VPN在校园网中的应用研究Word格式文档下载.docx

1、需要注意的是，在传输模式中，如果VPN保护的数据包被窃听攻击所检查，攻击者将会知道通信中实际源和目标设备，且传输模式不具备很好的扩展性，不适合于多台设备在不同区域的通讯方式。如果你正在使用加密作为VPN的一种保护方法，攻击者将不能解密在VPN设备之间传输的实际的负荷。2.2 隧道模式在隧道模式中，实际的源和目标设备通常是不保护流量的，相反，某些中间设备（如VPN网关）用于保护这些流量，且隧道模式弥补了传输模式不具备很好扩展性这一不足。隧道模式的工作原理是，本地设备将IP数据包转发到本地VPN网关，当VPN网关接收到ip数据包后，VPN网关会封装这个带有VPN保护信息的数据包，可能是加密原始的整

2、个ip数据包，下一步，VPN网关将这个信息放入到另一个ip数据包中发送出去。此外隧道模式还能提供一些比传输模式更优越的特性，如扩展性、灵活性、隐藏了通讯、使用私有地址和使用现有的安全策略。3 VPN构成分类3.1 远程访问虚拟专用网（acces VPN）远程访问VPN通常使用隧道模式在低带宽或者带宽连接之间应用。因此远程访问连接，流量需要从源到某些中间设备之间被保护，它可以验证被保护的信息，真正的目标将会收到被保护的信息。这就要求，远程访问用户需建立一个IP数据包，这个数据包的源地址是内部地址，而目标地址是总部网络设备的地址，这个数据包的VPN信息被封装和保护，并且添加一个外部的IP头。在外部

3、的IP头中，源地址是远程访问用户的ISP分配的NIC地址，而目标地址是VPN网关。VPN网关接收到被保护的数据包，就会验证这个数据包，解密封装的数据包，并检测是否需要转发。3.2 企业内部虚拟专用网（Intranet VPN）Intranet VPN即企业总部网络与分支机构间网络通过公网来构建虚拟网，以解决内联网结构安全和连接安全、传输安全，并实现企业内部的资源共享、文件传输等，以便节省构建DDN等专线所带来的高额费用。同时，企业拥有与专用网络的相同政策，包括安全、服务质量（QoS）、可管理性和可靠性。3.3 扩展企业内部虚拟专用网（Extranet VPN）Extranet VPN 即公司和

4、合作伙伴等不同企业网络之间通过公共网络来构建的虚拟网。它是解决外联网结构安全和连接安全、传输安全的主要方法，可以少花费完成企业电子商务需求。Extranet VPN在拓扑结构上合IntranetVPN非常相似，只是需要在企业防火墙上加强基于策略的网络安全措施，使企业拥有与专用网络相同的策略，包括安全、Qos、可管理性和可靠性4 VPN应用优势VPN除了能有效地降低网络通讯费外，还具有安全保障性、服务质量保证（QoS）、可扩充性和灵活性以及可管理性等应用优势。（1） 安全保障:VPN的安全保障性通过提供身份认证、访问控制、数据加密及数据完整来保障其安全可靠性.（2） 服务质量保证（QoS）: V

5、PN服务质量保证（Qos）指包在一个或多个网络的传输过程中所表现的各种性能的具体描述，如丢包率、延迟等。它能一些网络技术（如IPSec、MPLS）的结合根据用户需求为用户提供不同等级的服务质量保证，为重要数据提供可靠的带宽。（3） 可扩充性和灵活性 :VPN的可扩充性和灵活性必须能够支持通过Intranet和Extranet的任何类型数据流，方便增加新的结点，支持多种类型的传输媒介，可满足同时传输语音、图像和数据等新应用对高质量传输及带宽增加的需求.（4） 可管理性:可管理性在VPN管理方面，VPN要求用户将管理功能从LAN无缝地延伸到公网，甚至是客户和合作伙伴。虽然可将一些次要的网络管理任务

6、交给服务供应商完成，用户需完成许多网络管理任务。VPN网管理的目标是:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN的管理主要包括安全管理、设备管理、配置管理、访间控制列表管理、QoS管理等.5 VPN的主要技术5.1 隧道技术隧道技术是VPN的基本技术,具有分组封装技术,且能模仿点对点连接技术,依靠ISP在公用网中建立自己专用的“隧道”,让数据包通过这条隧道实现传输。其基本过程是在内部网络与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的网络与公网的接口处将数据解封装,取出数据。被封装的数据包在公网上传递时所经过的逻辑路径称为“隧道”。5.2 加解

7、密技术VPN加解密技术是在发送数据之前对数据加密,接收数据时对数据进行解密处理,其算法主要包括:对称加密算法、不对称加密算法等,如DES、IDEA、RSA。对称加密算法,通信双方共享一个密钥，发送方使用该密钥将明文加密成密文，接收方使用相同的密钥将密文还原成明文，对称加密算法运算速度快。不对称加密算法使用两个不同的密钥,发送方用接收方的公开密钥加密消息,并且可以用发送方的秘密密钥对消息的某一部分或全部加密,进行数字签名。接收方用自己的秘密密钥解密消息,并使用发送方的公开密钥解密数字签名,验证发送方身份。5.3 密钥管理技术密钥管理技术的主要任务是如何在公网上安全地传递密钥而不被窃取。现行密钥管

8、理技术又分为SKIP与ISAKMP两种。SKIP是利用Diffie-Hellman的演算法则,在网络上传输密钥;ISAKMP双方都有两把密钥,分别用于公用、私用。5.4 使用者与设备身份认证技术VPN技术通常使用CHAP、MS-CHAP、EAP这三种设备验证方法：（a） CHAP。使用MD5来协商加密身份验证的安全形式,在响应时使用质询一响应机制和单向MD5散列。（b） MSCHAP同CHAP相似,对远程Windows工作站进行身份验证,在响应时使用质询一响应机制和单向加密。而且MSCHAP使用不同密匙，但不要求使用原文或可逆加密密码，能提供了相互身份验证和更强大的初始数据密钥。（c） EAP

9、可以增加对许多身份验证方案的支持,包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其它身份验证。能更好的满足其它安全设备的远程访问用户进行身份验证的需求，同时可以防止暴力攻击及密码猜测。6 VPN设计考虑（1） 被保护的流量与非保护的流量：我们建立VPN连接时首先你需要考虑它们之间发送的流量是否需要被保护，以及有没有必要保护。因此必须重新评估什么样的流量需要被保护。这就要求建立一个分离隧道的策略来保护被保护的流量。（2） 碎片VPN实施时，我们需要考虑由于性能开销而导致的碎片问题，这就要求检查VPN的实施来查看它给数据包增加的开销量，了解客户端设备原来正在使用的MTU大小，能动态或者手

10、动调整MTU大小来解决碎片故障和排除故障问题。（3） 应用程序的类型在VPN流量中，某些程序类型保护功能已经内置在协议里面并不需要保护，例如HTTPS和SSH。因此你需要考虑需要保护的应用程序类型，减少VPN设备的额外处理负担使得更合理的保护VPN流量保护。同时当你已经决定了什么样的流量需要被保护后，你需要决定的是怎样被保护，这就要求你对网络流量进行安全性策略定义，并且在处理开销和处理延迟之间寻求一个折衷。（4） 地址转换和防火墙 地址转换问题使用地址转换，地址转换设备可以将一个IP地址转换成另一个地址，而且可能会将一个端口转换成另外一个端口。我们将使用IPSec来解决这个问题， IPSec有

11、两种协议可以用来将数据通过VPN设备进行传输：验证头（AH）和封装安全负载协议（ESP）。这里我们将不讨论协议的实际细节及处理过程。 防火墙问题一个有状态防火墙会跟踪连接的状态，默认情况下，只允许外出连接的返回流量进入，但是拒绝从外面始发的连接。防火墙厂商必须对特殊类型的检查进行编码来处理这些情况。因此，并不是每一个防火墙厂商都能处理你想要使用的VPN实施方案。你需要审视想要使用的VPN实施方案，并决定对于VPN来说，是否地址转换或防火墙设备对它产生的问题。（5） 冗余另外VPN设计的一个重要的组成部分就是冗余。例如，图6.1中的星形拓扑网络，这个拓扑缺乏冗余性。如果中心路由器失效了，那么每个

12、站点都将失去与其他站点的连接。因此，你需要认真考虑你的网络，如果需要的话，实行一些有效的冗余的设计，如图6.2。图6.1 星形拓扑图（虚线代表一个VPN连接）图6.2星形拓扑冗余设计（虚线表示一个VPN连接）7 VPN实施技术下面我们来讨论下VPN常见的实施方法及其实施的优缺点，这些方法包括GRE、IPSec、PPTP、L2TP、MPLS、SSL。（ 1 ）GRE通用路由封装（GRE）由Cisco开发作为封装方法的一种VPN技术，目的是使得一个协议的数据包可以封装进IP数据包中，并且将封装后的数据包通过IP骨干传输。它是一个第三层具有封装多种协议的灵活性协议。但GRE也有两个缺陷：GRE只对基

13、于Cisco的IOS的路由工作；其次GRE缺少保护能力，即它不执行如身份验证、加密、以及数据包完整性检查。因此，GRE通常不能用做一个完整的VPN解决方案；但可以和其他解决方案结合在一起，例如IPSec，来产生一个极强大的、具有扩展性的VPN实施方案。（2） IPSec:IPSec是一个只支持TCP/IP协议的第三层开放协议标准。它被特别设计用来处理在非安全的网络上传输敏感的数据。IPSec能处理如数据机密性；数据完整性；数据验证等问题。IPSec通过加密算法来提供数据机密性，保护数据免受窃听攻击，它支持DES、3DES和AES等加密算法。数据完整性负责检验数据包的内容是否被损坏。这是通过使用

14、散列函数，如MD5和SHA来实现的。数据验证用于执行数据包和设备的验证。散列函数用于检验发送IPSec数据包的设备的身份。设备验证用于控制那一台远端设备允许简历到本地的设备IPSec的连接。它支持3中类型的设备验证：预共享密匙；RSA加密的随机数和RSA签名（数据证书）。对于远程访问连接，通常都会采用用户验证。（3） PPTP:点对点隧道协议（PPTP）是由微软开发的，目的是对基于窗口的系统提供一个VPN的解决方案。不像IPSec，它可以支持所有的VPN连接类型，这包括站点对站点和远程访问。PPTP开发目的是允许Windows PC客户端安全的访问网络接入服务器，。因此，PPTP主要是用于远程

15、访问协议，但是他确实支持站点到站点的连接。它实际上是两个标准的组合： 点对点协议（PPP）这个标准用于定义封装过程；PPTP将有效载荷PPP的数据包封装到一个IP数据包里，通过网络进行传输。 微软点对点加密（MPPE）这个标准用于对PPTP提供数据机密性（加密）它不像IPSec，只支持TCP/IP协议，PPTP支持多种协议：TCP/IP、IPX和NetBEUI。但是，它是一个半开放的标准，只能工作中一种微软的环境中，通常不能在一个混合厂商的网络环境中运行。（4 ） L2TP:L2TP（第2层隧道协议）是Cisco L2F和微软的PPTP的组合，将ppp通过公网进行隧道传输，提供数据机密性的服务

16、。L2TP支持多种第3层协议，包含有一个修改版的多机箱多链路PPP，允许客户端叠堆VPN网关，使得它看起来像一台虚拟的网络设备。L2TP使用MPPE来做保护，但是和PPTP一样，和IPSec保护机制相比能力较弱。因为这一点，它常使用IPSec来做传输保护，而同时提供Windows环境下可能需要通过PPTP才能得到的某些相同服务。（5 ） MPLS:多协议标签交换（MPLS）指定了数据包是如何通过一种有效的方式送到一个目的地的。MPLS VPN有时被称为MPLS的增强。MPLS电路通常被称为是一个VPN，它使用虚拟电路（VC）通过私网来仿真VPN的功能，并通过添加到数据里的MPLS标签中的标记信

17、息提供分离的功能。MPLS甚至可以在以太网骨干中提供这种功能。就是说，在MPLS网络中，你的流量和其他人的流量是分开的，因此，在运营网络中，你的流量可以被认为是“私有的”。但是MPLS不能解决运营商是否会窃听你的流量这个问题。（6 ） SSL:安全套接字层（SSL）是一种可以通过加密Web浏览器独立处理安全传输Web连接和事务。用户直接使用Web浏览器作为客户端软件，不需要安装特别的客户端软件。因此，SSL VPN是一种远程访问VPN的最佳解决方案。但是，因为SSL VPN是实施在应用层之上的，只有基于Web的应用程序（通过Web浏览器的）才可以被保护，所以具有一定的限制。但可以在SL VPN

18、的网关设备上写特殊的代码来处理其他应用程序，实现应用层以下的流量保护，得设备在网络中起到最佳应用。8 VPN在校园网中的应用目前校园网建设都会面临这几个常见的问题：（1）校园网规模扩建，建立专用网面临经济承受能力不允许；（2）校园网络管理IT人才缺失，致使网络管理和维护技术上不足；（3）校园网络信息安全面临被攻击隐患时有发生，校园网信息安全丞待解决。但是VPN技术应用于校园网中，就能有效解决校园网发展中所遇到的众多问题，首先VPN技术基于原有网络基础上，通过公网资源建立起来的，不需要搭建专线却能实现安全的网络连接，解决了建立专用网所需巨额经济问题。其次VPN技术能够利用外包业务的专业ISP的统

19、一管理来较好的整合资源为用户提供安全的服务，解决了校园网IT人员缺失和技术水平不足的问题。最关键的是VPN技术是基于安全基础之上使用隧道技术、身份验证、密钥管理技术和加解密技术等高效控制性的技术，使得校园网络免受非授权侵扰，为校园网信息安全提供了安全性保障。通过上文VPN技术实施方法的综合比较和性能分析，GRE不能有效解决校园网信息安全问题，而L2TP和PPTP一样不能很好的满足校园网高度要求信息安全的保障性，故也不能很好的解决校园网问题，IPSecVPN虽然能有效的解决了校园网信息安全问题，但是校园远程访问用户占校园网绝大部分资源，如果全部都使用IPSec客户端来建立连接，那么也会给广大用户

20、造成沉重的经济负担，同时也加大了校园技术和维护难度。因此如果远程用户采用无客户端的SSL技术，那么维护难度和经济压力也都会降低很多，因此，本文拟定了利用IPSec/SSL VPN一体化技术来建立校园，这样既能降低建网成本，又能实现系统的最优化。9 IPSec/SSL 一体化VPN技术原理IPSec VPN 需要用户必须安装特定的客户端软件，这需要专业技术人员进行操作。此外IPSec VPN不能透过NET防火墙。且IPSec VPN 不允许从公网计算机接入专网。SSL VPN不需要安装任何客户端软件，用户只需输入SSL服务器的URL，然后再输入用户名及密码，即可完成远程登录的操作。故SSL VP

21、N最适合学校远程访问接入。而Ipsec VPN 是在两个局域网之间通过Internet建立安全连接，保护的是点对点间的通讯，并不局限于web应用，还能构建局域网之间的虚拟专用网络，功能和应用的扩展更强。故Ipsec VPN适合校区间点对点连接。因此，这种集成的VPN解决方案充分发挥了Ipsec VPN和SSL VPN的各自优势，能更好的满足校园网的多种需求。10 IPSec/SSL实现过程那么，在校园网中部署Ipsec/SSL一体化VPN，它们又是如何工作的呢？10.1 IPSec实现过程IPSec技术原理可以表达为其连接的五个步骤：（1）IPSec对等体发起会话，触发IPSec感兴趣流量，并

22、在对等体中配置安全策略（2）IKE阶段1，IKE鉴别IPSec对等体并协商IKE安全关联（SA），为阶段中的IPSec安全关联（SA）协商建立安全通道。（3） IKE阶段2-IKE协商IPSec安全关联参数，并在对等体中建立相匹配的IPSec安全关联（SA）。（4）数据传输基于保存在安全关联数据库中的IPSec参数和密钥，在IPSec对等体间传送数据。（5）IPSec隧道终止-IPSec安全关联（SA）因被删除或超时而终止。简单点说就是：发起对等体会话协商安全关联（SA）构建安全通道协商安全关联参数传输数据隧道终止。10.2 SSL实现过程SSL协议是基于Web应用的安全协议，它指定了在应用程

23、序协议（如HTTP/Telnet和FTP等）和TCP/IP协议之间进行数据交换的安全机制，为连接提供数据加密、服务器认证以及可选的客户机认证。作为应用层协议，SSL使用公开密匙体制和X.509数字证书技术保护信息传输的机密性和完整性，但它不能保证信息的不可抵赖性。SSL安全协议主要提供三方面的服务：（1） 认证用户和服务器，使得它们能够确信数据将被发送到正确的客户服务器上；（2） 加密数据以隐藏被传输的数据；（3） 维护数据的完整性，确保数据在传输过程中不被改变。它是由SSL记录协议、握手协议、密匙更改协议和警告协议组成，。它们共同为应用访问连接提供认证，加密和防纂改功能。其协议栈如图10.1

24、：图10.1 SSL协议栈SSL协议的主要用途是在两个通信应用程序之间提供机密性和可靠性，这个过程通过三个协议来完成：握手协议、记录协议和警告协议。且在SSL通信中，服务器方使用443端口，而客户方的端口是人选的。11 IPSec/SSL 一体化VPN校园网方案下面本文将结合我校布局，拟定一个IPSec/SSL一体化VPN校园方案，进一步讨论VPN技术在校园网中的应用。11.1 我校网络布局特点我校分为二个校区：东校区、西校区。为此拟定的校园拓扑设计如下图11.1，目前适合我校具体情况的IPSec/SSL一体化的网络设备产品很多，通过综合考虑（如安全性、稳健性、可管理性和性价比等）可选用深信服

25、科技有限公司的SINFOR M5100-S VPN网关及其配套产品，该网关集成IPSec VPN、SSL VPN、防火墙功能。IPSec VPN功能可以降低成本实现和分校区的网间互联；而SSL VPN功能则最适合移动办公人员的远程安全接入。防火墙功能还可以有效保证学校网络的Internet入口的安全。图11.1校园网拓扑图11.2 IPSec/SSL VPN配置（一）配置中心校区SINFOR M5100-S VPN网关1 系统配置：将SINFOR M5100-S VPN硬件网关放置在中心校区的Internet出口处，配置其内外网接口的ip地址、子网掩码、外网接口的默认网关、DNS，线路类型选择

26、以太网。将需要被分校区和移动办公人员访问的各种应用服务器（财务系统、OA、WEB服务器）的网关指向SINFOR M5100-S VPN的内网接口。2 IPSec VPN配置在WebAgent设置中，输入“中心校区WAN口IP地址：4009”。针对中心校区需开发资源情况设定中心校区VPN内网服务设置，以便为各接入分校区分配相应权限（如对财务/OA/图书馆系统等）；为接入分校区分配合法的用户名密码等账户信息，可根据需要为每个账号分配不同的VPN权限，在启动ID鉴权的情况下需要把所有需接入中心校区的远程用户生成证书后传给中心网络管理员并分别绑定到对应的用户账户上；配置VPN内的QoS，为各种重要应用

27、分配更高的优先级别，以便在网络繁忙时为这些重要应用预留更高的带宽；3 SSL VPN配置在WebAgent设置中，不需要设置任何信息。用户直接在浏览器里面输入学校WAN口IP就可以访问SSL VPN。为移动接入分配合法的用户名、密码等账号信息，根据每个账户选定不同认证方式，如用户名密码、数字证书、短信认证、Dkey以及外部认证。为移动用户分配可用资源，包括Web资源和App资源。可通过修改“访问地址”来实现的Web资源定义，但有一定的局限性。 App资源几乎支持所有的C/S应用，包括Web、Emall和FTP。所以添加“资源”时，尽量使用App资源来添加，可视情况而定。（二）配置分校区SINF

28、OR M5100 VPN网关1 将SINFOR M5100 VPN硬件网关放置在分校区Internet出口处，配置内网接口的ip地址、子网掩码、输入外网接口的用户名、密码、勾选【自动拨号】，线路类型选择ADSL.2 将需要被中心校区访问的各种PC机的网关指向SINFOR M5100 VPN内网接口。3 在WebAgent设置中，输入“任何IP地址：4 在连接管理中，新增一条连接；在主WebAgent选项中填入“中心桥区WAN的IP地址：4009”；输入分配给分校区的用户名、密码；并为新连接命名，传输类型选择TCP，勾选【启用】选项。（三）配置移动办公人员浏览器1 使用SSL VP之前，可能需要对浏览器进行必要的设置步骤如下：打开IE中的【工具】菜单【Internet选项】， 在打开Internet选项中的【高级】选项卡，勾选【使用SSL2.0、SSL3、0和使用TLS1/0】选项，后点击【应用】。设置如图11.1所示：图11.2 Internet选项设置好IE浏览器之后，直接在正地址栏输入SSL VPN的登录页面地址来登录SSLVPN。但是倘若是第一次访问SSLVPN时，还需要安装一些“A