導(dǎo)語：如何才能寫好一篇vpn技術(shù)論文，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：虛擬專用網(wǎng)vpn遠(yuǎn)程訪問網(wǎng)絡(luò)安全

引言

隨著信息時代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。計算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴(kuò)大，不論是企業(yè)內(nèi)部職能部門，還是企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員，都需要同企業(yè)總部之間建立起一個快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣建立外部網(wǎng)絡(luò)環(huán)境與內(nèi)部網(wǎng)絡(luò)環(huán)境之間的安全通信，實現(xiàn)企業(yè)外部分支機(jī)構(gòu)遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)資源，成為當(dāng)前很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問題。

一、VPN技術(shù)簡介

VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)絡(luò)，指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，通過對網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專用網(wǎng)絡(luò)。在隧道的發(fā)起端（即服務(wù)端），用戶的私有數(shù)據(jù)經(jīng)過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地到達(dá)用戶端。

VPN可以提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過隧道加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費用低等特點。它能夠提供Internet遠(yuǎn)程訪問，通過安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶、現(xiàn)場服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)，此外它還提供了對移動用戶和漫游用戶的支持，使網(wǎng)絡(luò)時代的移動辦公成為現(xiàn)實。

隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的蓬勃發(fā)展，基于Internet的商務(wù)應(yīng)用在企業(yè)信息管理領(lǐng)域得到了長足發(fā)展。根據(jù)企業(yè)的商務(wù)活動，需要一些固定的生意伙伴、供應(yīng)商、客戶也能夠訪問本企業(yè)的局域網(wǎng)，從而簡化信息傳遞的路徑，加快信息交換的速度，提高企業(yè)的市場響應(yīng)速度和決策速度。同時，圍繞企業(yè)自身的發(fā)展戰(zhàn)略，企業(yè)的分支機(jī)構(gòu)越來越多，企業(yè)需要與各分支機(jī)構(gòu)之間建立起信息相互訪問的渠道。面對越來越復(fù)雜的網(wǎng)絡(luò)應(yīng)用和日益突出的信息處理問題，VPN技術(shù)無疑給我們提供了一個很好的解決思路。VPN可以幫助遠(yuǎn)程用戶同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，大幅度地減少了企業(yè)、分支機(jī)構(gòu)、供應(yīng)商和客戶花在信息傳遞環(huán)節(jié)的時間，降低了企業(yè)局域網(wǎng)和Internet安全對接的成本。VPN的應(yīng)用建立在一個全開放的Internet環(huán)境之中，這樣就大大簡化了網(wǎng)絡(luò)的設(shè)計和管理，滿足了不斷增長的移動用戶和Internet用戶的接入，以實現(xiàn)安全快捷的網(wǎng)絡(luò)連接。

二、基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析

VPN技術(shù)類型有很多種，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，可以利用Internet網(wǎng)絡(luò)技術(shù)實現(xiàn)VPN服務(wù)器架構(gòu)以及客戶端連接應(yīng)用，基于Internet環(huán)境的VPN技術(shù)具有成本低、安全性好、接入方便等特點，能夠很好的滿足企業(yè)對VPN的常規(guī)需求。

2.1Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶端、VPN連接、隧道等幾個重要環(huán)節(jié)。在VPN服務(wù)器端，用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸，通過虛擬隧道到達(dá)接收端，接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據(jù)交互?；贗nternet環(huán)境的企業(yè)VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2.2VPN技術(shù)安全性分析VPN技術(shù)主要由三個部分組成：隧道技術(shù)，數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜?。挥脩粽J(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸，因此安全問題是VPN技術(shù)的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)的，以此確保遠(yuǎn)程客戶端能夠安全地訪問VPN服務(wù)器。

在運行性能方面，隨著企業(yè)電子商務(wù)活動的激增，信息處理量日益增加，網(wǎng)絡(luò)擁塞的現(xiàn)象經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此制定VPN方案時應(yīng)考慮到能夠?qū)W(wǎng)絡(luò)通信進(jìn)行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略，分配基于數(shù)據(jù)傳輸重要性的接口帶寬，這樣既能滿足重要數(shù)據(jù)優(yōu)先應(yīng)用的原則，又不會屏蔽低優(yōu)先級的應(yīng)用。考慮到網(wǎng)絡(luò)設(shè)施的日益完善、網(wǎng)絡(luò)應(yīng)用程序的不斷增加、網(wǎng)絡(luò)用戶數(shù)量的快速增長，對與復(fù)雜的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、權(quán)限分配的綜合處理能力是VPN方案應(yīng)用的關(guān)鍵。因此VPN方案要有一個固定的管理策略以減輕管理、報告等方面的負(fù)擔(dān)，管理平臺要有一個定義安全策略的簡單方法，將安全策略進(jìn)行合理分布，并能管理大量網(wǎng)絡(luò)設(shè)備，確保整個運行環(huán)境的安全穩(wěn)定。

三、Windows環(huán)境下VPN網(wǎng)絡(luò)的設(shè)計與應(yīng)用

企業(yè)利用Internet網(wǎng)絡(luò)技術(shù)和Windows系統(tǒng)設(shè)計出VPN網(wǎng)絡(luò)，無需鋪設(shè)專用的網(wǎng)絡(luò)通訊線路，即可實現(xiàn)遠(yuǎn)程終端對企業(yè)資源的訪問和共享。在實際應(yīng)用中，VPN服務(wù)端需要建立在Windows服務(wù)器的運行環(huán)境中，客戶端幾乎適用于所有的Windows操作系統(tǒng)。下面以Windows2003系統(tǒng)為例介紹VPN服務(wù)器與客戶端的配置。

3.1Windows2003系統(tǒng)中VPN服務(wù)器的安裝配置在Windows2003系統(tǒng)中VPN服務(wù)稱之為“路由和遠(yuǎn)程訪問”，需要對此服務(wù)進(jìn)行必要的配置使其生效。

3.1.1VPN服務(wù)的配置。桌面上選擇“開始”“管理工具”“路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問”服務(wù)窗口；鼠標(biāo)右鍵點擊本地計算機(jī)名，選擇“配置并啟用路由和遠(yuǎn)程訪問”；在出現(xiàn)的配置向?qū)Т翱邳c下一步，進(jìn)入服務(wù)選擇窗口；標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡（分別對應(yīng)內(nèi)網(wǎng)和外網(wǎng)），選擇“遠(yuǎn)程訪問（撥號或VPN）”；外網(wǎng)使用的是Internet撥號上網(wǎng)，因此在彈出的窗口中選擇“VPN”；下一步連接到Internet的網(wǎng)絡(luò)接口，此時會看到服務(wù)器上配置的兩塊網(wǎng)卡及其IP地址，選擇連接外網(wǎng)的網(wǎng)卡；在對遠(yuǎn)程客戶端指派地址的時候，一般選擇“來自一個指定的地址范圍”，根據(jù)內(nèi)網(wǎng)網(wǎng)段的IP地址，新建一個指定的起始IP地址和結(jié)束IP地址。最后，“設(shè)置此服務(wù)器與RADIUS一起工作”選否。VPN服務(wù)器配置完成。

3.1.2賦予用戶撥入權(quán)限設(shè)置。默認(rèn)的系統(tǒng)用戶均被拒絕撥入到VPN服務(wù)器上，因此需要為遠(yuǎn)端用戶賦予撥入權(quán)限。在“管理工具”中打開“計算機(jī)管理”控制臺；依次展開“本地用戶和組”“用戶”，選中用戶并進(jìn)入用戶屬性設(shè)置；轉(zhuǎn)到“撥入”選項卡，在“選擇訪問權(quán)限(撥入或VPN)”選項組下選擇“允許訪問”，即賦予了遠(yuǎn)端用戶撥入VPN服務(wù)器的權(quán)限。

3.2VPN客戶端配置VPN客戶端適用范圍更廣，這里以Windows2003為例說明，其它的Windows操作系統(tǒng)配置步驟類似。

在桌面“網(wǎng)上鄰居”圖標(biāo)點右鍵選屬性，之后雙擊“新建連接向?qū)А贝蜷_向?qū)Т翱诤簏c下一步；接著在“網(wǎng)絡(luò)連接類型”窗口里選擇“連接到我的工作場所的網(wǎng)絡(luò)”；在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專用網(wǎng)絡(luò)連接”；接著為此連接命名后點下一步；在“VPN服務(wù)器選擇”窗口里，輸入VPN服務(wù)端地址，可以是固定IP，也可以是服務(wù)器域名；點下一步依次完成客戶端設(shè)置。在連接的登陸窗口中輸入服務(wù)器所指定的用戶名和密碼，即可連接上VPN服務(wù)器端。:

3.3連接后的共享操作當(dāng)VPN客戶端撥入連接以后，即可訪問服務(wù)器所在局域網(wǎng)里的信息資源，就像并入局域網(wǎng)一樣適用。遠(yuǎn)程用戶既可以使用企業(yè)OA，ERP等信息管理系統(tǒng)，也可以使用文件共享和打印等共享資源。

四、小結(jié)

現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計算機(jī)互聯(lián)網(wǎng)絡(luò)，在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問以及企業(yè)電子商務(wù)環(huán)境中，虛擬專用網(wǎng)(VPN)技術(shù)為信息集成與優(yōu)化提供了一個很好的解決方案。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)，從而為企業(yè)用戶提供了一個低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸。VPN技術(shù)在企業(yè)資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價值，在未來的企業(yè)信息化建設(shè)中具有廣闊的前景。

參考文獻(xiàn):

篇2

      本篇校園網(wǎng)論文介紹加強(qiáng)對新技術(shù)在校園網(wǎng)中的應(yīng)用理論研究，對實際的發(fā)展有著重要的指導(dǎo)性。 

1 MPLS技術(shù)原理及體系結(jié)構(gòu)分析 

1.1 MPLS技術(shù)原理分析 

從實際來看，在傳統(tǒng)以IP分組轉(zhuǎn)發(fā)的技術(shù)方面，主要是在IP分組報頭基礎(chǔ)上，通過IP地址在路由表當(dāng)中實施的最長匹配查找。MPLS技術(shù)將網(wǎng)絡(luò)層靈活的路由選擇功能及數(shù)據(jù)鏈路層高速交換性能特點進(jìn)行的完美結(jié)合，這樣就對以往的以IP分組技術(shù)為主的局限性得到了優(yōu)化。另外在這一技術(shù)上同時也引進(jìn)了標(biāo)簽概念，這是比較短并方便處置以及對拓?fù)湫畔]有包含的信息內(nèi)容。這一原理是對標(biāo)簽交換機(jī)制進(jìn)行的引入，也就是將路由控制以及數(shù)據(jù)轉(zhuǎn)發(fā)等進(jìn)行單獨化的處理，從而就為每個IP數(shù)據(jù)包提供了固定長度標(biāo)簽，就決定了數(shù)據(jù)包路徑及優(yōu)先級。  　    　1.2 MPLS體系結(jié)構(gòu)分析 

MPLS這一體系結(jié)構(gòu)當(dāng)中，MPLS所使用的短而定長標(biāo)簽封裝分組在數(shù)據(jù)平面實現(xiàn)了快速轉(zhuǎn)發(fā)功能，并在這一平面有著IP網(wǎng)絡(luò)的強(qiáng)大靈活路由功能，對實際所需要的網(wǎng)絡(luò)需求能夠得以有效滿足。其體系結(jié)構(gòu)圖示如下圖1所示，針對核心的LSR主要是在平面進(jìn)行標(biāo)簽的分組并轉(zhuǎn)發(fā)，在LER方面主要是轉(zhuǎn)發(fā)平面所進(jìn)行實施的工作任務(wù)，同時也包含了對傳統(tǒng)IP分組的轉(zhuǎn)發(fā)。 

通過上圖就能夠看出，對這一體系結(jié)構(gòu)起到支持的主要就是顯示路由以及逐跳路由，在對MPLS進(jìn)行實際應(yīng)用的過程中，實行標(biāo)記分發(fā)過程中也需要對顯示路由進(jìn)行規(guī)定，但這一路由并不會對每個IP分組進(jìn)行規(guī)定，這樣就會使得MPLS顯示路由會比傳統(tǒng)IP源點路由在作業(yè)額效率上得到很大程度的提升。不僅如此，在對MPLS LSP進(jìn)行構(gòu)建的過程中，能夠通過有序LSP以及獨立LSP進(jìn)行控制。 

2 MPLS VPN技術(shù)在校園網(wǎng)中的規(guī)劃設(shè)計及應(yīng)用 

2.1 MPLS VPN技術(shù)在校園網(wǎng)中的規(guī)劃設(shè)計分析 

通過對相關(guān)的技術(shù)加以借鑒對校園網(wǎng)要進(jìn)行詳細(xì)的規(guī)劃設(shè)計，通過實踐之后主要是采取了MPLS/BGP VPN技術(shù)作為是實現(xiàn)MPLS VPN業(yè)務(wù)技術(shù)路線所構(gòu)建的各業(yè)務(wù)系統(tǒng)虛擬獨立網(wǎng)絡(luò)，而后在各業(yè)務(wù)系統(tǒng)部門間的可控互通訪問。另外就是在MPLS VPN技術(shù)支持下通過對IP VPN部署來進(jìn)行提供安全保證，構(gòu)建能夠?qū)崿F(xiàn)全網(wǎng)電子信息資源庫，以及通過H3C網(wǎng)管平臺技術(shù)進(jìn)行實現(xiàn)網(wǎng)管中心對全網(wǎng)MPLS VPN業(yè)務(wù)的統(tǒng)一管理。具體的規(guī)劃設(shè)計能夠通過分校區(qū)規(guī)劃以及主校區(qū)規(guī)劃、共享數(shù)據(jù)VPN規(guī)劃的方式進(jìn)行實現(xiàn)。 

2.2 MPLS VPN技術(shù)在校園網(wǎng)中的實際應(yīng)用 

通過對MPLS VPN技術(shù)在校園網(wǎng)中的簡單規(guī)劃設(shè)計的分析，主要是能夠在實際中得到應(yīng)用。在具體應(yīng)用中主要是將局域網(wǎng)交換技術(shù)作為重要的基礎(chǔ)，并對虛擬局域網(wǎng)技術(shù)進(jìn)行有機(jī)的結(jié)合，在校園網(wǎng)當(dāng)中來實現(xiàn)單純的在OR基礎(chǔ)上第二層優(yōu)先級服務(wù)。由于所需服務(wù)的差異性，例如音視頻傳輸自身的要求。故此要能夠緊密的和服務(wù)機(jī)制進(jìn)行結(jié)合，來為校園網(wǎng)當(dāng)中一些關(guān)鍵通信數(shù)據(jù)幀設(shè)置較高的用戶優(yōu)先級。 

另外就是要結(jié)合實際進(jìn)行差別服務(wù)結(jié)合資源預(yù)留協(xié)議，雖然在綜合服務(wù)所提供的更高QOS保證，而對于校園網(wǎng)這類非運營性網(wǎng)絡(luò)來說，過高的實現(xiàn)現(xiàn)代價以及復(fù)雜度并非是合適的。在具體的應(yīng)用過程中要能夠?qū)S域設(shè)置問題以及DSCP分類實現(xiàn)問題進(jìn)行有效的解決。MPLS VPN實現(xiàn)了VPN間的路由隔離，在每個PE路由器方面為每個所連接的VPN都進(jìn)行維護(hù)了獨立虛擬路由轉(zhuǎn)發(fā)實例，而每個VF駐留都是來自于同一VPN路由配置，穿越MPLS核心到其它的PE路由器過程中，這一隔離是過多協(xié)議，并增加了唯一VPN標(biāo)識符進(jìn)行實現(xiàn)。 

網(wǎng)絡(luò)通信的大部分信息不再來自工作組內(nèi)部，主要是來自于外部對因特網(wǎng)的訪問，倘若是對第三層QOS問題得到有效解決，那么在校園網(wǎng)中所有第三層網(wǎng)絡(luò)設(shè)備就會成為校園網(wǎng)QOS的發(fā)展瓶頸。從當(dāng)前的大型復(fù)雜網(wǎng)絡(luò)建設(shè)過程中能夠發(fā)現(xiàn)，通過對MPLS VPN技術(shù)的有效應(yīng)用，能夠?qū)⑿畔⑹芸卦L問及安全隔離等問題得到有效的解決，這一技術(shù)能夠保證各業(yè)務(wù)系統(tǒng)邏輯網(wǎng)絡(luò)相對獨立性，并對各種類型的業(yè)務(wù)系統(tǒng)安全性有著很強(qiáng)的保護(hù)作用，所以在校園網(wǎng)的應(yīng)用上有著比較廣闊的前景。 

篇3

【關(guān)鍵詞】L2 VPNIPSec隧道虛擬化The Research and Design of IPSec-based L2 VPN

ZHU Yufeng（School of Electronics Engineering and Computer Science， Peking University， Beijing， 100871， China）

Abstract： L2 VPN is working at layer 2 of OSI network model， which can hide the geographical limitations and provide virtual private network service.

This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.

Key Words：L2 VPN， IPSec Tunnel， Virtualization

一、引言

隨著虛擬化及云計算的興起和應(yīng)用，VPN隧道成為一個連接不同地區(qū)虛擬數(shù)據(jù)中心或者云計算中心的必備技術(shù)，其中L2 VPN工作在OSI網(wǎng)絡(luò)模型的第二層，它可以隱藏地域限制，提供虛擬專有網(wǎng)絡(luò)服務(wù)，能夠更好的滿足虛擬化及云計算的需求。

二、方法研究

L2 VPN基本的概念是將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合，利用VPN隧道模擬物理網(wǎng)線，將2臺或者多臺跨越因特網(wǎng)的網(wǎng)橋連接起來。

如圖所示：

為了實現(xiàn)以上L2 VPN的功能，我們需要考慮以下因素：

（1）如何將L2數(shù)據(jù)包導(dǎo)向VPN隧道；

（2）如何封裝以太網(wǎng)幀；

（3）數(shù)據(jù)包的flow設(shè)計；

（4）如何支持VLAN；

（5）如何支持多站點多用戶（例如，星型拓?fù)洌?/p>

2.1重定向數(shù)據(jù)包到VPN隧道

為了很好的連接L2網(wǎng)橋和VPN網(wǎng)關(guān)，我們定義一個虛擬的隧道端口，用來解耦合網(wǎng)橋和VPN的功能。對于網(wǎng)橋來說，虛擬隧道端口就像是一個物理端口一樣，用來收發(fā)以太網(wǎng)數(shù)據(jù)包。對于VPN網(wǎng)關(guān)來說，虛擬隧道端口就是一個明文數(shù)據(jù)包進(jìn)入加密隧道的入口，所有到達(dá)虛擬隧道端口的數(shù)據(jù)包，都將會被加密從隧道發(fā)出去。

虛擬隧道端口模擬物理以太網(wǎng)端口，它的功能如下：

（1）在內(nèi)核中創(chuàng)建一個虛擬網(wǎng)絡(luò)端口；

（2）發(fā)送以太網(wǎng)數(shù)據(jù)包。而驅(qū)動程序的發(fā)送功能，就是VPN隧道加密。

（3）接收以太網(wǎng)數(shù)據(jù)包。VPN加密后，會把明文放到虛擬端口的接收隊列。

（4）支持網(wǎng)橋MAC反向?qū)W習(xí)。

（5）支持VLAN tag。

所有對于L2網(wǎng)橋看來，虛擬隧道端口和物理網(wǎng)橋端口沒有任何區(qū)別，收到和發(fā)送的都是以太網(wǎng)數(shù)據(jù)包。網(wǎng)橋也不知道VPN網(wǎng)關(guān)的存在。同樣，VPN網(wǎng)關(guān)也知道網(wǎng)橋的存在，到達(dá)VPN網(wǎng)關(guān)也只是以太網(wǎng)數(shù)據(jù)包。

2.2以太網(wǎng)數(shù)據(jù)包封裝

IPSec隧道工作在三層，用來設(shè)計封裝IP數(shù)據(jù)包，所以我們需要將以太網(wǎng)幀封裝成IP數(shù)據(jù)包，再將該IP數(shù)據(jù)包封裝成IPSec數(shù)據(jù)包。

我們可以考慮以下方式：

（1）EtherIP over IPSec；

（2）非標(biāo)準(zhǔn)的IPSec封裝；

（3）混合模式。

（8）VPN1收到ARP應(yīng)答密文包，解密去EtherIP和IPSec包頭，查詢MAC地址表，得知出口是eth1，然后將報文發(fā)往PC1。此時，VPN1并且更新MAC地址表。

VPN2網(wǎng)橋的MAC表：

（9）PC1收到ARP應(yīng)答明文包，學(xué)到PC2的MAC地址。然后發(fā)送ICMP請求到PC2。數(shù)據(jù)包的目的MAC是PC2-MAC，源MAC是PC1-MAC。

（10）VPN1收到ICMP請求，查詢MAC地址表得到出口是tun1，將數(shù)據(jù)包送到VPN隧道加密，然后發(fā)往VPN2網(wǎng)關(guān)。

（11）VPN2收到ICMP請求，查詢MAC地址表，得到出口是eth1，將數(shù)據(jù)包發(fā)送到PC2。

（12）PC2收到ICMP請求并發(fā)送ICMP應(yīng)答，該應(yīng)答數(shù)據(jù)包被發(fā)發(fā)送到VPN2。

（13）VPN2收到ICMP應(yīng)答，查詢MAC地址表，得到出口是tun1，將數(shù)據(jù)包通過隧道發(fā)送到VPN1。

（14）VPN1收到ICMP應(yīng)答，查詢MAC地址表，得到出口是eth1，將數(shù)據(jù)包發(fā)送到PC1。

3.1VLAN支持

二層網(wǎng)橋可能連接很多VLAN，隧道端口需要工作在TRUNK模式，這樣可以允許VLAN數(shù)據(jù)包通過VPN隧道。

拓?fù)淙缦拢?/p>

EtherIP over IPSec可以封裝VLAN tag，但是overhead會比較大。一種優(yōu)化的方法是分配每個tunnel端口和tunnel一個VALN tag，這樣就不需要封裝VLAN tag，提高有效載荷。

3.2星型拓?fù)渲С?/p>

要支持Hub & Spoke星型拓?fù)?，我們只需要再增加一個tunnel端口，并且把該端口綁定到一個到Spoke的VPN隧道。該設(shè)計非常靈活，易于擴(kuò)展。

拓?fù)淙缦拢?/p>

四、結(jié)束語

本文通過引入虛擬隧道端口，巧妙的將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合在一起，簡單并且有效的將數(shù)據(jù)包重定向到VPN隧道。

另外，本文通過結(jié)合EtherIP over IPSec封裝發(fā)送多播和廣播數(shù)據(jù)包，IPSec封裝發(fā)送單播數(shù)據(jù)包，有效提高了VPN隧道的有效載荷和傳輸性能。

參考文獻(xiàn)

[1] RFC3378： EtherIP： Tunneling Ethernet Frames in IP Datagrams

[2] RFC2784： Generic Routing Encapsulation

[3] RFC3438： Layer Two Tunneling Protocol

[4] RFC4664： Framework for Layer 2 Virtual Private Networks

[5] RFC4665： Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks

[6] RFC4026； Provider Provisioned Virtual Private Network （VPN） Terminology

[7] RFC4301： Security Architecture for the Internet Protocol

篇4

關(guān)鍵詞：文山學(xué)院 虛擬專用網(wǎng) VPN

一、現(xiàn)狀及需求

文山學(xué)院坐落于祖國西南邊陲云南省文山州州府所在地文山市，學(xué)校占地948畝，有教職工594人，學(xué)校設(shè)有10個二級學(xué)院共43個本?？茖I(yè)，全日制在校生9183人。從學(xué)校建設(shè)角度，可以把文山學(xué)院分為老校區(qū)和新校區(qū)。學(xué)校校園網(wǎng)覆蓋到辦公樓、教學(xué)樓、教職工宿舍樓及老校區(qū)部分學(xué)生宿舍，由于校園網(wǎng)出口帶寬不高，整體網(wǎng)速慢以及很多學(xué)生宿舍沒有校園網(wǎng)布線，使得很多學(xué)生都是自己向網(wǎng)絡(luò)供應(yīng)商申請接入互聯(lián)網(wǎng)。由于我校的教務(wù)管理系統(tǒng)只能在校園網(wǎng)內(nèi)部訪問，教師查詢教學(xué)信息以及考試成績等的錄入只能局限在校園網(wǎng)內(nèi)部，另外廣大教師在獲取學(xué)校圖書館提供的電子圖書、科研論文等信息資源時，也只能在校園網(wǎng)訪問。因此，迫切需要一種方法能讓學(xué)校的師生無論是在學(xué)校內(nèi)還是校外，都能順利地訪問校園網(wǎng)里的資源。這對提高教學(xué)效率和教師的科研水平都是很有益的。因此，提出建設(shè)我校的VPN解決方案，能夠兼顧性能和價格，實現(xiàn)真正意義的優(yōu)質(zhì)低價的網(wǎng)絡(luò)VPN互聯(lián)。

二、VPN技術(shù)分析

虛擬專用網(wǎng)（Virtual Private NetWork，VPN）是指利用Internet等公共網(wǎng)絡(luò)創(chuàng)建遠(yuǎn)程的計算機(jī)到局域網(wǎng)以及局域網(wǎng)到局域網(wǎng)的連接，而建立的一種可以跨躍更大的物理范圍的局域網(wǎng)應(yīng)用。

1.隧道技術(shù)

隧道技術(shù)（Tunneling）是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝然后通過隧道發(fā)送。新的幀頭提供路由信息，以便通過互聯(lián)網(wǎng)傳遞被封裝的負(fù)載數(shù)據(jù)。

VPN采用隧道（Tunneling）技術(shù)，利用PPTP與L2TP等協(xié)議對數(shù)據(jù)包進(jìn)行封裝和加密，所以保證了在Internet等公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的安全性。

2.VPN分類

VPN按照它的應(yīng)用可以分為兩種：單機(jī)到局域網(wǎng)的連接（point to LAN）（如圖1所示）和局域網(wǎng)到局域網(wǎng)的連接（LAN to LAN）[1]（如圖2所示）。

單機(jī)到局域網(wǎng)的連接適用于單個用戶連接到企業(yè)局域網(wǎng)。只要用戶個人計算機(jī)能夠訪問Internet，用戶就能通過VPN方式跟企業(yè)局域網(wǎng)建立連接，從而訪問企業(yè)局域網(wǎng)提供的資源。

局域網(wǎng)到局域網(wǎng)的連接適用于企業(yè)分支機(jī)構(gòu)（可以是多個分支機(jī)構(gòu)）連接到企業(yè)總部局域網(wǎng)。企業(yè)分支機(jī)構(gòu)和企業(yè)總部既可以通過Internet互聯(lián)也可以通過專線連接，達(dá)到分支機(jī)構(gòu)局域網(wǎng)和總部局域網(wǎng)邏輯上屬于一個更大的局域網(wǎng)，實現(xiàn)資源的相互共享。

圖1單機(jī)到局域網(wǎng)的連接

圖2 局域網(wǎng)到局域網(wǎng)的連接

根據(jù)我校的實際情況，提供VPN服務(wù)可以方便廣大師生員工通過外網(wǎng)訪問校園網(wǎng)登陸教務(wù)管理系統(tǒng)數(shù)字圖書館等操作，選擇單機(jī)到局域網(wǎng)的連接。

一個完整的VPN系統(tǒng)一般由VPN服務(wù)器、VPN數(shù)據(jù)通道和VPN客戶端三個單元構(gòu)成。

三、VPN服務(wù)器及客戶機(jī)的安裝配置

1.VPN服務(wù)器的安裝與配置

方案以安裝有Windows Server 2008操作系統(tǒng)作為VPN服務(wù)器。

①單擊“開始”“程序”“管理工具”“管理您的服務(wù)器”命令，添加“遠(yuǎn)程訪問/VPN服務(wù)器”角色，啟動“路由和遠(yuǎn)程訪問服務(wù)器向?qū)А?/p>

②在向?qū)У呐渲媒缑嬷?，選擇“虛擬專用網(wǎng)絡(luò)（VPN）訪問和NAT”單選按鈕，配置該服務(wù)器為VPN服務(wù)器，同時具有NAT功能，然后單擊“下一步”按鈕

③選擇“VPN”和撥號復(fù)選框，然后單擊“下一步”按鈕

④使用VPN，在VPN服務(wù)器上必須有兩個網(wǎng)絡(luò)接口，一個連接到Internet，一個接到校園網(wǎng)網(wǎng)絡(luò)。選擇“本地連接”為VPN服務(wù)器到Internet的網(wǎng)絡(luò)接口，“本地連接2”連接到校園局域網(wǎng)。單擊“下一步”按鈕

⑤選擇“自動”單選按鈕，因為校園網(wǎng)內(nèi)專門有DHCP服務(wù)器進(jìn)行IP地址的指派。單擊“下一步”按鈕

⑥提示是否選擇此服務(wù)器與RADIUS服務(wù)器一起工作，選擇“否”，單擊“下一步”按鈕

⑦最后單擊“完成”按鈕，結(jié)束“遠(yuǎn)程訪問/VPN服務(wù)器”的配置。

為用戶配置遠(yuǎn)程訪問權(quán)限

用戶可以通過VPN服務(wù)器上的本地用戶賬戶和局域網(wǎng)中的域用戶賬戶通過VPN訪問局域網(wǎng)。要使用戶通過VPN訪問局域網(wǎng)，賬戶都應(yīng)該具有“撥入權(quán)限”。

2.VPN客戶端計算機(jī)安裝與配置

遠(yuǎn)程客戶首要條件是已經(jīng)連接到Internet。遠(yuǎn)程客戶機(jī)接入Internet可以是通過寬帶撥號，也可以是局域網(wǎng)到Internet的網(wǎng)絡(luò)連接。

方案以安裝有windows 7 SP1操作系統(tǒng)作為VPN客戶端。

①打開控制面板進(jìn)入“網(wǎng)絡(luò)和共享中心”。

②點擊進(jìn)入“設(shè)置新的連接和網(wǎng)絡(luò)”，選擇“連接到工作區(qū)”并點擊“下一步”。

③點擊“使用我的Internet連接（VPN）”

④在“Internet地址”欄輸入企業(yè)網(wǎng)絡(luò)地址，并“下一步”。

⑤輸入企業(yè)網(wǎng)絡(luò)管理員提供的用戶名和密碼，點擊“連接”便可以連接到企業(yè)網(wǎng)絡(luò)。

⑥連接成功后，VPN客戶端邏輯上已經(jīng)和企業(yè)網(wǎng)絡(luò)處在同一局域網(wǎng)內(nèi)，此時VPN客戶端便可以使用遠(yuǎn)程局域網(wǎng)提供的各種資源。

四、結(jié)論

建立校園VPN，可以利用現(xiàn)有的公共網(wǎng)絡(luò)資源，在普通用戶和校區(qū)之間建立安全、可靠、經(jīng)濟(jì)和高效的傳輸鏈路，利用Internet的傳輸線路保證了網(wǎng)絡(luò)的互聯(lián)性，采用隧道、加密等VPN技術(shù)保證了信息傳輸?shù)陌踩?，從而極大地提高了辦公效率，節(jié)省了學(xué)校資源，為校園信息化建設(shè)奠定了基礎(chǔ)。

參考文獻(xiàn)：

[1]郝興偉.計算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用[M].中國水利水電出版社，2009年：196-212.

[2]高博，趙映紅.虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)應(yīng)用與實踐[J].水科學(xué)與工程技術(shù)，2014（3）：93-96.

篇5

關(guān)鍵詞:訪問型VPN;L2TP;IPSec;PPP;隧道

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)31-pppp-0c

Research of Access VPN Solution Based on L2TP and IPSEC

JIANG Ying1, MIAO Chang-yun2

(1.Tianjin Polytechnic University,Tianjin 300000,China;2.HeBei University of Technology LangFang Department,LangFang 065000,China)

Abstract: Tunneling is the key technology for constructing Virtual Private Network(VPN). As the noticeable tunnel protocols,Layer Two Tunneling Protocol (L2TP) and IP Security Protocol (IPSec) are firstly introduced in this paper. we analyze the latent security trouble of Access VPN based on L2TP, and the cause, which restricts the secure creation of IP-VPN with IPSec. Finally we provide the Access VPN solution based on L2TP and IPSEC.

Key words: Access VPN; L2TP; IPSec; PPP; Tunnel

虛擬專用網(wǎng)絡(luò)(VPN,Virtual Private Network),是利用各種安全協(xié)議,在公眾網(wǎng)絡(luò)中建立安全隧道,將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動辦公人員等與總部連接起來,并且提供安全的端到端的數(shù)據(jù)通信的一種網(wǎng)絡(luò)技術(shù)。最初VPN是以LAN間互連型VPN為主要目的開發(fā)的,但隨著公司職工異地辦工和移動用戶遠(yuǎn)程通信的迫切需要,訪問型VPN日益受到重視。訪問型VPN即處于公司內(nèi)部網(wǎng)外部的終端通過在Internet網(wǎng)上構(gòu)建的VPN與公司內(nèi)部網(wǎng)相連,使外部終端能夠像內(nèi)部網(wǎng)中的用戶一樣使用內(nèi)部網(wǎng)資源。

目前VPN主要采用四項技術(shù)來保證通信安全[1]:隧道技術(shù)、加解密技術(shù)、密鑰交換與管理技術(shù)、身份認(rèn)證技術(shù)。隧道技術(shù)是VPN的核心技術(shù),類似于點對點連接技術(shù),它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道),使數(shù)據(jù)包通過這條隧道安全傳輸。隧道由隧道協(xié)議形成,隧道協(xié)議規(guī)定了隧道的建立,維護(hù)和刪除規(guī)則以及怎樣將用戶數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。到現(xiàn)在為止,比較成熟的隧道協(xié)議有:1) 鏈路層隧道協(xié)議,主要有點對點隧道協(xié)議PPTP、第二層轉(zhuǎn)發(fā)協(xié)議L2F以及第二層隧道協(xié)議L2TP;2) 網(wǎng)絡(luò)層隧道協(xié)議,主要有通用路由封裝協(xié)議GRE和IP安全協(xié)議IPSec。

L2TP是對端到端協(xié)議(PPP)的一種擴(kuò)展,它結(jié)合了L2F和PPTP的優(yōu)點,成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。像PPTP一樣,L2TP支持多種傳輸協(xié)議,它將用戶的數(shù)據(jù)封裝在PPP幀中,然后通過IP骨干網(wǎng)進(jìn)行傳輸。與PPTP不同的是,L2TP對隧道維護(hù)和用戶數(shù)據(jù)都使用UDP作為封裝方法。盡管許多人相信L2TP是安全的協(xié)議,但是它除了提供方便的用戶和連接的認(rèn)證外,自身對傳輸?shù)挠脩魯?shù)據(jù)并不執(zhí)行任何加密,因此,它不能提供安全的隧道;IPSec則不然,它工作在OSI參考模型的網(wǎng)絡(luò)層(第三層)。其最大的優(yōu)點是提供了非常強(qiáng)大的安全功能,包括數(shù)據(jù)的機(jī)密性、數(shù)據(jù)完整性和驗證、抗回放檢測等服務(wù)。

L2TP是一種訪問型VPN解決方案,它不能提供安全的隧道,并不能滿足用戶對數(shù)據(jù)傳輸安全性的需求。如果需要安全的VPN,則需要IPSec和L2TP結(jié)合使用。本文對L2TP和IPSec分別進(jìn)行討論,分析其優(yōu)缺點,并給出利用L2TP與IPSec結(jié)合實現(xiàn)訪問型VPN的解決方案。

1 L2TP和IPSEC協(xié)議分析

1.1 第二層隧道協(xié)議 L2TP

L2TP協(xié)議是將PPP分組進(jìn)行隧道封裝并在不同的傳輸媒體上傳輸,所以L2TP可看作虛擬PPP連續(xù),并且它利用PPP NCP來協(xié)商IP的分配。使用L2TP,有兩種隧道模式:自愿隧道模式和強(qiáng)制隧道模式。在自愿隧道中,遠(yuǎn)程訪問用戶運行L2TP,并且建立到服務(wù)器的VPN連接;在強(qiáng)制隧道中,另外一臺設(shè)備代表用戶,負(fù)責(zé)建立隧道。如圖1所示,L2TP主要由訪問集中器LAC (L2TP Access Concentrator)和網(wǎng)絡(luò)服務(wù)器LNS (L2TP Network Server)構(gòu)成。LAC支持客戶端的L2TP,用于發(fā)起呼叫、接收呼叫和建立隧道。LNS是所有隧道的終點。在傳統(tǒng)的PPP連接中,用戶撥號連接的終點是LAC,L2TP使得PPP協(xié)議的終點延伸到LNS。L2TP解決了多個PPP鏈路的捆綁問題,使物理上連接到不同NAS的PPP鏈路,在邏輯上的終結(jié)點為同一個物理設(shè)備。

作為PPP的擴(kuò)展,L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP,可以進(jìn)行用戶身份認(rèn)證。L2TP定義了控制包的加密傳輸,每個被建立的隧道生成一個獨一無二的隨機(jī)鑰匙,以便抵抗欺騙性的攻擊,但是它對傳輸中的用戶數(shù)據(jù)并不加密。因此,L2TP并不能滿足用戶對安全性的需求,L2TP封裝存在以下安全隱患[2]:

1)L2TP分組在網(wǎng)上傳輸時,攻擊者可以通過竊取數(shù)據(jù)分組而知曉用戶身份;

2)攻擊者可以修改L2TP控制數(shù)據(jù)和L2TP數(shù)據(jù)分組;

3)攻擊者可以劫持L2TP隧道或隧道中的PPP連接;

4)攻擊者可以通過終止PPP連接或L2TP隧道,而進(jìn)行拒絕服務(wù)攻擊;

5)攻擊者可以修改PPP ECP或CCP協(xié)議,以削弱或去除對PPP連接的機(jī)密性保護(hù);也可通過破壞PPP LCP鑒別協(xié)議而削弱PPP鑒別過程的強(qiáng)度或獲取用戶口令。

1.2 IP安全協(xié)議IPSec

IPSec是IETF IPSec工作組制訂的一組基于密碼學(xué)的開放網(wǎng)絡(luò)安全協(xié)議,用以保證IP網(wǎng)絡(luò)上數(shù)據(jù)通信的安全性。IPSec利用密碼技術(shù)從三個方面來保證數(shù)據(jù)的安全:通過認(rèn)證,對主機(jī)和端點進(jìn)行身份鑒別;利用完整性檢查來保證數(shù)據(jù)在傳輸過程中沒有被修改;加密IP地址和數(shù)據(jù)以保證數(shù)據(jù)私有性。

IPSec的安全結(jié)構(gòu)由三個主要的協(xié)議組成:封裝安全負(fù)載(Encapsulating Security Payload, ESP) 定義了為通信提供機(jī)密性、完整性保護(hù)和抗重播服務(wù)的具體實現(xiàn)方法。認(rèn)證頭(Authentication Header, AH) 定義了為通信提供完整性和抗重放服務(wù)的具體實現(xiàn)方法。ESP和AH協(xié)議都有一個確定特定的算法和可選功能的支持文獻(xiàn)集。

Internet安全協(xié)會和密鑰管理協(xié)議(ISAKMP)是IPSec的另一個主要組件。ISADMP提供了用于應(yīng)用層服務(wù)的通用格式,它支持IPSec協(xié)議和密鑰管理需求。IETF設(shè)計了Oakley密鑰確定協(xié)議(Key Determination Protocol)來實施ISAKMP功能。這個協(xié)議在通信系統(tǒng)之間建立一個安全聯(lián)系,它是一個產(chǎn)生和交換IPSec密鑰材料并且協(xié)調(diào)IPSec參數(shù)的框架。

IPSec提供了網(wǎng)絡(luò)層IP的安全機(jī)制,能夠?qū)P數(shù)據(jù)流完整性、機(jī)密性、防重放等進(jìn)行保護(hù),也能提供靈活的連接級、數(shù)據(jù)分組級的源鑒別。目前,通常利用IPSec在INTERNET網(wǎng)上構(gòu)建LAN間的VPN,但不被用于獨立構(gòu)建遠(yuǎn)程訪問型VPN,主要原因如下:

1)IPSec雖然提供了很強(qiáng)的主機(jī)級的身份鑒別,但它只能支持有限的用戶級身份鑒別。而在遠(yuǎn)程訪問型VPN中遠(yuǎn)程終端用戶要進(jìn)入企業(yè)內(nèi)部網(wǎng)必須進(jìn)行嚴(yán)格的身份鑒別。目前IPSec協(xié)議還不能方便、有效地實現(xiàn)這項功能。

2)在IPSec安全協(xié)議中,總是假設(shè)封裝的分組是IP分組,目前尚不能支持多協(xié)議封裝。

3)目前的IPSec只支持以固定的IP地址查找對應(yīng)的預(yù)享密鑰、證書等鑒別信息,尚不支持動態(tài)分配的IP地址。而出差在外的公司員工通常使用電話撥號方式接入INTERNET網(wǎng),此時用戶使用的是動態(tài)分配的IP地址,因此無法通過身份鑒別,接入內(nèi)部網(wǎng)。

通過以上對L2TP和IPSec協(xié)議各自優(yōu)缺點的分析,可以考慮構(gòu)建一種更加安全、經(jīng)濟(jì)的遠(yuǎn)程訪問VPN的解決方案:將L2TP協(xié)議和IPSec協(xié)議綜合起來使用,利用IPSec彌補(bǔ)L2TP的安全方面的不足,同時又利用L2TP彌補(bǔ)IPSec在用戶級鑒別、授權(quán)等方面的不足。

2 基于L2TP/IPSec構(gòu)建訪問型VPN

2.1 L2TP/IPSec方案的原理分析

通過分析可知:L2TP 其實就是IP 封裝協(xié)議的另一個變種,L2TP通道的IP 封裝結(jié)構(gòu)為(IP 報頭(UDP 報頭(L2TP報 頭(PPP報頭(PPP 負(fù)載)))))。創(chuàng)建一個L2TP 通道就是將L2TP幀封裝在UDP 報頭中,再將該UDP保文封裝在以通道端點作為源地址和目的地址的IP 報文中。因為外部封裝使用的是IP協(xié)議,所以IPSec可以用于保護(hù)上述合成的IP數(shù)據(jù)報文,也就是保護(hù)L2TP通道中流動的數(shù)據(jù)。

假設(shè)所有的隧道和鏈路都已經(jīng)建立成功,遠(yuǎn)程用戶使用該VPN進(jìn)行通信的過程如下[3]:

1)首先遠(yuǎn)程用戶端產(chǎn)生一個終止于LNS的、封裝了一個內(nèi)部IP包的PPP包,內(nèi)部IP包的源地址是LNS分配給用戶的VPN內(nèi)網(wǎng)地址,目的地址是VPN內(nèi)網(wǎng)服務(wù)器,這個PPP包通過用戶和LAC間的PPP物理鏈路傳送到LAC。

2)LAC根據(jù)PPP包中的用戶名找到對應(yīng)的L2TP隧道和IPSec隧道并對其進(jìn)行L2TP封裝和IPSec處理,生成L2TP/IPSec包。

3)LAC從自己的動態(tài)IP池里分配一個隨機(jī)IP地址,為L2TP/IPSec包封裝外部IP頭并傳送給LNS。

4)LNS收到這個包后,首先進(jìn)行IPSec的解密和認(rèn)證處理,然后依次去除L2TP頭和PPP頭,最后根據(jù)內(nèi)部IP頭的目的地址發(fā)往VPN內(nèi)網(wǎng)服務(wù)器。

在L2TP/IPSec 方案實現(xiàn)時,L2TP運行在IP 之上,而IP層已經(jīng)部署了IPSec軟件,所以在LAC和LNS之間所有的數(shù)據(jù)包在傳遞給L2TP軟件處理前都要進(jìn)行IPSec的相應(yīng)處理。假設(shè)IPSec軟件提供了ESP和AH兩種安全協(xié)議,那么IPSec便可以首先使用ESP 完成對L2TP包加密的工作,對整個高層報文進(jìn)行保護(hù),然后利用AH對加密數(shù)據(jù)和外部頭進(jìn)行認(rèn)證,生成的L2TP/IPSec包格式如圖2所示。其中IP2是內(nèi)部的IP頭部,包含有數(shù)據(jù)的真正的源和目的地址選項(一般考慮為私有地址)。IP1利用公網(wǎng)的傳輸特性(如公共網(wǎng)的傳輸?shù)刂?、帶寬?傳送內(nèi)部數(shù)據(jù)。

本實現(xiàn)方案中,由L2TP提供隧道服務(wù),而IPSec提供安全服務(wù),這樣可以提供一個更安全的VPN實現(xiàn)方案。通過將L2TP的基于點到點協(xié)議(PPP)的特點和IPSec的安全特點結(jié)合在一起,不僅利用了L2TP的封裝機(jī)制,而且對數(shù)據(jù)分組提供了安全性保護(hù),可以防止非法用戶對VPN的攻擊,能夠滿足遠(yuǎn)程用戶接入VPN的要求。

2.2 L2TP/IPSec方案的應(yīng)用模式

2.2.1 基于L2TP和IPSec的自愿隧道模式

這種模式下,L2TP和IPSec均安裝于遠(yuǎn)程用戶主機(jī)上。此時用戶主機(jī)充當(dāng)了LAC,用戶自主對L2TP進(jìn)行配置和管理。如圖3所示,LAC將L2TP分組發(fā)送到ISP,再經(jīng)過Internet到LNS,通過一個訪問連接將L2TP依次封裝在PPP和IP包中,這樣LAC可以取

(下轉(zhuǎn)第8654頁)

(上接第8646頁)

得它與LNS端的SA屬性。如果LAC取得SA,它能獲得LAC和LNS的安全服務(wù)[4]。由于LAC和LNS之間有安全服務(wù),則可以利用IPSec而取消PPP的加密和壓縮。

2.2.2 基于IPSec和L2TP的強(qiáng)制隧道的模式

此種模式將IPSec安裝于遠(yuǎn)程訪問主機(jī),而L2TP集成于LAC。PPP Client發(fā)送PPP幀給LAC,在LNS端收到的數(shù)據(jù)包是封裝了PPP的L2TP包,如圖4所示。在這種模式下,Client和LNS擁有安全服務(wù)的不同的信息,PPP加密和壓縮是否執(zhí)行,要依靠Client的策略。由于Client沒有任何LAC和LNS之間的服務(wù),而Client不信任LAC以及它和LAC之間的線路,Client 一般要求它到LNS的端到端的IPSec加密或者PPP的加密/壓縮[5]。

3 結(jié)束語

以L2TP協(xié)議與IPSec協(xié)議的結(jié)合使用來實現(xiàn)訪問型V PN時,L2TP利用IPSec強(qiáng)大的安全功能,以彌補(bǔ)自身安全方面的不足,提供了具有多種協(xié)議封裝和完備的安全功能的V PN,提高了應(yīng)用方案的安全性、完善了方案的鑒別和授權(quán)機(jī)制,具有一定的使用價值,但同時也產(chǎn)生了因重復(fù)封裝引起的額外開銷。隨著對訪問型V PN研究的不斷深入,協(xié)議進(jìn)一步完善,存在的問題會逐步得到解決。

參考文獻(xiàn):

[1] 高德昊.VPN技術(shù)在組網(wǎng)中的研究與應(yīng)用[D].中國優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫,2007,(5).

[2] 戴宗坤,唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2002.

[3] 季超,楚艷萍.基于L2TP/IPSEC的安全隧道技術(shù)方案[J].河南大學(xué)學(xué)報(自然科學(xué)版),2004,(34)1:94-96.

篇6

關(guān)鍵詞：信息安全，移動通信，密碼學(xué)，信息系統(tǒng)

 

1 前言公安信息化工作的快速推進(jìn)，金盾工程的全面建設(shè)，使得各級公安機(jī)關(guān)和廣大干警在執(zhí)行警務(wù)工作中將廣泛應(yīng)用公安警務(wù)信息來偵破案件、抓捕逃犯、核查車輛、打擊和預(yù)防犯罪等。在街面和移動中，充分利用警務(wù)信息已成為公安工作的緊迫需求，公安信息移動應(yīng)用系統(tǒng)建設(shè)也是金盾工程的主要建設(shè)內(nèi)容之一。警務(wù)通是基于移動通信技術(shù)的公安信息綜合業(yè)務(wù)查詢系統(tǒng)和指揮調(diào)度系統(tǒng)。充分發(fā)揮了移動通信技術(shù)所特有的隨時、隨地、隨心的特點，滿足了外勤警務(wù)人員在治安、交通、刑偵、監(jiān)管、戶政、經(jīng)偵、邊防、消防、出入境等方面需要適時進(jìn)行信息交互的工作需要，是用信息化實現(xiàn)“科技強(qiáng)警”的成功典范。

正是警務(wù)信息處理的特殊性要求系統(tǒng)開發(fā)人員在設(shè)計系統(tǒng)應(yīng)將其安全性和健壯性放在最重要的位置，以保證系統(tǒng)的正常運行和涉秘信息的安全處理。本文將從網(wǎng)絡(luò)安全、數(shù)據(jù)訪問安全和數(shù)據(jù)存儲安全三方面討論移動警務(wù)系統(tǒng)的安全策略。

2 網(wǎng)絡(luò)安全由于保密性需要，網(wǎng)絡(luò)設(shè)計階段的所有需求都應(yīng)該以安全為中心。接下來將從宏觀到微觀，從“大網(wǎng)”設(shè)計到設(shè)備選型，來分析網(wǎng)絡(luò)安全的策略需求。

2.1 移動網(wǎng)絡(luò)的安全所有的移動數(shù)據(jù)專線，都采用APN或者VPN方式，由交換網(wǎng)直接連接運營商的專網(wǎng)，不連接公共互聯(lián)網(wǎng)，同時避免中間存在其他的連接點。在此基礎(chǔ)上，相關(guān)通道可提供加密的傳輸保證。

2.2 網(wǎng)絡(luò)安全設(shè)備的綜合使用采用防火墻和網(wǎng)閘設(shè)備，提供網(wǎng)絡(luò)訪問的安全。防火墻設(shè)備，用于在交換網(wǎng)內(nèi)隔離接入服務(wù)區(qū)與信息服務(wù)區(qū)。隔離網(wǎng)閘設(shè)備，按照在公安部的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)使用，并提高了一個級別，除了交換網(wǎng)與公安內(nèi)網(wǎng)的隔離網(wǎng)閘外，在交換網(wǎng)與運營商數(shù)據(jù)專線的接口處也設(shè)置了隔離網(wǎng)閘，進(jìn)一步提高了安全性。

2.3 網(wǎng)絡(luò)攻擊的抵抗能力通過VPN網(wǎng)關(guān)、防火墻等網(wǎng)絡(luò)設(shè)備的使用，共同抵抗來自公網(wǎng)網(wǎng)絡(luò)攻擊(如DDOS等)?；贗PSec的VPN和防火墻可防止IP層以上的攻擊行為。使用SSL VPN和防火墻：可防止應(yīng)用層的攻擊。

2.5 采用加密的VPN網(wǎng)關(guān)在接入認(rèn)證中，使用公安部認(rèn)可的VPN加密數(shù)據(jù)網(wǎng)關(guān)，建立起移動警務(wù)終端到交換網(wǎng)的VPN加密隧道（基于RSA1024）。避免了數(shù)據(jù)在專線傳輸過程中被窺探。

2.6 應(yīng)用層的加密通道所有的移動應(yīng)用系統(tǒng)，主要是基于Web的B/S應(yīng)用體系。在此之上，應(yīng)用層通信，均采用基于SSL的HTTPS的加密處理通道（支持RSA 1024）。

3 數(shù)據(jù)訪問安全數(shù)據(jù)訪問是真實世界中業(yè)務(wù)處理流程到軟件設(shè)計的微觀化，數(shù)據(jù)訪問安全的策略應(yīng)該從設(shè)計正確的數(shù)據(jù)流圖到保證數(shù)據(jù)流圖各個環(huán)節(jié)安全進(jìn)行分析，主要由以下幾個方面共同負(fù)責(zé)。

3.1 專門的安全業(yè)務(wù)交換平臺采用公安部認(rèn)可的安全業(yè)務(wù)交換平臺，提供業(yè)務(wù)與數(shù)據(jù)的安全訪問。該交換平臺位于交換網(wǎng)和內(nèi)網(wǎng)之間，通過專用服務(wù)設(shè)備和網(wǎng)閘連接，建立一個單向的通道，并通過內(nèi)網(wǎng)端主動提取和控制的機(jī)制，實現(xiàn)相關(guān)交換的安全處理。支持業(yè)務(wù)系統(tǒng)和數(shù)據(jù)系統(tǒng)的安全交換，具有統(tǒng)一的管理界面，便于管理。

3.2 多層次的綜合身份認(rèn)證功能對于每個移動警務(wù)的實際用戶，提供了以下幾個層次的認(rèn)證處理。

移動終端對用戶的認(rèn)證。確定使用終端的用戶的合法性。主要采用開機(jī)密碼、指紋識別（需硬件支持）、操作系統(tǒng)登錄密碼等多種方式。

網(wǎng)絡(luò)運營商對撥號終端身份的認(rèn)證。所有的移動警務(wù)終端的手機(jī)卡，需事先在運營商的專線接入點登記。無線撥號中，只有已經(jīng)登記的SIM卡，才能撥叫網(wǎng)絡(luò)運營商的接入點，否則將無法撥叫。

公安移動接入?yún)^(qū)對撥號終端身份的認(rèn)證。公安移動接入?yún)^(qū)的移動終端撥入驗證系統(tǒng)，對網(wǎng)絡(luò)運營商的接入點傳來的移動終端的身份信息（如SIM卡號 分組名等）進(jìn)行身份核實，對于非法的撥入號碼拒絕連接。這樣，即使由網(wǎng)絡(luò)運營商的接入點傳來的非法終端號碼，也無法進(jìn)入接入平臺

移動終端接入公安移動區(qū)中時，接入網(wǎng)關(guān)對移動終端的單向認(rèn)證。認(rèn)證過程基于終端的設(shè)備數(shù)字證書和簽名密鑰，由終端設(shè)備和接入VPN網(wǎng)關(guān)自動完成。。

接入平臺對用戶可訪問應(yīng)用的認(rèn)證。移動接入?yún)^(qū)的平臺統(tǒng)一管理系統(tǒng)，對每個接入用戶可以訪問的子應(yīng)用系統(tǒng)進(jìn)行了限制。這樣，每個用戶只能訪問受限制的移動警務(wù)應(yīng)用，而不能訪問全部。

應(yīng)用程序的用戶認(rèn)證。當(dāng)移動終端上的應(yīng)用系統(tǒng)登錄交換網(wǎng)的移動警務(wù)應(yīng)用時，需要使用移動用戶的個人數(shù)字證書，與應(yīng)用服務(wù)器進(jìn)行身份驗證（基于數(shù)字簽名，可考慮連接內(nèi)網(wǎng)PKI系統(tǒng)），只有通過驗證，才能進(jìn)入到系統(tǒng)內(nèi)部，進(jìn)行相關(guān)的操作。

3.3 數(shù)據(jù)的加密傳輸所有的數(shù)據(jù)，均通過兩個級別的加密機(jī)制來完成。主要如下：

（1）傳輸通道加密。

從移動終端到移動警務(wù)應(yīng)用系統(tǒng)的整個通道，采用加密的方式，進(jìn)行保護(hù)。包括兩個層面：

網(wǎng)絡(luò)層的加密：通過終端加密卡和加密VPN網(wǎng)關(guān)的認(rèn)證，建立其基于網(wǎng)絡(luò)層的加密隧道（基于RSA 1024）

應(yīng)用層的加密：基于HTTPS和SSL協(xié)議的使用，通過用戶數(shù)字證書和移動警務(wù)應(yīng)用系統(tǒng)進(jìn)行身份認(rèn)證，建立起應(yīng)用層的加密隧道（基于RSA 1024）

（2）傳輸數(shù)據(jù)加密

會話中所傳輸?shù)乃袛?shù)據(jù)均采用加密的方式進(jìn)行。進(jìn)一步避免了數(shù)據(jù)通道被破解后，數(shù)據(jù)被窺探的可能。具體的加密算法，對稱算法采用SCB2，雜湊算法采用SHA-256（高于公安部標(biāo)準(zhǔn)）

3.4 密碼體系在數(shù)據(jù)安全體系中很多方面都與密碼體系緊密相關(guān)。因此對于該方面特別加以說明。。在移動警務(wù)平臺的實施中，密碼體系按照公安部建設(shè)指導(dǎo)書的方針完成。具體包括以下幾方面：

（1）密碼算法

對稱算法：采用不低于AES256的加密。主要用于傳輸中的數(shù)據(jù)加密、移動終端安全卡認(rèn)證等。

公鑰算法：采用RSA（1024位），主要用于移動用戶的證書認(rèn)證，SSL通道的加密協(xié)商、證書的簽發(fā)等。

散列算法：采用SHA-1（160）或者更高級別的（256或者384），產(chǎn)生消息摘要。

（2）專用密碼設(shè)備

在移動警務(wù)平臺的使用中，需要使用相關(guān)的密碼設(shè)備，以保證相應(yīng)的加密處理。相關(guān)的設(shè)備主要有如下兩類：

移動接入專用密碼卡：用于配合服務(wù)端系統(tǒng)，完成數(shù)據(jù)加解密、簽名、消息驗證等功能。對于每個相關(guān)的服務(wù)器需要安裝相應(yīng)產(chǎn)品。相關(guān)產(chǎn)品采用公安部認(rèn)證的產(chǎn)品。

移動接入終端專用安全卡：用于驗證接入終端的安全性，對于每個移動終端，需要安裝。根據(jù)不同的終端類型，當(dāng)前適合的有三種：

SDIO安全卡：處理能力強(qiáng)，適合具備SDIO接口的移動終端設(shè)備（實際比較少）。。

PCMCIA卡：適合具有PCMCIA接口的筆記本電腦。

安全SIM卡：功能較弱，適合常見手機(jī)和PDA，對終端要求低。

以上三種產(chǎn)品，將根據(jù)實際的終端特點，分別采購。所有的產(chǎn)品需經(jīng)過公安部相關(guān)認(rèn)證。

3.5 入侵檢測對非法侵入交換網(wǎng)的攻擊事件的發(fā)現(xiàn)和自動阻斷，由綜合安全防護(hù)系統(tǒng)完成，如果網(wǎng)閘可以有相應(yīng)功能則由網(wǎng)閘實行。具體是否使用根據(jù)情況而定，這里不再多介紹。

3.6 病毒的防范移動警務(wù)應(yīng)用系統(tǒng)涉及的所有的服務(wù)器，將盡量采用基于Linux的操作系統(tǒng)，避免病毒的干擾。對于必須采用Windows系統(tǒng)的服務(wù)器系統(tǒng)，使用國家有關(guān)部門批準(zhǔn)的查殺毒軟件，定時查殺和升級。制定完善的防病毒制度，關(guān)閉服務(wù)器系統(tǒng)上的一些外部接口（如USB口等），切斷病毒傳播途徑。對于移動應(yīng)用服務(wù)器要重點防護(hù)。

4 數(shù)據(jù)存儲安全主要防范由于意外事故造成的數(shù)據(jù)丟失。主要手段包括：

硬件設(shè)備冗余：所有數(shù)據(jù)服務(wù)器，均要求采用基于RAID5的SCSI磁盤冗余陣列。

數(shù)據(jù)備份：所有的數(shù)據(jù)庫，均要求定期進(jìn)行備份。備份策略根據(jù)具體服務(wù)器而定。

專用存儲服務(wù)器，提供專業(yè)存儲管理。建議采用存儲服務(wù)器，可有效管理維護(hù)數(shù)據(jù)庫資源

參考文獻(xiàn)：

[1]《PGP在移動警務(wù)通系統(tǒng)中的應(yīng)用研究》，朱永勝，計算機(jī)應(yīng)用技術(shù)碩士畢業(yè)論文，2007 年

[2]《安全隔離與信息交換助力公安移動警務(wù)》，王羽，《信息網(wǎng)絡(luò)安全》，2005年3期

[3] 《警務(wù)通:加速移動警務(wù)信息化》，《中國新通信》，2007年4期

[4] 《數(shù)字水印取證技術(shù)在移動警務(wù)通中的應(yīng)用》，應(yīng)影，計算機(jī)應(yīng)用技術(shù)碩士畢業(yè)論文，2007年

篇7

【關(guān)鍵詞】 圖書館;SSL VPN;數(shù)字資源;遠(yuǎn)程訪問

高校圖書館是學(xué)校文獻(xiàn)資源的中心，承擔(dān)著為學(xué)校的教學(xué)、科研和管理工作提供文獻(xiàn)信息服務(wù)。隨著高等教育和互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，師生利用圖書館資源的方式和手段發(fā)生了巨大的變化，傳統(tǒng)的到館借閱方式逐步被網(wǎng)上借閱方式取代，人們利用文獻(xiàn)信息的方式在某種意義上講已經(jīng)突破了時空的限制。師生在校外如何通過互聯(lián)網(wǎng)共享學(xué)校的文獻(xiàn)信息資源是近年來圖書館界和IT界研究較多的課題，目前外網(wǎng)用戶共享內(nèi)網(wǎng)資源的技術(shù)主要有電話撥號、服務(wù)器(proxy)、虛擬專用網(wǎng)(VPN)，VPN是近年來發(fā)展較快，實現(xiàn)方式比較簡便，較容易被接受的一種接入技術(shù)，現(xiàn)就VPN技術(shù)中的SSL VPN及其在圖書館信息資源共享中的應(yīng)用進(jìn)行介紹。

1 SSL VPN 概述

1.1 SSL VPN的概念 VPN(Virtual Private Network)是指依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)在公用網(wǎng)上建立的一條虛擬專用通道，讓兩個遠(yuǎn)距離的網(wǎng)絡(luò)客戶能在這個專用的網(wǎng)絡(luò)通道中相互傳遞數(shù)據(jù)信息。SSL VPN是采用SSL(Security Socket Layer)協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，是一種在應(yīng)用層協(xié)議和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性的機(jī)制，它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶端認(rèn)證[1]。SSL協(xié)議提供了網(wǎng)絡(luò)上通信雙方的安全保護(hù)，避免信息在網(wǎng)絡(luò)傳輸過程中被截取、改編和破壞，現(xiàn)在SSL協(xié)議已成為Internet中用來鑒別用戶身份及在瀏覽器與WEB服務(wù)器之間進(jìn)行加密通訊的全球化標(biāo)準(zhǔn)。

1.2 SSL VPN的通信過程 SSL VPN一般的實現(xiàn)方式是在內(nèi)網(wǎng)中的防火墻后面放置一個SSL服務(wù)器，SSL服務(wù)器將提供一個遠(yuǎn)程用戶與各種不同的應(yīng)用服務(wù)器之間的連接，實現(xiàn)起來主要有握手協(xié)議、記錄協(xié)議、警告協(xié)議的通信，SSL VPN的通信過程主要集中在握手協(xié)議上，主要有：第1步：SSL客戶機(jī)連接到SSL服務(wù)器，并要求服務(wù)器驗證身份;第2步：服務(wù)器通過發(fā)送它的數(shù)字證書證明自身的身份。這個交換包括整個證書鏈，直到某個證書頒發(fā)機(jī)構(gòu)(CA)，通過檢查有效日期并確認(rèn)證書包含可信任CA的數(shù)字簽名來驗證證書的有效性; 第3步：服務(wù)器發(fā)出一個請求，對客戶端的證書進(jìn)行驗證;第4步：雙方協(xié)商用于加密的消息加密算法和用于完整性檢查的HASH函數(shù)，通常由客戶端提供它所支持的所有算法列表，然后由服務(wù)器選擇其中最強(qiáng)大的加密算法;第5步：客戶機(jī)和服務(wù)器通過下列步驟生成會話密鑰?？蛻魴C(jī)生成一個隨機(jī)數(shù)，并使用服務(wù)器的公鑰(從服務(wù)器證書中獲得)對它加密，再送到服務(wù)器;服務(wù)器用更加隨機(jī)的數(shù)據(jù)，用客戶機(jī)的公鑰加密，發(fā)送至客戶機(jī)以表示響應(yīng);使用 HASH函數(shù)從隨機(jī)數(shù)據(jù)中生成密鑰[2]。

1.3 SSL VPN的優(yōu)點 相對于其它接入方式，SSL VPN在實現(xiàn)遠(yuǎn)程訪問內(nèi)網(wǎng)資源時有其獨特的優(yōu)勢，因此，近年來SSL VPN技術(shù)在各個行業(yè)，特別在企業(yè)、高校、公司及政府部門得到了廣泛的應(yīng)用。①無需安裝客戶端軟件?？蛻舳说膮^(qū)別是SSL VPN最大的優(yōu)勢，有Web瀏覽器的地方的就有SSL，所以預(yù)先安裝了Web瀏覽器的客戶機(jī)可以隨時作為SSL VPN的客戶端，在大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問是不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件。這樣，遠(yuǎn)程訪問的用戶可以在任何時間任何地點對應(yīng)用資源進(jìn)行訪問。②適用大多數(shù)設(shè)備?；?Web訪問的開放體系可以在運行標(biāo)準(zhǔn)的瀏覽器下訪問任何設(shè)備，包括非傳統(tǒng)設(shè)備，如可以上網(wǎng)的電話和PDA等通訊產(chǎn)品等。 ③適用于大多數(shù)操作系統(tǒng)?？梢赃\行標(biāo)準(zhǔn)的因特網(wǎng)瀏覽器的大多數(shù)操作系統(tǒng)都可以用來進(jìn)行基于Web的遠(yuǎn)程訪問，不管操作系統(tǒng)是 Windows、Macinwsh、Unix還是 Linux。④支持網(wǎng)絡(luò)驅(qū)動器訪問。用戶通過SSL VPN通信可以訪問在網(wǎng)絡(luò)驅(qū)動器上的資源。 ⑤良好的安全性。SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的，客戶對資源的每一次操作都需要經(jīng)過安全的身份驗證和加密。⑥較強(qiáng)的資源控制能力?；赪eb的訪問允許網(wǎng)絡(luò)管理部門為遠(yuǎn)程訪問用戶進(jìn)行詳盡的資源訪問控制，這樣有利于對不同身份用戶進(jìn)行訪問權(quán)限的控制。 ⑦經(jīng)濟(jì)實用性較好。使用SSL VPN具有很好的經(jīng)濟(jì)性，因為只需要在內(nèi)網(wǎng)架設(shè)一臺VPN硬件設(shè)備就可以實現(xiàn)所有用戶的遠(yuǎn)程安全訪問接入，遠(yuǎn)程用戶只要依賴現(xiàn)有互聯(lián)網(wǎng)設(shè)備就可以方便訪問內(nèi)網(wǎng)資源。 ⑧可以繞過防火墻和服務(wù)器進(jìn)行訪問?；赟SL的遠(yuǎn)程訪問方案中，使用 NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)服務(wù)的遠(yuǎn)程用戶或者因特網(wǎng)服務(wù)的用戶可以繞過防火墻和服務(wù)器進(jìn)行訪問，這是采用基于 IPSec安全協(xié)議的遠(yuǎn)程訪問很難或者根本做不到的[3]。

1.4 SSL VPN接入拓樸圖 目前，一般大學(xué)校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)是比較規(guī)范的，至少擁有一條大寬帶的外網(wǎng)接口及防火墻、安全過濾網(wǎng)關(guān)系統(tǒng)、認(rèn)證系統(tǒng)、路由交換機(jī)和大量的服務(wù)器，要實現(xiàn)內(nèi)網(wǎng)資源的遠(yuǎn)程訪問，只要在防火墻后面設(shè)置一臺SSL VPN網(wǎng)關(guān)，并根據(jù)網(wǎng)絡(luò)和用戶的具體情況進(jìn)行配置，就可以實現(xiàn)內(nèi)網(wǎng)資源共享。SSL VPN在內(nèi)部網(wǎng)中的應(yīng)用結(jié)構(gòu)，見圖1。

2 SSL VPN在高校圖書館中的應(yīng)用

2.1 高校圖書館數(shù)字資源建設(shè)及應(yīng)用 隨著信息技術(shù)的快速發(fā)展，圖書館的數(shù)字化建設(shè)步伐也越來越快，圖書館的管理和服務(wù)正向數(shù)字化、網(wǎng)絡(luò)化大步邁進(jìn)。當(dāng)前，幾乎所有高校圖書館都建立了各自的數(shù)字圖書館，數(shù)字資源的建設(shè)經(jīng)費比例也逐年的提高，師生獲取文獻(xiàn)資源的方式很大程度上趨向網(wǎng)絡(luò)化發(fā)展。高校圖書館除了擁有各種各樣的自建數(shù)據(jù)庫，還引進(jìn)了大量的外來數(shù)據(jù)庫，包括電子圖書、電子期刊、博碩士論文數(shù)據(jù)庫、報紙、年鑒、專利、工具書、視聽報告、教學(xué)資源庫等等，這些資源有的是安裝在本地服務(wù)器，有的是購買網(wǎng)上包庫，但不管是哪種形式的數(shù)據(jù)庫，由于受到知識產(chǎn)權(quán)保護(hù)和商業(yè)利益影響的限制，往往只限于本校的師生使用，其實現(xiàn)的方式一種是使用IP地址限制，即只允許某一特定范圍內(nèi)的IP地址用戶擁有瀏覽和下載權(quán)限，這種用戶的IP地址是相對固定的，一般是在學(xué)校的校園網(wǎng);另一種訪問方式是設(shè)定訪問賬號和密碼，但這種方式往往是和訪問及下載流量互相捆綁。第二種方式對用戶數(shù)較多的大單位明顯是不合適的，因為，隨著多元化社會的發(fā)展，很多老師和學(xué)生住在校外，教師到外出差和學(xué)習(xí)、學(xué)生到外地實習(xí)等，這一部分人群對學(xué)校的數(shù)字資源擁有使用的權(quán)利，但現(xiàn)有條件又不能允許他們使用，因此，通過SSL VPN實現(xiàn)高校圖書館資源的遠(yuǎn)程共享是最為有效、最為簡便和最為經(jīng)濟(jì)的途徑。

2.2 SSL VPN在高校圖書館中的應(yīng)用情況 由于SSL VPN具有安全性好、易于管理、實用性較強(qiáng)、擴(kuò)展方便及性能可靠等諸多優(yōu)點，近年來在實現(xiàn)高校校園網(wǎng)內(nèi)網(wǎng)資源的遠(yuǎn)程訪問中得到了廣泛應(yīng)用。SSL VPN是一種新興的VPN技術(shù)，相對于IPSec，VPN具有明顯的優(yōu)越性，在解決外網(wǎng)用戶訪問內(nèi)網(wǎng)Web服務(wù)方面日益受到人們的青睞，目前大多數(shù)高校圖書館都設(shè)置VPN服務(wù)，在內(nèi)網(wǎng)資源的遠(yuǎn)程訪問，特別是在解決圖書館數(shù)字資源的遠(yuǎn)程訪問方面發(fā)揮了重要的作用，可以說，VPN技術(shù)解決了非校內(nèi)用戶共享內(nèi)網(wǎng)優(yōu)質(zhì)資源的難題，SSL VPN的出現(xiàn)使得遠(yuǎn)程資源共享更加容易實現(xiàn)，同時也更容易被用戶接受，因為對于用戶而言，只要能夠接入互聯(lián)網(wǎng)，無需對客戶電腦作任何設(shè)置，在https協(xié)議下直接輸入SSL VPN網(wǎng)關(guān)的IP地址，就如同在內(nèi)網(wǎng)一樣享受到各種服務(wù)。

SSL VPN通過在Internet上建立移動用戶與內(nèi)部網(wǎng)間的專用數(shù)據(jù)通道，很好地解決了外網(wǎng)用戶訪問和使用圖書館數(shù)字資源時所面臨的具體問題。同時，SSL VPN因其具有安全、靈活、低成本等優(yōu)勢，逐步成為了圖書館電子資源遠(yuǎn)訪問的主流技術(shù)，為發(fā)揮數(shù)字資源的共享性和可傳播性、提升信息服務(wù)質(zhì)量和水平提供了良好的技術(shù)支持環(huán)境，圖書館數(shù)字資源訪問真正突破了時空的限制。

參考文獻(xiàn)

[1] 史春光.淺析基于SSL VPN 協(xié)議的VPN技術(shù)[J].信息技術(shù)，2009，(3)：121-123.

篇8

【 關(guān)鍵詞 】 VPN；仿真；Chariot；性能

1 引言

VPN（Virtual Private Network，虛擬私有網(wǎng)）是指通過公共網(wǎng)絡(luò)建立的一個臨時、安全的連接，它能夠穿過不安全的公用網(wǎng)絡(luò)。通過對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密傳輸，實現(xiàn)在公網(wǎng)上傳遞私密數(shù)據(jù)。VPN能夠很好地保護(hù)數(shù)據(jù)的完整性和準(zhǔn)確性，避免收發(fā)數(shù)據(jù)不一致。VPN主要采用隧道、加密解密、身份認(rèn)證、密鑰管理，在公共網(wǎng)絡(luò)中為客戶端虛擬出類似于局域網(wǎng)的專有線路。

Chariot是由NetIQ公司推出的一款網(wǎng)絡(luò)測試軟件，是目前世界上唯一認(rèn)可的應(yīng)用層IP網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的測試軟件，可提供端到端、多操作系統(tǒng)、多協(xié)議、多應(yīng)用模擬測試，還可以進(jìn)行網(wǎng)絡(luò)故障定位、網(wǎng)絡(luò)優(yōu)化等。它可以從用戶角度測試網(wǎng)絡(luò)或網(wǎng)絡(luò)參數(shù)（吞吐量、反應(yīng)時間、延時、抖動、丟包等），能夠模擬眾多的商業(yè)應(yīng)用進(jìn)行測試，例如HTTP、FTP、AD、Exchange、SQL、Oracle和SAP等。

Chariot通過模仿各種應(yīng)用程序所發(fā)出的網(wǎng)絡(luò)數(shù)據(jù)交換，幫助網(wǎng)絡(luò)設(shè)計者或網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)進(jìn)行評沽。通過Chariot附帶的各種測試腳本用戶可以測試網(wǎng)絡(luò)的數(shù)據(jù)流量、響應(yīng)時間以及數(shù)據(jù)吞吐量，也可以根據(jù)網(wǎng)絡(luò)中所采用的應(yīng)用程序的需要，選擇相應(yīng)的測試腳本或根據(jù)實際需要編制符合自己要求的腳本。

Chariot采用主動式監(jiān)視及定量的測量，通過產(chǎn)生模擬真實的流量，采用端到端的方法測試網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)系統(tǒng)在真實環(huán)境中的性能。

2 測試方案設(shè)計

本方案分別測試VPN系統(tǒng)和由同一硬件和軟件搭建的路由器傳輸性能，由于只是對比測試VPN及路由器的性能，這里將測試模型進(jìn)行了簡化。

由于測試條件有限，為了不影響校園網(wǎng)的整體運行，本測試采用非獨立控制臺測試方式，測試VPN系統(tǒng)的傳輸特性并與傳統(tǒng)路由方式傳輸進(jìn)行對比。測試中服務(wù)器運行VPN軟件時為VPN方式連接，關(guān)閉VPN軟件則整個鏈路改為傳統(tǒng)的路由連接，其拓?fù)洵h(huán)境如圖1所示。

在A機(jī)器上安裝Chariot，打開運行界面，在主界面中點NEW按鈕，彈出的界面中點上方一排按鈕的ADD PAIR，在ADD AN ENDPOINT PAIR窗口中輸入PAIR名稱，在Endpoint1和Endpoint2處分別輸入客戶端B和控制臺A的IP地址，再點擊“select script”按鈕并選擇一個腳本，由于我們的測量是以百兆帶寬為主，所以選擇軟件內(nèi)置的腳本High Performance Throughput?？刹捎脧?fù)制方式，建立多個收發(fā)線程。確定后點擊主菜單的“RUN”按鈕啟動測量工作，軟件會同時每對連接測試100個數(shù)據(jù)包從B發(fā)送到A。

3 測試對象模擬

本測試得到了VPN準(zhǔn)入系統(tǒng)的吞吐量、反應(yīng)時間、時延等指標(biāo)的數(shù)據(jù)。同時，我們還在相同硬件、軟件及網(wǎng)絡(luò)設(shè)備基礎(chǔ)上，測試了僅啟用轉(zhuǎn)發(fā)功能的路由器模式下的相關(guān)數(shù)據(jù)，進(jìn)行對比。

為了仿真多用戶同時通過VPN服務(wù)器進(jìn)行訪問，我們在Chariot控制臺上建立了8對通信線程（線對數(shù)對測試時間影響較大），使Endpoint1向Endpoint2同時發(fā)送測試報文，并在控制界面上顯示測試情況。Group/Pair是所建立的通信連接的名字，用Pair1～Pair8表示，Endpoint1和Endpoint2分別表示連接雙方的IP地址。在VPN模式下，Endpoint1的地址設(shè)置為Chariot控制臺A的VPN虛擬地址10.10.0.6，EndPoint2的地址設(shè)置為客戶端B的IP地址172.16.7.133。Network Protocol是連接選選擇的通信協(xié)議，為了表示廣泛性，我們選擇了使用最多的TCP協(xié)議。最后一欄是本測試為連接選擇的腳本文件，為了更好的觀察，我們選擇了文件內(nèi)容較大的腳本。

同時為了進(jìn)行對比，本測試在同樣的網(wǎng)絡(luò)環(huán)境下，將VPN服務(wù)器換為僅啟用路由轉(zhuǎn)發(fā)的服務(wù)器，并利用Chariot軟件同樣建立了8對連接進(jìn)行測試對比，Endpoint1的地址設(shè)置為Chariot控制臺A的實際網(wǎng)卡地址210.45.50.123，EndPoint2地址不變。

4 測試結(jié)果

在網(wǎng)絡(luò)通信中，用戶通常對網(wǎng)絡(luò)的速率和傳輸質(zhì)量較為看重，針對這兩點要求，我們分別對VPN模式和普通路由模式的吞吐量、傳輸率記憶響應(yīng)時間進(jìn)行了對比測試，得到如下測試結(jié)果。

4.1 吞吐量測試

作者首先對VPN模式下的數(shù)據(jù)吞吐量進(jìn)行測試，兩臺測試機(jī)器分別通過100M網(wǎng)絡(luò)接口于VPN服務(wù)器相連，在11分鐘的測試時間內(nèi)，8對連接的瞬時吞吐量起伏較大，最大值近乎最小值的兩倍。但從8對連接的平均值來看，相差很小，整個VPN模式下的吞吐量分配較為公平。同時，8對連接的平均吞吐量總和為93.079Mbps，接近100M的帶寬上限，作者認(rèn)為通過VPN模式下對物理線路有著很高的利用率。

同樣，作者對路由模式下的數(shù)據(jù)傳輸吞吐量也進(jìn)行了對比測試，發(fā)現(xiàn)在同環(huán)境下采用路由模式得到的測試數(shù)據(jù)，最大值和最小值差異比VPN模式下的更大，并且8對連接的平均吞吐率差別也更為明顯。同時，8對連接的平均吞吐量之和僅為86.038Mbps，也小于VPN模式下的93.078Mbps。由此，可以判斷在吞吐量方面，VPN模式比傳統(tǒng)路由模式具有更好的性能。

4.2 傳輸率測試

對于一個網(wǎng)絡(luò)來說，除了吞吐量以外，其數(shù)據(jù)的傳輸效率也是一個很重要的評價因素。VPN模式下的網(wǎng)絡(luò)傳輸率測試結(jié)果表明，在數(shù)據(jù)傳輸率方面，VPN模式下8對連接的平均值非常接近，各連接具有極好的公平性，進(jìn)一步反映了VPN通道是公平可靠的。

在對路由模式下網(wǎng)絡(luò)數(shù)據(jù)傳輸率的對比測試中，8對連接的最大值和最小值差別很大，且其平均傳輸率變化也更為明顯。從總的傳輸效率來說，路由模式下的平均傳輸效率之和也比VPN模式下得到的數(shù)據(jù)小了很多。因此，VPN模式下的傳輸率也優(yōu)與傳統(tǒng)路由模式。

4.3 響應(yīng)時間測試

對于一個可靠的網(wǎng)絡(luò)，用戶的連接請求應(yīng)當(dāng)在很短時間內(nèi)給出回應(yīng)，對用戶作出回答。最后，為全面評估VPN方案的可行度，本文還進(jìn)行了響應(yīng)時間的測試，其結(jié)果可以看到在VPN模式下，8對連接的響應(yīng)時間非常接近，一方的連接請求平均可以在7秒內(nèi)得到另一方的回應(yīng)，最小為4.552秒，最大為8.412秒，在日常使用中基本能夠滿足大多數(shù)網(wǎng)絡(luò)應(yīng)用的要求。

我們還對路由模式下的網(wǎng)絡(luò)相應(yīng)時間進(jìn)行了測試，測試結(jié)果表明，相比VPN模式下來說，傳統(tǒng)路由模式下的連接響應(yīng)時間更長，且最小值為4.188秒，最大值為20.858秒，更不穩(wěn)定。由此可以得知，VPN模式下的響應(yīng)時間也更為穩(wěn)定和可靠。

5 對比分析

我們對VPN模式下的測試數(shù)據(jù)和傳統(tǒng)路由轉(zhuǎn)發(fā)模式下的測試數(shù)據(jù)進(jìn)行了對比，結(jié)果見表1。

由測試結(jié)果對比可見，本設(shè)計實現(xiàn)的VPN準(zhǔn)入系統(tǒng)在吞吐量、傳輸率、響應(yīng)時間等指標(biāo)的平均性能明顯優(yōu)于基于同平臺上的路由轉(zhuǎn)發(fā)模式。但是從理論上來說，VPN傳輸過程是采用SSL協(xié)議對報文進(jìn)行加密、解密，而路由模式中的IP包轉(zhuǎn)發(fā)僅為尋址和分組的操作，VPN傳輸過程中的開銷應(yīng)遠(yuǎn)大于路由模式。

這里出現(xiàn)的現(xiàn)象，我們認(rèn)為是在通信線路質(zhì)量較高的情況下，VPN系統(tǒng)采用的UDP傳輸協(xié)議較路由模式采用的TCP協(xié)議簡便，沒有三次握手的確認(rèn)開銷，所以在大量數(shù)據(jù)傳輸時能體現(xiàn)高效特點。

6 結(jié)束語

本文介紹了網(wǎng)絡(luò)傳輸性能測試軟件Chariot，并利用該軟件對自建的VPN系統(tǒng)模型進(jìn)行了仿真測試。雖然我們的測試條件有限，在與同平臺、同網(wǎng)絡(luò)環(huán)境的路由轉(zhuǎn)發(fā)模式的測試對比中，發(fā)現(xiàn)在通信線路質(zhì)量較高的情況下，VPN系統(tǒng)采用的UDP傳輸協(xié)議較路由模式采用的TCP協(xié)議要簡化，沒有三次握手的確認(rèn)開銷，在大量數(shù)據(jù)傳輸時能體現(xiàn)高效特點。在某些特定的應(yīng)用中，可以取代路由器和NAT設(shè)備，保證網(wǎng)絡(luò)傳輸?shù)陌踩浴?/p>

參考文獻(xiàn)

[1] 黃華鍵. SSL VPN中安全身份人證的研究[D]. 西安電子科技大學(xué)碩士學(xué)位論文，2008.

[2] 武鴻浩.CUDA并行計算技術(shù)在情報信息研判中的應(yīng)用[J].信息網(wǎng)絡(luò)安全，2012，（02）：58-59.

[3] 田愛軍，張勇進(jìn). 安全模型的研究和實現(xiàn)[J]. 信息安全與通信保密，2001， （8）： 34-36.

[4] 張震. VPN技術(shù)分析及安全模型研究[J]. 微型機(jī)與應(yīng)用， 2002， 21（2）： 28-30.

[5] Aboba B，Calhoun P. RADIUS（Remote Authentication Dial In User Service） Support For Extensible Authentication Protocol（EAP）[EB].

[6] 于曉. 高安全機(jī)制VPN組網(wǎng)關(guān)鍵技術(shù)研究[R]. 北京：中國科學(xué)院， 2008.

[7] 吳軒亮.三網(wǎng)融合下城域網(wǎng)DDoS攻擊的監(jiān)測及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012.（03）：45-48.

[8] 王俊峰，周明天. 高速網(wǎng)絡(luò)性能測量研究[J]. 計算機(jī)科學(xué)， 2004， 31（9）： 66-71.

[9] 孫志崗，李扎，王宇穎. 網(wǎng)絡(luò)應(yīng)用軟件健壯性測試方法研究[J]. 計算機(jī)工程與科學(xué)，2005， （4）： 63-65.

基金項目：

本課題為安徽省教育廳自然基金課題項目延深（2003KJ161），基于Linux通過公網(wǎng)IP加密隧道實現(xiàn)Cernet遠(yuǎn)程互連的研究。

篇9

論文摘要:隨著計算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時代的來臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個發(fā)展非常活躍的領(lǐng)域，可能會受到黑客的非法攻擊，所以在任何情況下，對于各種事故，無意或有意的破壞，保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。計劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。本文介紹了防火墻技術(shù)的基本概念、系統(tǒng)結(jié)構(gòu)、原理、構(gòu)架、入侵檢測技術(shù)及VPN等相關(guān)問題。

Abstract:Along with the fast computer development and the universal application of the network technology， along with information times coming up on， Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers， It is very necessary for data’s protection， delivery and protection against various accidents， intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering， which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level.....

第一章 緒論

§1.1概述

隨著以 Internet為代表的全球信息化浪潮的來臨，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，其中以黨政系統(tǒng)、大中院校網(wǎng)絡(luò)系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門、政府或軍事領(lǐng)域等為典型。伴隨網(wǎng)絡(luò)的普及，公共通信網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全問題日益成為關(guān)注的焦點。一方面，網(wǎng)絡(luò)化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統(tǒng)效率和可靠性，并且還具備可擴(kuò)充性。另一方面，也正是由于具有這些特點增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。

開放性的網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的，例如:可能來自物理傳輸線路的攻擊，也可以對網(wǎng)絡(luò)通信協(xié)議和實現(xiàn)實施攻擊，可以是對軟件實施攻擊，也可以對硬件實施攻擊。國際性的網(wǎng)絡(luò)，意味著網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶，也可以來自 linternet上的任何一臺機(jī)器，也就是說，網(wǎng)絡(luò)安全所面臨的是一個國際化的挑戰(zhàn)。開放的、國際化的 Internet的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位的工作帶來了革命性的變革和開放，使得他們能夠利用 Internet提高辦事效率、市場反應(yīng)能力和競爭力。通過 Internet，他們可以從異地取回重要數(shù)據(jù)，同時也面臨 Internet開放所帶來的數(shù)據(jù)安全的挑戰(zhàn)與危險。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵，己成為政府機(jī)構(gòu)、企事業(yè)單位信息化建設(shè)健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內(nèi)部網(wǎng)絡(luò)由公共網(wǎng)絡(luò)互聯(lián)起來，這種互聯(lián)方式面臨多種安全威脅，極易受到外界的攻擊，導(dǎo)致對網(wǎng)絡(luò)的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國內(nèi)己有許多成熟的防火墻及其他相關(guān)安全產(chǎn)品，并且這些產(chǎn)品早已打入市場，但是對于安全產(chǎn)品來說，要想進(jìn)入我軍部隊。我們必須自己掌握安全測試技術(shù)，使進(jìn)入部隊的安全產(chǎn)品不出現(xiàn)問題，所以對網(wǎng)絡(luò)安全測試的研究非常重要，具有深遠(yuǎn)的意義。

§1.2本文主要工作

了解防火墻的原理 、架構(gòu)、技術(shù)實現(xiàn)

了解防火墻的部署和使用配置

熟悉防火墻測試的相關(guān)標(biāo)準(zhǔn)

掌握防火墻產(chǎn)品的功能、性能、安全性和可用性的測試方法

掌握入侵檢測與VPN的概念及相關(guān)測試方法

第二章 防火墻的原理 、架構(gòu)、技術(shù)實現(xiàn)

§2.1什么是防火墻？

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

§2.2防火墻的原理

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網(wǎng)絡(luò)，它們可能運行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進(jìn)以修復(fù)這個缺陷。另一種選擇就是防火墻 (Firewall)，防火墻是用來在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞. DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

§2.3防火墻的架構(gòu)

防火墻產(chǎn)品的三代體系架構(gòu)主要為：

第一代架構(gòu)：主要是以單一cpu作為整個系統(tǒng)業(yè)務(wù)和管理的核心，cpu有x86、powerpc、mips等多類型，產(chǎn)品主要表現(xiàn)形式是pc機(jī)、工控機(jī)、pc-box或risc-box等；

第二代架構(gòu)：以np或asic作為業(yè)務(wù)處理的主要核心，對一般安全業(yè)務(wù)進(jìn)行加速，嵌入式cpu為管理核心，產(chǎn)品主要表現(xiàn)形式為box等；

第三代架構(gòu)：iss（integrated security system）集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機(jī)架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。

§2.4防火墻的技術(shù)實現(xiàn)

從Windows軟件防火墻的誕生開始，這種安全防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進(jìn)化與升級。從最早期的只能分析來源地址，端口號以及未經(jīng)處理的報文原文的封包過濾防火墻，后來出現(xiàn)了能對不同的應(yīng)用程序設(shè)置不同的訪問網(wǎng)絡(luò)權(quán)限的技術(shù)；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時候單純的一個截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強(qiáng)大的整體性的安全套件。

第三章 防火墻的部署和使用配置

§ 3.1防火墻的部署

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻，但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高，也不易管理，所以目前在實用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時也能有效地控制安全系統(tǒng)的總擁有成本。

實際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢，大多數(shù)服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過應(yīng)用，應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點，使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。

----那么我們究竟應(yīng)該在哪些地方部署防火墻呢？

----首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部 Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個VLAN之間設(shè)置防火墻；第三，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

§ 3.2 防火墻的使用配置

一、防火墻的配置規(guī)則：

沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無法穿過防火墻。(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務(wù)器允許外部發(fā)起連接)

inside可以訪問任何outside和dmz區(qū)域。

dmz可以訪問outside區(qū)域。

inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

outside訪問dmz需要配合acl(訪問控制列表)。

二、防火墻設(shè)備的設(shè)置步驟：

1、確定設(shè)置防火墻的部署模式；

2、設(shè)置防火墻設(shè)備的IP地址信息（接口地址或管理地址（設(shè)置在VLAN 1上））；

3、設(shè)置防火墻設(shè)備的路由信息；

4、確定經(jīng)過防火墻設(shè)備的IP地址信息（基于策略的源、目標(biāo)地址）；

5、確定網(wǎng)絡(luò)應(yīng)用（如FTP、EMAIL等應(yīng)用）；

6、配置訪問控制策略。

第四章 防火墻測試的相關(guān)標(biāo)準(zhǔn)

防火墻作為信息安全產(chǎn)品的一種，它的產(chǎn)生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率，更是為了保證國家信息的安全。依照中華人民共和國國家標(biāo)準(zhǔn)GB/T 18019-1999《信息技術(shù)包過濾防火墻安全技術(shù)要求》、GB/T18020-1999《信息技術(shù)應(yīng)用級防火墻安全技術(shù)要求》和GB/T17900-1999《網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求》以及多款防火墻隨機(jī)提供的說明文檔，中國軟件評測中心軟件產(chǎn)品測試部根據(jù)有關(guān)方面的標(biāo)準(zhǔn)和不同防火墻的特點整理出以下軟件防火墻的測試標(biāo)準(zhǔn)：

4.1 規(guī)則配置方面

要使防火墻軟件更好的服務(wù)于用戶，除了其默認(rèn)的安全規(guī)則外，還需要用戶在使用過程中不斷的完善其規(guī)則；而規(guī)則的設(shè)置是否靈活方便、實際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標(biāo)準(zhǔn)。簡單快捷的規(guī)則配置過程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實施在線檢測所有對本機(jī)的訪問并控制它們、分別對應(yīng)用程序、文件或注冊表鍵值實施單獨的規(guī)則添加等等，這將成為此款軟件防火墻規(guī)則配置的一個特色。

§ 4.2 防御能力方面

對于防火墻防御能力的表現(xiàn)，由于偶然因素太多，因此無法從一個固定平等的測試環(huán)境中來得出結(jié)果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結(jié)果可能仍然有一定的出入，但大致可以做為一個性能參考。

§ 4.3 主動防御提示方面

對于網(wǎng)絡(luò)訪問、系統(tǒng)進(jìn)程訪問、程序運行等本機(jī)狀態(tài)發(fā)生改變時，防火墻軟件一般都會有主動防御提示出現(xiàn)。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應(yīng)的操作選擇。

§ 4.4 自定義安全級別方面

用戶是否可以參照已有安全級別的安全性描述來設(shè)置符合自身特殊需要的規(guī)則。防火墻可設(shè)置系統(tǒng)防火墻的安全等級、安全規(guī)則，以防止電腦被外界入侵。一般的防火墻共有四個級別：

高級：預(yù)設(shè)的防火墻安全等級，用戶可以上網(wǎng)，收發(fā)郵件；l

中級：預(yù)設(shè)的防火墻安全等級，用戶可以上網(wǎng)，收發(fā)郵件，網(wǎng)絡(luò)聊天， FTP、Telnet等；l

低級：預(yù)設(shè)的防火墻安全等級，只對已知的木馬進(jìn)行攔截，對于其它的訪問，只是給于提示用戶及記錄；l

自定義：用戶可自定義防火墻的安全規(guī)則，可以根據(jù)需要自行進(jìn)行配置。l

§ 4.5 其他功能方面

這主要是從軟件的擴(kuò)展功能表現(xiàn)、操作設(shè)置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網(wǎng)址、實施木馬掃描、阻止彈出廣告窗口、將未受保護(hù)的無線網(wǎng)絡(luò)“學(xué)習(xí)”為規(guī)則、惡意軟件檢測、個人隱私保護(hù)等豐富的功能項，是否可以滿足用戶各方面的需要。

§ 4.6 資源占用方面

這方面的測試包括空閑時和瀏覽網(wǎng)頁時的CPU占用率、內(nèi)存占有率以及屏蔽大量攻擊時的資源占用和相應(yīng)速度?？偟膩硎蔷褪琴Y源占用率越低越好，啟動的速度越快越好。

§ 4.7 軟件安裝方面

這方面主要測試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過程是不是方便、安裝完成后是否提示升級本地數(shù)據(jù)庫的信息等等。

§ 4.8 軟件界面方面

軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善，相反地，簡化了用戶的操作設(shè)置項也就帶來了更智能的安全防護(hù)功能。比如有的防護(hù)墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項，這方便用戶根據(jù)不同的安全級別啟動相應(yīng)的防護(hù)

第五章 防火墻的入侵檢測

§ 5.1 什么是入侵檢測系統(tǒng)？

入侵檢測可被定義為對計算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng)的處理過程，它不僅檢測來自外部的入侵行為，同時也檢測內(nèi)部用戶的未授權(quán)活動。

入侵檢測系統(tǒng) (IDS)是從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認(rèn)為是防火墻之后的第二道安全閘門，它作為一種積極主動的安全防護(hù)技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動的實時保護(hù)，從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵

§ 5.2 入侵檢測技術(shù)及發(fā)展

自1980年產(chǎn)生IDS概念以來，已經(jīng)出現(xiàn)了基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，出現(xiàn)了基于知識的模型識別、異常識別和協(xié)議分析等入侵檢測技術(shù)，并能夠?qū)Π僬?、千兆甚至更高流量的網(wǎng)絡(luò)系統(tǒng)執(zhí)行入侵檢測。

入侵檢測技術(shù)的發(fā)展已經(jīng)歷了四個主要階段：

第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)，其優(yōu)點是對于已知的攻擊行為非常有效，各種已知的攻擊行為可以對號入座，誤報率低;缺點是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測，漏報率高。

第二階段是以基于模式匹配+簡單協(xié)議分析+異常統(tǒng)計為主的技術(shù)，其優(yōu)點是能夠分析處理一部分協(xié)議，可以進(jìn)行重組;缺點是匹配效率較低，管理功能較弱。這種檢測技術(shù)實際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對異常行為分析的功能。

第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術(shù)，其優(yōu)點是誤報率、漏報率和濫報率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實現(xiàn)了多級分布式的檢測管理;缺點是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術(shù)，其優(yōu)點是入侵管理和多項技術(shù)協(xié)同工作，建立全局的主動保障體系，具有良好的可視化、可控性和可管理性。以該技術(shù)為核心，可構(gòu)造一個積極的動態(tài)防御體系，即IMS——入侵管理系統(tǒng)。

新一代的入侵檢測系統(tǒng)應(yīng)該是具有集成HIDS和NIDS的優(yōu)點、部署方便、應(yīng)用靈活、功能強(qiáng)大、并提供攻擊簽名、檢測、報告和事件關(guān)聯(lián)等配套服務(wù)功能的智能化系統(tǒng)

§ 5.3入侵檢測技術(shù)分類

從技術(shù)上講，入侵檢測技術(shù)大致分為基于知識的模式識別、基于知識的異常識別和協(xié)議分析三類。而主要的入侵檢測方法有特征檢測法、概率統(tǒng)計分析法和專家知識庫系統(tǒng)。

(1)基于知識的模式識別

這種技術(shù)是通過事先定義好的模式數(shù)據(jù)庫實現(xiàn)的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數(shù)據(jù)庫，然后監(jiān)視主體的一舉一動，當(dāng)檢測到主體活動違反了事先定義的模式規(guī)則時，根據(jù)模式匹配原則判別是否發(fā)生了攻擊行為。

模式識別的關(guān)鍵是建立入侵模式的表示形式，同時，要能夠區(qū)分入侵行為和正常行為。這種檢測技術(shù)僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進(jìn)。

(2)基于知識的異常識別

這種技術(shù)是通過事先建立正常行為檔案庫實現(xiàn)的，其基本思想是：首先把主體的各種正常活動用某種形式描述出來，并建立“正?；顒訖n案”，當(dāng)某種活動與所描述的正?；顒哟嬖诓町悤r，就認(rèn)為是“入侵”行為，進(jìn)而被檢測識別。

異常識別的關(guān)鍵是描述正常活動和構(gòu)建正?；顒訖n案庫。

利用行為進(jìn)行識別時，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據(jù)異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術(shù)可以檢測出未知行為，并具有簡單的學(xué)習(xí)功能。

以下是幾種基于知識的異常識別的檢測方法：

1)基于審計的攻擊檢測技術(shù)

這種檢測方法是通過對審計信息的綜合分析實現(xiàn)的，其基本思想是：根據(jù)用戶的歷史行為、先前的證據(jù)或模型，使用統(tǒng)計分析方法對用戶當(dāng)前的行為進(jìn)行檢測和判別，當(dāng)發(fā)現(xiàn)可疑行為時，保持跟蹤并監(jiān)視其行為，同時向系統(tǒng)安全員提交安全審計報告。

2)基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)

由于用戶的行為十分復(fù)雜，要準(zhǔn)確匹配一個用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的，這也是基于審計攻擊檢測的主要弱點。

而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)則是一個對基于傳統(tǒng)統(tǒng)計技術(shù)的攻擊檢測方法的改進(jìn)方向，它能夠解決傳統(tǒng)的統(tǒng)計分析技術(shù)所面臨的若干問題，例如，建立確切的統(tǒng)計分布、實現(xiàn)方法的普遍性、降低算法實現(xiàn)的成本和系統(tǒng)優(yōu)化等問題。

3)基于專家系統(tǒng)的攻擊檢測技術(shù)

所謂專家系統(tǒng)就是一個依據(jù)專家經(jīng)驗定義的推理系統(tǒng)。這種檢測是建立在專家經(jīng)驗基礎(chǔ)上的，它根據(jù)專家經(jīng)驗進(jìn)行推理判斷得出結(jié)論。例如，當(dāng)用戶連續(xù)三次登錄失敗時，可以把該用戶的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測技術(shù)

攻擊者在入侵一個系統(tǒng)時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

使用基于知識的模式識別和基于知識的異常識別所得出的結(jié)論差異較大，甚至得出相反結(jié)論。這是因為基于知識的模式識別的核心是維護(hù)一個入侵模式庫，它對已知攻擊可以詳細(xì)、準(zhǔn)確地報告出攻擊類型，但對未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結(jié)論的，它雖無法準(zhǔn)確判斷出攻擊的手段，但可以發(fā)現(xiàn)更廣泛的、甚至未知的攻擊行為。

§ 5.4入侵檢測技術(shù)剖析

1）信號分析

對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。一般來講，一種進(jìn)攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。

3）統(tǒng)計分析

統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生。例如，本來都默認(rèn)用GUEST帳號登錄的，突然用ADMINI帳號登錄。這樣做的優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點和迅速發(fā)展之中。

4）完整性分析

完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特咯伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識別哪怕是微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，用于事后分析而不用于實時響應(yīng)。盡管如此，完整性檢測方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。

§ 5.5防火墻與入侵檢測的聯(lián)動

網(wǎng)絡(luò)安全是一個整體的動態(tài)的系統(tǒng)工程，不能靠幾個產(chǎn)品單獨工作來進(jìn)行安全防范。理想情況下，整個系統(tǒng)的安全產(chǎn)品應(yīng)該有一個響應(yīng)協(xié)同，相互通信，協(xié)同工作。其中入侵檢測系統(tǒng)和防火墻之間的聯(lián)動就能更好的進(jìn)行安全防護(hù)。圖8所示就是入侵檢測系統(tǒng)和防火墻之間的聯(lián)動，當(dāng)入侵檢測系統(tǒng)檢測到入侵后，通過和防火墻通信，讓防火墻自動增加規(guī)則，以攔截相關(guān)的入侵行為，實現(xiàn)聯(lián)動聯(lián)防。

§ 5.6什么是VPN ?

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或Windows 2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

§ 5.7VPN的特點

1.安全保障雖然實現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

2.服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

3.可擴(kuò)充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。

4.可管理性

從用戶角度和運營商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

§ 5.8 VPN防火墻

VPN防火墻就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里，要由VPN防火墻過濾的就是承載通信數(shù)據(jù)的通信包。

最簡單的VPN防火墻是以太網(wǎng)橋。但幾乎沒有人會認(rèn)為這種原始VPN防火墻能管多大用。大多數(shù)VPN防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門。這些VPN防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統(tǒng)。還有一些應(yīng)用型的VPN防火墻只對特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的VPN防火墻產(chǎn)品其實應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做VPN防火墻，因為他們的工作方式都是一樣的：分析出入VPN防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?/p>

所有的VPN防火墻都具有IP地址過濾功能。這項任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個網(wǎng)段之間隔了一個VPN防火墻，VPN防火墻的一端有臺UNIX計算機(jī)，另一邊的網(wǎng)段則擺了臺PC客戶機(jī)。

當(dāng)PC客戶機(jī)向UNIX計算機(jī)發(fā)起telnet請求時，PC的telnet客戶程序就產(chǎn)生一個TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來，協(xié)議棧將這個TCP包“塞”到一個IP包里，然后通過PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機(jī)。在這個例子里，這個IP包必須經(jīng)過橫在PC和UNIX計算機(jī)中的VPN防火墻才能到達(dá)UNIX計算機(jī)。

現(xiàn)在我們“命令”（用專業(yè)術(shù)語來說就是配制）VPN防火墻把所有發(fā)給UNIX計算機(jī)的數(shù)據(jù)包都給拒了，完成這項工作以后，比較好的VPN防火墻還會通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計算機(jī)同在一個網(wǎng)段的用戶才能訪問UNIX計算機(jī)了。

還有一種情況，你可以命令VPN防火墻專給那臺可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是VPN防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計算機(jī)就可以穿越信任這個地址的VPN防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點是，不要用DNS主機(jī)名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)有兩個：一個是虛警率太高，一個是檢測速度太慢?，F(xiàn)有的入侵檢測系統(tǒng)還有其他技術(shù)上的致命弱點。因此，可以這樣說，入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，應(yīng)重點加強(qiáng)統(tǒng)計分析的相關(guān)技術(shù)研究。

但無論如何，入侵檢測不是對所有的入侵都能夠及時發(fā)現(xiàn)的，即使擁有當(dāng)前最強(qiáng)大的入侵檢測系統(tǒng)，如果不及時修補(bǔ)網(wǎng)絡(luò)中的安全漏洞的話，安全也無從談起。

同樣入侵檢測技術(shù)也存在許多缺點，IDS的檢測模型始終落后于攻擊者的新知識和技術(shù)手段。主要表現(xiàn)在以下幾個方面：

1)利用加密技術(shù)欺騙IDS;

2)躲避IDS的安全策略;

3)快速發(fā)動進(jìn)攻，使IDS無法反應(yīng);

4)發(fā)動大規(guī)模攻擊，使IDS判斷出錯;

5)直接破壞IDS;

6)智能攻擊技術(shù)，邊攻擊邊學(xué)習(xí)，變IDS為攻擊者的工具。

我認(rèn)為在與防火墻技術(shù)結(jié)合中應(yīng)該注意擴(kuò)大檢測范圍和類別、加強(qiáng)自學(xué)習(xí)和自適應(yīng)的能力方面發(fā)展。

參考文獻(xiàn) ：

1..Marcus Goncalves著。宋書民，朱智強(qiáng)等譯。防火墻技術(shù)指南[M]。機(jī)械工業(yè)出版社

2.梅杰，許榕生。Internet防火墻技術(shù)新發(fā)展。微電腦世界 .

3.Ranum M J. Thinking About Firewalls.

篇10

關(guān)鍵詞： 安全隱患； 全網(wǎng)動態(tài)安全體系模型； 信息安全化； 安全防御

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著現(xiàn)代校園網(wǎng)接入互聯(lián)網(wǎng)以及各種應(yīng)用急劇增加，在享受高速互聯(lián)網(wǎng)帶來無限方便的同時，我們也被各種層次的安全問題困擾著?，F(xiàn)代校園網(wǎng)絡(luò)安全是一個整體系統(tǒng)工程，必須要對現(xiàn)代校園網(wǎng)進(jìn)行全方位多層次安全分析，綜合運用先進(jìn)的安全技術(shù)和產(chǎn)品，制定相應(yīng)的安全策略，建立一套深度防御體系[1]，以自動適應(yīng)現(xiàn)代校園網(wǎng)的動態(tài)安全需求。

1 現(xiàn)代校園網(wǎng)絡(luò)的安全隱患分析

現(xiàn)代校園網(wǎng)作為信息交換平臺重要的基礎(chǔ)設(shè)施，承擔(dān)著教學(xué)、科研、辦公等各種應(yīng)用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個層面。

⑴ 物理層的安全分析：物理層安全指的是網(wǎng)絡(luò)設(shè)備設(shè)施、通信線路等遭受自然災(zāi)害、意外或人為破壞，造成現(xiàn)代校園網(wǎng)不能正常運行。在考慮現(xiàn)代校園網(wǎng)安全時，首先要考慮到物理安全風(fēng)險，它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提保障。

⑵ 網(wǎng)絡(luò)層的安全分析：網(wǎng)絡(luò)層處于網(wǎng)絡(luò)體系結(jié)構(gòu)中物理層和傳輸層之間，是網(wǎng)絡(luò)入侵者進(jìn)入信息系統(tǒng)的渠道和通路，網(wǎng)絡(luò)核心協(xié)議TCP/IP并非專為安全通信而設(shè)計，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。

⑶ 系統(tǒng)層的安全分析：現(xiàn)代校園網(wǎng)中采用的各類操作系統(tǒng)都不可避免地存在著安全脆弱性，并且當(dāng)今漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差越來越小，這就使得所有操作系統(tǒng)本身的安全性給整個現(xiàn)代校園網(wǎng)系統(tǒng)帶來巨大的安全風(fēng)險。

⑷ 數(shù)據(jù)層的安全分析：數(shù)據(jù)審計平臺的原始數(shù)據(jù)來源各種應(yīng)用系統(tǒng)及設(shè)備，采集引擎實現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、應(yīng)用服務(wù)等事件收集，采用多種方式和被收集設(shè)備進(jìn)行數(shù)據(jù)交互，主要面臨著基于應(yīng)用層數(shù)據(jù)的攻擊。

⑸ 應(yīng)用層的安全分析[2]：為滿足學(xué)校教學(xué)、科研、辦公等需要，在現(xiàn)代校園網(wǎng)中提供了各層次的網(wǎng)絡(luò)應(yīng)用，用戶提交的業(yè)務(wù)信息被監(jiān)聽或篡改等存在很多的信息安全隱患，主機(jī)系統(tǒng)上運行的應(yīng)用軟件系統(tǒng)采購自第三方，直接使用造成諸多安全要素。

⑹ 管理層的安全分析：人員有各種層次，對人員的管理和安全制度的制訂是否有效，影響由這一層次所引發(fā)的安全問題。

⑺ 非法入侵后果風(fēng)險分析：非法入侵者一旦獲得對資源的控制權(quán)，就可以隨意對數(shù)據(jù)和文件進(jìn)行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務(wù)、拒絕服務(wù)等。

2 現(xiàn)代校園網(wǎng)安全APPDRR模型提出

全網(wǎng)動態(tài)安全體系模型[3]（APPDRR）從建立全網(wǎng)自適應(yīng)的、動態(tài)安全體系的角度出發(fā)，充分考慮了涉及網(wǎng)絡(luò)安全技術(shù)的六方面，如風(fēng)險分析（Analysis）、安全策略（Policy）、安全防護(hù)（Protection）、安全檢測（Detection）、實時響應(yīng)（Response）、數(shù)據(jù)恢復(fù)（Recovery）等，并強(qiáng)調(diào)各個方面的動態(tài)聯(lián)系與關(guān)聯(lián)程度?，F(xiàn)代校園網(wǎng)安全模型如圖1所示，該模型緊緊圍繞安全策略構(gòu)建了五道防線：第一道防線是風(fēng)險分析，這是整體安全的前提和基礎(chǔ)；第二道防線是安全防護(hù)，阻止對現(xiàn)代校園網(wǎng)的入侵和破壞；第三道防線是安全監(jiān)測，及時跟蹤發(fā)現(xiàn)；第四道防線是實時響應(yīng)，保證現(xiàn)代校園網(wǎng)的可用性和可靠性；第五道防線是數(shù)據(jù)恢復(fù)，保證有用的數(shù)據(jù)在系統(tǒng)被入侵后能迅速恢復(fù)，并把災(zāi)難降到最低程度。

3 現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化的技術(shù)研究

為了保護(hù)現(xiàn)代校園網(wǎng)的信息安全，結(jié)合福建農(nóng)業(yè)職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)的實際需求，現(xiàn)代校園網(wǎng)信息中心將多種安全措施進(jìn)行整合，建立一個立體的、完善的、多層次的現(xiàn)代校園網(wǎng)安全防御體系，主要技術(shù)有加解密技術(shù)、防火墻技術(shù)、防病毒系統(tǒng)、虛擬專用網(wǎng)、入侵防護(hù)技術(shù)、身份認(rèn)證系統(tǒng)、數(shù)據(jù)備份系統(tǒng)和預(yù)警防控系統(tǒng)等，如圖2所示。

3.1 加解密技術(shù)

現(xiàn)代校園網(wǎng)中將部署各種應(yīng)用系統(tǒng)，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區(qū)和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性，需運用先進(jìn)的對稱密碼算法、公鑰密碼算法、數(shù)字簽名技術(shù)、數(shù)字摘要技術(shù)和密鑰管理分發(fā)等加解密技術(shù)。

3.2 防火墻技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)基礎(chǔ)設(shè)施必要的不可分割的組成元素，是構(gòu)成現(xiàn)代校園網(wǎng)信息安全化不可缺少的關(guān)鍵部分。它按照預(yù)先設(shè)定的一系列規(guī)則，對進(jìn)出內(nèi)外網(wǎng)之間的信息數(shù)據(jù)流進(jìn)行監(jiān)測、限制和過濾，只允許匹配規(guī)則的數(shù)據(jù)通過，并能夠記錄相關(guān)的訪問連接信息、通信服務(wù)量以及試圖入侵事件，以便管理員分析檢測、迅速響應(yīng)和反饋調(diào)整。

3.3 防病毒系統(tǒng)

抗病毒技術(shù)可以及時發(fā)現(xiàn)內(nèi)外網(wǎng)病毒的入侵和破壞，并通過以下兩種有效的手段進(jìn)行相應(yīng)地控制：一是有效阻止網(wǎng)絡(luò)病毒的廣泛傳播，采用蜜罐技術(shù)、隔離技術(shù)等；二是殺毒技術(shù)，使用網(wǎng)絡(luò)型防病毒系統(tǒng)進(jìn)行預(yù)防、實時檢測和殺毒技術(shù)，讓現(xiàn)代校園網(wǎng)系統(tǒng)免受其危害。

3.4 虛擬專用網(wǎng)

虛擬專用網(wǎng)（全稱為Virtual Private NetWork，簡稱VPN）指的是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對現(xiàn)代校園網(wǎng)內(nèi)部網(wǎng)的擴(kuò)展，由若干個不同的站點組成的集合，一個站點可以屬于不同的VPN，站點具有IP連通性，VPN間可以實現(xiàn)防問控制[4]。使用VPN的學(xué)校不僅提升了效率，而且學(xué)校各校區(qū)間的連接更加靈活。只要能夠上網(wǎng)，各校區(qū)均可以安全訪問到主校區(qū)網(wǎng)。使用VPN數(shù)據(jù)加密傳輸，保證信息在公網(wǎng)中傳輸?shù)乃矫苄院桶踩?。VPN按OSI參考模型分層來分類有：①數(shù)據(jù)鏈路層有PPTP、L2F和L2TP；②網(wǎng)絡(luò)層有GRE、IPSEC、 MPLS和DMVPN；③應(yīng)用層有SSL。

3.5 入侵防護(hù)技術(shù)

入侵防護(hù)技術(shù)包含入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）。IDS可以識別針對現(xiàn)代校園網(wǎng)資源或計算機(jī)的惡意企圖和不良行為，并能對此及時作出防控。IDS不僅能夠檢測未授權(quán)對象（人或程序）針對系統(tǒng)的入侵企圖或行為，同時能監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作，提高了現(xiàn)代校園網(wǎng)的動態(tài)安全保護(hù)。IPS幫助系統(tǒng)應(yīng)對現(xiàn)代校園網(wǎng)的有效攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和及時響應(yīng)），提高現(xiàn)代校園網(wǎng)基礎(chǔ)結(jié)構(gòu)的完整性。

3.6 身份認(rèn)證系統(tǒng)

現(xiàn)代校園網(wǎng)殊部門（如檔案、財務(wù)、招生等）要建設(shè)成系統(tǒng)。要采用身份認(rèn)證系統(tǒng)[5]，應(yīng)建立相應(yīng)的身份認(rèn)證基礎(chǔ)平臺，加強(qiáng)用戶的身份認(rèn)證，防止對網(wǎng)絡(luò)資源的非授權(quán)訪問以及越權(quán)操作，加強(qiáng)口令的管理。

3.7 數(shù)據(jù)備份系統(tǒng)

在現(xiàn)代校園網(wǎng)系統(tǒng)中建立安全可靠的數(shù)據(jù)備份系統(tǒng)是保證現(xiàn)代校園網(wǎng)系統(tǒng)數(shù)據(jù)安全和整體網(wǎng)絡(luò)可靠運行的必要手段，可保證在災(zāi)難突發(fā)時，系統(tǒng)及業(yè)務(wù)有效恢復(fù)?，F(xiàn)代校園網(wǎng)的數(shù)據(jù)備份系統(tǒng)平臺能實時對整個校園網(wǎng)的數(shù)據(jù)及系統(tǒng)進(jìn)行集中統(tǒng)一備份，備份策略采用完全備份與增量備份相結(jié)合的方式。

3.8 預(yù)警防控系統(tǒng)

現(xiàn)代校園網(wǎng)絡(luò)安全管理人員必須對整個校園網(wǎng)體系的安全防御策略及時地進(jìn)行檢測、修復(fù)和升級，嚴(yán)格履行國家標(biāo)準(zhǔn)的信息安全管理制度，構(gòu)建現(xiàn)代校園網(wǎng)統(tǒng)一的安全管理與監(jiān)控機(jī)制，能實行現(xiàn)代校園網(wǎng)統(tǒng)一安全配置，調(diào)控多層面分布式的安全問題，提高現(xiàn)代校園網(wǎng)的安全預(yù)警能力，加強(qiáng)對現(xiàn)代校園網(wǎng)應(yīng)急事件的處理能力，切實建立起一個方便快捷、安全高效的現(xiàn)代校園網(wǎng)預(yù)警防控系統(tǒng)，實現(xiàn)現(xiàn)代校園網(wǎng)信息安全化的可控性。

4 現(xiàn)代校園網(wǎng)絡(luò)安全問題的解決方案

通過對現(xiàn)代校園網(wǎng)主流網(wǎng)絡(luò)信息安全化技術(shù)的深入研究，針對現(xiàn)代校園網(wǎng)的安全隱患，提出現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案。

⑴ 物理層安全：主要指物理設(shè)備的安全，機(jī)房的安全等，包括物理層的軟硬件設(shè)備安全性、設(shè)備的備份、防災(zāi)害能力、防干擾能力、設(shè)備的運行環(huán)境和不間斷電源保障等。相關(guān)環(huán)境建設(shè)和硬件產(chǎn)品必須按照我國相關(guān)國家標(biāo)準(zhǔn)執(zhí)行。

⑵ 網(wǎng)絡(luò)層安全：針對現(xiàn)代校園網(wǎng)內(nèi)部不同的業(yè)務(wù)部門及應(yīng)用系統(tǒng)安全需求進(jìn)行安全域劃分，并按照這些安全功能需求設(shè)計和實現(xiàn)相應(yīng)的安全隔離與保護(hù)措施[6]，采用核心交換機(jī)的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現(xiàn)信息安全化。

⑶ 系統(tǒng)層安全：現(xiàn)代校園網(wǎng)管理平臺的主機(jī)選擇安全可靠的操作系統(tǒng)，采取以下技術(shù)手段進(jìn)行安全防護(hù)：補(bǔ)丁分發(fā)技術(shù)、系統(tǒng)掃描技術(shù)、主機(jī)加固技術(shù)、網(wǎng)絡(luò)防病毒系統(tǒng)。

⑷ 數(shù)據(jù)層安全：主要使用數(shù)據(jù)庫審計系統(tǒng)進(jìn)行監(jiān)控管理，對審計記錄結(jié)果進(jìn)行保存，檢索和查詢，按需審計；同時還能夠?qū)ξｋU行為進(jìn)行報警及阻斷，并提供對數(shù)據(jù)庫訪問的統(tǒng)計和分析，實現(xiàn)分析結(jié)果的可視化，能夠針對數(shù)據(jù)庫性能進(jìn)行改進(jìn)提供參考依據(jù)。

⑸ 應(yīng)用層安全：應(yīng)用層安全的安全性策略包括用戶和服務(wù)器間的雙向身份認(rèn)證、信息和服務(wù)資源的訪問控制和訪問資源的加密，并通過審計和記錄機(jī)制，確保服務(wù)請求和資源訪問的防抵賴。

⑹ 管理層安全：現(xiàn)代校園網(wǎng)應(yīng)依法來制訂安全管理制度，提供數(shù)據(jù)審計平臺。一方面，對站點的訪問活動進(jìn)行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。另一方面，當(dāng)事故發(fā)生后，提供黑客攻擊行為的追蹤線索及破案依據(jù)，實現(xiàn)對網(wǎng)絡(luò)的可控性與可審查性。

5 構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全防御體系

現(xiàn)代校園網(wǎng)絡(luò)安全問題的各層解決方案綜合應(yīng)用到實際工作環(huán)境中，在配套安全管理制度規(guī)范下[7]，現(xiàn)代校園網(wǎng)可實現(xiàn)全方位多層次的信息安全化管理，配有一整套完備的現(xiàn)代校園網(wǎng)安全總需求分析、校園網(wǎng)風(fēng)險分析、風(fēng)險控制及安全風(fēng)險評估、安全策略和布署處置、預(yù)警防控系統(tǒng)、安全實時監(jiān)控系統(tǒng)、數(shù)據(jù)審計平臺、數(shù)據(jù)存儲備份與恢復(fù)等動態(tài)自適應(yīng)的防御體系，可有效防范、阻止和切斷各種入侵者，構(gòu)筑現(xiàn)代校園網(wǎng)的整體安全屏障。

6 結(jié)束語

信息安全化是現(xiàn)代校園網(wǎng)實施安全的有效舉措，并建立一套切實可行的現(xiàn)代校園網(wǎng)絡(luò)安全保護(hù)措施，提高現(xiàn)代校園網(wǎng)信息和應(yīng)急處置能力，發(fā)揮現(xiàn)代校園網(wǎng)服務(wù)教學(xué)、科研和辦公管理的作用?，F(xiàn)代網(wǎng)絡(luò)的高速發(fā)展同時伴隨著種種不確定的安全因素，時時威脅現(xiàn)代校園網(wǎng)的健康發(fā)展，要至始至終保持與時俱進(jìn)的思想，適時調(diào)整相應(yīng)的網(wǎng)絡(luò)安全設(shè)備。

參考文獻(xiàn)（Reference）：

[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網(wǎng)絡(luò)安全體系結(jié)

構(gòu)[M].人民郵電出版社，2005.

[2] Cbris McNab著，王景新譯.網(wǎng)絡(luò)安全評估[M].中國電力出版

社，2006.

[3] 陳杰新.校園網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用[J].吉林大學(xué)碩士學(xué)

位論文，2010.

[4] Teare D.著，袁國忠譯.Cisco CCNP Route學(xué)習(xí)指南[M].北京

人民郵電出版社.2011.

[5] 張彬.高校數(shù)字化校園安全防護(hù)與管理系統(tǒng)設(shè)計與實現(xiàn)[D].

電子科技大學(xué)碩士學(xué)位論文，2015.5.

[6] 彭勝偉.高校校園計算機(jī)網(wǎng)絡(luò)設(shè)計與實現(xiàn)[J].無線互聯(lián)技術(shù)，

2012.11.