《网络安全毕业论文设计.doc》由会员分享,可在线阅读,更多相关《网络安全毕业论文设计.doc(34页珍藏版)》请在三一办公上搜索。
1、呼伦贝尔学院计算机科学与技术学院本科生毕业论文(设计)题 目: 学生姓名: 学 号: 专业班级: 指导教师: 完成时间: 目录摘要3Abstract4第1章 网络安全概述51.1 网络安全的现状51.2 VPN技术介绍61.3 课题背景71.4 研究目标7第2章 VPN技术及其应用82.1 VPN概念82.2 VPN技术的工作原理82.3 VPN技术的应用领域92.3.1 远程访问102.3.2 组建内联网102.3.3 组建外联网10第3章 VPN技术与相关协议113.1 PPTP协议与L2TP协议113.1.1 PPTP协议113.1.2 L2TP协议113.2 Ipsec协议113.2.
2、1 设计Ipsec的目的123.2.2 Ipsec的组成部分123.3 ESP机制133.3.1 ESP封装技术的隧道模式133.3.2 ESP封装技术的传输模式143.4 AH机制153.4.1 AH封装技术的隧道模式153.4.2 AH封装技术的传输模式16第4章 方案设计164.1 需求分析174.2 设计方案要达到的目的184.3 VPN组建方案网络拓扑图18第5章 各部分VPN设备的配置195.1 公司总部到分支机构的ISA VPN配置195.1.1 总部ISA VPN配置205.1.2 支部 ISA VPN配置225.1.3 VPN连接245.1.4 连接测试255.2 公司总部站
3、点到移动用户端的VPN配置275.2.1 总部ISA VPN配置285.2.2 动用户端VPN配置295.2.3 连接测试30总 结31参考文献32致 谢33 摘 要随着通信技术、微电子技术和计算机软件技术的迅猛发展,以计算机为基础的网络技术在开放系统互连模型和TCP/IP协议簇的规约下,异型计算机之间、异构网络之间互连的技术屏障已被完全打破,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现出传统企业网的功能缺陷,于是企业便对于自身的网络建设提出了更高的需求,由此推进了信息技术的发展。如今从个人、家庭到企事业单位、政
4、府以及军事部门都已离不开网络,迅速发展的网络不仅提高了工作效率还给人们带来了越来越多的利益,但网络给人们带来了方便的同时对每个用户的信息却受到了严重的威胁。针对这一问题计算机人员研发出VPN的一种虚拟局域网,它的出现解决了安全传输信息的这一问题。本文首先介绍了VPN的概念、应用前景、以及相关的技术与主要的安全协议,并通过一个小企业运用VPN的技术来构建自己的企业网和外联网的实例,来实现各个之间的信息通信,本文中包括各模块的工作原理、实现的思想、实现的细节以及最终的测试结果等,并对在实验中遇到的问题以及困难得到了解决。关键词 VPN;加密;PPTP;L2TP;Ipsec AbstractWith
5、 the development of communication technology, microelectronics technology and computer software technology development, computer based network technology in Open System Interconnect Reference Model and TCP / IP protocols under the stipulations between computers, special-shaped, heterogeneous network
6、 interconnection between technological barrier has been broken completely, especially the development of network economy, business expansion, customer increasing the distribution of a wide range of partners, increasing, this prompted the benefit of the enterprise is growing, but also increasingly pr
7、otruding shows the traditional enterprise network functional defects, then the enterprise to its own network construction raised taller requirement, thereby promoting the development of the information technology. Now from individuals, families to enterprises, governments and military departments ha
8、ve been inseparable from the network, the rapid development of the network not only improve work efficiency to bring people more and more interests, but the Internet brings people convenience to each users information has been a serious threat to. In view of the problems appeared in recent years a V
9、pn virtual local area network, it appears to solve the secure transmission of information to this problem.This paper first introduces the concept, application, prospect of VPN, and the related technology and the main security protocol, and through a small enterprises to use VPN technology to build t
10、heir own intranet and extranet examples, to realize the information communication between, experiments including the working principles of each module, realize ideas the details of the implementation, as well as the final test result, and the experiment encountered problems and difficulties have bee
11、n solved.翻译结果重试抱歉,系统响应超时,请稍后再试 支持中英、中日在线互译 支持网页翻译,在输入框输入网页地址即可 提供一键清空、复制功能、支持双语对照查看,使您体验更加流畅第1章 网络安全概述1.1 网络安全的现状 网络的诞生极大地方便了人们的沟通和交流,信息网络更已深入到政府、军事、企业生产管理等诸多领域,其中存储、传输和处理的信息有很多是政府的重要决策、军事秘密、企业生产经营的商业信息等,然而自网络诞生之日起,网络安全就一直如影随形。1988年11月20日上网蠕虫病毒,至今仍然让人们心有余悸,正是从那时刻起,internet逐渐成为病毒肆虐的温床,滥用网络技术缺陷和漏洞的网络入
12、侵更让人们防不胜防,具体的安全隐患主要表现为:(1)计算机系统受病毒感染和破坏的情况相当严重。(2)电脑黑客方法活动已形成重要威胁。(3)信息基础设施面临网络安全的挑战。(4)信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。(5)传输信息的完整性、可用性、保密性得不到保证。 计算机网络的安全与我们自己的利益息息相关,网络是动态变化的,新的Internet黑客站点、病毒、盗取每日剧增,所以一个安全的计算机网络系统必须采取强有力的网络安全策略,认真研究网络安全发展方向掌握最先进的技术,这样才能保证计算机网络系统安全、可靠地正常运行,才能把握住计算机网络安全的大门。目前国内外有以下几种典型
13、的网络安全技术:1. 防火墙系统防火墙系统能增强机构内部网络的安全性,加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问、外界的哪些人员可以访问内部的哪些服务、以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往因特网的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。2. 入侵检测系统入侵检测通过监控系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。它根据用户的历史
14、行为,基于用户当前的操作,完成对攻击的决策并一一记录下攻击证据,为数据恢复与事故处理提供依据。目前主要有两类入侵检测系统:基于网络的和基于主机的。前者在连接过程中监视特定网段的数据流,查找每一数据包内隐藏的恶意入侵,并对发现的入侵做出及时的响应;后者是检查某台主机系统日志中记录的未经授权的可疑行为,并及时做出响应。3. 访问控制技术 访问控制也是网络安全防范和保护的主要技术,它的主要任务是保证网络资源不被非法使用和非法访问。入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤
15、:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。4. 虚拟专用网VPN技术VPN技术可以在远程用户、公司分支机构、商业合作伙伴与公司的内部网之间建立可靠的安全连接,并保护数据的安全传输。与实际的点到点连接电路一样,VPN系统可被设计成通过Internet,提供安全的点到点(或端到端)的“隧道”。一个VPN至少提供如下功能: (1)数据加密。 (2)信息认证和身份认证。 (3)访问权限控制。根据用户的需求,VPN可以用多种不同的方法实现。通常情况下,有基于防火墙的VPN、基于路由器的VPN、基于服务器的VPN和专用的VPN设
16、备等。企业经济的发展是推动社会发展的主要动力,所以企业之间的商业信息的安全就变得尤为重要,上述中VPN虚拟网络技术不仅解决了信息的安全传输还解决的企业与各个之间的通信,还可以为组织机构提供一个满足跨越公共通信网络建立安全、可靠和高效的网络平台的虚拟专网。1.2 VPN技术介绍为适应全球经济一体化的格局与发展,利用IP协议和现有的Internet来建立企业的安全的专有网络,成为主要VPN发展趋势,VPN网络给用户所带来的好处主要表现在以下几个方面: 1. 节约成本节约成本是VPN网络技术的最为重要的一个优势,也是它取胜传统的专线网络的关键所在。据行业调查公司的研究报告显示拥有VPN的企业相比起采
17、用传统租用专线的远程接入服务器或Modem池和拨号线路的企业能够节省30%到70%的开销。2. 增强的安全性目前VPN主要采用四项技术来保证数据通信安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)。3. 网络协议支持VPN支持最常用的网络协议,这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN,这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。4. 可随意的与合作伙伴联网在过去企业如果想与合作伙伴连网
18、,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,这样相当麻烦,不便于企业自身的发展,有了VPN之后,这种协商也毫无必要,真正达到了要连就连要断就断,可以实现灵活自如的扩展和延伸。 5. 安全的IP地址,由于VPN是加密的,VPN数据包在因特网中传输时因特网上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址,因此远程专用网络上指定的地址是受到保护的。1.3 课题背景随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。有人曾这样比喻互联网,互联网就像一片汪洋大海,接入互联网的每个用户就像是漂泊在这汪洋大海里的一叶孤舟,随时都会有触礁
19、和遭遇风暴的危险,但网络带给人类的诱惑是无法抗拒的,VPN虚拟网络的出现不仅解决了信息的安全传输还解决的企业与各个之间的通信。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境,计算机技术人员针对这一情况通过VPN技术为企业组建了以下三种网络:(1)为解决企事业单位通过公共通信网络将地域分散的分支机构“连接在一起”提出了内联网(intranet)概念。(2)为解决企事业单位通过公共通信网络与合作伙伴和有共同利益的外部内联网实现互通互联和信息交换而提出的外联网(Extrane
20、t)概念。(3)为解决企事业单位职员出差在外,通过公共通信网络共享内联网资源而提出的远程接入(Remote access)概念。中小型企业如果自己购买VPN设备,财务成本会比较高,而且一般中小型企业的资金能力有限,但VPN技术最显著的一个特点就是节约成本,这种网络没有自己所有权的网络设备和通信线缆,是通过租入或临时租用的公共通信设备设施中的某一部分供自己完成业务并保证了信息的安全性,所以发展中小型企业VPN技术是最好的选择。1.4研究目标在本文的实例中呼和浩特的鸿骏电子有限公司在海拉尔开办分公司来发展业务,公司希望总部与分公司、总部与合作伙伴可以随时的进行安全的信息沟通,而外出办公人员可以访问
21、到企业内部关键数据,随时随地共享商业信息提高工作效率。我们根据VPN的虚拟技术在企业与客户、总部与分部以及外出人员之间建立了安全可靠的虚拟通道,并用运用密码算法对数据进行加密处理来保证传输信息的安全性,对数据进行完整性校验,为了保障信息在internet上传输的安全性,VPN采用了隧道、认证、存取控制、机密性、数据完整性等措施,解决了企业与客户、总部与分部以及外出人员之间传输的信息不被偷看、篡改、复制。在构建VPN虚拟局域网的过程中,着实遵循着方便实用、高效低成本、安全可靠等相关原则合理地规划出网络安全架构,对企业使用ISA Server VPN 安全方案提供一点小的见解。第2章 VPN技术及
22、其应用2.1 VPN概念VPN是英文virtual private network的缩写,这里专指在公共通信基础设施上构建的虚拟专用或私有网,可以被认为是一种公共网络中隔离出来的网络。VPN的隔离特性提供了某种的通信保密性和虚拟性。虽然VPN在本质上并不是完全独立的网络,它与真正网络的差别在于VPN以隔离方式通过共享公共通信基础设施,我们从通信角度将VPN定义为:“VPN是一种通信环境,在这一环境中,存取受到控制目的在于只许被确定为同一个共同体的内部同层连接,而VPN的构建则是通过对公共通信基础设施的通信介质进行某种逻辑分割来进行的,”同时我们从组网技术角度将VPN定义为:“VPN通过共享通信
23、基础设施为用户提供制定的网络连接,这种定制的连接要求用户共享相同的安全性、优先级服务、可靠性和管理性策略,在共享的基础通信设施上采用隧道技术和特殊配置技术措施,仿真点到点的连接。”VPN它不同于传统的网络,VPN网络可以将逻辑上不能相通的网络之间建立一个安全的通讯通道,使得这两个网络之间的能够互相访问。VPN通过对数据进行完整性校验,运用密码算法对数据进行加密处理来保证其安全性。为了保障信息在internet上传输的安全性,VPN技术采用了隧道、认证、存取控制、机密性、数据完整性等措施,保证信息在传输中不被偷看、篡改、复制。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于
24、实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2.2 VPN技术的工作原理由于VPN体系的复杂性和融合性,VPN服务的成长速度将超越VPN产品,成为VPN发展的新动力。目前大部分的VPN市场份额仍由VPN产品销售体现,在未来的若干年里,VPN服务所占的市场份额将超过VPN产品,这也体现了信息安全服务成为竞争焦点的趋势。而VPN技术的原理是怎么样的呢,下面简单的介绍下。把因特网用作专用广域网,就要克服两个主要障碍。首先,网络经常使用多种协议如IPX和NetBEUI进行通信,但因特网只能处理IP流量。所以,VPN就需要提供一种方法,将非IP的协议
25、从一个网络传送到另一个网络。其次,网上传输的数据包以明文格式传输,因而,只要看得到因特网的流量,就能读取包内所含的数据。如果公司希望利用因特网传输重要的商业机密信息,这显然是一个问题。V PN克服这些障碍的办法就是采用了隧道技术:数据包不是公开在网上传输,而是首先进行加密以确保安全,然后由VPN封装成IP包的形式,通过隧道在网上传输,如图1-1所示。 图 1-1工作原理源网络的VPN隧道发起器与目标网络上的VPN隧道发起器进行通信。两者就加密方案达成一致,然后隧道发起器对包进行加密,确保安全(为了加强安全,应采用验证过程,以确保证方式)。最后VPN发起器将整个加密包封装成IP包。现在不管最初的
26、传输是何种协议,它都能在纯IP因特网上传输。又因为包进行了加密,所以谁也无法读取原始数据。在目标网络这头,VPN隧道终结器收到包后去掉IP信息,然后根据达成一致的加密方案对包进行解密,将随后获得的包发给远程接入服务器或本地路由器,他们在把隐藏的IPX包发到网络,最终发往相应目的地。2.3 VPN技术的应用领域利用VPN技术几乎可以解决所有利用公共通信网络进行通信的虚拟专用网络连接的问题。归纳起来有以下几种应用领域。2.3.1 远程访问为解决企事业单位职员出差在外,通过公共通信网络共享内联网资源而提出的远程接入(Remote access)概念。远程移动用户通过VPN技术可以在任何时间、任何地点
27、采用拨号、ISDN、DSL、移动IP和电缆技术与公司总部、公司内联网的VPN设备建立起隧道或密道信,实现访问连接,此时的远程用户终端设备上必须加装相应的VPN软件。推而广之,远程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程VPN访问。这种应用类型也叫Access VPN(或访问型VPN),这是基本的VPN应用类型。不难证明,其他类型的VPN都是Access VPN的组合、延伸和扩展。2.3.2组建内联网为解决企事业单位通过公共通信网络将地域分散的分支机构“连接在一起”提出了内联网(intranet)概念。一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信基础设施
28、上采用的隧道技术等VPN技术构成组织机构“内部”的虚拟专用网络,当其将公司所有权的VPN设备配置在各个公司网络与公共网络之间(即连接边界处)时,这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN组建的内联网也叫Intranet VPNIntranet VPN是解决内联网结构安全和连接安全、传输安全的主要方法。2.3.3组建外联网 为解决企事业单位通过公共通信网络与合作伙伴和有共同利益的外部内联网实现互通互联和信息交换而提出的外联网(Extranet)概念。使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来,根据安全策略
29、、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享,这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。这样组建的外联网也叫Extranet VPN。Extranet VPN是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网VPN的连接和传输中使用了加密技术,必须解决其中的密码分发、管理的一致性问题。第3章 vpn技术相关协议3.1 PPTP协议与L2TP 协议3.1.1 PPTP协议1996年,Microsoft和Ascend等在PPP 协议的基础上开发了PPTP ,它集成于Windows NT Server4.0中,Windows NT
30、 Workstation 和Windows 9.X也提供相应的客户端软件。PPP支持多种网络协议,可把IP 、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制,减少拥塞的可能性,避免由于包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密(MPPE: Microsoft Point-to- Point) 算法,可以选用较弱的40位密钥或强度较大的128位密钥。1996年Cisco提出L2F(Layer 2 Forwarding)隧道协议,它也支
31、持多协议,但其主要用于Cisco的路由器和拨号访问服务器。3.1.2 L2TP 协议1997年底Microsoft 和Cisco公司把PPTP 协议和L2F协议的优点结合在一起,形成了L2TP协议。L2TP支持多协议,利用公共网络封装PPP帧可以实现和企业原有非IP网的兼容。这类服务不单支持已注册的IP地址,也支持私有的IP地址,以及IPX、X2.5等多协议传输。这类新型的服务为拨号用户和ISP都代来了极大的好处。因为这类服务支持已耗费了大量资金建成的传统非IP网,或允许共同因特网巨大的网络基础设施。L2TP正是这类服务中的典型代表。L2TP将PPP分组进行隧道封装并在不同传输媒体上传输,使用
32、PPP可靠性发送(RFC 1663)实现数据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手协议CHAP来验证对方的身份,这使得现如今的异地办公更加方便和安全。3.2 Ipsec协议IPSec(IP Securty)是IETF IPSec 工作组为了在IP层提供通信安全而制定的一套协议族。它包括安全协议部分和密钥协商部分。安全协议部分定义了对通信的各种保护方;密钥协商部分定义了如何为安全协议商保护参数以及如何对通信实体的身份进行鉴别。IPSec安全协议给出了两种通信保护机制:封装安全载荷(Encapsuation Security Payload,以下简称ESP)和鉴别头(Aut
33、hentication Header,以下简称AH)。其中ESP机制为通信提供机密性、完整性保护;AH机制为通信提供完整性保护。ESP和AH机制都能为通信提供抗重放(Anti-replay)攻击。Ipsec协议使用IKE(Internet Key Exchange)协议实现安全协议自动安全参数协商。IKE协商的安全参数包括加密及鉴别密钥、通信的保护模式(隧道或传输模式)、密钥的生存期等。IKE将这些安全参数构成的安全参数背景称为安全关联(Security Association,以下简称SA)。IKE还负责这些安全参数的刷新。3.2.1 设计Ipsec的目的 以TCP/IP协议簇的设计初衷及其
34、使用环境基本未考虑互连技术造成的安全隐患和固有的漏洞,这是因为TCP/IP协议族的主要协议以及因特网原始主干均源于美国国防部的研究计划和项目应用,它运行于国防部内部封闭的网络。网络内的用户和设备在严密的管理的管理制度约束和高强度的安全观念培训机制下,其运行环境是安全的。美国军方将这一技术和主干网移交给社会使用时,已将原始主干网络分成无物理连接的两个部分。由于TCP/IP协议簇的运行环境发生了变化,再也没有人们想象中的那么安全。如今因特网中的攻击方式层出不穷,人们因为商业的、政治的或个人目的互相偷听、攻击和破坏。为了抵御这些攻击,IETF设计了IPSec 协议。IPSec 协议利用预享密钥、数字
35、签名或公钥加密实现强的通信实体身份相互鉴别,并对通信提供基于预享密钥的分组级源鉴别;IPSec 协议通过ESP机制为通信提供机密性保护;IPSec 协议通过AH和ESP机制能够为通信提供完整性保护;IPSec 协议通过AH和ESP机制能够为通信提供抗重放攻击。3.2.2 Ipsec的组成部分 安全体系结构 ESPA H 加密算法鉴别算法DOI 密钥管理协议 在协议协议族里,给出了IPSec 协议体系结构。体系结构定义了主机和网关应提供的各种保护功能。体系规定了IPSec 协议提供的两种安全保护机制:AH和ESP机制。ESP机制为通信提供机密性保护和完整性保护;AH机制对通信提供完整性保护。这两
36、种机制为IPSec协议族提供安全服务。通信双方何时应实现ESP或AH保护、保护什么样的通信、保护的强度如何以及何时应实现密钥协商等,都受到实施IPSec的安全策略的控制。IPSec协议通过安全策略的配置和实施表达用户对通信的保护意图,因此表示IPSec各组件的关系如图3-1所示。 图3-1 IPSec各组件的关系3.3 ESP机制 ESP机制主要是为通信提供机密性保护。依据建立安全关联时的选择,它也能为通信提供鉴别保护。因为ESP封装的载荷内容不同,可将ESP分为两种模式: 隧道模式:将整个IP分组封装到ESP载荷之中。传输模式:将上层协议部分封装到ESP载荷之中。3.3.1 ESP 封装技术
37、的隧道模式ESP机制通过将整个IP分组或上层协议部分(即传输层协议数据,如TCP、UDP或ICMP协议数据)封装到一个ESP载荷中,然后对此荷载进行相应的安全处理,如加密处理、鉴别处理等,实现对通信的机密性或完整性保护,对于隧道模式,有如下典型实现模型如图3-2所示。安全网关1安全网关2192.168.1.1192.168.1.254 11.143.1.159ESPESP11.168.41.60 192.168.2.254192.168.2.1192.168.1/24192.168.2/24主机11ESP隧道主机21.图3-2 ESP隧道模式即在ESP隧道的实施模型中,IPSec处理模块安装于
38、安全网关1和安全网关2,由它们来实现ESP处理。位于安全网关1和安全网关2之后的子网被认为是内部可信的,因此分别称其为网关1和网关2的保护子网。保护子网内的通信都是以文明方式进行。但当两个子网之间的分组流经网关1和网关2之间的公网时,将受到ESP机制的安全保护。这种模式有如下优点:保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护。子网内部可以使用私有IP地址,无须公有IP地址资源。子网内部的拓扑结构被保护。这种模式的缺点则为:增大了网关内部的处理负荷,容易形成通信瓶颈。对内部的诸多安全问题将不可控。3.3.2 ESP 封装技术的传输模式对于传输模式,有如下典型实现模型:如图3-3所
39、示。.11.143.1.111.143.1.254 122.13.2.59ESPESP63.168.2.111.143.1/24163.168.2/24主机11ESP隧道主机2127.168.3.60 63.168.2.254图3-3传输模式的ESP的实现其中,IPSec模块被安装于两端主机。主机11发送到主机21的IP分组将受到ESP提供的安全保护。这种模式有如下优点:即使内网中的其他用户,也不能理解传输于主机11和主机21之间的数据内容。分担了IPSec处理负荷,避免了IPSec处理的瓶颈问题。这种模式的缺点则为:由于每一个希望实现传输模式的主机都必须安装并实现ESP协议,因此不能实现端用
40、户的透明服务。不能使用私有IP地址,必须使用公有地址资源。暴露了子网内部拓扑。 事实上,IPSec的传输模式和隧道模式分别类似于其它隧道协议的自愿模式和强制模式,即一个基于用户的实施,一个是基于网络的实施。3.4 AH 机制AH机制主要用于为通信提供完整性服务。AH还能为通信提供抗重放攻击等服务。按照AH协议的规定,可以按AH封装的协议数据不同,将AH封装划分为两种模式:隧道模式和传输模式。3.4.1 AH 封装技术的隧道模式如果将AH头插入原IP分组的IP头之前,并在AH头之前插入新的IP头,则称此模型的封装为隧道封装;对于隧道模式,有如下典型实现模型:如图3-4所示。.192.168.1.
41、1192.168.1.254 22.13.2.59AHAH27.168.3.60 192.168.2.25192.168.2.1192.168.1/24192.168.2/24主机11AH隧道主机21安全网关2安全网关1 图 3-4 隧道模式的AH实现即在AH隧道的实施模型中,IPSec处理模块安装于安全路由器1和安全路由器2,由它们来实现AH处理。位于安全网关1和安全网关2之后的子网被认为是内部可信的,不会发生数据篡改等攻击行为,因此分别称其为路由器1和2的保护子网。这种模式有如下优点:子网内部的各主机可以借助安全网关的IPSec处理,可以透明地享受安全服务。子网内部可以使用私有IP地址,无
42、需申请公有地址资源。这种模式的缺点则为:IPSec主要集中在安全网关,增大了路由器的处理负荷,容易形成通信瓶颈。对内部的诸多安全问题将不可控。3.4.2 AH 封装技术的传输模式如将AH头插入IP头和路由扩展头之后,上层协议数据的端到端扩展头之前,则称该模式的封装为传输模式。对于传输模式的AH,有如下典型实现模型:如图 3-5所示。192.168.1.1192.168.1.254 22.13.2.59AHAH27.168.3.60 192.168.2.25192.168.2.1192.168.1/24192.168.2/24主机11AH隧道主机21安全网关2安全网关1.图3-5传输模式的AH实
43、现其中,IPSec模块被安装于两端主机。主机11发送到主机21的IP分组将受到AH提供的安全保护。这种模式有如下优点:即使内网中的其他用户,也不能篡改传输于主机11和主机21之间的数据内容。分担了IPSec处理负荷,避免了IPSec处理的瓶颈问题。这种模式的缺点则为:由于每一个希望实现传输模式的主机都必须安装并实现IPSec模块,因此不能实现端用户的透明服务。不能使用私有IP地址,必须使用公有地址资源。第4章 方案设计VPN的具体实现方案有很多,实际应用中应根据用户的需求、用户资源现状下来具体实施。本文中就以一个中小型企业为例,在实际环境中建立一个基于ISA的企业VPN网络以满足企业与客户、总
44、部与分部以及公司与外出人员之间的访问要求。4.1 需求分析随着公司的发展壮大,呼和浩特鸿骏电子有限公司在海拉尔开办了分公司来进一步发展业务,公司希望总部和分公司、总部与合作伙伴可以随时的进行安全的信息沟通,而外出办公人员可以访问到企业内部关键数据,随时随地共享商业信息,提高工作效率。一些大型跨国公司解决这个问题的方法,就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题,但是费用昂贵,对于中小企业来说是无法负担的,而VPN技术最大的优点就是节约成本,所以用VPN技术就解决了这个问题。根据该公司用户的需求,遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定采用ISA S
45、erver VPN安全方案,以ISA作为网络访问的安全控制。ISA Server集成了Windows server VPN服务,提供一个完善的防火墙和VPN解决方案。以ISA VPN作为连接Internet的安全网关,并使用双网卡,隔开内外网,增加网络安全性。ISA具备了基于策略的安全性,并且能够加速和管理对Internet的访问。防火墙能对数据包层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对于各种规模的企业来说,ISA Server 都可以增强网络安全性、贯彻一致的Internet使用策略、加速Internet 访问并实现员工工作效率最大化。方案的设计在ISA中可以使用以下三种协议来建立VPN连接: IPSEC隧道模式。 L2TP over IPSec模式。 PPTP。下表比较了这三种协议:如表4-1所示。 表4-1 ISA中三种协议对比表协议何时使用安全等级备注IPSec隧道模式连接到第三方的
