【導(dǎo)讀】師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加。而使用過(guò)的材料。均已在文中作了明確的說(shuō)明并表示了謝意。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文。不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫的成果作品。究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。全意識(shí)到本聲明的法律后果由本人承擔(dān)。同意學(xué)校保留并向國(guó)家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán)大學(xué)可以將本學(xué)位。印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。涉密論文按學(xué)校規(guī)定處理。序清單等），文科類論文正文字?jǐn)?shù)不少于萬(wàn)字。有圖紙應(yīng)符合國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。圖表整潔，布局合理，文字注釋必須使用。而且是必須考慮的問(wèn)題之一了。析，并提出了相應(yīng)的安全防范技術(shù)措施。其它不軌行為的攻擊。防護(hù)措施已迫在眉捷。本人結(jié)合實(shí)際經(jīng)驗(yàn)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)措施進(jìn)行了

　　

【正文】 網(wǎng)）?！疤摂M” （ Virtual）指的是一種邏輯連接，“專用或私有”（ Private）指的是排他性的連接，“網(wǎng)絡(luò)”（ Network）指按某種協(xié)議進(jìn)行通信的計(jì)算機(jī)集合。虛擬專用網(wǎng)絡(luò)可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。虛擬專用網(wǎng)絡(luò)能夠利用 Inter 或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。 VPN 是對(duì)在公共通信基礎(chǔ)設(shè)施上構(gòu)建的 “虛擬專用或私有網(wǎng) ”連接技術(shù)的總稱。 VPN 與真實(shí)網(wǎng)絡(luò)的差別在于 VPN 以隔離方式通過(guò)公用網(wǎng)， VPN 外的節(jié)點(diǎn)不能與 VPN 內(nèi)的節(jié)點(diǎn)通信。 基本信息處理過(guò)程如下圖 41 所示 圖 41 SSL VPN 方案 VPN 基本原理 VPN 的基本思想很容易理解，假設(shè)公司有兩個(gè)網(wǎng)絡(luò)，相距很遠(yuǎn)，要用 VPN連接，由兩個(gè) VPN 設(shè)備建立專用通道，數(shù)據(jù)傳輸過(guò)程如下圖所示 ： 第 29 頁(yè)（共 23 頁(yè)） 圖 42 vpn 基本工作原理 1 主機(jī) A 建立分組，將其 IP 地址作為源地址，將主機(jī) B 的 IP 地址作為目標(biāo)地址，將分組發(fā)送到 VPN 設(shè)備 1，通常是網(wǎng)關(guān)。 2 分組到達(dá) VPN 設(shè)備 1， VPN 設(shè)備 1 在分組中增加一新頭。在此分組中，將分組的源 IP 地址寫為自己的 IP 地址 V1，目標(biāo)地址寫為對(duì)等 VPN 設(shè)備 2 的 IP地址 V2，然后發(fā)送。 3 分組通過(guò) Inter 到達(dá) VPN 設(shè)備 2， VPN 設(shè)備 2 能夠識(shí)別新增的頭部，對(duì)其進(jìn)行拆除，從而得到第 1 步由主機(jī) A 生成的原分組，然后根據(jù)分組的 IP 地址信息，進(jìn)行正常的轉(zhuǎn)發(fā)。 VPN 服務(wù)器的 意義 VPN 屬于遠(yuǎn)程訪問(wèn)技術(shù)，簡(jiǎn)單地說(shuō)就是利用公網(wǎng)鏈路架設(shè)私有網(wǎng)絡(luò)。例如公司員工出差到外地，他想訪問(wèn)企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問(wèn)就屬于遠(yuǎn)程訪問(wèn)。怎么才能讓外地員工訪問(wèn)到內(nèi)網(wǎng)資源呢？ VPN 的解決方法是在內(nèi)網(wǎng)中架設(shè)一臺(tái) VPN 服務(wù)器， VPN 服務(wù)器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接公網(wǎng)。外地員工在當(dāng)?shù)剡B上互聯(lián)網(wǎng)后，通過(guò)互聯(lián)網(wǎng)找到 VPN 服務(wù)器，然后利用 VPN 服務(wù)器作為跳板進(jìn)入企業(yè)內(nèi)網(wǎng)。 第 30 頁(yè)（共 23 頁(yè)） 圖 43vpn 的意義 為了保證數(shù)據(jù)安全， VPN 服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)都進(jìn)行了加密處理。有了數(shù)據(jù)加密，就可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸，就如同專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣。但實(shí)際上 VPN 使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)。即： VPN 實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個(gè)數(shù)據(jù)通訊隧道。有了 VPN 技術(shù)，用戶無(wú)論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用 VPN 非常方便地訪問(wèn)內(nèi)網(wǎng)資源，這就是為什么VPN 在企業(yè)中應(yīng)用得如此廣泛。 在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)配置中，要進(jìn)行異地局域網(wǎng)之間的互連，傳統(tǒng)的方法是租用 dsn（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）專線或幀中繼。這樣的通訊方案必然導(dǎo)致高昂的網(wǎng)絡(luò)通訊/維護(hù)費(fèi)用。對(duì)于移動(dòng)用戶（移動(dòng)辦公人員）與遠(yuǎn)端個(gè)人用戶而言，一般通過(guò)撥號(hào)線路（ Inter)進(jìn)入企業(yè)的局域網(wǎng)，而這樣必然帶來(lái)安全上的隱患。 虛擬專用網(wǎng)的提出就是來(lái)解決這些問(wèn)題： ⑴使用 VPN 可降低成本 —— 通過(guò)公用網(wǎng)來(lái)建立 VPN，就可以節(jié)省大量的通信費(fèi)用，而不必投入大量的人力和物力去安 裝和維護(hù) WAN（廣域網(wǎng)）設(shè)備和遠(yuǎn)程訪問(wèn)設(shè)備。 ⑵傳輸數(shù)據(jù)安全可靠 —— 虛擬專用網(wǎng)產(chǎn)品均采用加密及身份驗(yàn)證等安全技術(shù)，保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性。 ⑶連接方便靈活 —— 用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒(méi)有虛擬專用網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了虛擬專用網(wǎng)之后，只需雙方配置安全連接信息即可。 ⑷完全控制 —— 虛擬專用網(wǎng)使用戶可以利用 ISP 的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。用戶只利用 ISP 提供的網(wǎng)絡(luò)資源，對(duì)于其它的安全設(shè)置、網(wǎng)絡(luò)管理變 化可由自己管理。在企業(yè)內(nèi)部也可以自己建立虛擬專用網(wǎng)。 服務(wù)器的安全問(wèn)題并提出解決方法 vpn 的 用戶認(rèn)證 用戶認(rèn)證是 VPN 的特點(diǎn)之一。在遠(yuǎn)程訪問(wèn)只有通過(guò)認(rèn)證的遠(yuǎn)程用戶才能穿越 Inter 不受限制地利用內(nèi)部網(wǎng)資源。這種認(rèn)證機(jī)制主要由 PPP 功能實(shí)現(xiàn)，方法也有多種。 RADIUS 是為接入服務(wù)器開(kāi)發(fā)的認(rèn)證系統(tǒng)，具有統(tǒng)一管理多個(gè)訪問(wèn)用戶的用戶數(shù)據(jù)庫(kù)功能 如圖所示 。 1. PPP 認(rèn)證方式 圖 11 主要的 PPP 認(rèn)證方式 在鏈路建立的第 2 個(gè)階段進(jìn)行用戶驗(yàn)證，最常用的認(rèn)證協(xié)議有口令 驗(yàn)證協(xié)議第 31 頁(yè)（共 23 頁(yè)） PAP 和挑戰(zhàn) 握手協(xié)議 CHAP。 1 口令驗(yàn)證協(xié)議 PAP。口令驗(yàn)證協(xié)議 PAP 是一種簡(jiǎn)單的明文驗(yàn)證方式。網(wǎng)絡(luò)接入服務(wù)器 NAS (Network Access Server）要求用戶提供用戶名和口令， PAP 以明文方式返回用戶信息。這種驗(yàn)證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與 NAS 建立連接獲取 NAS 提供的所有資源。因此 PAP 無(wú)法提供避免受到第三方攻擊的保障措施 2. 挑戰(zhàn) 應(yīng)答驗(yàn)證協(xié)議 CHAP CHAP 是安全性比 PAP 更高的認(rèn)證協(xié)議，在網(wǎng)上傳遞的不是口令而是一次性的 隨機(jī)數(shù)。 CHAP 采取了挑戰(zhàn)應(yīng)答認(rèn)證方式，下圖顯示了認(rèn)證流程 圖 44vpn 的認(rèn)證流程 3 基于服務(wù)器的認(rèn)證方式 —RADIUS RADIUS（ Remote Authentication Dial In User Service）由朗訊開(kāi)發(fā)， 1997 年1 月以 RFC2085 公布了第一版規(guī)范。原先的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)，后來(lái)經(jīng)過(guò)多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議。 RADIUS 是為了接入服務(wù)器開(kāi)發(fā)的認(rèn)證系統(tǒng)，它具有集中管理遠(yuǎn)程訪問(wèn)“撥號(hào)用戶”的數(shù)據(jù)庫(kù)功能。換句 話說(shuō)， RADIUS 是存放使用者的“用戶名”及“口令”的數(shù)據(jù)庫(kù)。接受遠(yuǎn)程用戶訪問(wèn)請(qǐng)求的接入服務(wù)器向 RADIUS 服務(wù)器查詢?cè)撚脩羰欠駷楹戏ㄓ脩? 第 32 頁(yè)（共 23 頁(yè)） 圖 45 RADIUS 用戶認(rèn)證的體系結(jié)構(gòu) RADIUS 的基本工作原理 用戶接入 NAS， NAS 向 RADIUS 服務(wù)器使用 AccessRequire 數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過(guò) MD5 加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過(guò)網(wǎng)絡(luò)傳播； RADIUS 服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行校驗(yàn)，必要時(shí)可以提出一個(gè) challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì) NAS 進(jìn)行類似的認(rèn)證；如果合法，給 NAS 返回 AccessRequire 數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回 AccessReject 數(shù)據(jù)包，拒絕用戶訪問(wèn) 服務(wù)器的配置 以 windows server 2020 操作系統(tǒng)為平臺(tái) 搭建 vpn 服務(wù)器 圖 51 搭建 vpn 服務(wù)器 第 33 頁(yè)（共 23 頁(yè)） 圖 52 搭建 vpn 服務(wù)器 圖 53 搭建 vpn 服務(wù)器 第 34 頁(yè)（共 23 頁(yè)） 圖 54 搭建 vpn 服務(wù)器 圖 55 搭建 vpn 服務(wù)器 第 35 頁(yè)（共 23 頁(yè)） 圖 56 搭建 vpn 服務(wù)器 圖 57 搭建 vpn 服務(wù)器 第 36 頁(yè)（共 23 頁(yè)） 圖 58 搭建 vpn 服務(wù)器 圖 59 搭建 vpn 服務(wù)器 第 37 頁(yè)（共 23 頁(yè)） 圖 510 搭建 vpn 服務(wù)器 圖 511 搭建 vpn 服務(wù)器 第 38 頁(yè)（共 23 頁(yè)） 圖 512 搭建 vpn 服務(wù)器 圖 513 搭建 vpn 服務(wù)器 圖 514 搭建 vpn 服務(wù)器 第 39 頁(yè)（共 23 頁(yè)） 圖 515 搭建 vpn 服務(wù)器 圖 516 搭建 vpn 服務(wù)器 第 40 頁(yè)（共 23 頁(yè)） 圖 517 搭建 vpn 服務(wù)器 圖 518 搭建 vpn 服務(wù)器 第 41 頁(yè)（共 23 頁(yè)） 圖 519 搭建 vpn 服務(wù)器 圖 520 搭建 vpn 服務(wù)器 第 42 頁(yè)（共 23 頁(yè)） 圖 521 搭建 vpn 服務(wù)器 圖 522 搭建 vpn 服務(wù)器 第 43 頁(yè)（共 23 頁(yè)） 圖 523 測(cè)試 vpn 服務(wù)器 圖 524 一個(gè)端口活躍 第 44 頁(yè)（共 23 頁(yè)） 總結(jié) 總之， 服務(wù)器搭建 是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開(kāi)發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。第 45 頁(yè)（共 23 頁(yè)） 參考文獻(xiàn) [1] 崔寶江．信息安全實(shí)驗(yàn)指導(dǎo)．北京：國(guó)防工業(yè)出版社， 2020 [2] 蔡紅柳，何新華，信息 安全技術(shù)及應(yīng)用實(shí)驗(yàn)．北京：科學(xué)出版社， 2020 [3] 荊繼武，信息安全技術(shù)教程 . 北京：中國(guó)人民公安大學(xué)出版社， 2020 年 [4]龐南，信息安全管理教程 . 北京：中國(guó)人民公安大學(xué)出版社， 2020 年 [5] 楊永川，信息安全 .北京： 中國(guó)人民公安大學(xué)出版社， 2020 年 [6] 李冬靜，信息對(duì)抗 . 北京： 中國(guó)人民公安大學(xué)出版社， 2020 年 [7]蔣平，電子數(shù)據(jù) . 北京： 中國(guó)人民公安大學(xué)出版社， 2020 年 [8]閆強(qiáng)，電子商務(wù)安全管理 .北京：機(jī)械工業(yè)出版社， 2020 年 [9]石淑華，計(jì)算機(jī)網(wǎng)絡(luò)安全 . 北京：人民郵電出版社， 2020 年 [10]邵波，計(jì)算機(jī)安全技術(shù)及應(yīng)用 . 北京：電子工業(yè)出版社， 2020 年 [11]石志國(guó)，信息安全概論 .北京：清華大學(xué)出版社， 2020 年 [12]信息對(duì)抗與網(wǎng)絡(luò)安全賀雪晨編著，清華大學(xué)出版社， 2020 年 [13]朱建軍，網(wǎng)絡(luò)安全防范手冊(cè) .北京：人民郵電出版社， 2020 年 [14]閆宏生，計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù) .北京：電子工業(yè)出版社， 2020 年