虚拟局域网(VPN)技术应用

虚拟局域网（VPN）技术应用4.1Intranet4.2VPN概述4.3VPN服务器配置4.4VPN技术4.5IPSec协议4.6VPN应用案例分析4.1Intranet1Intranet的概念简单地说，就是建立在企业内部的Internet，又称内连网，也有人称之为InternalInternet或CoporateInternet。它是一种基于Internet的TCP／IP，使用WWW工具，采用防止外界侵入的安全措施，为企业内部服务并有连接Internet功能的企业内连网络。实际上，它将Internet技术运用到企业内部的信息系统中去，以企业内部员工为服务对象，以促进公司内部各个部门的沟通、提高工作效率、增加企业竞争力为目的，使用Web协议构建企业级的信息集成和信息服务。必须指出，Intranet并不等于局域网，Intranet可以是局域网（LAN）、城域网（MAN）甚至是广域网（WAN）的形式。2Intranet的组成典型的Intranet的组成如图3.1所示，主要由服务器群、远程访问系统和安全系统三大部分组成。图3.1Intranet的基本组成InternetE-mail服务器PSTN数据库服务器Web服务器服务器群：主要有WWW、数据库、电子邮件和文件传输等基本服务器。远程访问系统：提供远程用户或远程分支对企业网络访问的注册。安全系统：在企业Intranet网络应用环境下，企业网络与Internet的连接将越来越密切，网络的安全将是保证企业正常运行的必要条件，它包括系统安全（物理、OS、密码）、通信安全（传输）和边界安全（防火墙技术）。图3.1Intranet的基本组成InternetE-mail服务器PSTN数据库服务器Web服务器3Intranet的结构Intranet采用了3层结构，即客户机、Web服务器和数据库服务器，如图3.2所示。图3.2Intranet的结构客户机Web服务器数据库服务器图3.2Intranet的结构客户机Web服务器数据库服务器当客户机有请求时，向Web服务器提出请求服务，当需要查询服务器时，Web通过某种机制请求数据库服务器的数据服务，然后，Web服务器把查询结果转变为HTML的网页返回浏览器显示出来。Web服务器与数据库服务器之间的接口是Intranet应用的关键，最开始采用公共网关接口（CGI）程序和应用程序接口（API）。近年来又推出了PHP、ASP等多种开发技术，对Intranet以及Internet提供了有力的支持。另外，生产数据库系统的公司还为本公司的数据库产品开发了专用的Web功能，如OracleWeb等，可以使Intranet的Web直接访问相应的数据库。4Intranet的特点Intranet具有以下几方面的特点：Intranet基于TCP/IP组网，可以与Internet进行无缝的连接。Intranet的技术基础是WWW技术，它的优点在于协议和技术标准的公开性，可以跨平台组建。它采用Web/Browser结构，用户端采用标准的通用软件——浏览器，实现信息的双向流动。Intranet提供基于Internet的网络服务，如WWW、FTP、E-mail；采用SNMP作为网络管理协议，操作简单、维护更新方便。Intranet为企业或组织所有，是企业内部非开放性的网络，访问需要一定的权限。5Intranet的应用Intranet由于系统建立成本低，简单易用、见效快、回报率高，已在企业中得到广泛的应用，除了拥有WWW、E-mail、FTP、Gopher等服务之外，还有以下几方面的应用。（1）领导决策的多媒体查询（2）远程办公（3）无纸公文传输（4）公告、通知发布（5）专题讨论（6）人事管理或人力资源管理（8）企业动态及企业刊物（9）形象宣传与联机服务（10）分布式数据库存取和资料发布6Extranet-Intranet的新发展Extranet又称外连网，它往往被看做企业网的一部分，是现有Intranet向外的延伸。它是一个使用公共通信设施和Internet技术的私有网，也是一个能够使其客户和其他相关企业（如银行、贸易合作伙伴、运输行业等）相连以完成共同目标的交互式合作网络。Extranet可以作为公用的Internet和专用的Intranet之间的桥梁，也可以被看做一个能被企业成员访问或与其他企业合作的企业Intranet的一部分。成功的Extranet技术应该是Internet、Intranet和Extranet三者的自然集成，使企业能够在Extranet、Intranet和Internet等环境中游刃有余。天津外轮理货公司GPRS无线网络解决方案4.2VPN概述1.VPN的概念VPN是VirtualPrivateNetwork的缩写，中文译为虚拟私有网络，指的是构建在Internet上，使用隧道及加密建立一个虚拟的、安全的、方便的及拥有自主权的私人数据网络。VPN虽然构建在公用数据网上，但是企业可以独立自主地管理和规划自己的网络，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输4.2VPN概述2.VPN的基本用途（1）通过Internet实现远程用户访问（2）通过Internet实现网络互连（3）连接企业内部网络计算机4.2VPN概述3.VPN的组网方式AccessVPN（远程访问VPN）IntranetVPN（企业内部VPN）ExtranetVPN（扩展的企业内部VPN）4.2VPN概述（1）AccessVPN（客户端到网关VPN）4.2VPN概述（2）IntranetVPN（网关到网关VPN）4.2VPN概述（3）ExtranetVPN（网关到网关VPN）4.3VPN服务器配置1.VPN服务器配置步骤1）“开始”→“程序”→“管理工具”→“路由和远程访问”，出现“路由和远程访问”窗口配置并启动路由和远程访问4.3VPN服务器配置启动路由与远程访问4.3VPN服务器配置2）右键单击窗口左边“树”中的“主机名（本地）”，打开配置向导在弹出菜单中选择“远程访问（拨号或VPN）”4.3VPN服务器配置远程访问（拨号或VPN）4.3VPN服务器配置3）指定VPN服务器的网络连接4.3VPN服务器配置4）指定客户IP地址分配方式4.3VPN服务器配置5）指定IP地址范围4.3VPN服务器配置6）对连接请求进行身份验证4.3VPN服务器配置7）完成最后配置4.3VPN服务器配置2.用户权限设置1）打开管理工具中的用户管理窗口4.3VPN服务器配置2）选定各项，完成配置4.3VPN服务器配置3.配置VPN访问客户机1）新建连接4.3VPN服务器配置2）选择网络连接类型4.3VPN服务器配置2）选择网络连接类型4.3VPN服务器配置3）连接名4.3VPN服务器配置4）输入VPN服务器的IP地址4.3VPN服务器配置5）不使用智能卡4.3VPN服务器配置6）可用连接4.3VPN服务器配置7）完成设置4.3VPN服务器配置4.VPN连接测试1）打开新建连接对话框，输入用户名和密码4.3VPN服务器配置2）开始连接，注册计算机4.3VPN服务器配置3）VPN连接成功4.4VPN技术1.隧道技术（1）隧道技术的基本过程隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是OSI七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中，然后在目的局域网与公网的接口处将数据解封装，取出负载。4.4VPN技术（2）隧道协议1）点到点隧道协议——PPTP协议2）第二层隧道协议——L2TP协议3）第三层隧道协议——IPSec协议4.4VPN技术2.安全技术VPN是在不安全的Internet中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。IPSec采用端-对-端加密模式基本工作原理是：发送方在数据传输前对数据实施加密，在整个传输过程中，报文都是以密文方式传输，直到数据到达目的节点，才由接收端对其进行解密。IPSec对数据的加密以数据包而不是整个数据流为单位，这不仅更灵活，也有助于进一步提高IP数据包的安全性。通过提供强有力的加密保护，IPSec可以有效防范网络攻击，保证专用数据在公共网络环境下的安全性。一个完善的企业安全计划，应该是多种安全策略的有机组合，将IPSec与用户访问控制、边界保护以及物理层保护相结合，可以为企业数据通信提供更高层次的纵深防护。4.5IPSec协议IPsec协议类型IPSec提供了两种安全机制：认证和加密。认证机制，使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制，通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。IPSec协议族，包含AuthenticationHeader（AH）协议、EncapsulatingSecurityPayload（ESP）协议和InternetKeyExchange（IKE）协议。IPsec协议类型AH协议，定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议，定义了加密和可选认证的应用方法，提供可靠性保证。在实际进行IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。IKE，用于密钥交换，用于在IPSec通信双方建立共享安全参数及验证过的密钥，以建立一种安全关联关系。（AH）协议结构AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列（可以将其当作数字签名，只是它不使用证书），此hash散列在整个数据包中计算，因此对数据的任何更改将致使散列无效--这样就提供了完整性保护。AH可以单独使用，也可以与ESP协议结合使用。AH报头插在原IP报头和传输层协议报头之间，见图一。（AH）协议结构图1AH报头（ESP）协议ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级AH”，因为它提供机密性并可防止篡改。ESP的加密服务是可选的，但如果启用加密，则也就同时选择了完整性检查和认证。ESP可以单独使用，也可以和AH结合使用。一般ESP不对整个数据包加密，而是只加密IP包的有效载荷部分，不包括IP头。因此，ESP不能保证IP报头不被篡改。ESP加密部分具体包括上层传输协议信息、数据和ESP报尾。但在端对端的隧道通信中，ESP需要对整个数据包加密。IKE协议IKE协议，是在IPSec通信双方之间，建立起共享安全参数及验证过的密钥。IPSec的工作模式IPSec有两种模式：隧道模式和传输模式。在隧道模式中，整个IP数据报、IP报头和数据都封装在ESP报头中。在传输模式中，只有数据部分是封装，而IP报头则不封装即被传送。将IP数据报的IP协议头调整至数据报的左边，插入AH或ESP协议头，以及将数据报的上层部分附加在那些后面。这是对IPSec传输模式的典型描述。在隧道模式下，整个原数据包被当作有效载荷封装了起来，外面附上新的IP报头。其中“内部”IP报头（原IP报头）指定最终的信源和信宿地址，而“外部”IP报头（新IP报头）中包含的常常是做中间处理的安全网关地址。与传输模式不同，在隧道模式中，原IP地址被当作有效载荷的一部分受到IPSec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。用IPSec抵御网络攻击网络攻击者要破译经过IPSec加密的数据，即使不是完全不可能，也是非常困难的。使用IPSec可以显著地减少或防范前面谈到过的几种网络攻击。1.Sniffer：Sniffer可以读取数据包中的任何信息，因此对抗Sniffer，最有效的方法