第一篇:VPN技术的学习总结
VPN技术的学习总结
在网络安全课程的学习过程中,我对网络安全有了一些了解和认识。特别是它的基础概念,网络安全的具体要求,安全通信模型以及目前广泛使用的安全技术等知识。其中VPN技术是目前安全通信中既能保证一定的安全性又具有经济性的一项技术,因此它目前的市场应用十分广泛。所以在学习完这门课程后,我想对所有学过的知识做一个梳理,然后把我比较感兴趣的VPN技术做深入一些的学习和整理。
1.网络安全的基本概念
网络安全包含网络系统硬件、软件以及网络上存储和传输的信息资源的安全性。而其安全性包括计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续正常运行,网络服务不中断。
网络安全的威胁包括:计算机病毒,蠕虫,木马,拒绝服务攻击,逻辑炸弹,后门和隐蔽通道等。
在网络信息传输的过程中,信息的安全特性包括:机密性,完整性,可用性,不可否认性,可控性,可审查性,可恢复性。只有在满足了以上特性的信息传输才被认为是安全的。因此相对应于各个安全特性,网络安全服务需要做到的有:认证服务,访问控制服务,数据机密性服务,数据完整性服务,不可否认服务。在认证服务中,需要提供某个实体(人或系统)的身份保证,确保通信实体就是它们所声称的实体。使用口令是一种提供认证的熟知方法,数字证书和签名也可以提供信息发送方的身份认证。认证是对付假冒攻击的有效方法;
访问控制服务中,要能够防止对系统资源(如计算资源、通信资源或信息资源)的非授权访问和非授权使用,确保只有授权的实体才能访问授权的资源。访问控制直接支持机密性、完整性、可用性以及合法使用等安全目标。访问控制系统的关键是制定访问控制策略。它是系统安全防范中应用最普遍和最重要的安全机制,可提供机密性和完整性服务。访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。
数据机密性服务,能够保护信息不泄漏或不暴露给那些未授权掌握这一信息的实体(人或组织),确保授权实体才能理解受保护的信息,防止传输的数据遭到窃听、流量分析等被动攻击。机密性服务是通过加密机制来实现的,目前已有多种加密算法来保护数据的安全,可以根据不同的需求在网络结构的不同层次来实现。比如:若需保护全部通信业务流的机密性,可在物理层加密;若希望对端系统到端系统之间的通信进行保护,可在网络层加密。有时也可根据多个需求,在多个层次上提供加密。
数据完整性服务,是用来维护信息的一致性防止对信息的非授权篡改和破坏,使消息的接受者能判断消息是否被修改或被攻击者用假消息替换。数据完整性可以通过安全协议中的认证头AH协议,ESP协议,MAC算法等来保证。
不可否认服务,其目的是保护通信用户免遭来自系统中其他合法用户的威胁,而不是来自未知攻击者的威胁。通过公证机制的数字证书和时间戳可以保证信息发送方对发出的消息不能抵赖。
2.虚拟专用网VPN技术
虚拟专用网VPN(Virtual Private Network)技术是在公共传输网络中采用隧道技术,形成逻辑私有的通讯网络的技术。这样对通信安全要求高的用户就不需要向网络运营商要求单独牵一条专线,可以节省不少成本。VPN可实现数据公网传输的机密性、完整性,对通信双方的身份进行认证,并可解决异构网传输问题等。VPN可工作在很多层次,如工作在链路层的链路密码技术,工作在IP层的IPSEC VPN,GRE封装,工作在传输层的SSL VPN等。2.1.VPN系统的组成
VPN系统由以下七个部分组成,VPN服务器:接受来自VPN客户机的连接请求。VPN客户机:终端计算机或者路由器。隧道:数据传输通道,其中传输的数据必须经过封装。隧道协议:封装数据、管理隧道的通信标准。VPN连接:在VPN连接中,数据必须经过加密。传输数据:经过封装、加密后在隧道上传输的数据。公共网络:如Internet,也可以是其他共享型网络。下图一直观的显示了VPN系统的组成。
图一 VPN系统的组成
2.2.VPN系统通信流程与功能
首先,需要保护的主机发送明文信息到其VPN设备,其VPN设备根据管理员设置的规则,确定是对数据加密还是直接传送。如果是需要加密的数据,VPN 设备将其整个数据包进行加密和签名,加上新的数据报头(包括目的地VPN设备需要的安全信息和初始化参数)重新封装;封装后的数据包通过隧道在公网上传输;然后数据包到达目的VPN设备,收端VPN设备将数据包解封,核对签名后,将数据包解密。
实现的基本功能有五项,分别是身份鉴别:包括验证用户的身份,限制非授权用户的时候访问了什么资源。不同的用户对不同的资源应有不同的访问权限;地址管理:为每个客户分配一个地址,并保证地址对虚拟专用网外的不可见性;数据加密:保证通过公共网络传送的信息即使被他人截获也不会泄密;密钥管理:能够为VPN的客户和服务器生成和更新加密密钥;多协议支持:VPN必需能够处理公共网络常用的各种协议,包括IP、IPX等等; 2.3.VPN系统的分类
Intranet VPN:用于集团的总部和多个分支机构之间;分支机构网络是集团总部网络的可靠延伸;
Extranet VPN:为集团的供货商、重要客户和消费者等商业伙伴提供访问权限;电子商务是Extranet VPN的一种特殊形式;
Access VPN:为移动用户远程访问集团总部网络提供服务; 2.4.关键技术
隧道技术:VPN的核心技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道由隧道协议形成,常用的有2、3层隧道协议。
密码技术(由下面三项技术组成)
加解密技术:将认证信息、通信数据等转换为密文的相关技术,其可靠性主要取决于加解密的算法及强度。
密钥管理技术:如何在公用网上安全地传递密钥而不被窃取。身份认证技术:在正式的隧道连接开始之前需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权。2.5.身份认证方法
PAP(Password Authentication Protocol):是一种简单的明文用户名/口令认证方式。
CHAP(Challenge Handshake Authentication Protocol询问握手身份验证协议):是一种挑战响应式协议。它是PPP(MODEM或ADSL拨号)中普遍使用的认证协议。MS-CHAP:是微软针对Windows系统设计的,采用MPPE加密用户密码和数据。
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统):最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。
2.6.具体通信协议与方法 2.6.1.点对点隧道协议(PPTP)
PPTP(point – to – point Tunneling Protocol)是1996年Microsoft 和Ascend等在PPP协议上开发的支持Client-to-LAN类型的VPN连接。PPTP 使用 PPP 拨号连接,通过对PPP 分组的封装传输,将PPP 链接逻辑地延伸到远程用户与企业总部的PPTP服务器之间,从而借用PPP 协议成熟的机制对用户进行身份鉴别、访问授权以及网络配置,同时,通过PPTP封装传输,也使得使用企业内部地址的分组,能成功地穿越IP 异构网络,到达企业总部,以此达到资源共享。PPTP只能在两端点间建立单一隧道。
PPTP工作模式分为被动和主动两种模式。被动模式中,PPTP会话通过一个一般位于ISP 处的前端处理器发起,客户端不需安装任何PPTP软件,ISP 为用户提供相应的服务,这种方式降低了对客户的要求,但限制了客户对Internet 其他部分的访问。主动模式中,客户与网络另一端的服务器直接建立PPTP隧道,不需ISP 的参与,不需位于ISP 处的前端处理器,ISP 只提供透明的传输通道。这种方式的优点是客户对PPTP有绝对的控制。
PPTP隧道机制的特点有,PPTP不提供数据安全性保证,它必须借助PPP 的加密机制,如MPPE(Window自带),或者与其它安全协议如IPsec)结合使用,才能为隧道通信提供安全保护;由于PPP协议本身支持多协议传输,PPTP因此支持多协议传输; PPTP不支持多隧道复用,但通过呼叫ID 能支持对隧道的会话复用; PPTP通过GRE头中的序列号支持有限的分组排序功能; PPTP协议的系统开销适中;除了有限的流量控制功能,PPTP也基本不能提供QoS 保障。2.6.2.第2层转发L2F(Layer 2 Forward)协议
L2F(Layer 2 Forward)协议由Cisco公司提出,通过对PPP或SLIP分组的封装传输,能使PPP/SLIP分组在多种网络(如ATM、帧中继和IP网络)中传输。其标准于1998年提交IETF,发布在RFC 2341。L2F协议设计了L2F封装头, 形成L2F分组。L2F分组可在任何能提供点到点链接的底层媒体上发送。当L2F分组在IP网络上发送时,L2F分组将作为UDP协议的上层协议数据单元被封装成为UDP报文,经过IP协议发送。
以下是一个典型的L2F协议的实现:
图二 L2F协议的典型实现
远程用户通过ISDN/PSTN 网与NAS建立PPP 连接。VPN客户机通过VPN拨号向NAS服务器发送请求,希望建立与远程HGW的VPN连接。NAS根据用户名称等信息向HGW发送隧道建立连接请求,实现与HGW之间通过IP 网、帧中继或其它网络建立L2F 隧道,总部局域网通过HGW与外界连接。即远程用户与NAS之间建立一条PPP 链接。这条链接被NAS与HGW之间的L2F 隧道逻辑地延伸到HGW。2.6.3.第2层隧道协议(L2TP)
因特网工程任务组(IETF)希望统一虚拟拨号的标准,由此产生了L2TP(Layer 2 Tunneling Protocol)协议。它由微软、Ascend、Cisco、3COM等公司参予制定,结合了PPTP和L2F两种协议的优点,成为IETF标准RFC 2661。L2TP是典型的被动式隧道协议,可让用户从客户机或接入服务器发起VPN连接。L2TP协议设计了L2TP封装头,设计思想类似于L2F头。封装形成的L2TP分组可在任何能提供点到点链接的媒体上发送,如IP网、ATM和帧中继。当L2TP分组在IP网上进行发送时,L2TP分组被封装入UDP报文,再递交给IP协议进行发送。
而L2TP协议的工作流程如下:远程用户通过PSTN或ISDN网,向ISP发起PPP链接请求。在ISP的呈现点 POP处,LAC接受此连接,建立远程用户到LAC的PPP链接。远程用户与LAC互换LCP配置信息,并可能实现如CHAP身份鉴别信息的局部交换;
ISP的LAC依据CHAP应答中的名字信息,确定是否对此远程用户提供虚拟的拨号访问服务。若需要,则由名字信息确定该用户的总部所在地,即目的LNS;
如果LAC与该LNS之间没有建立隧道,或者因为保证QoS服务的需要,由LAC向LNS发起隧道的建立,并为该隧道分配一个隧道号,即Tunnel ID;并在隧道中为该用户呼叫分配一个ID号,称Call ID。LAC随后向LNS发出入站呼叫请求。该请求中可能包括LAC对远程用户收集的鉴别信息以及其它配置信息;如果LNS接受此入站呼叫,则在LNS为此呼叫产生一个“虚拟接口”,该虚拟接口为L2TP隧道的终点,其另一终点是建立于LAC上的一个L2TP虚拟接口;
LNS为远程用户分配IP地址。LNS分配给远程用户的IP地址由管理员设置,一般使用私有地址,但LAC和LNS需使用公共IP地址。从远程用户发送的PPP帧到达LAC后,LAC上的L2TP虚拟接口将PPP帧封装为L2TP分组之中,在特定的传输媒体上发送。当L2TP分组到达LNS端后,L2TP头被剥去,剩余的PPP或SLIP分组将与正常进入的分组一样被送入相应的接口进行处理。
从LNS发送到远程用户的数据的处理过程与此完全相似。2.6.4.IP安全协议(IPSec)与SSL VPN VPN技术虽然种类众多,但IETF下的IPSec工作组推出的IPSec协议是目前工业界IP VPN标准,安全性明显优于其它隧道协议,以IPSec协议构建虚拟专用网已成为主流。
基于IPSec构建IP VPN是指利用实现IPsec协议的安全网关(Security Gateway)充当边界路由器,完成安全的远程接入和在广域网上内部网络的“虚拟”专线互联等。
IPSec VPN的建立方式包括:Host 对Host,Host 对VPN 网关,VPN 对VPN 网关,Remote User 对VPN 网关,Host 对Host,Host 对VPN 网关,VPN 对VPN 网关,Remote User 对VPN 网关。SSL VPN主要供远程用户访问内部网络资源时使用,包括Web服务、文件服务(包括FTP 服务、Windows网上邻居服务)、可转化为Web方式的应用(如Webmail)以及基于C/S的各类应用等。SSL 应用模式基本分为三类:Web浏览器模式、专门的SSL VPN客户端模式和LAN 到LAN 模式。
在Web浏览器模式中,SSL VPN服务器使用https和socks 协议(实现代理功能,负责转发数据)。SSL VPN客户端与SSL VPN服务器间使用https协议;而SSL VPN服务器与单位内部服务器间使用http 协议。当客户端需要访问内部网络中的C/S应用时,它从SSL VPN服务器下载控件。该控件是一个服务监听程序,用于将客户端的C/S数据包转换为Http 协议支持的连接方法,并通知SSL VPN服务器它所采用的通信协议(TCP/UDP)及访问的目的服务地址和端口。客户端控件与SSL VPN服务器建立安全通道后,在本机接收客户端数据包后,通过SSL 通道转发给SSL VPN服务器。SSL VPN服务器解密数据后转发给内部网络的目的服务器。SSL VPN服务器接收到内部网络的服务器的响应数据包后,通过SSL 通道发给客户端控件。客户端控件解密后转发给客户端应用程序。
3.学习总结
网络安全技术是保证网络通信过程中,传递信息的机密性,完整性,可用性,不可否认性等。硬件层面的设备,线缆等安全性可以通过加强设计和提高生产技术来保证。软件层面的通信安全就需要靠安全通信协议和对明文内容的加密算法来实现。在通信网络的OSI分层中,软件层面的通信安全主要体现在网络层,传输层,会话层,表示层。在每个层中,根据网络通信类型和服务不同,使用的安全协议也有区别。密钥技术,数字证书技术等保证信息机密性,完整性,可用性,不可否认性的技术主要工作在表示层。而VPN技术是从链路层到表示层都有一整套协议和通信方式的技术,在各个层都能够保证信息不被篡改,阅读,抵赖。所以几乎能够相当于在用户之间建立了一条专线进行通信。
第二篇:vpn学习小结
VPN学习小结
1.VPN概述
随着通信基础设施建设和互联网络技术的飞速发展,各行各业纷纷借助互联网络技术来加快信息的流动速度,提升企业的综合竞争力。VPN 技术,就是一种目前业界主流的解决异地网络安全互连的加密通信协议。
VPN是Virtual Private Network(虚拟专用网络)的简称,指综合利用封装技术、加密技术,密钥交换技术、PKI技术,可以在公用的互联网络上,建立安全虚拟专用网络。
VPN 是一个被加密或封装的通信过程,该过程把数据安全地从一端传送到另一端,这里数据的安全性由可靠的加密技术来保障,而数据是在一个开放的、有安全保障的互联网上传输的。VPN 技术能够有效保证信息安全传输中的性”、“完整性”和“不可抵赖性”。
实际上,VPN是一种依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在VPN服务中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。用户不再需要拥有成本极高的长途数据线路,用Internet公众数据网络的长途数据线路,为自己制定一个最符合自己需求的网络,从而实现企业内部多个分支机构之间的数据通信、Voip电话、视频会议等多种业务。
包没“机密而是使
2.VPN主要技术
目前市场上多种 VPN技术并存,主要有以下几种:
PPTP/L2TP:属于上世纪末的技术,实现比较便捷,集成在 Windows 操作系统之中,使用方便。但技术过于简单,加密算法和协议的安全性以及性能吞吐率都很低,并发接入数目较低,属于非主流的VPN 技术,基本已被淘汰。
MPLS VPN:在IP路由和控制协议的基础上提供面向连接(基于标记)的交换。MPLS VPN需要公共IP网内部的所有相关路由器都能够支持 MPLS,所以这种技术对网络有较为特殊的要求。特别需要强调的是MPLS VPN的实施必须由运营商进行。MPLS VPN适用于对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。MPLS VPN的用户,需要通过光纤或者以太网接口FR(EDSL)专线接入电信骨干网络,MPLS VPN服务给企业提供高带宽的二层透明通路,企业可以自定义规划其网络结构和地址。
IPSec VPN:目前市场主流 VPN技术,由于 IPSec是在 IP 层进行加密和封装,所以在性能表现强劲的同时,又能支持各种基于 IP 协议的网络应用,是国际上公认的 IP 层 VPN技术标准。IPSec VPN 安全性好,对 IP 应用透明,性能高,灵活稳定,易于扩展,互通性强;适合网间互连(Site To Site)和客户端接入互连(Client To Site)。但是,局限性主要在于在Client To Site的通讯模式下,移动用户需要安装专门的VPN客户端软件,增添了使用和维护的复杂程度。
SSL VPN:专用于解决客户端接入互连(Client To Site)的传输层VPN技术。移动用户不需要安装VPN客户端软件,而使用WEB浏览器作为登陆方式。SSL VPN安全性好,使用灵活,不受网络接入环境的限制,对应用的控制粒度更细。但其局限性是:对许多 C/S应用的支持能力较差,性能相对较低;并且不能满足网间互连(Site To Site)的VPN连接需求,设备价格高昂,且SSL VPN 网关自身抗攻击能力差,需要额外的防火墙或安全网关等防护设备的保护。
3.VPN产品分类
根据产品应用对象,VPN产品分为:
中小型企业VPN:百兆接口、嵌入式处理器 大中型企业VPN:百兆接口、嵌入式处理器
大型企业VPN:千兆接口、X86架构处理器、集成加密卡
面向骨干网络和超大型企业VPN:千兆+光纤接口、至强处理器、集成加密卡
根据产品采用的技术,VPN产品分为: MPLS VPN IPSec VPN SSL VPN IPSec/SSL VPN
4.VPN产品主要功能
4.1.VPN产品通用功能
SSL VPN的关键技术包括:Web代理、端口转发、应用转换、网络连接(Network Connection, NC),目前大部分的SSL VPN产品,都是以这几项技术的一项或几项为基础研发实现的。那么,对国产SSL VPN产品而言,哪些技术尤其重要呢? 首先是Web代理技术。由于用户需要访问内网的Web应用,而且希望访问方式尽量简便,而只有具备Web代理技术,SSL VPN产品才能做到100%零客户端,才能为用户提供最简便的接入方式,因此,Web代理技术对国产SSL VPN产品而言是一项必须技术,也是SSL VPN产品是否专业的重要标准之一。
除了Web代理技术,端口转发技术的重要性也不容小觑。除了要访问除Web应用外,用户还需要经常访问组织内部的C/S架构应用,例如邮件、FTP、文件共享、数据库、ERP等,这时,SSL VPN产品采用端口转发技术实现对C/S应用的处理,是再合适不过的了。
至于应用转换技术,目前国内用户需求并不迫切。由于SSL VPN产品需要把FTP、Email,SSH等应用以Web的形式重新实现,实现起来比较复杂,还可能存在提供的功能不够完整,界面不够友好,不太符合用户的操作习惯以及控件引用是不合法等一系列问题。从另一个角度来看,用户在没有使用SSL VPN之前,都已经习惯通过相应的客户端软件对C/S应用进行访问,在使用SSL VPN后,仍然希望通过使用原来的客户端软件访问内部的各种C/S应用。由此看来,应用转换技术并不十分适应于国内的用户,也并非是国产SSL VPN产品的必须功能。
最后再看NC技术,由于NC技术可以实现SSL VPN与应用无关的特性,因此客户端通过SSL VPN访问内部整个子网的需求仍然存在。然而,在使用该功能时,需要给客户端配置虚拟IP地址,这样一来,就会遇到地址规划上的一些问题,在配置和使用上也比较复杂。目前,国内已经有SSL VPN厂商注意到这个问题,为了更好地满足用户对易用性的要求,采用了一种“网络层代理”技术,客户端通过SSL VPN产品访问内部整个子网时,不需要借助虚拟IP地址,也不需要改变内网服务器网关指向,有效地解决了NC功能配置和使用复杂的难题。但目前,“网络层代理”技术还存在一个问题,即无法处理TCP连接由内向外发起的应用,无法做到“与应用无关”。如果有SSL VPN产品能够同时具备NC和网络代理功能,将会受到更多国内用户的青睐。
以上列举的只是SSL VPN产品的几项主要技术,为了更好地满足国内用户的需求,SSL VPN产品还必须在功能上进一步贴近需求,不断丰富,主要包括:
丰富的认证方式:国内用户类型众多,对认证方式和安全性要求也不尽相同。除了基本的本地口令外,动态口令、短信口令、口令+动态附加密、证书+USBKEY、口令+证书+USBKEY等多因素认证方式也越来越常见,成为对SSL VPN产品的基本要求。此外,随着CA体系在中国不断健全,越来越多的用户从专业的CA企业购买服务,因此国产SSL VPN产品能否很好地与标准第三方CA系统兼容,能否提供标准OSCP、CRL等证书校验接口,在一定程度上决定了该产品能否应用到用户现有环境中。
线路优化:国内用户常常向不同的ISP申请了多个公网IP提供服务。如果SSL VPN产品能够利用多个网口通过多个公网IP对外提供接入访问,并可以根据接入客户端的ISP来源选择最佳路径,那么将可以大大提高访问效率,更好地适应国内的网络环境。
单点登录:在用户的内网中,OA系统通常都带认证功能,使用者需要提交用户名及口令才可登录。加上SSL VPN后,用户就首先要登录SSL VPN,然后再次提交认证信息登录OA,导致重复认证过程。为了简化登陆程序,SSL VPN产品应该能记录用户登录SSL VPN时的认证信息,在用户访问OA时,代替用户提交认证,用户不需要再次输入用户名和口令就可打开登录成功后的页面。
端点安全:安装SSL VPN产品后,端点安全也是不得不考虑的重要方面。是否允许所有PC都接入SSL VPN,在连接SSL VPN隧道后是否允许访问互联网,在SSL VPN客户端注销后,访问痕迹是否应该清理,都是SSL VPN需要重点考虑的几个安全问题。目前,国内很多SSL VPN产品也都有应对措施。在客户端主机接入之前,先检测终端主机上是否具备管理员要求的某些特征,如操作系统版本、IE浏览器版本、是否运行了杀毒软件等等,如果不满足安全策略,则拒绝连接。在建立隧道后,SSL VPN产品还可以禁止客户端主机访问隧道以外的网络以确保隧道安全;在终端用户注销后,还会自动清除此次的访问痕迹,确保信息不被泄漏。此外,如果产品能实现帐号和客户端主机特征绑定以及防伪造功能等,将可以进一步提高客户端的端点安全性。
应用层防御:SSL VPN产品是以应用为核心的安全接入产品,因此应用层的安全防御必不可少。目前,防SQL注入,防跨站脚本和防非法URL访问等功能已经出现在一些国内品牌发上限控制功能,保障了应用服务系统。安全审计:而言,SSL VPN哪个用户、在什么时间,在什么地理位置通过哪个什么服务,访问了哪些条件(如时间范围、浏览和下载。4.2.安达通4.2.1.特色功能 IPSec over HTTPS/HTTP 隧道接力技术 虚地址互联技术 自动路由技术 多播隧道技术 准入控制技术 动态口令短信认证技术4.2.2.负载均衡功能 智能均衡上网技术SSL VPN产品上。甚至有厂商还提供了基于账号的最大并有效防止了一个账号恶意产生大量连接的DoS攻击行为,有效
SSL VPN产品相对传统VPN的优势之一就是审计更加详细。相比IP地址。在日志中应该可以记录ISP登录了SSL VPN,访问了Web页面等等。另外,SSL VPN产品还应该提供基于各种关键字等)的查询功能,甚至可以根据时间范围生成报表提供VPN产品主要功能
技术
产品更关注账号而不仅仅只是 VPN多点接入和均衡技术 VPN链路备份技术
4.2.3.VPN 移动接入加速系统功能 4.2.4.防火墙功能
网络地址转换(NAT)技术 状态检测防火墙技术 HTTP 检测技术 IP-MAC地址绑定技术 内网用户认证技术 IDS联动技术
4.2.5.其他功能
双机热备 流量控制 路由支持 配置和升级管理 日志管理
5.VPN典型应用
5.1.单臂连接模式
“单臂连接”模式是用户已有防火墙等设备时安达通首推的部署方式。“单臂连接”模式指的是安全网关只接一个口到内网交换机中,另外一个口不接线,即把安全网关设备当作一台服务器或主机,专门处理 VPN 报文的加解密。从实现技术上而言,单臂连接结合了串行连接和并行连接两者的优势,实现了部署和性能的最优化。在实施时,需要在防火墙(路由器)上为安全网关做静态端口映射(静态 NAPT),同时也需要在防火墙(路由器)上添加静态路由来解决要通过VPN的数据包正确流向的问题。
结合”自动路由”技术,单臂连接方式能在对用户环境最小改动的前提下部署 VPN,大大增加了VPN设备对网络环境的适应能力。
单臂连接实际案例配置示意图如下所示:
上图示例中总部局域网利用一台防火墙通过光纤接入互联网,防火墙外口 IP 地址为218.1.1.1,内口IP 地址为192.168.1.1,现仅将安全网关的LAN 口接到内网交换机。安全网关工作在路由模式下,LAN口IP 地址 192.168.1.254,WAN口任意设置一个 IP 地址,比如为 1.1.1.1,总部内网只有一个子网 192.168.1.0/24。该单位有一异地分部,采用 ADSL 接入互联网,并使用 SJW74A 安全网关作为接入设备,内网也只有一个子网为 192.168.2.0/24。通过这样的部署,可实现该分部与总部子网的 VPN 互连。同时还可实现移动客户端的远程接入(如上图),客户端的私有 IP 地址为172.16.1.1-10。
5.2.路由模式
“路由模式”是指VPN网关内外网接口路由不同,网关本身要作为路由器或NAT 转换设备,实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。通过使用安达通自带的初始化向导工具可以非常简便的部署“路由模式”网关,典型部署示意如下图:
上图示例中,VPN 安全网关作为总部局域网的出口,对内提供上网服务,对外提供 VPN接入服务。内部 192.168.1.X 的 PC 用户默认网关指向 VPN 内网口 192.168.1.1,通过 NAT 映射访问公网和其他VPN子网。
5.3.透明模式
“透明模式”又称为“网桥模式”,是指安全网关接入在防火墙(路由器)与内网之间,透明转发除VPN报文之外所有数据的一种连接方式。
安达通 VPN 安全网关的“透明模式”主要分成链路层协议的学习功能,报文的接收和转发功能。对于透明模式下收到的报文,根据其目的 MAC地址可以分为,发往网关自身的报文、广播报文和发往其他的报文,由于透明模式仅仅对 VPN 报文进行加密,其他报文在出入端口上进行完整复制,所以保证了链路的透明性和 VPN的安全性。
以某商业银行网络的 VPN安全网关部署为例。所有的安达通安全网关均部署在防火墙/路由器之后,工作在“透明”模式下。安装这些安全网关设备的前后,原有网络系统:路由器、PC、Server 等没有调整过任何配置,就实现了各分行和总行之间数据传输加密。“透明模式”部署的安达通 VPN 安全网关的 WAN 和 LAN 口 IP 是和本地内网同一网段的未被使用的IP 地址。如下图示意: 6.VPN与TPN是,可信专用网防护、VPN接入、全网行为管理、主机安全管理等组成。可信专用网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。企业对VPN分布在异地的局域网络进行互联。随着网络互联的进行,的基础设施。
这些基础设施,安全可信是最重要的。可信平台建设包括了边界、内网、主机、接入等部分。目前来看,企业可以用各种技术来确保这四部分成为有机整体。网技术TPN.TPN互联以后全网的可信任安全平台。目前来看,能:包括虚拟专网、防火墙、入侵检测、漏洞扫描、病毒防护、网络审计、身份认证、桌面安全等。网络边界防护力度不够、分支机构的统一、垃圾邮件和病毒、越权访问密、非法接入TPN(Trusted 系统通过对“用户—角色—资源”的集中描述,因为信息的共享有网络互联的需求,整个网络平台已经越来越成为企业以及政府单位运行VPN的主要区别,TPN模型需要实现所有传统安全设备所提供的安全功而TPN应对的问题则包括了:实现“内网
客观上需要将从而产生/盗取机
TPN
Private Network)系统的简称,由边界
TPN都不会陌生,而安达通在其中提供的就是可信专用与就在于融合了可信任的内网技术,一套完整的远程接入用户带进木马和病毒、/非法外联、补丁和病毒库的统一升级、以及聊天、游戏、下载等网络滥用。
第三篇:VPN实验总结
网络上关于vpn的原理的文章很多,这里就不再罗嗦了。下面是我最近做vpn实验的小结:
(一)vpn access server的配置 实验网络拓扑:
pc(vpn client 4.01)---switch---router1720(vpn access server)pc配置: ip:10.130.23.242/28
gw:10.130.23.246 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 步骤:
1、配置isakmp policy: crypto isakmp policy 1 encr 3des authen pre-share group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
cry isa client conf group vclient-group ####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。key vclient-key ####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步对应
6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization cry map vpnmap client conf address respond ####响应client分配地址的请求
7、配置静态路由
ip route 192.168.1.0 255.255.255.0 fastethernet0 说明几点:(1)因为1720只有一个fastethernet口,所以用router1720上的lo0地址来模拟router内部网络。
(2)vpn client使用的ip pool地址不能与router内部网络ip地址重叠。(3)10.130.23.0网段模拟公网地址,172.16.1.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。(4)没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。(5)关于split tunnel。配置方法:首先,设置access 133 permit ip 172.16.1.0 0.0.0.255 any,允许1720本地网络数据通过tunnel,然后在第三步骤中添加一个参数:acl 133。1720的完整配置:
VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192!crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs!crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map!!interface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable!!line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置:
新建一个connection entry,参数中name任意起一个,host填入vpn access server的f0地址
10.130.23.246,group auahentication中name填vclient-group,password填vclient-key.测试:
(1)在pc上运行VPN client,连接vpn access server。(2)ipconfig/all,查看获取到的ip地址与其他参数。(3)在router,show cry isa sa,看连接是否成功。
(4)从router,ping client已经获取到的ip地址,通过。
(5)从client,ping router的lo0配置的地址172.16.1.1,通过。
(6)查看vpn client软件的status--statistics,可以看到加密与解密的数据量。
(7)1720上show cry ip sa, 也可以查看加密与解密的数据量。
常用调试命令: show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####这是最常用的debug命令,vpn连接的基本错误都可以用它来找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
实验网络拓扑:
router3662(vpn client)---switch---router1720(vpn access server)pc(vpn client 4.01)------| 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 pc配置: ip:10.130.23.242/28 gw:10.130.23.246 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步骤:
1、配置1720路由器,参照实验一,设置为vpn server。
2、配置3662路由器,设置vpn client参数
cry ip client ezvpn vclient ####定义crypto-ezvpn name mode network-extension ####设置为网络扩展模式
group vclient-group key vclient-key ####设置登录vpn server的组名与组口令
peer 10.130.23.246 ####设置vpn server的ip地址,如果启用dns,则可以用hostname connect auto ####设置为自动连接。如果设为手动,则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。
local-address F0/0 ####设置vpn通道本地地址,选用f0/0,可以保证vpn server找到它
3、定义加密数据入口,这里为f0/1 inter f0/1 cry ip client ezvpn vclient inside
4、定义加密数据出口,这里为连接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside
5、在1720上设置静态路由,地址范围为3662路由本地网络的地址 ip route 172.16.2.0 255.255.255.0 f0
6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。
service dhcp ####启动dhcp 服务
ip dhcp pool dhcppool ####定义dhcp pool name network 172.16.2.0 /24 ####定义可分配的IP地址段
default-router 172.16.2.1 ####定义dhcp client的默认网关 lease 1 0 0 ####设置ip保留时间
import all ####如果配置了上级dhcp,server,则接受其所有参数 ip dhcp excluded-address 172.16.2.1 ####将router上的地址排除
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据没有进行加密。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以发现数据不通过加密。(6)启动pc vpn client,ping 172.16.1.1,通过。在1720上查看show cry ip sa,可以看到数据通过加密进行传输。
(7)在pc vpn client,ping 172.16.2.1,通过。在1720和3662上查看show cry ip sa,可以看到数据通过加密进行传输。在1720上show cry isa sa,可以看到两个vpn连接。
(8)在3660上扩展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client获得的ip),通过。查看show cry ip sa,可以发现数据通过加密进行传输。
说明:
(1)不同平台,不同ios版本,easy vpn client的配置有所不同。特别是加密数据入出接口的配置,配置接口前后,用show cry ip client ezvpn来查看与验证。
(2)network-extension模式,vpn client端本地ip不通过nat/pat进行数据传输。
(3)以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验
(一),设置acl 133和cry isa client conf group中的参数,完成后,可以实现测试(1)-(5)。要实现Pc vpn client和3662 vpn client 互通,即测试(6)-(8),还要在1720 的acl 133中添加两条,分别是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要复位vpn通道,才可以起作用。在pc端,是通过disconnect再connect来实现;在3662上,通过clear cry ip client ezvpn来复位。
常用调试命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa
(三)easy vpn client的配置(client mode)
实验网络拓扑同实验
(二)实验步骤参考实验
(二),其中第二步,将mode network-extension改为mode client。
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,不通。这是因为3662端ip数据流是通过nat进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。在1720上打开deb ip icmp,可以看到echo reply信息的dst地址为192.168.1.19(vpn client 从vpn server获取的ip地址)。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。
说明:
(1)client 模式,vpn client端内部网络采用nat方式与vpn server进行通信,vpn client端网络可以访问server端网络资源,server端网络不能访问client端内部网络资源。
(2)client与network-extension两种模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置与数据流量。
(4)关于split tunnel,client模式的easy vpn client,与pc的vpn client类似,配置split tunnel的方法也相同。常用调试命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
实验网络拓扑: router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244(2)定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255(3)定义isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。(4)定义pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 为key,两个路由器上要一样 ####其中10.130.23.244为peer路由器的ip地址。(5)定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name,后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值,此配置可选(6)定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应
####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer(7)将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map(8)同样方法配置3662路由器。1720的完整配置: VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244!crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144!!interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable!access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 测试:
(1)未将map应用到接口之前,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。
(2)map应用到接口之后,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。
查看show cry ip sa,可以看到数据没有通过vpn 通道进行传输,因为不符合acl 144。(3)map应用到接口之后,在1720,扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据通过vpn 通道进行传输。
(4)在3662上同样进行测试。
说明:
(1)采用pre-share方式加密数据,配置简单,数据传输效率较高,但是安全性不高。
(2)加密数据前后,通过ping大包的方式测试,可以发现这种利用软件进行数据加密的方式,延时较大。如果需要开展voip、ip 视讯会议等业务,建议选配vpn模块进行硬件加密。
常用调试命令: show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
实验网络拓扑:
router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。ip route 172.16.2.0 255.255.255.0 10.130.23.244(2)定义加密数据的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255(3)生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key 这里 统一用general purpose key(4)复制peer router的public key到本地router中(A)在3662上生成general purpose key(B)在3662上show cry key mypubkey rsa,复制其中的General Purpose Key(C)在1720上,cry key pubkey-chain rsa ####设置public key addressed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key key-string ####定义key串
粘贴从3662上复制的General Purpose Key #####如果第三步生成了两种key,则这里复制粘贴的,应该是Encryption Key(三个key中的第二个)(5)定义isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。(6)定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name,后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值,此配置可选(7)定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match address 144 ####定义进行加密传输的数据,与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应
####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer;同样,pubkey 也要对应进行设置。
(7)将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map(8)同样方法配置3662路由器。
1720完整配置:
VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2!crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144!!interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable!access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end
说明:
(1)采用rsa encrypted方式加密传输数据,默认key长度为512字节,最高可设为2048字节。安全性能较高。
(2)100M双工交换网络中,在双向同时ping 15000字节的大包进行测试时,1720的cpu使用率一度高达90%左右,3662的使用率约为25%,两台路由器内存使用率则变化不大。可见用rsa encrypted方式加密,对低端路由器的cpu性能影响很大。常用调试命令: show cry ip sa show cry isa sa deb cry isa deb cry ip clear cry isa clear cry sa
第四篇:VPN的四种安全技术详解
VPN的四种安全技术详解
我们都知道,由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。目前VPN主要采用四项技术来保证安全,下面,517网游加速器芯晴就来给大家一一道来。
1.隧道技术:
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.加解密技术:
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术:
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4.使用者与设备身份认证技术:
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
第五篇:VPN说明书.
VPN 使用说明书 申请/重置账号密码:http://self.cczu.edu.cn/index/addvpnwlan(无账号或忘记密码时,进行申请或重置密码)用户自助修改密码:http://219.230.159.60:8080/selfservice(有密码时,进行修改)中国移动、中国电信、联通、和教育网用户请分别点击上面的图标进行访问; 在您首次使用的时候,系统将自动下载安装插件至所在计算机,请您留意页面提示并安装; 当插件安装完毕之后,正常进入登录窗口,使用用户名和密码进行登录; 6 登录成功后,即进入用户使用页面,此时即可访问校内和校外指定资源。7 访问校内资源时请不要关闭本页;访问结束后请及时退出。vista系统使用需进行以下操作:通过把“控制面板”--“用户帐户”--“打开或关闭„用户帐户控制‟”中的选项去掉即可,即不要选中“使用用户帐户控制(UAC)帮助保护您的计算机”,点“确定”,从新启动计算机。9 使用GHOST安装操作系统的用户,可能会无法使用sslvpn。
注意事项:
一、若成功登录后,不能正常下载及浏览文件,请首先确认您的计算机上是否已经安装相应的文件浏览器或阅读器;
二、若不能正常安装请查看以下说明:
1、浏览器安全级别太高,请到中或默认级别,或调整以下设置: A、浏览器禁止下载ActiveX控件,设设置允许下载控件;
B、浏览器禁止运行ActiveX控件,设设置允许运行控件;
C、浏览器禁止ActiveX控件执行脚本,设设置允许执行脚本;
2、浏览器插件拦截控件下载,如上网安全助手等,请设置允许下载
3、可浏览器安全中将本页为信任站点
4、浏览器要求使用IE5以上版本
5、本系统支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系统
四、因带宽不足,为提高速度,提高访问效率,请不要在校内使用;不使用时请及时退出系统;10分钟内如不使用本系统,系统将自动断线。
五、如果长时间不能建立隧道,或者不能获取ip地址,请将防火墙和杀毒软件先行关闭或者卸载,成功连接后,再次把防火墙和杀毒软件打开或安装。
六、如有疑问请拨打:86330350
点击咨询 