和网络内部信息泄漏等[5]。
针对存在安全威胁的三个层面,我们增加了相应的安全措施:①控制平面的安全,包括保证路由信息传递的安全性以及路由的隔离,广泛部署路由协议邻居MD5认证,包括CE-CE,PE-CE,PE- PE和P-Network;②数据平面安全,包括CE-PE、PE-PE和CE-CE的数据实施更加复杂的加密系统;③管理平面安全,包括网管控制系统、网管信息平台和网管设备配置等[6]。
6 MPLS VPN可靠技术
目前为了满足诸如像视频会议这一类业务的灵活的实时应用,必须对这些流量提供毫秒级的LSP保护能力。MPLS快速重路由技术(LDP FRR)通过主备标签技术完成网络故障的50ms倒换功能,达到电信级网络要求的50ms内的保护切换,具有MPLS能力的IP网络成为新一代的多业务承载平台[7]。
随着网络通信业的发展,MPLS快速重路由技术也会更加的完善稳定,给用户带来良好的网络环境。快速重路由的优势除了可以提高保护恢复的速度外,通过有选择地在网络薄弱环节配置保护能力,避免了在可靠网络重复保护、无谓消耗核心网络资源。
7 结束语
综上所述,MPLS VPN技术在校园网中的成功运用,有利于把MPLS的高速交换、扩展性,以及IPSec与LDP FRR的安全可靠性、易部署的优势发挥出来,设计出性能优良的校园网。MPLS VPN技术在校园网的应用中虽然还没有得到全面推广,但随着信息化的高速发展,MPLS VPN必将为全面实施校园网建设作出应有的贡献。
参考文献:
[1] http:///wiki/MPLS
[2] Ayan B.Generalized Multi-protocol label switching:An overview of
signaling enhancements and recovery techniques. IEEE Communications Magazine,2001.39(7):144-151
[3] 陈琳.基于MPLS的VPN技术在数字化校园中的运用与研究[D].河
南理工大学硕士学位论文,2010.
[4] Ivan Pepelnjak,Jim Guichard著.卢泽新,朱培栋,齐宁译.MPLS和
VPN体系结构(第2卷)[M].人民邮电出版社,2004.
[5] Jim Guichard,CCIE#2069,Francois Le Faucheur,Jean-Philippe
Vasseur著.陈武译.MPLS网络设计权威指南[M].人民邮电出版社,2012.
[6] Bound J,Pouffary Y,Chown T,et al. MPLS Enterprise Network
Analysis[Z].IETF draft,draft-ietf-v6ops-ent-anslysis-03,July 2005.
vpn技术论文范文第7篇
1.1校园网建设现状
咸阳师范学院校园网络的骨干网已经达到了千兆,100M到桌面,总体分为三级架构即核心层、汇聚层和接入层。咸阳师范学院校园网接入服务商是咸阳电信,其提供100M光纤宽带服务。网络提供的服务主要有:Web主页服务、DNS域名解析服务、E-mail邮件服务、Internet接入服务、校内网络杀毒服务、办公自动化服务等。
1.2面临的主要问题
(1)校园网络覆盖范围发生变化。由于近几年招生规模的不断扩大,学校相应配套设施也在逐年增加,这些都必须加入校园网,并且原来未曾入网的学生宿舍也将纳入网络覆盖范围,因此必将引起网络结构的变化。(2)原有网络设备也落后于发展的需要。学校现有的网络设备已经不能满足日益发展的网络需求,性能已经远远低于现在网络的发展和应用。(3)校园网用户的安全意识不强、网络的管理制度不够完善,缺少行之有效的监控措施。(4)学院网络中电脑所用的各种软件都不可避免的存在安全隐患。这些安全隐患导致了网络中各种不稳定因素大量的存在。比如,各种操作系统以及应用系统自身的漏洞带来的安全风险。Internet网络用户对校园网存在的非法访问或恶意入侵的风险等。
2网络安全方案设计
2.1防止内外的攻击威胁的入侵检测系统
为了校园网的安全,我们可以在防火墙的基础上再引进入侵检测系统(IDS),作为防火墙的有益补充,这样可有效地防止来自网络内外的攻击。防火墙由于性能的限制通常不能提供实时的入侵检测能力,对于校内用户所做的攻击,防火墙更是形同虚设。为了在网络安全的层次和网络安全区域方面进一步加强,我们可以选择在校园网络中建立一套入侵检测系统。IDS入侵检测技术是一种主动保护自己免受攻击的网络安全技术。入侵检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高信息安全基础结构的完整性。
2.2建立VPN系统
VPN即虚拟私有网络技术,它的安全功能包括:通道协议、身份验证和数据加密。VPN的工作原理是这样的:远程外网客户机向校园网内的VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务端,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
2.3网络防病毒平台的建立
目前,计算机病毒的种类与传播媒介日益繁多,病毒更主要是通过网络共享文件、电子邮件及Internet/Intranet进行传播。计算机病毒防护已经成为计算机网络系统安全策略中的重要手段。鉴于校园网内部行政及办公部门数据资较为重要,所以配备病毒防护软件是十分重要的。为了减轻病毒更新及软件维护的繁重工作量,一般应采用企业版防病毒软件作为防病毒整体解决方案。企业版防病毒软件,除了提供在工作站的防病毒程序外,更在服务器上提供了管理程序(对所有工作站的防病毒软件进行中央控管)以及软件分发(Deployment)程序,从而解决了“防病毒软件统一安装”及“病毒码统一更新”两大难题。
2.4科学的流量控制策略
随着校园规模的不断扩大,在校师生员工的逐渐增多,为了满足老师和学生的上网需要,就要通过对网络设施的提升来扩大校园网的规模,出口带宽也不断在增加,各种网络应用也更加的丰富。但是宝贵的带宽却被流媒体和软件的下载大量占用了,甚至影响到学校正常的网络应用。当然,导致校园网络异常流量的因素还有很多,有病毒木马等有害程序,有网络教学软件错误使用,设备线路故障,最主要的还是P2P软件的使用。
3总结
vpn技术论文范文第8篇
论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。
Abstract:Along with the fast computer development and the universal application of the network technology, along with information times coming up on, Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers, It is very necessary for data’s protection, delivery and protection against various accidents, intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering, which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level.....
第一章 绪论
§1.1概述
随着以 Internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自 linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的 Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用 Internet提高办事效率、市场反应能力和竞争力。通过 Internet,他们可以从异地取回重要数据,同时也面临 Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理 、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与VPN的概念及相关测试方法
第二章 防火墙的原理 、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏. DMZ外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integrated security system)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章 防火墙的部署和使用配置
§ 3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部 Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§ 3.2 防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN 1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
第四章 防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1 规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§ 4.2 防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§ 4.3 主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§ 4.4 自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天, FTP、Telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§ 4.5 其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§ 4.6 资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§ 4.7 软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§ 4.8 软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章 防火墙的入侵检测
§ 5.1 什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统 (IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§ 5.2 入侵检测技术及发展
自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统
§ 5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§ 5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§ 5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§ 5.6什么是VPN ?
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows 2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§ 5.7VPN的特点
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
§ 5.8 VPN防火墙
VPN防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN防火墙过滤的就是承载通信数据的通信包。
最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙,因为他们的工作方式都是一样的:分析出入VPN防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN防火墙,VPN防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)VPN防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,比较好的VPN防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令VPN防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗IDS;
2)躲避IDS的安全策略;
3)快速发动进攻,使IDS无法反应;
4)发动大规模攻击,使IDS判断出错;
5)直接破坏IDS;
6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献 :
1..Marcus Goncalves著。宋书民,朱智强等译。防火墙技术指南[M]。机械工业出版社
2.梅杰,许榕生。Internet防火墙技术新发展。微电脑世界 .
3.Ranum M J. Thinking About Firewalls.