第一篇:VPN是什么意思,VPN有什么用?
VPN是什么意思,VPN有什么用?
VPN是什么意思?
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”.顧名思義,虛擬專用網絡我們可以把他理解成是虛擬出來的企業內部專線.----
這一個VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網絡”.顧名思義,虛擬專用網絡我們可以把他理解成是虛擬出來的企業內部專線.他可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或者是多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是他并不需要真正的去鋪設光纜之類的物理線路.這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買(路由器的縮寫)器(局域網中常用的一種設備,可以很好的防止 Arp病毒)等硬件設備.VPN技術原是(路由器的縮寫)器(局域網中常用的一種設備,可以很好的防止Arp病毒)具有的重要技術之一,目前在交換機,防火墻(本站在極力推薦使用瑞星防火墻,如何使用在本站的反毒殺毒里有詳細的介紹)設備或者是WINDOWS2000等軟件(soft)里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網.虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的,安全的連接,是一條穿過混亂的公用網絡的安全,穩定的隧道.虛擬專用網是對企業內部網的擴展.虛擬專用網可以幫助遠程用戶,公司分支機構,商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據(Data)的安全傳輸.虛擬專用網可以用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可以用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網.下面我們結合本站有關思科及微軟關于VPN方面的文章為大家介紹這方面的資訊,更多更豐富的相關方面內容我們將在以后日子里進行補充.針對不相同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(Access VPN),企業內部虛擬網(Intranet VPN)和企業擴展虛擬網(Extranet VPN),這三種類型的VPN分別與傳統的遠程訪問網絡,企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet(外部擴展)相對應.VPN有什么用?
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。
虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。通過將數據流轉移到低成本的壓網絡上,一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時,這將簡化網絡的設計和管理,加速連接新的用戶和網站。另外,虛擬專用網還可以保護現有的網絡投資。隨著用戶的商業服務不斷發展,企業的虛擬專用網解決方案可以使用戶將精力集中到自己的生意上,而不是網絡上。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
目前很多單位都面臨著這樣的挑戰:分公司、經銷商、合作伙伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包括:公司的內部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連接。
第二篇:VPN說明書.
VPN 使用說明書 申請/重置賬號密碼:http://self.cczu.edu.cn/index/addvpnwlan(無賬號或忘記密碼時,進行申請或重置密碼)用戶自助修改密碼:http://219.230.159.60:8080/selfservice(有密碼時,進行修改)中國移動、中國電信、聯通、和教育網用戶請分別點擊上面的圖標進行訪問; 在您首次使用的時候,系統將自動下載安裝插件至所在計算機,請您留意頁面提示并安裝; 當插件安裝完畢之后,正常進入登錄窗口,使用用戶名和密碼進行登錄; 6 登錄成功后,即進入用戶使用頁面,此時即可訪問校內和校外指定資源。7 訪問校內資源時請不要關閉本頁;訪問結束后請及時退出。vista系統使用需進行以下操作:通過把“控制面板”--“用戶帳戶”--“打開或關閉?用戶帳戶控制?”中的選項去掉即可,即不要選中“使用用戶帳戶控制(UAC)幫助保護您的計算機”,點“確定”,從新啟動計算機。9 使用GHOST安裝操作系統的用戶,可能會無法使用sslvpn。
注意事項:
一、若成功登錄后,不能正常下載及瀏覽文件,請首先確認您的計算機上是否已經安裝相應的文件瀏覽器或閱讀器;
二、若不能正常安裝請查看以下說明:
1、瀏覽器安全級別太高,請到中或默認級別,或調整以下設置: A、瀏覽器禁止下載ActiveX控件,設設置允許下載控件;
B、瀏覽器禁止運行ActiveX控件,設設置允許運行控件;
C、瀏覽器禁止ActiveX控件執行腳本,設設置允許執行腳本;
2、瀏覽器插件攔截控件下載,如上網安全助手等,請設置允許下載
3、可瀏覽器安全中將本頁為信任站點
4、瀏覽器要求使用IE5以上版本
5、本系統支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系統
四、因帶寬不足,為提高速度,提高訪問效率,請不要在校內使用;不使用時請及時退出系統;10分鐘內如不使用本系統,系統將自動斷線。
五、如果長時間不能建立隧道,或者不能獲取ip地址,請將防火墻和殺毒軟件先行關閉或者卸載,成功連接后,再次把防火墻和殺毒軟件打開或安裝。
六、如有疑問請撥打:86330350
第三篇:VPN研究報告
一、前言
互聯網的普及、移動通信技術的進步、信息化程度的提高,使全世界的數字信息高度共
享成為可能。中國高校也越來越重視數字化校園的開發,依托先進的網絡技術開展電化教學、電子教學資源的建設。而作為電子教學資源的重點之一,電子圖書館的建設已經成為當今數字化校園建設的新亮點。國內很多高校近幾年都從網上購置了大量的電子數據供廣大師生開展教學研究。這些資源對于學校學科建設和科學研究工作有很重要的意義,數字圖書館的建設和應用已經成為高校信息化建設和現代教育技術改革工作的一大重點。
二、選題背景
隨著教育信息化的深入,很多學校都建立了校園網,為了實現校內資源優化整合,讓師
生們更好的進行工作和學習,他們需要在校園網內部或在校外的遠程節點上,隨時享受校園網內部的各項服務,然而由于互聯網黑客對各高校的資源虎視眈眈,在沒有經過任何允許的情況下,黑客們很容易就潛入校園網內部進行搗亂,為此,多數校園網都不會將自己的各種應用系統和所有信息資源完全開放,因為這樣讓整個校園網面臨無以估量的破壞性損失,為了網絡安全考慮,將vpn技術應用于基于公共互聯網構架的校園網,可以較好的解決校園網多校區、遠程訪問、遠程管理等問題。
三、vpn簡介
虛擬專用網(vpn)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安
全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
四、vpn功能
vpn可以提供的功能: 防火墻功能、認證、加密、隧道化。
vpn可以通過特殊的加密的通訊協議在連接在internet上的位于不同地方的兩個或多個
企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。vpn技術原是路由器具有的重要技術之一,在交換機,防火墻設備或windows 2000等軟件里也都支持vpn功能,一句話,vpn的核心就是在利用公共網絡建立虛擬私有網。
五、vpn常用的網絡協議
常用的虛擬私人網絡協議有:
ipsec : ipsec(縮寫ip security)是保護ip協議安全通信的標準,它主要對ip協議分組進行加密和認證。ipsec作為一個協議族(即一系列相互關聯的協議)由以下部分組成:(1)保護分組流的協議;(2)用來建立這些安全分組流的密鑰交換協議。前者又分成兩個部分: vpn加密分組流的封裝安全載荷(esp)及較少使用的認證頭(ah),認證頭提供了對分組流的認證并保證其消息完整性,但不提供保密性。目前為止,ike協議是唯一已經制定的密鑰交換協議。
pptp: point to point tunneling protocol--點到點隧道協議。在因特網上建立ip虛擬專用網
(vpn)隧道的協議,主要內容是在因特網上建立多協議安全虛擬專用網的通信方式。l2f: layer 2 forwarding--第二層轉發協議
l2tp: layer 2 tunneling protocol--第二層隧道協議 gre:vpn的第三層隧道協議
六、vpn研究問題
? vpn如何解決校園網安全風險
對于校園網而言,它雖然給師生帶來了資源共享的便捷,但同時也意味著具有安全風險,比如非授權訪問,沒有預先經過授權,就使用校園網絡或計算機資源;信息泄漏或丟失,重要數據在有意或無意中被泄漏出去或丟失;以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息;不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓;利用網絡傳播計算機病毒等。那么,校園網利用vpn技術方案,是否能避免校園網的潛在安全隱患,杜絕上述情況的發生呢?
vpn即虛擬私有網絡技術,它的安全功能包括:通道協議、身份驗證和數據加密,實際工作時,遠程外網客戶機向校園網內的vpn服務器發出請求,vpn服務器響應請求并向客戶機發出身份質詢,客戶機將加密的響應信息發送到vpn服務端,vpn服務器根據用戶數據庫檢查該響應,如果賬戶有效,vpn服務器將檢查該用戶是否具有遠程訪問的權限,如果該用戶擁有遠程訪問的權限,vpn服務器接受此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。簡單來說,vpn可以通過對校園網內的數據進行封包和加密傳輸,在互聯網公網上傳輸私有數據、達到私有網絡的安全級別。? 選擇ipsec vpn還是ssl vpn 校園網vpn方案可以通過公眾ip網絡建立了私有數據傳輸通道,將遠程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來,減輕了校園網的遠程訪問費用負擔,節省電話費用開支,不過對于端到端的安全數據通訊,還需要根據實際情況采取不同的架構。一般而言,ipsec vpn和ssl vpn是目前校園網vpn方案采用最為廣泛的安全技術,但它們之間有很大的區別,總體來說,ipsec vpn是提供站點與站點之間的連接,比較適合校園網內分校與分校的連接;而ssl vpn則提供遠程接入校園網服務,比如適合校園網與外網的連接。
從vpn技術架構來看,ipsec vpn是比較理想的校園網接入方案,由于它工作在網絡層,可以對終端站點間所有傳輸數據進行保護,可以實現internet多專用網安全連接,而不管是哪類網絡應用,它將遠程客戶端置于校園內部網,使遠程客戶端擁有內部網用戶一樣的權限和操作功能。ipsec vpn還要求在遠程接入客戶端適當安裝和配置ipsec客戶端軟件和接入設備,這大大提高了安全級別,因為訪問受到特定的接入設備、軟件客戶端、用戶認證機制和預定義安全規則的限制。而且這些ipsec客戶端軟件能實現自動安裝,不需要用戶參與,因而無論對網管還是終端用戶,都可以減輕安裝和維護上的負擔。? vpn為校園網帶來哪些應用
在校園網中,通過vpn給校外住戶、分校區用戶、出差遠程辦公用戶、遠程工作者等提供一種直接連接到校園局域網的服務。那么,vpn能為校園網帶來哪些具體應用優勢呢?首先就是辦公自動化,比如校園辦公樓共有40個信息點,此時可以通過校園網連至internet用戶,實現100m甚至1000m到桌面的帶寬,并對財務科、人事科等科室進行單獨子網管理。還可以利用vpn在校園網內建立考試監控系統、綜合多媒體教室等,比如學校具有兩個多媒體教室,每個教室60臺pc,通過校園網上連至internet,實現遠程多媒體教學的目的。也可以將學生、教職工宿舍區的pc通過校園網上連至internet,而不進行任何布置。
校園網采用vpn技術可以降低使用費,遠程用戶可以通過向當地的isp申請賬戶登錄到internet,以internet作為通道與企業內部專用網絡相連,通信費用大幅度降低;學校可以節省購買和維護通信設備的費用。現在很多大學都有多個分校,各個分校和培訓場所網絡整合使學校的信息化管理成本必然的增加,比如學校的數據存儲,許多學校都采用了分布式存儲方式,其具有較低的投資花費和軟件部署的靈活性,然而其管理難度高,后期維護成本高,如果采取vpn服務器,可以對各分校進行web通訊控制,同時又可以實現分校訪問互通。為了讓師生共享圖書資源,與國外高校合作交換圖書館數據,以及向國外商業圖書館交納版權費,獲得更多電子文獻資料的瀏覽權,很多高校都建立了數字圖書館,但在應用上也會產生相應的約束性,比如說為了保證數據信息的知識產權,瀏覽者必須是已繳納版權費的本校內網地址,或則被校方授權過的內部合法師生,此時采用vpn加密技術,數據在internet中傳輸時,internet上的用戶只看到公共的ip地址,看不到數據包內包含的專用網絡地址。不僅可以實現將校園網的連續性擴展到校外;在校外可以訪問校內未向互聯網開放的資源。同時又確保了校園數字圖書館的易用性和安全性。? vpn支持哪種校園網接入方式
在教育機構的校園網,由于不同地區、不同學校的條件不同,它們選擇的網絡接入方式也有差異,比如條件不大好的中小學校,可能還在采取模擬電話、isdn、adsl撥號上網,而對于條件好的高校,則采取了光纖或ddn、幀中繼等專線連接,那么,vpn方案到底支持哪種接入方式呢?實際上,vpn可以支持最常用的網絡協議,因為在internet上組建vpn,用戶計算機或網絡需要建立到isp連接,與用戶上網接入方式相似,比如基于ip、ipx和netbui協議的網絡中的客戶機都能使用vpn方案。
七、vpn在校園圖書館系統中的調查分析
數字圖書館的版權問題不容忽視,不管什么類型的圖書,都要遵循數字版權保護(digital rights management,drm)的規定,通過安全和加密技術控制數字內容及其分發途徑,從而防止對數字產品非授權使用。
正是在這樣一種保護知識產權的背景下,高校圖書館所購買的電子資源大部分都有限制訪問的ip地址范圍。即:
1、采購的這些數據庫不是存放在圖書館服務器上,而是存儲在提供商的服務器上,圖書館支付費用以后,數據庫服務商是根據訪問者的ip地址來判斷是否是經過授權的用戶。
2、只要是從校園網出去的ip地址都是認可的,因為校園網出口ip和部分公網ip地址是屬于這個有限范圍的,所以校園網上的所有上網計算機都可以使用。
3、如果教師、學生在家里上網或者一個老師到外地出差需要訪問這些電子資源,無論采用pstn撥號、adsl、小區寬帶,使用的都是社會網絡運營商提供的ip地址,不是校園網的ip地址范圍,因此數據庫服務商認為是非授權用戶,拒絕訪問。當然,我們也可以要求服務商進一步開放更多的ip地址為合法用戶,但是這要求訪問者的ip地址是固定的、靜態的,而實際上,絕大多數校外用戶使用的都是動態ip地址,是不確定的,所以數據庫服務商無法確定訪問者的合法身份,因而自動屏蔽。
因此,就需要一套可管理、可認證、安全的遠程訪問電子圖書館的解決方案,將校園網當作校外用戶的中轉站,使校外用戶通過鑒權后擁有校內地址再訪問資源數據庫。到底有沒有這樣一種方案呢?虛擬專用網即vpn技術,給了我們很好的答案。vpn是虛擬專用網的簡稱,虛擬專用網不是真的專用網絡,但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠isp(internet service provider 服務提供商)和其它nsp(networkservice provider網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的物理鏈路資源動態組成的。
實際上,目前國內已經有不少高校采用了或者正常嘗試使用vpn技術來解決這個問題,而且大多是采用的ipsec vpn技術。利用ipsec技術,校外用戶在本機安裝一個vpn客戶端軟件后經過配置連入圖書館網絡,ipsec vpn中心端會給每個遠程用戶分配一個校園網ip地址,從而實現遠程用戶以校園網用戶身份訪問電子資源。
雖說ipsec vpn是目前vpn的主流技術之一,但ipsec協議最初是為了解決site to site的安全問題而制定的,因此在此基礎上建立的遠程接入方案在面臨越來越多的end to site應用情況下已經力不從心。
首先是客戶端配置問題:在每個遠程接入的終端都需要安裝相應的ipsec客戶端,并且需要做復雜的配置,隨著這種遠程接入客戶端安裝數量的增多將給網絡管理員帶來巨大的挑戰。雖然一些領先的公司已經解決了ipsec 客戶端難以配置和維護的問題,但是還是無法避免在每個終端上安裝客戶端的麻煩,而且即使這些客戶端很少出問題,但隨著用戶數量的增多,每天需要維護的客戶端絕對數量也不少。
其次是ipsec vpn自身安全問題:往往傳統的ipsec 解決方案都沒有很好的解決移動用戶接入到私有網絡的安全控制問題,這樣就為病毒傳播和黑客入侵提供了很多可能的途徑,并且在如何針對不同用戶身份設定對不同資源的訪問權限上也存在不少缺陷(隨著技術的發展,新興的vpn廠商已經著手改進這些問題并取得了相應的成績)。
然后是對網絡的支持問題:傳統的ipsec vpn在網絡適應性上都存在一些問題,雖然一些領導廠商已經或正在解決網絡兼容性問題,但由于ipsec vpn對防火墻的安全策略的配置較為復雜(往往要開放一些非常用端口),因此客戶端的網絡適應性還是不能做到百分之百完美。
最后是移動設備支持問題:隨著未來通訊技術的發展,移動終端的種類將會越來越多,ipsec 客戶端需要有更多的版本來適應這些終端,但隨著終端種類的爆炸性增長,這幾乎是不可能的。
因此,ssl vpn技術應運而生。ssl vpn的突出優勢在于web安全和移動接入,它可以提供遠程的安全接入,而無需安裝或設定客戶端軟件。ssl在web的易用性和安全性方面架起了一座橋梁。目前,對ssl vpn公認的三大好處是:首先來自于它的簡單性,它不需要配置,可以立即安裝、立即生效;第二個好處是客戶端不需要安裝,直接利用瀏覽器中內嵌的ssl協議就行;第三個好處是兼容性好,可以適用于任何的終端及操作系統。所有的校外用戶只需要打開ie瀏覽器訪問圖書館的internet ip即可成功接入圖書館,ssl vpn技術采用了一種類似代理性質的技術,所有的訪問都是以ssl vpn設備的lan口的名義發起的,所以只要ssl vpn設備的lan口ip是一個合法的校園網ip,所有成功接入ssl的校外用戶都可以成功訪問這個ssl vpn設備lan口所能訪問的資源。
但ssl vpn并不能取代ipsec vpn。因為,這兩種技術目前應用在不同的領域。ssl vpn考慮的是應用軟件的安全性,更多應用在web的遠程安全接入方面;而ipsec vpn是在兩個局域網之間通過internet建立的安全連接,保護的是點對點之間的通信,并且,ipsec工作于網絡層,不局限于web應用。它構建了局域網之間的虛擬專用網絡,對終端站點間所有傳輸數據進行保護,而不管是哪類網絡應用,安全和應用的擴展性更強。從高校應用來看,由于ssl接入方式下所有用戶的訪問請求都是從ssl vpn設備的lan口發起的,對于那些對單個用戶流量有嚴格限制的資源商來說,這些ssl用戶的訪問會被當成一個用戶對待,很快就會因為達到資源商的流量限制而造成該ip被禁用,也就導致所有ssl用戶無法繼續訪問圖書館資源。
那么,高校圖書館應該選擇何種vpn技術以解決目前校外用戶合理訪問圖書館各類資源的需求呢?從目前圖書館使用的情況來看,比較合理的應用方式應該是ipsec和ssl共同使用。
正如我們前面所分析的,上游資源商對于資源的應用是有限制的,除了限制發起請求的ip地址外,還會限制單個ip地址所產生的流量,因此在圖書館大量的校外用戶群中,我們將用戶分為兩個類型,一類是使用圖書館資源較為頻繁、訪問數據量較大的用戶(以教師為主,數量較少),另一類則是使用次數較少、訪問數據不多的用戶(以學生為主,數量較多),通過用戶劃分,我們給訪問量大但數量少的教師用戶分配ipsec接入方式,這樣就可以把大量的用戶流量分配到不同的ip地址上,避免單個ip流量過大造成的問題,而那些數量眾多但訪問量小的學生用戶分配ssl接入方式,利用ssl vpn無需部署客戶端的特性大大降低客戶端的維護工作量,從而實現vpn在圖書館應用的快速部署。經過長時間的測試,華師圖書館選擇使用國內專業vpn廠商深信服科技推出了ipsec/ssl 一體化vpn平臺:sinfor m5100-s。該產品在一臺網關上同時集成了ipsec和ssl vpn功能,利用兩種技術的集成很好解決了圖書館應用的需求,同時一體化的設計能夠大幅度的降低整個vpn產品的投入,滿足教育行業低成本高效率it建設的需求。
八、結論
vpn技術代表了當今網絡發展的最新趨勢,它綜合了傳統數據網絡性能的優點(安全和qos)和共享數據網絡結構的優點(簡單和低成本),能夠提供遠程訪問,外部網和內部網的安全連接,建設與維護費用比專線網絡要低得多.而且,vpn在降低成本的同時滿足了對網絡帶寬,接入和服務不斷增加的需求.根據調查數據表明,用vpn替代租用線路來連接遠程站點可節約20%~47%的開支,這么一種經濟,安全和靈活的技術,在國外圖書館已經逐步普及.在國內,一些高校圖書館也開始應用vpn技術實現多校區圖書館互聯和開展一些遠程文獻信息服務.vpn技術在高校圖書館的應用,必將提高圖書館利用效率,為圖書館的遠程文獻信息服務打開新局面,尤其為多校區圖書館之間資源的共享提供安全,高效,經濟的網絡傳輸和數據訪問途徑.隨著vpn技術的日益成熟,它將在圖書館得到更為廣泛的應用。
第四篇:VPN實驗總結
網絡上關于vpn的原理的文章很多,這里就不再羅嗦了。下面是我最近做vpn實驗的小結:
(一)vpn access server的配置 實驗網絡拓撲:
pc(vpn client 4.01)---switch---router1720(vpn access server)pc配置: ip:10.130.23.242/28
gw:10.130.23.246 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 步驟:
1、配置isakmp policy: crypto isakmp policy 1 encr 3des authen pre-share group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有關參數
cry isa client conf group vclient-group ####vclient-group就是在vpn client的連接配置中需要輸入的group authentication name。key vclient-key ####vclient-key就是在vpn client的連接配置中需要輸入的group authentication password。
pool pool192 ####client的ip地址從這里選取
####以上兩個參數必須配置,其他參數還包括domain、dns、wins等,根據情況進行配置。
4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步對應
6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的參數authorization cry map vpnmap client conf address respond ####響應client分配地址的請求
7、配置靜態路由
ip route 192.168.1.0 255.255.255.0 fastethernet0 說明幾點:(1)因為1720只有一個fastethernet口,所以用router1720上的lo0地址來模擬router內部網絡。
(2)vpn client使用的ip pool地址不能與router內部網絡ip地址重疊。(3)10.130.23.0網段模擬公網地址,172.16.1.0網段用于1720內部地址,192.168.1.0網段用于vpn通道。(4)沒有找到設置vpn client獲取的子網掩碼的辦法。看來是ios還不支持這個功能。(5)關于split tunnel。配置方法:首先,設置access 133 permit ip 172.16.1.0 0.0.0.255 any,允許1720本地網絡數據通過tunnel,然后在第三步驟中添加一個參數:acl 133。1720的完整配置:
VPN1720#sh run Building configuration...Current configuration : 1321 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.!mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!no ip domain-lookup!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration address-pool local pool192!crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192!crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac!crypto dynamic-map template-map 1 set transform-set vclient-tfs!crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map!!interface Loopback0 ip address 172.16.1.1 255.255.255.240!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap!interface Serial0 no ip address shutdown!ip local pool pool192 192.168.1.1 192.168.1.254 ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable!!line con 0 line aux 0 line vty 0 4!no scheduler allocate end VPN Client 4.01的配置:
新建一個connection entry,參數中name任意起一個,host填入vpn access server的f0地址
10.130.23.246,group auahentication中name填vclient-group,password填vclient-key.測試:
(1)在pc上運行VPN client,連接vpn access server。(2)ipconfig/all,查看獲取到的ip地址與其他參數。(3)在router,show cry isa sa,看連接是否成功。
(4)從router,ping client已經獲取到的ip地址,通過。
(5)從client,ping router的lo0配置的地址172.16.1.1,通過。
(6)查看vpn client軟件的status--statistics,可以看到加密與解密的數據量。
(7)1720上show cry ip sa, 也可以查看加密與解密的數據量。
常用調試命令: show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####這是最常用的debug命令,vpn連接的基本錯誤都可以用它來找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
實驗網絡拓撲:
router3662(vpn client)---switch---router1720(vpn access server)pc(vpn client 4.01)------| 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 pc配置: ip:10.130.23.242/28 gw:10.130.23.246 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步驟:
1、配置1720路由器,參照實驗一,設置為vpn server。
2、配置3662路由器,設置vpn client參數
cry ip client ezvpn vclient ####定義crypto-ezvpn name mode network-extension ####設置為網絡擴展模式
group vclient-group key vclient-key ####設置登錄vpn server的組名與組口令
peer 10.130.23.246 ####設置vpn server的ip地址,如果啟用dns,則可以用hostname connect auto ####設置為自動連接。如果設為手動,則必須使用cry ip client ezvpn connect vclient命令來啟動vpn通道。
local-address F0/0 ####設置vpn通道本地地址,選用f0/0,可以保證vpn server找到它
3、定義加密數據入口,這里為f0/1 inter f0/1 cry ip client ezvpn vclient inside
4、定義加密數據出口,這里為連接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside
5、在1720上設置靜態路由,地址范圍為3662路由本地網絡的地址 ip route 172.16.2.0 255.255.255.0 f0
6、設置ip dhcp服務 ####cisco推薦使用dhcp來進行本地網絡ip的分配。此步驟可選。
service dhcp ####啟動dhcp 服務
ip dhcp pool dhcppool ####定義dhcp pool name network 172.16.2.0 /24 ####定義可分配的IP地址段
default-router 172.16.2.1 ####定義dhcp client的默認網關 lease 1 0 0 ####設置ip保留時間
import all ####如果配置了上級dhcp,server,則接受其所有參數 ip dhcp excluded-address 172.16.2.1 ####將router上的地址排除
測試:
(1)配置好3662上的vpn client后,自動進行vpn連接。可以通過debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結果。
(2)在1720上擴展ping,source 10.130.23.246 destination 172.16.2.1,通過。查看show cry ip sa,可以發現數據沒有進行加密。
(3)在1720上擴展ping,source 172.16.1.1 destination 172.16.2.1,通過。查看show cry ip sa,可以發現數據通過加密進行傳輸。
(4)在3660上擴展ping,source 172.16.2.1 destination 172.16.1.1,通過。查看show cry ip sa,可以發現數據通過加密進行傳輸。
(5)在3660上擴展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以發現數據不通過加密。(6)啟動pc vpn client,ping 172.16.1.1,通過。在1720上查看show cry ip sa,可以看到數據通過加密進行傳輸。
(7)在pc vpn client,ping 172.16.2.1,通過。在1720和3662上查看show cry ip sa,可以看到數據通過加密進行傳輸。在1720上show cry isa sa,可以看到兩個vpn連接。
(8)在3660上擴展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client獲得的ip),通過。查看show cry ip sa,可以發現數據通過加密進行傳輸。
說明:
(1)不同平臺,不同ios版本,easy vpn client的配置有所不同。特別是加密數據入出接口的配置,配置接口前后,用show cry ip client ezvpn來查看與驗證。
(2)network-extension模式,vpn client端本地ip不通過nat/pat進行數據傳輸。
(3)以上配置均沒有啟用split tunnel。設置split tunnel的方法:首先參考實驗
(一),設置acl 133和cry isa client conf group中的參數,完成后,可以實現測試(1)-(5)。要實現Pc vpn client和3662 vpn client 互通,即測試(6)-(8),還要在1720 的acl 133中添加兩條,分別是access 133 permit ip 192.168.1.0 0.0.0.255 any、access 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要復位vpn通道,才可以起作用。在pc端,是通過disconnect再connect來實現;在3662上,通過clear cry ip client ezvpn來復位。
常用調試命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa
(三)easy vpn client的配置(client mode)
實驗網絡拓撲同實驗
(二)實驗步驟參考實驗
(二),其中第二步,將mode network-extension改為mode client。
測試:
(1)配置好3662上的vpn client后,自動進行vpn連接。可以通過debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令輸出的信息查看過程與結果。
(2)在1720上擴展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上擴展ping,source 172.16.1.1 destination 172.16.2.1,不通。這是因為3662端ip數據流是通過nat進行傳輸。
(4)在3660上擴展ping,source 172.16.2.1 destination 172.16.1.1,通過。查看show cry ip sa,可以發現數據通過加密進行傳輸。在1720上打開deb ip icmp,可以看到echo reply信息的dst地址為192.168.1.19(vpn client 從vpn server獲取的ip地址)。
(5)在3660上擴展ping,source 10.130.23.244 destination 172.16.1.1,不通。
說明:
(1)client 模式,vpn client端內部網絡采用nat方式與vpn server進行通信,vpn client端網絡可以訪問server端網絡資源,server端網絡不能訪問client端內部網絡資源。
(2)client與network-extension兩種模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置與數據流量。
(4)關于split tunnel,client模式的easy vpn client,與pc的vpn client類似,配置split tunnel的方法也相同。常用調試命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
實驗網絡拓撲: router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟:
以1720為例進行配置
(1)配置靜態路由 ####在配置vpn之前,需要保證兩方的網絡可以互相訪問。ip route 172.16.2.0 255.255.255.0 10.130.23.244(2)定義加密數據的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255(3)定義isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key進行驗證
####authentication參數必須配置,其他參數如group、hash、encr、lifetime等,如果進行配置,需要注意兩個路由器上的對應參數配置必須相同。(4)定義pre-share key cry isa key pre-share-key address 10.130.23.244 ####其中pre-share-key 為key,兩個路由器上要一樣 ####其中10.130.23.244為peer路由器的ip地址。(5)定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name,后面兩項為加密傳輸的算法 mode transport/tunnel #####tunnel為默認值,此配置可選(6)定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name,10 是entry 號碼,ipsec-isakmp表示采用isakmp進行密鑰管理
match address 144 ####定義進行加密傳輸的數據,與第二步對應 set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對應
####如果一個接口上要對應多個vpn peer,可以定義多個entry,每個entry對應一個peer(7)將crypto map應用到接口上 inter f0 #####vpn通道入口 cry map vpn-map(8)同樣方法配置3662路由器。1720的完整配置: VPN1720#sh run Building configuration...Current configuration : 1217 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key address 10.130.23.244!crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144!!interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable!access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end 測試:
(1)未將map應用到接口之前,在1720,擴展ping,source 10.130.23.246 destination 172.16.2.1,通過。擴展ping,source 172.16.1.1 destination 172.16.2.1,通過。
(2)map應用到接口之后,在1720,擴展ping,source 10.130.23.246 destination 172.16.2.1,通過。
查看show cry ip sa,可以看到數據沒有通過vpn 通道進行傳輸,因為不符合acl 144。(3)map應用到接口之后,在1720,擴展ping,source 172.16.1.1 destination 172.16.2.1,通過。查看show cry ip sa,可以看到數據通過vpn 通道進行傳輸。
(4)在3662上同樣進行測試。
說明:
(1)采用pre-share方式加密數據,配置簡單,數據傳輸效率較高,但是安全性不高。
(2)加密數據前后,通過ping大包的方式測試,可以發現這種利用軟件進行數據加密的方式,延時較大。如果需要開展voip、ip 視訊會議等業務,建議選配vpn模塊進行硬件加密。
常用調試命令: show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
實驗網絡拓撲:
router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios為c1700-k93sy7-mz.122-8.T5.bin 3662的ios為c3660-jk9o3s-mz.123-1a.bin 步驟:
以1720為例進行配置
(1)配置靜態路由 ####在配置vpn之前,需要保證兩方的網絡可以互相訪問。ip route 172.16.2.0 255.255.255.0 10.130.23.244(2)定義加密數據的acl access 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255(3)生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分別生成rsa signing key和rsa encryption key 這里 統一用general purpose key(4)復制peer router的public key到本地router中(A)在3662上生成general purpose key(B)在3662上show cry key mypubkey rsa,復制其中的General Purpose Key(C)在1720上,cry key pubkey-chain rsa ####設置public key addressed-key 10.130.23.244 ####設置關聯10.130.23.244ip地址的key key-string ####定義key串
粘貼從3662上復制的General Purpose Key #####如果第三步生成了兩種key,則這里復制粘貼的,應該是Encryption Key(三個key中的第二個)(5)定義isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key進行驗證
####authentication參數必須配置,其他參數如group、hash、encr、lifetime等,如果進行配置,需要注意兩個路由器上的對應參數配置必須相同。(6)定義transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs為transform-set name,后面兩項為加密傳輸的算法 mode transport/tunnel #####tunnel為默認值,此配置可選(7)定義crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map為map name,10 是entry 號碼,ipsec-isakmp表示采用isakmp進行密鑰管理
match address 144 ####定義進行加密傳輸的數據,與第二步對應 set peer 10.130.23.244 ####定義peer路由器的ip set transform-set vpn-tfs ####與第五步對應
####如果一個接口上要對應多個vpn peer,可以定義多個entry,每個entry對應一個peer;同樣,pubkey 也要對應進行設置。
(7)將crypto map應用到接口上 inter f0 #####vpn通道入口 cry map vpn-map(8)同樣方法配置3662路由器。
1720完整配置:
VPN1720#sh run Building configuration...Current configuration : 1490 bytes!version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname VPN1720!logging buffered 4096 debugging no logging rate-limit enable password CISCO!username vclient1 password 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero!ip domain-name fjbf.com!ip audit notify log ip audit po max-events 100!crypto isakmp policy 1 encr 3des authentication rsa-encr group 2!crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac!crypto key pubkey-chain rsa addressed-key 10.130.23.244 address 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit!crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match address 144!!interface Loopback0 ip address 172.16.1.1 255.255.255.0!interface FastEthernet0 ip address 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map!interface Serial0 no ip address encapsulation ppp no keepalive no fair-queue!ip classless ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable!access-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255!line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login!end
說明:
(1)采用rsa encrypted方式加密傳輸數據,默認key長度為512字節,最高可設為2048字節。安全性能較高。
(2)100M雙工交換網絡中,在雙向同時ping 15000字節的大包進行測試時,1720的cpu使用率一度高達90%左右,3662的使用率約為25%,兩臺路由器內存使用率則變化不大。可見用rsa encrypted方式加密,對低端路由器的cpu性能影響很大。常用調試命令: show cry ip sa show cry isa sa deb cry isa deb cry ip clear cry isa clear cry sa
第五篇:vpn學習小結
VPN學習小結
1.VPN概述
隨著通信基礎設施建設和互聯網絡技術的飛速發展,各行各業紛紛借助互聯網絡技術來加快信息的流動速度,提升企業的綜合競爭力。VPN 技術,就是一種目前業界主流的解決異地網絡安全互連的加密通信協議。
VPN是Virtual Private Network(虛擬專用網絡)的簡稱,指綜合利用封裝技術、加密技術,密鑰交換技術、PKI技術,可以在公用的互聯網絡上,建立安全虛擬專用網絡。
VPN 是一個被加密或封裝的通信過程,該過程把數據安全地從一端傳送到另一端,這里數據的安全性由可靠的加密技術來保障,而數據是在一個開放的、有安全保障的互聯網上傳輸的。VPN 技術能夠有效保證信息安全傳輸中的性”、“完整性”和“不可抵賴性”。
實際上,VPN是一種依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商),在公用網絡中建立專用的數據通信網絡的技術。在VPN服務中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。用戶不再需要擁有成本極高的長途數據線路,用Internet公眾數據網絡的長途數據線路,為自己制定一個最符合自己需求的網絡,從而實現企業內部多個分支機構之間的數據通信、Voip電話、視頻會議等多種業務。
包沒“機密而是使
2.VPN主要技術
目前市場上多種 VPN技術并存,主要有以下幾種:
PPTP/L2TP:屬于上世紀末的技術,實現比較便捷,集成在 Windows 操作系統之中,使用方便。但技術過于簡單,加密算法和協議的安全性以及性能吞吐率都很低,并發接入數目較低,屬于非主流的VPN 技術,基本已被淘汰。
MPLS VPN:在IP路由和控制協議的基礎上提供面向連接(基于標記)的交換。MPLS VPN需要公共IP網內部的所有相關路由器都能夠支持 MPLS,所以這種技術對網絡有較為特殊的要求。特別需要強調的是MPLS VPN的實施必須由運營商進行。MPLS VPN適用于對于網絡資源的利用率、網絡的可靠性有較高要求的VPN業務。MPLS VPN的用戶,需要通過光纖或者以太網接口FR(EDSL)專線接入電信骨干網絡,MPLS VPN服務給企業提供高帶寬的二層透明通路,企業可以自定義規劃其網絡結構和地址。
IPSec VPN:目前市場主流 VPN技術,由于 IPSec是在 IP 層進行加密和封裝,所以在性能表現強勁的同時,又能支持各種基于 IP 協議的網絡應用,是國際上公認的 IP 層 VPN技術標準。IPSec VPN 安全性好,對 IP 應用透明,性能高,靈活穩定,易于擴展,互通性強;適合網間互連(Site To Site)和客戶端接入互連(Client To Site)。但是,局限性主要在于在Client To Site的通訊模式下,移動用戶需要安裝專門的VPN客戶端軟件,增添了使用和維護的復雜程度。
SSL VPN:專用于解決客戶端接入互連(Client To Site)的傳輸層VPN技術。移動用戶不需要安裝VPN客戶端軟件,而使用WEB瀏覽器作為登陸方式。SSL VPN安全性好,使用靈活,不受網絡接入環境的限制,對應用的控制粒度更細。但其局限性是:對許多 C/S應用的支持能力較差,性能相對較低;并且不能滿足網間互連(Site To Site)的VPN連接需求,設備價格高昂,且SSL VPN 網關自身抗攻擊能力差,需要額外的防火墻或安全網關等防護設備的保護。
3.VPN產品分類
根據產品應用對象,VPN產品分為:
? 中小型企業VPN:百兆接口、嵌入式處理器 ? 大中型企業VPN:百兆接口、嵌入式處理器
? 大型企業VPN:千兆接口、X86架構處理器、集成加密卡
? 面向骨干網絡和超大型企業VPN:千兆+光纖接口、至強處理器、集成加密卡
根據產品采用的技術,VPN產品分為: ? MPLS VPN ? IPSec VPN ? SSL VPN ? IPSec/SSL VPN
4.VPN產品主要功能
4.1.VPN產品通用功能
SSL VPN的關鍵技術包括:Web代理、端口轉發、應用轉換、網絡連接(Network Connection, NC),目前大部分的SSL VPN產品,都是以這幾項技術的一項或幾項為基礎研發實現的。那么,對國產SSL VPN產品而言,哪些技術尤其重要呢? 首先是Web代理技術。由于用戶需要訪問內網的Web應用,而且希望訪問方式盡量簡便,而只有具備Web代理技術,SSL VPN產品才能做到100%零客戶端,才能為用戶提供最簡便的接入方式,因此,Web代理技術對國產SSL VPN產品而言是一項必須技術,也是SSL VPN產品是否專業的重要標準之一。
除了Web代理技術,端口轉發技術的重要性也不容小覷。除了要訪問除Web應用外,用戶還需要經常訪問組織內部的C/S架構應用,例如郵件、FTP、文件共享、數據庫、ERP等,這時,SSL VPN產品采用端口轉發技術實現對C/S應用的處理,是再合適不過的了。
至于應用轉換技術,目前國內用戶需求并不迫切。由于SSL VPN產品需要把FTP、Email,SSH等應用以Web的形式重新實現,實現起來比較復雜,還可能存在提供的功能不夠完整,界面不夠友好,不太符合用戶的操作習慣以及控件引用是不合法等一系列問題。從另一個角度來看,用戶在沒有使用SSL VPN之前,都已經習慣通過相應的客戶端軟件對C/S應用進行訪問,在使用SSL VPN后,仍然希望通過使用原來的客戶端軟件訪問內部的各種C/S應用。由此看來,應用轉換技術并不十分適應于國內的用戶,也并非是國產SSL VPN產品的必須功能。
最后再看NC技術,由于NC技術可以實現SSL VPN與應用無關的特性,因此客戶端通過SSL VPN訪問內部整個子網的需求仍然存在。然而,在使用該功能時,需要給客戶端配置虛擬IP地址,這樣一來,就會遇到地址規劃上的一些問題,在配置和使用上也比較復雜。目前,國內已經有SSL VPN廠商注意到這個問題,為了更好地滿足用戶對易用性的要求,采用了一種“網絡層代理”技術,客戶端通過SSL VPN產品訪問內部整個子網時,不需要借助虛擬IP地址,也不需要改變內網服務器網關指向,有效地解決了NC功能配置和使用復雜的難題。但目前,“網絡層代理”技術還存在一個問題,即無法處理TCP連接由內向外發起的應用,無法做到“與應用無關”。如果有SSL VPN產品能夠同時具備NC和網絡代理功能,將會受到更多國內用戶的青睞。
以上列舉的只是SSL VPN產品的幾項主要技術,為了更好地滿足國內用戶的需求,SSL VPN產品還必須在功能上進一步貼近需求,不斷豐富,主要包括:
豐富的認證方式:國內用戶類型眾多,對認證方式和安全性要求也不盡相同。除了基本的本地口令外,動態口令、短信口令、口令+動態附加密、證書+USBKEY、口令+證書+USBKEY等多因素認證方式也越來越常見,成為對SSL VPN產品的基本要求。此外,隨著CA體系在中國不斷健全,越來越多的用戶從專業的CA企業購買服務,因此國產SSL VPN產品能否很好地與標準第三方CA系統兼容,能否提供標準OSCP、CRL等證書校驗接口,在一定程度上決定了該產品能否應用到用戶現有環境中。
線路優化:國內用戶常常向不同的ISP申請了多個公網IP提供服務。如果SSL VPN產品能夠利用多個網口通過多個公網IP對外提供接入訪問,并可以根據接入客戶端的ISP來源選擇最佳路徑,那么將可以大大提高訪問效率,更好地適應國內的網絡環境。
單點登錄:在用戶的內網中,OA系統通常都帶認證功能,使用者需要提交用戶名及口令才可登錄。加上SSL VPN后,用戶就首先要登錄SSL VPN,然后再次提交認證信息登錄OA,導致重復認證過程。為了簡化登陸程序,SSL VPN產品應該能記錄用戶登錄SSL VPN時的認證信息,在用戶訪問OA時,代替用戶提交認證,用戶不需要再次輸入用戶名和口令就可打開登錄成功后的頁面。
端點安全:安裝SSL VPN產品后,端點安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN,在連接SSL VPN隧道后是否允許訪問互聯網,在SSL VPN客戶端注銷后,訪問痕跡是否應該清理,都是SSL VPN需要重點考慮的幾個安全問題。目前,國內很多SSL VPN產品也都有應對措施。在客戶端主機接入之前,先檢測終端主機上是否具備管理員要求的某些特征,如操作系統版本、IE瀏覽器版本、是否運行了殺毒軟件等等,如果不滿足安全策略,則拒絕連接。在建立隧道后,SSL VPN產品還可以禁止客戶端主機訪問隧道以外的網絡以確保隧道安全;在終端用戶注銷后,還會自動清除此次的訪問痕跡,確保信息不被泄漏。此外,如果產品能實現帳號和客戶端主機特征綁定以及防偽造功能等,將可以進一步提高客戶端的端點安全性。
應用層防御:SSL VPN產品是以應用為核心的安全接入產品,因此應用層的安全防御必不可少。目前,防SQL注入,防跨站腳本和防非法URL訪問等功能已經出現在一些國內品牌發上限控制功能,保障了應用服務系統。安全審計:而言,SSL VPN哪個用戶、在什么時間,在什么地理位置通過哪個什么服務,訪問了哪些條件(如時間范圍、瀏覽和下載。4.2.安達通4.2.1.特色功能? IPSec over HTTPS/HTTP ? 隧道接力技術? 虛地址互聯技術? 自動路由技術? 多播隧道技術? 準入控制技術? 動態口令短信認證技術4.2.2.負載均衡功能? 智能均衡上網技術SSL VPN產品上。甚至有廠商還提供了基于賬號的最大并有效防止了一個賬號惡意產生大量連接的DoS攻擊行為,有效
SSL VPN產品相對傳統VPN的優勢之一就是審計更加詳細。相比IP地址。在日志中應該可以記錄ISP登錄了SSL VPN,訪問了Web頁面等等。另外,SSL VPN產品還應該提供基于各種關鍵字等)的查詢功能,甚至可以根據時間范圍生成報表提供VPN產品主要功能
技術
產品更關注賬號而不僅僅只是 ? VPN多點接入和均衡技術 ? VPN鏈路備份技術
4.2.3.VPN 移動接入加速系統功能 4.2.4.防火墻功能
? 網絡地址轉換(NAT)技術 ? 狀態檢測防火墻技術 ? HTTP 檢測技術 ? IP-MAC地址綁定技術 ? 內網用戶認證技術 ? IDS聯動技術
4.2.5.其他功能
? 雙機熱備 ? 流量控制 ? 路由支持 ? 配置和升級管理 ? 日志管理
5.VPN典型應用
5.1.單臂連接模式
“單臂連接”模式是用戶已有防火墻等設備時安達通首推的部署方式。“單臂連接”模式指的是安全網關只接一個口到內網交換機中,另外一個口不接線,即把安全網關設備當作一臺服務器或主機,專門處理 VPN 報文的加解密。從實現技術上而言,單臂連接結合了串行連接和并行連接兩者的優勢,實現了部署和性能的最優化。在實施時,需要在防火墻(路由器)上為安全網關做靜態端口映射(靜態 NAPT),同時也需要在防火墻(路由器)上添加靜態路由來解決要通過VPN的數據包正確流向的問題。
結合”自動路由”技術,單臂連接方式能在對用戶環境最小改動的前提下部署 VPN,大大增加了VPN設備對網絡環境的適應能力。
單臂連接實際案例配置示意圖如下所示:
上圖示例中總部局域網利用一臺防火墻通過光纖接入互聯網,防火墻外口 IP 地址為218.1.1.1,內口IP 地址為192.168.1.1,現僅將安全網關的LAN 口接到內網交換機。安全網關工作在路由模式下,LAN口IP 地址 192.168.1.254,WAN口任意設置一個 IP 地址,比如為 1.1.1.1,總部內網只有一個子網 192.168.1.0/24。該單位有一異地分部,采用 ADSL 接入互聯網,并使用 SJW74A 安全網關作為接入設備,內網也只有一個子網為 192.168.2.0/24。通過這樣的部署,可實現該分部與總部子網的 VPN 互連。同時還可實現移動客戶端的遠程接入(如上圖),客戶端的私有 IP 地址為172.16.1.1-10。
5.2.路由模式
“路由模式”是指VPN網關內外網接口路由不同,網關本身要作為路由器或NAT 轉換設備,實現路由轉發以及對內提供上網和對外提供服務等工作。一般用于新建的網絡中或者用戶準備用VPN網關替代原有路由器/防火墻的地方。通過使用安達通自帶的初始化向導工具可以非常簡便的部署“路由模式”網關,典型部署示意如下圖:
上圖示例中,VPN 安全網關作為總部局域網的出口,對內提供上網服務,對外提供 VPN接入服務。內部 192.168.1.X 的 PC 用戶默認網關指向 VPN 內網口 192.168.1.1,通過 NAT 映射訪問公網和其他VPN子網。
5.3.透明模式
“透明模式”又稱為“網橋模式”,是指安全網關接入在防火墻(路由器)與內網之間,透明轉發除VPN報文之外所有數據的一種連接方式。
安達通 VPN 安全網關的“透明模式”主要分成鏈路層協議的學習功能,報文的接收和轉發功能。對于透明模式下收到的報文,根據其目的 MAC地址可以分為,發往網關自身的報文、廣播報文和發往其他的報文,由于透明模式僅僅對 VPN 報文進行加密,其他報文在出入端口上進行完整復制,所以保證了鏈路的透明性和 VPN的安全性。
以某商業銀行網絡的 VPN安全網關部署為例。所有的安達通安全網關均部署在防火墻/路由器之后,工作在“透明”模式下。安裝這些安全網關設備的前后,原有網絡系統:路由器、PC、Server 等沒有調整過任何配置,就實現了各分行和總行之間數據傳輸加密。“透明模式”部署的安達通 VPN 安全網關的 WAN 和 LAN 口 IP 是和本地內網同一網段的未被使用的IP 地址。如下圖示意: 6.VPN與TPN是,可信專用網防護、VPN接入、全網行為管理、主機安全管理等組成。可信專用網威脅”、“邊界威脅”、“主機威脅”和“接入威脅”的統一管理。企業對VPN分布在異地的局域網絡進行互聯。隨著網絡互聯的進行,的基礎設施。
這些基礎設施,安全可信是最重要的。可信平臺建設包括了邊界、內網、主機、接入等部分。目前來看,企業可以用各種技術來確保這四部分成為有機整體。網技術TPN.TPN互聯以后全網的可信任安全平臺。目前來看,能:包括虛擬專網、防火墻、入侵檢測、漏洞掃描、病毒防護、網絡審計、身份認證、桌面安全等。網絡邊界防護力度不夠、分支機構的統一、垃圾郵件和病毒、越權訪問密、非法接入TPN(Trusted 系統通過對“用戶—角色—資源”的集中描述,因為信息的共享有網絡互聯的需求,整個網絡平臺已經越來越成為企業以及政府單位運行VPN的主要區別,TPN模型需要實現所有傳統安全設備所提供的安全功而TPN應對的問題則包括了:實現“內網
客觀上需要將從而產生/盜取機
TPN
Private Network)系統的簡稱,由邊界
TPN都不會陌生,而安達通在其中提供的就是可信專用與就在于融合了可信任的內網技術,一套完整的遠程接入用戶帶進木馬和病毒、/非法外聯、補丁和病毒庫的統一升級、以及聊天、游戲、下載等網絡濫用。
點擊咨詢 