VPN在中小型企业网络中的应用Word下载.docx

VPN在中小型企业网络中的应用Word下载.docx

《VPN在中小型企业网络中的应用Word下载.docx》由会员分享，可在线阅读，更多相关《VPN在中小型企业网络中的应用Word下载.docx（51页珍藏版）》请在冰豆网上搜索。

学生：

胡风波，计算机科学学院指导教师：

杨舒，计算机科学学院

【摘要】VPN在中小型企业网络中的应用，不仅可以节省传统专网建设与维护费用以及长途话费，而且能拥有可高度操控的安全的网络信息通道，因此VPN在网络安全防御系统中起到了不可或缺的作用。

本文以VPN在中小型企业网络中的应用为起点，对目前中小型企业网络所采用的VPN技术和思想进行论证，并详细介绍了L2TPVPN/IPSecVPN/SSLVPN技术在中小型网络中的方案设计和实现，同时引出在实现这些VPN技术时应该注意的事项。

然后，对L2TPVPN/IPSecVPN/SSLVPN技术进行对比分析，主要从网络模型、使用协议、复杂度、安全性、系统支持等方面比较三者的区别。

最后，例举了VPN在中小型企业网络中的应用案例，从中着重介绍了VPN服务器在网络中的部署方案和如何与网关设备配合使用，同时详细介绍了

VPN客户端拨号的通信数据流程和访问内网资源的通信数据流程。

【关键词】网络安全，VPN技术，企业网络，虚拟专网

L2TPVPN，IPSecVPN，SSLVPN

ResearchandSimulationofnetworksecuritydefensesystem

Student：

Hufengbo，TheCollegeofComputerScienceTeacher：

Yangshu，TheCollegeofComputerScience

【Abstract】：

ApplicationofVPNinsmallandmediumenterprisesinthenetwork,notonlycansavethetraditionalprivatenetworkconstructionandmaintenancecostsoflong-distancecalls,andcanhaveasecurenetworkinformationchannelheightcontrol,sotheVPNinthenetworksecuritydefensesystemplaysanindispensablerole.ApplicationoftheVPNinthesmallandmedium-sizedenterprisesinthenetworkasastartingpoint,todemonstrateonthenetworkofsmallandmedium-sizedenterprisesatpresentinVPNtechnologyandtheory,andintroducesindetailthedesignandimplementationoftheschemeinthesmallnetworkinL2TPVPN/IPSecVPN/SSLVPNtechnology,atthesametimeleadstothemattersshouldbepaidattentiontointherealizationoftheVPNtechnique.Then,onthe.Then,onthecomparativeanalysisoftheL2TPVPN/IPSecVPN/SSLVPNtechnology,themaindifferencefromthenetworkmodel,protocol,complexity,security,systemsupport,thecomparisonofthethree.Finally,someapplicationexamplesofVPNinsmallandmediumenterprisenetwork,fromwhichfocusesontheVPNserverinnetworkdeploymentandhowtocooperatewiththegatewayequipment,andintroducesthecommunicationdataprocessVPNclientdialingcommunicationdataflowandaccessnetworkresources.

【Keywords】：

Networksecurity，VPNTechnology，Enterprisenetwork

Virtualprivatenetwork，L2TPVPN，IPSecVPN，SSLVPN

1引言

1.1选题背景

Internet－因特网是全球范围内各种不同类型的计算机网络连接起来的一个全球性的网络，以实现资源共享为目的。

PrivateNetwork－专网，Internet虽然规模庞大，资源丰富，但同时其安全性又难以保障，毕竟我们无法去约束所有的用户；

同时还存在合法地址（GlobalIP）资源匮乏的问题。

某些用户对网络安全的要求是极其严格的，容不得半点差错和隐患，比如：

银行、政府、军队等。

他们通常会自己出资专门建设和维护一套自己的网络体系。

这些都可以被称为专网。

专网虽然好，没有地址匮乏问题；

安全性很高。

但其建设和维护成本非常高昂，不是一般的企业、单位可以承受的。

VPN（VirtualPrivateNetwork）是指在Internet这个网络环境中，虚拟出一个“隧道”，用户可以通过这个隧道相互通信，无需给每个用户设置合法地址；

对于隧道外的用户，

VPN内的数据是不直接可见的，相应的，安全性就提高了。

1.2目的和意义

VPN能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接（如DSL、有线电视或者WiFi网络）连接到企业网络。

此外，高速宽带网连接提供一种成本效率高的连接远程办公室的方法。

VPN在中小型企业网络中的应用也越来越普遍，根据不同的网络环境应用不同类型的VPN变得尤为重要。

1.3技术要求和应用范围

VPN技术广泛的应用于国家国防军队通信和远程指挥网络平台的搭建；

应用于企业网Itranet、远程访问、企业外部网Extranet、企业内VPN网络的建设；

应用于网络游戏领域中基于VPN网络游戏大型网络平台的实施；

应用于电子商务领域中公司、分公司与顾客间应用平台的建设；

同时随着教育领域资源共享的开放性程度逐渐扩大，VPN技术也更为广泛的应用于教育事业、校园网建设等网络的建设；

甚至在未

来的发展中也将更为广泛的应用于可提供更加安全的、速度更快的、易用性更好的连接平台的无线网络。

1.4发展现状

信息通信技术发展、互联网的普及，企业信息化程度的逐步提高，使得商业领域正发生一场变革，这种变革将改变着企业传统的运作方式。

现在越来越多的企业都在逐步应用信息通信技术改变业务模式和管理管理模式，开展商务活动、提升业务效率。

VPN也是推动这种变革的一种动力，通过建立企业的VPN，保证了企业总部与各分支机构之间的可靠的透明连接和安全的传输数据、促进信息的传递；

另外，VPN还具有部署灵活、组网的可扩展性也更强、节省IT费用等特征。

因此，VPN发展趋势一直特别看好。

随着未来VPN服务市场竞争格局将发生变化，运营商与VPN服务商的竞合关系也将更加微妙。

随着更多市场主体的进入，客户可以有更多的选择，这必将进一步推动VPN服务质量提升。

2方案论证

2.1VPN实现技术

2.1.1L2TPVPN技术

VPDN－VirtualPrivateDialerNetwork，顾名思义，这是一种拨号性质的VPN网络。

用户在需要访问的时候，以拨号的形式接入；

完成之后，即可断开连接，VPDN是VPN的一个分支。

L2TP－Layer2TunnelProtocol，顾名思义，这是一种二层隧道协议，就是将二层的用户数据帧放到一个逻辑隧道中进行传输，而这个帧是特指PPP。

L2TP是由早期的PPTP和L2F等多种协议结合并优化而产生的。

其本质是将需要传输的PPP帧以载荷的形式放到UDP报文中传输。

显然L2TP是对PPP协议的一种扩展应用。

L2TP基本概念：

（1）用户

L2TP组网模型中，用户是需要登录私网的设备（如PC）。

VPDN用户的特征是接入的方式和地点不固定。

用户可以通过PSTN或ISDN网络与LAC（LAC的概

念将在下文介绍）连接，或者接入Internet，直接与总部服务器建立连接。

用户是发起PPP协商的端设备。

用户既是PPP二层链路一端又是PPP会话的一端。

（2）LAC

L2TP访问集中器LAC（L2TPAccessConcentrator）是交换网络上有PPP端系统和

L2TP处理能力的设备，一般是本地ISP的接入设备，如网络接入服务器NAS，通过PSTN/ISDN网络为用户提供接入服务。

LAC通过L2TP遂道及PPP会话与其他数据流相互隔离。

LAC不只为特定的某个VPN服务，还可以为多个VPN服务。

LAC位于L2TP网络服务器LNS（L2TPNetworkServer）和远端系统（远程用户和远程分支机构）之间。

（3）LNS

LNS（L2TPNetworkServer）是接受PPP会话的一端，通过LNS验证，用户就可以登录到私网上，访问私网资源。

同时，LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是通过LAC进行隧道传输的PPP会话的逻辑终止端点。

LNS位于私网与公网边界，通常是企业网关设备。

网关实施网络接入功能及LNS功能。

必要时，LNS还兼有网络地址转换（NAT）功能，对企业总部网络内的专用IP地址与IP网公用IP地址进行转换。

LNS可以放在企业总部网络内，也可以是IP公共网络的PE。

（4）控制消息和数据消息

控制消息：

也称为隧道连接，用于隧道和会话连接的建立、维护和拆除，以及传输控制。

在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证L2TP层传输的可靠性，支持对控制消息的流量控制和拥塞控制。

数据消息：

用于封装PPP帧并在隧道上传输。

采用不可靠传输，即，不重传丢失的数据报文，不支持对数据消息的流量控制和拥塞控制。

（5）AVP

控制消息中的参数统一使用属性值对AVP（AttributeValuePair）来表示，使得协议具有很好互操作性和可扩展性。

控制消息包含多个AVP。

（6）控制连接和会话连接

L2TP是面向连接的，在一个LNS和LAC对之间存在两种类型的连接：

控制（Control）连接：

定义一个LNS和LAC对，控制隧道和会话的建立、维护和拆除。

控制连接的建立过程包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换。

会话（Session）连接：

复用在隧道连接之上，表示承载在控制连接中的一个PPP

会话过程。

同一对LAC和LNS之间可以建立多个L2TP隧道，隧道由一个控制连接和一个或多个会话连接组成。

会话连接必须在控制连接建立成功后进行，每个会话连接对应LAC和LNS之间的一个PPP数据流。

控制消息和数据消息（PPP报文）都在隧道上传输。

2.1.2IPSecVPN技术

IPSec（InternetProtocolSecurity）协议族是IETF（InternetEngineeringTaskForce）制定的一系列协议，它为IP数据包提供了高质量的、基于密码学的安全传输特性。

特定的通信双方在IP层通过加密与数据源认证等方式，保证IP数据报在网络上传输的私有性、完整性和防重放。

私有性（Confidentiality）指对用户数据进行加密保护，用密文的形式传送。

完整性（Dataintegrity）指对接收的数据进行认证，以判定报文是否被篡改。

防重放（Anti-replay）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

IPSec通过认证头AH（AuthenticationHeader）和封装安全载荷ESP

（EncapsulatingSecurityPayload）这两个安全协议来实现IP数据报的安全传送；

因特网密钥交换协议IKE（InternetKeyExchange）提供密钥协商、建立和维护安全联盟的服务，以简化IPSec的部署和使用。

AH认证头协议：

提供数据源认证、数据完整性校验和报文防重放功能。

发送端对IP头的不变部分和IP净荷进行离散运算，生成一个摘要字段；

接收端根据接收的IP报文，对报文重新计算摘要字段，通过摘要字段的比较，判别报文在网络传输期间是否被篡改。

AH认证头协议没有对IP净荷提供加密操作。

ESP封装安全载荷协议：

除提供AH认证头协议的所有功能之外，还可对IP报文净荷进行加密。

ESP协议允许对IP报文净荷进行加密和认证、只加密或者只认

证，ESP没有对IP头的内容进行保护。

IKE因特网密钥交换协议：

完成IPSec通信对等体间的安全联盟SA（Security

Association）协商，协商出对等体间数据安全传输需要的认证算法、加密算法和对应的密钥。

AH和ESP可以单独使用，也可以同时使用。

AH和ESP同时使用时，报文在

IPSec安全转换时，先进行ESP封装，再进行AH封装；

IPSec解封装时，先进行AH

解封装，再进行ESP解封装。

IKE密钥交换协商并不是必须的，IPSec所使用的策略和算法等也可以手工配置。

IPSec基本概念：

（1）IPSec对等体

IPSec用于在两个端点之间提供安全的IP通信，通信的两个端点被称为IPsec

对等体。

（2）安全联盟-SA

SA（SecurityAssociation）安全联盟，定义了IPSec通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。

SA是单向的，在两个对等体之间的双向通信，最少需要两个SA来分别对两个方向的数据流进行安全保护；

如果两个对等体希望同时使用AH和ESP来进行安全通信，则每个对等体针对每一种协议都需要构建一个独立的SA。

SA由一个三元组来唯一标识，这个三元组包括安全参数索引SPI（SecurityParameterIndex）、目的IP地址、安全协议名（AH或ESP）。

SPI是一个32比特数值，它在AH和ESP头中传输。

（3）安全联盟生成方式

有两种方式建立安全联盟，一种是手工方式（manual），一种是IKE动态协商

（isakmp）方式。

手工方式建立安全联盟比较复杂，安全联盟所需的全部信息都必须手工配置，手工方式建立的安全联盟永不老化。

IKE动态协商方式建立安全联盟则相应简单些，只需要通信对端体间配置好

IKE协商参数，由IKE协议自动协商来创建和维护SA。

（4）IPSec封装模式

IPSec协议有两种封装模式：

隧道模式。

在隧道模式下，AH或ESP插在原始IP头之前，另外生成一个新IP

头放到AH或ESP之前。

传输模式。

在传输模式下，AH或ESP被插入到IP头之后但在传输层协议之前。

选择隧道模式还是传输模式可以从以下方面考虑：

从安全性来讲，隧道模式优于传输模式。

它可以完全地对原始IP数据报进行认证和加密，而且，可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。

从性能来讲，隧道模式因为有一个额外的IP头，所以它将比传输模式占用更多带宽。

（5）认证算法与加密算法认证算法

AH和ESP都能够对IP报文的完整性进行认证，以判别报文在传输过程中是否被篡改。

认证算法的实现主要是通过杂凑函数，杂凑函数是一种能够接受任意长的消息输入，并产生固定长度输出的算法，该输出称为消息摘要。

IPSec对等体根据IP

报文内容，计算摘要，如果两个摘要是相同的，则表示报文是完整、未经篡改的。

一般来说IPSec可以使用两种认证算法：

–MD5（MessageDigest5）：

MD5通过输入任意长度的消息，产生128bit的消息摘要。

–SHA-1（SecureHashAlgorithm）：

SHA-1通过输入长度小于2的64次方比特的消息，产生160bit的消息摘要。

加密算法

ESP能够对IP报文内容进行加密保护，以防止报文内容在传输过程中被窥探。

加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。

一般来说IPSec使用DES、3DES（TripleDataEncryptionStandard）及AES（AdvancedEncryptionStandard）三种加密算法：

–DES：

使用56bit的密钥对一个64bit的明文块进行加密。

–3DES：

使用三个56bit的DES密钥（共168bit密钥）对明文进行加密。

–AES：

使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密。

这三个加密算法的安全性由高到低依次是：

AES、3DES、DES，安全性高的加密算法实现机制复杂，运算速度慢。

对于普通的安全要求，DES算法就可以满足需要。

2.1.3SSLVPN技术

安全套接层SSL（SecureSocketsLayer）协议是在Internet基础上提供的一种保证私密性的安全协议。

它能使客户端与服务器之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户端进行认证。

SSL协议与应用层协议相互独立，应用层协议（例如：

HTTP，FTP）能透明的建立于SSL协议之上。

SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。

在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

SSL与IPSec安全协议一样，提供加密和身份验证。

但是，SSL协议只对通信双方传输的应用数据进行加密，而不是对从一个主机到另一主机的所有数据进行加密。

SSL基本概念：

SSL位于应用层和传输层之间，它可以为任何基于TCP等可靠连接的应用层协议提供安全性保证。

SSL协议分为两层：

底层是SSL记录协议（SSLrecordprotocol）；

上层是SSL握手协议（SSLhandshakeprotocol）、SSL密码变化协议（SSLchangecipherspecprotocol）和SSL警告协议（SSLalertprotocol）。

（1）SSL记录协议

主要负责对上层的数据进行分块、计算并添加MAC、加密，最后把记录块传输给对方。

（2）SSL握手协议

SSL协议非常重要的组成部分，用来协商通信过程中使用的加密套件（对称加密算法、密钥交换算法和MAC算法等）、在服务器和客户端之间安全地交换密钥，实现服务器和客户端的身份验证。

客户端和服务器通过握手协议建立一个会话，会话包含一组参数，主要有会话ID、对方的证书、加密套件（包括密钥交换算法、数据加密算法和MAC算法）及主密钥。

（3）SSL密码变化协议

客户端和服务器端通过密码变化协议通知接收方，随后的报文都将使用新协商的加密套件和密钥进行保护和传输。

（4）SSL警告协议

用来允许一方向另一方报告告警信息。

消息中包含告警的严重级别和描述。

2.2VPN特性描述

2.2.1L2TP特性描述

（1）灵活的身份验证机制以及高度的安全性

–L2TP本身并不保证连接的安全性，但它可利用PPP提供的认证机制（如

CHAP、PAP），因此具有PPP的所有安全特性。

–L2TP可以与IPSec结合，使通过L2TP所传输的数据更难被攻击。

–可根据特定的网络安全要求，在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高安全性。

（2）多协议传输

L2TP传输PPP数据包，PPP本身可以传输多协议，而不仅仅是IP。

可以在PPP

数据包内封装多种协议，甚至运载链路层协议（如Ethernet）。

（3）支持RADIUS服务器的验证

LAC端支持将用户名和密码发往RADIUS服务器进行验证申请，由RADIUS

服务器负责接收用户的验证请求，完成验证。

（4）支持内部地址分配

LNS可放置于企业网的防火墙之后，对远端用户地址进行动态分配和管理，并支持私有地址应用（RFC1918，AddressAllocationforPrivateInternets）。

（5）网络计费的灵活性

可在LAC和LNS同时计费，即ISP处（用于产生帐单）及企业网关（用于付费及审计）。

L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据，可根据这些数据方便地进行网络计费。

（6）可靠性

L2TP协议支持备份LNS，当一个主LNS不可达之后，LAC可以与备份LNS

建立连接，增强了VPN服务的可靠性和容错性。

2.2.2IPSec特性描述

（1）DH（Diffie-Hellman）交换及密钥分发

Diffie-Hellman算法是一种公开密钥算法。

通信双方在不传送密钥的情况下通过交换一些数据，计算出共享的密钥。

加密的前提是交换加密数据的双方必须要有共享的密钥。

IKE的精髓在于它永远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥。

即使第三者（如黑客）截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。

（2）完善的前向安全性P