基于VPN技术的多校区网络安全问题Word文档格式.docx
《基于VPN技术的多校区网络安全问题Word文档格式.docx》由会员分享,可在线阅读,更多相关《基于VPN技术的多校区网络安全问题Word文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
VPN
绪论
(一)研究背景及意义
随着社会的发展和科技的进步,网络作为计算机与通信技术融合的产物,从刚刚出现到现在的大规模普及,已经越来越和人们的生活密不可分,可以说计算机网络已经和人们的日常生活息息相关。
校园网也成为了各大院校科研、办公及教学中必不可少的工具,成为了广大师生的得力助手。
通过建设统一的校园网络可以将不同校区之间的行政、财务、教学规划、后勤管理集中在一个系统内,有利于降低管理成本,而且可以减少不同校区之间科学设置和管理的重复,充分实现教学资源的共享。
但是,校园网在提供开放的和共享的资源的同时,也不可避免的存在这安全隐患:
(1)校区分散,受到外部攻击可能性增加;
(2)易受到内部攻击,且不易分辨
(3)网络设备协调不畅容易出现漏洞。
此外,学校在网络安全方面的制度不完善,缺乏完整统一的安全策略,缺乏完善的、切实可行的管理和技术规范也都会对校园网络安全产生负面影响。
VPN技术就是在这种形式下应运而生的,它使企业、学校、行政部门能够在公共网络上创建自己的专用网络。
但是从使用现状看出,校园网络安全非常重要,一旦出了网络安全问题,就会涉及到该网络中各个校区的工作。
因此,探讨基于VPN技术的多校区网络安全具有实际意义。
(二)本校校园网现状及存在的问题
XXX学校是一所师范性院校,前几年也架构了自己的校园网。
但是随着办学规模的逐步扩大,现在有多个校区,学校目前的网络架构已经无法满足多校区间网络连接的要求,在网络访问和资源共享上出现了许多的问题。
例如,各个校区间网络不能互访,不能及时的看到通知,不能查询成绩、资料;
老师校外备课、出差或者学术交流,无法进一步使用内部资源等问题。
针对这些需求,关键要解决的还是内外网之间如何顺利跨越的问题,以及如何保证其访问的安全性。
针对这些问题,借助虚拟专用网技术以及一些其他的安全策略可以比较有效的加以解决。
本文主要是基于VPN技术解决一下:
首先,使合法的校内用户在校外能够使用校内的资源,实现移动办公的远程办公的新模式,从而一定程度上提高工作效率。
其次,实现各个校区之间的互访,以及资源的共享并实现对远程用户实现分类管理。
第三,在虚拟专用网服务的基础上使用一些安全策略加以控制,实现资源共享中保证信息的安全性。
一、网络安全概述
(一)网络安全现状
网络安全是一门设计计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络的生命在于其安全性。
因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。
校园网络安全从本质上来说,就是校园网没设施安全和信息资源安全。
随着社会的发展,人们对网络安全又了更多新的认识。
校园网作为区域网的一种,由于用户群体的多样性,用户对网络安全的认识也有其广泛性。
广义上说,那些涉及信息保密性、信息完整性、信息真实性等方面的问题都可看做是网络安全问题。
不同的用户群体站在不同角度分析,网络安全的内容也会不尽相同。
但有一点是共同的,那就是如何保障合法用户的合法权益。
(二)网络安全存在的威胁
目前网络安全存在的威胁主要表现在:
1.非授权访问:
没有经过信息拥有者的统一,擅自使用他人网络或者计算机。
如有意避开系统访问控制机制,对网络设备及信息资源进行非正常使用,或扩大使用权限,越权访问信息等。
它主要有以下几种形式:
假冒合法身份、获取用户口令、非法进入网络系统、进行违规操作、访问未授权的数据操作。
2.信息泄露或丢失:
指重要数据或者保密信息在有意或无意中被泄露或丢失。
如“黑客”们利用电磁泄露或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,进而推测出有用信息,或对在网络中传输的数据包进行侦探,以获取如用户口令、账号等重要信息,有的非法用户通过各种渠道窃取他人敏感信息等。
3.破坏数据完整性:
以非法手段获得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的效果。
4.拒绝服务攻击:
不段对网络系统和服务器进行攻击,改变其正常的作业流程,执行无关程序使系统响应变慢甚至瘫痪,影响正常用户的使用,甚至是合法用户呗排斥而不能进入计算机网络系统或不能得到相应的服务。
5.IP欺骗攻击:
攻击者利用TCP/IP和操作系统中的某些缺陷来实施IP欺骗攻击,进而达到获得一个主机系统的控制权的目的,从而窃取系统中的重要信息或数据,或对系统进行破坏。
6.利用网络传播病毒:
通过网络传播计算机病毒,病毒一旦进入他人联网的计算机,造成的危害大大高于单机,网络病毒多数留有“后门”,黑客将利用这些“后门”进入你的计算机。
(三)网络安全包含的基本要素
1.机密性:
确保信息不暴漏给未授权的用户或组织,只有特定的接受者才能知道传送的是是什么数据。
2.完整性:
只有得到授权的人才能阅读和修改数据,并能判断出该数据是否已被篡改。
3.可用性:
得到授权的用户在需要时可访问数据,攻击者不能占用该资源而影响或阻碍授权用户的工作。
4.可控性:
可以控制授权范围内的信息访问权限,信息流向及使用方式。
5.可认证性:
能够确认接收到的数据就是所发送的数据,数据包在网络传输中没有被篡改,能够确定数据实际的发送者。
6.不可否认性:
即使发送方事后否认发送过某些数据,数据接收方也能证明这些数据时该发送方发送的。
(四)网络安全技术
为了确保网络数据及信息的安全,人们一直不断地研究有效的安全措施,网络安全技术涉及到两大方面:
信息交换安全技术和网络系统安全技术。
信息交换安全技术主要为了保证在网络环境中信息交换的安全,防止在信息传输过程中被非法窃取、篡改、重放和假冒等。
信息交换安全技术是通过数据机密性、数据完整性和用户身份真实性等安全机制来实现的,其关键技术是密码技术和安全协议。
主要技术方法有各种加密机、VPN。
安全服务器、CA认证系统等。
网络安全技术主要用于保证网络环境中各种应用系统和信息资源的安全,防止XX的非法登录系统,非法访问网络资源窃取信息或实施破坏。
网络系统安全技术主要侧重于攻击行为和特征、攻击行为检测和阻断、系统防护和灾难恢复等方面研究,主要技术有防火墙、访问控制、入侵检测、漏洞扫描、身份认证、灾难恢复和安全管理等。
密码技术是信息交换安全的基础,通过加密、消息摘要、数字签名及秘钥交换等技术实现了数据机密性、数据完整性、不可否认性和用户身份真实性等安全机制,从而保证了网络环境中信息的安全,密码技术可分为:
对称加密算法、非对称加密算法和单向函数等三类。
安全协议技术是为了实现信息交换的安全,通信各方必须采用和遵循相同的安全协议,安全协议定义了网络安全系统结构、安全机制、所支持的加密算法以及加密算法协商机制等。
按网络体系结构可分为:
数据链路层安全协议(如PPTP和L2TP)、网络层安全协议(如IPSec)、传输层安全协议(如SSL和TLS)、应用层安全协议(如SET、S-HTTP、S-MIME、PGP、SSH)。
防火墙技术是目前广泛使用的一种网络安全技术,通过在外网和内网之间的网络边界上能过设置防火墙来控制外部用户对内部资源的访问,值允许可信的外部用户经过防火墙访问内部网资源,从而达到保护内部网的目的。
网络检测技术用于检测和发现网络系统潜在的安全漏洞,并检测攻击者利用安全漏洞实施的入侵行为,并能及时报警。
网络检测技术可分为安全漏洞扫描技术和入侵检测技术两类。
(五)网络安全解决方案
网络安全没有具体的答案,所有的解决方案都是依赖于许多因素。
在制定安全方案时,必须首先了解具体的应用要求。
根据数据安全性要求,制定安全方案的安全措施。
首先要保证企业内部网的安全性和可用性,杜绝非法入侵者窃取内部网中的数据和对网络的破坏;
然后要保证企业总部内部网和分支机构内部网之间、本企业内部网和合作伙伴企业的内部网之间、外地出差员工和企业内部网之间通过公网传输的数据的机密性、完整性、和可靠性;
再次通过构筑防火墙和实施身份认证建立起安全的企业内部网;
在通过建虚拟专用网(VPN)来保护通过非信任网络(公网)传输企业私有保密信息和数据,这样对企业网络的信息起到安全保护作用。
三、虚拟专用网技术
(一)VPN概述
1.什么是VPN
虚拟专用网技术一个(VirtualPrivateNetwork,简称VPN),是在专用网业务基础之上发展出来的一种新型广域网技术。
虚拟专用网被定义为通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
虚拟专用网是对企业内网的一种扩展,虚拟专用网可以帮助实现远程用户、移动办公人员、企业的分支机构与公司的内网建立安全可信的连接,并且在数据的传输过程中要保证其安全性不被破坏。
虚拟专用网可用于解决日益增长的移动用户因特网接入的问题:
还可用于提供一条企业网站平台之间安全通信的虚拟专用线路,用于安全有效地连接到合作伙伴和其他合法用户的虚拟专用网。
2.VPN的体系结构及应用领域
通常,VPN体系结构可以分为三种类型:
站点到站点的内联网VPN、远程访问VPN以及外联网VPN。
(1)内联网VPN内联网VPN是通过公共网络将一个组织的各分支机构的局域网(LAN)连接而成的虚拟专用网络。
内联网VPN特别适用于数据传输通道的两端都可信的情况,比如公司的分布与总部之间的通信。
内联网VPN需重点加强两个VPN服务器(安全网关)之间加密和认证的安全性,以保护其不受外部入侵,同时保证公司的重要数据流经因特网是的安全性。
可把它作为公司网络的扩散。
(2)远程访问VPN远程访问VPN是远程移动用户通过本地呼叫ISP并通过Internet接入分公司内网而构成的虚拟专用网络。
在该种方式下,远程用户可以在任何时间、任何地点采用拨号、ISDN,DSL、移动IP和电缆技术与公司总部。
公司内联网的VPN设备建立起通信隧道或加密信道,实现访问连接。
此时的远程用户终端设备上必须加装相应的VPN软件。
这是基本的VPN应用类型。
(3)外联网VPN外联网VPN是在公共通信基础设施上,将合作伙伴或有共同利益的主机或网络与内联网连接起来,提供对特定共享子议案的安全外部访问服务的虚拟专用网。
外联网VPN的重点是保证数据在传输过程中不被修改,保护网络资源不受外部威胁,所以,外联网VPN是一个由加密、认证和访问控制功能组成的集成系统。
这种方式广泛应用于在业务机构和具有相互协作关系的内联网之间的访问。
由于VPN具有比一般专用网络更低廉的费用,且定制灵活有效、容易扩展等优点,VPN技术自问世以来,在万众瞩目下迅速发展,应用也越来越广泛。
目前,VPN的应用领域已经遍布各行各业。
如在IT行业中,用来连接企业的总部与各分支机构,实现企业内部的安全互访:
在教育行业中,用于远程教育的解决方案之中,用户足不出户就可以享受到全国知名教师的讲座;
在零售、连锁业中,用于分支机构与总部之间的数据传输等,随着VPN技术的进一步发展,VPN的应用也将越来越成熟,越来越广泛
(二)VPN隧道技术及协议
1.VPN隧道技术的概念
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。
隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送,新的包头提供了路由信息,从而使封装的负载数据能够通过互联网传递。
被封装的数据包在公共互联网络上传递时所经过的逻辑路径成为隧道。
一旦到达网络重点,数据将被解包并转发到最终目的地。
2.VPN隧道主要技术及优缺点
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。
按照开放系统互联(OSI)参考模型划分,隧道技术可以分为第二层、第三层以及高层隧道协议。
第二层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。
PPTP、L2TP和L2F(第二层转发)都属于第二层隧道协议,都是将数据封装在点对点协议(PPP)帧中,通过互联网络发送。
第三层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。
IPoverIP以及IPsec隧道模式都属于第三层隧道协议,都是将IP包封装在附加的IP包头中,通过IP网络传送。
高层隧道协议在传输层以上被封装,如SSL,MPLS协议等。
(1)PPTP/L2TP
PPTP(Point-to-PointTunnelingProtocol,点到点隧道协议)在RFC2637中定义,是在PPP协议的基础上开发的一种新的增强型安全协议。
它提供了在IP网上建立多协议的安全VPN的通信方式,远程用户能够通过任何支持PPTP的ISP访问企业的专用网络。
PPTP的加密算法采用微软公司的点对点加密算法,秘钥可以选用40位和128位两种。
L2TP是结合PPTP协议和L2F协议的优点而推出的二层隧道协议。
L2TP协议继承了PPTP协议的封装和传输机制。
同时L2TP协议在通信的两端采用挑战-握手协议CHAP来验证对方的身份。
L2TP可以实现和企业原有非IP网的兼容,现有网络的传输通道可以调整成为单一信道,得到很多大公司的认可。
优点:
PPTP/L2TP因为在微软的操作系统中得到集成,所以很多微软的用户可以无需适应直接使用,并且微软将其作为路由软件的一部分,在微软产品中的兼容性没有问题。
PPTP/L2TP也改善了网络性能,其通过减少丢包来减少数据的重传也加强了网络效率。
缺点:
PPTP和L2TP用IP帧将两台计算机的通道打开,通道内利用安全的数据包对不安全的数据包进行封装,有一定的安全隐患。
通道打开后,数据传输两端的用户的身份默认是安全的,数据传输过程中不再对用户身份证进行验证,对两个节点的信息传输不进行监视和控制,可能会带来一定得问题。
PPTP和L2TP的同时连接数有限,最多255个,所以这种协议较适合两个网络之间的互联,不能大规模实现手机用户和家庭单用户的互联。
(2)IPsec
IPsec协议属于第三层VPN协议标准,它支持信息通过IP公网的安全传输,是给IP和上层协议提供安全保障的IP协议扩展。
IPsec提供的安全服务包括基于无线连接的数据完整性、数据机密性、数据源认证、访问控制、抗重播和有限业务流机密性,这些安全服务是通过认证头协议(AuthenticationHeader,AH)和封装安全协议(EncapsulatingSecurityPayload,ESP)这两个安全协议来实现的,同时,除安全协议外,还有一系列与IPsec相关的技术标准,如密钥管理和安全策略,加密和认证算法等。
IPsec协议实际是上一套协议族,而不是一个单个的协议。
具体的体系结构如图:
a.IPsec的模式
IPsec使用传输模式和隧道模式保护通信数据。
传输(transport)模式:
只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。
通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
定义了一个通用格式。
隧道(tunnel)模式:
用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。
通常,隧道模式应用在两个安全网关之间的通讯。
它定义了一套数据认证的标准协议。
协议在数据传输过程中会检查数据包的完整性,保证数据传输过程不被截获更改,而且支持的加密算法很多,在多个防火墙或者服务器之间应用较为安全。
IPsec在客户机/服务器模式下实现有一些问题。
IPsec需要确定IP地址,无法有效支持DHCP,不大适合动态分配IP地址,也就是说问题容易出现在断点处,比较适合已知身份的局域网到局域网之间应用。
b.ESP协议
它提供IP层加密保证和验证数据源以对付网络上的监听。
因为AH虽然可以保护通信免受窜改,但并不对数据进行变形转换,数据对于黑客而言仍然是清晰的。
为了有效地保证数据传输安全,在IPv6中有另外一个报头ESP,进一步提供数据保密性并防止窜改。
c.AH协议
它用来向IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。
在IPv6中协议采用AH后,因为在主机端设置了一个基于算法独立交换的秘密钥匙,非法潜入的现象可得到有效防止,秘密钥匙由客户和服务商共同设置。
在传送每个数据包时,IPv6认证根据这个秘密钥匙和数据包产生一个检验项。
在数据接收端重新运行该检验项并进行比较,从而保证了对数据包来源的确认以及数据包不被非法修改。
d.加密和验证算法
加密和认证是实现信息安全的基本工具,他们是通过各种加密或认证书算法来实现的。
IPsec协议的加密算法主要用于ESP,目前的IPsec标准要求任何IPsec实现都必须支持DES。
另外,IPsec标准规定可使用3DES、RC5、IDEA、3IDEA、CAST和Blowfish。
随着计算机能力的增强和密码分析学的进步,DES已经逐渐变得不是很安全,因此,许多IPsec实现将支持3DES和AES(高级加密标准)。
e.密钥管理协议
Internet安全协会和秘钥管理协议(InternetSecurityAssociationandKeyManagementProtocol,ISAKMP),是IPsec体系结构中的一种主要协议。
该协议结合认证、密钥管理和安全连接等概念来建立网上的私有通信所需要的安全体系。
ISAKMP定义包括交换秘钥生成和认证数据的有效载荷。
这些个事为传输秘钥和认证数据提供了统一框架,二它们与秘钥产生技术,加密算法和认证机制相独立。
f.解释域
解释域(DOI)定义了有效载荷的格式、交换类型和命名有关安全信息的协定,例如,安全侧罗或有关密码的算法和模式。
用于IPsec的DOI确定与AH和ESP协议有关的所有参数,并且给他们分配唯一的标志。
(三)VPN的优势
1.节约成本
这是VPN网络技术的最为重要的一个优势,也是它取胜传统的专线网络的关键所在。
VPN可以降低租用线路的成本:
虚拟专用网可以用每条连接的四成到六成的成本对租用的线路进行相关的控制与管理。
虚拟专用网可以通过拨号访问外网数据,使单位能够减少比较昂贵的拨号费用。
另外,虚拟专用网还支持一个独立的广域网接口服务,从分支路由的互联、从本地向外提供比较高带宽的链路连接到拨号访问的server。
2.增强的安全性
目前VPN主要采用四项技术来保证数据通信安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&
Decryption)、密钥管理技术(KeyManagement)、身份认证技术(Authentication)。
在用户身份验证安全技术方面,VPN是通过使用点到点协议(PPP)用户级身份验证的方法来进行验证,这些验证方法包括:
密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP);
在数据加密和密钥管理方面VPN采用微软的点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据进行加密,并采用公、私密钥对的方法对密钥进行管理。
MPPE使Windows95、98和NT4.0终端可以从全球任何地方进行安全的通信。
MPPE加密确保了数据的安全传输,并具有最小的公共密钥开销。
以上的身份验证和加密手段由远程VPN服务器强制执行。
对于采用拨号方式建立VPN连接的情况下,VPN连接可以实现双重数据加密,使网络数据传输更安全。
3.容易扩展
如果企业想扩大VPN的容量和覆盖范围,企业需做的事情很少,而且能及时实现,因为这些工作都可以交由专业的NSP来负责,从而可以保证工程
升级会员 