论文VPN在企业中的设计与实现Word格式.docx
《论文VPN在企业中的设计与实现Word格式.docx》由会员分享,可在线阅读,更多相关《论文VPN在企业中的设计与实现Word格式.docx(35页珍藏版)》请在冰豆网上搜索。
“虚拟”主要指这种网络是一种逻辑上的网络。
VPN只为特定的企业或用户群体所专用。
从VPN用户角度看来,使用VPN与传统专网没有区别。
因此VPN技术就比各种普通的点对点的应用机制要复杂得多。
本论文设计从VPN的定义、分类与隧道协议及安全性方面展开,对VPN在金融行业(国信证券公司VPN系统)的应用进行了方案设计,其中论文主要涉及SSLVPN在企业应用中的优势及设计方案,并应用windows2003平台配置搭建了VPN系统。
关键词:
虚拟私用网,公用网络,遂道协议,SSLVPN,windows2003平台
ABSTRACT
VirtualPrivateNetwork(VPN)abbreviationtoorder,isarecentyearswiththewideapplicationofInternetquicklydevelopedakindofnewtechnologytorealizethepublicNetwork(mainlyisInternet)dedicatednetworkstobuildPrivate."
Virtual"
referstothenetworkisakindoflogicnetwork.VPNforspecificenterpriseorusergroupdedicated.FromVPNuserview,useVPNandtraditionalprivatenetworknodifference,thereforeVPNtechnologythanallkindsofordinarypoint-to-pointapplicationmechanismismuchmorecomplicated.
Thisthesisdesignfromthedefinition,classificationandVPNtunnelagreementandsafetyaspectsofVPNinfinancialindustry,securitiescompanyVPNsystem(nationsnegotiablecompany)application,includingtheschemedesignpapermainlyinvolvestheSSLVPNinenterpriseapplicationadvantagesanddesignschemeAndapplicationwindows2003platformbuilttheVPNsystemconfiguration.
Keyword:
Virtualprivatenetwork,publicnetwork,tunnelsagreement,theSSLVPN,windows2003platform
目 录
VPN在企业中的设计与实现
1VPN技术概述
1.1VPN产生背景及定义
在信息时代的今天,以Internet为主体的信息高速公路迅速铺开,其正以前所未有的速度和能力改变着人们的学习、工作及生活方式,我们正处于一个信息爆炸的时代。
网络技术迅猛发展,网络的规模越来越大。
如何根据自身需求规划、设计网络系统,选择什么样的网络系统、拓扑结构、服务器、客户机、网络操作系统和数据库软件,由哪些供应商提供以上所说的网络系统的软硬件支持,如何开发网络上的应用系统,使其充分发挥网络系统的作用,取得应有的经济效益,这已不仅涉及简单的部件组合,而且需要技术和管理知识有机结合起来,其已成为当前网络建设中亟待解决的问题。
如今,政府机关、企事业单位的局域网建设、业务软件应用等已经取得了很大的发展。
但是分布在广域网环境下的上、下级单位之间,总部和分支机构之间很多都还处于相互独立的状态,形成一个个信息孤岛。
很多企业内部分支机构和总部之间的信息交流还在一些传统、落后的手段。
要在广域网环境下安全、可靠、快捷地实现系统内部信息共享,实现内部信息的及时交流,就必须建立企业自己的私有网络。
公共网,包括互联网和下一级的帧中继和异步传输(ATM)的基础模式,它为企业提供了一种很吸引人的可能性:
虚拟专用网或者VPN。
VPN的本质在于利用互联网、帧中继或者ATM作为广域网(WAN)的中枢来补充或替换专用网上昂贵的长距离专线上网或者拨号上网。
由于可以依靠公共服务而不必为各自的专用网的运行负很大的责任,这将使企业受益匪浅。
不仅如此,节省资金也是其诱人的一方面。
从这些需求不难得出结论:
对于企业网建设,VPN是一个不容质疑的选择。
VPN定义虚拟专用网(VPN,VirtualPrivateNetwork)是一种利用公共网络来构建的私人专用网络技术,不是真的专用网络,但却能够实现专用网络的功能。
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
IETF草案理解基于IP的VPN为:
"
使用IP机制仿真出一个私有的广域网"
是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
1.2VPN的特点
虚拟性:
VPN有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。
专用性:
VPN只为特定的企业或用户群体所专用。
从VPN用户角度看来,使用VPN与传统专网没有区别。
VPN作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用;
另一方面,VPN提供足够安全性,确保VPN内部信息不受外部的侵扰。
复杂性:
VPN不是一种简单的高层业务。
该业务建立专网用户之间的网络互联,包括建立VPN内部的网络拓扑、路由计算、成员的加入与退出等,因此VPN技术就比各种普通的点对点的应用机制要复杂得多
降低费用:
首先远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;
其次企业可以节省购买和维护通讯设备的费用。
增强的安全性VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:
密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP);
并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密。
以上的身份验证和加密手段由远程VPN服务器强制执行。
对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。
网络协议支持:
VPN支持最常用的网络协议,基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。
这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。
IP地址安全:
因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。
因此远程专用网络上指定的地址是受到保护的。
2VPN分类与协议
2.1VPN分类
按平台分:
软件VPN;
WinOS的PPTP、L2PT
硬件VPN;
联想网御、ADT安达通、SANGFOR深信服、冰峰
按协议分:
国标;
IPSec、GRE、PPTP、L2TP
私有;
MPLS/VPN(两端对等体网关设备要出自同一厂商)
按保护层次分:
物理层;
E1、DDN、ISDN
数据链路层;
PPTP、L2TP、FR、VPLS、Trunk线路
网络层;
IPSec、GRE、MPLS/VPN
应用层;
SSL/TLS
按触发VPN方式分:
基于策略的VPN(创建流量策略,提交给VPN进程);
基于路由的VPN(一条细化路由将流量引入到VPN口)
其中常见的两种VPN-------IPSecVPN与SSLVPN的对比见下表:
IPSecVPN
SSLVPN
基于网络层,对上层应用透明
基于安全套接层,技术实力强的厂商可以提供对应用的全面支持
支持端对端(LANtoLAN)的加密,通过网络层上的一整套灵活的加密和隧道机制提供数据私密性
通过点到应用的保护,对每一个应用都可以设定安全策略
响应市场变化的速度,可在现有任何IP网上部署,需要安装、配置和调试客户端软件
无需手动安装任何VPN客户端软件
本地环路、网络边缘或远离存在加密数据较高暴光性的网络位子最适合使用
兼容性好,支持各种操作系统和终端(如PDA、SmartPhone等)
表格1IPSecVPN与SSLVPN的对比
2.2VPN隧道协议
2.2.1L2TP协议
VPN使用两种隧道协议:
点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
PPTP:
PPTP是PPP的扩展,它增加了一个新的安全等级,并且可以通过Internet进行多协议通信,它支持通过公共网络(如Internet)建立按需的、多协议的、虚拟专用网络。
PPTP可以建立隧道或将IP、IPX或NetBEUI协议封装在PPP数据包内,因此允许用户远程运行依赖特定网络协议的应用程序。
PPTP在基于TCP/IP协议的数据网络上创建VPN连接,实现从远程计算机到专用服务器的安全数据传输。
VPN服务器执行所有的安全检查和验证,并启用数据加密,使得在不安全的网络上发送信息变得更加安全。
尤其是使用EAP后,通过启用PPTP的VPN传输数据就象在企业的一个局域网内那样安全。
另外还可以使用PPTP建立专用LAN到LAN的网络。
L2TP:
L2TP是一个工业标准的Internet隧道协议,它和PPTP的功能大致相同。
L2TP也会压缩PPP的帧,从而压缩IP、IPX或NetBEUI协议,同样允许用户远程运行依赖特定网络协议的应用程序。
与PPTP不同的是,L2TP使用新的网际协议安全(IPSec)机制来进行身份验证和数据加密。
目前L2TP只支持通过IP网络建立隧道,不支持通过X.25、帧中继或ATM网络的本地隧道。
VPN用户:
指通过L2TP协议连入VPN的用户,通常是外地出差员工或办事机构。
L2TP访问集中器(LAC,L2TPAccessConcentrator):
VPN用户和LNS之间传递数据的设备,通常是当地ISP的接入设备,具有PPP端系统和L2TP协议处理能力。
LAC把从VPN用户处收到的信息包按照L