网络安全论文设计

.PAGE.呼伦贝尔学院计算机科学与技术学院本科生毕业论文(设计)题目：学生：学号：专业班级：指导教师：完成时间：..目录摘要3Abstract4第1章网络平安概述51.1网络平安的现状51.2VPN技术介绍61.3课题背景71.4研究目标7第2章VPN技术及其应用82.1VPN概念82.2VPN技术的工作原理82.3VPN技术的应用领域92.3.1远程访问102.3.2组建联网102.3.3组建外联网10第3章VPN技术与相关协议113.1PPTP协议与L2TP协议113.1.1PPTP协议113.1.2L2TP协议113.2Ipsec协议113.2.1设计Ipsec的目的123.2.2Ipsec的组成局部123.3ESP机制133.3.1ESP封装技术的隧道模式133.3.2ESP封装技术的传输模式143.4AH机制153.4.1AH封装技术的隧道模式153.4.2AH封装技术的传输模式16第4章方案设计164.1需求分析174.2设计方案要到达的目的184.3VPN组建方案网络拓扑图18第5章各局部VPN设备的配置195.1公司总部到分支机构的ISAVPN配置195.1.1总部ISAVPN配置205.1.2支部ISAVPN配置225.1.3VPN连接245.1.4连接测试255.2公司总部站点到移动用户端的VPN配置275.2.1总部ISAVPN配置285.2.2动用户端VPN配置295.2.3连接测试30总结31参考文献32致33摘要随着通信技术、微电子技术和计算机软件技术的迅猛开展，以计算机为根底的网络技术在开放系统互连模型和TCP/IP协议簇的规约下，异型计算机之间、异构网络之间互连的技术屏障已被完全打破，尤其是网络经济的开展，企业日益扩，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现出传统企业网的功能缺陷，于是企业便对于自身的网络建立提出了更高的需求，由此推进了信息技术的开展。如今从个人、家庭到企事业单位、政府以及军事部门都已离不开网络，迅速开展的网络不仅提高了工作效率还给人们带来了越来越多的利益，但网络给人们带来了方便的同时对每个用户的信息却受到了严重的威胁。针对这一问题计算机人员研发出VPN的一种虚拟局域网，它的出现解决了平安传输信息的这一问题。本文首先介绍了VPN的概念、应用前景、以及相关的技术与主要的平安协议，并通过一个小企业运用VPN的技术来构建自己的企业网和外联网的实例，来实现各个之间的信息通信，本文中包括各模块的工作原理、实现的思想、实现的细节以及最终的测试结果等，并对在实验中遇到的问题以及困难得到了解决。关键词VPN；加密；PPTP；L2TP；IpsecAbstractWiththedevelopmentofmunicationtechnology,microelectronicstechnologyandputersoftwaretechnologydevelopment,puterbasednetworktechnologyinOpenSystemInterconnectReferenceModelandTCP/IPprotocolsunderthestipulationsbetweenputers,special-shaped,heterogeneousnetworkinterconnectionbetweentechnologicalbarrierhasbeenbrokenpletely,especiallythedevelopmentofnetworkeconomy,businessexpansion,customerincreasingthedistributionofawiderangeofpartners,increasing,thispromptedthebenefitoftheenterpriseisgrowing,butalsoincreasinglyprotrudingshowsthetraditionalenterprisenetworkfunctionaldefects,thentheenterprisetoitsownnetworkconstructionraisedtallerrequirement,therebypromotingthedevelopmentoftheinformationtechnology.Nowfromindividuals,familiestoenterprises,governmentsandmilitarydepartmentshavebeeninseparablefromthenetwork,therapiddevelopmentofthenetworknotonlyimproveworkefficiencytobringpeoplemoreandmoreinterests,buttheInternetbringspeopleconveniencetoeachuser'sinformationhasbeenaseriousthreatto.InviewoftheproblemsappearedinrecentyearsaVpnvirtuallocalareanetwork,itappearstosolvethesecuretransmissionofinformationtothisproblem.Thispaperfirstintroducestheconcept,application,prospectofVPN,andtherelatedtechnologyandthemainsecurityprotocol,andthroughasmallenterprisestouseVPNtechnologytobuildtheirownintranetandextranetexamples,torealizetheinformationmunicationbetween,experimentsincludingtheworkingprinciplesofeachmodule,realizeideasthedetailsoftheimplementation,aswellasthefinaltestresult,andtheexperimentencounteredproblemsanddifficultieshavebeensolved.第1章网络平安概述1.1网络平安的现状网络的诞生极方便了人们的沟通和交流，信息网络更已深入到政府、军事、企业生产管理等诸多领域,其中存储、传输和处理的信息有很多是政府的重要决策、军事秘密、企业生产经营的商业信息等，然而自网络诞生之日起，网络平安就一直如影随形。1988年11月〔1〕计算机系统受病毒感染和破坏的情况相当严重。〔2〕电脑黑客方法活动已形成重要威胁。〔3〕信息根底设施面临网络平安的挑战。〔4〕信息系统在预测、反响、防和恢复能力方面存在许多薄弱环节。〔5〕传输信息的完整性、可用性、性得不到保证。计算机网络的平安与我们自己的利益息息相关，网络是动态变化的，新的Internet黑客站点、病毒、盗取每日剧增，所以一个平安的计算机网络系统必须采取强有力的网络平安策略，认真研究网络平安开展方向掌握最先进的技术，这样才能保证计算机网络系统平安、可靠地正常运行，才能把握住计算机网络平安的大门。目前国外有以下几种典型的网络平安技术：1.防火墙系统防火墙系统能增强机构部网络的平安性，加强网络间的访问控制，防止外部用户非法使用部网的资源，保护部网络的设备不被破坏，防止部网络的敏感数据被窃取。防火墙系统决定了哪些部效劳可以被外界访问、外界的哪些人员可以访问部的哪些效劳、以及哪些外部效劳可以被部人员访问。要使一个防火墙有效，所有来自和去往因特网的信息都必须经过防火墙，承受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。2.入侵检测系统入侵检测通过监控系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的平安缺陷对系统进展入侵的企图。它根据用户的历史行为，基于用户当前的操作，完成对攻击的决策并一一记录下攻击证据，为数据恢复与事故处理提供依据。目前主要有两类入侵检测系统：基于网络的和基于主机的。前者在连接过程中监视特定网段的数据流，查找每一数据包隐藏的恶意入侵，并对发现的入侵做出及时的响应；后者是检查某台主机系统日志中记录的未经授权的可疑行为，并及时做出响应。3.访问控制技术访问控制也是网络平安防和保护的主要技术，它的主要任务是保证网络资源不被非法使用和非法访问。入网访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够登录到效劳器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。4.虚拟专用网VPN技术VPN技术可以在远程用户、公司分支机构、商业合作伙伴与公司的部网之间建立可靠的平安连接，并保护数据的平安传输。与实际的点到点连接电路一样，VPN系统可被设计成通过Internet，提供平安的点到点(或端到端)的"隧道〞。一个VPN至少提供如下功能：〔1〕数据加密。〔2〕信息认证和身份认证。〔3〕访问权限控制。根据用户的需求，VPN可以用多种不同的方法实现。通常情况下，有基于防火墙的VPN、基于路由器的VPN、基于效劳器的VPN和专用的VPN设备等。企业经济的开展是推动社会开展的主要动力，所以企业之间的商业信息的平安就变得尤为重要，上述中VPN虚拟网络技术不仅解决了信息的平安传输还解决的企业与各个之间的通信，还可以为组织机构提供一个满足跨越公共通信网络建立平安、可靠和高效的网络平台的虚拟专网。1.2VPN技术介绍为适应全球经济一体化的格局与开展，利用IP协议和现有的Internet来建立企业的平安的专有网络，成为主要VPN开展趋势，VPN网络给用户所带来的好处主要表现在以下几个方面：节约本钱节约本钱是VPN网络技术的最为重要的一个优势，也是它取胜传统的专线网络的关键所在。据行业调查公司的研究报告显示拥有VPN的企业相比起采用传统租用专线的远程接入效劳器或Modem池和拨号线路的企业能够节省30%到70%的开销。增强的平安性目前VPN主要采用四项技术来保证数据通信平安，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、身份认证技术(Authentication)。网络协议支持VPN支持最常用的网络协议，这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN，这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。可随意的与合作伙伴联网在过去企业如果想与合作伙伴连网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，这样相当麻烦，不便于企业自身的开展，有了VPN之后，这种协商也毫无必要，真正到达了要连就连要断就断，可以实现灵活自如的扩展和延伸。平安的IP地址，由于VPN是加密的，VPN数据包在因特网中传输时因特网上的用户只看到公用的IP地址，看不到数据包包含的专有网络地址，因此远程专用网络上指定的地址是受到保护的。1.3课题背景随着信息时代的降临，企业的开展也日益呈现出产业多元化、构造分布化、管理信息化的特征。有人曾这样比喻互联网，互联网就像一片汪洋大海，接入互联网的每个用户就像是漂泊在这汪洋大海里的一叶孤舟，随时都会有触礁和遭遇风暴的危险，但网络带给人类的诱惑是无法抗拒的，VPN虚拟网络的出现不仅解决了信息的平安传输还解决的企业与各个之间的通信。计算机网络技术不断提升，信息管理围不断扩大，不管是企业部职能部门，还是企业外部的供给商、分支机构和外出人员，都需要同企业总部之间建立起一个快速、平安、稳定的网络通信环境，计算机技术人员针对这一情况通过VPN技术为企业组建了以下三种网络：〔1〕为解决企事业单位通过公共通信网络将地域分散的分支机构"连接在一起〞提出了联网〔intranet〕概念。〔2〕为解决企事业单位通过公共通信网络与合作伙伴和有共同利益的外部联网实现互通互联和信息交换而提出的外联网〔Extranet〕概念。〔3〕为解决企事业单位职员出差在外，通过公共通信网络共享联网资源而提出的远程接入〔Remoteaccess〕概念。中小型企业如果自己购置VPN设备，财务本钱会比拟高，而且一般中小型企业的资金能力有限，但VPN技术最显著的一个特点就是节约本钱，这种网络没有自己所有权的网络设备和通信线缆，是通过租入或临时租用的公共通信设备设施中的某一局部供自己完成业务并保证了信息的平安性，所以开展中小型企业VPN技术是最好的选择。1.4研究目标在本文的实例中呼和浩特的鸿骏电子在海拉尔开办分公司来开展业务，公司希望总部与分公司、总部与合作伙伴可以随时的进展平安的信息沟通，而外出办公人员可以访问到企业部关键数据，随时随地共享商业信息提高工作效率。我们根据VPN的虚拟技术在企业与客户、总部与分部以及外出人员之间建立了平安可靠的虚拟通道，并用运用密码算法对数据进展加密处理来保证传输信息的平安性，对数据进展完整性校验，为了保障信息在internet上传输的平安性，VPN采用了隧道、认证、存取控制、性、数据完整性等措施，解决了企业与客户、总部与分部以及外出人员之间传输的信息不被偷看、篡改、复制。在构建VPN虚拟局域网的过程中，着实遵循着方便实用、高效低本钱、平安可靠等相关原那么合理地规划出网络平安架构，对企业使用ISAServerVPN平安方案提供一点小的见解。第2章VPN技术及其应用2.1VPN概念VPN是英文virtualprivatenetwork的缩写，这里专指在公共通信根底设施上构建的虚拟专用或私有网，可以被认为是一种公共网络中隔离出来的网络。VPN的隔离特性提供了某种的通信性和虚拟性。虽然VPN在本质上并不是完全独立的网络，它与真正网络的差异在于VPN以隔离方式通过共享公共通信根底设施，我们从通信角度将VPN定义为："VPN是一种通信环境，在这一环境中，存取受到控制目的在于只许被确定为同一个共同体的部同层连接，而VPN的构建那么是通过对公共通信根底设施的通信介质进展某种逻辑分割来进展的，〞同时我们从组网技术角度将VPN定义为："VPN通过共享通信根底设施为用户提供制定的网络连接，这种定制的连接要求用户共享一样的平安性、优先级效劳、可靠性和管理性策略，在共享的根底通信设施上采用隧道技术和特殊配置技术措施，仿真点到点的连接。〞VPN它不同于传统的网络，VPN网络可以将逻辑上不能相通的网络之间建立一个平安的通讯通道，使得这两个网络之间的能够互相访问。VPN通过对数据进展完整性校验，运用密码算法对数据进展加密处理来保证其平安性。为了保障信息在internet上传输的平安性，VPN技术采用了隧道、认证、存取控制、性、数据完整性等措施，保证信息在传输中不被偷看、篡改、复制。VPN可用于不断增长的移动用户的全球因特网接入，以实现平安连接；可用于实现企业之间平安通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的平安外联网虚拟专用网。2.2VPN技术的工作原理由于VPN体系的复杂性和融合性，VPN效劳的成长速度将超越VPN产品，成为VPN开展的新动力。目前大局部的VPN市场份额仍由VPN产品销售表达，在未来的假设干年里，VPN效劳所占的市场份额将超过VPN产品，这也表达了信息平安效劳成为竞争焦点的趋势。而VPN技术的原理是怎么样的呢，下面简单的介绍下。把因特网用作专用广域网，就要克制两个主要障碍。首先，网络经常使用多种协议如IPX和NetBEUI进展通信，但因特网只能处理IP流量。所以，VPN就需要提供一种方法，将非IP的协议从一个网络传送到另一个网络。其次，网上传输的数据包以明文格式传输，因而，只要看得到因特网的流量，就能读取包所含的数据。如果公司希望利用因特网传输重要的商业信息，这显然是一个问题。VPN克制这些障碍的方法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进展加密以确保平安，然后由VPN封装成IP包的形式，通过隧道在网上传输，如图1-1所示。图SEQ图\*ARABIC1-1工作原理源网络的VPN隧道发起器与目标网络上的VPN隧道发起器进展通信。两者就加密方案达成一致，然后隧道发起器对包进展加密，确保平安〔为了加强平安，应采用验证过程，以确保证方式〕。最后VPN发起器将整个加密包封装成IP包。现在不管最初的传输是何种协议，它都能在纯IP因特网上传输。又因为包进展了加密，所以谁也无法读取原始数据。在目标网络这头，VPN隧道终结器收到包后去掉IP信息，然后根据达成一致的加密方案对包进展解密，将随后获得的包发给远程接入效劳器或本地路由器，他们在把隐藏的IPX包发到网络，最终发往相应目的地。2.3VPN技术的应用领域利用VPN技术几乎可以解决所有利用公共通信网络进展通信的虚拟专用网络连接的问题。归纳起来有以下几种应用领域。2.3.1远程访问为解决企事业单位职员出差在外，通过公共通信网络共享联网资源而提出的远程接入〔Remoteaccess〕概念。远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动IP和电缆技术与公司总部、公司联网的VPN设备建立起隧道或密道信，实现访问连接，此时的远程用户终端设备上必须加装相应的VPN软件。推而广之，远程用户可与任何一台主机或网络在一样策略下利用公共通信网络设施实现远程VPN访问。这种应用类型也叫AccessVPN(或访问型VPN)，这是根本的VPN应用类型。不难证明，其他类型的VPN都是AccessVPN的组合、延伸和扩展。2.3.2组建联网为解决企事业单位通过公共通信网络将地域分散的分支机构"连接在一起〞提出了联网〔intranet〕概念。一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信根底设施上采用的隧道技术等VPN技术构成组织机构"部〞的虚拟专用网络，当其将公司所有权的VPN设备配置在各个公司网络与公共网络之间〔即连接边界处〕时，这样的联网还具有管理上的自主可控、策略集中配置和分布式平安控制的平安特性。利用VPN组建的联网也叫IntranetVPNIntranetVPN是解决联网构造平安和连接平安、传输平安的主要方法。2.3.3组建外联网为解决企事业单位通过公共通信网络与合作伙伴和有共同利益的外部联网实现互通互联和信息交换而提出的外联网〔Extranet〕概念。使用虚拟专用网络技术在公共通信根底设施上将合作伙伴和有共同利益的主机或网络与联网连接起来，根据平安策略、资源共享约定规那么实施联网的特定主机和网络资源与外部特定的主机和网络资源相互共享，这在业务机构和具有相互协作关系的联网之间具有广泛的应用价值。这样组建的外联网也叫ExtranetVPN。ExtranetVPN是解决外联网构造平安和连接平安、传输平安的主要方法。假设外联网VPN的连接和传输中使用了加密技术，必须解决其中的密码分发、管理的一致性问题。第3章vpn技术相关协议3.1PPTP协议与L2TP协议3.1.1PPTP协议1996年，Microsoft和Ascend等在PPP协议的根底上开发了PPTP，它集成于WindowsNTServer4.0中，WindowsNTWorkstation和Windows9.X也提供相应的客户端软件。PPP支持多种网络协议，可把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进展传输。PPTP提供流量控制，减少拥塞的可能性，防止由于包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密(MPPE:MicrosoftPoint-to-Point)算法，可以选用较弱的40位密钥或强度较大的128位密钥。1996年Cisco提出L2F(Layer2Forwarding)隧道协议，它也支持多协议，但其主要用于Cisco的路由器和拨号访问效劳器。3.1.2L2TP协议1997年底Microsoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议。L2TP支持多协议，利用公共网络封装PPP帧可以实现和企业原有非IP网的兼容。这类效劳不单支持已注册的IP地址，也支持私有的IP地址，以及IPX、X2.5等多协议传输。这类新型的效劳为拨号用户和ISP都代来了极大的好处。因为这类效劳支持已消耗了大量资金建成的传统非IP网，或允许共同因特网巨大的网络根底设施。L2TP正是这类效劳中的典型代表。L2TP将PPP分组进展隧道封装并在不同传输媒体上传输，使用PPP可靠性发送(RFC1663)实现数据包的可靠发送。L2TP隧道在两端的VPN效劳器之间采用口令握手协议CHAP来验证对方的身份，这使得现如今的异地办公更加方便和平安。3.2Ipsec协议IPSec(IPSecurty)是IETFIPSec工作组为了在IP层提供通信平安而制定的一套协议族。它包括平安协议局部和密钥协商局部。平安协议局部定义了对通信的各种保护方；密钥协商局部定义了如何为平安协议商保护参数以及如何对通信实体的身份进展鉴别。IPSec平安协议给出了两种通信保护机制：封装平安载荷〔EncapsuationSecurityPayload,以下简称ESP〕和鉴别头〔AuthenticationHeader，以下简称AH〕。其中ESP机制为通信提供性、完整性保护；AH机制为通信提供完整性保护。ESP和AH机制都能为通信提供抗重放(Anti-replay)攻击。Ipsec协议使用IKE〔InternetKeyExchange〕协议实现平安协议自动平安参数协商。IKE协商的平安参数包括加密及鉴别密钥、通信的保护模式〔隧道或传输模式〕、密钥的生存期等。IKE将这些平安参数构成的平安参数背景称为平安关联〔SecurityAssociation,以下简称SA〕。IKE还负责这些平安参数的刷新。3.2.1设计Ipsec的目的以TCP/IP协议簇的设计初衷及其使用环境根本未考虑互连技术造成的平安隐患和固有的漏洞，这是因为TCP/IP协议族的主要协议以及因特网原始主干均源于美国国防部的研究方案和工程应用，它运行于国防部部封闭的网络。网络的用户和设备在严密的管理的管理制度约束和高强度的平安观念培训机制下，其运行环境是平安的。美国军方将这一技术和主干网移交给社会使用时，已将原始主干网络分成无物理连接的两个局部。由于TCP/IP协议簇的运行环境发生了变化，再也没有人们想象中的那么平安。如今因特网中的攻击方式层出不穷，人们因为商业的、政治的或个人目的互相偷听、攻击和破坏。为了抵御这些攻击，IETF设计了IPSec协议。IPSec协议利用预享密钥、数字签名或公钥加密实现强的通信实体身份相互鉴别，并对通信提供基于预享密钥的分组级源鉴别；IPSec协议通过ESP机制为通信提供性保护；IPSec协议通过AH和ESP机制能够为通信提供完整性保护；IPSec协议通过AH和ESP机制能够为通信提供抗重放攻击。3.2.2Ipsec的组成局部平安体系构造ESPAH加密算法鉴别算法DOI密钥管理协议在协议协议族里，给出了IPSec协议体系构造。体系构造定义了主机和网关应提供的各种保护功能。体系规定了IPSec协议提供的两种平安保护机制：AH和ESP机制。ESP机制为通信提供性保护和完整性保护；AH机制对通信提供完整性保护。这两种机制为IPSec协议族提供平安效劳。通信双方何时应实现ESP或AH保护、保护什么样的通信、保护的强度如何以及何时应实现密钥协商等，都受到实施IPSec的平安策略的控制。平安体系构造ESPAH加密算法鉴别算法DOI密钥管理协议图3-1IPSec各组件的关系3.3ESP机制ESP机制主要是为通信提供性保护。依据建立平安关联时的选择，它也能为通信提供鉴别保护。因为ESP封装的载荷容不同，可将ESP分为两种模式：•隧道模式：将整个IP分组封装到ESP载荷之中。•传输模式：将上层协议局部封装到ESP载荷之中。3.3.1ESP封装技术的隧道模式ESP机制通过将整个IP分组或上层协议局部〔即传输层协议数据，如TCP、UDP或ICMP协议数据)封装到一个ESP载荷中，然后对此荷载进展相应的平安处理，如加密处理、鉴别处理等，实现对通信的性或完整性保护，对于隧道模式，有如下典型实现模型如图3-2所示。平安网关1平安网关1平安网关25459ESPESP054192.168.1/24192.168.2/24主机11ESP隧道主机21图3-2ESP隧道模式即在ESP隧道的实施模型中，IPSec处理模块安装于平安网关1和平安网关2，由它们来实现ESP处理。位于平安网关1和平安网关2之后的子网被认为是部可信的，因此分别称其为网关1和网关2的保护子网。保护子网的通信都是以文明方式进展。但当两个子网之间的分组流经网关1和网关2之间的公网时，将受到ESP机制的平安保护。这种模式有如下优点：•保护子网中的所有用户都可以透明地享受由平安网关提供的平安保护。•子网部可以使用私有IP地址，无须公有IP地址资源。•子网部的拓扑构造被保护。这种模式的缺点那么为：•增大了网关部的处理负荷，容易形成通信瓶颈。•对部的诸多平安问题将不可控。3.3.2ESP封装技术的传输模式对于传输模式，有如下典型实现模型：如图3-3所示。549ESPESP11.143.1/24163.168.2/24主机11ESP隧道主机2054图3-3传输模式的ESP的实现其中，IPSec模块被安装于两端主机。主机11发送到主机21的IP分组将受到ESP提供的平安保护。这种模式有如下优点：•即使网中的其他用户，也不能理解传输于主机11和主机21之间的数据容。•分担了IPSec处理负荷，防止了IPSec处理的瓶颈问题。这种模式的缺点那么为：•由于每一个希望实现传输模式的主机都必须安装并实现ESP协议，因此不能实现端用户的透明效劳。•不能使用私有IP地址，必须使用公有地址资源。•暴露了子网部拓扑。事实上，IPSec的传输模式和隧道模式分别类似于其它隧道协议的自愿模式和强制模式，即一个基于用户的实施，一个是基于网络的实施。3.4AH机制AH机制主要用于为通信提供完整性效劳。AH还能为通信提供抗重放攻击等效劳。按照AH协议的规定，可以按AH封装的协议数据不同，将AH封装划分为两种模式：隧道模式和传输模式。3.4.1AH封装技术的隧道模式如果将AH头插入原IP分组的IP头之前，并在AH头之前插入新的IP头，那么称此模型的封装为隧道封装；对于隧道模式，有如下典型实现模型：如图3-4所示。549AHAH05192.168.1/24192.168.2/24主机11AH隧道主机21平安网关2平安网关1图3-4隧道模式的AH实现即在AH隧道的实施模型中，IPSec处理模块安装于平安路由器1和平安路由器2，由它们来实现AH处理。位于平安网关1和平安网关2之后的子网被认为是部可信的，不会发生数据篡改等攻击行为，因此分别称其为路由器1和2的保护子网。这种模式有如下优点：•子网部的各主机可以借助平安网关的IPSec处理，可以透明地享受平安效劳。•子网部可以使用私有IP地址，无需申请公有地址资源。这种模式的缺点那么为：•IPSec主要集中在平安网关，增大了路由器的处理负荷，容易形成通信瓶颈。•对部的诸多平安问题将不可控。3.4.2AH封装技术的传输模式如将AH头插入IP头和路由扩展头之后，上层协议数据的端到端扩展头之前，那么称该模式的封装为传输模式。对于传输模式的AH，有如下典型实现模型：如图3-5所示。549AHAH05192.168.1/24192.168.2/24主机11AH隧道主机21平安网关2平安网关1图3-5传输模式的AH实现其中，IPSec模块被安装于两端主机。主机11发送到主机21的IP分组将受到AH提供的平安保护。这种模式有如下优点：•即使网中的其他用户，也不能篡改传输于主机11和主机21之间的数据容。•分担了IPSec处理负荷，防止了IPSec处理的瓶颈问题。这种模式的缺点那么为：•由于每一个希望实现传输模式的主机都必须安装并实现IPSec模块，因此不能实现端用户的透明效劳。•不能使用私有IP地址，必须使用公有地址资源。第4章方案设计VPN的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状下来具体实施。本文中就以一个中小型企业为例，在实际环境中建立一个基于ISA的企业VPN网络以满足企业与客户、总部与分部以及公司与外出人员之间的访问要求。4.1需求分析随着公司的开展壮大，呼和浩特鸿骏电子在海拉尔开办了分公司来进一步开展业务，公司希望总部和分公司、总部与合作伙伴可以随时的进展平安的信息沟通，而外出办公人员可以访问到企业部关键数据，随时随地共享商业信息，提高工作效率。一些大型跨国公司解决这个问题的方法，就是在各个公司之间租用运营商的专用线路。这个方法虽然能解决问题，但是费用昂贵，对于中小企业来说是无法负担的，而VPN技术最大的优点就是节约本钱，所以用VPN技术就解决了这个问题。根据该公司用户的需求，遵循着方便实用、高效低本钱、平安可靠、网络架构弹性大等相关原那么决定采用ISAServerVPN平安方案，以ISA作为网络访问的平安控制。ISAServer集成了WindowsserverVPN效劳，提供一个完善的防火墙和VPN解决方案。以ISAVPN作为连接Internet的平安网关，并使用双网卡，隔开外网，增加网络平安性。ISA具备了基于策略的平安性，并且能够加速和管理对Internet的访问。防火墙能对数据包层、链路层和应用层进展数据过滤、对穿过防火墙的数据进展状态检查、对访问策略进展控制并对网络通信进展路由。对于各种规模的企业来说，ISAServer都可以增强网络平安性、贯彻一致的Internet使用策略、加速Internet访问并实现员工工作效率最大化。方案的设计在ISA中可以使用以下三种协议来建立VPN连接：•IPSEC隧道模式。•L2TPoverIPSec模式。•PPTP。下表比拟了这三种协议：如表4-1所示。表4-1ISA中三种协议比照表协议何时使用平安等级备注IPSec隧道模式连接到第三方的VPN效劳器高这是唯一一种可以连接到非微软VPN效劳器的方式L2TPoverIPSec连接到ISAServer2000、ISAServer2004或者WindowsVPN效劳器高使用RRAS比IPSec隧道模式更容易理解，但是要求远程VPN效劳器是ISAServer或者WindowsVPN效劳器。PPTP连接到ISAServer2000、ISAServer2004或者WindowsVPN高使用RRAS和L2TP具有同样的限制但是更容易配置，因为使用IPSec加密L2TP更认为更平安。三个站点都采用ISAVPN作为平安网关，且L2TPoverIPSec结合了L2TP和IPSec的优点，所以在这里采用L2TPoverIPSec作为VPN实施方案。4.2方案设计的目的〔1〕我们通过VPN技术可以使呼市总部和分公司之间以及呼市总部和合作伙伴之间透过VPN联机采用IPSec协定，确保传输数据的平安。〔2〕在外出差或想要连回总部或分公司的用户也可使用IPSec方式与企业联网。〔3〕对总部网实施上网的访问控制，通过VPN设备的访问控制策略，对访问的PC进展严格的访问控制。〔4〕对外网可以抵御黑客的入侵，起到Firewall作用，具有控制和限制的平安机制和措施，具备防火墙和抗攻击等功能。〔5〕部署灵活、维护方便、提供强大的管理功能，以减少系统的维护量以适应大规模组网需要。4.3方案网络拓扑图呼和浩特鸿骏电子在海拉尔开办了分公司来开展业务，在通信的过程中，为了保证数据的平安性总部与分支机构、总部与合作伙伴分别通过ISAVPN平安网关建立VPN隧道、外出办公人员与总部建立VPN隧道可以访问到企业部关键数据，随时随地共享商业信息，提高工作效率。如图4-2所示。图4-2网络拓扑图第5章各局部VPN设备的配置公司总部与分支机构之间和公司总部与合作伙伴之间的VPN通信，都是站点对站点的方式，只是权限设置不一样，公司总部与分支机构要实现的是公司的分支机构可以共享总部的资源，公司总部与合作伙伴要实现的是资源共享和互访。两者之间的差异是合作伙伴的VPN在接入上设置了总部可以访问的操作。因为三个站点都采用ISAVPN作为平安网关，所以以下站点对站点的VPN配置就以公司总部到分支机构为例，说明在ISA上实现VPN的具体操作。如图5-1所示。图图5-1实验模拟网络拓扑图5.1公司总部到分支机构的ISAVPN配置各主机的TCP/IP为：一、呼市总部外部网络：IP：DG：部网络：IP：67DG：None二、分部外部网络：IP：DG：部网络：IP:DG：None在总部和支部之间建立一个基于IPSec的站点到站点的VPN连接，由支部向总部进展请求拨号，具体步骤如下：〔1〕在总部ISA效劳器上建立远程站点。〔2〕建立此远程站点的网络规那么。〔3〕建立此远程站点的访问规那么。〔4〕在总部为远程站点的拨入建立用户。〔5〕在支部ISA效劳器上建立远程站点。〔6〕建立此远程站点的网络规那么。〔7〕建立此远程站点的访问规那么。〔8〕测试VPN连接。如图5-2所示。图5-2总部建立的远程站点图5.1.1总部ISAVPN配置1．在总部ISA效劳器上建立远程分支机构站点〔1〕翻开ISAServer2004控制台，点击虚拟专用网络，点击右边任务面板中的添加远程站点网络；〔2〕在欢送使用网络创立向导页，输入远程站点的名字Branch，点击下一步；〔3〕在VPN协议页，选择IPSec上的第二层隧道协议〔L2TP〕，点击下一步；〔4〕在远程站点网关页，输入远程VPN效劳器的名称或IP地址，如果输入名称，需确保可以正确解析，在这里输入点击下一步；〔5〕在网络地址页点击添加输入与此网卡关联IP地址围，在此输入和55，点击确定后，点击下一步继续；〔6〕在正在完成新建网络向导页，点击完成。〔7〕翻开VPN客户端，点击配置VPN客户端访问，在常规页中，选择启用VPN客户端访问，填入允许的最大VPN客户端数量20，在协议页，选择启用PPTP〔N〕和启用L2TP/IPSEC〔E〕点击确定。〔8〕点击选择身份验证方法，选择Microsoft加密的身份验证版本2〔MS-CHAPv2〕〔M〕和允许L2TP连接自定义IPSec策略〔L〕,输入预共享的密钥main04jsja。〔9〕点击定义地址分配，在地址分配页，选择静态地址池，点击添加，添加VPN连接后总部主机分配的给客户端的IP地址段，在这里输入-55，点击确定完成设置。2．在总部上建立此远程站点的网络规那么接下来，我们需要建立一条网络规那么，为远程站点和部网络间的访问定义路由关系。1〕右键点击配置下的网络，然后点击新建，选择网络规那么；2〕在新建网络规那么向导页，输入规那么名字，在此命名为InternaltoBranch，点击下一步;3〕在网络通讯源页，点击添加，选择网络目录下的部，点击下一步；4〕在网络通讯目标页，点击添加，选择网络目录下的Branch，点击下一步；5〕在网络关系页，选择路由，然后点击下一步；6〕在正在完成新建网络规那么向导页，点击完成；如图5-3所示。图5-3总部网络规那么图3、在总部上建立此远程站点的访问规那么现在，我们需要为远程站点和部网络间的互访建立访问规那么，1〕右键点击防火墙策略，选择新建，点击访问规那么；2〕在欢送使用新建访问规那么向导页，输入规那么名称，在此命名为maintobranch，点击下一步；3〕在规那么操作页，选择允许，点击下一步；4〕在协议页，选择所选的协议，然后添加HTTP和Ping，(这里可以再根据实际需要添加协议)点击下一步；5〕在访问规那么源页，点击添加，选择网络目录下的Branch和部，点击下一步；6〕在访问规那么目标页，点击添加，选择网络目录下的Branch和部，点击下一步；7〕在用户集页，承受默认的所有用户，点击下一步；在正在完成新建访问规那么向导页，点击完成；8〕最后，点击应用以保存修改和更新防火墙设置。

此时在警报里面有提示，需要重启ISA效劳器，所以我们需要重启ISA计算机。如图5-4所示。图5-4总部访问控制图4、在总部上为远程站点的拨入建立用户1〕在重启总部ISA效劳器后，以管理员身份登录，2〕在我的电脑上点击右键，选择管理，选择在本地用户和组里面，右击用户，选择新用户，这个VPN拨入用户的名字一定要和远程站点的名字一致，在此是main，输入密码main，选中用户不能修改密码和密码永不过期，取消勾选用户必须在下次登录时修改密码，点击创立；3〕击此用户，选择属性；在用户属性的拨入标签，选择允许访问，点击确定。如图5-5图5-5总部用户创立图此时，远程客户端拨入总部的用户账号就建好了。5.1.2支部ISAVPN配置1、在支部ISA效劳器上添加远程站点1〕翻开ISAServer2004控制台，点击虚拟专用网络，点击右边任务面板中的添加远程站点网络；2〕在欢送使用网络创立向导页，输入远程站点的名字Main，点击下一步；3〕在VPN协议页，选择IPSec上的第二层隧道协议〔L2TP〕，点击下一步；4〕在远程站点网关页，输入远程VPN效劳器的名称或IP地址，如果输入名称，需确保可以正确解析，在这里输入，点击下一步；5〕在远程身份验证页，输入用户名main，输入密码main，点击下一步继续；6〕在网络地址页，点击添加输入与此网卡关联的IP地址围，在此输入和55，点击确定后，点击下一步继续；7〕在正在完成新建网络向导页，点击完成。如图5-6图5-6支部建立的远程站点图2、建立此远程站点的网络规那么接下来，我们需要建立一条网络规那么，为远程站点和部网络间的访问定义路由关系。1〕右击配置下的网络，然后点击新建，选择网络规那么；2〕在新建网络规那么向导页，输入规那么名字，在此我命名为部->Main，点击下一步；3〕在网络通讯源页，点击添加，选择网络目录下的部，点击下一步；4〕在网络通讯目标页，点击添加，选择网络目录下的Main，点击下一步；5〕在网络关系页，选择路由，然后点击下一步；6〕在正在完成新建网络规那么向导页，点击完成；如图5-7图5-7支部的网络规那么图3、建立此远程站点的访问规那么在创立完远程站点和远程站点的网络规那么之后，我们需要为远程站点和部网络间的互访建立访问规那么，1〕右击防火墙策略，选择新建，点击访问规那么；2〕在欢送使用新建访问规那么向导页，输入规那么名称，在此我命名为branchtomain，点击下一步；3〕在规那么操作页，选择允许，点击下一步；4〕在协议页，选择所选的协议，然后添加HTTP和Ping，点击下一步；5〕在访问规那么源页，点击添加，选择网络目录下的Main和部，点击下一步；6〕在访问规那么目标页，点击添加，选择网络目录下的Main和部，点击下一步；7〕在用户集页，承受默认的所有用户，点击下一步；在正在完成新建访问规那么向导页，点击完成；8〕最后，点击应用以保存修改和更新防火墙设置。如图5-8图5-8支部的访问控制图此时在警报里面有提示，需要重启ISA效劳器，所以，我们需要重启支部ISA计算机。5.1.3VPN连接在支部的路由和远程访问控制台中，展开效劳器，1〕点击网络接口，这时就会出现我们创立的main网络拨号接口，右键点击属性，在平安页选择高级设置下的IPSec设置，在使用预共享的密钥作身份验证〔U〕的选框里打勾，并输入密钥main04jsja,点击两次确定，完成密钥设置。2〕右键点击设置凭据，在接口凭据页，输入此接口连接到远程路由器使用的凭据，因为在远程ISA端我们设置为main所以这里输入的用户密码为main，点击确定。如图5-9图5-9连接验证图3〕右键main点击连接如图5-10图5-10正在进展连接示意图如图5-11图5-11已连接上示意图到此为止站点到站点的VPN已经构建好了，在上面的设置中，远程的支部不允许总部进展访问，如果要设成可以互相访问，支部的配置只要参照总部的配置就可以实现了。5.1.4连接测试我们之前在静态地址池里设置了VPN连接后分配的IP地址，因此测试是否连接时只要查支部主机的IP地址就可以了，在测试的结果中，出现了这个VPN分配的IP地址，说明VPN已成功连接上总部的ISAVPN效劳器。如图5-12图5-12支部主机VPN连接后的ipconfig图在支部的主机上ping总部部的某一主机，如下所示，虽