《毕业设计(论文)VPN虚拟网络的原理和实现.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)VPN虚拟网络的原理和实现.doc(43页珍藏版)》请在三一办公上搜索。
1、摘 要VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络可以把 它理解成是虚拟出来的企业内部专线。VPN是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。VPN具有虚拟特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性可扩充性和灵活性:VPN必须能够支持通过
2、Intranet和Internet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。搭建系统,安装Centos系统,安装Ssl、Pam-devel、Pam_mysql等支持、Lzo压缩等。在搭建好系统过程之中,为了实现用户的远程访问,要保证系统符合如下标准方案:用户验证、地址管理、数据加密、密钥管理、多协议支持等。关键字:VPN,用户验证,证书,协议,加密 AbstractVPN full name in English is Virtual Private Network, translates to Vir
3、tual Private Network.As the name suggests, virtual private network, it can be interpreted as a virtual enterprise out of line.VPN is the use of public network infrastructure, through the tunnel technology, and other means to achieve a similar private special network data secure transmission.VPN with
4、 virtual features: VPN is not a closed proprietary or leased line network service provider to a closed circuit, but also has dedicated VPN data transmission capabilities, as green as the same VPN to the public network manage their company information.VPN tunnel through the use of encryption technolo
5、gy to encrypt data transmission to ensure data is specified only the sender and receiver understand, to ensure the data private and security, scalability and flexibility: VPN must be able to support the Intranet and the Internet for any type of data flow, easy to add new nodes to support multiple ty
6、pes of transmission media, meet the simultaneous transmission of voice, video and data applications such as new high-quality transmission, and bandwidth of the increased demand.support, Lzo compression. Build a good system in the process, in order to achieve the users remote access system to ensure
7、that programs meet the following criteria: user authentication, address management, data encryption, key management, multi-protocol support.Key words: VPN, User Authentication, Certificates, Protocols, Encryption第一章 引言1.1 课题的背景和意义虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的
8、压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资
9、料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时
10、候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。 1.2 目前VPN系统研究的进展目前国内外硬件VPN产品已经相对比较成熟了,这里列出几个国内外有一定历史的知名品牌:国外品牌:
11、1.Cisco 2.Juniper 3.Array 4.Netgear 5.Watchguard 6.Hillstone 7.Qno。国内品牌:1. E地通 2.深信服 3.H3C 4.迅博 5.冰峰网络 6.奥联 7.卫士通 8.赛蓝 9.365VPN 10.X-Y小语VPN 11.天益随易联vpn12.易通VPN 13.网一VPN 14.513VPN 15.517VPN 16.Qno侠诺。国内VPN标准制定:VPN标准分为两类:IPSec VPN、SSL VPN。IPSec VPN国家标准制定单位:华为、深信服、中兴、无锡江南信息安全工程技术中心。SSL VPN国家标准制定单位:华为技术有
12、限公司、深圳市深信服电子科技有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份有限公司、深圳市奥联科技有限公司等十余家单位。 1.3 VPN系统的主要特点1.3.1 安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。1.3.2 服务质量保证(QoS)VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别
13、较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。1.3.3 可扩充性和灵活性VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。1.3.4 可管
14、理性 从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。 1.4 不同加密方式的VPN比较首先从SSL VPN和IPSec VPN个阵营出发做一个比较。1.4.1 SSL VPN比IPSec VPN部署、管理成本低首先认识一下IPSEC存在的不足之处: 在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好
15、处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。其次再看看SSL的优势特点:SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对
16、SSL VPN公认的三大好处是:第一来自于它的简单性,它不需要配置,可以立即安装、立即生效; 第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行; 第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。综合分析可见:1. SSL VPN强调的优势其实主要集中在VPN客户端的部署和管理上,SSL VPN一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;2. 某些SSL VPN厂商如
17、F5有类似IPSec VPN的“网络访问”方式,可以解决传统的C/S应用程序的问题,用户用浏览器登录SSL VPN设备后,拨通网络访问资源即可获得一个虚拟IP,即可以访问按照安全策略允许访问的内网地址和端口,和IPSec VPN不同的是,这种方式并非工作在网络层,所以不会有接入地点的限制。1.4.2 SSL VPN比IPSec VPN更安全首先还是先认识一下IPSEC存在的不足之处:1. 在通路本身安全性上,传统的IPSec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。比如总公司和子公司之间用IPsec
18、 VPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsec VPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。2. 比如黑客想要攻击应用系统,如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。3. 比如应对病毒入侵,一般企业在Internet联机入口,都是采取适当的防毒侦测措施。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。4. 不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传
19、输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯协议采用25和110端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25和110端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。其次再看看SSL的优势特点:1. SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。2. 若是采取SSL VPN来联机
20、,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。有的厂商如F5公司的产品,可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查,如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等,不符合条件的客户端可以不允许其登录,这样就大大增加了整个系统的安全性。3. 而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。有的厂商如
21、F5公司的产品,自身带有防病毒软件,更可以通过标准协议连接防病毒软件,加强对于病毒的防治。 4. SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN 之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。 1.4.3 SSL VPN与IPSec VPN相比,具有更好的可扩展性首先还是先
22、认识一下IPSec VPN存在的不足之处:IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。其次再看看SSL VPN的优势特点:SSL VPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。1.4.4 SSL VPN在访问控制方面比IPSec VPN具有更细粒度为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门
23、的项目信息,生产部门的产品配方等等。首先还是先认识一下IPSEC存在的不足之处:由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。其次再看看SSL的优势特点: 在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,S
24、SL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。1.4.5 使用SSL VPN相比IPSec VPN也具有更好的经济性 假设一个公司有1000个用户需要进行远程访问,那么如果购买IPSec VPN,那么就需要购买1000个客户端许可,而如果购买SSL VPN,因为这1000个用户并不同时
25、进行远程访问,按照统计学原理,假定只有100个用户会同时进行远程访问,只需要购买100个客户端许可即可。1.5 本论文各部分的主要内容Openvpn的路由模式,即通过证书认证建立连接,通过Iptables做路由实现VPN的模式。Openvpn与Mysql协作工作的过程,VPN网络通过Mysql来存取认证数据,客户通过VPN拨号同VPN服务器端建立连接。Openvpn的各种配置参数,及各种配置参数的设置方法和意义。第二章 搭建VPN网络的路由模式2.1 安装centos目的:搭建一台 OpenVPN Server 使出差的员工也可以方便的访问到公司局域网中的共享资料。网络环境如图2-1所示: 图
26、 2-1 网络环境示意图首先,安装好系统Centos,具体过程根据安装向导来做,这里不多谈。为了以后的Openvpn的运行,这里安装Centos5.2版本。2.2 安装Openvpn2.2.1 关闭 SELinux 图 2-2 关闭SELinux vi /etc/sysconfig/selinux 图 2-3 SELinux关闭2.2.2 检测 Openssl是否已安装rootlocalhost # Whereis openssl 图 2-4 检测程序录入如果你的系统没有OpenSSL库,用系统自动的yum工具安装yum install openssl,或者下载tar包安装。Lzo主要用于实现
27、VPN连接的压缩特性,下载地址如下所示: 解压到/root/Scripts目录中,后面所有的软件到存放到这个目录。tar zxvf lzo-2.0.3.tar.gzcd lzo-2.0.3./configureMakeMake install2.2.3下载Openvpn-2.0.9.tar.gz并解压安装Wget 然后解压tar包,如下命令。tar zxvf openvpn-2.0.9.tar.gzcd openvpn-2.0.9配置编译属性,如下所示:./configure -prefix=/usr/local/openvpn-with-lzo-headers=/usr/local/incl
28、ude/lzo -with-lzo-lib=/usr/local/lib-with-ssl-headers=/usr/include/openssl -with-ssl-lib=/usr/libMakeMake install完成安装,当用Locate命令查找Openvpn的时候,发现已经找到Lzo压缩了,如图2-5所示: 图 2-5 Lzo压缩2.2.4 安装配置TUN/TAP驱动Centos5.2用的是2.6的内核,如图2-6所示: 图 2-6 Centos5.2内核TUN/TAP驱动已经捆绑到内核上了,如果内核是如果你使用低于2.4.7的,那要自己升级编译内核。通过如下命令确认tun是否
29、已经绑定: locate if_tun.h 此命令会产生类似这样的信息 /usr/include/linux/if_tun.h 。 如果自己用tar包安装的话,需要做下配置TUN/TAP 设备节点 mknod /dev/net/tun c 10 200 配置/etc/rc.local文件,如下命令,使每次系统启动后需要执行一次的配置。因为在Linux上使OpenVPN或任何用到TUN/TAP设备的程序前都需要载入。TUN/TAP kernel module: modprobe tun 然后启用IP转发: echo 1 /proc/sys/net/ipv4/ip_forward 图 2-7 载入
30、指令为了保证万无一失,把这条指令也放在开机里面,也就是/etc/rc.local文件里面。2.3 配置Openvpn2.3.1 生成证书 Key说明在生成证书之前,首先需要首先配置一下环境变量,以便于生成证书过程中调用,环境变量的配置,一方面要让他跟相应用户绑定,如root,另一方面让它实时生效,开始进行证书的生成。2.3.2 设置环境变量rootopenvpn # vi /root/.bash_profile D=/root/Scripts/openvpn-2.0.9/easy-rsa KEY_CONFIG=$D/f KEY_DIR=$D/keys KEY_SIZE=1024 KEY_COU
31、NTRY=CN KEY_PROVINCE=GD KEY_CITY=DG KEY_ORG=ld KEY_EMAIL=dongkuan export KEY_CONFIG KEY_DIR KEY_SIZE KEY_COUNTRY KEY_PROVINCE KEY_CITY KEY_ORG KEY_EMAIL D 这样,环境变量便与Root用户进行了绑定,当然,现在开始要证书生成,因此要把环境变量实时生效,这样把上面的代码复制一份贴到系统里面,如图2-8所示: 图 2-8 复制代码粘贴检查下证书是否生效:echo $KEY_EMAIL 图 2-9 检查证书2.3.3 初始化PKIBuild: 代码:
32、 ./clean-all ./build-ca Generating a 1024 bit RSA private key .+ .+ writing new private key to ca.key - You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite
33、a few fields but you can leave some blank For some fields there will be a default value, If you enter ., the field will be left blank. - Country Name (2 letter code) CN: State or Province Name (full name) GD: Locality Name (eg, city) DG: Organization Name (eg, company) ld: Organizational Unit Name (
34、eg, section) :it Common Name (eg, your name or your servers hostname) :colin Email Address dongkuan: 这样,便建立好了CA证书,相当于根CA,在windows server2003里面做CA认证的时候,需要首先建立根CA证书,上面的步骤就是实现这个效果的,产生的CA证书如图2-10所示: 图2-10 CA证书下面的步骤,就是建立服务器端和客户端的证书了。#建立 server key 代码,代码如下: ./build-key-server server Generating a 1024 bit
35、RSA private key .+ .+ writing new private key to server.key - You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank
36、For some fields there will be a default value, If you enter ., the field will be left blank. - Country Name (2 letter code) CN: State or Province Name (full name) GD: Locality Name (eg, city) DG: Organization Name (eg, company) ld: Organizational Unit Name (eg, section) :it Common Name (eg, your nam
37、e or your servers hostname) :server Email Address colin_xia: Please enter the following extra attributes to be sent with your certificate request A challenge password : An optional company name : Using configuration from /root/Scripts/openvpn-2.0.9/easy-rsa/f Check that the request matches the signa
38、ture Signature ok The Subjects Distinguished Name is as follows countryName :PRINTABLE:CNstateOrProvinceName :PRINTABLE:GDlocalityName :PRINTABLE:DG organizationName :PRINTABLE:ldorganizationalUnitName:PRINTABLE:it commonName :PRINTABLE:serveremailAddress :IA5STRING:dongkuanCertificate is to be cert
39、ified until Nov 6 18:18:13 2018 GMT (3650 days) Sign the certificate? y/n:y 1 out of 1 certificate requests certified, commit? y/ny Write out database with 1 new entries Data Base Updated 这样就成功的生成了服务器端的key文件,生成了server.crt、server.key、server.csr等文件,如图2-11所示: 图 2-11 Key文件生成下一步,生成客户端key,主要用来实现Openvpn的认证
40、登录,VPN的认证登录总的来讲分为两类,第一类:基于证书的认证类型;第二类,基于拨号的认证类型,这里基于路由的VPN用证书来认证,而基于拨号的在后面配置。 生成客户端的代码如下所示: ./build-key client1Generating a 1024 bit RSA private key .+ .+ writing new private key to client1.key - You are about to be asked to enter information that will be incorporated into your certificate request.
41、What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ., the field will be left blank. - Country Name (2 letter code) CN: State or Province Name (full name) GD:
42、 Locality Name (eg, city) DG: Organization Name (eg, company) ld: Organizational Unit Name (eg, section) :it Common Name (eg, your name or your servers hostname) :client1 每个不同的 client 生成的证书, 名字必须不同.因此,上面的client1要换成不同的客户端名字,如dongkuan等。 Email Address dongkuan: Please enter the following extra attribut
43、es to be sent with your certificate request A challenge password : An optional company name : Using configuration from /root/Scripts/openvpn-2.0.9/easy-rsa/f Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryName :PRINTABLE:CNstateOrProvin
44、ceName :PRINTABLE:GDlocalityName :PRINTABLE:DGorganizationName :PRINTABLE:ldorganizationalUnitName:PRINTABLE:it commonName :PRINTABLE:client1emailAddress:IA5STRING:colin_xiaCertificate is to be certified until Nov 6 18:18:36 2018 GMT (3650 days) Sign the certificate? y/n:y 1 out of 1 certificate req
45、uests certified, commit? y/nyWrite out database with 1 new entries Data Base Updated 通过./build-key命令,依次类推生成其他客户端证书key ,如图2-12所示代码: ./build-key dongkuan 图 2-12 生成命令./build-key client2 ./build-key client3 注意在进入Common Name (eg, your name or your servers hostname) : 的输入时,每个证书输入的名字必须不同,指令如下: build:代码: 创建Diffie Hellman参数。Diffie Hellman用于增强安全性,在OpenVPN是必须的: ./build-dh 下一步
