虛擬局域網(wǎng)(VPN)技術(shù)應(yīng)用

虛擬局域網(wǎng)（VPN）技術(shù)應(yīng)用4.1Intranet4.2VPN概述4.3VPN服務(wù)器配置4.4VPN技術(shù)4.5IPSec協(xié)議4.6VPN應(yīng)用案例分析4.1Intranet2Intranet的組成典型的Intranet的組成如圖3.1所示，主要由服務(wù)器群、遠程訪問系統(tǒng)和安全系統(tǒng)三大部分組成。圖3.1Intranet的基本組成InternetE-mail服務(wù)器PSTN數(shù)據(jù)庫服務(wù)器Web服務(wù)器圖3.1Intranet的基本組成InternetE-mail服務(wù)器PSTN數(shù)據(jù)庫服務(wù)器Web服務(wù)器3Intranet的結(jié)構(gòu)Intranet采用了3層結(jié)構(gòu)，即客戶機、Web服務(wù)器和數(shù)據(jù)庫服務(wù)器，如圖3.2所示。圖3.2Intranet的結(jié)構(gòu)客戶機Web服務(wù)器數(shù)據(jù)庫服務(wù)器圖3.2Intranet的結(jié)構(gòu)客戶機Web服務(wù)器數(shù)據(jù)庫服務(wù)器當(dāng)客戶機有請求時，向Web服務(wù)器提出請求服務(wù)，當(dāng)需要查詢服務(wù)器時，Web通過某種機制請求數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)服務(wù)，然后，Web服務(wù)器把查詢結(jié)果轉(zhuǎn)變?yōu)镠TML的網(wǎng)頁返回瀏覽器顯示出來。Web服務(wù)器與數(shù)據(jù)庫服務(wù)器之間的接口是Intranet應(yīng)用的關(guān)鍵，最開始采用公共網(wǎng)關(guān)接口（CGI）程序和應(yīng)用程序接口（API）。近年來又推出了PHP、ASP等多種開發(fā)技術(shù)，對Intranet以及Internet提供了有力的支持。另外，生產(chǎn)數(shù)據(jù)庫系統(tǒng)的公司還為本公司的數(shù)據(jù)庫產(chǎn)品開發(fā)了專用的Web功能，如OracleWeb等，可以使Intranet的Web直接訪問相應(yīng)的數(shù)據(jù)庫。6Extranet-Intranet的新發(fā)展

Extranet又稱外連網(wǎng)，它往往被看做企業(yè)網(wǎng)的一部分，是現(xiàn)有Intranet向外的延伸。它是一個使用公共通信設(shè)施和Internet技術(shù)的私有網(wǎng)，也是一個能夠使其客戶和其他相關(guān)企業(yè)（如銀行、貿(mào)易合作伙伴、運輸行業(yè)等）相連以完成共同目標(biāo)的交互式合作網(wǎng)絡(luò)。Extranet可以作為公用的Internet和專用的Intranet之間的橋梁，也可以被看做一個能被企業(yè)成員訪問或與其他企業(yè)合作的企業(yè)Intranet的一部分。成功的Extranet技術(shù)應(yīng)該是Internet、Intranet和Extranet三者的自然集成，使企業(yè)能夠在Extranet、Intranet和Internet等環(huán)境中游刃有余。天津外輪理貨公司GPRS無線網(wǎng)絡(luò)解決方案4.2VPN概述1.VPN的概念VPN是VirtualPrivateNetwork的縮寫，中文譯為虛擬私有網(wǎng)絡(luò)，指的是構(gòu)建在Internet上，使用隧道及加密建立一個虛擬的、安全的、方便的及擁有自主權(quán)的私人數(shù)據(jù)網(wǎng)絡(luò)。VPN雖然構(gòu)建在公用數(shù)據(jù)網(wǎng)上，但是企業(yè)可以獨立自主地管理和規(guī)劃自己的網(wǎng)絡(luò)，通過附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù)實現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實現(xiàn)對重要信息的安全傳輸

4.2VPN概述

2.VPN的基本用途（1）通過Internet實現(xiàn)遠程用戶訪問（2）通過Internet實現(xiàn)網(wǎng)絡(luò)互連（3）連接企業(yè)內(nèi)部網(wǎng)絡(luò)計算機4.2VPN概述3.VPN的組網(wǎng)方式

AccessVPN（遠程訪問VPN）IntranetVPN（企業(yè)內(nèi)部VPN）ExtranetVPN（擴展的企業(yè)內(nèi)部VPN）4.2VPN概述（1）AccessVPN（客戶端到網(wǎng)關(guān)VPN）4.2VPN概述（2）IntranetVPN（網(wǎng)關(guān)到網(wǎng)關(guān)VPN）4.2VPN概述（3）ExtranetVPN（網(wǎng)關(guān)到網(wǎng)關(guān)VPN）

4.3VPN服務(wù)器配置1.VPN服務(wù)器配置步驟1）“開始”→“程序”→“管理工具”→“路由和遠程訪問”，出現(xiàn)“路由和遠程訪問”窗口配置并啟動路由和遠程訪問4.3VPN服務(wù)器配置啟動路由與遠程訪問4.3VPN服務(wù)器配置2）右鍵單擊窗口左邊“樹”中的“主機名（本地）”，打開配置向?qū)г趶棾霾藛沃羞x擇“遠程訪問（撥號或VPN）”4.3VPN服務(wù)器配置遠程訪問（撥號或VPN）4.3VPN服務(wù)器配置3）指定VPN服務(wù)器的網(wǎng)絡(luò)連接4.3VPN服務(wù)器配置4）指定客戶IP地址分配方式4.3VPN服務(wù)器配置5）指定IP地址范圍4.3VPN服務(wù)器配置6）對連接請求進行身份驗證4.3VPN服務(wù)器配置7）完成最后配置4.3VPN服務(wù)器配置2.用戶權(quán)限設(shè)置1）打開管理工具中的用戶管理窗口

4.3VPN服務(wù)器配置2）選定各項，完成配置

4.3VPN服務(wù)器配置3.配置VPN訪問客戶機1）新建連接4.3VPN服務(wù)器配置2）選擇網(wǎng)絡(luò)連接類型4.3VPN服務(wù)器配置2）選擇網(wǎng)絡(luò)連接類型4.3VPN服務(wù)器配置3）連接名4.3VPN服務(wù)器配置4）輸入VPN服務(wù)器的IP地址4.3VPN服務(wù)器配置5）不使用智能卡4.3VPN服務(wù)器配置6）可用連接4.3VPN服務(wù)器配置7）完成設(shè)置4.3VPN服務(wù)器配置4.VPN連接測試1）打開新建連接對話框，輸入用戶名和密碼4.3VPN服務(wù)器配置2）開始連接，注冊計算機4.3VPN服務(wù)器配置3）VPN連接成功

4.4VPN技術(shù)1.隧道技術(shù)（1）隧道技術(shù)的基本過程隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)(可以是OSI七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù))作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，然后在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負(fù)載。

4.4VPN技術(shù)（2）隧道協(xié)議1）點到點隧道協(xié)議——PPTP協(xié)議2）第二層隧道協(xié)議——L2TP協(xié)議3）第三層隧道協(xié)議——IPSec協(xié)議4.4VPN技術(shù)2.安全技術(shù)VPN是在不安全的Internet中通信，通信的內(nèi)容可能涉及企業(yè)的機密數(shù)據(jù)，因此其安全性非常重要。VPN中的安全技術(shù)通常由加密、認(rèn)證及密鑰交換與管理組成。IPSec采用端-對-端加密模式基本工作原理是：發(fā)送方在數(shù)據(jù)傳輸前對數(shù)據(jù)實施加密，在整個傳輸過程中，報文都是以密文方式傳輸，直到數(shù)據(jù)到達目的節(jié)點，才由接收端對其進行解密。IPSec對數(shù)據(jù)的加密以數(shù)據(jù)包而不是整個數(shù)據(jù)流為單位，這不僅更靈活，也有助于進一步提高IP數(shù)據(jù)包的安全性。通過提供強有力的加密保護，IPSec可以有效防范網(wǎng)絡(luò)攻擊，保證專用數(shù)據(jù)在公共網(wǎng)絡(luò)環(huán)境下的安全性。一個完善的企業(yè)安全計劃，應(yīng)該是多種安全策略的有機組合，將IPSec與用戶訪問控制、邊界保護以及物理層保護相結(jié)合，可以為企業(yè)數(shù)據(jù)通信提供更高層次的縱深防護。4.5IPSec協(xié)議IPsec協(xié)議類型IPSec提供了兩種安全機制：認(rèn)證和加密。認(rèn)證機制，使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機制，通過對數(shù)據(jù)進行編碼來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。IPSec協(xié)議族，包含AuthenticationHeader（AH）協(xié)議、EncapsulatingSecurityPayload（ESP）協(xié)議和InternetKeyExchange（IKE）協(xié)議。IPsec協(xié)議類型AH協(xié)議，定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證；ESP協(xié)議，定義了加密和可選認(rèn)證的應(yīng)用方法，提供可靠性保證。在實際進行IP通信時，可以根據(jù)實際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認(rèn)證服務(wù)，不過，AH提供的認(rèn)證服務(wù)要強于ESP。IKE，用于密鑰交換，用于在IPSec通信雙方建立共享安全參數(shù)及驗證過的密鑰，以建立一種安全關(guān)聯(lián)關(guān)系。（AH）協(xié)議結(jié)構(gòu)AH協(xié)議為IP通信提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性和反重播保證，它能保護通信免受篡改，但不能防止竊聽，適合用于傳輸非機密數(shù)據(jù)。AH的工作原理是在每一個數(shù)據(jù)包上添加一個身份驗證報頭。此報頭包含一個帶密鑰的hash散列（可以將其當(dāng)作數(shù)字簽名，只是它不使用證書），此hash散列在整個數(shù)據(jù)包中計算，因此對數(shù)據(jù)的任何更改將致使散列無效--這樣就提供了完整性保護。AH可以單獨使用，也可以與ESP協(xié)議結(jié)合使用。AH報頭插在原IP報頭和傳輸層協(xié)議報頭之間，見圖一。（AH）協(xié)議結(jié)構(gòu)圖1AH報頭（ESP）協(xié)議ESP為IP數(shù)據(jù)包提供完整性檢查、認(rèn)證和加密，可以看作是“超級AH”，因為它提供機密性并可防止篡改。ESP的加密服務(wù)是可選的，但如果啟用加密，則也就同時選擇了完整性檢查和認(rèn)證。ESP可以單獨使用，也可以和AH結(jié)合使用。一般ESP不對整個數(shù)據(jù)包加密，而是只加密IP包的有效載荷部分，不包括IP頭。因此，ESP不能保證IP報頭不被篡改。ESP加密部分具體包括上層傳輸協(xié)議信息、數(shù)據(jù)和ESP報尾。但在端對端的隧道通信中，ESP需要對整個數(shù)據(jù)包加密。

IKE協(xié)議IKE協(xié)議，是在IPSec通信雙方之間，建立起共享安全參數(shù)及驗證過的密鑰。IPSec的工作模式IPSec有兩種模式：隧道模式和傳輸模式。在隧道模式中，整個IP數(shù)據(jù)報、IP報頭和數(shù)據(jù)都封裝在ESP報頭中。在傳輸模式中，只有數(shù)據(jù)部分是封裝，而IP報頭則不封裝即被傳送。將IP數(shù)據(jù)報的IP協(xié)議頭調(diào)整至數(shù)據(jù)報的左邊，插入AH或ESP協(xié)議頭，以及將數(shù)據(jù)報的上層部分附加在那些后面。這是對IPSec傳輸模式的典型描述。在隧道模式下，整個原數(shù)據(jù)包被當(dāng)作有效載荷封裝了起來，外面附上新的IP報頭。其中“內(nèi)部”IP報頭（原IP報頭）指定最終的信源和信宿地址，而“外部”IP報頭（新IP報頭）中包含的常常是做中間處理的安全網(wǎng)關(guān)地址。與傳輸模式不同，在隧道模式中，原IP地址被當(dāng)作有效載荷的一部分受到IPSec的安全保護，另外，通過對數(shù)據(jù)加密，還可以將數(shù)據(jù)包目的地址隱藏起來，這樣更有助于保護端對端隧道通信中數(shù)據(jù)的安全性。用IPSec抵御網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊者要破譯經(jīng)過IPSec加密的數(shù)據(jù)，即使不是完全不可能，也是非常困難的。使用IPSec可以顯著地減少或防范前面談到過的幾種網(wǎng)絡(luò)攻擊。1.Sniffer：Sniffer可以讀取數(shù)據(jù)包中的任何信息，因此對抗Sniffer，最有效的方法就是對數(shù)據(jù)進行加密。IPSec的封裝安全載荷ESP協(xié)議，通過對IP包進行加密來保證數(shù)據(jù)的私密性。用IPSec抵御網(wǎng)絡(luò)攻擊2.數(shù)據(jù)篡改：IPSec用密鑰為每個IP包生成一個數(shù)字檢查和，該密鑰為且僅為數(shù)據(jù)的發(fā)送方和接收方共享。對數(shù)據(jù)包的任何篡改，都會改變檢查和，從而可以讓接收方得知包在傳輸過程中遭到了修改。3.身份欺騙，盜用口令，應(yīng)用層攻擊：IPSec的身份交換和認(rèn)證機制不會暴露任何信息，不給攻擊者有可趁之機，雙向認(rèn)證在通信系統(tǒng)之間建立信任關(guān)系，只有可信賴的系統(tǒng)才能彼此通信。用IPSec抵御網(wǎng)絡(luò)攻擊4.中間人攻擊：IPSec結(jié)合雙向認(rèn)證和共享密鑰，足以抵御中間人攻擊。

5.拒絕服務(wù)攻擊：IPSec使用IP包過濾法，依據(jù)IP地址范圍、協(xié)議、甚至特定的協(xié)議端口號來決定哪些數(shù)據(jù)流需要受到保護，哪些數(shù)據(jù)流可以被允許通過，哪些需要攔截。IPSec保護的優(yōu)點IPSec策略在ISO參考模型第三層即網(wǎng)絡(luò)層上實施的安全保護，其范圍幾乎涵蓋了TCP/IP協(xié)議族中所有IP協(xié)議和上層協(xié)議，如TCP、UDP、ICMP，Raw、甚至包括在網(wǎng)絡(luò)層發(fā)送數(shù)據(jù)的客戶自定義協(xié)議。為現(xiàn)有的應(yīng)用系統(tǒng)和操作系統(tǒng)配置IPSec幾乎無須做任何修改。所以說，所有使用IP協(xié)議進行數(shù)據(jù)傳輸?shù)膽?yīng)用系統(tǒng)和服務(wù)都可以使用IPSec，而不必對這些應(yīng)用系統(tǒng)和服務(wù)本身做任何修改。IPSec的缺點（1）IPSec在客戶機/服務(wù)器模式下實現(xiàn)有些問題，在實際應(yīng)用中，需要公鑰來完成。（2）在動態(tài)分配IP地址時不太適合于IPSec。（3）除了TCP/IP協(xié)議外，IPSec不支持其它協(xié)議。（4）除了包過濾之外，它沒有指定其他訪問控制方法。（5）微軟公司對IPSec的支持不夠。VPN需求分析1.現(xiàn)狀目前企業(yè)總部通過100M寬帶接入方式接入Internet。公司在南京、蘇州、徐州、連云港等地設(shè)有多個分支機構(gòu)，通過ADSL、寬帶或撥號方式接入Internet，分支機構(gòu)需要實時將信息傳送到企業(yè)總部，總部也需要將反饋的信息實時向分支機構(gòu)下發(fā)。目前徐州、連云港兩地的2臺高性能服務(wù)器，對南京、蘇州分支機構(gòu)提供MAIL、WEB和數(shù)據(jù)庫資源等服務(wù)。但總部作為連接的中心點，所有的數(shù)據(jù)都經(jīng)過揚州總部進行分發(fā)。隨著公司業(yè)務(wù)的迅速發(fā)展，各地市分支機構(gòu)也相繼多了起來，信息交互也越來越頻繁，隨著企業(yè)ERP系統(tǒng)的實施，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中傳輸也越來越多，安全性要求也越來越重要，目前僅僅依靠專線的組網(wǎng)模式已經(jīng)越來越不適應(yīng)某企業(yè)對信息傳輸平臺的要求了。從經(jīng)濟角度考慮，電信提供的專線組網(wǎng)方式費用比較昂貴，由于該企業(yè)是一個大型的現(xiàn)代化企業(yè)，在省內(nèi)大部分城市設(shè)立了多家分支機構(gòu)，同時擁有多家緊密型的合作伙伴或分銷客戶網(wǎng)絡(luò)，相關(guān)需要聯(lián)網(wǎng)的網(wǎng)點數(shù)目比較多，分部地區(qū)比較廣，信息交互比較頻繁，每月的巨額通訊費用和專線租用費會給某企業(yè)帶來很大的壓力。4.6VPN應(yīng)用案例分析VPN需求分析2.安全要求電信提供的傳輸平臺沒有經(jīng)過加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人利用網(wǎng)絡(luò)監(jiān)聽分析工具，極易篡改、竊取甚至破壞企業(yè)數(shù)據(jù)，給企業(yè)造成不可估量的損失；由于傳輸平臺沒有認(rèn)證功能，企業(yè)內(nèi)部員工的越權(quán)訪問、誤操作、有意或無意的泄密、甚至是少數(shù)員工惡意的破壞，都會對企業(yè)的信息和數(shù)據(jù)造成很大的威脅；由于傳輸平臺沒有訪問控制和安全隔離的功能，給外部非法人員提供了入侵的機會，非法人員可以通過專用的黑客程序（此類工具在Internet上可以任意下載），或者盜取授權(quán)員工的訪問權(quán)限，很容易進入企業(yè)系統(tǒng)內(nèi)部。由于某企業(yè)分支機構(gòu)和聯(lián)網(wǎng)網(wǎng)點數(shù)目眾多，知名度大，受攻擊的幾率相對較大，一旦通過計算機終端進入總部服務(wù)器，后果將不堪設(shè)想。3.管理要求該企業(yè)處于高速發(fā)展階段，擁有的連鎖網(wǎng)點和計算機終端較多，面臨最緊迫的問題就是信息的匯總、連鎖網(wǎng)點的信息交互以及計算機終端的集中管理。DDN、ADSL等組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強大的管理平臺，也不可能解決大規(guī)模的應(yīng)用和管理問題。4.6VPN應(yīng)用案例分析VPN需求分析4.經(jīng)營要求該企業(yè)需要一個實時的、安全的、高速的、快捷的、穩(wěn)定的信息交互平臺，來滿足企業(yè)信息頻繁傳輸?shù)男枰?，增加企業(yè)的工作效率，提高企業(yè)的服務(wù)質(zhì)量，加快企業(yè)的信息化建設(shè)，適應(yīng)企業(yè)的快速發(fā)展，提升企業(yè)的良好形象。目標(biāo)實現(xiàn)辦公自動化應(yīng)用和內(nèi)部WEB、數(shù)據(jù)庫和MAIL服務(wù)，能實時地與全省各地市分支機構(gòu)互聯(lián)，建設(shè)覆蓋全省的信息服務(wù)網(wǎng)絡(luò)。解決企業(yè)聯(lián)網(wǎng)問題，有效地降低企業(yè)的巨額通訊費用，解決“信息的共享和信息的安全問題”，使整個網(wǎng)絡(luò)的互聯(lián)性得到極大提高，使整個網(wǎng)絡(luò)的安全性達