《网络工程毕业设计(论文)VPN在校园网中的应用研究.doc》由会员分享,可在线阅读,更多相关《网络工程毕业设计(论文)VPN在校园网中的应用研究.doc(20页珍藏版)》请在三一办公上搜索。
1、毕 业 论 文(设计)论文(设计)题目:VPN在校园网中的应用研究系 别: 专 业: 学 号: 姓 名: 指导教师: 时 间: 毕 业 论 文(设 计) 开 题 报 告系别:计算机与信息科学系 专业:网络工程学 号姓 名论文(设计)题目VPN在校园网中的应用研究命题来源教师命题 学生自主命题 教师课题选题意义:本选题的目的是研究将VPN技术应用于校园网建设,便于校园网突破专用网的地域性限制同时优化校园网的管理和应用。随着互联网技术的飞速发展,教育信息化的深入,很多学校都不断扩大校园规模或建立新校园,使得很多学校有了多个校区,实行多校区网络管理。为了实现校院资源优化整合,学校总部和分校区之间需要
2、随时的建立通信;同时随着网络的普及,为了师生们能更好的进行工作和学习,他们需要在校园网内部或在校外的远程节点上,随时享受校园网内部的各项服务。然而由于租用专用网存在地域性限制和经济费用昂贵,不适合校园网建设中广泛运用。但是VPN技术是应用于基于互联网构架的基础上,可以通过特殊的加密的通讯协议连接在Internet上的位于不同地方的两个或多个校园/企业内部网之间建立一条专有的通信线路。因此,VPN技术应用于校园网,将可以突破专用网的地域性限制同时可以较好的解决校园网多校区、远程访问、远程管理等问题,优化了校园网的管理和应用,又可以比租用专线要经济实惠得多,且便于扩展,更重要的是能较好的保证通信的
3、保密性、安全性和完整性。研究综述: VPN(虚拟专用网) 技术是DDN、FR( 帧中继)、ATM等PVC(虚拟固定线路)技术的替代连接技术,其发展由Cisco最早开发的不能提供任何安全性的GRE(通用路由封装) VPN技术,发展到由微软开发的只适合微软环境的PPTP(点对点隧道协议),针对GRE和PPTP的局限性,发展出了Cisco L2F和微软的PPTP的组合体L2TP(第二层隧道协议) VPN,L2TP将PPP通过公网进行隧道传输,提供如数据机密性的服务。目前IPSecVPN技术和SSLVPN技术已经逐渐成为主流VPN技术的发展方向,IPSec VPN技术是基于TCP/IP协议的,能够提供
4、在非安全的网络上传输敏感数据的安全传输,并能确保通信中数据的机密性、完整性和数据验证,防止被窃听攻击;SSL VPN是一种使用无客户端软件的VPN技术,用户可以使用加密Web浏览器作为客户端的软件,是一种很适合用做远程访问VPN技术。在未来,VPN技术将会更为广泛在校园网发展中应用,且主要发展方向将会包括以下二个方面:(1)、VPN在校园网的应用领域扩展。VPN技术对网络流量的安全性保障及服务质量保证(QoS)使得它将更为广泛的应用在校际通信、校间通信及远程通信等等。(2)、VPN校园网的技术要求更为严格。IPSec能够提供高安全性保证,IPSec VPN技术将会成VPN校园网建设主流技术;S
5、SL VPN能够提供基于加密的Web浏览器应用程序的无客户端的远程VPN连接,使得远程VPN用户无需培训和为购买客户端软件而支付昂贵金额, SSL VPN将成为VPN校园远程登录技术的最佳选择。因此,本选题将更为深入的研究IPSec VPN及SSL VPN在校园网建设中的应用和发展。研究的目标和主要内容:本选题将探讨如何通过VPN技术实现不同校区间的子网互联并解决网络通信间的保密性、完整性和安全性,提高校园间资源共享和校内人员办公效率,并优化校园网络管理。大体上,本选题需要探讨VPN技术的如下几个方面内容及在校园中应用方案:一、研究VPN技术的原理及VPN技术的特点,如VPN技术与租用专线的区
6、别;VPN技术的优点;VPN技术的分类或者特征等等。二、研究VPN技术运用的主要技术和及相关技术特点,如隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)这些技术的本身运行原理和特点,及其在VPN技术中的作用和影响。三、研究校园网中如何运用VPN技术、哪方面需要运用VPN技术,怎样运用VPN技术,以及运用VPN技术应该考虑哪方面的因素和需要注意哪些问题,如使用VPN技术时是应该使用站点到站点的VPN模式还是应该使用远程接入VPN模式;是应该使用隧道模
7、式还是应该使用传输模式;以及该采用什么样的技术支持才可最适合实际校园网应用等等。四、对相关案例进行分析争取找到VPN技术在校园网中应用设计的最佳方案提高理论支持。拟采用的研究方法:a)查找并阅读相关资料,了解基本的内容,利用需求分析文档,对整个技术及其应用有个初步的认识。b)搜寻研究用的文件文档集和研究过程中用到的各种工具书籍。c)根据已有的资料并借助网络上相关论坛查阅其知识要点及发展动态。d)借助Cisco Packet Tracer v5.0虚拟网络配置调试工具,测试VPN校园网方案的可行性。研究工作的进度安排:2010年11月25号2010年11月29号 与指导老师沟通交流,完成毕业论文
8、选题。2010年12月1号12月20号 搜集资料,查阅文献,完成开题报告。l2010年12月21号2010年1月20日 完成文献综述,整理相关资料并完成概要和论文构架设计l2010年1月21号2011年3月30号 进行VPN技术校园应该方案的相关配置和调试,并总结毕业设计的整个过程,完成毕业论文初稿2011年4月1号5月1号 与老师沟通交流,修改和完善论文。2011年5月1号5月30号 毕业论文定稿,打印装订,参加答辩参考文献目录(作者、书名或论文题目、出版社或刊号、出版年月日或出版期号):1Thaddeus Fortenberry美.Windows 2000虚拟专用网络M.陆建业 译.清华大
9、学出版社,20012 王达, 虚拟专用网(VPN)精解M,北京: 清华大学出版社,20043 Steven Brown美. 构建虚拟专用网M.董晓宇,魏鸿,马洁 译. 北京:人民邮电出版社, 20004 王达著. 虚拟专用网(VPN)精讲M.北京:清华大学出版社, 20045 聂 丹. 加强认证的IPSec多媒体通信系统设计J. 计算机工程,2007, 33(07): 269-271 6 Stallings W. 虚拟专用网的创建与实现M.北京:海洋出版社,20027 Martin WMurhammer. 虚拟私用网络技术M.北京:清华大学出版社,20008 Mark Lewis,CCIE#6
10、280美. VPN故障诊断与排除M. 袁国忠等 译.人民邮电出版社,20069 Richard Deal美. Cisco VPN完全配置指南M. 姚军玲,郭稚晖 译.人民邮电出版社,200710 Matin W Murhammer a1虚拟专用网络技木M. 清华大学出版杜 ,2OOO 指导教师意见该生的选题根据我校网络情况提出IPSec/SSL一体化VPN应用方案,并对该方案的工作过程及要点作深入探讨,技术上比较新颖,难度适中,也有实用价值,工作量符合要求,同意开题。 签名: 年 月 日教研室主任意见同意指导教师意见,同意开题。 签名: 年 月 日目 录摘要1关键词1引言11 VPN概述12
11、VPN连接模式22.1 传输模式22.2 隧道模式23 VPN构成分类23.1 远程访问虚拟专用网(acces VPN)23.2 企业内部虚拟专用网(Intranet VPN)33.3 扩展企业内部虚拟专用网(Extranet VPN)34 VPN应用优势35 VPN的主要技术45.1 隧道技术45.2 加解密技术45.3 密钥管理技术45.4 使用者与设备身份认证技术46 VPN设计考虑57 VPN实施技术68 VPN在校园网中的应用89 IPSEC/SSL 一体化VPN技术原理910 IPSEC/SSL实现过程910.1 IPSec实现过程910.2 SSL实现过程1011 IPSEC/S
12、SL 一体化VPN校园网方案1011.1 我校网络布局特点1011.2 IPSec/SSL VPN配置1112 总结13参考文献:13ABSTRACT14KEYWORDS14致谢14VPN在校园网中的应用研究 网络工程 指导教师摘要 本论文主要探讨虚拟专用(VPN)技术在校园网中的应用研究,首先对VPN技术原理、VPN技术分类、VPN技术优势和主要技术进行分析和总结;其次,对VPN在校园网应用中应考虑因素、网络设计要点及所采用的各大技术性能比较;最后,根据我校网络情况提出IPSec/SSL一体化VPN应用方案,并对该方案的工作过程及要点作深入探讨。关键词 VPN技术、校园网、IPSec、SSL
13、、IPSec/SSL一体化。引言近年来,各高校校园网建设步伐不断加快,同时面临着校园网规模扩大,甚至是跨地域分布,且远程教育也越来越普及。这使得校园网的应用和管理面临着很大的技术和经济压力,给校园网建设和维护增加了很大的难度,特别是如何高效、安全、低成本地传输数据,给校园网建设提出了一个难题。如何使地理及物理上分布分散的若干校区网络能从逻辑上有效集成,实现资源有效共享,这些问题成为制约高校校园网建设和发展的一个瓶颈。 本文从这一问题出发,通过对VPN技术的具体分析和研究,并针对我校校园网情况提出了一种采用IPSec/SSL一体化VPN技术解决我校校园网建设的方案。1 VPN概述(1)VPN简介
14、虚拟专用网VPN(Virtual Private Network) 是指通过特殊的加密通讯协议,利用Internet/Intranet等公网资源使得连接在不同地域的多个内部网之间,构建成一条专用安全的通讯线路。这种技术是依靠因特网服务提供商(ISP)或其他网络服务提供商(NSP)在公共网络中建立专用的数据通讯网络技术。它是一种虚拟产生的功能性专用,但却能实现不同网络设备和网络资源的相互连接,为用户构建专用隧道,并提供与专用网络一样的安全服务,但比构建专用网更方便网络管理和维护,且成本更低廉。(2)VPN技术原理首先主机把信息发送到VPN网关, VPN网关对信息进行处理(如加密或添加数字签名等)
15、并把各种网络协议(IP、IPX、APPLETALK等)通过隧道协议在二层或者IP层进行封装,封装后的IP数据包通过IP网络传输至网络的VPN网关或终端,然后再进行解包操作,并进行相关处理(如完整性,验证等)。整个隧道的处理过程对网络上的其他设备是高度透明2 VPN连接模式VPN有两种基本类型的连接模式:传输模式和隧道模式,它们用在设备之间传输数据并定义了两台实体设备之间传输数据时基本的封装过程。2.1 传输模式传输模式连接用于在设备的真正源和目的IP地址之间传输数据时使用。在传输模式中,实际的用户数据被封装在一个VPN的数据包中。需要注意的是,在传输模式中,如果VPN保护的数据包被窃听攻击所检
16、查,攻击者将会知道通信中实际源和目标设备,且传输模式不具备很好的扩展性,不适合于多台设备在不同区域的通讯方式。如果你正在使用加密作为VPN的一种保护方法,攻击者将不能解密在VPN设备之间传输的实际的负荷。2.2 隧道模式在隧道模式中,实际的源和目标设备通常是不保护流量的,相反,某些中间设备(如VPN网关)用于保护这些流量,且隧道模式弥补了传输模式不具备很好扩展性这一不足。隧道模式的工作原理是,本地设备将IP数据包转发到本地VPN网关,当VPN网关接收到ip数据包后,VPN网关会封装这个带有VPN保护信息的数据包,可能是加密原始的整个ip数据包,下一步,VPN网关将这个信息放入到另一个ip数据包
17、中发送出去。此外隧道模式还能提供一些比传输模式更优越的特性,如扩展性、灵活性、隐藏了通讯、使用私有地址和使用现有的安全策略。3 VPN构成分类3.1 远程访问虚拟专用网(acces VPN)远程访问VPN通常使用隧道模式在低带宽或者带宽连接之间应用。因此远程访问连接,流量需要从源到某些中间设备之间被保护,它可以验证被保护的信息,真正的目标将会收到被保护的信息。这就要求,远程访问用户需建立一个IP数据包,这个数据包的源地址是内部地址,而目标地址是总部网络设备的地址,这个数据包的VPN信息被封装和保护,并且添加一个外部的IP头。在外部的IP头中,源地址是远程访问用户的ISP分配的NIC地址,而目标
18、地址是VPN网关。VPN网关接收到被保护的数据包,就会验证这个数据包,解密封装的数据包,并检测是否需要转发。3.2 企业内部虚拟专用网(Intranet VPN)Intranet VPN即企业总部网络与分支机构间网络通过公网来构建虚拟网,以解决内联网结构安全和连接安全、传输安全,并实现企业内部的资源共享、文件传输等,以便节省构建DDN等专线所带来的高额费用。同时,企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。3.3 扩展企业内部虚拟专用网(Extranet VPN)Extranet VPN 即公司和合作伙伴等不同企业网络之间通过公共网络来构建的虚拟网。它是解决外
19、联网结构安全和连接安全、传输安全的主要方法,可以少花费完成企业电子商务需求。Extranet VPN在拓扑结构上合IntranetVPN非常相似,只是需要在企业防火墙上加强基于策略的网络安全措施,使企业拥有与专用网络相同的策略,包括安全、Qos、可管理性和可靠性4 VPN应用优势VPN除了能有效地降低网络通讯费外,还具有安全保障性、服务质量保证(QoS)、可扩充性和灵活性以及可管理性等应用优势。(1) 安全保障:VPN的安全保障性通过提供身份认证、访问控制、数据加密及数据完整来保障其安全可靠性.(2) 服务质量保证(QoS): VPN服务质量保证(Qos)指包在一个或多个网络的传输过程中所表现
20、的各种性能的具体描述,如丢包率、延迟等。它能一些网络技术(如IPSec、MPLS)的结合根据用户需求为用户提供不同等级的服务质量保证,为重要数据提供可靠的带宽。(3) 可扩充性和灵活性 :VPN的可扩充性和灵活性必须能够支持通过Intranet和Extranet的任何类型数据流,方便增加新的结点,支持多种类型的传输媒介,可满足同时传输语音、图像和数据等新应用对高质量传输及带宽增加的需求.(4) 可管理性:可管理性在VPN管理方面,VPN要求用户将管理功能从LAN无缝地延伸到公网,甚至是客户和合作伙伴。虽然可将一些次要的网络管理任务交给服务供应商完成,用户需完成许多网络管理任务。VPN网管理的目
21、标是:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN的管理主要包括安全管理、设备管理、配置管理、访间控制列表管理、QoS管理等.5 VPN的主要技术5.1 隧道技术隧道技术是VPN的基本技术,具有分组封装技术,且能模仿点对点连接技术,依靠ISP在公用网中建立自己专用的“隧道”,让数据包通过这条隧道实现传输。其基本过程是在内部网络与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的网络与公网的接口处将数据解封装,取出数据。被封装的数据包在公网上传递时所经过的逻辑路径称为“隧道”。5.2 加解密技术VPN加解密技术是在发送数据之前对数据加密,接收数据时对数
22、据进行解密处理,其算法主要包括:对称加密算法、不对称加密算法等,如DES、IDEA、RSA。对称加密算法,通信双方共享一个密钥,发送方使用该密钥将明文加密成密文,接收方使用相同的密钥将密文还原成明文,对称加密算法运算速度快。不对称加密算法使用两个不同的密钥,发送方用接收方的公开密钥加密消息,并且可以用发送方的秘密密钥对消息的某一部分或全部加密,进行数字签名。接收方用自己的秘密密钥解密消息,并使用发送方的公开密钥解密数字签名,验证发送方身份。5.3 密钥管理技术密钥管理技术的主要任务是如何在公网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP两种。SKIP是利用Diffi
23、e-Hellman的演算法则,在网络上传输密钥;ISAKMP双方都有两把密钥,分别用于公用、私用。5.4 使用者与设备身份认证技术VPN技术通常使用CHAP、MS-CHAP、EAP这三种设备验证方法:(a) CHAP。使用MD5来协商加密身份验证的安全形式,在响应时使用质询一响应机制和单向MD5散列。(b) MSCHAP同CHAP相似,对远程Windows工作站进行身份验证,在响应时使用质询一响应机制和单向加密。而且MSCHAP使用不同密匙,但不要求使用原文或可逆加密密码,能提供了相互身份验证和更强大的初始数据密钥。 (c) EAP可以增加对许多身份验证方案的支持,包括令牌卡、一次性密码、使用
24、智能卡的公钥身份验证、证书及其它身份验证。能更好的满足其它安全设备的远程访问用户进行身份验证的需求,同时可以防止暴力攻击及密码猜测。6 VPN设计考虑(1) 被保护的流量与非保护的流量:我们建立VPN连接时首先你需要考虑它们之间发送的流量是否需要被保护,以及有没有必要保护。因此必须重新评估什么样的流量需要被保护。这就要求建立一个分离隧道的策略来保护被保护的流量。(2) 碎片VPN实施时,我们需要考虑由于性能开销而导致的碎片问题,这就要求检查VPN的实施来查看它给数据包增加的开销量,了解客户端设备原来正在使用的MTU大小,能动态或者手动调整MTU大小来解决碎片故障和排除故障问题。(3) 应用程序
25、的类型在VPN流量中,某些程序类型保护功能已经内置在协议里面并不需要保护,例如HTTPS和SSH。因此你需要考虑需要保护的应用程序类型,减少VPN设备的额外处理负担使得更合理的保护VPN流量保护。同时当你已经决定了什么样的流量需要被保护后,你需要决定的是怎样被保护,这就要求你对网络流量进行安全性策略定义,并且在处理开销和处理延迟之间寻求一个折衷。(4) 地址转换和防火墙 地址转换问题使用地址转换,地址转换设备可以将一个IP地址转换成另一个地址,而且可能会将一个端口转换成另外一个端口。我们将使用IPSec来解决这个问题, IPSec有两种协议可以用来将数据通过VPN设备进行传输:验证头(AH)和
26、封装安全负载协议(ESP)。这里我们将不讨论协议的实际细节及处理过程。 防火墙问题一个有状态防火墙会跟踪连接的状态,默认情况下,只允许外出连接的返回流量进入,但是拒绝从外面始发的连接。防火墙厂商必须对特殊类型的检查进行编码来处理这些情况。因此,并不是每一个防火墙厂商都能处理你想要使用的VPN实施方案。你需要审视想要使用的VPN实施方案,并决定对于VPN来说,是否地址转换或防火墙设备对它产生的问题。(5) 冗余另外VPN设计的一个重要的组成部分就是冗余。例如,图6.1中的星形拓扑网络,这个拓扑缺乏冗余性。如果中心路由器失效了,那么每个站点都将失去与其他站点的连接。因此,你需要认真考虑你的网络,如
27、果需要的话,实行一些有效的冗余的设计,如图6.2。图6.1 星形拓扑图(虚线代表一个VPN连接)图6.2星形拓扑冗余设计(虚线表示一个VPN连接)7 VPN实施技术下面我们来讨论下VPN常见的实施方法及其实施的优缺点,这些方法包括GRE、IPSec、PPTP、L2TP、MPLS、SSL。( 1 )GRE通用路由封装(GRE)由Cisco开发作为封装方法的一种VPN技术,目的是使得一个协议的数据包可以封装进IP数据包中,并且将封装后的数据包通过IP骨干传输。它是一个第三层具有封装多种协议的灵活性协议。但GRE也有两个缺陷:GRE只对基于Cisco的IOS的路由工作;其次GRE缺少保护能力,即它不
28、执行如身份验证、加密、以及数据包完整性检查。因此,GRE通常不能用做一个完整的VPN解决方案;但可以和其他解决方案结合在一起,例如IPSec,来产生一个极强大的、具有扩展性的VPN实施方案。(2) IPSec:IPSec是一个只支持TCP/IP协议的第三层开放协议标准。它被特别设计用来处理在非安全的网络上传输敏感的数据。IPSec能处理如数据机密性;数据完整性;数据验证等问题。IPSec通过加密算法来提供数据机密性,保护数据免受窃听攻击,它支持DES、3DES和AES等加密算法。数据完整性负责检验数据包的内容是否被损坏。这是通过使用散列函数,如MD5和SHA来实现的。数据验证用于执行数据包和设
29、备的验证。散列函数用于检验发送IPSec数据包的设备的身份。设备验证用于控制那一台远端设备允许简历到本地的设备IPSec的连接。它支持3中类型的设备验证:预共享密匙;RSA加密的随机数和RSA签名(数据证书)。对于远程访问连接,通常都会采用用户验证。(3) PPTP:点对点隧道协议(PPTP)是由微软开发的,目的是对基于窗口的系统提供一个VPN的解决方案。不像IPSec,它可以支持所有的VPN连接类型,这包括站点对站点和远程访问。PPTP开发目的是允许Windows PC客户端安全的访问网络接入服务器,。因此,PPTP主要是用于远程访问协议,但是他确实支持站点到站点的连接。它实际上是两个标准的
30、组合:l 点对点协议(PPP)这个标准用于定义封装过程;PPTP将有效载荷PPP的数据包封装到一个IP数据包里,通过网络进行传输。l 微软点对点加密(MPPE)这个标准用于对PPTP提供数据机密性(加密)它不像IPSec,只支持TCP/IP协议,PPTP支持多种协议:TCP/IP、IPX和NetBEUI。但是,它是一个半开放的标准,只能工作中一种微软的环境中,通常不能在一个混合厂商的网络环境中运行。(4 ) L2TP:L2TP(第2层隧道协议)是Cisco L2F和微软的PPTP的组合,将ppp通过公网进行隧道传输,提供数据机密性的服务。L2TP支持多种第3层协议,包含有一个修改版的多机箱多链
31、路PPP,允许客户端叠堆VPN网关,使得它看起来像一台虚拟的网络设备。L2TP使用MPPE来做保护,但是和PPTP一样,和IPSec保护机制相比能力较弱。因为这一点,它常使用IPSec来做传输保护,而同时提供Windows环境下可能需要通过PPTP才能得到的某些相同服务。(5 ) MPLS:多协议标签交换(MPLS)指定了数据包是如何通过一种有效的方式送到一个目的地的。MPLS VPN有时被称为MPLS的增强。MPLS电路通常被称为是一个VPN,它使用虚拟电路(VC)通过私网来仿真VPN的功能,并通过添加到数据里的MPLS标签中的标记信息提供分离的功能。MPLS甚至可以在以太网骨干中提供这种功
32、能。就是说,在MPLS网络中,你的流量和其他人的流量是分开的,因此,在运营网络中,你的流量可以被认为是“私有的”。但是MPLS不能解决运营商是否会窃听你的流量这个问题。(6 ) SSL:安全套接字层(SSL)是一种可以通过加密Web浏览器独立处理安全传输Web连接和事务。用户直接使用Web浏览器作为客户端软件,不需要安装特别的客户端软件。因此,SSL VPN是一种远程访问VPN的最佳解决方案。但是,因为SSL VPN是实施在应用层之上的,只有基于Web的应用程序(通过Web浏览器的)才可以被保护,所以具有一定的限制。但可以在SL VPN的网关设备上写特殊的代码来处理其他应用程序,实现应用层以下
33、的流量保护,得设备在网络中起到最佳应用。8 VPN在校园网中的应用目前校园网建设都会面临这几个常见的问题:(1)校园网规模扩建,建立专用网面临经济承受能力不允许;(2)校园网络管理IT人才缺失,致使网络管理和维护技术上不足;(3)校园网络信息安全面临被攻击隐患时有发生,校园网信息安全丞待解决。但是VPN技术应用于校园网中,就能有效解决校园网发展中所遇到的众多问题,首先VPN技术基于原有网络基础上,通过公网资源建立起来的,不需要搭建专线却能实现安全的网络连接,解决了建立专用网所需巨额经济问题。其次VPN技术能够利用外包业务的专业ISP的统一管理来较好的整合资源为用户提供安全的服务,解决了校园网I
34、T人员缺失和技术水平不足的问题。最关键的是VPN技术是基于安全基础之上使用隧道技术、身份验证、密钥管理技术和加解密技术等高效控制性的技术,使得校园网络免受非授权侵扰,为校园网信息安全提供了安全性保障。通过上文VPN技术实施方法的综合比较和性能分析,GRE不能有效解决校园网信息安全问题,而L2TP和PPTP一样不能很好的满足校园网高度要求信息安全的保障性,故也不能很好的解决校园网问题,IPSecVPN虽然能有效的解决了校园网信息安全问题,但是校园远程访问用户占校园网绝大部分资源,如果全部都使用IPSec客户端来建立连接,那么也会给广大用户造成沉重的经济负担,同时也加大了校园技术和维护难度。因此如
35、果远程用户采用无客户端的SSL技术,那么维护难度和经济压力也都会降低很多,因此,本文拟定了利用IPSec/SSL VPN一体化技术来建立校园,这样既能降低建网成本,又能实现系统的最优化。9 IPSec/SSL 一体化VPN技术原理IPSec VPN 需要用户必须安装特定的客户端软件,这需要专业技术人员进行操作。此外IPSec VPN不能透过NET防火墙。且IPSec VPN 不允许从公网计算机接入专网。SSL VPN不需要安装任何客户端软件,用户只需输入SSL服务器的URL,然后再输入用户名及密码,即可完成远程登录的操作。故SSL VPN最适合学校远程访问接入。而Ipsec VPN 是在两个局
36、域网之间通过Internet建立安全连接,保护的是点对点间的通讯,并不局限于web应用,还能构建局域网之间的虚拟专用网络,功能和应用的扩展更强。故Ipsec VPN适合校区间点对点连接。因此,这种集成的VPN解决方案充分发挥了Ipsec VPN和SSL VPN的各自优势,能更好的满足校园网的多种需求。10 IPSec/SSL实现过程那么,在校园网中部署Ipsec/SSL一体化VPN,它们又是如何工作的呢?10.1 IPSec实现过程IPSec技术原理可以表达为其连接的五个步骤:(1)IPSec对等体发起会话,触发IPSec感兴趣流量,并在对等体中配置安全策略(2)IKE阶段1,IKE鉴别IPS
37、ec对等体并协商IKE安全关联(SA),为阶段中的IPSec安全关联(SA)协商建立安全通道。(3) IKE阶段2-IKE协商IPSec安全关联参数,并在对等体中建立相匹配的IPSec安全关联(SA)。(4)数据传输基于保存在安全关联数据库中的IPSec参数和密钥,在IPSec对等体间传送数据。(5)IPSec隧道终止-IPSec安全关联(SA)因被删除或超时而终止。简单点说就是:发起对等体会话协商安全关联(SA)构建安全通道协商安全关联参数传输数据隧道终止。10.2 SSL实现过程SSL协议是基于Web应用的安全协议,它指定了在应用程序协议(如HTTP/Telnet和FTP等)和TCP/IP
38、协议之间进行数据交换的安全机制,为连接提供数据加密、服务器认证以及可选的客户机认证。作为应用层协议,SSL使用公开密匙体制和X.509数字证书技术保护信息传输的机密性和完整性,但它不能保证信息的不可抵赖性。SSL安全协议主要提供三方面的服务:(1) 认证用户和服务器,使得它们能够确信数据将被发送到正确的客户服务器上;(2) 加密数据以隐藏被传输的数据;(3) 维护数据的完整性,确保数据在传输过程中不被改变。它是由SSL记录协议、握手协议、密匙更改协议和警告协议组成,。它们共同为应用访问连接提供认证,加密和防纂改功能。其协议栈如图10.1:图10.1 SSL协议栈SSL协议的主要用途是在两个通信
39、应用程序之间提供机密性和可靠性,这个过程通过三个协议来完成:握手协议、记录协议和警告协议。且在SSL通信中,服务器方使用443端口,而客户方的端口是人选的。11 IPSec/SSL 一体化VPN校园网方案下面本文将结合我校布局,拟定一个IPSec/SSL一体化VPN校园方案,进一步讨论VPN技术在校园网中的应用。11.1 我校网络布局特点我校分为二个校区:东校区、西校区。为此拟定的校园拓扑设计如下图11.1,目前适合我校具体情况的IPSec/SSL一体化的网络设备产品很多,通过综合考虑(如安全性、稳健性、可管理性和性价比等)可选用深信服科技有限公司的SINFOR M5100-S VPN网关及其
40、配套产品,该网关集成IPSec VPN、SSL VPN、防火墙功能。IPSec VPN功能可以降低成本实现和分校区的网间互联;而SSL VPN功能则最适合移动办公人员的远程安全接入。防火墙功能还可以有效保证学校网络的Internet入口的安全。图11.1校园网拓扑图11.2 IPSec/SSL VPN配置(一)配置中心校区SINFOR M5100-S VPN网关1 系统配置:将SINFOR M5100-S VPN硬件网关放置在中心校区的Internet出口处,配置其内外网接口的ip地址、子网掩码、外网接口的默认网关、DNS,线路类型选择以太网。将需要被分校区和移动办公人员访问的各种应用服务器(
41、财务系统、OA、WEB服务器)的网关指向SINFOR M5100-S VPN的内网接口。2 IPSec VPN配置在WebAgent设置中,输入“中心校区WAN口IP地址:4009”。针对中心校区需开发资源情况设定中心校区VPN内网服务设置,以便为各接入分校区分配相应权限(如对财务/OA/图书馆系统等);为接入分校区分配合法的用户名密码等账户信息,可根据需要为每个账号分配不同的VPN权限,在启动ID鉴权的情况下需要把所有需接入中心校区的远程用户生成证书后传给中心网络管理员并分别绑定到对应的用户账户上;配置VPN内的QoS,为各种重要应用分配更高的优先级别,以便在网络繁忙时为这些重要应用预留更高
42、的带宽;3 SSL VPN配置在WebAgent设置中,不需要设置任何信息。用户直接在浏览器里面输入学校WAN口IP就可以访问SSL VPN。 为移动接入分配合法的用户名、密码等账号信息,根据每个账户选定不同认证方式,如用户名密码、数字证书、短信认证、Dkey以及外部认证。为移动用户分配可用资源,包括Web资源和App资源。可通过修改“访问地址”来实现的Web资源定义,但有一定的局限性。 App资源几乎支持所有的C/S应用,包括Web、Emall和FTP。所以添加“资源”时,尽量使用App资源来添加,可视情况而定。(二)配置分校区SINFOR M5100 VPN网关1 将SINFOR M510
43、0 VPN硬件网关放置在分校区Internet出口处,配置内网接口的ip地址、子网掩码、输入外网接口的用户名、密码、勾选【自动拨号】,线路类型选择ADSL.2 将需要被中心校区访问的各种PC机的网关指向SINFOR M5100 VPN内网接口。3 在WebAgent设置中,输入“任何IP地址:4009”。4 在连接管理中,新增一条连接;在主WebAgent选项中填入“中心桥区WAN的IP地址:4009”;输入分配给分校区的用户名、密码;并为新连接命名,传输类型选择TCP,勾选【启用】选项。(三)配置移动办公人员浏览器1 使用SSL VP之前,可能需要对浏览器进行必要的设置步骤如下:打开IE中的
44、【工具】菜单【Internet选项】, 在打开Internet选项中的【高级】选项卡,勾选【使用SSL2.0、SSL3、0和使用TLS1/0】选项,后点击【应用】。设置如图11.1所示:图11.2 Internet选项设置好IE浏览器之后,直接在正地址栏输入SSL VPN的登录页面地址来登录SSLVPN。但是倘若是第一次访问SSLVPN时,还需要安装一些“ActiveX控件”和“数字证书”后即可进入登录界面,原理如图11.3相似,在登录界面输入正确的【用户名】和【密码】,即可登录。图11.3 “ActiveX控件”安装提示登录成功后,还会自动安装SSL VNIC(SSL虚拟网卡)。至此,一次登
45、录SSLVPN,并访问SSLVPN内网资源的过程即完成。需要退出SSLVPN时,点击【注销】按钮,即可安全退出SSLVPN。注销之后,用户将不能访问SSLVPN的资源,所以弹出一个提示框,让用户确认,选择【确定】即可。如下图11.4所示。图11.4 SSL VPN推出提示12 总结VPN技术作为新兴的网络技术,提供了一种安全、高效、灵活和经济的联网方式,不仅解决了高校办学方式变化后校园网建设面临的具体问题,而且,随着Internet基础设施的发展,VPN技术将继续向前发展,应用在更加广泛的领域,发挥越来越重要的作用参考文献:1Thaddeus Fortenberry美.Windows 2000
46、虚拟专用网络M.陆建业 译.清华大学出版社,20012 王达, 虚拟专用网(VPN)精解M,北京: 清华大学出版社,20043 Steven Brown美. 构建虚拟专用网M.董晓宇,魏鸿,马洁 译. 北京:人民邮电出版社, 20004 王达著. 虚拟专用网(VPN)精讲M.北京:清华大学出版社, 20045 聂 丹. 加强认证的IPSec多媒体通信系统设计J. 计算机工程,2007, 33(07): 269-271 6 Stallings W. 虚拟专用网的创建与实现M.北京:海洋出版社,20027 Martin WMurhammer. 虚拟私用网络技术M.北京:清华大学出版社,20008 Mark Lewis,CCIE#6280美. VPN故障诊断与排除M. 袁国忠等 译.人民邮电出版社,20069 Richard Deal美. Cisco VPN完全配置指南M. 姚军玲,郭稚晖 译.人民邮电出版社,200710 Matin W Murhammer a1虚拟专用网络技木M. 清华大学出版杜 ,2OOO Res
