Linux系统下VPN技术分析毕业设计论文.docx
《Linux系统下VPN技术分析毕业设计论文.docx》由会员分享,可在线阅读,更多相关《Linux系统下VPN技术分析毕业设计论文.docx(55页珍藏版)》请在冰豆网上搜索。
Linux系统下VPN技术分析毕业设计论文
毕业设计(论文)
设计(论文)题目:
Linux系统下VPN技术分析
摘要
网络技术迅猛发展,网络的规模越来越大。
从局域网、广域网到全球最大的互联网,从封闭式的、自成体系的网络系统环境到开放式的网络系统环境,这一切无不说明人们在面临着网络技术迅猛发展的同时,也面临着对网络建设的挑战。
如何根据自身需求规划、设计网络系统,选择什么样的网络系统、拓扑结构、服务器、客户机、网络操作系统和数据库软件,由哪些供应商提供以上所说的网络系统的软硬件支持,如何开发网络上的应用系统,使其充分发挥网络系统的作用,取得应有的经济效益,这已不仅涉及简单的部件组合,而且需要技术和管理知识有机结合起来,其已成为当前网络建设中亟待解决的问题。
本文主要为深入分析IPsec协议体系,研究IPsec的工作原理和工作的流程。
并且将进一步研究IPsec在Linux环境中的实现机制,在linux的环境下搭建一个简单高效的基于IPsec的VPN连接。
【关键词】虚拟专用网VPNIPsecLinuxOpenSWAN安全证书
ABSTRACT
Withthedevelopmentofnetworktechnology,thescaleofnetworkismoreandmorelarge.TheadvancefromLAN,WANtotheworld'slargestInternetandtheimprovementoftheopennetworkenvironmentgiveusallkindsofknowledge,atthesametime,whichledpeoplefacedwithmorechallenge.Accordingtoourownrequirementsfornetwork,wechooseakindofnetworksystem,topologystructure,server,client,networkoperatingsystemanddatabasesoftware.Inaddition,whatkindofsuppliersalsoneedpeopletodecide.However,howtodevelopthenetworkapplicationsystem,makeitgivefullplaytotheroleofnetworksystem,obtaineconomicbenefitisnotonlysimplecombination,butalsoaorganiccombinationwithtechnologyandmanagementknowledgewhichbecomethecurrentproblemtobesolvedinnetworkconstruction.
ThispapermainlyanalysetheIPsecagreementsystem:
studytheworkprincipleandprocedureofIPsec;researchintherealizationmechanismofIPsecinLinux;buildasimpleandefficientconnectionofVPNbasedonIPsecinLinux.
【Keywords】VPNIpsecLinuxOpenSWANCertificate
前言
随着当今社会的不断发展,网络技术可谓无所不在,信息技术的高速发展和信息量的飞速膨胀,让诞生于70年代的Internet得以快速的发展。
到现在无论是公司还是个人办公,都越来越离不开网络,许多企业和政府机构纷纷将自己的局域网连入Internet,然而,扩大的网络环境也带来了一系列的问题:
随着企业的不断扩大,分支机构越来越多,合作伙伴越来越多,公司的移动用户也越来越多,企业希望能通过无处不在的因特网来实现方便快捷的访问企业的内部网络,更好的处理办公。
此时,经济又安全的企业间的互联的VPN便脱颖而出托。
它恰好能很好的适应企业的需求,又在安全性有很好的加密算法。
目前,国内企业内部的信息化程度都越来越高,很多公司都建有自己的局域网,并且部署了例如财务系统、ERP系统和OA系统等等,可是建设和维护一个提供远程基础数据传输所需的昂贵费用却使绝大多数企业望而却步,如果采用DDN(DigitalDataNetwork,数字数据网)专线方式,昂贵的网络运营费用将给企业带来沉重的思想负担。
它们只能通过远程拨号访问或简单的FTP传输等手段来维系不同地域信息系统之间数据交换的最低要求,这些都严重制约了信息系统整体效能的发挥。
虽然Internet为企业实现数据访问提供了方便,但它的高度开放性和松散管理结构也让企业面临严重的网络安全问题。
当下,企业迫切需要一种低成本的网络互联解决方案,以提供企业的异地分支机构和合作伙伴或移动用户与公司总部之间畅通、安全地交换或共享业务数据。
当代,网络技术迅猛发展,网络的规模也越来越大。
从最小的局域网、广域网到全球最大的互联网Internet,从封闭式的、自成体系的网络系统环境到开放式的网络系统环境,这一切无不都在说明人们在面临着网络技术迅猛发展的同时,也面临着一个对网络建设的挑战。
如何根据自身需求规划、设计网络系统,选择什么样的网络系统、拓扑结构、服务器、客户机、网络操作系统和数据库软件,由哪些供应商提供以上所说的网络系统的软硬件支持,如何开发网络上的应用系统,使其充分发挥网络系统的作用,取得最好的经济效益,这已不仅涉及简单的部件组合,而且需要技术和管理知识有机结合起来,已成为当前网络建设中亟待解决的问题。
DDN技术虽然可以实现企业间互连,但租金昂贵;ADSL宽带虽然价格低廉,但其只能应用于企业接入Internet,不能实现企业之间的互联。
由于安全意识淡薄,同时又缺乏应有的安全防范措施,使得公司网络被非法入侵、数据被篡改和窃听等事件时常发生。
虽然一些企业采取了一些相应的安全措施如建立自己的防火墙等,但是据报道有1/3的防火墙已被黑客攻破,许多安全措施也形同虚设。
为了防止非法用户进入内部网络对数据进行存取和窃听,必须认真解决验证对方身份、防止抵赖、确保数据的真实性和完整性等安全问题。
那么,有没有一种接入方式既可以访问Internet,又可以实现企业互连,同时接入费用低廉的方式呢?
为此,各种的网络安全技术和产品应运而生,其中VPN(VirtualPrivateNetwork,虚拟专用网)及其相关技术经过多年的实践、发展和完善,最终凭借它的方便性、安全性、标准化、成本低等优势脱颖而出,逐步成为现代企业实现网络跨地域安全互联的主要技术手段,是目前和今后一段时间内企业构建广域网络的发展趋势,据有关研究机构统计,企业通过使用VPN的费用能比专用网节省60%的资金。
虚拟专用网VPN技术早在1993年,欧洲虚拟专用网联盟(EVUA)就成立了,当时并力图在全欧洲范围内推广VPN。
Internet的迅猛发展为VPN提供了技术基础,为全球化的企业提供了VPN市场,这些都使得VPN开始遍布全世界。
特别是最近几年,VPN以迅猛发展之势博得了众多用户的喜爱和好评。
企业实际构建虚拟专用网络需要对一系列与互通和安全相关的问题作出决策,如VPN技术和产品的选用、用户认证、私有IP地址的分配和传送、NAT、流量控制等等。
本文的第一章对VPN(虚拟局域网)做了一些基本概念和实际应用中的介绍。
第二章深入研究和阐述了IPsec协议的体系结构,包括安全协议AH和ESP,IKE(密钥管理协议)和安全关联SA等。
第三章着重介绍了在Linux环境下部署基于IPsec的Net-to-Net的VPN,并详细的描述了IPsec的配置和安全证书的创建,配置和管理。
第一章VPN概述
第一节VPN的定义
VPN(VirtualPrivateNetwork),即虚拟专用网络。
“虚拟”的概念是相对传统私有网络的构建方式而言的,“虚拟”的含义是指在开放,不安全的网络环境中利用加密,认证等安全技术构建专用,安全的通信信道,从而模拟出一个“私用”的网络[1]。
VPN的定义为,VPN是一种运载加密或认证的可通信的网络,数据在VPN中的传输是安全的,起安全性由加密,认证等安全技术来保证,起传输这是通过开放的,非安全的公用网络。
VPN的作用:
企业通过公网实现跨地域的系统互联必然面临安全问题。
使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此需要在企业间建立安全的数据通道,该通道应具备以下的基本安全要素:
保证数据真实性;保证数据完整性;保证数据的机密性;提供动态密钥交换功能和集中安全管理服务;提供安全防护措施和访问控制等。
VPN即能有效解决这些安全问题。
一、VPN的优缺点分析
1、VPN的优缺点
几年前,很多人都认为VPN将逐渐被一些更高级的网络安全技术和价格更便宜的广域网取代,并将随着技术更新而逐渐淘汰。
但是,就目前市场调查来看,VPN技术强大的安全性,高可靠与低成本却一直在今天吸引着企业的目光,越来越多的企业开始重新评估VPN服务。
下面就VPN的优缺点进行简单的分析。
(1)、VPN的优点:
①节约成本
通过公用网来建立VPN与建立DDN、PSTN等专线方式相比,可以节省大量的费用开支。
VPN的最大吸引力是价格。
相对于传统的广域网而言,VPN能够在现有的公网中直接实现连接,比传统广域网连接远程用户更加便捷,且运营成本几乎为零。
有调查指出,如果VPN产品替代传统的组网方式,可以节约大量的运营成本,甚至会达到60%到80%。
这是由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费,故VPN价格更低廉。
②高安全性
VPN能够提高水平的安全,私用身份识别和加密协议避免数据受到劫持和修改,能够很好的阻止数据窃取和替他非授权用户接触这些数据,所以VPN能够保证内部机密数据的安全性,保证不同用户使用权限的可控性,能够保证用户信息交换的安全和可靠。
使用VPN之后,内部网络的重要数据可以在不被侵扰的情况下经过加密后进行路线传输并安全的存储。
同时还可以有效的对内部资源的使用者进行权限控制管理。
并记录所有的重要的通信过程
③高速
VPN能够让公司远程员工,合作伙伴或者其他授权的用户利用本地的高速宽带连接链接到企业的内部网络中。
④高灵活性
现代企业的组织结构和商业活动非常灵活,用户如果想与合作伙伴联网,如果没有VPN,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了VPN之后,只需双方配置安全连接信息即可;当不再需要联网时,也很方便拆除连接。
使用VPN可以保持企业工作人员在任何情况下都能够快速的和安全的完成信息内部的交换,并且能够根据企业不断发展的网络规模迅速的扩展自己。
⑤完全控制主动配置
企业可以利用公网或在网络内部自己组建管理VPN,由自己负责用户的查验、访问权、网络地址配置、安全性和网络变化管理等重要工作。
(2)、VPN的缺点:
①非直接可控
由于VPN是基于互联网的,企业不能直接控制它的可靠性和性能,并且多数企业需要依靠提供VPN服务的互联网服务提供商品保证服务运行
②建设难度高
目前,多数企业选择有互联网服务提供商负责运行维护的VPN,而非自己创建和部署。
主要原因是VPN网络建设需要高水平的理解网络和安全问题,需要认真的规划和配置。
③设备兼容性差
多数厂商不愿意或者不能遵守VPN技术标准,不同厂商的VPN产品和解决方案通常是不兼容的,混合使用不同厂商的产品可能会出现技术问题,由此可能导致增加企业成本。
④管理复杂
VPN组网以后,随着企业内部网络范围扩大了,管理问题会比较多。
第二节VPN分类
根据不同的需要,可以构建不同类型的VPN;不用的角度,VPN的分类也不相同;不用的厂商在销售VPN产品的时候,使用了不同的方式的分类;不同的ISP(InternetServiceProvider,互联网服务提供商)在开展VPN业务时推出了不同的分类方式,用户往往可以根据自己需求划分VPN[1]。
一、按接入方式分
这是用户和运营商最关心的VPN划分方式。
通常情况下,用户可能是通过专线或者拨号上网。
1、专线VPN
由运营商根据客户需求,专门建设一条用于VPN通信的通道。
他能一直在线,通过专线接入ISP边缘路由器的用户提供VPN解决方案
2、拨号VPN
是一种可以按照用户需求连接的VPN,它是利用拨号分组交换数据网PSTN或者综合业务数字网ISDN接入ISP的用户提供VPN业务,可以节省用户的长途费用。
二、按协议实现类型分
这是VPN厂商和ISP最关心的划分方式。
简单的说VPN是通过公共网络连接的两个端点,在它们之间建立一条逻辑连接。
逻辑连接可以是在OSI(Opensysteminterconnection,开放系统互连)模型的第二层或第三层建立,根据逻辑连接模型,将VPN技术划分成第二层VPN和第三层VPN
1、第二层VPN
运行在OSI参考模型的第二层,他们是点到点的,通过虚电路在场点之间建立连接性。
虚电路是网络中两个端点之间的逻辑端到端连接,可以跨越网络中的多个网络原件和物理网段。
ATM和帧中继是两种最流行的第二层VPN技术,另外包括PPTP(点到点隧道协议),L2F(第二层转发协议),L2TP(第二层隧道协议)等
2、第三层VPN
递送报头位于OSI模型的第三层,常见的第三层VPN包括通用路由封装GRE,多协议标签交换MPLS和互联网协议安全IPsecVPN。
第三层VPN可以以点到点的方式连接两个场点,如GRE和IPsec,也可以在众多场点之间建立全互连连接性,如MPLSVPN
1、通用理由封装(GenericRoutingEncapsulation,GRE)
最早是由Cisco开发的一种VPN技术,Cisco将GRE作为一种封装方法开发,是指一个协议的数据包可以封装进IP数据包中,并且将封装后的数据包通过IP骨干传输。
2、因特网协议安全(IPsec)
IPSec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,为目前流行的数据加密或认证的实现提供了数据结构,为这些算法的实现提供了统一的体系结构,这有利于数据安全方面的措施进一步发展和标准化。
同时,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。
3、多协议标签交换(Multi-ProtocolLabelSwaitching,MPLS)
指定了数据吧是如何通过一种有效的方式送到目的地的,是一种用户快速数据包交换和路由的体系。
相对于其它VPN技术,MPLSVPM的重要优点在于灵活性,他允许在VPN场点之间采用任何网络拓扑。
三、按VPN发起方式分
这是客户和ISP最关心的VPN分类.
1、客户发起
VPN服务提供的起始点和终止点是面向客户的,其内部技术构成,实施和管理对VPN客户可见。
需要客户和隧道服务器方案装隧道软件。
此时ISP不需要做支持建立隧道的任何工作。
经过对用户身份符和口令的验证,客户方和隧道服务器极易建立隧道。
双方也可以用加密的方式通信。
2、服务器发起
在公司中心部门或ISP处理安装VPN软件,客户无需安装任何特殊软件,其内部构成,实施和管理对VPN客户完全透明。
四、按VPN服务类型分
根据服务类型,VPN业务可以分为三类,接入VPN,内联网VPN和外联网VPN。
1、企业内部VPN(IntranetVPN)
在VPN技术出现以前,公司两异地机构的局域网想要互联一般会采用租用专线的方式,虽然该方式也采用隧道等技术,在一端将数据封装后通过专线传输到目的方解封装,然后发往最终目的地。
该方式也能提供传输的透明性,但是它与VPN技术在安全性上有根本的差异。
而且在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。
利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。
利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。
IntranetVPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
2、扩展的企业内部VPN(ExtranetVPN)
此种类型由于是不同公司的网络相互通信,所以要更多地考虑设备的互联,地址的协调,安全策略的协商等问题。
利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。
ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。
企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
3、远程访问VPN(AccessVPN)
与传统的远程访问网络相对应,在该方式下远端用户不再是如传统的远程网络访问那样,通过长途电话拨号到公司远程接入端口,而是拨号接入到用户本地的ISP,利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。
这种方式最适用于公司内部经常有流动人员远程办公的情况。
出差员工拨号接入到用户本地的ISP,就可以和公司的VPN网关建立私有的隧道连接,不但保证连接的安全,同时负担的电话费用大大降低。
五、按承载主体分
这是客户和ISP最关心的问题。
客户一般会自建VPN或外包VPN,这通常决定由建设VPN的成本,复杂度等多方面的决定。
1、自建VPN
企业在驻地安装VPN的客户端软件,在企业网边缘安装VPN网关软件,完全独立于运营商建设自己的VPN网络,运营商不需要做任何对VPN的支持工作。
选择之间VPN的客户,一般资金充足,拥有相当的专业技术力量,而且在安全性等方面对网络有特殊要求,需要自行控制VPN网络。
另外,用户和站点分布范围广,数量较多,对保密和可用性有一定要求,而对实时业务要求不高的中小企业,还有在内部网中止键VPN部门的子网企业,也需要自建VPN。
2、外包VPN
用户将VPN及远程外包给某一服务提供商,用户将得到安全策略管理,用户管理以及获得技术支持。
企业可以因此降低组建和运维VPN的费用,而运营商也可以因此开拓新的IP业务增值服务市场,获得更好的收益,并提高客户的保持力和忠诚度。
第三节VPN的连接方式
一、传输模式
传输模式连接用于在设备的真正源和目的IP地址之间传输数据时使用。
传输模式是使用封装方法,防火墙将UDP段封装在VPN的数据包或者段里面;VPN封装包含的信息将帮助目标设备确认被保护的信息;VPN信息接着会封装进一个IP数据包,而源设备是防火墙,目标设备是系统日志服务器。
二、隧道模式
传输模式的一种限制是它不具备很好的扩展性,因为保护是基于每一台设备的。
因此,当更多的设备需要在两个不用区域以安全的方式相互通信时,应该使用隧道模式。
在隧道模式中,实际的源和目标设备通常不保护流量,相反,某些中间设备用于保护这些流量。
代表其他设备提供VPN保护的设备通常被称呼为VPN网关
隧道模式的封装过程,区域的防火墙产生一个系统日志信息,将它封装到一个UDP中,并放入IP数据包;当VPN网关收到区域PIX的系统日志IP数据包后,VPN网关会封装整个带有VPN保护信息的数据包;接着,VPN网关将这个信息放入到另一个IP数据包中。
模式
协议
传输模式
隧道模式
AH
IP—AH—Data
IP—AH—IP—Data
ESP
IP—ESP—Data—ESP-T
IP—ESP—IP—Data—ESP-T
图1.1传输模式与隧道模式的报头区别
第四节VPN关键技术
一、隧道技术
隧道技术是VPN的基础技术,也是VPN的核心技术。
它类似于点地点连接技术,在公网建立一条数据隧道,让数据包通过这条隧道传输。
它将原始数据包进行加密,信息结构变换,协议封装和压缩后,嵌入另一种协议数据包后在网络中传输,使得只有被授权的用户才能对隧道中的数据包进行解释和处理,且隧道是专用的,从而保护远程用户或主机和专用网络之间的连接,
1、隧道技术在VPN的实现中具体有如下主要作用
①一个IP隧道可以调整任何形式的有效负载,是远程用户能够透明的拨号上网来访问企业的IP
②对倒能够利用封装技术同时调整多个用户或多个不同形式的有效负载。
③使用隧道技术访问企业网时,企业网不会向公网报告它的IP地址
④隧道技术允许接收者滤掉或报告个人的隧道连接。
二、加解密技术
加密技术是数据通信中一项较为成熟的技术。
利用加密技术保证传输数据的安全是VPN安全技术的核心。
为了适应VPN的工作特点,目前VPN均采用对称加密体制和公钥加密体制相结合的方法。
对称密钥使用同一把钥匙来对信息提供安全的保护。
因为同一吧要是用于建立和检查安全保护,该算法相对比较简单而且非常有效率。
因此,对称算法,工作速度非常快。
VPN目前常用的对称密码加密算法有:
DES,3DES,RC4,RC5等
公钥加密体制,或非对称加密体制,是通信各方使用的两个不同的密钥,私钥被源安全的收藏,永远都不会和其他的设备共享,公钥可以送给其他设备。
非对称密钥可以用于加密数据和执行验证功能。
当前常见的公钥体制有RSA
三、密钥管理技术
密钥管理技术的主要任务是如何实现在公用数据网上安全的传递密钥而不被窃取。
密钥管理包括,从密钥的产生到密钥的销毁的各个方面。
主要表现于管理体制,管理协议和密钥的产生,分配,更换和注入
密钥的分发有两种方法:
1通过手工配置的方式.2采用密钥交换协议动态分发,适合于复杂网络的情况,而且密钥可快速更新,可以显著提高VPN的应用的安全性。
四、身份认证技术
身份认证是为了保证操作者的物理身份与数字身份相对性,它是防护网络资产的第一道关口。
VPN需要解决的首要问题就是网络上用户与设备的身份认证,如果没有一个万无一失的身份认证方案,不管其他安全设施有多严密。
整个VPN功能都将失效。
身份认证技术可划分为非PKI身份认证和PKI体系身份认证
第五节本章小结
本章主要从VPN的定义,分类以及在架构VPN服务器中所用到的相关技术,做了详细的分析,这些在实际现实的架构中,为VPN的建设提供了实用的认知的指导,也为我在下面的建设VPN的时候,知道了会用到的相关技术,例如数据的加密,解密,证书的管理等。
本章中,在介绍VPN的优缺点时,我们理性的了解到,VPN在给我们巨大方便的同时,仍然存在某些的不足。
事务都具有两面性,在运用VPN时,如何来规避一些它自身的缺点,从而为用户带来更好的体验,是我们研究的方向。
章节中还具体分析了VPN在实际生活中的分类,我们可以通过自己或企业的具体需求,规划自己的VPN。
根据不同的VPN,也可以了解到,他们之间的区别,以及和IPS运营商之间的联系,这些都可以使在实际的建设中带来方便。
安全,是现在互联网上最值得大家关注的对象,VPN的安全也不例,VPN说到底,还是要在公网上传播数据的,如何保证这些数据的安全性,这
升级会员 