【正文】 4) 在 協(xié)議 頁，選擇 所選的協(xié)議 ，然后添 加 HTTP 和 Ping， (這里可以再根據(jù)實際需要添加協(xié)議 )點擊 下一步 ； 5) 在 訪問規(guī)則源 頁，點擊 添加 ，選擇 網(wǎng)絡(luò) 目錄下的 Branch 和 內(nèi)部 ，點擊 下一步 ； 6) 在 訪問規(guī)則目標(biāo) 頁，點擊 添加 ，選擇 網(wǎng)絡(luò) 目錄下的 Branch 和 內(nèi)部 ，點擊 下一步 ； 7) 在 用戶集 頁，接受默認(rèn)的 所有用戶 ，點擊 下一步 ；在 正在完成新建訪問規(guī)則向?qū)?頁，點擊 完成 ； 8) 最后，點擊 應(yīng)用 以保存修改和更新防火墻設(shè)置。 9） 點擊 定義地址分配，在地址分配頁，選擇靜態(tài)地址池， 點擊添 加，添加 VPN 連接后總部主機(jī)分配的給客戶端的 IP 地 址 段 ， 在 這 里 輸 入，點擊確定完成設(shè)置。 各部分 VPN 設(shè)備的配置 14 圖 52 總部建立的遠(yuǎn)程站點圖 7） 打開 VPN 客戶端，點擊配置 VPN 客戶端訪問，在常規(guī)頁中，選擇 啟用 VPN 客戶端訪問 ，填入允許的最大 VPN 客戶端數(shù)量 20，在協(xié)議頁，選擇啟用 PPTP（ N）和啟用 L2TP/IPSEC（ E）點擊確定。因為三個站點都 采用 ISA VPN 作為安全網(wǎng)關(guān)，所以以下站點對站點的 VPN 配置就以公司總部到分支機(jī)構(gòu)為例，說明在 ISA 上實現(xiàn) VPN 的具體操作。 VPN 組建方案網(wǎng)絡(luò)拓?fù)鋱D 實例分析 11 圖 41 VPN組建網(wǎng)絡(luò)拓?fù)鋱D 各部分 VPN 設(shè)備的配置 12 5 各部分 VPN 設(shè)備的配置 公司總部和分支機(jī)構(gòu)之間與公司總部和合作伙伴之間的 VPN 通信，都是站點對站點的方式，只是權(quán)限設(shè)置不一樣，公司總部和分支機(jī)構(gòu)要實現(xiàn)的公司分支機(jī)構(gòu)共享總部的資源，公司總部和合作伙伴要實現(xiàn)是資源共享和互訪。 方案達(dá)到的目的 1) 廈門 總部 和 分公司 之間以及廈門總部和合作伙伴之間 透過 VPN 聯(lián)機(jī)采用 IPSec協(xié)定，確保傳輸數(shù)據(jù)的安全； 2) 在外出差或想要連回總部或分公司的用戶也可使用 IPSec 方式連回企業(yè)網(wǎng)路； 3) 對 總部 內(nèi)網(wǎng)實施上網(wǎng)的訪問控制，通過 VPN 設(shè)備的訪問控制策略，對 訪問的 PC進(jìn)行嚴(yán)格的訪問控制 ； 4) 對外網(wǎng)可以抵御黑客的入侵，起到 Firewall 作用。因為使用IPSec 加密， L2TP 更認(rèn)為更安全。比 IPSec 隧道模式更容易理解，但是要求遠(yuǎn)程 VPN 服務(wù)器是 ISA Server 或者 Windows VPN 服務(wù)器。對于各種規(guī)模的企業(yè)來說， ISA Server 都可 以增強網(wǎng)絡(luò)安全性、貫徹一致的 Inter 使用策略、加速 Inter 訪問并實現(xiàn)員工工作效率最大化。 ISA 具備了基于策略的安全性，并且能夠加速和管理對 Inter 的訪問。 ISA Server 集成了 Windows server VPN 服務(wù)，提供一個完善的防火墻和 VPN 解決方案。這個辦法雖然能解決問題，但是費用昂貴，對于 中小企業(yè) 來說是無法負(fù)擔(dān)的，而 VPN 技術(shù)能解決這個問題 。 需求分析 隨著公司的發(fā)展壯大， 廈門某公司 在上海開辦了分公司來進(jìn)一步發(fā)展業(yè)務(wù)，公司 希望 總部 和分公司、總部與合作伙伴可以隨時的 進(jìn)行 安全的 信息溝通， 而 外出辦公人員可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時隨地共享商業(yè)信息，提高工作效率。在本文中就以一個中小型企業(yè)為例模擬實際環(huán)境建立一個基于 ISA 的企業(yè) VPN 網(wǎng)絡(luò)以滿足遠(yuǎn)程辦公、分公司和合作伙伴遠(yuǎn)程訪問的要求。即使不用 SET 或 SSL， IPSec 都能提供認(rèn)證和加密手段以保證信息的傳輸。 ISAKMP/Oakley 支持自動建立加密信道，密鑰的自動安全分發(fā)和更新。 IPSec 有擴(kuò)展能力以適應(yīng)未來商業(yè)的需要。 IPSec 現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力支持。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會隱藏路由信息。 IPSec 協(xié)議可以設(shè)置成在兩種模式下運行 :一種是隧道模式，一種是傳輸模式。 ? 完整性檢查：用于保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時沒有被修改。 IPSec 用密碼技術(shù)從三個方面來保證數(shù)據(jù)的安全。 IPSec 協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議。通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性? PPTP/ L2TP 最適合于遠(yuǎn)程訪問 VPN。 PPTP/ L2TP 協(xié)議的缺點： PM 和 L2TP 將不安全的 IP 包封裝在安全的 IP 包內(nèi)，它們用 IP 幀在兩 臺計算機(jī)之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要，這樣可能帶來問題，它不對兩個節(jié)點間的信息傳輸進(jìn)行監(jiān)視 實現(xiàn) VPN 的關(guān)鍵技術(shù)和主要協(xié)議 8 或控制。如 NOWELL的 IPX,NETBEUI 和 APPLETALK 協(xié)議 ,還支持流量控制。 PPTP/L2TP 協(xié)議的優(yōu)點 : PPTP/L2TP 對用微軟操作系統(tǒng)的 用戶來說很方便，因為微軟己把它作為路由軟件的一部分。 L2TP 使用 PPP 可靠性發(fā)送 (RFC 1663)實現(xiàn)數(shù)據(jù)包的可靠發(fā) 送。 L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝 PPP 幀，可以實現(xiàn)和企業(yè)原有非 IP 網(wǎng)的兼容。 1996 年， Cisco 提出 L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于 Cisco的路由器和撥號訪問服務(wù)器。 PPTP 提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。 PPTP/L2TP 1996 年， Microsoft 和 Ascend 等在 PPP 協(xié)議的基礎(chǔ)上開發(fā)了 PPTP ， 它集成于 Windows NT 中， Windows NT Workstation 和 Windows 也提供相應(yīng)的客戶端軟件。在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如 IPSec。 VPN 區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保證安全性。這要求雙方事先確定要使用的加密和完整性檢查算法。強制性訪 問控制是基于被訪問信息的敏感性。 訪問控制 策略可以細(xì)分為選擇性訪問控制和強制性訪問控制。 （ 4）訪問控制技術(shù) 虛擬專用網(wǎng)的基本功能就是不同的用戶對不同的主機(jī)或服務(wù)器的訪問權(quán)限是不一樣的。 IKE 協(xié)議是目前首選的密鑰管理標(biāo)準(zhǔn)，較 SKIP 而言，其主要優(yōu)勢在于定義更靈活，能適應(yīng)不同的加密密鑰。IKE 交換的最終目的是提供一個通過驗證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。目前密鑰管理的協(xié)議包括 ISAKMP、 SKIP、 MKMP 等。簡單口令認(rèn)證方式的優(yōu)點是實施簡單、技術(shù)成熟、互操作性好，且支持動 態(tài)地加載 VPN 設(shè)備，可擴(kuò)展性強。而設(shè)備認(rèn)證則需要依賴由 CA 所頒發(fā)的電子證書。一般用戶和設(shè)備雙方在交換數(shù)據(jù)之前，先核對證書，如果準(zhǔn)確無誤，雙方才開始交換數(shù)據(jù)。所以現(xiàn)在的 VPN 大都采用單鑰的 DES 和 3DES 作為加解密的主要技術(shù)，而以公鑰和單鑰的混合加密體制 (即加解密采用單鑰 密碼，而密鑰傳送采用雙鑰密碼 )來進(jìn)行網(wǎng)絡(luò)上密鑰交換和管理，不但可以提高了傳輸速度，還具有良好的保密功能。而 3DES（ 112 比特密鑰）被認(rèn)為是目前不可破譯的。其優(yōu)點是加解密速度快。為了保證數(shù)據(jù)在傳輸過程中的安全性，不被非法的用戶竊取或篡改，一般都在傳輸之前進(jìn)行加密，在接受方再對其進(jìn)行解密 密碼技術(shù)是保證數(shù)據(jù)安全傳輸?shù)年P(guān)鍵技術(shù)，以密鑰為標(biāo)準(zhǔn)，可將密碼系統(tǒng)分為單鑰密碼（又稱為對稱密 碼或私鑰密碼）和雙鑰密碼（又稱為非對稱密碼或公鑰密碼）。 IPSec 即 IP 安全協(xié)議是目前實現(xiàn) VPN 功能的最佳選擇。 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠網(wǎng)絡(luò)層協(xié)議進(jìn)行傳輸。 第二層隧道協(xié)議是建立在點對點協(xié)議 PPP 的基礎(chǔ)上，充分利用 PPP 協(xié)議支持多協(xié)議的特點，先把各種網(wǎng)絡(luò)協(xié)議（如 IP、 IPX 等）封裝到 PPP 幀中，再把整個數(shù)據(jù)包裝入隧道協(xié)議。隧道協(xié)議分為第二、第三層隧道協(xié)議，第二層隧道協(xié)議如 L2TP、 PPTP、 L2F 等，他們工作在 OSI 體系結(jié)構(gòu)的第二層（即數(shù)據(jù)鏈路層）；第三層隧道協(xié)議如 IPSec， GRE 等，工作在 OSI 體系結(jié)構(gòu)的第三層（即網(wǎng)絡(luò)層）。 VPN 采用隧道技術(shù)向用戶提供了無縫的、安全的、端到端的連接服務(wù)，以確保信息資源的安全 。在公用網(wǎng)絡(luò)（一般指因特網(wǎng)）上傳輸過程中，只有 VPN 端口或網(wǎng)關(guān)的 IP 地址暴露在外邊。 實現(xiàn) VPN 的關(guān)鍵技術(shù)和主要協(xié)議 5 3 實現(xiàn) VPN 的關(guān)鍵技術(shù)和主要協(xié)議 實現(xiàn) VPN 的關(guān)鍵技術(shù) （ 1）隧道技術(shù) 隧道技術(shù) (Tunneling)是 VPN 的底層支撐技術(shù)，所謂隧道， 實際上是一種封裝，就是將一種協(xié)議（協(xié)議 X）封裝在另一種協(xié)議（協(xié)議 Y）中傳輸，從而實現(xiàn)協(xié)議 X對公用網(wǎng)絡(luò)的透明性。 VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。 （ 4）可管理性 從用戶角度和運營商的角度應(yīng)可方便地進(jìn)行管理、維護(hù)。 QoS 通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建