【文章內(nèi)容簡介】 于遠程用戶連接，用戶可通過任何Web瀏覽器訪問校園網(wǎng)Web應(yīng)用，因而SSL VPN存在一定安全風險。而IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點接入，所以安全性更高一些。但不可否認，SSL VPN依然更加適合大多數(shù)校園網(wǎng)，因為在互聯(lián)網(wǎng)時代，更多的信息交流需要實現(xiàn)完全互通，比如SSL VPN提供更細粒度的訪問控制、能夠穿越NAT和防火墻設(shè)置、能夠較好地抵御外部系統(tǒng)和病毒攻擊、網(wǎng)絡(luò)部署靈活方便等特點，為其在校園網(wǎng)應(yīng)用中贏得了不少亮點。 　　圖35 SSL VPN可實現(xiàn)校園網(wǎng)安全管理 VPN為校園網(wǎng)帶來的應(yīng)用在校園網(wǎng)中，通過VPN給校外住戶、分校區(qū)用戶、出差遠程辦公用戶、遠程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。那么，VPN能為校園網(wǎng)帶來哪些具體應(yīng)用優(yōu)勢呢？首先就是辦公自動化，比如校園辦公樓共有40個信息點，此時可以通過校園網(wǎng)連至INTERNET用戶，實現(xiàn)100M甚至1000M到桌面的帶寬，并對財務(wù)科、人事科等科室進行單獨子網(wǎng)管理。 還可以利用VPN在校園網(wǎng)內(nèi)建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學校具有兩個多媒體教室，每個教室60臺PC，通過校園網(wǎng)上連至INTERNET，實現(xiàn)遠程多媒體教學的目的。也可以將學生、教職工宿舍區(qū)的PC通過校園網(wǎng)上連至INTERNET，而不進行任何布置。校園網(wǎng)采用VPN技術(shù)可以降低使用費，遠程用戶可以通過向當?shù)氐腎SP申請賬戶登錄到Internet，以Internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費用大幅度降低；學?？梢怨?jié)省購買和維護通信設(shè)備的費用。現(xiàn)在很多大學都有多個分校，各個分校和培訓場所網(wǎng)絡(luò)整合使學校的信息化管理成本必然的增加，比如學校的數(shù)據(jù)存儲，許多學校都采用了分布式存儲方式，其具有較低的投資花費和軟件部署的靈活性，然而其管理難度高，后期維護成本高，如果采取VPN服務(wù)器，可以對各分校進行Web通訊控制，同時又可以實現(xiàn)分校訪問互通。 　　圖36 校園網(wǎng)VPN典型應(yīng)用方案 為了讓師生共享圖書資源，與國外高校合作交換圖書館數(shù)據(jù)，以及向國外商業(yè)圖書館交納版權(quán)費，獲得更多電子文獻資料的瀏覽權(quán)，很多高校都建立了數(shù)字圖書館，但在應(yīng)用上也會產(chǎn)生相應(yīng)的約束性，比如說為了保證數(shù)據(jù)信息的知識產(chǎn)權(quán)，瀏覽者必須是已繳納版權(quán)費的本校內(nèi)網(wǎng)地址，或則被校方授權(quán)過的內(nèi)部合法師生，此時采用VPN加密技術(shù)，數(shù)據(jù)在Internet中傳輸時，Internet上的用戶只看到公共的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。不僅可以實現(xiàn)將校園網(wǎng)的連續(xù)性擴展到校外；在校外可以訪問校內(nèi)未向互聯(lián)網(wǎng)開放的資源。同時又確保了校園數(shù)字圖書館的易用性和安全性。 　　圖37 VPN在校園數(shù)字圖書館的作用 VPN支持的校園網(wǎng)接入方式在教育機構(gòu)的校園網(wǎng)，由于不同地區(qū)、不同學校的條件不同，它們選擇的網(wǎng)絡(luò)接入方式也有差異，比如條件不大好的中小學校，可能還在采取模擬電話、ISDN、ADSL撥號上網(wǎng)，而對于條件好的高校，則采取了光纖或DDN、幀中繼等專線連接，那么，VPN方案到底支持哪種接入方式呢？實際上，VPN可以支持最常用的網(wǎng)絡(luò)協(xié)議，因為在Internet上組建VPN，用戶計算機或網(wǎng)絡(luò)需要建立到ISP連接，與用戶上網(wǎng)接入方式相似，比如基于IP、IPX和NetBUI協(xié)議的網(wǎng)絡(luò)中的客戶機都能使用VPN方案。 圖38 ADSL虛擬撥號實現(xiàn)VPN組網(wǎng)A校校園網(wǎng)VPN解決方案：我校共有兩個校區(qū)：老校區(qū)和新校區(qū)，兩個校區(qū)之間通過新校區(qū)的Cisco6513和老校區(qū)Cisco6509萬兆相連，Cisco6513又與邊界出口Cisco6503相連,具有四條通道：計費網(wǎng)關(guān)，VPN，兩條Trunk通道。網(wǎng)絡(luò)拓撲圖如圖39所示： 圖39 校園網(wǎng)VPN解決方案因為Cisco6513為我校校園網(wǎng)核心交換，因此我們選擇CISCO VPN模塊安裝在Cisco6513上。在Cisco6513上的VPN配置如下：以下是啟動 aaa，打開radius服務(wù)器上的用戶認證，打開cisco組用戶的本地授權(quán)的配置aaa newmodelaaa authentication login default group radius localaaa authorization network cisco local以下是為遠端VPN用戶定義crypto策略，使用3des加密、共享密鑰和用group2產(chǎn)生密鑰的配置crypto isakmp policy 1encr 3desauthentication presharegroup 2以下是創(chuàng)建組驗證的用戶名和密碼，分配DNS地址，指定要分配給VPN用戶的地址池以及允VPN用戶所能訪問的IP范圍的配置：crypto isakmp invalidspirecoverycrypto isakmp keepalive 10crypto isakmp nat keepalive 15crypto isakmp xauth timeout 45crypto isakmp client configuration group ciscokey ciscodns pool remotepoolacl 101 以下是定義crypto的transform屬性的配置：crypto ipsec transformset transform1 esp3des espshahmac以下是定義crypto的動態(tài)map的配置crypto dynamicmap dynmap 1set transformset transform1 以下是創(chuàng)建一個合成的map，將合成map綁定到端口上的配置：crypto map clientmap client authentication list defaultcrypto map clientmap isakmp authorization list ciscocrypto map clientmap client configuration address respondcrypto map clientmap 1 ipsecisakmp dynamic dynmap 以下是定義兩個端口為vpn模塊的虛擬端口的配置：interface GigabitEthernet2/1switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 906switchport mode trunkspanningtree portfast trunkinterface GigabitEthernet2/2switchportswitchport trunk encapsulation dot1qswitchport trunk allowed vlan 903switchport mode trunkspanningtree portfast trunk以下是接口為PORT VLAN的配置，它接口地址分配在防火墻INSIDE接口上：interface Vlan903no ip addresscrypto connect vlan 906interface Vlan906ip address 以下是將合成的map應(yīng)用到該接口的配置：crypto map clientmapcrypto engine slot 2以下是定義分配給VPN用戶的地址段的配置:ip local pool remotepool 以下是定義VPN允許訪問的地址范圍。accesslist 101 permit ip 以下是電信防火墻上的配置，其中，,。nat (inside) 1 global (outside) 1 netmask route inside 1route inside 1在配置中需要注意的是，如果VPN用戶通過防火墻撥號進來，則要在防火墻outside端口上允許esp協(xié)議，具體配置如下：accesslist 105 extended permit esp any host accessgroup 105 in interface outside VPN在某校校園網(wǎng)中的實際應(yīng)用該校VPN主要應(yīng)用于校園網(wǎng)網(wǎng)絡(luò)設(shè)備的遠程管理以及校外用戶訪問校內(nèi)網(wǎng)絡(luò)資源。具體應(yīng)用是通過VPN客戶端EZVPN,因為EZVPN是Cisco公司的VPN客戶端軟件，它允許用戶在不安全的網(wǎng)絡(luò)上建立VPN終端設(shè)備與客戶端之間的VPN通道，從而使得用戶能夠通過比如撥號等上網(wǎng)方式來安全的接入到校園網(wǎng)內(nèi)部，接入后獲得校園網(wǎng)內(nèi)部地址，這樣就可以訪問校內(nèi)的共享資源。以下是客戶端操作實例圖，如圖310所示。以下是VPN客戶端軟件的配置說明Connection Entry中填寫VPN的名稱，Description可隨意填寫，Host中填寫VPN的服務(wù)器名稱，Name和Password中分別填寫用戶名和密碼。圖310 VPN客戶端 結(jié)論該校校園網(wǎng)自2004年10月以來，利用VPN實現(xiàn)的遠程OA和遠程網(wǎng)絡(luò)管理運行正常。實踐證明，VPN技術(shù)解決方案具有強勁的認證功能、有效的加密保障、安全的遠端存取、IP路徑選擇、防火墻等功能，能夠較好地應(yīng)用于遠程訪問、企業(yè)網(wǎng)連接、外部網(wǎng)連接等。 方案分析 由于SSL VPN網(wǎng)關(guān)雖然提供簡單的包過濾功能，但是遠遠不如防火墻/VPN一體機安全，因此SSLVPN網(wǎng)關(guān)需要通過防火墻進行特殊的安全保護部署；同時由于它位于防火墻后面，也使得SSL的數(shù)據(jù)無法被防火墻進行安全過濾，但在同等條件下防火墻/VPN一體機則很好解決了加密和防火墻的訪問控制的矛盾。圖311 在Windows中可輕易實現(xiàn)VPN連接實際上，VPN技術(shù)原是路由設(shè)備具有的重要技術(shù)之一，也就是說，市場上大部分交換機、路由器都可以支持VPN功能，因而從廣義上來看，目前VPN產(chǎn)品包括單純VPN網(wǎng)關(guān)、VPN路由器、VPN防火墻、VPN服務(wù)器等。如果選擇普通VPN設(shè)備，盡管其提供了身份驗證和數(shù)據(jù)加密能力，但對于需要與Internet互通的校園網(wǎng)，安全級別還遠遠不夠，為此，建議校園網(wǎng)選擇VPN防火墻，或者為普通VPN設(shè)備搭配一臺專用防火墻，不過要注意，如果采用普通VPN設(shè)備搭配防火墻，VPN與防火墻的協(xié)同工作會遇到很多難以解決的問題，有可能不同廠家的防火墻和VPN不能協(xié)同工作，防火墻的安全策略無法制定或者帶來性能的損失，如防火墻無法使用NAT功能等。而如果采用VPN防火墻，則上述問題不存在或很容易解決。 第4章 VPN在企業(yè)建構(gòu)的應(yīng)用與優(yōu)化第4章 VPN在企業(yè)構(gòu)建的應(yīng)用與優(yōu)化 VPN在企業(yè)構(gòu)建的應(yīng)用 意義目標和總體方案 1. 設(shè)計意義通過功能模塊的設(shè)計，企業(yè)使用VPN技術(shù)組建網(wǎng)絡(luò)可以帶來以下好處首先遠程用戶可以通過向當?shù)氐腎sP申請賬戶登錄到Internet，以Internet作為隧道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費用大幅度降低；其次企業(yè)可以節(jié)省購買和維護通訊設(shè)備的費用。VPN使用三個方面的技術(shù)保證了通信的安全性通道協(xié)議，身份驗證和數(shù)據(jù)加密。客戶機向VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠程訪問的權(quán)限。如果該用戶擁有遠程訪問的權(quán)限，VPN服務(wù)器接受此連接。在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將用來對數(shù)據(jù)進行加密。VPN支持最常用的網(wǎng)絡(luò)協(xié)議?；贗P、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機都可以很容易地使用VPN。這意味著通過VPN連接可以遠程運行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。因為VPN是加密的，VPN數(shù)據(jù)包在Internet中傳輸時，Internet上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址。因此遠程專用網(wǎng)絡(luò)上指定的地址是受到保護的。 VPN相對于專線而言，在價格上有著絕對的優(yōu)勢；相對于普通PSTN撥號連接，VPN在安全性、保密性上更勝一籌。企業(yè)通過使用VPN技術(shù)組建網(wǎng)絡(luò)，可以保證數(shù)據(jù)在傳輸過程中的安全性和QOS(服務(wù)質(zhì)量保證)。VPN具有很好的擴展性，當網(wǎng)絡(luò)擴充與遠程辦公室、國際區(qū)域、遠程計算機、漫游的移動用戶以及由于商務(wù)要求的商務(wù)伙伴等連接或是變更網(wǎng)絡(luò)結(jié)構(gòu)時，企業(yè)只需依靠提供VPN服務(wù)的ISP就可以隨時擴大VPN的容量和覆蓋范圍，因此可以大幅度降低數(shù)據(jù)通信的費用。 使用基于IPSEC協(xié)議的VPN技術(shù)組建企業(yè)網(wǎng)，通過雙方路由器端的設(shè)置，Windows 2000 Server 服務(wù)器的配置和客戶端端撥號軟件的設(shè)置。使得一個企業(yè)總部與分公司或者是合作伙伴能夠使用現(xiàn)有網(wǎng)絡(luò)連接建立虛擬隧道連接。通過設(shè)置賬號、密碼以及權(quán)限，移動辦公人員可以隨時隨地通過接入Internet，查看企業(yè)內(nèi)部資料。 具體設(shè)計方案1．需求分析 在本文設(shè)計的企業(yè)模型中，企業(yè)內(nèi)部以及各分支機構(gòu)網(wǎng)絡(luò)運行有多種企業(yè)應(yīng)用。如總部內(nèi)建設(shè)、文檔共用服務(wù)、視頻會議系統(tǒng)、電子郵件系統(tǒng)、企業(yè)辦公自動化系統(tǒng)、公司ERP系統(tǒng)等。公司在未來可能開發(fā)更多的內(nèi)部應(yīng)用，如Client/Server模式的應(yīng)用(TCP、UDP或TCP/UDP協(xié)議的應(yīng)用)，公司通過防火墻接入Internet。而目前公司所有應(yīng)用僅限于公司局域網(wǎng)內(nèi)，出差員工不能訪問。隨著企業(yè)規(guī)模的擴大，業(yè)務(wù)量也隨之逐漸增加，各地分公司、辦事處的業(yè)務(wù)部門之間的信息交互也日漸頻繁。部門間經(jīng)常需要傳遞一些重要的數(shù)據(jù)和信息，對于數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過程中的安全性要求顯