vpn技術論文匯總十篇
時間:2023-03-08 14:51:46
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇vpn技術論文范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
就金融業目前的大部分網絡應用而言,典型的省內網絡結構一般是由一個總部(省級網絡中心)和若干個地市分支機構、以及數量不等的合作伙伴和移動遠程(撥號)用戶所組成。除遠程用戶外,其余各地市分支機構均為規模不等的局域網絡系統。其中省級局域網絡是整個網絡系統的核心,為金融機構中心服務所在地,同時也是該金融企業的省級網絡管理中心。而各地市及合作伙伴之間的聯接方式則多種多樣,包括遠程撥號、專線、Internet等。
從省級和地市金融機構的互聯方式來看,可以分為以下三種模式:(1)移動用戶和遠程機構用戶通過撥號訪問網絡,撥號訪問本身又可分為通過電話網絡撥入管理中心訪問服務器和撥入網絡服務提供商兩種方式;(2)各地市遠程金融分支機構局域網通過專線或公共網絡與總部局域網絡連接;(3)合作伙伴(客戶、供應商)局域網通過專線或公共網絡與總部局域網連接。
由于各類金融機構網絡系統均有其特定的發展歷史,其網絡技術的運用也是傳統技術和先進技術兼收并蓄。通常在金融機構的網絡系統建設過程中,主要側重于網絡信息系統的穩定性并確保金融機構的正常生產營運。
就網絡信息系統安全而言,目前金融機構的安全防范機制仍然是脆弱的,一般金融機構僅利用了一些常規的安全防護措施,這些措施包括利用操作系統、數據庫系統自身的安全設施;購買并部署商用的防火墻和防病毒產品等。在應用程序的設計中,也僅考慮到了部分信息安全問題。應該說這在金融業務網絡建設初期的客觀環境下是可行的,也是客觀條件限制下的必然。由于業務網絡系統中大量采用不是專為安全系統設計的各種版本的商用基礎軟件,這些軟件通常僅具備一些基本的安全功能,而且在安裝時的缺省配置往往更多地照顧了使用的方便性而忽略了系統的安全性,如考慮不周很容易留下安全漏洞。此外,金融機構在獲得公共Internet信息服務的同時并不能可靠地獲得安全保障,Internet服務提供商(ISP)采取的安全手段都是為了保護他們自身和他們核心服務的可靠性,而不是保護他們的客戶不被攻擊,他們對于你的安全問題的反應可能是提供建議,也可能是盡力幫助,或者只是關閉你的連接直到你恢復正常。因此,總的來說金融系統中的大部分網絡系統遠沒有達到與金融系統信息的重要性相稱的安全級別,有的甚至對于一些常規的攻擊手段也無法抵御,這些都是金融管理信息系統亟待解決的安全問題。
二、現代金融網絡面臨的威脅及安全需求
目前金融系統存在的網絡安全威脅,就其攻擊手段而言可分為針對信息的攻擊、針對系統的攻擊、針對使用者的攻擊以及針對系統資源的攻擊等四類,而實施安全攻擊的人員則可能是外部人員,也可能是機構內部人員。
針對信息的攻擊是最常見的攻擊行為,信息攻擊是針對處于傳輸和存儲形態的信息進行的,其攻擊地點既可以在局域網內,也可以在廣域網上。針對信息的攻擊手段的可怕之處在于其隱蔽性和突然性,攻擊者可以不動聲色地竊取并利用信息,而無慮被發現;犯罪者也可以在積聚足夠的信息后驟起發難,進行敲詐勒索。此類案件見諸報端層出不窮,而未公開案例與之相比更是數以倍數。
利用系統(包括操作系統、支撐軟件及應用系統)固有的或系統配置及管理過程中的安全漏洞,穿透或繞過安全設施的防護策略,達到非法訪問直至控制系統的目的,并以此為跳板,繼續攻擊其他系統。由于我國的網絡信息系統中大量采用不是專為安全系統設計的基礎軟件和支撐平臺,為了照顧使用的方便性而忽略了安全性,導致許多安全漏洞的產生,如果再考慮到某些軟件供應商出于政治或經濟的目的,可能在系統中預留“后門”,因此必須采用有效的技術手段加以預防。
針對使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑,攻擊者多利用管理者和使用者安全意識不強、管理制度松弛、認證技術不嚴密的特點,通過種種手段竊取系統權限,通過合法程序來達到非法目的,并可在事后嫁禍他人或毀滅證據,導致此類攻擊難以取證。
針對資源的攻擊是以各種手段耗盡系統某一資源,使之喪失繼續提供服務的能力,因此又稱為拒絕服務類攻擊。拒絕服務攻擊的高級形式為分布式拒絕服務攻擊,即攻擊者利用其所控制的成百上千個系統同時發起攻擊,迫使攻擊對象癱瘓。由于針對資源的攻擊利用的是現有的網絡架構,尤其是Internet以及TCP/IP協議的固有缺陷,因此在網絡的基礎設施沒有得到大的改進前,難以徹底解決。
金融的安全需求安全包括五個基本要素:機密性、完整性、可用性、可審查性和可控性。目前國內金融機構的網絡信息系統應重點解決好網絡內部的信息流動及操作層面所面臨的安全問題,即總部和分支機構及合作伙伴之間在各個層次上的信息傳輸安全和網絡訪問控制問題。網絡系統需要解決的關鍵安全問題概括起來主要有:傳輸信息的安全、節點身份認證、交易的不可抵賴性和對非法攻擊事件的可追蹤性。
必須指出:網絡信息系統是由人參與的信息環境,建立良好的安全組織和管理是首要的安全需求,也是一切安全技術手段得以有效發揮的基礎。金融行業需要的是集組織、管理和技術為一體的完整的安全解決方案。
解決網絡信息系統安全保密問題的兩項主要基礎技術為網絡訪問控制技術和密碼技術。網絡訪問控制技術用于對系統進行安全保護,抵抗各種外來攻擊。密碼技術用于加密隱蔽傳輸信息、認證用戶身份、抗否認等。
密碼技術是實現網絡安全的最有效的技術之一,實際上,數據加密作為一項基本技術已經成為所有通信數據安全的基石。在多數情況下,數據加密是保證信息機密性的唯一方法。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法,這使得它能以較小的代價提供很強的安全保護,在現代金融的網絡安全的應用上起著非常關鍵的作用。
虛擬專用網絡(VPN:VirtualPrivateNetwork)技術就是在網絡層通過數據包封裝技術和密碼技術,使數據包在公共網絡中通過“加密管道”傳播,從而在公共網絡中建立起安全的“專用”網絡。利用VPN技術,金融機構只需要租用本地的數據專線,連接上本地的公眾信息網,各地的機構就可以互相安全的傳遞信息;另外,金融機構還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以安全的連接進入金融機構網絡中,進行各類網絡結算和匯兌。
綜合利用網絡互聯的隧道技術、數據加密技術、網絡訪問控制技術,并通過適當的密鑰管理機制,在公共的網絡基礎設施上建立安全的虛擬專用網絡系統,可以實現完整的集成化金融機構范圍VPN安全解決方案。對于現行的金融行業網絡應用系統,采用VPN技術可以在不影響現行業務系統正常運行的前提下,極大地提高系統的安全性能,是一種較為理想的基礎解決方案。
當今VPN技術中對數據包的加解密一般應用在網絡層(對于TCP/IP網絡,發生在IP層),從而既克服了傳統的鏈(線)路加密技術對通訊方式、傳輸介質、傳輸協議依賴性高,適應性差,無統一標準等缺陷,又避免了應用層端——端加密管理復雜、互通性差、安裝和系統遷移困難等問題,使得VPN技術具有節省成本、適應性好、標準化程度高、便于管理、易于與其他安全和系統管理技術融合等優勢,成為目前和今后金融安全網絡發展的一個必然趨勢。
篇(2)
2民航數據通信網中組播VPN的實現
在民航數據通信網中實現組播VPN主要需完成骨干網絡的準備工作以及組播VPN設計與實施等工作。
2.1組播VPN的規劃設計民航ATM數據網華東地區ATM交換機上的RPM-PR板卡提供了MPLSVPN業務,目前部署的MPLSVPN業務網絡拓撲為星形結構,即由區域一級節點9槽RPM板卡作為P設備和路由反射器,而其他節點均為PE設備。華東地區ATM網絡中同時承載著兩個相互獨立的組播業務:ATM數據網公網組播實例和名為YJCJ2的用戶私網組播實例。VPN組播實例是通過在P和PE設備上部署實現的,網絡中,作為P和PE的RPM板卡上運行著公網組播實例,而作為PE的RPM板卡同時又運行著用戶私網組播實例。公網的組播實例是在所有RPM板卡上開啟組播應用。上海虹橋和浦東機場兩個節點的10槽RPM板卡負責接入用戶的VPN組播業務,所以需在這兩臺設備上部署MPLSVPN應用,并在這兩個用戶站點相應的VRF實例中開啟組播應用。在本案例中,VPN用戶接入側要求使用的是PIM密集模式,而民航數據網MPLSVPN公網則使用的是PIM稀松模式。在MPLSVPN網絡中不同用戶的VPN站點都是彼此邏輯獨立的,并且VPN用戶數據封裝MPLS標簽后通過公網的PE和P設備進行傳輸。對于VPN組播來說,數據的傳輸模式也是類似的。PE設備通過將該VPN實例中的用戶VPN組播數據報文封裝成公網所能“識別”的公網組播數據報文進行組播轉發。這種將私網組播報文封裝成公網組播報文的過程就叫做構造組播隧道(MT)。在PE上,每個VPN用戶的組播數據是通過不同的MTI(MulticastTunnelInterfac)組播隧接口在公網構造組播隧道,參見圖2。由于公網、VPN網以及用戶接入側各組播部署中都采用PIM協議啟用了組播應用,MPLSVPN中組播應用包含如下的PIM鄰居關系:(1)PE-P鄰居關系:指PE上公網實例接口與鏈路對端P上的接口之間所建立的PIM鄰居關系。(2)PE-PE鄰居關系:指PE上的VPN實力通過MTI收到遠端PE上的VPN實例發來的PIMHello報文后建立的鄰居關系。(3)PE-CE鄰居關系:指PE上綁定VPN實例的接口與鏈路對端CE上的接口之間建立的PIM鄰居關系。部署公網組播實例需在華東地區所有相關RPM板卡開啟組播服務,考慮到密集模式對RPM設備和骨干網資源的開銷,在民航ATM數據網中使用了PIM稀松模式。根據網絡的物理網絡拓撲模型,選取上海虹橋9槽RPM板卡作為RP。
2.2組播VPN的實施運行在MPLSVPN網絡中的P和PE設備上部署PIM協議,這些設備之間會形成PE-P鄰居關系,從而使得公網支持組播功能,并形成公網的組播分發樹。本案例中使用PIM稀松模式,即在虹橋和浦東機場節點的9、10槽RPM板卡的配置底層IGP路由協議的接口上部署PIM稀松模式,這樣就構造了公網的PIM共享樹。在傳輸用戶私網組播報文的PE上部署基于VRF實例的組播,一個VPN實例唯一制定一個Share-Group地址。同一個VPN組播域內的PE之間形成PE-PE鄰居,并形成該組播域的共享組播分發樹(Share-MDT)。在本例中就是在虹橋和浦東機場的10槽YJCJ2VRF實例中部署相應的defaultMDT地址239.255.0.5。用戶CE設備和PE連接CE的相應接口啟用組播,本例中使用PIM密集模式。這樣就形成了PE-CE鄰居關系。本例中是在虹橋和浦東機場節點的相應VPN業務端口配置PIM密集模式。當用戶有組播報文需要傳輸的時候,就將組播報文發送給PE的VRF實例,PE設備收到報文后識別組播數據所屬的VRF實例。用戶私網的數據報文對于公網是透明的,不論數據歸屬或類別,PE都統一將其封裝為公網組播數據報文,并以Share-Group作為其所屬的公網組播組。一個Share-Group唯一對應一個MD,并利用公網資源唯一創建一棵Share-MDT進行數據轉發。在該VPN中所有私網組播報文,都通過此Share-MDT進行轉發。如圖3所示,可以看到華東地區公網上的Share-MDT創建的過程。虹橋節點10槽RPM向9槽RPM(RP節點)發起加入消息,以Share-Group地址作為組播組地址,在公網沿途的設備上分別創建(*,239.255.0.5)表項。同時虹橋浦東機場節點也發起類似的加入過程,最終在MD中形成一棵以虹橋節點9槽RPM為根,以虹橋、浦東機場節點10槽RPM為葉的共享樹(RPT)。隨后,虹橋和浦東機場節點10槽RPM的公網實例向公網RP發起注冊,并以自身BGP的router-id地址作為組播源地址、Share-Group地址作為組播組地址,在公網的沿途設備上分別創建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表項,形成連接PE和RP的最短路徑樹(SPT)。在PIM-SM網絡中,由(*,239.255.0.5)和這兩棵相互獨立的SPT共同組成了Share-MDT。虹橋節點PE的私網組播報文在進入公網后,均沿該Share-MDT向浦東機場節點PE轉發。圖4是私網組播報文在公網中轉發的過程。當浦東機場節點的YJCJ2VPN用戶CE設備加入到虹橋節點數據源所在的組播組,此時由于這兩個站點部署為PIM-DM模式,虹橋節點組播設備會立刻將數據推送到虹橋節點10槽RPM的YJCJ2VRF實例中,并通過該VPN構建的Share-MDT在公網上以(20.51.5.6,239.255.0.5)構建的SPT進行公網組播報文傳輸。當公網組播報文被浦東機場10槽PE設備收到后會將其解封裝成原始的私網組播報文,并轉發給相應的接收CE,最終完成用戶私網組播數據在MPLSVPN網絡中的傳輸。
篇(3)
1.校園網問題分析及其解決方案的提出
虛擬專用網(VPN),是對企業內部網的擴展。它通過“隧道”技術、加密技術、認證技術和訪問控制等手段提供一種通過公用網絡(通常是因特網)安全地對單位內部專用網絡進行遠程訪問的連接方式。
近年來,隨著高校信息化建設工作的深入開展,校園網用戶對校園網的要求也越來越高,傳統的單一公網接入模式已經很難滿足日趨復雜的應用需求。大多數的教師習慣于利用家里的計算機上網查資料、寫論文。如果要去學校圖書館網站,或者是教育網內查資料,一般情況下是無法查找并下載的,因為學校圖書館的電子資源都做了訪問限制,普通Internet用戶也是不能訪問教育網的。在每年期末考試后,老師在線提交成績時,都要登錄學校內部“教務處”的網站在線提交,這時也只能到學校提交。
為此,校園網的建設可采用多ISP連接的網絡訪問模式:在原有的教育網出口的基礎上增加一個當地ISP(移動、聯通或電信寬帶ISP)出口,形成多ISP連接的校園網絡結構,并且需學校的網絡中心在學校組建VPN服務器,供教職工在校外使用校內資源。在組建VPN服務器時,使用當地ISP出口,為校外的教職工提供VPN接入服務,因為校外教職工大多使用當地ISP提供的ADSL寬帶業務。當校外職工使用VPN接入學校的VPN服務器后,就可以訪問校園網與教育網上的資源,這將為教職工提供很大的便利。
2.VPN關鍵技術研究
⑴隧道技術:隧道是指在公用網建立一條數據通道,讓數據包通過這條隧道傳輸。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應于OSI模型的數據鏈路層,使用幀作為數據交換單位。PPTP(點對點隧道協議)、L2TP(第二層隧道協議)和L2F(第2層轉發協議)都屬于第2層隧道協議,是將用戶數據封裝在點對點協議(PPP)幀中通過互聯網發送。第3層隧道協議對應于OSI模型的網絡層,使用包作為數據交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協議,是將IP包封裝在附加的IP包頭中,通過IP網絡傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在于,用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。
⑵安全技術:VPN安全技術主要包括加解密技術、密鑰管理技術、使用者與設備身份認證技術。加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術;密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取;使用者與設備身份認證技術最常用的是使用者名稱與密碼認證等方式。
3.基于VPN技術的多出口校園網的設計
3.1 網絡結構規劃
為了滿足可擴展性和適應性目標,網絡結構采用典型的層次化拓撲,即核心層、分布層、訪問層。核心層路由器用于優化網絡可用性和性能,主要承擔校園網的高速數據交換任務,同時要為各分布層節點提供最佳數據傳輸路徑;分布層交換機用于執行策略,分別連接圖書館、辦公樓、實驗樓以及各院系;接入層通過低端交換機和無線訪問節點連接用戶。畢業論文。網絡拓撲圖如圖1所示。
圖1 網絡拓撲圖
3.2 網絡工作原理
在該組網方案中,學校通過核心層路由器分別接入教育網與Internet,然后通過一硬件防火墻與分布層交換機連接,分布層交換機負責連接圖書館、辦公樓、實驗樓以及各院系的接入層設備,校園網內的終端計算機直接與接入層設備相連。終端計算機可直接使用教育網分配的IP地址。校園網內有一臺安裝了ISAServer2006的VPN服務器,給其分配一個教育網IP地址(假設Ip:202.102.134.100,網關地址202.102.134.68),在防火墻中將一個公網地址(假設為222.206.176.12)映射到該地址。VPN服務器可通過“防火墻”與“核心層路由器”訪問Internet與教育網,Internet上的用戶,可以通過“Internet上的VPN客戶端—>Internet網絡—>核心層路由器—>防火墻—>分布層交換機—>ISA Server2006VPN服務器”的路線連接到VPN服務器,之后,ISAServer2006 VPN服務器通過防火墻和核心層路由器訪問教育網,并且ISA Server2006 VPN服務器通過分布層交換機提供了到學校內網的訪問。
3.3 技術要點
⑴防火墻內網地址問題。如果防火墻是透明模式接入,各個網口是不需要地址的。若防火墻是假透明,就需要給防火墻的每個網口配置同一個網段的IP。如果是路由模式,需要給防火墻的每個網口配置不同網段的IP,就象路由器一樣。現在有一些防火墻已經有所謂的混合模式,也就是透明和路由同時工作,這屬于路由模式的擴展。畢業論文。
⑵VPN服務器的注意事項。ISA Server2006VPN服務器要求至少有“兩塊網卡”才能做VPN服務器,若服務器上只有一塊網卡,需為其安裝一塊“虛擬網卡”。另外,VPN服務器不一定要直接連接在分布層交換機上,也可以是圖書館、辦公樓、實驗樓以及各院系的一臺服務器,只要映射一個公網地址即可。
⑶設定ISA Server2006接受VPN呼叫。VPN 可通過默認設置的動態主機配置協議(Dynamic Host Configuration Protocol,DHCP)或者通過使用路由選擇和遠程訪問控制臺分配的一組地址來分配地址。如果選擇了DHCP,VPN客戶端永遠不會同DHCP服務器進行直接通信,運行ISA Server2006的VPN服務器將分配從DHCP服務器所獲得的地址;它將基于運行ISA Server2006的VPN 服務器的內部接口配置來分配名稱服務器地址。如果擁有多個內部接口,運行ISA Server的VPN 服務器將選擇其中之一。
⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時,在為VPN客戶端分配IP地址的時候,要保證所分配的地址不能與VPN服務器本身以及VPN服務器所屬內網、公網的地址沖突,否則VPN客戶端在訪問內網時,會造成尋址問題而不能訪問。畢業論文。為了避免出現問題,直接分配私網的IP地址即可,比如192.168.14.0/24網段。另外,校園網外的教職工,在撥叫VPN服務器時,應是防火墻映射的地址,本文中即222.206.176.12。
4.結束語
多出口是目前許多高校組建校園網時所采取的方式,多出口解決了教育網與Internet之間的出口速度很慢的問題,將VPN技術應用到具有多出口的高校校園網,可以讓校外Internet用戶更容易、更方便的獲得對教育網、校園網數字資源的使用權。
參考文獻
[1]曹利峰,杜學繪,陳性元.一種新的IPsecVPN的實現方式研究[J].計算機應用與軟件,2008,07
[2]賈毅峰.雙出口校園網中策略路由的應用[J].銅仁學院學報,2009,11
[3]吳建國,王鐵,許興華.校園網雙(多)出口的基本解決策略和方法[J].云南師范大學學報,2010.01
篇(4)
背景需求分析
近年來,數字視頻監控系統以其控制靈活、信息容量大、存儲和檢索便利等優點逐步取代了傳統的模擬視頻監控系統,被廣泛應用于監控、安防、質檢等方面。隨著計算機及網絡技術的發展、普及和網絡帶寬的迅速擴大,視頻監控已經發展到了網絡多媒體監控系統,即將數字視頻監控技術與網絡技術相結合,在現場監控主機無人職守情況下,實現局域網或Internet遠程監控的功能。如此一來,將監控信息從監控中心釋放出來,從而提高了治理水平和效率。但假如遠程訪問視頻監控服務技術功能不足,則無法保證監控信息所需的保密性和速度性,這該怎樣解決呢?VPN?(VirtualPrivate Networking)技術的出現,正好解決了該問題,實現了遠程視頻監控信息安全便利的傳輸。
經調查發現,實現VPN遠程視頻監控系統較重視的需求為:
虛擬私有網絡VPN安全傳輸:完整的VPN網絡視頻監控系統,最重要的需求是要讓各分支外點及本地局域網的監控視頻能安全、實時的傳送到總公司監控中心的治理服務器,統一作企業安全防護及報警。視頻監控信息若不作加密處理就直接通過公眾互聯網進行傳送,可能會造成企業內部機密外露等問題。因此,需要建置完善的VPN傳輸,不僅可節約高昂的專線成本,還能得到安全穩定的傳輸質量。
穩定良好的寬帶接入服務:將視頻監控信息集成到VPN中,雖然可以確保得到安全穩定的聯機,但VPN線路還是建立在公眾互聯網上,一但接入的寬帶線路不穩定輕易掉線,也連帶影響到VPN的聯機質量。穩定良好的的寬帶接入服務或于運營商掉線斷網時可以實時提供備援的支持是必要的。
帶寬增級同時也能節省成本:多媒體視頻監控系統包括視頻、音頻及相關數據的傳送,若要得到實時、順暢的傳送質量,需要相當大的帶寬才可達成,因此首先就面臨到帶寬的增級。如此就會導致線路成本的增加及可能的線路添加,帶來成本及治理上的諸多問題。這時,兼顧成本的考慮下,適當的線路集成整合成為企業的需求。
網絡安全防攻擊防火墻:越來越多的攻擊及病毒,造成企業網絡安全的潛危機。一旦寬帶接入受到惡意攻擊影響網絡正常運作,輕則讓監控信息傳輸效率大減,嚴重時發生整個網絡斷網,造成視頻監控系統停擺的窘境。若是多購置防火墻,等于是增加成本,因此路由器中需要有適當的防火墻功能,以進行網絡安全的防護。
內部上網行為管控避免影響重要傳輸:多數員工在上班時間通過BT等下載音樂電影,或是聊QQ、MSN等實時交流工具,不僅影響工作效率,也很大可能會造成帶寬被占用、影響監控信息傳送速度降低影響監控實時反應,更嚴重是可能隨之而來的病毒、蠕蟲和木馬的威脅。有效而可靠的管制內網用戶使用特定軟件是很必要的。
方便的配置及治理:當今講求效率的時代,路由器也需要提供簡易配置好治理的配置接口設計,讓網管由繁復工作中解放。另外VPN客戶端大多不配備專業的網管,很多指令行的路由器給設置帶來了困擾,而想要對路由器進行任一個操作,都必須找來專業的人員,這又為實時反應帶來了變量。因此路由器的配置,最好使用直觀的配置接口及簡化的配置設計,即使不是是專門的網管人員經簡單的培訓后也可輕易上手,節省不必要的時間浪費。
VPN遠程視頻監控應用
依據企業遠程VPN視頻監控系統服務需求及以上組網分析,具有高度性價比優勢的多WAN VPN防火墻廠商俠諾科技,為遠程VPN視頻監控系統提出一完整的組網方案。
方案功能特點
多WAN端口接入匯聚帶寬:Qno俠諾多WAN產品支持帶寬匯聚、自動線路備援等功能,多WAN口接入方式,讓企業有更大和彈性配置空間。可支持多線路多ISP接入,不僅可以匯聚帶寬以節省成本,而且還可以實現線路備援、數據分流、負載均衡等效果。當一條線路掉線,會自動改用另一個WAN連接端口的線路連接,確保VPN聯機不掉線,避免掉線時造成無形的損失與傷害。
強效防火墻有效防病毒攻擊:VPN防火墻,具備主動式封包檢測功能,只需單向啟動各式黑客攻擊、蠕蟲病毒防護功能,即可簡易完成配置,有效防止內外網惡意攻擊,確保企業網絡安全,降低網絡受攻擊帶來的損失。具有內建的防制ARP功能,憑借自動檢視封包的機制,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線。可搭配IP /MAC雙向綁定,在路由器端以內網PC端進行IP/MAC綁定,即可達到防堵ARP無漏洞的效果。論文參考網。
QoS帶寬治理優化帶寬使用:視頻監控多媒體傳輸需要有穩定的帶寬,而少數BT下載等惡意占用帶寬造成網絡卡,經常會造成客戶抱怨。讓人寬慰的是俠諾二代多元QoS帶寬治理功能,支持一周七天、一天三個時段采取不同的帶寬治理政策,依據不同的網絡應用環境、時段,自由選擇管控方式,達到帶寬利用率最佳化的目的。該功能包含有傳統QoS帶寬管控及智能SmartQoS治理,可依據聯機數、要害字、最大或最小帶寬等方式進行管控,也可啟動動態智能治理,對于非凡的應用或用戶進行非凡限制。這個功能并不禁止特定的應用,只是加以限制,從而更彈性的提供帶寬服務。
輕松實現了中心管控:同時治理外點多條VPN接入聯機,對于大部分網管來說,是非常棘手的問題,尤其是必須反復留心查詢各點聯機狀況、帶寬使用率、視頻監控等信息,更是耗費許多時間。而Qno俠諾多WAN VPN防火墻則輕松解決了上述問題,其所具備的中心控管功能,可一次看清全部VPN聯機的情況,再也不必一一地檢查聯機的狀況。若需進一步協助設定或排解問題,網管也可直接進入分點的治理接口查看或進行設定治理,安全又有效率。
簡易又方便的系統治理:Qno俠諾多WAN VPN防火墻具有全中文化配置及治理界面,所有設定參數與組態清楚明確、簡單易懂,輕松完成網絡設置。還支持強大的系統日志功能,可通過對日志治理和查找,即時監控系統狀態及內外流量,進而作對應的配置,確保內網運作無誤。
支持多VPN協議外點靈活選擇:Qno俠諾高階產品系列,可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客戶端密鑰等多種連機方式,可滿足外點多種VPN彈性配置需求,實現總部中心端與各分點建構實時、穩定、安全的互連VPN網絡系統。由此可見,多通道多協議的特點完全能勝任企業擴展及網絡視頻布點,而且外點可根據實際規劃與應用,靈活選擇適用的方式接入中心端。
SmartLink VPN快速設定:俠諾SmartLinkVPN快速聯機,簡化20多復雜設置步驟,將大部份的設定參數的工作交由VPN網關自動完成,用戶只需要輸中心端服務器IP地址、用戶名、密碼三個參數,即可完成超快速VPN連機設定。
策略路由解決VPN跨網瓶頸:由于國內長期存在電信、網通互連不互通的問題,許多企業建立VPN時會發生跨ISP網絡時帶寬不足,導致VPN不穩定或易于掉線。俠諾多WAN口的設計,可搭配策略路由的設定,讓不同ISP外點可直接連到對應VPN服務器入口,實現“電信走電信、網通走網通”,從而有效解決跨網受限問題。
指定路由強化網絡穩定性:另外一方面,多WAN口的設計,也提供了訪問網絡快速穩定的途徑。支持指定路由功能,可通過協議綁定,將特定的服務或應用綁定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速訪問速度,進一步保障網絡的穩定性。也可將VPN綁定特定端口,保證VPN通道的穩定流暢。
總結
通過以上介紹,可以看出,Qno俠諾多WAN VPN防火墻產品多項功能,都體現了俠諾簡單、安全、快速的“3S”研發理念和貼近用戶需求的專心,幫助企業以較少的成本、時間與精力,達成高效、快速、安全的運營效能。非凡對于遠程VPN視頻監控服務來說,在帶寬、安全性穩定性等多方面都有較高要求,VPN遠程視頻監控解決方案,可有效保持企業總部和分支機構間的隧道暢通,進而保證其服務的穩定性和可靠度,提高安全監控的視頻質量,當異常事件發生時,可以在第一時間進行處理。論文參考網。可謂是最省成本、且最方便的解決途徑。
春節假期,偶然在街上碰到大學同學小張。多年不見話題就多了,在了解到本人現在所從事的是網絡安全技術方面的工作后,他像是碰到了大救星,一個勁兒要請客吃飯。原來,他利用這幾年打工的儲蓄獨立創業,加盟了一家全國聞名的服裝連鎖店,連鎖總店要求必須部署VPN信息網絡。年前,他便按照要求進行了統一購買了VPN設備,但是由于其設置和應用過于復雜,對于作為網絡“外行”的人來說,實在是有點難以應付。此外,因為金融危機的影響,為了壓縮人力資源成本,他暫時還沒有聘請專業網管的計劃,正為這事上火。論文參考網。
其實,這種問題在國內數萬家中小連鎖企業的經營治理過程中絕不是首例。產生這種矛盾的原因有兩點:專業化的高端設備滿足了企業的應用需求,但是一般的兼職網管無法應付其治理和維護;平民化的低端設備,使用和治理倒是比較簡單,卻達不到企業信息化治理的全面需求。VPN網絡是未來企業發展的大勢所趨,但當務之急是為企業提供最為合適的設備,即要能兼具安全與簡便的基本特性。安全無須多說,簡便性就成了體現產品技術水平的最大差異化,也同樣彰顯了企業客戶在應用上的突出需求之一。事實證實,其簡便的應用特性非常貼近中小企業的需求現狀,得到了較好的市場效果。
篇(5)
2 綜合承載傳送網的組網結構
綜合承載傳送網采用分層結構組網,分為核心匯聚層和邊緣接入層。核心匯聚層組網結構主要分為三種:環形組網、口字型組網和雙上聯組網。
山東聯通各地市組網主要采用環形和口字型組網方式。雙上聯組網和口字型組網結構類似,但由于需要耗費大量的光纖資源或者波分波道資源,因此在實際組網時主要還是采用折中的口字型組網方式。
邊緣專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net接入層主要根據光纖資源情況,分為雙掛環形組網和單掛環形組網方式,一般光纖資源能保證的區域優先選用雙掛方式,因為雙掛方式除了能實現傳統的路徑保護(1:1 LSP)外,還能實現雙歸保護,從而避免匯聚設備單點故障引起的大面積掉站。
3 業務承載方案
3.1 業務承載需求
山東聯通綜合承載傳送網主要有兩大類業務承載需求:
⑴基站回傳等自營業務或者系統的承載需求:
具備IP化、以太化基站的接入能力,提供高可靠、大容量的基站回傳流量的承載;
滿足LTE網絡的承載需求,實現基站間靈活互訪、基站多歸屬、基站組播等承載能力;
能夠滿足動力監控、綜合業務接入網網管等各類系統的承載需求。
⑵政企業務或者大客戶的承載需求:
⑶提供高可靠、大容量的二、三層VPN接入能力,能夠滿足點到點、點到多點、多點到多點等二、三層VPN的組網需求;
⑷具備電路仿真能力,提供ATM/FR/DDN等電路的接入能力。
3.2 承載方案分析
山東聯通綜合承載傳送網的業務承載方案可歸結為三點:
⑴對于2G和3G基站的TDM業務,可以采用偽線方式一PWE3實現。并在核心節點采用CSTM1端口進行匯聚。El業務一般采用SAToP方式,封裝幀數和抖動緩存暫按設備缺省值取定。
⑵對于TDM、以太網、ATM等大客戶專線,應采用相應的偽線方式實現。對于L3VPN的大客戶專線,可采用核心匯聚層L3VPN加邊緣接入層偽線、層次化L3VPN等兩種方式實現。
⑶對于未來的LTE業務,分組傳送網絡需要承載s1和X2接口的流量。業務對IP轉發的層面要求將進一步下移。可采用核心匯聚層L3VPN或層次化L3VPN到邊緣的方式。
不同廠家對于3G IP業務承載方案的推薦會有所不同,就山東聯通而言,基站數據域業務承載方式主要存在兩種,(1)L3VPN部署到邊緣-華為主推;(2)L3VPN部署到匯聚-中興和貝爾主推。兩者各有優勢,L3VPN部署到邊緣需要為基站互聯端口分配IP地址,根據目前3G基站的IP地址分配規則,會涉及大量基站的IP地址調整,但符合中遠期網絡的演進思路;L3VPN部署到匯聚,基站IP地址的調整量將大大減少,與現有MSTP提供3G移動回傳FE的業務提供方式、維護方式相似度高,利于分組傳送技術引入后網絡運行維護的逐步過渡。
山東聯通綜合承載傳送網的業務承載方案如圖3和圖4:
4 綜合承載傳送網與RNC的互聯方案
目前,山東聯通2G/3G基站的電路域業務在核心機房均通過155M電路與BSC/RNC直接相連。3G基站的分組專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net域業務與RNC對接現網有兩種方式,一種是RNC直接與分組承載傳送網業務匯聚設備互連,另一種是RNC通過CE與分組承載傳送網互連。
在RNC直接與分組承載傳送網互聯情況下,若RNC的GE或STM-1接口不足,可采用以下方式:
4.1 RNC接入端口擴容
通過對RNC的GE和STM-1端口成對擴容,滿足與分組承載傳送網業務互聯的需求,同時可以減少對已有3G業務的影響。通過逐步割接,可將現有以MSTP網絡承載的3G分組業務割接到分組承載傳送網上。
4.2 RNC接入端口不方便擴容
應將MSTP上的分組業務在匯聚層或核心層直接割接到分組承載傳送網上。通過分組承載傳送網設備與RNC相連。
就山東聯通目前的組網而言,由于還存在著大規模的2G/3G基站采用MSTP傳輸接入,在一定的時間段內無法保證IP化,因此還存在著核心設備與RNC有大量的CSTM-1口對接,RNC的擴容在未來2-3年內也將繼續進行,也會帶來一定規模的GE口擴容,因此中大型地市的綜合承載網與RNC互聯通過分組業務匯聚設備顯得更為合理。
5 傳輸背景人員快速融入IP RAN維護
引入分組傳送技術后,整個綜合承載傳送網解決方案都是以數通技術作為基礎,如何使傳輸背景人員快速融入IPRAN的建設維護顯得尤為重要,結合實際工作,建議從以下幾個方面入手:
5.1 比較傳統傳輸理念和IP化理念的異同
傳統的MSTP網絡屬于硬管道交換,所有業務都是建立端到端的連接通道占用固定帶寬,
但是綜合承載傳送不一樣,它既繼承了傳輸端到端OAM的特性,又有數據網絡逐跳建立連接的特性,整個網絡是一張彈性的網。我們可以借助傳統IP城域網的理念去類比IPRAN技術的相關概念,深入理解數通相關知識。
5.2 深刻認識全程全網和端到端業務理念
與傳統的MSTP一樣,綜合承載傳送網也需要建立端到端業務的概念,我們不僅僅需要理解分組網絡是如何進行信息傳遞的,而且還需要把無線接入和核心網納入到我們關注的范圍,從NODEB和UTN如何連接,RNC與UTN如何對接,整個數據流進入UTN以后如何進行封裝傳送等等,理解整個UTN、在配置數據排除故專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net障時才能得心應手。
5.3 認真學習實施方案
建議在工程建設期間認真學習具體的實施方案,一般而言,廠家會根據設計文件完成具體的實施方案,從組網方案、拓撲設計及設備選型、IP地址規劃、路由部署設計、MPLS隧道設計、業務部署設計、可靠性設計、時鐘/網管同步設計、QOS部署設計等等。這個過程可以幫助你學習完成一張網搭建所需的所有知識。
5.4 熟練掌握網管
網管需要掌握相關的數通知識,如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要對解決方案中用到的知識點有個較深入的理解,另外一方 面我們又要熟練掌握網管的相關操作,在IPRAN的維護習慣上,我們更偏向于網管操作,不會像傳統數通設備維護那樣通過命令行進行操作,但是網管操作的基礎又是數通知識,因為網管只是提供一個界面,提升效率,真正要配置的還是數通協議。理論和網管是IPRAN的兩個關鍵點,兩者相輔相成缺一不可,所以我們要同時加強這兩方面的技能。
5.5 工程隨工學習
更多的現場隨工學習可以幫助你快速提升,深入現場多操作設備,通過實際對比分IPRAN技術與MSTP傳統傳輸的區別。工程建設期的隨工是一個很好的機會,因為工程建設期不用擔心業務是否受影響,操練起來能更充分。
6 結束語
篇(6)
引言
虛擬專用網即VPN(Virtual Private Network)是利用接入服務器(Access Sever)、廣域網上的路由器以及VPN專用設備在公用的WAN上實現虛擬專用網技術。通常利internet上開展的VPN服務被稱為IPVPN。
利用共用的WAN網,傳輸企業局域網上的信息,一個關鍵的問題就是信息的安全問題。為了解決此問題,VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。
1. 隧道技術
Internet中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機。總部和分公司到ISP的接入點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發送數據。在分公司的LAN上的IP分組的IP地址是以內部IP地址表示的"目的地址A""源地址B"。因此分組到達分公司的VPN設備后,立即在它的前部加上與全局IP地址對應的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設備從D發往VPN設備C而添加的。此IP分組到達總部的VPN設備C后,全局IP地址即被刪除,恢復成IP分組發往地址A。由此可見,隧道技術就是VPN利用公用網進行信息傳輸的關鍵。為此,還必須在IP分組上添加新頭標,這就是所謂IP的封裝化。同時利用隧道技術,還必須使得隧道的入口與出口相對地出現。
基于隧道技術VPN網絡,對于通信的雙方,感覺如同在使用專用網絡進行通信。
2. 隧道協議
在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此,要成功的使用VPN技術還需要有隧道協議。
2.1 當前主要的隧道協議以及隧道機制的分類:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技術,作為一種傳輸協議L2F支持撥號接入服務器。將撥號數據流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP協議又稱為點對點的隧道協議。PPTP協議允許對IP,IPX或NETBEUT數據流進行加密,然后封裝在IP包頭中通過企業IP網絡或公共互連網絡傳送。
⑶ 2TP(Layer 2 Tunneling Protocol)
該協議是遠程訪問型VPN今后的標準協議。
L2F、PPTP、L2TP共同特點是從遠程客戶直至內部網入口的VPN設備建立PPP連接,端口用戶可以在客戶側管理PPP。它們除了能夠利用內部IP地址的擴展功能外,還能在VPN上利用PPP支持的多協議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實現第二層連接的PPPSecsion的隧道協議被稱作第二層隧道。對于不提供PPP功能的隧道協議都由標準的IP層來處理,稱其為第三層隧道,以區分于第二層隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠程訪問的VPN協議,它部分采用了移動IP的機制。ATMP以GRE實現封裝化,將VPN的起點和終點配置ISP內。因此,用戶可以不裝與VPN想適配的軟件。
⑸ PSEC
IPSEC規定了在IP網絡環境中的安全框架。該規范規定了VPN能夠利用認證頭標(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允許對IP負載數據進行加密,然后封裝在IP包頭中,通過企業IP網絡或公共IP互聯網絡如INTERNET發送。
從以上的隧道協議,我們可以看出隧道機制的分類是根據虛擬數據鏈絡層的網絡,DSI七層網絡中的位置,將自己定義為第二層的隧道分類技術。按照這種劃分方法,從此產生了"二層VPN "與"三層VPN"的區別。但是隨著技術的發展,這樣的劃分出現了不足,比如基于會話加密的SSLVPN技術[2]、基于端口轉發的HTTPTunnel[1]技術等等。如果繼續使用這樣的分類,將出現"四層VPN"、"五層VPN",分類教為冗余。因此,目前出現了其他的隧道機制的分類。
2.2 改進后的幾種隧道機制的分類
⑴ J.Heinanen等人提出的根據隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網仿真方式的VPLS。
例如同樣是以太網的技術,根據實際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網方式所提供的網絡性能將大有區別,因此按照接入方式不同來分類也無法表示這幾種方式在網絡性能上的差異,由此將引起在實際應用中對VPN技術選型造成誤導。
⑵ 由于網絡性能是所有網絡技術的重要評價標準。根據隧道建立的機制對網絡性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術是利用封裝的思想,將原本工作在某一層的數據包在包頭提供了控制信息與網絡信息,從而使重新封裝的數據包仍能夠通過公眾網絡傳遞。例如L2TP就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數據交換的原理,根據不同的標記,直接將數據分發到不同的設備上去。由于不同標記的數據包在進入網絡邊緣時已經相互隔離,如果接入網絡的數據包也是相互隔離的就保證了數據的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術一般只能提供點對點的通道,而點對多點的業務支持能力教差,但是可擴展性,靈活性具有優勢。
采用隔離型隧道技術,則不存在以上問題,可以根據實際需要,提供點對點,點對多點,多點對多點的網絡拓撲。
3. 諸種安全與加密技術
IPVPN技術,由于利用了Internet網絡傳輸總部局域網的內部信息,使得低成本,遠距離。但隨之而來的是由于Internet技術的標準化和開放性,導致威脅網絡的安全。雖然可采取安全對策的訪問控制來提高網絡的安全性,但黑客仍可以從世界上任何地方對網絡進行攻擊,使得在IPVPN的網點A和網點B之間安全通信受到威脅。因此,利用IPVPN通信時,應比專線更加注意Internet接入點的安全。為此,IPVPN采用了以下諸種安全與加密技術。[2]
⑴ 防火墻技術
防火墻技術,主要用于抵御來自黑客的攻擊。
⑵ 加密及防止數據被篡改技術
加密技術可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或專用加密)也稱常規加密,由通信雙方共享一個秘密密鑰。
非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發送方知道的專用密鑰,另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術的VPN虛擬專用網,只有采用了以上諸種技術以后,才能夠發揮其良好的通信功能。
參考文獻
篇(7)
圖書館在使用過程中由于涉及到版權保護,容易導致異地用戶或者外網用戶無法對其資源進行訪問。為了解決此問題,一個典型的遠程訪問技術VPN(虛擬專用網)正在被越來越廣泛的使用。本文在介紹虛擬專用網技術的基礎上,給出了基于VPN的圖書館資源遠程訪問解決方案。
1 VPN技術簡介
VPN即虛擬專用網,SSL VPN是VPN的一種。其實現軟件既可以安裝在現有服務器上也可以固化在專業的硬件上。基于虛擬專用網的圖書館數字資源訪問技術優勢集中體現在以下幾個方面:
虛擬專用網的簡單性。SSL VPN是最簡單的一種解決遠程用戶訪問圖書館的形式。原因在于SSL協議是內嵌于用戶瀏覽器中的,因此就舍去了客戶端上安裝軟件的步驟,用戶只需連接Internet,就能通過網頁訪問圖書館資源。因此,通過VPN就可以在外網用戶和圖書館之間的建立一條專用的數據傳輸通道,客戶對資源的任何訪問均需進行安全的身份驗證。
虛擬專用網的安全性。采取SSL VPN,攻擊者難以偵測出系統網絡設置,攻擊機會就會降低許多。通過SSL VPN進行連接,還能夠在很大程度上低于病毒的侵害,保證了圖書館信息系統的安全運行。
保護敏感的數據。結合不同用戶的身份,賦予其相應的訪問權限。通過用戶劃分,降低客戶端的維護工作量,保護了敏感數據,同時也實現虛擬專用網在圖書館應用的快速部署。
擴展性強。隨著網絡的擴張,虛擬專用網可以實現靈活的擴展。如果圖書館需要添加新的用戶或新的子網,只需在VPN服務器上對已有網絡軟件配置進行相應的修改即可。
2 基于VPN的遠程訪問模式設計
2.1 SSL VPN 的具體部署方案
圖書館的SSL VPN所部署的位置是內網的防火墻后面,結合具體的安全控制策略,為那些位置分散的用戶架設從公網進入圖書館內網信息資源的訪問途徑。通常采取的方式為:對圖書館內網的信息資源服務器進行設置,使之為位于外部網絡的用戶提供虛擬地址,當位于外網的用戶根據所提供的虛擬URL對圖書館內網資源進行訪問時,由SSL VPN網關獲取來自用戶發起的連接,同時為遠程客戶與服務器之間建立加密、解密的隧道,同時采取一定的訪問控制策略,通過對用戶信息進行認證后,向不同的應用服務器進行映射。
結合圖書館用戶的實際情況,(大部分圖書館用戶均屬于公網用戶),在本文的設計中,以思科公司的產品應用為例,選擇CiscoASA5510設備,利用其SSL VPN功能,布署于公網和策略分流交換機之間。具體的做法是:以思科CiscoASA 5510服務器實現Web VPN功能,用戶身份的驗證由Radius Server服務器實現,處于外網的用戶通過所在的網絡服務商接入互聯網,之后向WebVPN服務器發出身份驗證的請求,身份驗證通過以后,就可以對圖書館內網的圖書資源進行訪問。思科CiscoASA 5510服務器的外網接口與因特網相連,為此接口配置公網的IP地址,位于圖書館外網的用戶可以通過公網地址對其進行訪問,服務器的內網接口連接策略分流交換機,為此接口配置圖書館內網IP地址,使之可以和 Radius Server服務器進行通訊,實現用戶身份的驗證,用戶通過驗證之后,就會被分配一個圖書館內網的IP地址,就可以對圖書館資源服務器群進行訪問了。
2.2 SSL VPN的主要配置過程
以思科ASA5510內置的SSL VPN功能構建基于網絡的虛擬專用網服務器,需要設置的內容包括DNS、網關和SSL VPN的接口地址等,在初始化設置之后,為共享圖書資源,還需要配置SSL VPN設備,下面對幾個關鍵的配置進行介紹。 轉貼于
2.2.1 用戶認證服務器的添加
因為只能允許一些特定的注冊用戶作為合法的外網用戶,所以,為了對用戶進行身份的確認,必須提供用戶名和密碼。圖書館遠程訪問的權限包括SSL VPN的使用期限和用戶的并發數。本文所選取的思科ASA5510服務器能夠兼容多種身份認證協議,系統的管理員可以結合單位內部的認證服務器進行認證,也可以使用SSL VPN 內部的自建帳號進行認證,本文推薦采用的認證協議是Radius, 進行如下配置:
#啟用radius協議認證
#配置radius服務器的使用的key和IP 地址
#應用于內網口,配置VPN組使用radius協議
2.2.2 增設內網資源和訪問資源
在系統的資源管理中增設Web資源或APP資源。例如,在”姓名”一欄中寫入用戶專屬的名字,例如”圖書館資源網”;在”描述”一欄中寫入描述內容;在”地址”一欄中寫入訪問網站的主機域名或是IP地址。然后執行”Everything under this Url”和“Auto-allow Bookmark”,執行完畢后,對學術期刊網的遠程訪問設置進行保存。
2.2.3 用戶角色管理的設置
這一步驟的主要內容是為用戶建立不同訪問權限的角色,并將這些角色與圖書資源進行關聯。這樣,就能讓不同角色的用戶在成功登陸SSL之后,能夠對相應角色所具有權限的圖書館資源進行訪問。因為本文所選擇的身份認證是Radius協議,所以由radius服務器來完成用戶的建立和管理,此時思科ASA5510并不需要對本地用戶進行建立,用戶管理的工作量顯著降低了。
2.2.4 外網用戶的訪問
因為圖書館內網的ASA5510服務器與公網相連,所以對外提供Web VPN的地址就是外網口的 IP 地址。具有用戶身份的外網用戶在連接到因特網之后,輸入圖書館內網地址就會接收到圖書館 SSL VPN的界面,用戶根據提示輸入ID和密碼,結果服務器認證后,就能夠得到圖書館內網的 IP地址以對圖書館資源進行訪問。
3 結語
虛擬專用網是目前網絡應用發展的趨勢,隨著信息技術的發展和寬帶應用的普及,人們對網絡依賴的日益增強,虛擬專用網應用也將變得更加廣泛。對于圖書館服務而言,VPN正在得到廣泛的推廣與應用,既能夠為圖書館之間的資源共享提供網絡傳輸途徑,又可以為遠程異地用戶提供資源服務,提高了圖書館資源利用效率,必將成為未來圖書館的發展方向。
參考文獻
[1] 張穎.利用VPN技術實現圖書館信息資源遠程訪問[J].情報探索,2008(7)69~70.
篇(8)
中圖分類號:TP393 文獻標識碼:A文章編號:2095-2163(2013)02-0032-03
0引言
隨著信息化進程的加快,各個高校對校園信息化投入不斷增加,致力于建成數據交換與共享的數字化校園平臺。雖然目前很多學校已經擁有了應用管理系統、數據資源庫系統、公共通訊平臺,但這些網絡資源和辦公平臺常常受到網絡的限制,只能在校園內部使用。本校2012年師生問卷調查顯示:居住在外的教師、經常出差的行政辦公人員以及在外實習的大四畢業生對于校外不能訪問校內數字化資源,均已感到極為不便。具體來說,教師在外網不能登錄學習平臺批改作業;行政人員出差時,不能獲取部門統計數據;大四未在校的學生不能通過畢業設計系統提交論文。這些狀況即已表明目前校園的基礎網絡及其實現方案存在一定的不足,亟需新技術的應用以解決校園外部訪問校內數字化資源的問題。經過廣泛,深入的調研分析可知,VPN(Virtual Private Network)正是解決這一瓶頸的技術方案。
1VPN 的原理及SSL VPN方案的優勢
11VPN原理
VPN,即虛擬專用網絡,其含義指通過使用公共網絡基礎設施,利用“隧道”技術、認證技術、加密技術以及控制訪問等相應技術向單位內部專用網絡提供遠程訪問的連接方式[1]。VPN利用公用網絡來實現任意兩個節點之間的專有連接,適用于移動用戶、分支機構以及遠程用戶安全、穩定地接入到內部網絡。同時,VPN還向用戶提供了專用網絡所獨具的功能,但其本身卻不是一種真正意義上的獨立物理網絡,沒有固定物理線路連接。近年來,VPN技術已經大量應用于高校的移動辦公,并且在數字化資源的多校區數據訪問方面也有著廣泛應用。VPN遠程訪問的思路是,用戶在網絡覆蓋的任意地點,首先,通過ADSL或者LAN方式接入互聯網;其后,通過撥號校園網的VPN網關,構建一條從用戶所在網絡地址到校園網的二層隧道;而后是VPN服務器給用戶分配相應的校園網地址,從而實現校園網數字化資源的遠程訪問[2]。
12兩種VPN方案的對比
按照協議劃分,VPN主要有兩大主流,分別是IPsec VPN和SSL VPN。IPsec VPN技術是由IP安全體系架構協議來提供隧道的安全保障,IPsec協議是一組協議套件,包括安全協議、加密算法、認證算法、密鑰管理協議等[3]。IPsec VPN構建于網絡層,通過對數據的加密和認證來保證數據傳輸的可靠性、保密性和私有性,最適合Site to Site之間的虛擬專用網。相比之下,SSL VPN采用的是SSL安全套接層協議,構建于網絡的應用層。SSL VPN方案無需安裝客戶端軟件,經過認證的用戶是通過Web瀏覽器而接入網絡,適用于Point to Site的連接方式。總體來看,相比于IPsec VPN方案,SSL VPN方案有三點優勢,具體如下。
(1)兼容性較好。SSL VPN適用于現存的各款操作系統和使用終端,對用戶也無任何特殊的操作要求。用戶不需要下載客戶端,由此免去了對客戶端軟件的更新升級、配置維護,否則,在進行VPN策略調整的時候,其管理難度將呈幾何級數的增長。SSL VPN方案只需在普通的瀏覽器中內嵌入SSL協議,就可以使客戶端簡便、安全地訪問內網信息,維護成本較低。
(2)提供更為精細的訪問控制。由于校園網內、外部流量均經過VPN硬件設備,由此在服務器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能,可提供用戶級別鑒定,確證只有一定權限之上的用戶才能訪問校園網內的特定網絡資源。比如大四在外的實習學生只具有期刊檢索的訪問功能,而在外的辦公行政人員還可以訪問某個特定部門的相關數據。
(3)具備更強的安全性。IPsec是基于網絡層的VPN方案,對IP應用均是高度透明的。而SSL VPN是基于應用層的,在Web的應用防護方面更具一定優勢。某些高端的SSL VPN產品同樣支持文件共享、網絡鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應用。2SSL-VPN的關鍵技術及性能分析
21訪問控制技術
訪問控制技術是由VPN服務的提供者根據用戶的身份標志對訪問某些信息項進行相應操控的作用機制。目前,通用的VPN方案中,常常是由系統管理員來控制相關用戶的訪問權限。作為安全的VPN設備,SSL VPN可通過“組”策略對應用進行訪問控制[4]。有些SSL VPN產品可以將Web應用定義為一系列的URL,而組和用戶則可允許和禁止訪問相應的應用。其它一些SSL VPN產品可以提供更為精細的高級控制,控制策略不僅含有“允許”和“禁止”,還包括用戶能訪問的資源列表以及對這些資源的操作權限控制。由于SSL VPN工作在網絡的應用層,管理員可以基于應用需求、用戶特征以及TCP/IP端口進行嚴密的訪問控制策略設置。SSL VPN還能通過瀏覽器中的參數支持動態訪問部署策略,管理員可以依據用戶身份、設備類型、網絡信任級別、會話參數等各型因子,定義不同的會話角色,并給與不同的訪問權限。另外,基于用戶的訪問控制需要維護大量的用戶信息,當前最流行的控制策略則是基于角色的訪問控制,在握手協議的過程中統一集成訪問控制的基礎功能,再將資源的控制權交托于可信的授權管理模型。
22性能分析
VPN的性能指標值對校園網中關鍵業務的應用實現具有直接影響,在設計數字化校園的VPN詳盡方案之前,有必要了解其性能指標。SSL VPN中,常見的性能指標有連接速率、網絡延遲、加密吞吐量、并發用戶數,等。其中,連接速率表示了SSL VPN系統每秒鐘可建立或終止的最大會話連接數目,用以度量被測VPN設備在單位時間內交易事務的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外,SSL VPN使用的是非對稱加密算法,這就導致VPN服務器的CPU將在高負荷狀況下處理SSL的加解密。而對于這種計算密集型的加解密操作,為了保障服務器能夠正常工作,既可以限制SSL會話的數量,也可以添加服務器的數目。只是這兩種方式各有利弊,若限制會話數目,就會出現高峰期間的部分用戶無法連接服務器,而添加服務器數目又會大幅增加VPN系統的財務用度。因而,通常情況下,使用SSL加速器來提升加解密速度,進入SSL的數據流由加速器解密并傳給服務器,而外流的數據又經過加速器加密再回傳給客戶。服務器方面,只需要處理簡單的SSL請求,將消耗資源的工作完全交給加速器,全面有效地提升了VPN方案的整體性能。
3SSL-VPN下的數字化校園解決方案
31需求分析與設計目標
校園數字化資源中集結了多種重要的數據庫以及多款辦公軟件。大四年級的學生會經常需要登錄畢業設計系統上傳學科論文;校外居住的教師也需要登錄圖書館期刊檢索系統,下載專業文獻;另外,因公在外的招生、財務人員又需要及時獲取部門的數字化信息,并借助辦公自動化的高端平臺與其它部門順暢溝通。上述校園網的這些外部訪問通常都是不確定的動態IP地址,在數據庫服務器的安全策略中多會將之認定為是非法用戶而遭到拒絕。因此,在外部訪問校園網之數字化校園時,就需要研發一個遠程訪問方案,該方案可將合法的非授權校外地址轉化為授權的校園網內地址。此方案需要考慮的用戶有三種,分別是:在外居住的教師、大四實習生以及在外辦公的行政人員。
32系統體系結構
經過實地調研和深入分析,采用了SSL VPN架構,具體框架如圖1所示。
由圖1可知,這是一個基于Web模式的SSL VPN系統,在用戶和應用服務器之間構建了一個安全的信息傳遞通道。其中,SSL VPN服務器相當于一個網關,且具備雙重身份。對用戶而言,這是服務器,負責提供基于證書的身份鑒別;對應用服務器而言,則屬于客戶端的身份,并向服務器遞交訪問申請。由此,通過在防火墻后安裝VPN設備,校外用戶只需要打開IE瀏覽器,就可以訪問到校園數字化資源的URL。其后,SSL VPN 設備將取得連接并驗證用戶的身份,此時SSL服務器就會將連接映射到不同應用的服務器上。而且方案中又采用了技術,所有成功接入SSL VPN系統的校外用戶都可以全面訪問LAN口所能獲得的數字化資源。本系統還具備較高的傳輸性能,優先考慮SSL VPN服務器的性能,將需要消耗大量資源的加解密工作交給加速器。實現過程中,采用的設備是由Cisco ASA建立Web VPN服務器,而將Radius Server作為驗證用戶身份的服務器。
33改進型安全策略——基于角色的控制
本校SSL VPN系統采用的是基于角色的訪問控制策略,既包括用戶安全認證的接口也包括用戶訪問的資源列表。實際上,校園網系統的用戶認證和訪問控制均在控制協議部分獲得實現,可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性,系統在進行安全認證時,就可以同步實現角色驗證。VPN系統在明確用戶角色屬性的基礎上確定其訪問權限,而后給出該用戶可以訪問的資源列表信息。另外,用戶在登錄VPN系統時,還需要在登錄界面輸入身份信息。
4結束語
隨著校外用戶對數字化校園資源訪問需求的日益迫切增長,使得VPN技術也隨之廣受關注[6]。為了給予校外訪問、使用校園數字化資源提供更大便利,因而在綜合考慮本校實際用戶數量和主要用戶角色的基礎上,由網絡中心主持設計并全面實現了SSL VPN系統。目前,本校SSL VPN系統運轉良好,能夠滿足現有的使用需求,并且也具備了一定的擴展能力。當然,該實施方案并不是唯一可選,當校園網的VPN用戶數量并不多、要求也不高時,就可以考慮軟件型VPN方案。不然,還可通過購買專業的VPN設備打造高水準、高級別的SSL VPN系統。
參考文獻:
[1]王達. 虛擬專用網(VPN)精解[M]. 北京:清華大學出版社,2004:45-46.
[2]朱偉珠. 利用VPN技術實現高校圖書館資源共享[J]. 情報科學,2007,25(7):1158-1061.
[3]徐家臻,陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計,2004,25(4):186-188.
篇(9)
0引言
隨著電力信自、化水平的不斷提高,縣級供電企業綜合管理信息系統開始逐步建立,但基層變電站、鄉鎮供電聽與供電公司局域網聯網問題嚴重地制約著縣級供電企業信息系統實用化水平的發展和信息資源的充分有效利用,這與供電企業管理發展的目標追求以及客戶的需求是極不適應的。由于鄉鎮供電所信息化建設工作受地形、人員素質、資金投人等因素影響,解決遠程站點聯網問題成為縣級供電企業信自、網絡建設中的突出矛盾。
1廬江供電公司信息化建設現狀
安徽廬江供電公司的信息化上作起步較晚,供電公司總部于X004年實現了生產M I S與辦公自動化OA的單軌制運行,總部信息化運行提高了企業的整體管理水平和辦公效率。如今,廬江供電公司總部已運行的信息系統有:生產管理系統、辦公自動化系統、檔案管理系統、Web系統、財務管理系統,現有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺,每位管理人員以及每個班組都配有微機。
在實施信息化建設與管理中,深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本,并在生產管理中可將所有設備信息進行分類編號,輸人數據庫,實行設備、設施缺陷管理,科學地制定缺陷檢修計劃,提高設備運行可靠度,降低故障率,提高供電可靠性;同時,廬江供電公司的營銷管理信息系統建有業擴子系統、電量電費f系統、用電檢查子系統、綜合查詢系統,通過這些系統,可方便與客戶的交流、溝通,節約成本開支,實現科學化營銷流程管理。這些管理信息系統的應用,加強J’企業的規范化管理,增強了管理的科學化水平,減輕了工作人員的負擔,提高了企業的經濟效益。
為此,廬江供電公司加入了鄉鎮供電所營銷MIS應用系統的推進力度,進一步減輕了抄表人員的負擔,縮短了開票時間,加強了電費電價的控制與管理,提高了營銷管理自動化水平。全縣17個鄉鎮供電聽,都使用同一版本的營銷MIS應用系統。舟個供電聽都有3臺以上的微機,其中1臺所長用于日常辦公,另外2臺分別作為用電MIS系統的服務器與客戶端,并兼為所里其他工作人員辦公使用。其中,已有10個供電所可利用變電站的光纖系統,與廬江供電公司總部實現網絡互聯,提高了工作效率,節省了開支。其余7個供電所仍不能夠實現信息化共享,這些供電所非常希望盡快網絡互聯。
2采用VPN方案推進供電所信息化建設進程
這些供電所若使用以前的光纖聯網方式,不僅投資大,施工工期長,而且日后的維護量也多。考慮到以上原因,為盡快解決其余7個光纖未開通的鄉鎮供電所的網絡互聯問題,達到信息、共享,推廣鄉鎮供電所的營銷MIS系統應用,公司決定采用虛擬局域網(VPN),在現有設備基礎上,進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略,并分別在7個供電所安裝VPN客戶端,安裝公司的MIS應用系統,實現全公司網絡互聯。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術,可以在公用的互聯網上建立安全的虛擬專用網絡(VPN , Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程,該過程把數據安全地從一端傳送到另一端,這里數據的安全性由可靠的加密技術來保障,而數據是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸的。VPN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。
3方案效果比較
對2種方案的可能性進行了比較,如圖1所示。如果廬江供電公司全部運用光纖法來實現供電所的網絡互聯,每個供電所的材料費、施工費按3.5萬元,施工工期10天計算,7個供電所就需要3.5 x 7=24.5萬元,需要10 x 7=70天。若這7個供電所采用VPN方案,只需要購買VPN網關1臺,價值3.5萬元和7個客戶端鑰匙,價值7 x 480=3360元,5天內就能完成7個供電所安裝。因此,應用VPN方案,廬江供電公司就能節省資金達24 . 5-3 . 836=20.664萬元,縮短工期65天,取得的直接效益是顯著的,并省去了今后光纖線路維護所需要工作量。
現在,這7個鄉鎮供電所均可利用VPN方案安全可靠地登陸公司局域網,在局域網下載內容的速度可達350 kb/s,生產MIS系統響應時間為2--3 s,辦公自動化系統瀏覽公司收發的文件、接受電子郵件的時間因文件的大小不同而有所差別,1 MB的文件大約需要8 s。由于ADSL是非對稱數字環路,所以發送電子郵件的速度要慢得多,1 MB的文件大約需要18s。從VPN方案運行效果來看,完全能夠滿足廬江供電公司網絡發展及MIS系統應用的需要。
4下一步信息化建設的主攻方向
篇(10)
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡的安全性、保密性、可靠穩定性,對于企業和一些跨區域專門從事特定業務的部門,從經濟實用性、網絡安全性、數據傳輸可靠性上來,看VPN技術無疑是一種不錯的選擇。下面就VPN技術的實現做一下粗淺的分析:
1 VPN簡介
虛擬專用網(VirtuaIPrivateNetwork, VPN)是一種“基于公共數據網,給用戶一種直接連接到私人局域網感覺的服務”。VPN極大地降低了用戶的費用,而且提供了比傳統方法更強的安全性和可靠性。
VPN可分為三大類:(1)企業各部門與遠程分支之間的In-tranet VPN;(2)企業網與遠程(移動)雇員之間的遠程訪問(Re-mote Access)VPN;(3)企業與合作伙伴、客戶、供應商之間的Extranet VPNo
在ExtranetVPN中,企業要與不同的客戶及供應商建立聯系,VPN解決方案也會不同。因此,企業的VPN產品應該能夠同其他廠家的產品進行互操作。這就要求所選擇的VPN方案應該是基于工業標準和協議的。這些協議有IPSec、點到點隧道協議(PointtoPoint Tunneling Protocol,PPTP)、第二層隧道協議(layer2 Tunneling Protocol,I,2TP)等。
2 VPN的實現技術
VPN實現的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現也至關重要。
2.1 VPN訪問點模型
首先提供一個VPN訪問點功能組成模型圖作為參考。其中IPSec集成了IP層隧道技術和加密技術。
2.2隧道技術
隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generi-cRoutingEncapsulation, GRE )I,2TP和PPTPo
(1)GRE
GRE主要用于源路由和終路由之間所形成的隧道。例如,將通過隧道的報文用一個新的報文頭(GRE報文頭)進行封裝然后帶著隧道終點地址放人隧道中。當報文到達隧道終點時,GRE報文頭被剝掉,繼續原始報文的目標地址進行尋址。GRE隧道通常是點到點的,即隧道只有一個源地址和一個終地址。然而也有一些實現允許一點到多點,即一個源地址對多個終地址。這時候就要和下一條路由協議(Next-HopRoutingProtocol , NHRP)結合使用。NHRP主要是為了在路由之間建立捷徑。
GRE隧道用來建立VPN有很大的吸引力。從體系結構的觀點來看,VPN就象是通過普通主機網絡的隧道集合。普通主機網絡的每個點都可利用其地址以及路由所形成的物理連接,配置成一個或多個隧道。在GRE隧道技術中人口地址用的是普通主機網絡的地址空間,而在隧道中流動的原始報文用的是VPN的地址空間,這樣反過來就要求隧道的終點應該配置成VPN與普通主機網絡之間的交界點。這種方法的好處是使VPN的路由信息從普通主機網絡的路由信息中隔離出來,多個VPN可以重復利用同一個地址空間而沒有沖突,這使得VPN從主機網絡中獨立出來。從而滿足了VPN的關鍵要求:可以不使用全局唯一的地址空間。隧道也能封裝數量眾多的協議族,減少實現VPN功能函數的數量。還有,對許多VPN所支持的體系結構來說,用同一種格式來支持多種協議同時又保留協議的功能,這是非常重要的。IP路由過濾的主機網絡不能提供這種服務,而只有隧道技術才能把VPN私有協議從主機網絡中隔離開來。基于隧道技術的VPN實現的另一特點是對主機網絡環境和VPN路由環境進行隔離。對VPN而言主機網絡可看成點到點的電路集合,VPN能夠用其路由協議穿過符合VPN管理要求的虛擬網。同樣,主機網絡用符合網絡要求的路由設計方案,而不必受VPN用戶網絡的路由協議限制。
雖然GRE隧道技術有很多優點,但用其技術作為VPN機制也有缺點,例如管理費用高、隧道的規模數量大等。因為GRE是由手工配置的,所以配置和維護隧道所需的費用和隧道的數量是直接相關的—每次隧道的終點改變,隧道要重新配置。隧道也可自動配置,但有缺點,如不能考慮相關路由信息、性能問題以及容易形成回路問題。一旦形成回路,會極大惡化路由的效率。除此之外,通信分類機制是通過一個好的粒度級別來識別通信類型。如果通信分類過程是通過識別報文(進人隧道前的)進行的話,就會影響路由發送速率的能力及服務性能。
GRE隧道技術是用在路由器中的,可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠程訪問VPN中,多數用戶是采用撥號上網。這時可以通過L2TP和PPTP來加以解決。
(2)L2TP和PPTP
L2TP是L2F( Layer2Forwarding)和PPT’I〕的結合。但是由于PC機的桌面操作系統包含著PPTP,因此PPT’I〕仍比較流行。隧道的建立有兩種方式即:“用戶初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主動’,隧道,后者指“強制”隧道。“主動”隧道是用戶為某種特定目的的請求建立的,而“強制”隧道則是在沒有任何來自用戶的動作以及選擇的情況下建立的。L2TP作為“強制”隧道模型是讓撥號用戶與網絡中的另一點建立連接的重要機制。建立過程如下:
a.用戶通過Modem與NAS建立連接;b.用戶通過NAS的L2TP接入服務器身份認證;;c.在政策配置文件或NAS與政策服務器進行協商的基礎上,NAS和L2TP接入服務器動態地建立一條L2TP隧道;d.用戶與L2TP接入服務器之間建立一條點到點協議(PointtoPointProtocol, PPP)訪問服務隧道;e.用戶通過該隧道獲得VPN服務。
與之相反的是,PPTP作為“主動”隧道模型允許終端系統進行配置,與任意位置的PPTP服務器建立一條不連續的、點到點的隧道。并且,PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網絡服務。PPTP建立過程如下:a.用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網絡服務;b.用戶通過路由信息定位PPTP接入服務器;c.用戶形成一個PPTP虛擬接口;d.用戶通過該接口與PPTP接入服務器協商、認證建立一條PPP訪問服務隧道;e.用戶通過該隧道獲得VPN服務。
在L2TP中,用戶感覺不到NAS的存在,仿佛與PPTP接入服務器直接建立連接。而在PPTP中,PPTP隧道對NAS是透明的;NAS不需要知道PPTP接入服務器的存在,只是簡單地把PPTP流量作為普通IP流量處理。
采用L2TP還是PPTP實現VPN取決于要把控制權放在NAS還是用戶手中。硯TP比PPTP更安全,因為硯TP接入服務器能夠確定用戶從哪里來的。硯TP主要用于比較集中的、固定的VPN用戶,而PPTP比較適合移動的用戶。
2.3加密技術
數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能了解被保護信息的內容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4雖然強度比較弱,但是保護免于非專業人士的攻擊已經足夠了;DES和三次DES強度比較高,可用于敏感的商業信息。
加密技術可以在協議棧的任意層進行;可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”:加密只在路由器中進行,而終端與第一條路由之間不加密。這種方法不太安全,因為數據從終端系統到第一條路由時可能被截取而危及數據安全。終端到終端的加密方案中,VPN安全粒度達到個人終端系統的標準;而“隧道模式”方案,VPN安全粒度只達到子網標準。在鏈路層中,目前還沒有統一的加密標準,因此所有鏈路層加密方案基本上是生產廠家自己設計的,需要特別的加密硬件。