【正文】 遞一些重要的數(shù)據(jù)和信息，對于數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過程中的安全性要求顯得越來越重要。而目前公司所有應(yīng)用僅限于公司局域網(wǎng)內(nèi)，出差員工不能訪問。如總部內(nèi)建設(shè)、文檔共用服務(wù)、視頻會議系統(tǒng)、電子郵件系統(tǒng)、企業(yè)辦公自動化系統(tǒng)、公司ERP系統(tǒng)等。通過設(shè)置賬號、密碼以及權(quán)限，移動辦公人員可以隨時隨地通過接入Internet，查看企業(yè)內(nèi)部資料。 使用基于IPSEC協(xié)議的VPN技術(shù)組建企業(yè)網(wǎng)，通過雙方路由器端的設(shè)置，Windows 2000 Server 服務(wù)器的配置和客戶端端撥號軟件的設(shè)置。VPN具有很好的擴(kuò)展性，當(dāng)網(wǎng)絡(luò)擴(kuò)充與遠(yuǎn)程辦公室、國際區(qū)域、遠(yuǎn)程計算機(jī)、漫游的移動用戶以及由于商務(wù)要求的商務(wù)伙伴等連接或是變更網(wǎng)絡(luò)結(jié)構(gòu)時，企業(yè)只需依靠提供VPN服務(wù)的ISP就可以隨時擴(kuò)大VPN的容量和覆蓋范圍，因此可以大幅度降低數(shù)據(jù)通信的費(fèi)用。 VPN相對于專線而言，在價格上有著絕對的優(yōu)勢；相對于普通PSTN撥號連接，VPN在安全性、保密性上更勝一籌。因此遠(yuǎn)程專用網(wǎng)絡(luò)上指定的地址是受到保護(hù)的。這意味著通過VPN連接可以遠(yuǎn)程運(yùn)行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。VPN支持最常用的網(wǎng)絡(luò)協(xié)議。如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，VPN服務(wù)器接受此連接。VPN使用三個方面的技術(shù)保證了通信的安全性通道協(xié)議，身份驗(yàn)證和數(shù)據(jù)加密。 第4章 VPN在企業(yè)建構(gòu)的應(yīng)用與優(yōu)化第4章 VPN在企業(yè)構(gòu)建的應(yīng)用與優(yōu)化 VPN在企業(yè)構(gòu)建的應(yīng)用 意義目標(biāo)和總體方案而如果采用VPN防火墻，則上述問題不存在或很容易解決。圖311 在Windows中可輕易實(shí)現(xiàn)VPN連接實(shí)際上，VPN技術(shù)原是路由設(shè)備具有的重要技術(shù)之一，也就是說，市場上大部分交換機(jī)、路由器都可以支持VPN功能，因而從廣義上來看，目前VPN產(chǎn)品包括單純VPN網(wǎng)關(guān)、VPN路由器、VPN防火墻、VPN服務(wù)器等。實(shí)踐證明，VPN技術(shù)解決方案具有強(qiáng)勁的認(rèn)證功能、有效的加密保障、安全的遠(yuǎn)端存取、IP路徑選擇、防火墻等功能，能夠較好地應(yīng)用于遠(yuǎn)程訪問、企業(yè)網(wǎng)連接、外部網(wǎng)連接等。Connection Entry中填寫VPN的名稱，Description可隨意填寫，Host中填寫VPN的服務(wù)器名稱，Name和Password中分別填寫用戶名和密碼。以下是VPN客戶端軟件的配置說明具體應(yīng)用是通過VPN客戶端EZVPN,因?yàn)镋ZVPN是Cisco公司的VPN客戶端軟件，它允許用戶在不安全的網(wǎng)絡(luò)上建立VPN終端設(shè)備與客戶端之間的VPN通道，從而使得用戶能夠通過比如撥號等上網(wǎng)方式來安全的接入到校園網(wǎng)內(nèi)部，接入后獲得校園網(wǎng)內(nèi)部地址，這樣就可以訪問校內(nèi)的共享資源。accesslist 101 permit ip 以下是電信防火墻上的配置，其中，,。因?yàn)镃isco6513為我校校園網(wǎng)核心交換，因此我們選擇CISCO VPN模塊安裝在Cisco6513上。網(wǎng)絡(luò)拓?fù)鋱D如圖39所示： 圖39 校園網(wǎng)VPN解決方案 圖38 ADSL虛擬撥號實(shí)現(xiàn)VPN組網(wǎng)A校校園網(wǎng)VPN解決方案：我校共有兩個校區(qū)：老校區(qū)和新校區(qū)，兩個校區(qū)之間通過新校區(qū)的Cisco6513和老校區(qū)Cisco6509萬兆相連，Cisco6513又與邊界出口Cisco6503相連,具有四條通道：計費(fèi)網(wǎng)關(guān)，VPN，兩條Trunk通道。不僅可以實(shí)現(xiàn)將校園網(wǎng)的連續(xù)性擴(kuò)展到校外；在校外可以訪問校內(nèi)未向互聯(lián)網(wǎng)開放的資源。 　　圖36 校園網(wǎng)VPN典型應(yīng)用方案校園網(wǎng)采用VPN技術(shù)可以降低使用費(fèi)，遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐腎SP申請賬戶登錄到Internet，以Internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；學(xué)?？梢怨?jié)省購買和維護(hù)通信設(shè)備的費(fèi)用。 還可以利用VPN在校園網(wǎng)內(nèi)建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學(xué)校具有兩個多媒體教室，每個教室60臺PC，通過校園網(wǎng)上連至INTERNET，實(shí)現(xiàn)遠(yuǎn)程多媒體教學(xué)的目的。 　　圖35 SSL VPN可實(shí)現(xiàn)校園網(wǎng)安全管理 VPN為校園網(wǎng)帶來的應(yīng)用在校園網(wǎng)中，通過VPN給校外住戶、分校區(qū)用戶、出差遠(yuǎn)程辦公用戶、遠(yuǎn)程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。但不可否認(rèn)，SSL VPN依然更加適合大多數(shù)校園網(wǎng)，因?yàn)樵诨ヂ?lián)網(wǎng)時代，更多的信息交流需要實(shí)現(xiàn)完全互通，比如SSL VPN提供更細(xì)粒度的訪問控制、能夠穿越NAT和防火墻設(shè)置、能夠較好地抵御外部系統(tǒng)和病毒攻擊、網(wǎng)絡(luò)部署靈活方便等特點(diǎn)，為其在校園網(wǎng)應(yīng)用中贏得了不少亮點(diǎn)?！　D34 IPSec VPN實(shí)現(xiàn)數(shù)據(jù)訪問的原理與IPSec VPN不同的是，SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)和TCP層之間，因而SSL VPN的零客戶端架構(gòu)特別適合于遠(yuǎn)程用戶連接，用戶可通過任何Web瀏覽器訪問校園網(wǎng)Web應(yīng)用，因而SSL VPN存在一定安全風(fēng)險。IPSec VPN還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置IPSec客戶端軟件和接入設(shè)備，這大大提高了安全級別，因?yàn)樵L問受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的限制。一般而言，IPsec VPN和SSL VPN是目前校園網(wǎng)VPN方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，總體來說，IPSEC VPN是提供站點(diǎn)與站點(diǎn)之間的連接，比較適合校園網(wǎng)內(nèi)分校與分校的連接；而SSL VPN則提供遠(yuǎn)程接入校園網(wǎng)服務(wù)，比如適合校園網(wǎng)與外網(wǎng)的連接。簡單來說，VPN可以通過對校園網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行封包和加密傳輸，在互聯(lián)網(wǎng)公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級別。遠(yuǎn)程外網(wǎng)客戶機(jī)向校園網(wǎng)內(nèi)的VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，VPN服務(wù)器接受此連接。 VPN解決校園網(wǎng)安全風(fēng)險對于校園網(wǎng)而言，它雖然給師生帶來了資源共享的便捷，但同時也意味著具有安全風(fēng)險，比如非授權(quán)訪問，沒有預(yù)先經(jīng)過授權(quán)，就使用校園網(wǎng)絡(luò)或計算機(jī)資源；信息泄漏或丟失，重要數(shù)據(jù)在有意或無意中被泄漏出去或丟失；以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息；不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓；利用網(wǎng)絡(luò)傳播計算機(jī)病毒等。因?yàn)槭褂肐PSec加密，L2TP更認(rèn)為更安全。比IPSec隧道模式更容易理解，但是要求遠(yuǎn)程VPN服務(wù)器是ISA Server或者Windows VPN服務(wù)器。L2TP over IPSec模式； l 在ISA中可以使用以下三種協(xié)議來建立VPN連接： l 防火墻能對數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進(jìn)行狀態(tài)檢查、對訪問策略進(jìn)行控制并對網(wǎng)絡(luò)通信進(jìn)行路由。以 ISA VPN作為連接Internet的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡(luò)安全性。根據(jù)該公司用戶的需求，遵循著方便實(shí)用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用ISA Server VPN安全方案，以ISA作為網(wǎng)絡(luò)訪問的安全控制。 ISA VPN簡介一些大型跨國公司解決這個問題的方法，就是在各個公司之間租用運(yùn)營商的專用線路。當(dāng)今Web成為標(biāo)準(zhǔn)平臺已勢不可擋，越來越多的企業(yè)開始將系統(tǒng)移植到Web上。除此之外，在管理維護(hù)和操作性方面，SSL VPN方案可以做到基于應(yīng)用的精細(xì)控制，基于用戶和組賦予不同的應(yīng)用訪問權(quán)限，并對相關(guān)訪問操作進(jìn)行審計。對于那些只需進(jìn)入企業(yè)內(nèi)部網(wǎng)站或者進(jìn)行Email通信的遠(yuǎn)程用戶來說，SSL VPN顯然是一個價廉物美的選擇。這樣盡管購買軟件和硬件的費(fèi)用不一定低，但是 SSL VPN的部署成本卻很低。 在應(yīng)用性方面，SSL VPN不需要安裝客戶端軟件。首先SSL VPN可以實(shí)現(xiàn)128位數(shù)據(jù)加密，保證數(shù)據(jù)在傳輸過程中不被竊取，確保ERP數(shù)據(jù)傳輸?shù)陌踩?。在防火墻上，每開啟一個通訊埠，就多一個黑客攻擊機(jī)會。 IPSec在部署安全網(wǎng)關(guān)時要考慮拓?fù)渑判?，一旦添加新設(shè)備就要改變網(wǎng)絡(luò)結(jié)構(gòu)。除了包過濾之外，它沒有指定其他訪問控制方法。IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動態(tài)分配IP地址時不太適合于IPSec。將虛擬網(wǎng)絡(luò)擴(kuò)展成允許遠(yuǎn)程訪問用戶(也被稱為road warriors)成為可信任網(wǎng)絡(luò)的一部分。IpsecVPN加密靈活：對數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個數(shù)據(jù)流為單位，這不僅靈活而且有助于進(jìn)一步提高IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡(luò)攻擊。IPsecVPN對應(yīng)用程序的高可擴(kuò)展性 所有使用IP協(xié)議進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用系統(tǒng)和服務(wù)都可以使用IPsec，由于IPSec工作在OSI的第3層，低于應(yīng)用程序直接涉及的層級，所以對于應(yīng)用程序來講，利用IPSec VPN所建立起來的隧道是完全透明的，無需修改既有的應(yīng)用程序，并且，現(xiàn)有應(yīng)用程序的安全解決方法也不會受到任何影響。IKE為IPsec提供了自動協(xié)商交換密鑰、建立SA的服務(wù)，這能夠簡化IPsec的使用和管理，大大簡化IPsec的配置和維護(hù)工作。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個原始數(shù)據(jù)報提供機(jī)密性。IPsec ESP 通過加密需要保護(hù)的數(shù)據(jù)以及在 IPsec ESP 的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來提供機(jī)密性和完整性。特別地，不是由 ESP 封裝的 IP 頭字段則不受 ESP 保護(hù)。在通信主機(jī)與通信主機(jī)之間、通信安全網(wǎng)關(guān)與通信安全網(wǎng)關(guān)之間或安全網(wǎng)關(guān)與主機(jī)之間可以提供安全服務(wù)。因此， AH 提供給 IP 頭的保護(hù)有些是零碎的。但是，在傳輸過程中某些 IP 頭字段會發(fā)生變化，且發(fā)送方無法預(yù)測當(dāng)數(shù)據(jù)包到達(dá)接受端時此字段的值。一旦建立安全連接，接收方就可能會選擇后一種服務(wù)。B有CA的公鑰所以能解出CA里面的東西，這樣就說明驗(yàn)證成功。一般設(shè)備驗(yàn)證的KEY不用做加密，因?yàn)榧用芏际强赡娴模▽ΨQ加密） 而HMAC不可逆。 源認(rèn)證和數(shù)據(jù)來源認(rèn)證1）帶外域共享密鑰最常用的設(shè)備驗(yàn)證方法就是帶外域共享對稱密鑰加密認(rèn)證。它是目前IT市場上用的最多的HMAC。MD5創(chuàng)建一個128位的數(shù)字簽名。只有知道密鑰的一方才能建立并檢驗(yàn)發(fā)送的數(shù)據(jù)簽名。HMAC功能特別開發(fā)用于處理和數(shù)據(jù)及數(shù)據(jù)包有關(guān)的驗(yàn)證問題。輸出的是一個固定的長度結(jié)果。AES是IPsecVPN中最常使用的加密算法，也是對稱加密中最安全的算法。即使是這樣，因?yàn)锳ES是用有效的方法編寫的，它實(shí)際上消耗CPU較少。2）AESNITS在2002年用先進(jìn)的加密標(biāo)準(zhǔn)AES代替了DES和3DES。DES使用了三個不同的56為密鑰，被執(zhí)行了三次，產(chǎn)生一個168位的有效密鑰長度，而且沒有被攻破。理論上3DES 是DES的增強(qiáng)版本?，F(xiàn)在DES可以在PC上用40分鐘的時間攻破。DES在1998年被一臺超級計算機(jī)在56小時內(nèi)攻破，1999年用分布式計算機(jī)DES被22小時內(nèi)攻破。攻破DES還沒有找到更容易的方法，但通過使用一種強(qiáng)力攻擊，嘗試2的55次方種可能的密鑰值來猜測使用的密碼信息。這個密鑰長度是64位，但是其中8位用來做奇偶效驗(yàn)，所以有效密鑰長度位56位。DES是一個塊密碼加密算法。 機(jī)密性 1）DES與3DES DES和3DES是在VPN中非常普遍采用的加密算法。ISAKMP定義了消息交換的體系結(jié)構(gòu),包括二個IPsec對等體間分組形式和狀態(tài)轉(zhuǎn)換。一般情況下,AH的很多功能都被嵌入到ESP中了。在這些協(xié)議中,。ESP(負(fù)載安全封裝)協(xié)議提供加密,認(rèn)證和保護(hù)數(shù)據(jù)的框架。MPLSVPN產(chǎn)品可提供從64K－2M－100M的帶寬，目前已覆蓋全國50多個大中城市，以及香港、臺灣、日本、美國、韓國、新加坡、澳大利亞、馬來西亞、菲律賓等地，可充分滿足大型企業(yè)、跨國集團(tuán)進(jìn)行全國或全球組網(wǎng)的需求。IPSEC是與應(yīng)用無關(guān)的技術(shù)，因此IPSec VPN的客戶端支持所有IP層協(xié)議，對應(yīng)用層協(xié)議完全透明，這是IPSEC VPN最大優(yōu)點(diǎn)所在。3）IPsecVPNIPsecVPN是網(wǎng)絡(luò)層的VPN技術(shù)，它獨(dú)立于應(yīng)用程序，以自己的封包封裝原始IP信息，因此可隱藏所有應(yīng)用協(xié)議的信息。GRE的隧道由兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，并支持全部的路由協(xié)議，如RIP、OSPF、IGRP、EIGRP。 GRE VPN：GRE（Generic Routing Encapsulation）即通用路由封裝協(xié)議是對某些網(wǎng)絡(luò)層協(xié)議（如IP和IPX）的數(shù)據(jù)報進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報能夠在另一個網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。它是近年來興起的VPN技術(shù)，其應(yīng)用隨著Web的普及和電子商務(wù)、遠(yuǎn)程辦公的興起而發(fā)展迅速。企業(yè)一般按照自己的需求選擇合適的VPN，每種VPN都有自己的優(yōu)點(diǎn)和缺點(diǎn)。L2TP中的NAT問題LAC在同位于NAT之后的LNS建立連接時可能會出現(xiàn)問題L2TP多實(shí)例L2TP協(xié)議上加入多實(shí)例技術(shù)，讓L2TP支持在一臺設(shè)備將不同的用戶劃分在不同的VPN，各個VPN之內(nèi)的數(shù)據(jù)可以互通，且在LNS兩個不同VPN之間的數(shù)據(jù)不能互相訪問，即使L2TP接入是同一個設(shè)備。L2TP客戶端功能擴(kuò)展了標(biāo)準(zhǔn)的L2TP功能，支持LAC客戶端功能，不僅可以為PPP或PPPOE用戶提供接入，而且也可以為其他連接方式的用戶提供接入，例如以太網(wǎng)接入。L2TP VPN可以提供LAC側(cè)的用戶接入驗(yàn)證和LNS側(cè)的用戶再次驗(yàn)證，可以提供比較安全的VPN接入功能。L2TP VPN的連接方式分為兩種：PC直接發(fā)起連接和LAC設(shè)備發(fā)起連接。L2TP協(xié)議是由IETF起草，微軟、Ascend、Cisco，3等公司參予制定的二層隧道協(xié)議，它結(jié)合了PPTP和L2F兩種二層隧道協(xié)議的優(yōu)點(diǎn)，為眾多公司所接受，已經(jīng)成為IETF有關(guān)2層通道協(xié)議的工業(yè)標(biāo)準(zhǔn)，基于微軟的點(diǎn)對點(diǎn)隧道協(xié)議 (PPTP)和思科2層轉(zhuǎn)發(fā)協(xié)議(L2F)之上的，被一個因特網(wǎng)服務(wù)提供商和公司使用使這個虛擬私有網(wǎng)絡(luò)的操作能夠通過因特網(wǎng)。 VPN種類 二層VPN L2TP該協(xié)議是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對網(wǎng)絡(luò)