校园网VPN规划与实现

校园网VPN规划与实现（共4篇）

篇1：校园网VPN规划与实现

近年来随着无线网络技术的发展, 无线网络以其独特的灵活性、可移动性、易扩展性得到越来越广泛的应用, 不管是把它作为有线网络的补充, 还是局部代替有线网络都具有现实意义, 运用无线技术优化校园网就是其应用之一。但是, 无线局域网的安全问题已经成为推广应用的一个关键问题。快速发展中的无线校园网同样也面临着网络安全的问题, 因此研究无线校园网的安全问题对于无线网络的发展与应用具有一定的意义和价值。

1无线校园网安全的重要性

伴随着信息时代的到来, Internet提供的互联性和开放性使信息的交换与共享成为现实, 同时为社会带来了巨大的经济效益。然而, 信息的安全保密问题也日益突出, 并引起全球的普遍关注。保护网络安全和信息安全己经成为人们日益关注的核心问题。目前, 计算机网络面临的最主要的安全风险包括两方面:一是信息在传输时被窥探或非法修改;二是来自公网对内部网的非法访问和攻击。

首先, 校园网的主要面对者是学生, 对于学生这个群体来说, 年轻、聪明、好动、要强、爱尝试, 思想与是非观念不成熟等等是这个群体的主要特征。而这个年龄的人恰恰是攻击者入侵者最多发的年龄阶段。其次, 校园网的特点是面积广、高速、使用者多而且集中, 相对于电子商务和政府军事等重要部门的网络来说, 少了些政治和经济色彩。因此, 网络安全相对薄弱一些, 甚至于有些并不重视网络安全, 自身的安全防护能力并不高。可是, 任何成功的入侵都有可能给校园网带来不可预测的后果, 轻则破坏、恶意修改主页, 重则清除数据库、重要文件, 窃取科研和考试秘密, 甚至使校园网络彻底瘫痪, 给学校的形象和实际使用带来严重的后果。

2VPN技术

2.1VPN介绍

VPN (Virtual Prirate Network) 虚拟专用网能够保证数据在公共网络上的安全传输, 保证数据的完整性、保密性和访问控制。VPN网络的任意两个节点间的连接并没有传统的专用网络所需的端到端的物理链路, 而是架构在公用网络服务商提供的网络平台之上的逻辑网络, 用户数据在逻辑链路中传输, 因此, 它具有虚电路的特点, 而VPN本身的协议可以处理数据包, 并对其有效负载加密, 将数据包发送到旧的地址。

2.2IPSec技术

IPSec是因特网工程任务组于1998年11月公布的安全标准。其目的是为了给IPv4和IPv6网络层提供高质量的、可互操作的、基于密码学的安全性机制。IPSec在IP层提供多项安全服务, 包括访问控制、无连接完整性、数据源验证、抗重播、机密性等。IPSec的安全服务是由通讯双方建立的安全关联 (SA) 来提供的。SA为双方的通信提供了安全协议、模式、算法和应用于单向IP流的密钥等安全信息。SA通过安全关联库 (SAD) 来进行管理。每一个安全主机包含有一个局部的安全策略库 (SPD) 。IPSec系统在处理输入/输出口流时必须参考该策略库, 并根据从SPD中提取的安全策略 (SP) 对IP流进行不同的处理:拒绝、绕过、进行IPSec保护。如果SP决定IP流需要经过IPSec处理, 则根据SPD与SAD的对应关系, 找到相应的SA, 并对IP包进行指定的IPSec处理。

3无线局域网的VPN方案分析

3.1WEP与IPSec的结合方案

WEP协议有线对等私密协议 (Wired Equivalent Privacy, WEP) 是802.11标准中用来保护无线传输过程中的

链路级数据的协议, WEP依赖通信双方共享一个秘密密钥保护传输帧中用户数据。

在WEP中实施IPSec协议需要的开销比较大, 可能会延迟数据的处理, 因此在实际的应用中应对数据进行安全级别的分类。根据数据的安全级别来确定是否需要对数据进行更高层次的安全保护。为了能在WLAN中对不同安全级别用户数据包实施安全保护, 可以增加一台专用WLAN服务器承担所有用户的认证。对一般用户仅采用WEP协议, 但也由WLAN服务器进行认证并加密;对WLAN内部较高级别的固定客户, 通过WLAN服务器在网络层使用AH或ESP协议的传输模式来实现接入认证以保护防止其内部攻击。对一般WLAN用户, 在网络层使用AH或ESP协议的通道模式来实现用户的接入认证以防止外部攻击;对需要在不同网段通信而安全性要求又高的移动用户, 还可以使用IPSec的嵌套通道方式来构造VPN, 从而实现接入认证和数据加密机制以防止外部攻击。

3.2无线局域网的VPN方案安全分析

在无线局域网中加入了IPSec VPN客户端和服务器后, 专有VPN客户端的STA和服务器的通信协议栈。应用层的通讯数据首先经过TCP或者UDP层, 封装成TCP或者UDP数据包。到达IP层后, 把数据分片, 封装成IP报文, 发送到IPSec层。IPSec层根据SPD和SADB对数据进行IPSec封装。最后由以太网卡或无线网卡发送出去。经过IPSec封装后的所有数据 (包括新的IP头信息) 都进行了验证。

无线局域网的VPN方案的主要思想是假设底层的无线局域网设各不提供任何安全, 所有的安全特性由IPSec VPN在网络层来提供端到端的安全来保证。由于IPSec VPN本身具有对数据的安全传输特性, 对数据进行加密和验证, 保证数据的机密性, 完整性和认证该方案的最大优点是提供向后兼容性, 因为方案与底层的协议无关。但值得指出的是, VPN方案并不能解决一切问题。首先, 对链路层的攻击无能为力。例如底层的拒绝服务攻击, 攻击者可以向STA或AP发送断开关联消息, 正常的通讯过程就会被异常终止。为此, 在VPN方案中。最好在链路层使用WEP对数据进行加密增加攻击的难度, 需要链路层的协议标准解决现有的安全协议缺陷。其次, 一些无线局域网设备, 例如PDA并不支持VPN, 限制了本方案应用范围。再者, VPN是一种比较复杂的网络安全设备, 需要用户需要更多的专业知识来管理对于家庭用户和小商业机构来说是不现实的。

3.3无线局域网VPN部署方案

在有线网络中, VPN在技术和商用上都比较成熟, 对于多校区的校园网可以通过有线VPN方式实现互连。在校园网内部VPN同样起着比较大的作用, 对于无线校园网部分可以看成与外部Intcmet一样不安全的公用网, 并将整个无线局域网放在防火墙外, 无线连接只有通过VPN才能访问内部网络和使用其它网络服务, 具体的部署方案如图1所示。

WLAN与外部Interact网络一样不安全, 因此, 无线局域网VPN部署方案中, 需从物理上把WLAN部署在防火墙外, 而将VPN网关置于DMZ区域中。无线用户只有在成功通过VPN网关的身份认证之后, 才能访问内部的网络资源。访问外部网也只有在通过身份认证后才允许, 以防止非授权的无线连接占用出口网络带宽资源。为了保障网络的安全, 管理员可以在无线用户和VPN网关之间建立一条安全隧道, 其中的数据经过加密和认证, 可有效防止敏感数据在无线频段范围内被窃听和篡改。

4结束语

无线网络作为有线网络的有机补充, 为学院师生提供了更加便利、高效的服务。但无线网络相对于有线网络具有特殊性, 因此, 无线网络也应具有特殊的、有针对性的安全策略和安全机制。学院在网络设计中, 应根据自身实际情况, 正确、高效地设计无线网络安全方案, 使无线网络和有线网络能够更好地配合, 使用户在享受网络带来快捷、便利、高效的服务的同时, 也能享有安全的网络信息。

参考文献

[1]伍永锋.无线局域网在高校信息化建设中的应用探讨[J].福建电脑, 2004 (5) .

[2]张东黎.无线网络安全与认证[J].网络安全技术与应用, 2004 (5) .

[3]阮洁珊.无线局域网技术及其安全机制分析[J].计算机与现代化, 2004 (3) .

篇2：校园网VPN规划与实现

虚拟专用网 (VPN) 是信息安全基础设施的一个重要组成部分, 是一种普遍适用的网络安全基础设施。目前, 一些企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性, 但存在不少的安全隐患[1]。因此针对现有VPN系统无法满足校园网安全使用的问题, 深入分析、研究了VPN系统中的关键技术和主要功能, 构建了一种基于PKI的校园网VPN系统的体系架构。

2、系统框架设计及系统功能模块描述

2.1 系统框架设计

VPN系统需要解决的首要问题是网络上的用户与设备都需要确定性的身份认证。错误的身份认证。不管其他安全设施有多严密[2]。将导致整个VPN的失效, IPSec本身的因为它的身份认证规模较小、比较固定的VPN上是可行的, 把PKI技术引进VPN中是为了网络的可扩展性和保证最大限度的安全, CA为每个新用户或设备核发一张身份数字证书, 利用CA强大的管理功能, 证书的发放、维护和撤销等管理极其容易, 借助CA, VPN的安全扩展得到了很大的加强[3]。传统的VPN系统中, 设备的身份是由其IP地址来标识的。

2.2 系统功能模块描述

从软件结构上分VPN网关系统分为应用层模块和内核层模块, SAD手工注入接口模块和密钥管理程序模块为运行在应用层的软件模块[5]。IPSEC处理模块 (包括策略管理模块、IPSEC基本协议及密码算法、IPSEC协议引擎) 、CA模块和防火墙模块为运行在内核层的软件模块。

3、V P N系统分析

3.1 系统的需求分析

师生们越来越多地走出校园。他们也可能需要用到校园内部专用网络资源。这是因为随着我校的发展、项目的合作以及文化的交流越来越频繁, 通过校园网VPN网统在公共网络中建立的可保密、控制授权、鉴别的临时安全虚拟连接, 它是一条穿越相当混乱的公用网络的安全隧道, 是高校内部网的扩展, 采用通道加密技术的VPN系统, 通过基础公网为使用高校提供安全的网络互联服务。这样师生们很方便的访问我校内网的网络资源, 而且相对专用网、校园网VPN系统大大降低成本;相对Internet通信, VPN系统又具有相当高的安全性。

3.2 流程分析设计

想要使PKI和IPSec结合, 就要在DOI中定义必须的PKI属性, 通过密钥交换, 实现PKI与IPSec的结合。具体过程: (1) 将PKI的认证、机密性和完整性协议定义为PKI专用数据, 并把它们置于DOI字段中, 同时加载证书字段, 生成带PKI性能的IKE载荷; (2) IKE进行野蛮模式或者主模式交换, 互换证书, 建立IKESA; (3) 双方用公钥检查CA和证书中的身份信息在证书上的数字签名; (4) 用公开密钥加密算法验证机密性; (6) 用数字签名算法验证完整性; (6) 协商一致后, 生成具体的SA。IPSec与PKI结合后, 在密钥交换过程中, 通过交换证书的方式交换了公钥和身份信息, 验证数字签名、机密性和完整性, 从而充分的保证了信息来源的可信度、完整性等, 同时, IPSec配置文件中实现与多数用户的通信, 只需少数的CA证书即可。

在解决以上技术后, 通信双方按以下步骤来进行安全通信: (1) 身份数字证书由CA向VPN的通信双方签发, 并将被存放到LDAP录服务器供相关的应用来访问; (2) 属性证书由RA、CA向VPN的通信双方签发, 它们规定了双方的访问权限, 也被存放到LDAP目录服务器供相关的应用来访问; (3) 通信双方交换身份数字证书, 并验证对方的身份 (可以通过CA来实现) , 检查证书不在CRL名单之列; (4) 访问LDAP目录服务器得到通信双方的属性证书, 由RA、CA检验属性证书是否允许双方建立连接; (5) 若身份数字证书和属性证书全都通过验证, 则通信双方建立安全隧道连接; (6) 通信双方第一次连接时, 分别产生相应的SA, 并由IKE交换密钥; (7) VPN网关依据发送方应用程序传来的IP包查询SPD数据库, 然后决定对该IP包采取什么策略, 如果该策略说明该IP包需要进行安全保护, 则利用SA中指定的算法, IP包中的数据在ESP中加密, 随后产生相应的AH。数据包加密后, 经由安全隧道发送给对方; (8) 在接收方, VPN网关根据IP头中的AH和ESP部分提取出<安全参数指数 (SPI) , IP目的地址, 安全协议标识符 (SPID) >元组查询SADB, 并得到SA, 若正确返回SA, 则检查AH, 这样可以验证数据源和数据完整性, 进行ESP解密, 查询SD (根据所得数据的IP地址来实现) , 若符合处理策略, 取出原始数据传给接受方应用程序。VPN网关对IP数据包的处理过程电子商务教学模拟系统。

4、结语

本文从互联网的发展说明VPN技术产生的背景和意义, 再对VPN的相关技术、协议进行研究与分析。在此基础上, 结合校园网络的实际情况, 提出了一个基于PKI校园网VPN系统的实现方案以利用VPN安全技术突破校园专用网的区域性限制来解决校园网存在的一些问题。同时根据提出的方案给出了一个校园网VPN实现的实例, 并对该实现过程进行了检验和分析, 在一定程度上验证了所提方案的有效性。

参考文献

[1][钱爱增.PKI与VPN技术在校园网内部资源安全问题中的应用研究.中国教育信息, 2008 (9) :77-80.

篇3：VPN技术在校园网中的实现

本校的办学规模正在扩大,由原来的一个校区增加到目前的两个校区。校园本部所有内部机器都是通过代理服务器连接因特网的。对于内部计算机来说,使用私用I P地址,可以相互共享资源。但是对于远程用户,没有固定的公共I P地址,虽然可以访问校本部代理服务器,却不能访问校内局域网以及办公室计算机。对于分校区而言,其校园网分布与本部相似,都是通过代理服务器连接因特网,其内部计算机可以访问校本部网站,但同样不能访问内部资源。各个校区的办公室机器彼此间无法互相访问。

1 VPN概述

将VPN应用于现有网络时,需要考虑诸多因素:首先,要考虑的是网络的整体规划。对用户的访问规则做出了规划,VPN的实现也需要这种规划。其次要考虑网络的安全性。所有的VPN方案都要达到一定的安全性。但是网络的安全性越高,利用该网络传送数据就越困难。因此,必须在两者之间找到一个平衡,做到既能满足数据的传送,同时也能保证数据的安全。第三,要考虑搭建好的网络在使用过程中的兼容性和扩展性。这也是VPN整体设计时主要考虑的内容,目的是如何在现有网络的基础上使VPN方案最好的运作。

2 技术实现

根据VPN作用的不同。可以将VPN分为三类,分别是:传统的远程访问网络(Access VPN),企业内部的I nt r anet(I nt r anet VPN)和多个企业网所构成的Ext r anet(Ext r anet VPN)[1]。通过对现有网络现状的分析可以得知,在校园网基础上设计VPN需要将远程访问网络(校园网用户在校外远程访问校园网)和学校内部的校园网(使用VPN后,两个校区的网络看成是学校校园网处于不同地区的两个组成部分)这两个网络模式相结合。对于校园网来说,目前还没有Ext r anet网络结构的需求。所以,在现有校园网基础上建立VPN,可以采用Access VPN和I nt r anet VPN。

2.1 两个校区之间互相访问的VPN

新校区和老校区之间建立I nt r anet VPN,可以通过I nt er net这一公共网络将新校区的专用网络和老校区的专用网络相连,以实现学校内部的资源共享、数据传送和信息交流。这样既可以解决开放路由器对访问范围限制的问题,又可以对数据的传输起到保护作用,而且因为不需要使用专线还节省了一部分开支。

在两个校区之间建立的VPN,访问策略上允许两地之间的所有用户互访,像在一个局域网络内一样。安全性级别不要求太高,因为安全级别越高,数据传送难度越大,开销也会越大,尤其在很多用户使用VPN网络时。虽然使用I PSec和L2TP的安全性比PPTP的安全性要高,但是考虑以上几点还是使用PPTP更容易实现,所以两个校区之间的VPN连接使用PPTP协议。

结合现有的网络结构,在两地之间建立VPN。需要在通信两端的VPN设备中配置路由,使所有对对方校区的访问都通过VPN。虽然鉴于校园网用户大多使用的是WI NDOWS系统平台,可以利用Wi ndows系统在两地分别建立VPN路由,但考虑到VPN的稳定性以及设备的数据交换能力,具有VPN功能的路由器是较好的选择。数据传输隧道在两个校区具有VPN功能的路由器之间建立,两端的路由器则起到一个封装和解包的作用[2]。由于上述原因,在两个校区之间建立VPN的时候,采用了带VPN功能的路由器来实现。通过对两地的路由器进行路由、安全帐户、ACL及协议的适当配置,在老校区路由器和新校区路由器之间建立一条专用虚拟链路。当老校区的用户访问新校区网络时,根据老校区VPN路由器上的静态路由,用户可以通过在两个校区之间建立的专用虚拟隧道,到达新校区的路由器,新校区的路由器分配给该用户一个新校区校园网的I P地址,并根据用户的帐户身份等信息检查相应的权限和配置,然后根据检查结果赋予用户相应的访问权限。

2.2 远程用户访问VPN服务器。

在校园网内部建立VPN服务器,远程和移动用户利用VPN客户端应用程序,通过开放的公共I nt er net建立一个安全的虚拟连接,连接到校园网内,这就是使用Access VPN的方式。也就是说,用户只须通过当地的I SP接入I nt er net的方式就可以访问远程的校园网了。在这种方式下,用户不需担负额外的费用,只需支付接入当地I SP公网的费用就可以了,同时也提高了数据传输的安全性。

从校园网的安全策略来讲,有些资源是只允许校内用户使用的。为了解决这种策略下的网络地域限制,我们采用VPN技术。由于需要访问校园网内资源的远程用户或者移动用户的I P地址不是固定的,要使远程和移动用户通过VPN接入校园网,一种方法是通过I SP提供隧通,在校园网路由器上设置隧道终端;另一种方法是在用户客户端使用VPN软件,配置成隧道开通器,通过I SP接入公网并访问校园网内部的VPN服务器。本章前面提到,在校园网内部建立VPN采用自身建设的方式,所以在这里选择在校园网内建立VPN服务器。

2.3 配置RRAS服务器

由于校园网内的用户使用的操作平台基本上都是wi ndows系列,而其中的RRAS(路由和远程访问服务)可以用来建立使用PPTP或者L2TP的VPN连接,同时包括路由器到路由器以及用户到远程访问服务器这两种方式的VPN连接。因此,在校园网内部使用Wi ndows 2003 Ser ver建立VPN服务器,而终端用户只要在Wi ndows系列的平台上配置成为一个VPN客户端,就可以通过远程VPN服务器访问校园内网资源。

因此,要在校园网内建立一个提供接入VPN的服务器,首先要求自身能够与I nt er net直接相连,并且从I nt er net上可以直接访问到它;其次它还需要可以和校园网内的其它主机相连,使得远程用户通过该服务器可以进入校园网内。建立这个远程访问的VPN服务器,主要是为了解决校园专用网的地理区域限制,方便远程用户或移动用户对校园网的异地访问,网络安全方面的要求相对来说并不是太高。并且对广大的网络用户来说,使用VPN服务器的操作应该相对简单、比较容易实现。所以选择操作平台建立PPTP的VPN连接。因为Mi cr osof t Wi ndows支持的首选VPN协议就是PPTP,实现性、操作性和兼容性都比较符合。

通过使用RRAs对VPN服务器进行配置,首先要给定VPN服务器一个固定的静态I P地址,这个I P地址可以是I nt er net上的公网地址。其次还要选择合适的用户身份验证,可以选择的是“Wi ndows身份验证”和“RADI US身份验证”,在使用“RADI US身份验证”时,可以单独使用一台计算机作为“RADI US身份验证”的服务器。验证协议则可以使用其缺省的两个协议:MS-CHAP或MS-CHAP V2。此外,还要对接口的筛选器和安全访问策略进行相应的配置,这也是很重要的一个环节,筛选器和访问策略配置的对错与好坏,不仅关系到VPN服务器是否可以正常使用,还关系到访问权限和访问安全的问题。在设计策略的时侯,可以根据用户所在的组、用户帐户名、请求服务的协议类型、物理源端口等属性,对不同的用户分配不同的访问权限。

3 结束语

随着互联网技术的日益发展,因特网已成为企业和个人的重要通信手段,企业既要充分利用这种发展,又要确保通信受到保护。越来越多的分支机构和移动办公人员的出现,也使企业需要重新考虑其广域网战略。VPN技术就是在这种形势下应运而生的,它使企业、学校、行政部门能够在公共网络上创建自己的专用网络,使得办公效率得到了很大的提高[3]。

摘要：本文论述了VPN系统的特点和适用范围分析了校园网的现状及存在的问题。为了更好地解决学校移动办公、远程办公、校区间通信和资源共享以及通信安全等问题,同时考虑到减少费用和管理配置灵活,决定组建VPN校园网。

关键词：校园网,隧道技术,VPN

参考文献

[1]倪剑虹,吕光宏.基于VPN的不同实现方式的技术研究[J].计算机应用研究,2005,(7).

[2]辛丽华.MPLS VPN组网技术及应用[J].山西电信科技,2005,(4).

篇4：校园网VPN规划与实现

1 VPN概念

1.1 VPN概念

VPN的英文全称是Virtual Private Network, 中文名称是虚拟专用网。虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中, 任意两个结点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用公用网的资源动态组成的。

1.2 VPN隧道技术

隧道技术类似于点对点连接技术, 它通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中, 像普通数据包一样进行传输实现跨越公共网络传送私有数据包的目的。经过这样的处理, 只有源端和宿端的用户对隧道中的嵌套信息进行解释和处理, 而对于其他用户而言只是无意义的信息。被封装的数据包在公共网络上传递时所经过的逻辑路径成为隧道。

目前较为常用的隧道技术有:

(1) IP网络上的SNA隧道技术。当系统网络结构的数据流通过单位IP网路传送时, SNA数据帧将被封装在UDP和IP协议包头中。

(2) IP网络上的Novell Net Ware IPX隧道技术。当一个IPX数据包被发送到Net Ware服务器或IPX路由器时, 服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。另一端的IP-TO-IPX路由器在删除UDP和IP包头后, 把数据包转发到IPX目的地。

隧道一旦建立, 数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议传输数据。例如, 当隧道客户端向服务器端发送数据时, 客户端首先给负载数据加上一个隧道数据传送协议包头, 然后把封装的数据通过网络发送, 并由网络将数据路由到隧道的服务器端。隧道服务器端收到数据包之后, 删除隧道数据传输协议包头, 然后将负载数据转发到目标网络。隧道有自愿隧道和强制隧道两种。

(1) 自愿隧道。用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时, 用户端计算机作为隧道客户方成为隧道的一个端点。当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的, 客户端计算机必须安装适当的隧道协议。自愿隧道需要有一条IP连接。

(2) 强制隧道。由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时, 用户端的计算机不作为隧道端点, 而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端, 成为隧道的一个端点。

2 VPN组网

VPN组网模式主要有单臂连接模式, 路由连接模式和网桥连接模式三种。

2.1 单臂连接模式

“单臂连接”模式是用户已有防火墙等设备时的部署方式。“单臂连接”模式是把安全网关设备当作一台服务器或主机, 专门处理VPN报文的加解密。从实现技术上而言, 单臂连接结合了串行连接和并行连接两者的优势, 实现了部署和性能的最优化。

2.2 路由连接模式

“路由模式”是指VPN网关内外网接口路由不同, 网关本身要作为路由器或NAT转换设备, 实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。

2.3 网桥连接模式

“网桥模式”是指安全网关接入在防火墙 (路由器) 与内网之间, 透明转发除VPN报文之外所有数据的一种连接方式。

在进行VPN组网时, 我们可以依据实际情况将三种模式互相组合, 来构建最快捷最便利的虚拟专用网络。

3 VPN网络安全防护

3.1 VPN网络安全技术

目前VPN主要采用四项技术来保证安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 和使用者与设备身份认证技术 (Authentication) 。

(1) 加解密技术。加解密技术是数据通信中一项较成熟的技术, VPN可直接利用现有的技术。VPN采用何种加密技术依赖于VPN服务器的类型, 可分为两种情况:1) PPTP服务器采用MPPE加密技术。MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在MS-CHAP、MS-CHAPv2或EAP/TLS身份验证被协商之后, 数据才由MPPE进行加密, MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。2) L2TP服务器使用IPSec机制对数据进行加密。IPSec对使用L2TP协议的VPN连接提供计算机级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前, IPSec在计算机及其远程VPN服务器之间进行协商。

(2) 密钥管理技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则, 在网络上传输密钥;在ISAKMP中, 双方都有两把密钥, 分别用于公用、私用。

(3) 使用者与设备身份认证技术。身份认证技术是最常用的是使用者名称与密码或卡片式认证等方式。常用的VPN进行身份验证的方法有:1) CHAP。CHAP通过使用MD5来协商一种加密身份验证的安全形式, CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法, 可以向服务器证明客户机知道密码, 但不必实际地将密码发送到网络上。2) MS-CHAP。MS-CHAP是为了对远程Windows工作站进行身份验证, 它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。3) MS-CHAP v2。MS-CHAP v2提供了相互的身份验证和更强大的初始数据密钥, 而且发送和接收分别使用不用的密钥。如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法, 那么客户端和服务器端都要证明其身份, 如果所连接的服务器不提供对自己身份的验证, 则连接将被断开。4) EAP。EAP的开发是为了适应对使用其它安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用EAP, 可以增加对许多身份验证方案的支持, 其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说, 使用EAP可以防止暴力或词典攻击及密码猜测, 提供比其他身份验证方法更高的安全性。

3.2 VPN网络防护策略

(1) 增强客户端自身安全性能。客户端自身的安全性成为安全防护的首要因素, 特别是移动的客户端。客户端必须安装防病毒软件、最新的补丁或单机版防火墙之后才能够使用VPN接入内网。VPN网络最好安装内网安全防御系统, 对客户端进行更深层次安全检查, 包括非法外联检查、非法安装软件检查、非法运行程序检查、非法网关检查、连接后自动切断其他网络连接等。建立一套完整的VPN客户端安全检查机制, 是VPN网络安全防护的第一道大门。

(2) 加强隧道内攻击防范。在VPN产品的选择上要高度重视设备的安全性能, 设备要具备对所有隧道内的访问进行监控功能, 一旦发现攻击, 可及时处理并阻止其访问, 例如端口扫描攻击、PING大包攻击等。要对隧道内的通信进行关键字的过滤, 禁止符合特征的攻击包进入内部网络。对HTTP/FTP/SMTP/POP3/TELNET等应用协议进行过滤, 并支持对所有七层协议的特征进行过滤。隧道内攻击防范是VPN网络安全的核心所在, 是VPN网络安全防护最重要的环节。

(3) 加强使用者与设备身份绑定。加强用户访问VPN网络之前的身份认证也是十分重要的。例如我们可以采取多重认证方法来保护VPN内网信息资源安全。用户通过口令、证书、USBKey对普通服务器进行访问, 如果需要访问重要的安全性要求高的信息资源, 系统可要求用户再进行一次认证, 这样可以对重要信息资源多一层保护。另外我们还可以对客户端电脑硬件特征进行提取并绑定, 使客户端只能通过指定电脑进行VPN登录, 其他设备即便拥有口令、证书等, 仍然无法登录VPN网络。这不仅进一步确认了登录终端的身份, 更提高了安全性。

VPN网络相对传统的“专用网络”而言不再需要拥有实际的数据线路, 是目前解决远程接入和通信安全的最有效手段。安全使用VPN设备, 构建虚拟办公专用网, 可改善工作环境, 提高工作效率, 使得工作更加方面与快捷。

摘要：如今, 随着信息化建设发展迅速, 网上办公已是很普遍的事情。网上办公快捷, 迅速, 大大提高了办公效率。随着网络办公的普及化越来越多的数据信息, 其中不乏保密数据在局域网上传输。为确保传输数据安全性, 建立办公专网是最好的办法。本文就如何使用VPN技术实现办公专网的组网, 以及在组建VPN网络时应注意的安全问题和要进行的防范措施进行了研究与探讨。

关键词：VPN,办公专网,虚拟专用网,隧道,VPN组网,VPN安全,VPN防范

参考文献

[1]韦文思, 徐津主编《.信息安全防御技术与实施》, 北京:电子工业出版社, 2009.6.

[2]熊平主编《.信息安全原理及应用》, 北京:清华大学出版社, 2012.1.

[3]甘刚, 王敏等主编《.网络攻击与防御》, 北京:清华大学出版社, 2010.8.