虚拟局域网(VPN)技术应用

虚拟局域网（VPN）技术应用4.1Intranet4.2VPN概述4.3VPN服务器配置4.4VPN技术4.5IPSec协议4.6VPN应用案例分析4.1Intranet2Intranet的组成典型的Intranet的组成如图3.1所示，主要由服务器群、远程访问系统和安全系统三大部分组成。图3.1Intranet的基本组成InternetE-mail服务器PSTN数据库服务器Web服务器图3.1Intranet的基本组成InternetE-mail服务器PSTN数据库服务器Web服务器3Intranet的结构Intranet采用了3层结构，即客户机、Web服务器和数据库服务器，如图3.2所示。图3.2Intranet的结构客户机Web服务器数据库服务器图3.2Intranet的结构客户机Web服务器数据库服务器当客户机有请求时，向Web服务器提出请求服务，当需要查询服务器时，Web通过某种机制请求数据库服务器的数据服务，然后，Web服务器把查询结果转变为HTML的网页返回浏览器显示出来。Web服务器与数据库服务器之间的接口是Intranet应用的关键，最开始采用公共网关接口（CGI）程序和应用程序接口（API）。近年来又推出了PHP、ASP等多种开发技术，对Intranet以及Internet提供了有力的支持。另外，生产数据库系统的公司还为本公司的数据库产品开发了专用的Web功能，如OracleWeb等，可以使Intranet的Web直接访问相应的数据库。6Extranet-Intranet的新发展

Extranet又称外连网，它往往被看做企业网的一部分，是现有Intranet向外的延伸。它是一个使用公共通信设施和Internet技术的私有网，也是一个能够使其客户和其他相关企业（如银行、贸易合作伙伴、运输行业等）相连以完成共同目标的交互式合作网络。Extranet可以作为公用的Internet和专用的Intranet之间的桥梁，也可以被看做一个能被企业成员访问或与其他企业合作的企业Intranet的一部分。成功的Extranet技术应该是Internet、Intranet和Extranet三者的自然集成，使企业能够在Extranet、Intranet和Internet等环境中游刃有余。天津外轮理货公司GPRS无线网络解决方案4.2VPN概述1.VPN的概念VPN是VirtualPrivateNetwork的缩写，中文译为虚拟私有网络，指的是构建在Internet上，使用隧道及加密建立一个虚拟的、安全的、方便的及拥有自主权的私人数据网络。VPN虽然构建在公用数据网上，但是企业可以独立自主地管理和规划自己的网络，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输

4.2VPN概述

2.VPN的基本用途（1）通过Internet实现远程用户访问（2）通过Internet实现网络互连（3）连接企业内部网络计算机4.2VPN概述3.VPN的组网方式

AccessVPN（远程访问VPN）IntranetVPN（企业内部VPN）ExtranetVPN（扩展的企业内部VPN）4.2VPN概述（1）AccessVPN（客户端到网关VPN）4.2VPN概述（2）IntranetVPN（网关到网关VPN）4.2VPN概述（3）ExtranetVPN（网关到网关VPN）

4.3VPN服务器配置1.VPN服务器配置步骤1）“开始”→“程序”→“管理工具”→“路由和远程访问”，出现“路由和远程访问”窗口配置并启动路由和远程访问4.3VPN服务器配置启动路由与远程访问4.3VPN服务器配置2）右键单击窗口左边“树”中的“主机名（本地）”，打开配置向导在弹出菜单中选择“远程访问（拨号或VPN）”4.3VPN服务器配置远程访问（拨号或VPN）4.3VPN服务器配置3）指定VPN服务器的网络连接4.3VPN服务器配置4）指定客户IP地址分配方式4.3VPN服务器配置5）指定IP地址范围4.3VPN服务器配置6）对连接请求进行身份验证4.3VPN服务器配置7）完成最后配置4.3VPN服务器配置2.用户权限设置1）打开管理工具中的用户管理窗口

4.3VPN服务器配置2）选定各项，完成配置

4.3VPN服务器配置3.配置VPN访问客户机1）新建连接4.3VPN服务器配置2）选择网络连接类型4.3VPN服务器配置2）选择网络连接类型4.3VPN服务器配置3）连接名4.3VPN服务器配置4）输入VPN服务器的IP地址4.3VPN服务器配置5）不使用智能卡4.3VPN服务器配置6）可用连接4.3VPN服务器配置7）完成设置4.3VPN服务器配置4.VPN连接测试1）打开新建连接对话框，输入用户名和密码4.3VPN服务器配置2）开始连接，注册计算机4.3VPN服务器配置3）VPN连接成功

4.4VPN技术1.隧道技术（1）隧道技术的基本过程隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是OSI七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中，然后在目的局域网与公网的接口处将数据解封装，取出负载。

4.4VPN技术（2）隧道协议1）点到点隧道协议——PPTP协议2）第二层隧道协议——L2TP协议3）第三层隧道协议——IPSec协议4.4VPN技术2.安全技术VPN是在不安全的Internet中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。IPSec采用端-对-端加密模式基本工作原理是：发送方在数据传输前对数据实施加密，在整个传输过程中，报文都是以密文方式传输，直到数据到达目的节点，才由接收端对其进行解密。IPSec对数据的加密以数据包而不是整个数据流为单位，这不仅更灵活，也有助于进一步提高IP数据包的安全性。通过提供强有力的加密保护，IPSec可以有效防范网络攻击，保证专用数据在公共网络环境下的安全性。一个完善的企业安全计划，应该是多种安全策略的有机组合，将IPSec与用户访问控制、边界保护以及物理层保护相结合，可以为企业数据通信提供更高层次的纵深防护。4.5IPSec协议IPsec协议类型IPSec提供了两种安全机制：认证和加密。认证机制，使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制，通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。IPSec协议族，包含AuthenticationHeader（AH）协议、EncapsulatingSecurityPayload（ESP）协议和InternetKeyExchange（IKE）协议。IPsec协议类型AH协议，定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议，定义了加密和可选认证的应用方法，提供可靠性保证。在实际进行IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。IKE，用于密钥交换，用于在IPSec通信双方建立共享安全参数及验证过的密钥，以建立一种安全关联关系。（AH）协议结构AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列（可以将其当作数字签名，只是它不使用证书），此hash散列在整个数据包中计算，因此对数据的任何更改将致使散列无效--这样就提供了完整性保护。AH可以单独使用，也可以与ESP协议结合使用。AH报头插在原IP报头和传输层协议报头之间，见图一。（AH）协议结构图1AH报头（ESP）协议ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级AH”，因为它提供机密性并可防止篡改。ESP的加密服务是可选的，但如果启用加密，则也就同时选择了完整性检查和认证。ESP可以单独使用，也可以和AH结合使用。一般ESP不对整个数据包加密，而是只加密IP包的有效载荷部分，不包括IP头。因此，ESP不能保证IP报头不被篡改。ESP加密部分具体包括上层传输协议信息、数据和ESP报尾。但在端对端的隧道通信中，ESP需要对整个数据包加密。

IKE协议IKE协议，是在IPSec通信双方之间，建立起共享安全参数及验证过的密钥。IPSec的工作模式IPSec有两种模式：隧道模式和传输模式。在隧道模式中，整个IP数据报、IP报头和数据都封装在ESP报头中。在传输模式中，只有数据部分是封装，而IP报头则不封装即被传送。将IP数据报的IP协议头调整至数据报的左边，插入AH或ESP协议头，以及将数据报的上层部分附加在那些后面。这是对IPSec传输模式的典型描述。在隧道模式下，整个原数据包被当作有效载荷封装了起来，外面附上新的IP报头。其中“内部”IP报头（原IP报头）指定最终的信源和信宿地址，而“外部”IP报头（新IP报头）中包含的常常是做中间处理的安全网关地址。与传输模式不同，在隧道模式中，原IP地址被当作有效载荷的一部分受到IPSec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。用IPSec抵御网络攻击网络攻击者要破译经过IPSec加密的数据，即使不是完全不可能，也是非常困难的。使用IPSec可以显著地减少或防范前面谈到过的几种网络攻击。1.Sniffer：Sniffer可以读取数据包中的任何信息，因此对抗Sniffer，最有效的方法就是对数据进行加密。IPSec的封装安全载荷ESP协议，通过对IP包进行加密来保证数据的私密性。用IPSec抵御网络攻击2.数据篡改：IPSec用密钥为每个IP包生成一个数字检查和，该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改，都会改变检查和，从而可以让接收方得知包在传输过程中遭到了修改。3.身份欺骗，盗用口令，应用层攻击：IPSec的身份交换和认证机制不会暴露任何信息，不给攻击者有可趁之机，双向认证在通信系统之间建立信任关系，只有可信赖的系统才能彼此通信。用IPSec抵御网络攻击4.中间人攻击：IPSec结合双向认证和共享密钥，足以抵御中间人攻击。

5.拒绝服务攻击：IPSec使用IP包过滤法，依据IP地址范围、协议、甚至特定的协议端口号来决定哪些数据流需要受到保护，哪些数据流可以被允许通过，哪些需要拦截。IPSec保护的优点IPSec策略在ISO参考模型第三层即网络层上实施的安全保护，其范围几乎涵盖了TCP/IP协议族中所有IP协议和上层协议，如TCP、UDP、ICMP，Raw、甚至包括在网络层发送数据的客户自定义协议。为现有的应用系统和操作系统配置IPSec几乎无须做任何修改。所以说，所有使用IP协议进行数据传输的应用系统和服务都可以使用IPSec，而不必对这些应用系统和服务本身做任何修改。IPSec的缺点（1）IPSec在客户机/服务器模式下实现有些问题，在实际应用中，需要公钥来完成。（2）在动态分配IP地址时不太适合于IPSec。（3）除了TCP/IP协议外，IPSec不支持其它协议。（4）除了包过滤之外，它没有指定其他访问控制方法。（5）微软公司对IPSec的支持不够。VPN需求分析1.现状目前企业总部通过100M宽带接入方式接入Internet。公司在南京、苏州、徐州、连云港等地设有多个分支机构，通过ADSL、宽带或拨号方式接入Internet，分支机构需要实时将信息传送到企业总部，总部也需要将反馈的信息实时向分支机构下发。目前徐州、连云港两地的2台高性能服务器，对南京、苏州分支机构提供MAIL、WEB和数据库资源等服务。但总部作为连接的中心点，所有的数据都经过扬州总部进行分发。随着公司业务的迅速发展，各地市分支机构也相继多了起来，信息交互也越来越频繁，随着企业ERP系统的实施，重要的数据和信息在网络中传输也越来越多，安全性要求也越来越重要，目前仅仅依靠专线的组网模式已经越来越不适应某企业对信息传输平台的要求了。从经济角度考虑，电信提供的专线组网方式费用比较昂贵，由于该企业是一个大型的现代化企业，在省内大部分城市设立了多家分支机构，同时拥有多家紧密型的合作伙伴或分销客户网络，相关需要联网的网点数目比较多，分部地区比较广，信息交互比较频繁，每月的巨额通讯费用和专线租用费会给某企业带来很大的压力。4.6VPN应用案例分析VPN需求分析2.安全要求电信提供的传输平台没有经过加密处理，重要数据和信息均是以明文在网上传输，如果别有用心的人利用网络监听分析工具，极易篡改、窃取甚至破坏企业数据，给企业造成不可估量的损失；由于传输平台没有认证功能，企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏，都会对企业的信息和数据造成很大的威胁；由于传输平台没有访问控制和安全隔离的功能，给外部非法人员提供了入侵的机会，非法人员可以通过专用的黑客程序（此类工具在Internet上可以任意下载），或者盗取授权员工的访问权限，很容易进入企业系统内部。由于某企业分支机构和联网网点数目众多，知名度大，受攻击的几率相对较大，一旦通过计算机终端进入总部服务器，后果将不堪设想。3.管理要求该企业处于高速发展阶段，拥有的连锁网点和计算机终端较多，面临最紧迫的问题就是信息的汇总、连锁网点的信息交互以及计算机终端的集中管理。DDN、ADSL等组网方式由于本身的技术限制，不可能提供强大的管理平台，也不可能解决大规模的应用和管理问题。4.6VPN应用案例分析VPN需求分析4.经营要求该企业需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台，来满足企业信息频繁传输的需要，增加企业的工作效率，提高企业的服务质量，加快企业的信息化建设，适应企业的快速发展，提升企业的良好形象。目标实现办公自动化应用和内部WEB、数据库和MAIL服务，能实时地与全省各地市分支机构互联，建设覆盖全省的信息服务网络。解决企业联网问题，有效地降低企业的巨额通讯费用，解决“信息的共享和信息的安全问题”，使整个网络的互联性得到极大提高，使整个网络的安全性达