【正文】 . 訪問控制技術(shù) 訪問控制也是網(wǎng)絡(luò)安全防范和保護的主要技術(shù)，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。4. 虛擬專用網(wǎng)VPN技術(shù)VPN技術(shù)可以在遠程用戶、公司分支機構(gòu)、商業(yè)合作伙伴與公司的內(nèi)部網(wǎng)之間建立可靠的安全連接，并保護數(shù)據(jù)的安全傳輸。一個VPN至少提供如下功能： （3）訪問權(quán)限控制。通常情況下，有基于防火墻的VPN、基于路由器的VPN、基于服務(wù)器的VPN和專用的VPN設(shè)備等。 VPN技術(shù)介紹為適應(yīng)全球經(jīng)濟一體化的格局與發(fā)展，利用IP協(xié)議和現(xiàn)有的Internet來建立企業(yè)的安全的專有網(wǎng)絡(luò)，成為主要VPN發(fā)展趨勢，VPN網(wǎng)絡(luò)給用戶所帶來的好處主要表現(xiàn)在以下幾個方面： 1. 節(jié)約成本　　節(jié)約成本是VPN網(wǎng)絡(luò)技術(shù)的最為重要的一個優(yōu)勢，也是它取勝傳統(tǒng)的專線網(wǎng)絡(luò)的關(guān)鍵所在。2. 增強的安全性　　目前VPN主要采用四項技術(shù)來保證數(shù)據(jù)通信安全，這四項技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryptionamp。3. 網(wǎng)絡(luò)協(xié)議支持　　VPN支持最常用的網(wǎng)絡(luò)協(xié)議，這樣基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機都可以很容易地使用VPN，這意味著通過VPN連接可以遠程運行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。 5. 安全的IP地址，　　由于VPN是加密的，VPN數(shù)據(jù)包在因特網(wǎng)中傳輸時因特網(wǎng)上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址，因此遠程專用網(wǎng)絡(luò)上指定的地址是受到保護的。有人曾這樣比喻互聯(lián)網(wǎng)，互聯(lián)網(wǎng)就像一片汪洋大海，接入互聯(lián)網(wǎng)的每個用戶就像是漂泊在這汪洋大海里的一葉孤舟，隨時都會有觸礁和遭遇風暴的危險，但網(wǎng)絡(luò)帶給人類的誘惑是無法抗拒的，VPN虛擬網(wǎng)絡(luò)的出現(xiàn)不僅解決了信息的安全傳輸還解決的企業(yè)與各個之間的通信。（2）為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)與合作伙伴和有共同利益的外部內(nèi)聯(lián)網(wǎng)實現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)（Extranet）概念。中小型企業(yè)如果自己購買VPN設(shè)備，財務(wù)成本會比較高，而且一般中小型企業(yè)的資金能力有限，但VPN技術(shù)最顯著的一個特點就是節(jié)約成本，這種網(wǎng)絡(luò)沒有自己所有權(quán)的網(wǎng)絡(luò)設(shè)備和通信線纜，是通過租入或臨時租用的公共通信設(shè)備設(shè)施中的某一部分供自己完成業(yè)務(wù)并保證了信息的安全性，所以發(fā)展中小型企業(yè)VPN技術(shù)是最好的選擇。我們根據(jù)VPN的虛擬技術(shù)在企業(yè)與客戶、總部與分部以及外出人員之間建立了安全可靠的虛擬通道，并用運用密碼算法對數(shù)據(jù)進行加密處理來保證傳輸信息的安全性，對數(shù)據(jù)進行完整性校驗，為了保障信息在internet上傳輸?shù)陌踩?，VPN采用了隧道、認證、存取控制、機密性、數(shù)據(jù)完整性等措施，解決了企業(yè)與客戶、總部與分部以及外出人員之間傳輸?shù)男畔⒉槐煌悼?、篡改、?fù)制。第2章 VPN技術(shù)及其應(yīng)用 VPN概念VPN是英文virtual private network的縮寫，這里專指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用或私有網(wǎng)，可以被認為是一種公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)。雖然VPN在本質(zhì)上并不是完全獨立的網(wǎng)絡(luò)，它與真正網(wǎng)絡(luò)的差別在于VPN以隔離方式通過共享公共通信基礎(chǔ)設(shè)施，我們從通信角度將VPN定義為：“VPN是一種通信環(huán)境，在這一環(huán)境中，存取受到控制目的在于只許被確定為同一個共同體的內(nèi)部同層連接，而VPN的構(gòu)建則是通過對公共通信基礎(chǔ)設(shè)施的通信介質(zhì)進行某種邏輯分割來進行的，”同時我們從組網(wǎng)技術(shù)角度將VPN定義為：“VPN通過共享通信基礎(chǔ)設(shè)施為用戶提供制定的網(wǎng)絡(luò)連接，這種定制的連接要求用戶共享相同的安全性、優(yōu)先級服務(wù)、可靠性和管理性策略，在共享的基礎(chǔ)通信設(shè)施上采用隧道技術(shù)和特殊配置技術(shù)措施，仿真點到點的連接。VPN通過對數(shù)據(jù)進行完整性校驗，運用密碼算法對數(shù)據(jù)進行加密處理來保證其安全性。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。目前大部分的VPN市場份額仍由VPN產(chǎn)品銷售體現(xiàn)，在未來的若干年里，VPN服務(wù)所占的市場份額將超過VPN產(chǎn)品，這也體現(xiàn)了信息安全服務(wù)成為競爭焦點的趨勢。把因特網(wǎng)用作專用廣域網(wǎng)，就要克服兩個主要障礙。所以，VPN就需要提供一種方法，將非IP的協(xié)議從一個網(wǎng)絡(luò)傳送到另一個網(wǎng)絡(luò)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機密信息，這顯然是一個問題。 圖 11工作原理源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目標網(wǎng)絡(luò)上的VPN隧道發(fā)起器進行通信。最后VPN發(fā)起器將整個加密包封裝成IP包。又因為包進行了加密，所以誰也無法讀取原始數(shù)據(jù)。 VPN技術(shù)的應(yīng)用領(lǐng)域利用VPN技術(shù)幾乎可以解決所有利用公共通信網(wǎng)絡(luò)進行通信的虛擬專用網(wǎng)絡(luò)連接的問題。 遠程訪問為解決企事業(yè)單位職員出差在外，通過公共通信網(wǎng)絡(luò)共享內(nèi)聯(lián)網(wǎng)資源而提出的遠程接入（Remote access）概念。推而廣之，遠程用戶可與任何一臺主機或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實現(xiàn)遠程VPN訪問。不難證明，其他類型的VPN都是Access VPN的組合、延伸和擴展。一個組織機構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施上采用的隧道技術(shù)等VPN技術(shù)構(gòu)成組織機構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡(luò)，當其將公司所有權(quán)的VPN設(shè)備配置在各個公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時，這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。 為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)與合作伙伴和有共同利益的外部內(nèi)聯(lián)網(wǎng)實現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)（Extranet）概念。這樣組建的外聯(lián)網(wǎng)也叫Extranet VPN。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù)，必須解決其中的密碼分發(fā)、管理的一致性問題。PPP支持多種網(wǎng)絡(luò)協(xié)議，可把IP 、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個報文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報文或幀中繼或ATM中進行傳輸。PPTP的加密方法采用Microsoft點對點加密(MPPE: Microsoft Pointto Point) 算法，可以選用較弱的40位密鑰或強度較大的128位密鑰。 L2TP 協(xié)議1997年底Microsoft 和Cisco公司把PPTP 協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起，形成了L2TP協(xié)議。這類服務(wù)不單支持已注冊的IP地址，也支持私有的IP地址，以及IPX、。因為這類服務(wù)支持已耗費了大量資金建成的傳統(tǒng)非IP網(wǎng)，或允許共同因特網(wǎng)巨大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。L2TP將PPP分組進行隧道封裝并在不同傳輸媒體上傳輸，使用PPP可靠性發(fā)送(RFC 1663)實現(xiàn)數(shù)據(jù)包的可靠發(fā)送。 Ipsec協(xié)議IPSec(IP Securty)是IETF IPSec 工作組為了在IP層提供通信安全而制定的一套協(xié)議族。安全協(xié)議部分定義了對通信的各種保護方；密鑰協(xié)商部分定義了如何為安全協(xié)議商保護參數(shù)以及如何對通信實體的身份進行鑒別。其中ESP機制為通信提供機密性、完整性保護；AH機制為通信提供完整性保護。Ipsec協(xié)議使用IKE（Internet Key Exchange）協(xié)議實現(xiàn)安全協(xié)議自動安全參數(shù)協(xié)商。IKE將這些安全參數(shù)構(gòu)成的安全參數(shù)背景稱為安全關(guān)聯(lián)（Security Association,以下簡稱SA）。 設(shè)計Ipsec的目的 以TCP/IP協(xié)議簇的設(shè)計初衷及其使用環(huán)境基本未考慮互連技術(shù)造成的安全隱患和固有的漏洞，這是因為TCP/IP協(xié)議族的主要協(xié)議以及因特網(wǎng)原始主干均源于美國國防部的研究計劃和項目應(yīng)用，它運行于國防部內(nèi)部封閉的網(wǎng)絡(luò)。美國軍方將這一技術(shù)和主干網(wǎng)移交給社會使用時，已將原始主干網(wǎng)絡(luò)分成無物理連接的兩個部分。如今因特網(wǎng)中的攻擊方式層出不窮，人們因為商業(yè)的、政治的或個人目的互相偷聽、攻擊和破壞。IPSec 協(xié)議利用預(yù)享密鑰、數(shù)字簽名或公鑰加密實現(xiàn)強的通信實體身份相互鑒別，并對通信提供基于預(yù)享密鑰的分組級源鑒別；IPSec 協(xié)議通過ESP機制為通信提供機密性保護；IPSec 協(xié)議通過AH和ESP機制能夠為通信提供完整性保護；IPSec 協(xié)議通過AH和ESP機制能夠為通信提供抗重放攻擊。體系結(jié)構(gòu)定義了主機和網(wǎng)關(guān)應(yīng)提供的各種保護功能。ESP機制為通信提供機密性保護和完整性保護；AH機制對通信提供完整性保護。通信雙方何時應(yīng)實現(xiàn)ESP或AH保護、保護什么樣的通信、保護的強度如何以及何時應(yīng)實現(xiàn)密鑰協(xié)商等，都受到實施IPSec的安全策略的控制。 圖　31 IPSec各組件的關(guān)系 ESP機制 ESP機制主要是為通信提供機密性保護。因為ESP封裝的載荷內(nèi)容不同，可將ESP分為兩種模式： ?隧道模式：將整個IP分組封裝到ESP載荷之中。 ESP 封裝技術(shù)的隧道模式ESP機制通過將整個IP分組或上層協(xié)議部分（即傳輸層協(xié)議數(shù)據(jù)，如TCP、UDP或ICMP協(xié)議數(shù)據(jù))封裝到一個ESP載荷中，然后對此荷載進行相應(yīng)的安全處理，如加密處理、鑒別處理等，實現(xiàn)對通信的機密性或完整性保護，對于隧道模式，有如下典型實現(xiàn)模型如圖32所示。位于安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2之后的子網(wǎng)被認為是內(nèi)部可信的，因此分別稱其為網(wǎng)關(guān)1和網(wǎng)關(guān)2的保護子網(wǎng)。但當兩個子網(wǎng)之間的分組流經(jīng)網(wǎng)關(guān)1和網(wǎng)關(guān)2之間的公網(wǎng)時，將受到ESP機制的安全保護。?子網(wǎng)內(nèi)部可以使用私有IP地址，無須公有IP地址資源。這種模式的缺點則為：?增大了網(wǎng)關(guān)內(nèi)部的處理負荷，容易形成通信瓶頸。 ESP 封裝技術(shù)的傳輸模式對于傳輸模式，有如下典型實現(xiàn)模型：如圖33所示。主機11發(fā)送到主機21的IP分組將受到ESP提