vpn技術論文范文
前言:我們精心挑選了數篇優質vpn技術論文文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
關鍵詞:虛擬專用網vpn遠程訪問網絡安全
引言
隨著信息時代的來臨,企業的發展也日益呈現出產業多元化、結構分布化、管理信息化的特征。計算機網絡技術不斷提升,信息管理范圍不斷擴大,不論是企業內部職能部門,還是企業外部的供應商、分支機構和外出人員,都需要同企業總部之間建立起一個快速、安全、穩定的網絡通信環境。怎樣建立外部網絡環境與內部網絡環境之間的安全通信,實現企業外部分支機構遠程訪問內部網絡資源,成為當前很多企業在信息網絡化建設方面亟待解決的問題。
一、VPN技術簡介
VPN(VirtualPrivateNetwork)即虛擬專用網絡,指的是依靠ISP(Internet服務提供商)和其他NSP(網絡服務提供商)在公用網絡中建立專用的數據通信網絡的技術,通過對網絡數據的封裝和加密傳輸,在公用網絡上傳輸私有數據的專用網絡。在隧道的發起端(即服務端),用戶的私有數據經過封裝和加密之后在Internet上傳輸,到了隧道的接收端(即客戶端),接收到的數據經過拆封和解密之后安全地到達用戶端。
VPN可以提供多樣化的數據、音頻、視頻等服務以及快速、安全的網絡環境,是企業網絡在互聯網上的延伸。該技術通過隧道加密技術達到類似私有網絡的安全數據傳輸功能,具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問,通過安全的數據通道將企業分支機構、遠程用戶、現場服務人員等跟公司的企業網連接起來,構成一個擴展的公司企業網,此外它還提供了對移動用戶和漫游用戶的支持,使網絡時代的移動辦公成為現實。
隨著互聯網技術和電子商務的蓬勃發展,基于Internet的商務應用在企業信息管理領域得到了長足發展。根據企業的商務活動,需要一些固定的生意伙伴、供應商、客戶也能夠訪問本企業的局域網,從而簡化信息傳遞的路徑,加快信息交換的速度,提高企業的市場響應速度和決策速度。同時,圍繞企業自身的發展戰略,企業的分支機構越來越多,企業需要與各分支機構之間建立起信息相互訪問的渠道。面對越來越復雜的網絡應用和日益突出的信息處理問題,VPN技術無疑給我們提供了一個很好的解決思路。VPN可以幫助遠程用戶同公司的內部網建立可信的安全連接,并保證數據的安全傳輸,通過將數據流轉移到低成本的網絡上,大幅度地減少了企業、分支機構、供應商和客戶花在信息傳遞環節的時間,降低了企業局域網和Internet安全對接的成本。VPN的應用建立在一個全開放的Internet環境之中,這樣就大大簡化了網絡的設計和管理,滿足了不斷增長的移動用戶和Internet用戶的接入,以實現安全快捷的網絡連接。
二、基于Internet的VPN網絡架構及安全性分析
VPN技術類型有很多種,在互聯網技術高速發展的今天,可以利用Internet網絡技術實現VPN服務器架構以及客戶端連接應用,基于Internet環境的VPN技術具有成本低、安全性好、接入方便等特點,能夠很好的滿足企業對VPN的常規需求。
2.1Internet環境下的VPN網絡架構Internet環境下的VPN網絡包括VPN服務器、VPN客戶端、VPN連接、隧道等幾個重要環節。在VPN服務器端,用戶的私有數據經過隧道協議和和數據加密之后在Internet上傳輸,通過虛擬隧道到達接收端,接收到的數據經過拆封和解密之后安全地傳送給終端用戶,最終形成數據交互。基于Internet環境的企業VPN網絡拓撲結構。
2.2VPN技術安全性分析VPN技術主要由三個部分組成:隧道技術,數據加密和用戶認證。隧道技術定義數據的封裝形式,并利用IP協議以安全方式在Internet上傳送;數據加密保證敏感數據不會被盜取;用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸,因此安全問題是VPN技術的核心問題,目前,VPN的安全保證主要是通過防火墻和路由器,配以隧道技術、加密協議和安全密鑰來實現的,以此確保遠程客戶端能夠安全地訪問VPN服務器。
在運行性能方面,隨著企業電子商務活動的激增,信息處理量日益增加,網絡擁塞的現象經常發生,這給VPN性能的穩定帶來極大的影響。因此制定VPN方案時應考慮到能夠對網絡通信進行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略,分配基于數據傳輸重要性的接口帶寬,這樣既能滿足重要數據優先應用的原則,又不會屏蔽低優先級的應用。考慮到網絡設施的日益完善、網絡應用程序的不斷增加、網絡用戶數量的快速增長,對與復雜的網絡管理、網絡安全、權限分配的綜合處理能力是VPN方案應用的關鍵。因此VPN方案要有一個固定的管理策略以減輕管理、報告等方面的負擔,管理平臺要有一個定義安全策略的簡單方法,將安全策略進行合理分布,并能管理大量網絡設備,確保整個運行環境的安全穩定。
三、Windows環境下VPN網絡的設計與應用
企業利用Internet網絡技術和Windows系統設計出VPN網絡,無需鋪設專用的網絡通訊線路,即可實現遠程終端對企業資源的訪問和共享。在實際應用中,VPN服務端需要建立在Windows服務器的運行環境中,客戶端幾乎適用于所有的Windows操作系統。下面以Windows2003系統為例介紹VPN服務器與客戶端的配置。
3.1Windows2003系統中VPN服務器的安裝配置在Windows2003系統中VPN服務稱之為“路由和遠程訪問”,需要對此服務進行必要的配置使其生效。
3.1.1VPN服務的配置。桌面上選擇“開始”“管理工具”“路由和遠程訪問”,打開“路由和遠程訪問”服務窗口;鼠標右鍵點擊本地計算機名,選擇“配置并啟用路由和遠程訪問”;在出現的配置向導窗口點下一步,進入服務選擇窗口;標準VPN配置需要兩塊網卡(分別對應內網和外網),選擇“遠程訪問(撥號或VPN)”;外網使用的是Internet撥號上網,因此在彈出的窗口中選擇“VPN”;下一步連接到Internet的網絡接口,此時會看到服務器上配置的兩塊網卡及其IP地址,選擇連接外網的網卡;在對遠程客戶端指派地址的時候,一般選擇“來自一個指定的地址范圍”,根據內網網段的IP地址,新建一個指定的起始IP地址和結束IP地址。最后,“設置此服務器與RADIUS一起工作”選否。VPN服務器配置完成。
3.1.2賦予用戶撥入權限設置。默認的系統用戶均被拒絕撥入到VPN服務器上,因此需要為遠端用戶賦予撥入權限。在“管理工具”中打開“計算機管理”控制臺;依次展開“本地用戶和組”“用戶”,選中用戶并進入用戶屬性設置;轉到“撥入”選項卡,在“選擇訪問權限(撥入或VPN)”選項組下選擇“允許訪問”,即賦予了遠端用戶撥入VPN服務器的權限。
3.2VPN客戶端配置VPN客戶端適用范圍更廣,這里以Windows2003為例說明,其它的Windows操作系統配置步驟類似。
在桌面“網上鄰居”圖標點右鍵選屬性,之后雙擊“新建連接向導”打開向導窗口后點下一步;接著在“網絡連接類型”窗口里選擇“連接到我的工作場所的網絡”;在網絡連接方式窗口里選擇“虛擬專用網絡連接”;接著為此連接命名后點下一步;在“VPN服務器選擇”窗口里,輸入VPN服務端地址,可以是固定IP,也可以是服務器域名;點下一步依次完成客戶端設置。在連接的登陸窗口中輸入服務器所指定的用戶名和密碼,即可連接上VPN服務器端。:
3.3連接后的共享操作當VPN客戶端撥入連接以后,即可訪問服務器所在局域網里的信息資源,就像并入局域網一樣適用。遠程用戶既可以使用企業OA,ERP等信息管理系統,也可以使用文件共享和打印等共享資源。
四、小結
現代化企業在信息處理方面廣泛地應用了計算機互聯網絡,在企業網絡遠程訪問以及企業電子商務環境中,虛擬專用網(VPN)技術為信息集成與優化提供了一個很好的解決方案。VPN技術利用在公共網絡上建立安全的專用網絡,從而為企業用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務,是企業內部網的擴展和延伸。VPN技術在企業資源管理與配置、信息的共享與交互、供應鏈集中管理、電子商務等方面都具有很高的應用價值,在未來的企業信息化建設中具有廣闊的前景。
參考文獻:
第2篇
一、現代金融網絡系統典型架構及其安全現狀
就金融業目前的大部分網絡應用而言,典型的省內網絡結構一般是由一個總部(省級網絡中心)和若干個地市分支機構、以及數量不等的合作伙伴和移動遠程(撥號)用戶所組成。除遠程用戶外,其余各地市分支機構均為規模不等的局域網絡系統。其中省級局域網絡是整個網絡系統的核心,為金融機構中心服務所在地,同時也是該金融企業的省級網絡管理中心。而各地市及合作伙伴之間的聯接方式則多種多樣,包括遠程撥號、專線、Internet等。
從省級和地市金融機構的互聯方式來看,可以分為以下三種模式:(1)移動用戶和遠程機構用戶通過撥號訪問網絡,撥號訪問本身又可分為通過電話網絡撥入管理中心訪問服務器和撥入網絡服務提供商兩種方式;(2)各地市遠程金融分支機構局域網通過專線或公共網絡與總部局域網絡連接;(3)合作伙伴(客戶、供應商)局域網通過專線或公共網絡與總部局域網連接。
由于各類金融機構網絡系統均有其特定的發展歷史,其網絡技術的運用也是傳統技術和先進技術兼收并蓄。通常在金融機構的網絡系統建設過程中,主要側重于網絡信息系統的穩定性并確保金融機構的正常生產營運。
就網絡信息系統安全而言,目前金融機構的安全防范機制仍然是脆弱的,一般金融機構僅利用了一些常規的安全防護措施,這些措施包括利用操作系統、數據庫系統自身的安全設施;購買并部署商用的防火墻和防病毒產品等。在應用程序的設計中,也僅考慮到了部分信息安全問題。應該說這在金融業務網絡建設初期的客觀環境下是可行的,也是客觀條件限制下的必然。由于業務網絡系統中大量采用不是專為安全系統設計的各種版本的商用基礎軟件,這些軟件通常僅具備一些基本的安全功能,而且在安裝時的缺省配置往往更多地照顧了使用的方便性而忽略了系統的安全性,如考慮不周很容易留下安全漏洞。此外,金融機構在獲得公共Internet信息服務的同時并不能可靠地獲得安全保障,Internet服務提供商(ISP)采取的安全手段都是為了保護他們自身和他們核心服務的可靠性,而不是保護他們的客戶不被攻擊,他們對于你的安全問題的反應可能是提供建議,也可能是盡力幫助,或者只是關閉你的連接直到你恢復正常。因此,總的來說金融系統中的大部分網絡系統遠沒有達到與金融系統信息的重要性相稱的安全級別,有的甚至對于一些常規的攻擊手段也無法抵御,這些都是金融管理信息系統亟待解決的安全問題。
二、現代金融網絡面臨的威脅及安全需求
目前金融系統存在的網絡安全威脅,就其攻擊手段而言可分為針對信息的攻擊、針對系統的攻擊、針對使用者的攻擊以及針對系統資源的攻擊等四類,而實施安全攻擊的人員則可能是外部人員,也可能是機構內部人員。
針對信息的攻擊是最常見的攻擊行為,信息攻擊是針對處于傳輸和存儲形態的信息進行的,其攻擊地點既可以在局域網內,也可以在廣域網上。針對信息的攻擊手段的可怕之處在于其隱蔽性和突然性,攻擊者可以不動聲色地竊取并利用信息,而無慮被發現;犯罪者也可以在積聚足夠的信息后驟起發難,進行敲詐勒索。此類案件見諸報端層出不窮,而未公開案例與之相比更是數以倍數。
利用系統(包括操作系統、支撐軟件及應用系統)固有的或系統配置及管理過程中的安全漏洞,穿透或繞過安全設施的防護策略,達到非法訪問直至控制系統的目的,并以此為跳板,繼續攻擊其他系統。由于我國的網絡信息系統中大量采用不是專為安全系統設計的基礎軟件和支撐平臺,為了照顧使用的方便性而忽略了安全性,導致許多安全漏洞的產生,如果再考慮到某些軟件供應商出于政治或經濟的目的,可能在系統中預留“后門”,因此必須采用有效的技術手段加以預防。
針對使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑,攻擊者多利用管理者和使用者安全意識不強、管理制度松弛、認證技術不嚴密的特點,通過種種手段竊取系統權限,通過合法程序來達到非法目的,并可在事后嫁禍他人或毀滅證據,導致此類攻擊難以取證。
針對資源的攻擊是以各種手段耗盡系統某一資源,使之喪失繼續提供服務的能力,因此又稱為拒絕服務類攻擊。拒絕服務攻擊的高級形式為分布式拒絕服務攻擊,即攻擊者利用其所控制的成百上千個系統同時發起攻擊,迫使攻擊對象癱瘓。由于針對資源的攻擊利用的是現有的網絡架構,尤其是Internet以及TCP/IP協議的固有缺陷,因此在網絡的基礎設施沒有得到大的改進前,難以徹底解決。
金融的安全需求安全包括五個基本要素:機密性、完整性、可用性、可審查性和可控性。目前國內金融機構的網絡信息系統應重點解決好網絡內部的信息流動及操作層面所面臨的安全問題,即總部和分支機構及合作伙伴之間在各個層次上的信息傳輸安全和網絡訪問控制問題。網絡系統需要解決的關鍵安全問題概括起來主要有:傳輸信息的安全、節點身份認證、交易的不可抵賴性和對非法攻擊事件的可追蹤性。
必須指出:網絡信息系統是由人參與的信息環境,建立良好的安全組織和管理是首要的安全需求,也是一切安全技術手段得以有效發揮的基礎。金融行業需要的是集組織、管理和技術為一體的完整的安全解決方案。
三、網絡安全基本技術與VPN技術
解決網絡信息系統安全保密問題的兩項主要基礎技術為網絡訪問控制技術和密碼技術。網絡訪問控制技術用于對系統進行安全保護,抵抗各種外來攻擊。密碼技術用于加密隱蔽傳輸信息、認證用戶身份、抗否認等。
密碼技術是實現網絡安全的最有效的技術之一,實際上,數據加密作為一項基本技術已經成為所有通信數據安全的基石。在多數情況下,數據加密是保證信息機密性的唯一方法。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法,這使得它能以較小的代價提供很強的安全保護,在現代金融的網絡安全的應用上起著非常關鍵的作用。
虛擬專用網絡(VPN:VirtualPrivateNetwork)技術就是在網絡層通過數據包封裝技術和密碼技術,使數據包在公共網絡中通過“加密管道”傳播,從而在公共網絡中建立起安全的“專用”網絡。利用VPN技術,金融機構只需要租用本地的數據專線,連接上本地的公眾信息網,各地的機構就可以互相安全的傳遞信息;另外,金融機構還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以安全的連接進入金融機構網絡中,進行各類網絡結算和匯兌。
綜合利用網絡互聯的隧道技術、數據加密技術、網絡訪問控制技術,并通過適當的密鑰管理機制,在公共的網絡基礎設施上建立安全的虛擬專用網絡系統,可以實現完整的集成化金融機構范圍VPN安全解決方案。對于現行的金融行業網絡應用系統,采用VPN技術可以在不影響現行業務系統正常運行的前提下,極大地提高系統的安全性能,是一種較為理想的基礎解決方案。
當今VPN技術中對數據包的加解密一般應用在網絡層(對于TCP/IP網絡,發生在IP層),從而既克服了傳統的鏈(線)路加密技術對通訊方式、傳輸介質、傳輸協議依賴性高,適應性差,無統一標準等缺陷,又避免了應用層端——端加密管理復雜、互通性差、安裝和系統遷移困難等問題,使得VPN技術具有節省成本、適應性好、標準化程度高、便于管理、易于與其他安全和系統管理技術融合等優勢,成為目前和今后金融安全網絡發展的一個必然趨勢。
從應用上看虛擬專用網可以分為虛擬企業網和虛擬專用撥號網絡(VPDN)。虛擬企業網主要是使用專線上網的部分企業、合作伙伴間的虛擬專網;虛擬專用撥號網絡是使用電話撥號(PPP撥號)上網的遠程用戶與企業網間的虛擬專網。虛擬專網的重點在于建立安全的數據通道,構造這條安全通道的協議應該具備以下條件:保證數據的真實性,通訊主機必須是經過授權的,要有抵抗地址假冒(IPSpoofing)的能力。保證數據的完整性,接收到的數據必須與發送時的一致,要有抵抗不法分子篡改數據的能力。保證通道的機密性,提供強有力的加密手段,必須使竊聽者不能破解攔截到的通道數據。提供動態密鑰交換功能和集中安全管理服務。提供安全保護措施和訪問控制,具有抵抗黑客通過VPN通道攻擊企業網絡的能力,并且可以對VPN通道進行訪問控制。
第3篇
在南水北調自動化業務系統中的應用按照南水北調自動化業務系統業務網的高安全可靠性要求,結合南水北調中線工程需求,一方面在網絡結構的設計上采用層次化結構,按照業務類別進行物理劃分;另一方面,利用MPLSVPN技術將各應用系統在邏輯上劃分為獨立的網絡。根據現有MPLSVPN計算機網絡組網技術,整個網絡配置成一個MPLS域,將核心層、骨干層路由器配置成P設備,區域層和接入層路由器設備全部配置成PE設備;P和PE設備之間運行MPLSLDP協議,所有PE路由器之間運行MP-iBGP協議。將接入層交換機作為CE,經二層鏈路采用靜態路由連接到接入層PE設備;PE設備為每個接入的VPN用戶建立并維護獨立的VRF,根據CE設備接入端口的不同,控制其進入相應的VPN中,實現與其他VPN應用系統和網管類流量的隔離。總公司、分公司、管理處的各應用系統都通過專用的應用系統LAN交換機接入,局域網主干交換機作為CE,經二層鏈路采用靜態路由連接到接入層PE設備;PE設備為每個應用系統建立并維護獨立的VRF,根據CE設備接入端口的不同,控制其進入相應的應用系統VPN中,實現與其他應用系統和網管類流量的隔離。
2MPLSVPN互訪策略
在南水北調自動化業務系統中的應用按照MPLSVPN劃分的原則,不同MPLSVPN之間不能互相訪問,這確保了VPN的安全可靠性。但是,南水北調中線干線工程自動化應用系統之間存在MPLSVPN子系統之間、用戶至不同業務系統服務器之間的受控互訪的需求。也就是說,網絡需要方便地控制不同MPLSVPN之間的互訪,而且要實現嚴格控制互訪;同時,為保障各業務系統安全,需要對用戶訪問采取控制措施。
2.1MPLSVPN子系統之間互訪
通過BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式,通過MP-BGP協議配置建立路由信息,來達到不同VPN之間的路由擴散;通過VPN內部的路由器(或防火墻)做地址過濾、報文過濾等方式控制訪問的用戶。上述兩種方式結合使用,實現了子系統的靈活受控互訪。
2.2應用終端交互訪問不同MPLSVPN
2.2.1方案一
NAT方案此種方案是將多用途終端主機的業務流在CE進行分類,不同的業務流進行不同的靜態NAT(映射不同的IP地址)。對每個業務系統的主機/服務器可以分配連續的地址空間,PE設備只需要維護較為簡單的路由表,CE配置確定后一般不需要修改。
2.2.2方案二
PE節點作訪問控制在PE設備上,通過多角色主機技術,將某個VRF中指定的路由(特殊終端的路由),引入到另外一個VRF中,在PE的CE側接口上配置策略路由,當流量匹配ACL,則重定向到VPN組,查找并轉發,從而實現不同的MPLSVPN可以同時訪問該特殊終端。
2.2.3方案三
802.1X強制認證+Windows域管理802.1X協議在利用IEEE802局域網優勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段,與VRF路由表的導入導出機制結合使用,從而達到接受合法用戶接入、保護網絡安全的目的。用戶訪問其他MPLSVPN,需要禁用、再啟用網卡,重新輸入不同MPLSVPN的不同身份信息實現。顯然,基于PE節點作訪問控制的方案配置簡單,傳輸效率高,互通網絡可靠性強,無論從網絡實現、網絡性能、網絡安全以及網絡管理各方面分析,更適用于南水北調中線干線工程自動化各系統應用終端交互訪問不同的MPLSVPN。
3結語