来源:蜘蛛抓取(WebSpider)
时间:2014-10-04 14:36
标签:
nat 虚拟服务器设置
Windows Server 2003下VPN服务器的建立--《企业导报》2010年11期
Windows Server 2003下VPN服务器的建立
【摘要】:介绍了虚拟专用网的构建方案以及利用Windows Server 2003实现VPN服务器和客户机的具体配置过程,为远程用户安全、方便地访问内部网络提供了一种实用的解决方案。VPN服务器必须具有一个公有IP地址,使得VPN客户机能够通过Internet进行访问。
【作者单位】:
【关键词】:
【分类号】:TP393.1【正文快照】:
按微软的定义,虚拟专用网(Virtual Private Network,简称VPN)涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。用户主机直接连接到Internet,并通过Internet连接到远程访问服务器。为使Internet上的主机能够访问到VPN服务器,VPN服务器必修拥有一个公有
欢迎:、、)
支持CAJ、PDF文件格式,仅支持PDF格式
【相似文献】
中国期刊全文数据库
宋立;[J];数字化工;2003年Z2期
吴广珍;[J];广西气象;2002年02期
史国川,申家军,谢宝陵,房朝晖;[J];电脑开发与应用;2004年08期
孙海峰;宋丽丽;;[J];实验科学与技术;2006年01期
张妍,许云峰;[J];河北工业科技;2005年06期
刘广山;;[J];硅谷;2009年07期
李别;[J];中国西部科技;2004年08期
俞海平;;[J];安徽农业科学;2007年02期
孙为清,赵轶群;[J];计算机工程与应用;2002年01期
汪海航,李琼,葛勤耕;[J];同济大学学报(自然科学版);2003年06期
中国重要会议论文全文数据库
杨伍丁;秦开宇;李志强;卢有亮;;[A];中国自动化学会、中国仪器仪表学会2004年西南三省一市自动化与仪器仪表学术年会论文集[C];2004年
熊兴德;席传裕;赵强;;[A];新世纪 新机遇 新挑战——知识创新和高新技术产业发展(上册)[C];2001年
孙侃;张圆;;[A];中国电影电视技术学会影视科技论文集[C];2002年
柴全顺;;[A];中国航海学会通信导航专业委员会2004学术年会论文集[C];2004年
赵伟江;陈立新;郑百泉;沈巨峰;;[A];2006年华东六省一市暨浙江省放射学学术年会论文汇编[C];2006年
刘春;吴秀峰;武照东;刘英凯;;[A];2008通信理论与技术新发展——第十三届全国青年通信学术会议论文集(下)[C];2008年
薛健;陈启美;张国强;;[A];开创新世纪的通信技术——第七届全国青年通信学术会议论文集[C];2001年
李国华;;[A];2004年湖北省气象学会年会学术论文详细摘要集[C];2004年
刘建彪;李长兴;;[A];中国水利学会2003学术年会论文集[C];2003年
胡沁春;罗文钦;;[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年
中国重要报纸全文数据库
;[N];网络世界;2002年
本期专家:王春海
刘晓辉;[N];电脑报;2003年
淮河水手;[N];中国电脑教育报;2004年
张艳蕊;[N];中国企业报;2003年
袁方;[N];中华工商时报;2002年
寒江钓叟;[N];电脑报;2004年
东大阿尔派软件股份有限公司
黄利萍;[N];中国计算机报;2000年
;[N];通信产业报;2001年
陈慧;[N];通信产业报;2002年
徽;[N];电脑报;2005年
中国博士学位论文全文数据库
丁靖宇;[D];东华大学;2012年
周春月;[D];北京交通大学;2011年
张峰;[D];浙江大学;2003年
张云鹤;[D];华中科技大学;2009年
谭兴烈;[D];四川大学;2003年
田文春;[D];华南理工大学;2002年
谢立峰;[D];浙江大学;2004年
叶润国;[D];中国科学院研究生院(计算技术研究所);2005年
王晓红;[D];上海大学;2004年
中国硕士学位论文全文数据库
郭迪新;[D];湖南大学;2004年
黄继业;[D];四川大学;2002年
张光剑;[D];湖南大学;2004年
周旺;[D];电子科技大学;2002年
瞿燕英;[D];西安电子科技大学;2005年
张衡;[D];重庆大学;2005年
倪玮;[D];合肥工业大学;2006年
张霞;[D];山东师范大学;2006年
何欣;[D];河南大学;2005年
刘峰;[D];同济大学;2006年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊(光盘版)》电子杂志社有限公司
地址:北京清华大学 84-48信箱 知识超市公司
出版物经营许可证 新出发京批字第直0595号
同方知网数字出版技术股份有限公司
订购热线:400-819-82499
在线咨询:
传真:010-
京公网安备74号虚拟专用网技术研究与实现(可编辑)
扫扫二维码,随身浏览文档
手机或平板扫扫即可继续访问
虚拟专用网技术研究与实现(可编辑)
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由:
将文档分享至:
分享完整地址
文档地址:
粘贴到BBS或博客
flash地址:
支持嵌入FLASH地址的网站使用
html代码:
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布,请您等待!
3秒自动关闭窗口如何用USB&KEY构建虚拟专用网(VPN)的身份安全与应用安全
随着社会各行业全面的信息化,VPN(虚拟专用网)建设也如雨后春笋,由此带来的信息安全也成为了当今不可忽视的课题。为了保证信息安全,决策者在VPN网络建设之初,常常就会不惜重金花在购买防火墙,防病毒软件,等相关的软硬件设施。这一切措施旨在保护信息系统的数据安全。然而,信息系统中的数据终归要为人所用,如果有人伪造了相应权限人的身份,那么投入再多的安全防护体系一样形同虚设。因此用户身份认证系统是VPN安全体系的第一道关。
另外在应用中的数据传输,如何保障数据的完整性和不可否认性,这也是衡量VPN建设成败的关键因素之一。
目前使用USB KEY进行身份认证已经成为了网络身份认证市场的主流,USB
KEY在网络身份认证市场的应用有效地解决了身份识别的安全问题。
USB KEY是一种USB接口的秘密数据存储设备,它具有以下特点:
具有硬件PIN码保护
每一个USB Key都具有硬件PIN码保护,PIN码和硬件构成了用户使用USB
Key的两个必要因素,即所谓“双因子认证”。用户只有同时取得了USB
Key和用户PIN码,才可以登录网上银行系统。即使用户的PIN码被泄漏,只要用户持有的USB
Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB
Key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。
带有安全存储空间
Key具有8K-64K的安全数据存储空间,可以存储数字证书、用户密钥等秘密数据,对该存储空间的读写操作必须通过程序实现,用户无法直接读取,其中用户私钥是不可导出的,杜绝了复制用户数字证书或身份信息的可能性
硬件实现加密算法
USB Key 内置CPU或智能卡芯片,可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法,加解密运算在USB
Key内进行,保证了用户密钥不会出现在计算机内存中,从而杜绝了用户密钥被黑客截取的可能性。
以下将介绍如何应用USB KEY构建虚拟专用网的身份与应用安全:
(一)身份安全方面
1、基于公开密钥体系(PKI)的认证
PKI也就是所谓“公开密钥体系”,是一种利用现代密码学的公钥密码技术在公开的网络环境中提供数据加密以及数字签名服务的,统一的技术框架。使用公开的密钥算法(也称非对称加密算法)的用户同时拥有匹配的公钥和私钥。私钥由用户保存,且不能泄露,公钥则要广泛公开的发布。私钥无法通过公钥计算获得。公开密钥体系的作用不仅可用于安全密钥交换,还可用于鉴别用户的身份,下面将就如何鉴别用户身份进行描述。
当服务器端需要验证客户端的身份时,服务器端产生一个随机数,发送给客户端,客户端通过USB接口,把随机数R传送入USB
KEY中,使用自己的私钥对随机数进行加密,并把加密结果传给服务器端,服务器端通过使用客户的公钥对接收到的加密数据进行解密,对比解密后的数是否和随机数R一致,一致就通过验证。
2、基于冲击/响应服务的应用
下图为基于冲击响应体制实现强双因子认证流程示意图以及USB Key在网络安全登录拓扑图:
当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求。服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为冲击)。客户端将收到的随机数通过USB接口提供给USB
KEY,由USB KEY使用该随机数与存储在USB
KEY中的密钥进行MD5-HMAC运算并得到一个结果作为认证证据传给服务器(此为响应)。与此同时,服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行MD5-HMAC运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户。
密钥运算分别在USB
KEY硬件和服务器中运行,不出现在客户端内存中,也不在网络上传输,由于MD5-HMAC算法是一个不可逆的算法,就是说知道密钥和运算用随机数就可以得到运算结果,而知道随机数和运算结果却无法计算出密钥,从而保护了密钥的安全,也就保护了用户身份的安全。
(二)应用安全方面
基于CA认证技术日趋成熟,许多应用中开始使用数字证书进行身份认证与数字加密。数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术,可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
以上就是将USB
KEY与构建虚拟专用网结合起来,主要是实现网络终端的身份识别以及实现网络数据交互的完整和不可否认性,有效的保证了数据传输的安全。
在USB KEY的选择上,应与需构建的虚拟专用网络实际情况相结合,视其安全强度来选择USB KEY,目前市场上USB
KEY分为智能卡芯片与非智能卡芯片,智能卡芯片USB
KEY安全强度要高于非智能卡芯片,对于安全强度要求高的虚拟专用网建设是一个较好的选择,而其中坚石诚信“ET199AUTO”产品(售价19.9元)、飞天诚信ePass3003AUTO(价格随定量变化)、握奇的“WATCH
KEY”(价格随定量变化)均是目前智能卡芯片USB KEY市场中的主流产品,大家可以根据自身特点进行选择。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。您现在的位置: &
虚拟专用网VPN在企业中应用
虚拟专用网VPN在企业中应用
导读-- 随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。
一、概述 随着企业规模逐渐扩大,远程用户、远程办公人员、分支机构、合作伙伴也在不断增多,关键业务的需求增加,出现了一种通过公共网络(如Internet)来建立自己的专用网络的技术,这种技术就是虚拟专用网(简称VPN)。VPN集灵活性、安全性、经济性以及扩展性于一身,可充分满足分支机构、移动办公安全通信的需求。在北美和欧洲,VPN已成为一项相当普及的网络业务。目前国内的VPN应用主要集中在大型企业和行业用户。随着宽带网的普及,Internet接入的性价比提高,中小企业也能利用VPN技术来扩展自己的网络。通过宽带网组建的VPN增值潜力大,除了用于数据业务,还可用于语音、视频通信业务,从而实现三网合一的需求。除了租用电信运营商的VPN服务外,还可通过自购VPN产品,在公网上建立更加安全的专用通道,来连接自己的分支机构和移动用户。 二、VPN概念 VPN的基本思想就是在公共网络上建立安全的专用网络,来传输内部信息而形成逻辑网络,从而为企业用户提供比专线价格更低廉,安全性更高的资源共享和互联服务。VPN是企业内部网的扩展。 虚拟专用网指的是在公用网络上建立专用网络的技术,即通过对网络数据的封包和加密传输,在公用网络上传输私有数据,形成一种逻辑上的专用网络。它向用户提供一般专用网络所具有的功能,但本身却不是一个独立的物理网络。 顾名思义,所谓“虚拟”(Virtual),说明它是一种仿真物理连接的逻辑网络连接,没有固定的物理连接,利用的是公共网络资源。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用公用网络资源(如Internet、ATM网络、帧中继网络等)动态组成的。所谓“专用”(Private,或译为“私用”),说明它在功能上等同于传统的专用网络,具有与内部网络相同的安全性、易管理性和稳定性,可被当作专用网络使用。 VPN至少应能提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。 三、VPN的类型 VPN既是一种组网技术,又是一种网络安全技术。VPN涉及的技术和概念比较多,应用的形式也很丰富,其分类方式也很多,令人眼花缭乱。在技术篇中我们介绍了按实现技术将VPN分成基于隧道的VPN、基于虚电路的VPN和MPLS VPN等,这里再介绍几种主要的划分方式。 1、按应用范围划分 这是最常用的分类方法,大致可以划分为远程接入VPN(Accesss VPN)、Intranet VPN和Extranet VPN等3种应用模式。远程接入VPN用于实现移动用户或远程办公室安全访问企业网络;Intranet VPN用于组建跨地区的企业内部互联网络;Extranet VPN用于企业与客户、合作伙伴之间建立互联网络。 2、按VPN网络结构划分 VPN可分为以下3种类型。 ① 基于VPN的远程访问 即单机连接到网络,又称点到站点,桌面到网络。用于提供远程移动用户对公司内部网的安全访问。 ② 基于VPN的网络互联 即网络连接到网络,又称站点到站点,网关(路由器)到网关(路由器)或网络到网络。用于企业总部网络和分支机构网络的内部主机之间的安全通信时,还可用于企业的内部网与企业合作伙伴网络之间的信息交流,并提供一定程度的安全保护,防止对内部信息的非法访问。 ③ 基于VPN的点对点通信 即单机到单机,又称端对端,用于企业内部网的两台主机之间的安全通信。 3、按接入方式划分 在Internet上组建VPN,用户计算机或网络需要建立到ISP的连接。与用户上网接入方式相似,根据连接方式,可分为两种类型。 ① 专线VPN通过固定的线路连接到ISP,如DDN、帧中继等都是专线连接。 ② 拨号接入VPN简称VPDN,使用拨号连接(如模拟电话、ISDN和ADSL等)连接到ISP,是典型的按需连接方式。这是―种非固定线路的VPN。 4、按隧道协议划分 按隧道协议的网络分层,VPN可划分为第2层隧道协议和第3层隧道协议。PPTP、L2P和L2TP都属于第2层隧道协议,IPSec属于第3层隧道协议,MPLS跨越第2层和第3层。VPN的实现往往将第2层和第3层协议配合使用,如L2TP/IPSec。当然,还可根据具体的协议来进一步划分VPN类型,如PPTP VPN、L2TP VPN、IPSec VPN和MPLS VPN等。 第2层和第3层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。第2层隧道协议可以支持多种路由协议,如IP、IPX和AppleTalk,也可以支持多种广域网技术,如帧中继、ATM、X.25或SDH/SONET,还可以支持任意局域网技术,如以太网、令牌环网和FDDI网等。 另外,还有第4层隧道协议,如SSL VPN。 5、按隧道建立方式划分 根据VPN隧道建立方式,可分为两种类型。 ① 自愿隧道(Voluntary tunnel) 指客户计算机或路由器可以通过发送VPN请求配置和创建的隧道。这种方式也称为基于用户设备的VPN。VPN的技术实现集中在VPN用户端,VPN隧道的起始点和终止点都位于VPN用户端,隧道的建立、管理和维护都由用户负责。ISP只提供通信线路,不承担建立隧道的业务。这种方式技术实现容易,不过对用户的要求较高。不管怎样,这仍然是目前最普遍使用的VPN组网类型。 ② 强制隧道(Compulsory tunnel) 指由VPN服务提供商配置和创建的隧道。这种方式也称为基于网络的VPN。VPN的技术实现集中在ISP,VPN隧道的起始点和终止点都位于ISP,隧道的建立、管理和维护都由ISP负责。VPN用户不承担隧道业务,客户端无需安装VPN软件。这种方式便于用户使用,增加了灵活性和扩展性,不过技术实现比较复杂,一般由电信运营商提供,或由用户委托电信运营商实现。 6、按路由管理方式划分 按路由管理方式划分,VPN分为两种模式。 ① 叠加模式(Overlay Model) 也译为“覆盖模式”。目前大多数VPN技术,如IPSec、GRE都基于叠加模式。采用叠加模式,各站点都有一个路由器通过点到点连接(IPSec、GRE等)到其他站点的路由器上,不妨将这个由点到点的连接以及相关的路由器组成的网络称为“虚拟骨干网”。叠加模式难以支持大规模的VPN,可扩展性差。如果一个VPN用户有许多站点,而且站点间需要全交叉网状连接,则一个站点上的骨干路由器必须与其他所有站点建立点对点的路由关系。站点数的增加受到单个路由器处理能力的限制。另外,增加新站点时,网络配置变化也会很大,网状连接上的每一个站点都必须对路由器重新配置。 ② 对等模式(Peer Model) 对等模式是针对叠加模式固有的缺点推出的。它通过限制路由信息的传播来实现VPN。这种模式能够支持大规模的VPN业务,如一个VPN服务提供商可支持成百上千个VPN。采用这种模式,相关的路由设备很复杂,但实际配置却非常简单;容易实现QoS服务;扩展更加方便,因为新增一个站点,不需与其他站点建立连接。这对于网状结构的大型复杂网络非常有用。MPLS技术是当前主流的对等模式VPN技术。 7、按照实现方式划分 VPN按照实现的方式可以分为基于用户端CPE设备的VPN和基于运营商网络的VPN。当一个企业用户要建立一个虚拟专用网络时,既可以由用户端来实现,也可以由网络运营商来实现,甚至可以由网络运营商和用户共同来实现,这就是所谓的VPN实现的分类。 ① 基于用户端CPE设备的VPN 基于用户端CPE的VPN是指用户自己设置并维护VPN网关设备,在各个分支机构和公司总部之间建立VPN连接,并且可以采用加密技术以保障数据传输的安全性。连接的建立与用户的管理完全由用户自己负责,网络运营商不必调整或改变网络的结构与性能就可以提供对这种VPN功能的基本支持。这种实现方式的特点是,VPN的实现对网络运营商透明,网络运营商不需要任何设备投资。同时,网络运营商由于没有提供增值服务,除了可以获得更多的专线接入或拨号接入用户以外,无法得到额外的收入。 ② 基于运营商网络的VPN 基于网络运营商网络的VPN方式是指网络运营商的公共数据网络上设置VPN网关设备,用于接入企业的专线用户或远程拨号接入用户。利用该网关设备,可以在全网范围内,根据具体的VPN网络需求,通过隧道封装或虚拟路由以及MPLS等技术,建立完全的或不完全的VPN网络结构,并且也可以采用加密技术以保障数据传输的安全性。VPN连接的建立完全由网络运营商负责,对用户透明。用户的管理可以灵活地由用户和网络运营商共同管理。运营商要根据具体的需要调整或改变网络结构与设备性能来支持这种VPN的实现。网络运营商提供VPN增值服务,可以得到额外的收入,例如用户管理和增加的专线或拨号接入租费等。另外,由于网关设备由网络运营商提供并管理,可以同时为多个企业用户提供VPN服务。 ③ 网络运营商同用户共同实现的VPN 对于网络运营商同用户共同实现VPN的方式是指在网络运营商的公共网络上以及用户端可以根据需要灵活地设置VPN网关设备。VPN连接的建立可以是分别从用户端或网络运营商的VPN网关设备开始,并且可以分别终结到用户端或网络运营商的VPN网关设备。用户的管理也可以灵活地由用户和网络运营商联合管理。用户和网络运营商要根据具体的需要调整或改变网络结构与设备性能。这种实现方式的特点是,VPN的实现根据具体情况而定,灵活方便。由于网络运营商提供VPN服务需要较大的设备与管理投资,可以首先在VPN业务需求较多的地市配置VPN网关设备,对于个别的VPN用户,可以采用用户端实现的方式或采用配置较低的网关设备。目前还有一种经济可行的方法就是利用宽带接入服务器。宽带接入服务器是典型的运营商网络和用户端设备综合的VPN模式。它由于采用标准的隧道技术,所以既可以从网络端发起隧道,也可以终结由用户端设备发起的隧道,从而实现这种网络和用户端设备综合的VPN模式。 四、VPN的应用模式 VPN技术用于组建企业网络,大致可以划分为远程接入、网络互联和内部安全等3种应用模式。 1、远程访问 目前VPN比较广泛的应用是提供廉价可靠的远程用户接入,这是一种替代传统远程访问的解决方案。 过去,在外出差的用户,或在家办公的用户需要访问公司网络,就得使用拨号线路,本地用户通过本地网线路接入,而外地用户则需要长途线路接入。如果远程用户位于其他城市,就需要支付昂贵的长途费。即使位于同一城市,支付的市话费相对便宜,在需要同时支持多个用户接入时,也需要一组拨入设备,通常是调制解调器池,还需要拥有多条电话线路。购置调制解调器池的开支很大,而且升级成本也不低,在非高峰期容易造成设备闲置。图1 为克服传统远程访问的问题,推出了基于VPN的远程访问解决方案。如图1所示,这种方案充分利用了公共基础设施和ISP,远程用户通过ISP接入Internet,再穿过Internet连接与Internet相连(通常通过ISP来连接)的企业VPN服务器,来访问位于VPN服务器后面的内部网络。一旦接入VPN服务器,就在远程用户与VPN服务器之间建立一条穿越Internet 的专用隧道连接。这样,远程客户到当地ISP的连接和VPN服务器到当地ISP的连接都是本地网内通信,虽然Internet不够安全,但是由于采用加密技术,远程客户到VPN服务器之间的连接是安全的。
这种模式具有以下优点: (1)简化网络配置,在配置远程访问服务器时省去调制解调器和电话线路,远程访问客户端可灵活选择通信线路,如模拟拨号、ISDN、ADSL和移动IP等ISP支持的任何接入方式。 (2)通过本地接入来代替长途接入,节省通信费用。 (3)便于扩展,同时接入的用户不受线路限制。 这种模式能够安全地连接移动用户、远程工作者或分支机构。如果企业的内部人员移动办公或有远程办公的需要,或者商家要提供B2C的安全访问服务,就可以考虑使用远程接入VPN。特别是近年来迅速发展的宽带网接入业务,为基于VPN的远程访问提供了廉价、高速的解决方案。VPN客户和VPN服务器都可通过本地宽带网接入Internet。 2、远程网络互联 网络互联是最主要的VPN应用模式。企业总部与分支机构之间、分支机构与分支机构的网络互联需求一直在增长,这是一种典型的WAN(广域网)应用。企业在外地有分支机构,就得租用专用线路进行远程通信,租用线路的两端还需配备专门硬件设备,多个分支机构就需要多条专线。采用这种专线连接方式实现网络远程互联,连接可靠,速度有保障,但是租用线路费用和管理开销比较大,而且专线多为包租方式,在非办公期间基本闲置不用。对于网络互联业务不够频繁的企业,可采用拨号连接来实现,但长途连接仍然是一笔不小的开销,而且速度不能得到保证。图2 基于VPN的网络互联已成为一种热门的新型WAN技术,它利用专用隧道取代长途线路来降低成本,提高效率。两端的内部网络通过VPN服务器接入本地网内的ISP,通过Internet建立虚拟的专用连接,如图2所示。特别是宽带网业务的发展,为基于VPN的远程网络提供了廉价、高速的解决方案。这种互联网络拥有与本地互联局域网相同的管理性和可靠性。 这种模式具有以下优点:节省WAN带宽的费用;通过本地连接来代替长途连接,节省通信费用;便于扩展,同时接入的用户不受线路限制。 3、网络内部安全 随着网络规模的扩大,网络应用业务的增长,企业内部网的安全越来越受重视,机构之间、部门之间需要在一些关键的应用系统之间进行隔离,实现访问控制。用于Internet的VPN技术也同样适用于Intranet,VPN可用于任何广域网或局域网环境中,在内部网中实现安全保密通信,建立内部专用隧道从而组建更为专用的保密网络或者秘密网络。 为了实现业务网络隔离,通常在企业局域网中使用VLAN技术,防止无关人员对特定信息的访问。然而VLAN并不是完善的安全解决方案,不能实现数据加密,如果再使用VPN加以改造,就可实现更安全的网络隔离。比如,企业内部两个承担关键业务的部门,如财务部门和总经理办公室之间,可设置自己的逻辑专用网,通过VPN方式来连接,他们之间穿过企业网的通信是加密的,其他部门的人员无法获取。 许多行业用户,如银行、政府等,都建立了自己的专用广域网,随着网络业务种类越来越多,需要解决内部网本身的安全问题,在一些关键的应用系统之间实现隔离,进行访问控制。使用VPN技术即可达到此目的,在同一个物理广域网上实现不同业务的逻辑网络隔离,不必为每一个业务网建设独立的物理网络,从而简化了总体成本和维护工作。图3 与Internet上的应用类似,内部网VPN也有两种应用模式,一种是基于VPN的“远程访问”,另一种是基于VPN的“网络互联”,如图3所示。 此外,VPN也被用于两个主机之间的安全连接,如服务器之间的连接。 五、VPN应用范围 VPN主要用作远程访问和网络互联的廉价、安全、可靠的解决方案;帮助远程用户、公司分支机构、商业伙伴及供应商同企业内部网建立可信的安全连接,并保证数据的安全传输。VPN既是一种组网技术,又是一种网络安全技术。遇到以下几种情况,可考虑选择VPN。 (1) 已经通过专线连接实现广域网的企业,由于增加业务,带宽已不能满足业务需要,需要经济可靠的升级方案。 (2) 企业的用户和分支机构分布范围广,距离远,需要扩展企业网,实现远程访问和局域网互联,最典型的是跨国企业、跨地区企业。 (3)分支机构、远程用户、合作伙伴多的企业,需要扩展企业网,实现远程访问和局域网互联。 (4)关键业务多且对通信线路保密和可用性要求高的用户,如银行、证券公司、保险公司等。 目前,像金融证券、保险业和政府机关等一类的行业用户,还有一些跨国企业、跨地区企业和分支机构分散的企业或机构,采用VPN技术的比较多。随着业务信息化程度的提高,中小企业应用VPN的要求也更加强烈。 六、如何选择VPN产品 如果单位自建VPN需要选购相关的产品。 一套完整的VPN产品一般包括3个部分即① VPN网关:用于实现LAN到LAN。② VPN客户端:与VPN网关一起可实现客户到LAN的VPN方案。③ VPN管理中心:对VPN网关和VPN客户端的安全策略进行配置和远程管理。 在选择VPN产品时,我们可从以下几个方面来考虑: 1、产品定位 首先应考察产品定位问题。像其他网络产品一样,不同的VPN产品有不同的定位,按从高端到低端的顺序,依次为电信级、企业级、中小企业、办公室或SOHO。当然,中小企业只能选择中小企业及以下级别的产品。 2、支持的应用类型 VPN有3种应用类型:LAN到LAN、客户到LAN、客户到客户。这里的客户指的是VPN网络中的移动用户和远程办公用户。目前多数VPN产品都支持LAN到LAN和客户到LAN,而支持客户到客户的产品不多。这一点在有些应用场合很重要,例如企业的远程办公用户之间需要交流保密信息,客户到客户的VPN方案是一种很好的解决手段。 3、支持的协议 自建VPN应根据需要选择隧道协议,目前PPTP、L2TP和IPSec是比较常用的协议。一般远程访问VPN(即客户到LAN)多选择L2TP协议,为安全起见,还需选择IPSec来提供加密。网络互联(LAN到LAN)和端到端连接多选择IPSec协议。PPTP由于简单易用,而且支持NAT路由,因此在有些场合下也使用。总之,IPSec是最安全的隧道协议,多数VPN产品都支持该协议。当然越来越多的VPN产品开始支持PPTP和L2TP协议。 除隧道协议之外,还要考察VPN可承载协议、NAT(网络地址转换)以及路由协议的支持情况。许多VPN产品的可承载协议除IP协议之外,还支持IPX、NetBIOS等网络协议。对NAT的支持对于一些网络共享的应用非常重要,IPSec本身并不支持NAT,但可在VPN产品中加进这一功能。与IPSec产生直接冲突的是网络地址端口转换(NAPT)和网络地址转换(NAT)。 NAT和NAPT在宽带网络中应用很广,许多网络服务供应商都使用这种技术。IPSec VPN方案如果不支持NAPT,在这些场合就没有意义了。 4、是否集成防火墙功能 VPN将IP数据包加密封装,往往会影响防火墙的性能,甚至影响安全策略的定义。一般来说,独立的VPN产品与防火墙难以协同工作,特别是来自不同厂家的产品。最好选择集成防火墙功能的VPN产品。 5、产品的基本配置 VPN的基本配置参数如下: ① 可支持的最大连接数。即使是小型网络,最少应不低于100,高端产品能支持数万个连接。 ② VPN实现机制。有纯软件、纯硬件、软硬结合以及专用设备等方式。 ③ 可提供的网络接口。常见的是以太网口,还有E1、T1等接口。 ④ 操作系统平台,指VPN产品本身所采用的操作系统,许多产品都采用专有的操作系统。 6、VPN的管理性 提供专用的VPN管理软件或平台对于一个复杂的VPN网络很重要,可简化管理,减轻了系统管理员的负担。 7、VPN的开放性和扩展性 VPN产品应提供与第三方安全产品协同工作的能力,应适应多种平台。便于扩展,以适应VPN网络的扩展和升级。 8、产品的其他功能 其他功能包括硬件加速功能(纯硬件处理、加密卡、加速卡)、流量均衡、安全策略(安全网关、防火墙、集中管理、日志、加密)、安全机制(包过滤、加密、认证、日志、审核等)、认证机制(RADIUS、数字证书)和密钥管理等。 另外,在选择VPN方案和产品的时候,不要单纯从组网和安全的技术角度考虑,还要考虑VPN的具体用途和所需成本。对于中小型VPN网络来说,经济实用才是最重要的。 七、宽带无线接入组建企业的VPN 宽带无线接入的最大特点是组网迅速、灵活,能以最快的速度为用户提供服务。它可提供诸如无线Internet接入、无线VPN、IP电话、VOD视频点播、局域网互联等多种业务种类。其中,企业用户更关心的是如何利用宽带无线接入组建自己的VPN。 对于企业用户来说,可能更关心利用宽带无线接入组建自己的VPN。安全性和实用性对用户来说是至关重要的。随着科技的发展,商务活动与互联网的关系日趋紧密,越来越多的商务活动需要以高质量、高速度的数据传输为技术依托。通过科学的方案设计、缜密的实地勘察、严格的施工与安装程序,无线接入技术与光纤技术可以竟相媲美。使用无线接入技术:用户将享受光纤般的服务,但价格可大大降低,得到服务的过程是非常快速的。因此,使用无线接入建立自己的VPN是企业用户的明智选择。无线VPN就是使用无线接入技术接入到共网上的VPN。 如果企业自己组建VPN,首先会造成资金的浪费,VPN设备需要进行复杂的加密处理,需要功能强大的处理器,才能获得较高的性能,因此VPN设备大都比较昂贵。其次,需要对VPN进行复杂的管理,企业需要人员对VPN设备在各地进行安装、调试和维护。 因此,大多数企业希望把VPN业务外包给能够提供可管理业务的运营商。所谓可管理的业务是指,不仅运营商能够对业务进行管理,客户本身也能对业务进行监视和进行一定程度的控制。企业希望不仅能够对自己的VPN进行全视角的监视,察看系统的配置和性能统计,而且能够对系统进行配置更新和改变。
&&&主编推荐
&&&热门试卷
&&&最新视频
&&&热门阅读
&&&最新问答
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&&&湘教QS2-164&&增值电信业务经营许可证湘B2-
