超市局域网安全策略设计——VPN和流量控制篇姓名:学号:080102060066学院:工学院目录一.VPN篇...............................................1(一)VPN的必要性.....................................1(二)VPN的可行性.....................................3(三)VPN的技术方案...................................7(四)VPN造价.......................................11二.流量控制篇.........................................13(一)必要性.........................................13(二)可行性.........................................15(三)方案...........................................17(四)资金预算.......................................19VPN—VPN的必要性1一.VPN篇(一)VPN的必要性传统远程通信连接的方式是通过租用专用线路,它使得用户在没有隔离感的环境下远程访问。网络专线就是网络服务提供商给用户提供专用的信道,让用户的数据传输变得可靠可信,专线的优点就是安全性好,QoS可以得到保证。然而它也存成本太高不经济,超出预算不现实等无法克服的弊端。另外,管理也需要专业人员。当然用户也可以采用公共软件进行通信,例如,电子邮件、MSN、QQ等等,然而利用这些软件进行一般性的通信还可以,倘若进行机密性的、涉及到企业利害关系的通信,则有可能导致企业内部机密外泄,给竞争对手有机可乘,给企业带来巨大的经济损失等。综上所述,可以看出,现在用户对通信的需求主要集中在安全可靠性和成本造价低这两方面。随着技术的发展,VPN的发展满足了用户的需求。就这样,VPN凭借其优势,应用户对通讯数据的机密性高和减少对租用线路的依赖性的需求迅速得到了发展。VPN作为一种虚拟专用网络技术,其全名为virtualprivatenetwork(虚拟专用网),利用此技术可以在公用IP网络上建立一个点对点的私有专用网络,传输数据经过加密后,即进行单线式传送与连接,最大程度上摆脱不同网络对接造成的网络数据流量限制,实现企业内部数据异地同步传送,并可以与客户之间进行直接沟通、上传下载。另外使用VPN存在着不可比拟的优势:高安全性:为了保障信息在Internet上安全传输,VPN采用了隧道技术、数据加密技术、密钥管理技术和身份认证技术,以保证信息在传输过程中不被偷看、篡改和复制,防止数据在公网传输中被窃听;成本低廉:通过VPN技术,在公共的IP网络上开辟一条专用的“隧道”,其效果类似于租用专线建立的专用拨号网络,但却不必支付租用长途专线的昂贵费用,并且人员和设备投入少;容易扩展:应用灵活、可扩展性好。如果需要扩大VPN的容量和覆盖范围无需投入太多的设备,网络设备配置也简单,借助VPN可以利用公共设施和服务;安全控制主动权:可以验证数据的真实来源。比如,企业可以把拨号访问交给ISP去做,二自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作;支持丰富的应用:VPN可以支持IP语音、IP传真、视频等一些带宽需求较高的多媒体协作交互应用。超市局域网安全策略设计——VPN和流量控制篇2VPN——VPN的可行性3(二)VPN的可行性1.技术可行性VPN发展已有20年的历史,它继承了网络安全技术,并结合了下一代Ipv6的特性,通过隧道、认证、接入控制、数据加密技术利用公网建立互联虚拟专用通道,实现网络互联的安全,确保了通信的安全可靠性。VPN能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免受到窥探,阻止数据窃贼和其他非授权用户接触这种数据。经过了这20年的历史,VPN的技术也在不段提高,现在VPN技术在国内外已经相当成熟,出现了大量可供选择的产品。下面从VPN的体系与简单分类说明其技术的可行性:1)VPN有很多可供选择体系结构:基于黑匣的VPN:独立于操作系统,产商只提供一个黑匣。硬件的加密设备比软件类型的加密设备速度更快,可以建立所需要的加速隧道。基于防火墙的VPN:想要在防火墙上建立VPN首先必须确保底层的操作系统的安全性。网络服务商提供VPN:网络服务商在公司现场放置一个设备来创建VPN隧道。目前国内最流行的也就是这类基于路由器或网关的VPN方案。它的优点是操作简便和便于维护管理。2)VPN的分类:按接入方式划分这是用户和运营商最关心的VPN划分方式。一般情况下,用户可能是专线上网的,也可能是拨号上网的,这要根据用户的具体情况而定。建立在IP网上的VPN也就对应的有两种接入方式:专线接入方式和拨号接入方式。(1)专线VPN:它是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案。这是一种“永远在线”的VPN,可以节省传统的长途专线费用。(2)拨号VPN(又称VPDN):它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务。这是一种“按需连接”的VPN,可以节省用户的长途电话费用。需要指出的是,因为用户一般是漫游用户,是“按需连接的,因此VPDN通常需要做身份认证(比如利用CHAP和RADIUS)按协议实现类型划分这是VPN厂商和ISP最为关心的划分方式。根据分层模型,VPN可以在第二层建立,也可以在第三层建立。(1)第二层隧道协议:这包括点到点隧道协议(PPTP)、第二层转发协议(L2F),第二层隧道协议(L2TP)、多协议标记交换(MPLS)等。(2)第三层隧道协议:这包括通用路由封装协议(GRE)、IP安全(IPSec),这是目前最流行的两种三层协议。第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于实现专线VPN业务,L2TP主要用于实现拨号VPN业务(但也可以用于实现专线VPN业务),当然这些协议之间本身不是冲突的,而是可以结合使用的。按VPN的发起方式划分超市局域网安全策略设计——VPN和流量控制篇4这是客户和IPS最为关心的VPN分类。VPN业务可以是客户独立自主实现的,也可以是由ISP提供的。(1)发起(基于客户):VPN服务提供的其始点和终止点是面向客户的,其内部技术构成、实施和管理对VPN客户可见。需要客户和隧道服务器(或网关)方安装隧道软件。客户方的软件发起隧道,在公司隧道服务器处终止隧道。此时ISP不需要做支持建立隧道的任何工作。经过对用户身份符(ID)和口令的验证,客户方和隧道服务器极易建立隧道。双方也可以用加密的方式通信。隧道一经建立,用户就会感觉到ISP不在参与通信。(2)服务器发起(客户透明方式或基于网络):在公司中心部门或ISP处(POP、Pointofpresence)安装VPN软件,客户无须安装任何特殊软件。主要为ISP提供全面管理的VPN服务,服务提供的起始点和终止点是ISP的POP,其内部构成、实施和管理对VPN客户完全透明。在上面介绍的隧道协议中,目前MPLS只能用于服务器发起的VPN方式。按VPN的服务类型划分根据服务类型,VPN业务大致分为三类:接入VPN(AccessVPN)、内联网VPN(IntranetVPN)和外联网VPN(ExtranetVPN)。通常情况下内联网VPN是专线VPN。(1)接入VPN:这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的VPN方式。远程用户一般是一台计算机,而不是网络,因此组成的VPN是一种主机到网络的拓扑模型。需要指出的是接入VPN不同于前面的拨号VPN,这是一个容易发生混淆的地方,因为远程接入可以是专线方式接入的,也可以是拨号方式接入的。(2)内联网VPN:这是企业的总部与分支机构之间通过公网构筑的虚拟网,这是一种网络到网络以对等的方式连接起来所组成的VPN。(3)外联网VPN:这是企业在发生收购、兼并或企业间建立战略联盟后,使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN(主要在安全策略上有所不同)。按承载主体划分营运VPN业务的企业;既可以自行建设他们的VPN网络,也可以把此业务外包给VPN商。这是客户和ISP最关心的问题。(1)自建VPN:这是一种客户发起的VPN。企业在驻地安装VPN的客户端软件,在企业网边缘安装VPN网关软件,完全独立于营运商建设自己的VPN网络,运营商不需要做任何对VPN的支持工作。企业自建VPN的好处是它可以直接控制VPN网络,与运营商独立,并且VPN接入设备也是独立的。但缺点是VPN技术非常复杂,这样组建的VPN成本很高,QoS也很难保证(2)(2)外包VPN:企业把VPN服务外包给运营商,运营商根据企业的要求规划、设计、实施和运维客户的VPN业务。企业可以因此降低组建和运维VPN的费用,而运营商也可以因此开拓新的IP业务增值服务市场,获得更高的收益,并提高客户的保持力和忠诚度。笔者将目前的外包VPN划分为两种:基于网络的VPN和基于CE(用户边缘设备)的管理型VPN(ManagedVPN)。基于网络的VPN通常在运营商网络的呈现点(POP)安装电信级VPN交换设备。基于CE的管理型VPN业务是一种受信的第三方负责设计企业所希望的VPN解决方案,并代表企业进行管理,所使用的安全网关(防火墙、路由器等)位于用户一侧。按VPN业务层次模型划分VPN——VPN的可行性5这是根据ISP向用户提供的VPN服务工作在第几层来划分的(注意不是根据隧道协议工作在哪一层划分的)。(1)拨号VPN业务(VPDN):这是第一种划分方式中的VPDN(事实上是按接入方式划分的,因为很难明确VPDN究竟属于哪一层)。(2)虚拟租用线(VLL):这是对传统的租用线业务的仿真,用IP网络对租用线进行模拟,而从两端的用户看来这样一条虚拟租用线等价于过去的租用线。(3)虚拟专用路由网(VPRN)业务:这是对第三层IP路由网络的一种仿真。可以把VPRN理解成第三层VPN技术。(4)虚拟专用局域网段(VPLS):这是在IP广域网上仿真LAN的技术。可以把VPLS理解成一种第二层VPN技术。2.经济可行性与任何传统的广域网相比,VPN的运营成本和连接远程用户的成本更低。因为相比专线的租用费用,采用VPN的费用比起租用专线(DDN)来要低40%-60%,而无论是在性能和可管理性和可控性方面两者都没有太大的差别。此外,VPN技术可以节省用户的通讯费用并且VPN的固定通讯成本有助于企业了解其经营开支。一个VPN线路还能够提供低成本的全球网络机会。VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络)连接到企业网络。此外,高速宽带网连接提供一种低成本效率高的连接远程办公室的方法。通过向虚拟专网中加入语音或是多媒体流量来实现进一步成本的降低。3.社会可行性VPN技术的实现是通过智能设备实现的,既有建立在软件技术上的实现也有建立在硬件技术上的实现。用户可以根据自己业务需要直接购买设备也可以通过操作系统实现。设计良好的VPN是模块化的和可升级的。这种技术能够让应用者使用一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个网络。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。即:VPN技术的实现操作简单,对用户的要求比较的低。超市局域网安全策略设计——VPN和流量控制篇6VPN——VPN的技术方案7(三)VPN的技术方案1.现状需求:随着经营管理的不断提高,格林连锁超市超市现已跨县区发展。目前本超市总共有15家分店,5家大型库房。各个分店与与总部的数据交换大部分仍然采用拨号连接的方式,每天定