導(dao)語：如(ru)何(he)才能寫好一篇vpn技術論文，這就(jiu)需要(yao)搜(sou)集整理(li)更多的(de)資料(liao)和(he)文獻，歡迎閱讀由公務員之家整理(li)的(de)十篇范文，供你借鑒。

篇1

關鍵詞：虛擬專用網vpn遠程訪問網絡安全

引言

隨著信息時代的來臨，企業的發展也日益呈現出產業多元化、結構分布化、管理信息化的特征。計算機網絡技術不(bu)(bu)斷(duan)提升，信息管理范(fan)圍(wei)不(bu)(bu)斷(duan)擴(kuo)大，不(bu)(bu)論是企(qi)業內部(bu)職能部(bu)門(men)，還是企(qi)業外部(bu)的供應商、分(fen)支(zhi)(zhi)機構和外出人員，都(dou)需要同企(qi)業總部(bu)之間建立(li)起一個快速、安全(quan)、穩定的網(wang)絡(luo)(luo)通信環境。怎(zen)樣建立(li)外部(bu)網(wang)絡(luo)(luo)環境與內部(bu)網(wang)絡(luo)(luo)環境之間的安全(quan)通信，實現企(qi)業外部(bu)分(fen)支(zhi)(zhi)機構遠程訪問(wen)內部(bu)網(wang)絡(luo)(luo)資源，成為當前很多企(qi)業在信息網(wang)絡(luo)(luo)化(hua)建設方面亟待(dai)解(jie)決的問(wen)題。

一(yi)、VPN技術簡介

VPN（VirtualPrivateNetwork）即(ji)虛擬專(zhuan)(zhuan)(zhuan)用(yong)網(wang)(wang)(wang)絡，指的(de)(de)(de)是依(yi)靠ISP（Internet服(fu)務(wu)提供(gong)商(shang)）和(he)其他NSP（網(wang)(wang)(wang)絡服(fu)務(wu)提供(gong)商(shang)）在公用(yong)網(wang)(wang)(wang)絡中建立(li)專(zhuan)(zhuan)(zhuan)用(yong)的(de)(de)(de)數(shu)據通(tong)信網(wang)(wang)(wang)絡的(de)(de)(de)技術，通(tong)過對網(wang)(wang)(wang)絡數(shu)據的(de)(de)(de)封(feng)裝和(he)加(jia)密(mi)傳輸，在公用(yong)網(wang)(wang)(wang)絡上傳輸私(si)有數(shu)據的(de)(de)(de)專(zhuan)(zhuan)(zhuan)用(yong)網(wang)(wang)(wang)絡。在隧(sui)道(dao)的(de)(de)(de)發起端（即(ji)服(fu)務(wu)端），用(yong)戶的(de)(de)(de)私(si)有數(shu)據經過封(feng)裝和(he)加(jia)密(mi)之后(hou)在Internet上傳輸，到了(le)隧(sui)道(dao)的(de)(de)(de)接收端（即(ji)客戶端），接收到的(de)(de)(de)數(shu)據經過拆封(feng)和(he)解密(mi)之后(hou)安全地到達(da)用(yong)戶端。

VPN可以(yi)提供多樣化的(de)(de)(de)(de)(de)數(shu)(shu)據、音頻、視頻等(deng)服務以(yi)及快速、安(an)(an)(an)全(quan)的(de)(de)(de)(de)(de)網(wang)(wang)絡環境(jing)，是企(qi)業網(wang)(wang)絡在(zai)互(hu)聯(lian)網(wang)(wang)上的(de)(de)(de)(de)(de)延伸。該(gai)技術通過隧道加密(mi)技術達到類似(si)私有網(wang)(wang)絡的(de)(de)(de)(de)(de)安(an)(an)(an)全(quan)數(shu)(shu)據傳(chuan)輸(shu)功(gong)能，具有接(jie)入方式靈活(huo)、可擴(kuo)充(chong)性(xing)好、安(an)(an)(an)全(quan)性(xing)高、抗干擾性(xing)強、費用(yong)低等(deng)特點。它能夠(gou)提供Internet遠程訪問，通過安(an)(an)(an)全(quan)的(de)(de)(de)(de)(de)數(shu)(shu)據通道將(jiang)企(qi)業分(fen)支機(ji)構、遠程用(yong)戶(hu)、現(xian)(xian)場(chang)服務人員等(deng)跟公(gong)司的(de)(de)(de)(de)(de)企(qi)業網(wang)(wang)連(lian)接(jie)起來，構成(cheng)(cheng)一個擴(kuo)展(zhan)的(de)(de)(de)(de)(de)公(gong)司企(qi)業網(wang)(wang)，此外它還提供了對移動(dong)(dong)用(yong)戶(hu)和漫游(you)用(yong)戶(hu)的(de)(de)(de)(de)(de)支持，使網(wang)(wang)絡時代的(de)(de)(de)(de)(de)移動(dong)(dong)辦公(gong)成(cheng)(cheng)為現(xian)(xian)實。

隨著互聯網技術(shu)和電子商(shang)(shang)務(wu)的(de)(de)(de)(de)(de)蓬勃(bo)發展(zhan)，基于Internet的(de)(de)(de)(de)(de)商(shang)(shang)務(wu)應用(yong)在(zai)(zai)企(qi)業(ye)(ye)信(xin)(xin)息(xi)(xi)管(guan)理(li)領域(yu)(yu)得到了(le)(le)長足(zu)發展(zhan)。根(gen)據(ju)企(qi)業(ye)(ye)的(de)(de)(de)(de)(de)商(shang)(shang)務(wu)活動(dong)(dong)，需要一(yi)些固定的(de)(de)(de)(de)(de)生(sheng)意伙伴、供(gong)應商(shang)(shang)、客(ke)戶(hu)(hu)也能夠訪(fang)問本企(qi)業(ye)(ye)的(de)(de)(de)(de)(de)局域(yu)(yu)網，從而簡化信(xin)(xin)息(xi)(xi)傳(chuan)遞的(de)(de)(de)(de)(de)路(lu)徑，加快信(xin)(xin)息(xi)(xi)交換的(de)(de)(de)(de)(de)速度，提高企(qi)業(ye)(ye)的(de)(de)(de)(de)(de)市(shi)場響(xiang)應速度和決(jue)策(ce)速度。同時(shi)，圍(wei)繞企(qi)業(ye)(ye)自身(shen)的(de)(de)(de)(de)(de)發展(zhan)戰略，企(qi)業(ye)(ye)的(de)(de)(de)(de)(de)分(fen)支(zhi)(zhi)機構越(yue)來(lai)越(yue)多，企(qi)業(ye)(ye)需要與各分(fen)支(zhi)(zhi)機構之間建立起(qi)信(xin)(xin)息(xi)(xi)相互訪(fang)問的(de)(de)(de)(de)(de)渠道。面(mian)對越(yue)來(lai)越(yue)復雜的(de)(de)(de)(de)(de)網絡應用(yong)和日(ri)益(yi)突(tu)出的(de)(de)(de)(de)(de)信(xin)(xin)息(xi)(xi)處理(li)問題，VPN技術(shu)無疑(yi)給我們提供(gong)了(le)(le)一(yi)個(ge)很好(hao)的(de)(de)(de)(de)(de)解決(jue)思路(lu)。VPN可以(yi)幫(bang)助遠程用(yong)戶(hu)(hu)同公司的(de)(de)(de)(de)(de)內部網建立可信(xin)(xin)的(de)(de)(de)(de)(de)安全(quan)連接(jie)(jie)，并(bing)保證數(shu)(shu)據(ju)的(de)(de)(de)(de)(de)安全(quan)傳(chuan)輸(shu)，通過將數(shu)(shu)據(ju)流轉移到低(di)(di)成本的(de)(de)(de)(de)(de)網絡上，大幅(fu)度地減少了(le)(le)企(qi)業(ye)(ye)、分(fen)支(zhi)(zhi)機構、供(gong)應商(shang)(shang)和客(ke)戶(hu)(hu)花在(zai)(zai)信(xin)(xin)息(xi)(xi)傳(chuan)遞環節的(de)(de)(de)(de)(de)時(shi)間，降低(di)(di)了(le)(le)企(qi)業(ye)(ye)局域(yu)(yu)網和Internet安全(quan)對接(jie)(jie)的(de)(de)(de)(de)(de)成本。VPN的(de)(de)(de)(de)(de)應用(yong)建立在(zai)(zai)一(yi)個(ge)全(quan)開放(fang)的(de)(de)(de)(de)(de)Internet環境之中，這樣(yang)就大大簡化了(le)(le)網絡的(de)(de)(de)(de)(de)設計和管(guan)理(li)，滿足(zu)了(le)(le)不斷(duan)增長的(de)(de)(de)(de)(de)移動(dong)(dong)用(yong)戶(hu)(hu)和Internet用(yong)戶(hu)(hu)的(de)(de)(de)(de)(de)接(jie)(jie)入(ru)，以(yi)實現安全(quan)快捷的(de)(de)(de)(de)(de)網絡連接(jie)(jie)。

二(er)、基于(yu)Internet的(de)VPN網絡架構及安全(quan)性分析

VPN技(ji)(ji)術類型有很多種，在互聯網技(ji)(ji)術高速發展(zhan)的今天(tian)，可以利用(yong)Internet網絡技(ji)(ji)術實現(xian)VPN服務器架構以及客戶端(duan)連接(jie)應用(yong)，基于Internet環(huan)境的VPN技(ji)(ji)術具(ju)有成本低、安全性好、接(jie)入方便等特點，能(neng)夠很好的滿(man)足企業對VPN的常規需求(qiu)。

2.1Internet環境下(xia)的(de)(de)(de)VPN網(wang)絡架構Internet環境下(xia)的(de)(de)(de)VPN網(wang)絡包括(kuo)VPN服務器、VPN客戶(hu)(hu)端(duan)(duan)、VPN連接(jie)、隧(sui)道等幾個重要環節(jie)。在VPN服務器端(duan)(duan)，用(yong)戶(hu)(hu)的(de)(de)(de)私有數(shu)據(ju)(ju)經過隧(sui)道協議和和數(shu)據(ju)(ju)加(jia)密之(zhi)后(hou)在Internet上傳輸(shu)，通過虛擬隧(sui)道到(dao)達接(jie)收(shou)端(duan)(duan)，接(jie)收(shou)到(dao)的(de)(de)(de)數(shu)據(ju)(ju)經過拆封和解(jie)密之(zhi)后(hou)安(an)全地傳送給(gei)終端(duan)(duan)用(yong)戶(hu)(hu)，最終形成數(shu)據(ju)(ju)交互。基(ji)于Internet環境的(de)(de)(de)企業VPN網(wang)絡拓(tuo)撲結構。

2.2VPN技(ji)(ji)術(shu)(shu)安(an)全(quan)(quan)性分析VPN技(ji)(ji)術(shu)(shu)主要(yao)由(you)三個部分組(zu)成：隧(sui)道技(ji)(ji)術(shu)(shu)，數(shu)據(ju)加密(mi)和(he)用(yong)戶認(ren)(ren)證。隧(sui)道技(ji)(ji)術(shu)(shu)定義(yi)數(shu)據(ju)的封裝形式，并利用(yong)IP協議以安(an)全(quan)(quan)方式在Internet上傳(chuan)送；數(shu)據(ju)加密(mi)保證敏感數(shu)據(ju)不會(hui)被盜取；用(yong)戶認(ren)(ren)證則保證未獲(huo)認(ren)(ren)證的用(yong)戶無法訪問(wen)(wen)網(wang)絡資源。VPN的實現(xian)必(bi)須保證重要(yao)數(shu)據(ju)完整、安(an)全(quan)(quan)地(di)在隧(sui)道中進行傳(chuan)輸，因此安(an)全(quan)(quan)問(wen)(wen)題(ti)是(shi)VPN技(ji)(ji)術(shu)(shu)的核心(xin)問(wen)(wen)題(ti)，目前，VPN的安(an)全(quan)(quan)保證主要(yao)是(shi)通過防火墻和(he)路由(you)器，配以隧(sui)道技(ji)(ji)術(shu)(shu)、加密(mi)協議和(he)安(an)全(quan)(quan)密(mi)鑰(yao)來實現(xian)的，以此確保遠程客戶端能(neng)夠安(an)全(quan)(quan)地(di)訪問(wen)(wen)VPN服務器。

在運行(xing)(xing)性能方(fang)(fang)面，隨著(zhu)企(qi)業(ye)電子商(shang)務活動的(de)(de)(de)激增(zeng)(zeng)，信息處(chu)理量日益(yi)增(zeng)(zeng)加，網絡(luo)(luo)擁塞的(de)(de)(de)現象經常發(fa)生，這給VPN性能的(de)(de)(de)穩定帶來極(ji)大的(de)(de)(de)影(ying)響。因(yin)此(ci)制定VPN方(fang)(fang)案(an)時應(ying)(ying)(ying)考慮到能夠對網絡(luo)(luo)通(tong)信進行(xing)(xing)控制來確(que)保其性能。我們可以通(tong)過VPN管理平臺來定義管理策略(lve)，分配(pei)基于數(shu)(shu)據(ju)傳輸重要(yao)性的(de)(de)(de)接口帶寬，這樣既能滿足重要(yao)數(shu)(shu)據(ju)優先應(ying)(ying)(ying)用(yong)的(de)(de)(de)原則，又不會屏蔽(bi)低(di)優先級的(de)(de)(de)應(ying)(ying)(ying)用(yong)。考慮到網絡(luo)(luo)設施(shi)的(de)(de)(de)日益(yi)完善、網絡(luo)(luo)應(ying)(ying)(ying)用(yong)程(cheng)序的(de)(de)(de)不斷(duan)增(zeng)(zeng)加、網絡(luo)(luo)用(yong)戶數(shu)(shu)量的(de)(de)(de)快速增(zeng)(zeng)長(chang)，對與(yu)復雜的(de)(de)(de)網絡(luo)(luo)管理、網絡(luo)(luo)安(an)全、權限(xian)分配(pei)的(de)(de)(de)綜合處(chu)理能力是VPN方(fang)(fang)案(an)應(ying)(ying)(ying)用(yong)的(de)(de)(de)關鍵。因(yin)此(ci)VPN方(fang)(fang)案(an)要(yao)有一個(ge)固(gu)定的(de)(de)(de)管理策略(lve)以減輕管理、報告等方(fang)(fang)面的(de)(de)(de)負擔，管理平臺要(yao)有一個(ge)定義安(an)全策略(lve)的(de)(de)(de)簡單方(fang)(fang)法，將安(an)全策略(lve)進行(xing)(xing)合理分布，并能管理大量網絡(luo)(luo)設備，確(que)保整個(ge)運行(xing)(xing)環境的(de)(de)(de)安(an)全穩定。

三、Windows環境(jing)下VPN網絡的設計與應用

企(qi)業利用(yong)(yong)Internet網絡(luo)技(ji)術(shu)和(he)Windows系統設計出VPN網絡(luo)，無需鋪設專用(yong)(yong)的(de)(de)(de)網絡(luo)通訊線路，即可實現遠程(cheng)終(zhong)端對企(qi)業資(zi)源的(de)(de)(de)訪問和(he)共享。在(zai)實際(ji)應用(yong)(yong)中(zhong)，VPN服(fu)務端需要建(jian)立在(zai)Windows服(fu)務器的(de)(de)(de)運行環(huan)境中(zhong)，客(ke)戶端幾乎適用(yong)(yong)于所有的(de)(de)(de)Windows操作(zuo)系統。下面以Windows2003系統為例介紹VPN服(fu)務器與客(ke)戶端的(de)(de)(de)配(pei)置(zhi)。

3.1Windows2003系(xi)統中VPN服務(wu)器的(de)安裝(zhuang)配(pei)置在(zai)Windows2003系(xi)統中VPN服務(wu)稱之為“路由(you)和遠程訪問”，需要(yao)對此(ci)服務(wu)進行必要(yao)的(de)配(pei)置使其生(sheng)效。

3.1.1VPN服務(wu)(wu)(wu)的(de)配置(zhi)(zhi)。桌面上(shang)選(xuan)(xuan)擇(ze)(ze)“開始”“管理工具”“路(lu)由(you)和(he)(he)遠程(cheng)(cheng)訪問”，打開“路(lu)由(you)和(he)(he)遠程(cheng)(cheng)訪問”服務(wu)(wu)(wu)窗(chuang)口(kou)(kou)；鼠標(biao)右鍵點擊本地計(ji)算機名，選(xuan)(xuan)擇(ze)(ze)“配置(zhi)(zhi)并啟(qi)用(yong)(yong)路(lu)由(you)和(he)(he)遠程(cheng)(cheng)訪問”；在出現的(de)配置(zhi)(zhi)向導窗(chuang)口(kou)(kou)點下一(yi)步，進入服務(wu)(wu)(wu)選(xuan)(xuan)擇(ze)(ze)窗(chuang)口(kou)(kou)；標(biao)準VPN配置(zhi)(zhi)需要兩(liang)塊網卡(ka)（分別對(dui)應內網和(he)(he)外網），選(xuan)(xuan)擇(ze)(ze)“遠程(cheng)(cheng)訪問（撥號或VPN）”；外網使(shi)用(yong)(yong)的(de)是(shi)Internet撥號上(shang)網，因此(ci)在彈出的(de)窗(chuang)口(kou)(kou)中(zhong)選(xuan)(xuan)擇(ze)(ze)“VPN”；下一(yi)步連接(jie)(jie)到Internet的(de)網絡接(jie)(jie)口(kou)(kou)，此(ci)時會看到服務(wu)(wu)(wu)器上(shang)配置(zhi)(zhi)的(de)兩(liang)塊網卡(ka)及(ji)其(qi)IP地址，選(xuan)(xuan)擇(ze)(ze)連接(jie)(jie)外網的(de)網卡(ka)；在對(dui)遠程(cheng)(cheng)客戶端指(zhi)(zhi)派地址的(de)時候，一(yi)般選(xuan)(xuan)擇(ze)(ze)“來自一(yi)個指(zhi)(zhi)定(ding)的(de)地址范(fan)圍”，根(gen)據內網網段的(de)IP地址，新建一(yi)個指(zhi)(zhi)定(ding)的(de)起(qi)始IP地址和(he)(he)結束(shu)IP地址。最(zui)后，“設置(zhi)(zhi)此(ci)服務(wu)(wu)(wu)器與RADIUS一(yi)起(qi)工作(zuo)”選(xuan)(xuan)否(fou)。VPN服務(wu)(wu)(wu)器配置(zhi)(zhi)完成。

3.1.2賦予(yu)用(yong)(yong)戶(hu)(hu)撥(bo)(bo)入(ru)權限(xian)設置。默認的系統用(yong)(yong)戶(hu)(hu)均被(bei)拒絕撥(bo)(bo)入(ru)到VPN服(fu)務(wu)器上，因(yin)此需要為遠端(duan)用(yong)(yong)戶(hu)(hu)賦予(yu)撥(bo)(bo)入(ru)權限(xian)。在“管(guan)(guan)理工具”中打開(kai)“計算機管(guan)(guan)理”控制臺；依次展開(kai)“本地(di)用(yong)(yong)戶(hu)(hu)和組(zu)”“用(yong)(yong)戶(hu)(hu)”，選(xuan)(xuan)中用(yong)(yong)戶(hu)(hu)并進(jin)入(ru)用(yong)(yong)戶(hu)(hu)屬性設置；轉到“撥(bo)(bo)入(ru)”選(xuan)(xuan)項(xiang)卡(ka)，在“選(xuan)(xuan)擇(ze)(ze)訪(fang)問權限(xian)(撥(bo)(bo)入(ru)或VPN)”選(xuan)(xuan)項(xiang)組(zu)下選(xuan)(xuan)擇(ze)(ze)“允(yun)許訪(fang)問”，即賦予(yu)了遠端(duan)用(yong)(yong)戶(hu)(hu)撥(bo)(bo)入(ru)VPN服(fu)務(wu)器的權限(xian)。

3.2VPN客(ke)戶端配(pei)置VPN客(ke)戶端適(shi)用(yong)范圍更(geng)廣，這里(li)以Windows2003為(wei)例(li)說明，其(qi)它的Windows操作系(xi)統配(pei)置步驟類似。

在(zai)(zai)桌面(mian)“網上鄰居(ju)”圖標點(dian)(dian)右鍵選(xuan)屬(shu)性(xing)，之后(hou)雙擊“新(xin)建連(lian)接(jie)向導(dao)”打開向導(dao)窗口(kou)后(hou)點(dian)(dian)下一(yi)步；接(jie)著在(zai)(zai)“網絡(luo)(luo)連(lian)接(jie)類(lei)型”窗口(kou)里選(xuan)擇(ze)“連(lian)接(jie)到我的(de)工作場所的(de)網絡(luo)(luo)”；在(zai)(zai)網絡(luo)(luo)連(lian)接(jie)方(fang)式窗口(kou)里選(xuan)擇(ze)“虛擬(ni)專用網絡(luo)(luo)連(lian)接(jie)”；接(jie)著為此(ci)連(lian)接(jie)命名后(hou)點(dian)(dian)下一(yi)步；在(zai)(zai)“VPN服(fu)務器(qi)選(xuan)擇(ze)”窗口(kou)里，輸入(ru)VPN服(fu)務端地址，可以是固定(ding)IP，也可以是服(fu)務器(qi)域名；點(dian)(dian)下一(yi)步依(yi)次完成客戶端設置。在(zai)(zai)連(lian)接(jie)的(de)登陸窗口(kou)中輸入(ru)服(fu)務器(qi)所指定(ding)的(de)用戶名和(he)密碼，即可連(lian)接(jie)上VPN服(fu)務器(qi)端。:

3.3連接后(hou)(hou)的共(gong)享(xiang)操作當VPN客戶端(duan)撥入連接以后(hou)(hou)，即可訪問服(fu)務器所(suo)在局(ju)域(yu)網里的信(xin)息資(zi)源，就(jiu)像并入局(ju)域(yu)網一樣適用(yong)。遠程用(yong)戶既可以使用(yong)企業OA，ERP等(deng)信(xin)息管理系統，也可以使用(yong)文(wen)件共(gong)享(xiang)和(he)打(da)印(yin)等(deng)共(gong)享(xiang)資(zi)源。

四、小結

現代化(hua)企(qi)(qi)(qi)業(ye)在(zai)信息處理方(fang)面廣泛地應用了計算機互(hu)聯網(wang)(wang)絡，在(zai)企(qi)(qi)(qi)業(ye)網(wang)(wang)絡遠程訪問以及(ji)企(qi)(qi)(qi)業(ye)電子商(shang)務(wu)(wu)環境中，虛擬專用網(wang)(wang)(VPN)技術(shu)(shu)(shu)為信息集(ji)成(cheng)與(yu)優(you)化(hua)提供了一(yi)個很好的(de)解決(jue)方(fang)案。VPN技術(shu)(shu)(shu)利用在(zai)公共(gong)網(wang)(wang)絡上建(jian)立安全的(de)專用網(wang)(wang)絡，從而為企(qi)(qi)(qi)業(ye)用戶(hu)提供了一(yi)個低成(cheng)本、高效率(lv)、高安全性的(de)資源(yuan)共(gong)享和(he)互(hu)聯服務(wu)(wu)，是企(qi)(qi)(qi)業(ye)內(nei)部(bu)網(wang)(wang)的(de)擴展和(he)延伸。VPN技術(shu)(shu)(shu)在(zai)企(qi)(qi)(qi)業(ye)資源(yuan)管(guan)理與(yu)配置、信息的(de)共(gong)享與(yu)交互(hu)、供應鏈集(ji)中管(guan)理、電子商(shang)務(wu)(wu)等(deng)方(fang)面都具有(you)很高的(de)應用價值，在(zai)未來的(de)企(qi)(qi)(qi)業(ye)信息化(hua)建(jian)設中具有(you)廣闊的(de)前景(jing)。

參考文獻:

篇2

      本篇(pian)校園網論文介紹加強對新(xin)技術在(zai)校園網中的應用理論研究，對實際(ji)的發展(zhan)有著重要的指導性。 

1 MPLS技術(shu)原理及體系結(jie)構分析 

1.1 MPLS技術原理分析(xi) 

從實際來看，在傳統以(yi)IP分組(zu)轉(zhuan)發的(de)技術方(fang)面，主要是(shi)在IP分組(zu)報(bao)頭基礎上，通過IP地址在路(lu)由表當中實施的(de)最(zui)長匹配(pei)查找。MPLS技術將網絡層(ceng)(ceng)靈活(huo)的(de)路(lu)由選擇功能及(ji)(ji)數(shu)據(ju)(ju)鏈路(lu)層(ceng)(ceng)高速交(jiao)換性(xing)能特點進行的(de)完美結(jie)合，這樣就(jiu)對以(yi)往(wang)的(de)以(yi)IP分組(zu)技術為主的(de)局限性(xing)得到(dao)了(le)優(you)(you)化(hua)。另外(wai)在這一技術上同時也(ye)引進了(le)標(biao)簽(qian)概念，這是(shi)比較(jiao)短并方(fang)便處置以(yi)及(ji)(ji)對拓撲信息沒有包含的(de)信息內容。這一原理(li)是(shi)對標(biao)簽(qian)交(jiao)換機(ji)制(zhi)進行的(de)引入(ru)，也(ye)就(jiu)是(shi)將路(lu)由控(kong)制(zhi)以(yi)及(ji)(ji)數(shu)據(ju)(ju)轉(zhuan)發等進行單獨(du)化(hua)的(de)處理(li)，從而(er)就(jiu)為每個IP數(shu)據(ju)(ju)包提供了(le)固定(ding)長度(du)標(biao)簽(qian)，就(jiu)決定(ding)了(le)數(shu)據(ju)(ju)包路(lu)徑及(ji)(ji)優(you)(you)先(xian)級。  　    　1.2 MPLS體系結(jie)構分析 

MPLS這一體系結構(gou)當中，MPLS所(suo)(suo)使用的(de)短而定長標(biao)簽封(feng)裝分(fen)(fen)(fen)組(zu)在數據平(ping)(ping)面(mian)實(shi)現了快速轉(zhuan)(zhuan)發功能(neng)，并在這一平(ping)(ping)面(mian)有著IP網(wang)絡(luo)的(de)強大靈活路由功能(neng)，對實(shi)際所(suo)(suo)需要的(de)網(wang)絡(luo)需求能(neng)夠得以有效(xiao)滿(man)足(zu)。其體系結構(gou)圖示如下圖1所(suo)(suo)示，針對核心的(de)LSR主(zhu)要是在平(ping)(ping)面(mian)進行標(biao)簽的(de)分(fen)(fen)(fen)組(zu)并轉(zhuan)(zhuan)發，在LER方(fang)面(mian)主(zhu)要是轉(zhuan)(zhuan)發平(ping)(ping)面(mian)所(suo)(suo)進行實(shi)施的(de)工(gong)作(zuo)任務，同(tong)時也包含了對傳統(tong)IP分(fen)(fen)(fen)組(zu)的(de)轉(zhuan)(zhuan)發。 

通過(guo)上圖就(jiu)(jiu)能夠(gou)看出(chu)，對(dui)(dui)這(zhe)一體系結(jie)構起到支持(chi)的主(zhu)要(yao)就(jiu)(jiu)是顯(xian)(xian)示(shi)路(lu)(lu)由(you)以(yi)及(ji)逐跳路(lu)(lu)由(you)，在對(dui)(dui)MPLS進(jin)(jin)行(xing)(xing)實(shi)際應用的過(guo)程(cheng)中(zhong)(zhong)，實(shi)行(xing)(xing)標記分發(fa)過(guo)程(cheng)中(zhong)(zhong)也需要(yao)對(dui)(dui)顯(xian)(xian)示(shi)路(lu)(lu)由(you)進(jin)(jin)行(xing)(xing)規定，但這(zhe)一路(lu)(lu)由(you)并不會對(dui)(dui)每個IP分組進(jin)(jin)行(xing)(xing)規定，這(zhe)樣就(jiu)(jiu)會使(shi)得MPLS顯(xian)(xian)示(shi)路(lu)(lu)由(you)會比傳統(tong)IP源(yuan)點路(lu)(lu)由(you)在作業(ye)額(e)效率上得到很(hen)大程(cheng)度的提升。不僅(jin)如此，在對(dui)(dui)MPLS LSP進(jin)(jin)行(xing)(xing)構建的過(guo)程(cheng)中(zhong)(zhong)，能夠(gou)通過(guo)有序LSP以(yi)及(ji)獨(du)立LSP進(jin)(jin)行(xing)(xing)控制。 

2 MPLS VPN技術在校園網中的規劃設(she)計及應用 

2.1 MPLS VPN技術在(zai)校園網中的(de)規劃設計分(fen)析 

通(tong)過對相關的(de)(de)(de)技(ji)術(shu)加以(yi)借鑒對校(xiao)園網(wang)(wang)要進(jin)行詳細的(de)(de)(de)規(gui)劃(hua)設計，通(tong)過實(shi)(shi)踐之后(hou)(hou)主要是采取了MPLS/BGP VPN技(ji)術(shu)作(zuo)為是實(shi)(shi)現(xian)MPLS VPN業(ye)務(wu)技(ji)術(shu)路(lu)線所構(gou)建的(de)(de)(de)各(ge)(ge)業(ye)務(wu)系統(tong)(tong)虛擬獨立網(wang)(wang)絡，而后(hou)(hou)在各(ge)(ge)業(ye)務(wu)系統(tong)(tong)部門間的(de)(de)(de)可控互(hu)通(tong)訪問(wen)。另外就(jiu)是在MPLS VPN技(ji)術(shu)支(zhi)持下通(tong)過對IP VPN部署來進(jin)行提供安全保證，構(gou)建能(neng)夠實(shi)(shi)現(xian)全網(wang)(wang)電子信息資源庫，以(yi)及(ji)通(tong)過H3C網(wang)(wang)管(guan)平臺技(ji)術(shu)進(jin)行實(shi)(shi)現(xian)網(wang)(wang)管(guan)中(zhong)心(xin)對全網(wang)(wang)MPLS VPN業(ye)務(wu)的(de)(de)(de)統(tong)(tong)一管(guan)理(li)。具體的(de)(de)(de)規(gui)劃(hua)設計能(neng)夠通(tong)過分校(xiao)區(qu)規(gui)劃(hua)以(yi)及(ji)主校(xiao)區(qu)規(gui)劃(hua)、共享數(shu)據VPN規(gui)劃(hua)的(de)(de)(de)方(fang)式(shi)進(jin)行實(shi)(shi)現(xian)。 

2.2 MPLS VPN技術在校園(yuan)網中的(de)實際(ji)應用 

通過對MPLS VPN技術在(zai)(zai)(zai)校園(yuan)(yuan)網(wang)(wang)中(zhong)的(de)簡單規(gui)劃設(she)計的(de)分析，主要(yao)是(shi)能夠在(zai)(zai)(zai)實際中(zhong)得(de)到應用(yong)(yong)(yong)。在(zai)(zai)(zai)具(ju)體應用(yong)(yong)(yong)中(zhong)主要(yao)是(shi)將(jiang)局(ju)域網(wang)(wang)交換技術作為(wei)(wei)重要(yao)的(de)基(ji)礎(chu)，并對虛擬局(ju)域網(wang)(wang)技術進(jin)行有機的(de)結(jie)合(he)，在(zai)(zai)(zai)校園(yuan)(yuan)網(wang)(wang)當(dang)中(zhong)來實現(xian)單純的(de)在(zai)(zai)(zai)OR基(ji)礎(chu)上第二層優先(xian)級服務(wu)。由于所需服務(wu)的(de)差異性，例如(ru)音視頻傳輸自(zi)身的(de)要(yao)求。故此(ci)要(yao)能夠緊密的(de)和服務(wu)機制(zhi)進(jin)行結(jie)合(he)，來為(wei)(wei)校園(yuan)(yuan)網(wang)(wang)當(dang)中(zhong)一些關鍵通信(xin)數據幀設(she)置(zhi)較高的(de)用(yong)(yong)(yong)戶優先(xian)級。 

另外就是(shi)要(yao)結(jie)合(he)實(shi)際進(jin)行(xing)差別(bie)服務結(jie)合(he)資源(yuan)預留協(xie)議，雖然在(zai)綜合(he)服務所(suo)提(ti)供的更(geng)高(gao)QOS保證(zheng)，而對于校園網(wang)這(zhe)類(lei)非(fei)運營性網(wang)絡來說，過高(gao)的實(shi)現現代價以及復(fu)雜度并非(fei)是(shi)合(he)適的。在(zai)具體(ti)的應用過程(cheng)中(zhong)要(yao)能夠對DS域設置問(wen)題以及DSCP分類(lei)實(shi)現問(wen)題進(jin)行(xing)有效的解決。MPLS VPN實(shi)現了(le)VPN間的路由(you)隔離，在(zai)每個PE路由(you)器方面為每個所(suo)連接的VPN都(dou)進(jin)行(xing)維(wei)護了(le)獨立虛擬路由(you)轉發實(shi)例，而每個VF駐留都(dou)是(shi)來自(zi)于同一VPN路由(you)配置，穿越MPLS核心到其(qi)它的PE路由(you)器過程(cheng)中(zhong)，這(zhe)一隔離是(shi)過多協(xie)議，并增加了(le)唯一VPN標(biao)識(shi)符進(jin)行(xing)實(shi)現。 

網(wang)(wang)絡(luo)(luo)通(tong)信的(de)(de)大部(bu)分信息(xi)不再來自工作(zuo)組內部(bu)，主(zhu)要是來自于外部(bu)對(dui)因特網(wang)(wang)的(de)(de)訪問(wen)(wen)，倘若是對(dui)第三(san)(san)層QOS問(wen)(wen)題得(de)到有(you)效(xiao)解決(jue)，那(nei)么在(zai)校(xiao)園網(wang)(wang)中(zhong)(zhong)所有(you)第三(san)(san)層網(wang)(wang)絡(luo)(luo)設(she)備就會(hui)成為校(xiao)園網(wang)(wang)QOS的(de)(de)發展瓶(ping)頸。從當前的(de)(de)大型復(fu)雜網(wang)(wang)絡(luo)(luo)建設(she)過程中(zhong)(zhong)能(neng)夠(gou)(gou)發現，通(tong)過對(dui)MPLS VPN技術的(de)(de)有(you)效(xiao)應(ying)用，能(neng)夠(gou)(gou)將信息(xi)受控(kong)訪問(wen)(wen)及安(an)全隔(ge)離等(deng)問(wen)(wen)題得(de)到有(you)效(xiao)的(de)(de)解決(jue)，這(zhe)一(yi)技術能(neng)夠(gou)(gou)保證各(ge)業務系(xi)(xi)統邏輯網(wang)(wang)絡(luo)(luo)相對(dui)獨立性，并對(dui)各(ge)種類(lei)型的(de)(de)業務系(xi)(xi)統安(an)全性有(you)著很(hen)強(qiang)的(de)(de)保護作(zuo)用，所以在(zai)校(xiao)園網(wang)(wang)的(de)(de)應(ying)用上有(you)著比較廣(guang)闊的(de)(de)前景。 

篇3

【關(guan)鍵詞】L2 VPNIPSec隧道虛擬化The Research and Design of IPSec-based L2 VPN

ZHU Yufeng（School of Electronics Engineering and Computer Science， Peking University， Beijing， 100871， China）

Abstract： L2 VPN is working at layer 2 of OSI network model， which can hide the geographical limitations and provide virtual private network service.

This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.

Key Words：L2 VPN， IPSec Tunnel， Virtualization

一、引言

隨著(zhu)虛擬(ni)化及云計算(suan)(suan)的(de)(de)興起和應用，VPN隧(sui)道(dao)成(cheng)為(wei)一個連接不同地區虛擬(ni)數據中(zhong)心或者云計算(suan)(suan)中(zhong)心的(de)(de)必備技術，其中(zhong)L2 VPN工作在OSI網(wang)絡模型的(de)(de)第二(er)層，它(ta)可(ke)以隱(yin)藏地域限制，提(ti)供虛擬(ni)專有網(wang)絡服務，能夠更(geng)好(hao)的(de)(de)滿足虛擬(ni)化及云計算(suan)(suan)的(de)(de)需求。

二、方法研究

L2 VPN基本的概念是將L2網(wang)(wang)橋和IPSec VPN網(wang)(wang)關結合，利(li)用VPN隧道(dao)模擬物(wu)理(li)網(wang)(wang)線，將2臺或(huo)者(zhe)多臺跨越因特網(wang)(wang)的網(wang)(wang)橋連(lian)接起來。

如圖所示：

為了(le)實現以上(shang)L2 VPN的功能，我們需要考(kao)慮(lv)以下因素：

（1）如何(he)將L2數據包導(dao)向(xiang)VPN隧道(dao)；

（2）如何封(feng)裝(zhuang)以太網幀；

（3）數(shu)據包的flow設計；

（4）如何支持VLAN；

（5）如何支持多站點多用戶（例如，星(xing)型拓撲）。

2.1重定向數(shu)據包到VPN隧道

為了很好的(de)(de)(de)連接L2網橋和VPN網關，我們定義(yi)一個(ge)虛(xu)(xu)擬的(de)(de)(de)隧道(dao)(dao)端(duan)(duan)口(kou)，用來解耦(ou)合(he)網橋和VPN的(de)(de)(de)功能(neng)。對(dui)于(yu)網橋來說(shuo)，虛(xu)(xu)擬隧道(dao)(dao)端(duan)(duan)口(kou)就像是一個(ge)物理端(duan)(duan)口(kou)一樣，用來收(shou)發以太網數據(ju)包(bao)。對(dui)于(yu)VPN網關來說(shuo)，虛(xu)(xu)擬隧道(dao)(dao)端(duan)(duan)口(kou)就是一個(ge)明文數據(ju)包(bao)進入加密(mi)隧道(dao)(dao)的(de)(de)(de)入口(kou)，所有到(dao)達虛(xu)(xu)擬隧道(dao)(dao)端(duan)(duan)口(kou)的(de)(de)(de)數據(ju)包(bao)，都將會(hui)被加密(mi)從隧道(dao)(dao)發出去(qu)。

虛擬隧道端(duan)(duan)口(kou)模擬物理以(yi)太網端(duan)(duan)口(kou)，它的功(gong)能如下(xia)：

（1）在(zai)內核中創建一個(ge)虛擬網絡端口；

（2）發送以(yi)太網數據包(bao)。而驅動(dong)程(cheng)序的發送功能(neng)，就(jiu)是VPN隧道加密。

（3）接收(shou)以太網(wang)數據包。VPN加密后(hou)，會把明文(wen)放(fang)到(dao)虛擬端口的接收(shou)隊列(lie)。

（4）支持網橋MAC反向學習。

（5）支持(chi)VLAN tag。

所有對于L2網(wang)橋看來(lai)，虛擬隧道端口和物(wu)理(li)網(wang)橋端口沒有任何區別，收到(dao)和發送的(de)都是(shi)以(yi)太(tai)網(wang)數據(ju)包。網(wang)橋也(ye)不知道VPN網(wang)關的(de)存(cun)在。同(tong)樣(yang)，VPN網(wang)關也(ye)知道網(wang)橋的(de)存(cun)在，到(dao)達VPN網(wang)關也(ye)只是(shi)以(yi)太(tai)網(wang)數據(ju)包。

2.2以太網數據包封裝

IPSec隧道工作在三層，用(yong)來設計封(feng)裝IP數據包，所(suo)以我(wo)們需(xu)要將以太網幀封(feng)裝成IP數據包，再將該IP數據包封(feng)裝成IPSec數據包。

我們可以考慮以下方式(shi)：

（1）EtherIP over IPSec；

（2）非標(biao)準的IPSec封裝；

（3）混合模式。

（8）VPN1收到ARP應(ying)答密(mi)文包，解密(mi)去EtherIP和IPSec包頭，查詢MAC地(di)(di)址(zhi)表(biao)，得(de)知出口是eth1，然后(hou)將報(bao)文發(fa)往PC1。此時，VPN1并且更新(xin)MAC地(di)(di)址(zhi)表(biao)。

VPN2網橋的MAC表：

（9）PC1收(shou)到(dao)ARP應答明文包，學到(dao)PC2的(de)MAC地址。然(ran)后(hou)發送ICMP請求(qiu)到(dao)PC2。數(shu)據(ju)包的(de)目的(de)MAC是PC2-MAC，源MAC是PC1-MAC。

（10）VPN1收到(dao)ICMP請求，查詢MAC地(di)址表(biao)得到(dao)出口是tun1，將數據包送(song)到(dao)VPN隧道加密，然后發往VPN2網關。

（11）VPN2收(shou)到ICMP請求，查(cha)詢(xun)MAC地址表，得到出(chu)口是eth1，將數(shu)據(ju)包(bao)發送到PC2。

（12）PC2收到ICMP請求并發送ICMP應(ying)(ying)答，該應(ying)(ying)答數據包被發發送到VPN2。

（13）VPN2收到(dao)ICMP應答(da)，查詢(xun)MAC地址表(biao)，得(de)到(dao)出口(kou)是tun1，將數據包通過隧(sui)道發送到(dao)VPN1。

（14）VPN1收到(dao)ICMP應答，查(cha)詢MAC地址表，得到(dao)出口是(shi)eth1，將數據包發送到(dao)PC1。

3.1VLAN支持

二層網橋可能連(lian)接很多VLAN，隧道(dao)端口(kou)需要工(gong)作在(zai)TRUNK模式，這(zhe)樣可以(yi)允許VLAN數據包通過VPN隧道(dao)。

拓撲如下：

EtherIP over IPSec可以封裝(zhuang)VLAN tag，但(dan)是overhead會比較大。一種優化的方法是分配每個tunnel端口和tunnel一個VALN tag，這樣就不(bu)需要(yao)封裝(zhuang)VLAN tag，提(ti)高(gao)有效載荷(he)。

3.2星(xing)型(xing)拓撲支持

要支(zhi)持(chi)Hub & Spoke星型拓撲(pu)，我(wo)們只需要再增加一(yi)個(ge)tunnel端口，并且把(ba)該端口綁定到(dao)一(yi)個(ge)到(dao)Spoke的VPN隧道(dao)。該設計非常靈活，易于擴展。

拓撲如下：

四、結束語

本文(wen)通過(guo)引(yin)入虛(xu)擬(ni)隧道端(duan)口，巧妙的將(jiang)L2網橋和IPSec VPN網關結合在一起，簡單(dan)并且有效的將(jiang)數據包重定向到VPN隧道。

另外，本文(wen)通過(guo)結合(he)EtherIP over IPSec封裝發送多播和廣播數(shu)據包，IPSec封裝發送單播數(shu)據包，有效(xiao)提(ti)高(gao)了VPN隧道的有效(xiao)載(zai)荷和傳輸性能。

參考文獻

[1] RFC3378： EtherIP： Tunneling Ethernet Frames in IP Datagrams

[2] RFC2784： Generic Routing Encapsulation

[3] RFC3438： Layer Two Tunneling Protocol

[4] RFC4664： Framework for Layer 2 Virtual Private Networks

[5] RFC4665： Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks

[6] RFC4026； Provider Provisioned Virtual Private Network （VPN） Terminology

[7] RFC4301： Security Architecture for the Internet Protocol

篇4

關鍵詞：文山學(xue)院 虛擬專(zhuan)用(yong)網(wang) VPN

一、現狀及需求

文(wen)山(shan)(shan)學(xue)(xue)(xue)(xue)院坐落于(yu)祖國(guo)西南邊陲云南省(sheng)文(wen)山(shan)(shan)州州府所在(zai)(zai)地(di)文(wen)山(shan)(shan)市，學(xue)(xue)(xue)(xue)校(xiao)(xiao)占地(di)948畝，有(you)教(jiao)(jiao)職工594人，學(xue)(xue)(xue)(xue)校(xiao)(xiao)設(she)(she)有(you)10個二級學(xue)(xue)(xue)(xue)院共43個本專(zhuan)科(ke)專(zhuan)業，全日(ri)制在(zai)(zai)校(xiao)(xiao)生(sheng)(sheng)9183人。從學(xue)(xue)(xue)(xue)校(xiao)(xiao)建設(she)(she)角(jiao)度(du)，可以把文(wen)山(shan)(shan)學(xue)(xue)(xue)(xue)院分為(wei)老校(xiao)(xiao)區和(he)新校(xiao)(xiao)區。學(xue)(xue)(xue)(xue)校(xiao)(xiao)校(xiao)(xiao)園網(wang)(wang)覆(fu)蓋到辦(ban)公樓、教(jiao)(jiao)學(xue)(xue)(xue)(xue)樓、教(jiao)(jiao)職工宿(su)舍(she)(she)樓及老校(xiao)(xiao)區部分學(xue)(xue)(xue)(xue)生(sheng)(sheng)宿(su)舍(she)(she)，由于(yu)校(xiao)(xiao)園網(wang)(wang)出口(kou)帶寬不(bu)高(gao)，整體網(wang)(wang)速慢以及很多學(xue)(xue)(xue)(xue)生(sheng)(sheng)宿(su)舍(she)(she)沒有(you)校(xiao)(xiao)園網(wang)(wang)布線，使得很多學(xue)(xue)(xue)(xue)生(sheng)(sheng)都是自己向(xiang)網(wang)(wang)絡供應(ying)商(shang)申請接入(ru)互(hu)聯(lian)網(wang)(wang)。由于(yu)我(wo)校(xiao)(xiao)的教(jiao)(jiao)務管理系統只能(neng)在(zai)(zai)校(xiao)(xiao)園網(wang)(wang)內部訪(fang)(fang)問(wen)，教(jiao)(jiao)師(shi)查詢教(jiao)(jiao)學(xue)(xue)(xue)(xue)信息以及考試成績等的錄入(ru)只能(neng)局限在(zai)(zai)校(xiao)(xiao)園網(wang)(wang)內部，另(ling)外廣大教(jiao)(jiao)師(shi)在(zai)(zai)獲取學(xue)(xue)(xue)(xue)校(xiao)(xiao)圖書館提供的電(dian)子圖書、科(ke)研論文(wen)等信息資源時，也只能(neng)在(zai)(zai)校(xiao)(xiao)園網(wang)(wang)訪(fang)(fang)問(wen)。因(yin)此，迫切需(xu)要一種方(fang)法能(neng)讓學(xue)(xue)(xue)(xue)校(xiao)(xiao)的師(shi)生(sheng)(sheng)無論是在(zai)(zai)學(xue)(xue)(xue)(xue)校(xiao)(xiao)內還是校(xiao)(xiao)外，都能(neng)順利地(di)訪(fang)(fang)問(wen)校(xiao)(xiao)園網(wang)(wang)里的資源。這對提高(gao)教(jiao)(jiao)學(xue)(xue)(xue)(xue)效率和(he)教(jiao)(jiao)師(shi)的科(ke)研水(shui)平都是很有(you)益的。因(yin)此，提出建設(she)(she)我(wo)校(xiao)(xiao)的VPN解(jie)決方(fang)案，能(neng)夠(gou)兼顧性能(neng)和(he)價(jia)格，實現真正意義的優(you)質(zhi)低價(jia)的網(wang)(wang)絡VPN互(hu)聯(lian)。

二、VPN技術(shu)分析

虛擬專用網(wang)(wang)（Virtual Private NetWork，VPN）是指利用Internet等公共(gong)網(wang)(wang)絡創建遠(yuan)程的計(ji)算(suan)機到局域(yu)網(wang)(wang)以(yi)及(ji)局域(yu)網(wang)(wang)到局域(yu)網(wang)(wang)的連接，而建立的一種可以(yi)跨躍更(geng)大的物理(li)范圍的局域(yu)網(wang)(wang)應用。

1.隧道技術

隧(sui)道(dao)技(ji)術(shu)（Tunneling）是一種(zhong)通(tong)(tong)過(guo)使用(yong)互(hu)聯網絡的(de)基礎設施在(zai)網絡之間傳(chuan)遞數(shu)(shu)據(ju)的(de)方式(shi)。使用(yong)隧(sui)道(dao)傳(chuan)遞的(de)數(shu)(shu)據(ju)（或(huo)負載）可(ke)以是不同協議的(de)數(shu)(shu)據(ju)幀或(huo)包。隧(sui)道(dao)協議將(jiang)其它協議的(de)數(shu)(shu)據(ju)幀或(huo)包重(zhong)新(xin)封(feng)裝(zhuang)然(ran)后通(tong)(tong)過(guo)隧(sui)道(dao)發送。新(xin)的(de)幀頭提供路由信息，以便通(tong)(tong)過(guo)互(hu)聯網傳(chuan)遞被封(feng)裝(zhuang)的(de)負載數(shu)(shu)據(ju)。

VPN采用(yong)隧道（Tunneling）技術，利(li)用(yong)PPTP與L2TP等協議對(dui)數(shu)據包進(jin)行封(feng)裝和加密，所以保證了在Internet等公共網絡上傳輸的數(shu)據的安(an)全性。

2.VPN分類

VPN按照(zhao)它的應用(yong)可以分為(wei)兩種(zhong)：單機(ji)到(dao)局(ju)域(yu)網的連(lian)接（point to LAN）（如(ru)圖(tu)1所示）和局(ju)域(yu)網到(dao)局(ju)域(yu)網的連(lian)接（LAN to LAN）[1]（如(ru)圖(tu)2所示）。

單機(ji)(ji)到局(ju)域網(wang)的連接(jie)(jie)適(shi)用于(yu)單個用戶連接(jie)(jie)到企(qi)業(ye)局(ju)域網(wang)。只(zhi)要(yao)用戶個人計算機(ji)(ji)能夠訪問Internet，用戶就能通過VPN方式跟企(qi)業(ye)局(ju)域網(wang)建立(li)連接(jie)(jie)，從而訪問企(qi)業(ye)局(ju)域網(wang)提供的資源。

局(ju)(ju)(ju)域(yu)(yu)(yu)網(wang)(wang)到局(ju)(ju)(ju)域(yu)(yu)(yu)網(wang)(wang)的連(lian)(lian)接適用于(yu)企(qi)(qi)業(ye)分支(zhi)機(ji)構（可(ke)以是多個分支(zhi)機(ji)構）連(lian)(lian)接到企(qi)(qi)業(ye)總部(bu)局(ju)(ju)(ju)域(yu)(yu)(yu)網(wang)(wang)。企(qi)(qi)業(ye)分支(zhi)機(ji)構和企(qi)(qi)業(ye)總部(bu)既可(ke)以通(tong)過Internet互(hu)聯也可(ke)以通(tong)過專線連(lian)(lian)接，達到分支(zhi)機(ji)構局(ju)(ju)(ju)域(yu)(yu)(yu)網(wang)(wang)和總部(bu)局(ju)(ju)(ju)域(yu)(yu)(yu)網(wang)(wang)邏輯上屬于(yu)一(yi)個更大的局(ju)(ju)(ju)域(yu)(yu)(yu)網(wang)(wang)，實現資(zi)源的相互(hu)共享。

圖(tu)1單機到局域網的連(lian)接

圖2 局域網到局域網的連接

根據我校(xiao)的實際情況，提供VPN服務可以方便廣大(da)師生員工通過(guo)外網訪(fang)問(wen)校(xiao)園網登陸(lu)教務管理系統數字圖書(shu)館等操作，選擇單機到(dao)局(ju)域網的連接。

一個(ge)完整的VPN系統一般由VPN服(fu)務器、VPN數據通道(dao)和VPN客戶(hu)端三個(ge)單元(yuan)構成。

三、VPN服務器及客戶機的(de)安裝配置

1.VPN服務器的安裝(zhuang)與(yu)配置(zhi)

方(fang)案以(yi)安裝(zhuang)有Windows Server 2008操(cao)作系統作為VPN服務器(qi)。

①單擊“開始”“程序”“管理(li)工具”“管理(li)您的服務器”命令，添加“遠(yuan)程訪問/VPN服務器”角色，啟(qi)動“路由(you)和遠(yuan)程訪問服務器向導”

②在向導的配置界面中，選擇“虛擬(ni)專(zhuan)用網(wang)絡（VPN）訪問和NAT”單(dan)選按(an)(an)鈕(niu)，配置該服(fu)務器(qi)為VPN服(fu)務器(qi)，同時具有NAT功能，然后單(dan)擊(ji)“下一步”按(an)(an)鈕(niu)

③選擇(ze)“VPN”和撥號復選框(kuang)，然后單擊(ji)“下一(yi)步”按鈕(niu)

④使用VPN，在VPN服(fu)務(wu)器上必須有兩個網絡接(jie)(jie)口，一(yi)個連(lian)接(jie)(jie)到Internet，一(yi)個接(jie)(jie)到校園(yuan)網網絡。選擇“本(ben)地連(lian)接(jie)(jie)”為VPN服(fu)務(wu)器到Internet的網絡接(jie)(jie)口，“本(ben)地連(lian)接(jie)(jie)2”連(lian)接(jie)(jie)到校園(yuan)局域網。單(dan)擊“下一(yi)步”按鈕

⑤選擇“自動(dong)”單選按鈕，因(yin)為校(xiao)園網內專(zhuan)門有DHCP服務器(qi)進行(xing)IP地(di)址的指派(pai)。單擊“下一步”按鈕

⑥提(ti)示是否(fou)選擇此(ci)服務(wu)器與RADIUS服務(wu)器一起工作，選擇“否(fou)”，單擊“下一步”按鈕

⑦最后單擊“完(wan)成”按鈕，結束“遠程訪問/VPN服(fu)務器(qi)”的配(pei)置。

為用(yong)戶配置遠程(cheng)訪問權限

用戶(hu)(hu)可以通過VPN服務器上(shang)的(de)本地用戶(hu)(hu)賬(zhang)戶(hu)(hu)和局域網中(zhong)的(de)域用戶(hu)(hu)賬(zhang)戶(hu)(hu)通過VPN訪(fang)問局域網。要使用戶(hu)(hu)通過VPN訪(fang)問局域網，賬(zhang)戶(hu)(hu)都(dou)應該具有“撥入權(quan)限”。

2.VPN客戶端計(ji)算機(ji)安裝與配置

遠程客戶首要條件是(shi)已經(jing)連接到Internet。遠程客戶機接入(ru)Internet可(ke)以(yi)是(shi)通過寬帶撥號，也可(ke)以(yi)是(shi)局域網到Internet的(de)網絡(luo)連接。

方案以安裝有windows 7 SP1操作系(xi)統作為VPN客戶(hu)端(duan)。

①打開控制面板進(jin)入“網絡和共享中心”。

②點擊(ji)進(jin)入“設(she)置(zhi)新的(de)連接和網(wang)絡”，選擇“連接到工作區”并點擊(ji)“下一步”。

③點擊(ji)“使(shi)用我的Internet連接（VPN）”

④在“Internet地址”欄(lan)輸(shu)入(ru)企(qi)業網絡地址，并“下一(yi)步”。

⑤輸入企(qi)業網絡管理員提供的用戶名和密碼，點擊“連(lian)接(jie)”便可以(yi)連(lian)接(jie)到企(qi)業網絡。

⑥連接成功后，VPN客戶端邏輯(ji)上已經(jing)和企業網(wang)絡處在(zai)同一局域(yu)網(wang)內，此時(shi)VPN客戶端便可以使(shi)用遠程局域(yu)網(wang)提供的各種資源。

四、結論

建(jian)立(li)校園VPN，可以利(li)(li)用現有的(de)公(gong)共網絡(luo)資源，在普通用戶和(he)校區之間建(jian)立(li)安(an)全、可靠、經濟和(he)高效的(de)傳(chuan)(chuan)輸(shu)鏈(lian)路，利(li)(li)用Internet的(de)傳(chuan)(chuan)輸(shu)線路保證了(le)網絡(luo)的(de)互聯性，采用隧(sui)道、加(jia)密等VPN技術保證了(le)信息(xi)(xi)傳(chuan)(chuan)輸(shu)的(de)安(an)全性，從(cong)而極大(da)地提(ti)高了(le)辦公(gong)效率，節省(sheng)了(le)學校資源，為校園信息(xi)(xi)化建(jian)設奠定了(le)基礎。

參考文獻：

[1]郝興偉.計算機網絡技術及應用[M].中國水利(li)水電(dian)出版社，2009年：196-212.

[2]高博(bo)，趙映紅.虛擬專(zhuan)用(yong)網絡（VPN）技(ji)術應(ying)用(yong)與實(shi)踐[J].水科學(xue)與工程技(ji)術，2014（3）：93-96.

篇5

關鍵(jian)詞:訪問型(xing)VPN;L2TP;IPSec;PPP;隧道

中圖分類號:TP393文獻標識碼(ma):A文章編號:1009-3044(2009)31-pppp-0c

Research of Access VPN Solution Based on L2TP and IPSEC

JIANG Ying1, MIAO Chang-yun2

(1.Tianjin Polytechnic University,Tianjin 300000,China;2.HeBei University of Technology LangFang Department,LangFang 065000,China)

 Abstract: Tunneling is the key technology for constructing Virtual Private Network(VPN). As the noticeable tunnel protocols,Layer Two Tunneling Protocol (L2TP) and IP Security Protocol (IPSec) are firstly introduced in this paper. we analyze the latent security trouble of Access VPN based on L2TP, and the cause, which restricts the secure creation of IP-VPN with IPSec. Finally we provide the Access VPN solution based on L2TP and IPSEC.

Key words: Access VPN; L2TP; IPSec; PPP; Tunnel

虛擬專用(yong)(yong)網(wang)絡(luo)(luo)(VPN,Virtual Private Network),是利用(yong)(yong)各種安全(quan)協(xie)議,在公(gong)眾網(wang)絡(luo)(luo)中建(jian)立安全(quan)隧(sui)道,將遠程的(de)分支(zhi)機(ji)構(gou)、商業伙伴、移動辦公(gong)人員等與總部(bu)(bu)連接起來,并且(qie)提供(gong)安全(quan)的(de)端到端的(de)數據(ju)通(tong)信的(de)一種網(wang)絡(luo)(luo)技術。最初VPN是以LAN間(jian)互連型VPN為主要目的(de)開發的(de),但隨(sui)著公(gong)司職(zhi)工(gong)異地辦工(gong)和移動用(yong)(yong)戶遠程通(tong)信的(de)迫切(qie)需(xu)要,訪問(wen)型VPN日益受到重視(shi)。訪問(wen)型VPN即處于公(gong)司內(nei)(nei)部(bu)(bu)網(wang)外部(bu)(bu)的(de)終端通(tong)過在Internet網(wang)上構(gou)建(jian)的(de)VPN與公(gong)司內(nei)(nei)部(bu)(bu)網(wang)相(xiang)連,使外部(bu)(bu)終端能夠像(xiang)內(nei)(nei)部(bu)(bu)網(wang)中的(de)用(yong)(yong)戶一樣使用(yong)(yong)內(nei)(nei)部(bu)(bu)網(wang)資(zi)源。

目(mu)前VPN主(zhu)要采用四(si)項技(ji)術來(lai)保證(zheng)通(tong)信安全(quan)[1]:隧(sui)(sui)(sui)(sui)道(dao)(dao)技(ji)術、加解密技(ji)術、密鑰交換與管理技(ji)術、身(shen)份認證(zheng)技(ji)術。隧(sui)(sui)(sui)(sui)道(dao)(dao)技(ji)術是VPN的核(he)心技(ji)術,類似于點(dian)對點(dian)連接(jie)技(ji)術,它在公用網建立一條(tiao)數據通(tong)道(dao)(dao)(隧(sui)(sui)(sui)(sui)道(dao)(dao)),使數據包通(tong)過這條(tiao)隧(sui)(sui)(sui)(sui)道(dao)(dao)安全(quan)傳(chuan)輸(shu)。隧(sui)(sui)(sui)(sui)道(dao)(dao)由(you)(you)隧(sui)(sui)(sui)(sui)道(dao)(dao)協議(yi)(yi)形(xing)成,隧(sui)(sui)(sui)(sui)道(dao)(dao)協議(yi)(yi)規定了隧(sui)(sui)(sui)(sui)道(dao)(dao)的建立,維護和刪除規則以(yi)及(ji)怎樣將用戶(hu)數據封(feng)裝(zhuang)在隧(sui)(sui)(sui)(sui)道(dao)(dao)中進行傳(chuan)輸(shu)。到現在為止(zhi),比較成熟(shu)的隧(sui)(sui)(sui)(sui)道(dao)(dao)協議(yi)(yi)有:1) 鏈路層隧(sui)(sui)(sui)(sui)道(dao)(dao)協議(yi)(yi),主(zhu)要有點(dian)對點(dian)隧(sui)(sui)(sui)(sui)道(dao)(dao)協議(yi)(yi)PPTP、第二(er)層轉發協議(yi)(yi)L2F以(yi)及(ji)第二(er)層隧(sui)(sui)(sui)(sui)道(dao)(dao)協議(yi)(yi)L2TP;2) 網絡層隧(sui)(sui)(sui)(sui)道(dao)(dao)協議(yi)(yi),主(zhu)要有通(tong)用路由(you)(you)封(feng)裝(zhuang)協議(yi)(yi)GRE和IP安全(quan)協議(yi)(yi)IPSec。

L2TP是(shi)對端到(dao)端協(xie)(xie)(xie)議(yi)(yi)(PPP)的(de)(de)(de)一(yi)種(zhong)擴展,它(ta)(ta)結合了(le)(le)L2F和(he)(he)PPTP的(de)(de)(de)優點(dian),成為IETF有關二層隧道協(xie)(xie)(xie)議(yi)(yi)的(de)(de)(de)工業(ye)標準。像PPTP一(yi)樣,L2TP支持多(duo)種(zhong)傳(chuan)輸(shu)協(xie)(xie)(xie)議(yi)(yi),它(ta)(ta)將用戶(hu)的(de)(de)(de)數(shu)據(ju)封(feng)裝在PPP幀中,然后通過IP骨(gu)干網進行(xing)傳(chuan)輸(shu)。與(yu)PPTP不(bu)同的(de)(de)(de)是(shi),L2TP對隧道維(wei)護和(he)(he)用戶(hu)數(shu)據(ju)都(dou)使用UDP作(zuo)為封(feng)裝方法。盡(jin)管(guan)許多(duo)人(ren)相(xiang)信L2TP是(shi)安全(quan)的(de)(de)(de)協(xie)(xie)(xie)議(yi)(yi),但是(shi)它(ta)(ta)除了(le)(le)提供(gong)(gong)方便(bian)的(de)(de)(de)用戶(hu)和(he)(he)連(lian)接的(de)(de)(de)認證外(wai),自(zi)身對傳(chuan)輸(shu)的(de)(de)(de)用戶(hu)數(shu)據(ju)并不(bu)執(zhi)行(xing)任何(he)加密(mi),因此,它(ta)(ta)不(bu)能提供(gong)(gong)安全(quan)的(de)(de)(de)隧道;IPSec則(ze)不(bu)然,它(ta)(ta)工作(zuo)在OSI參考模型的(de)(de)(de)網絡層(第三層)。其最大的(de)(de)(de)優點(dian)是(shi)提供(gong)(gong)了(le)(le)非(fei)常強大的(de)(de)(de)安全(quan)功能,包(bao)括數(shu)據(ju)的(de)(de)(de)機密(mi)性、數(shu)據(ju)完整性和(he)(he)驗證、抗回放檢測等(deng)服務。

L2TP是一種訪(fang)問(wen)(wen)型VPN解決方案(an),它(ta)不能(neng)提供安(an)全的隧道,并不能(neng)滿足用戶對(dui)數據(ju)傳輸安(an)全性的需求。如果需要安(an)全的VPN,則需要IPSec和(he)L2TP結合使用。本文對(dui)L2TP和(he)IPSec分別進(jin)行討論,分析其優缺(que)點,并給出利用L2TP與IPSec結合實現訪(fang)問(wen)(wen)型VPN的解決方案(an)。

1 L2TP和IPSEC協議分析(xi)

1.1 第(di)二層隧道協議 L2TP

L2TP協議(yi)是將PPP分(fen)組進行隧(sui)(sui)(sui)道(dao)封裝(zhuang)并在(zai)不同(tong)的(de)傳輸媒體上傳輸,所(suo)以L2TP可看作虛擬PPP連續,并且它(ta)利用(yong)PPP NCP來協商IP的(de)分(fen)配。使用(yong)L2TP,有兩種隧(sui)(sui)(sui)道(dao)模式:自(zi)愿(yuan)隧(sui)(sui)(sui)道(dao)模式和強(qiang)制(zhi)隧(sui)(sui)(sui)道(dao)模式。在(zai)自(zi)愿(yuan)隧(sui)(sui)(sui)道(dao)中(zhong),遠程訪問(wen)用(yong)戶(hu)運(yun)行L2TP,并且建立(li)到(dao)服(fu)務(wu)器的(de)VPN連接;在(zai)強(qiang)制(zhi)隧(sui)(sui)(sui)道(dao)中(zhong),另外(wai)一(yi)臺設(she)備代表用(yong)戶(hu),負責建立(li)隧(sui)(sui)(sui)道(dao)。如圖(tu)1所(suo)示,L2TP主(zhu)要由訪問(wen)集中(zhong)器LAC (L2TP Access Concentrator)和網絡服(fu)務(wu)器LNS (L2TP Network Server)構成。LAC支持客戶(hu)端的(de)L2TP,用(yong)于發起呼(hu)叫(jiao)、接收呼(hu)叫(jiao)和建立(li)隧(sui)(sui)(sui)道(dao)。LNS是所(suo)有隧(sui)(sui)(sui)道(dao)的(de)終點(dian)。在(zai)傳統(tong)的(de)PPP連接中(zhong),用(yong)戶(hu)撥號連接的(de)終點(dian)是LAC,L2TP使得PPP協議(yi)的(de)終點(dian)延伸(shen)到(dao)LNS。L2TP解決了多個PPP鏈路的(de)捆(kun)綁(bang)問(wen)題,使物(wu)理上連接到(dao)不同(tong)NAS的(de)PPP鏈路,在(zai)邏輯上的(de)終結點(dian)為同(tong)一(yi)個物(wu)理設(she)備。

作為PPP的(de)擴展,L2TP支持(chi)標準(zhun)的(de)安(an)全(quan)(quan)特性(xing)(xing)CHAP和PAP,可以進行用(yong)戶(hu)身份認證。L2TP定(ding)義了控制(zhi)包的(de)加密(mi)(mi)傳輸,每(mei)個被建立的(de)隧道(dao)生(sheng)成一個獨一無(wu)二的(de)隨機鑰匙,以便抵(di)抗欺騙性(xing)(xing)的(de)攻擊,但是它對傳輸中(zhong)的(de)用(yong)戶(hu)數據并不加密(mi)(mi)。因此,L2TP并不能滿足用(yong)戶(hu)對安(an)全(quan)(quan)性(xing)(xing)的(de)需求,L2TP封裝存在以下安(an)全(quan)(quan)隱患[2]:

1)L2TP分組(zu)在(zai)網上傳輸時,攻擊者可以通過竊取數據分組(zu)而知(zhi)曉用(yong)戶身(shen)份;

2)攻擊者(zhe)可以修改L2TP控制數據和(he)L2TP數據分(fen)組(zu);

3)攻(gong)擊者可以(yi)劫(jie)持L2TP隧道或(huo)隧道中的PPP連(lian)接;

4)攻(gong)擊者可以通過終止PPP連(lian)接或L2TP隧道,而進行拒絕服務攻(gong)擊;

5)攻擊者可(ke)以修改PPP ECP或CCP協(xie)議(yi)(yi),以削弱或去除對PPP連(lian)接(jie)的機(ji)密性保(bao)護;也(ye)可(ke)通過破壞PPP LCP鑒別(bie)協(xie)議(yi)(yi)而削弱PPP鑒別(bie)過程的強度或獲取用(yong)戶口(kou)令。

1.2 IP安全協(xie)議(yi)IPSec

IPSec是IETF IPSec工作組制訂(ding)的一組基(ji)于(yu)密碼(ma)學的開放網絡安(an)全(quan)協(xie)議,用以(yi)保(bao)(bao)證IP網絡上數據通(tong)信的安(an)全(quan)性(xing)。IPSec利用密碼(ma)技術從三個方面來保(bao)(bao)證數據的安(an)全(quan):通(tong)過認證,對(dui)主機(ji)和(he)端點進行(xing)身(shen)份鑒別;利用完整(zheng)性(xing)檢查來保(bao)(bao)證數據在傳(chuan)輸過程中沒(mei)有被修改;加密IP地址和(he)數據以(yi)保(bao)(bao)證數據私(si)有性(xing)。

IPSec的(de)安全結構(gou)由三(san)個(ge)主要的(de)協議組成:封裝安全負載(Encapsulating Security Payload, ESP) 定(ding)(ding)(ding)義(yi)(yi)了為通(tong)信(xin)提供機密性、完(wan)整(zheng)性保護和(he)抗(kang)重播服(fu)務(wu)的(de)具(ju)體實現(xian)方法。認證頭(Authentication Header, AH) 定(ding)(ding)(ding)義(yi)(yi)了為通(tong)信(xin)提供完(wan)整(zheng)性和(he)抗(kang)重放服(fu)務(wu)的(de)具(ju)體實現(xian)方法。ESP和(he)AH協議都(dou)有(you)一(yi)個(ge)確(que)定(ding)(ding)(ding)特定(ding)(ding)(ding)的(de)算法和(he)可選功能的(de)支持文獻集。

Internet安(an)全協(xie)會和密(mi)鑰管(guan)(guan)理協(xie)議(yi)(yi)(ISAKMP)是(shi)IPSec的另一個(ge)主要組(zu)件。ISADMP提供(gong)了(le)用(yong)于應用(yong)層服(fu)務的通用(yong)格式,它支持IPSec協(xie)議(yi)(yi)和密(mi)鑰管(guan)(guan)理需求。IETF設計了(le)Oakley密(mi)鑰確定(ding)協(xie)議(yi)(yi)(Key Determination Protocol)來實施ISAKMP功能。這個(ge)協(xie)議(yi)(yi)在通信系(xi)(xi)統之(zhi)間建立一個(ge)安(an)全聯系(xi)(xi),它是(shi)一個(ge)產生和交(jiao)換IPSec密(mi)鑰材料并且協(xie)調IPSec參數的框(kuang)架。

IPSec提供了網絡層(ceng)IP的(de)安全機制,能夠對IP數據流完整性、機密性、防重放等進行保護,也能提供靈(ling)活的(de)連接級(ji)、數據分組級(ji)的(de)源鑒別。目前,通常利用IPSec在INTERNET網上構建(jian)LAN間的(de)VPN,但不被用于獨立構建(jian)遠程訪問(wen)型VPN,主(zhu)要原因如下:

1)IPSec雖然提供了(le)很(hen)強的(de)(de)主機級的(de)(de)身份(fen)鑒別,但它只能支持有限的(de)(de)用戶(hu)級身份(fen)鑒別。而在遠(yuan)程(cheng)(cheng)訪問型VPN中遠(yuan)程(cheng)(cheng)終端用戶(hu)要進(jin)入企業內部網必須進(jin)行(xing)嚴(yan)格(ge)的(de)(de)身份(fen)鑒別。目前(qian)IPSec協(xie)議還不能方便、有效地實(shi)現這(zhe)項功能。

2)在(zai)IPSec安全協(xie)議中,總是假設封裝(zhuang)的分(fen)組是IP分(fen)組,目前尚(shang)不能支持多協(xie)議封裝(zhuang)。

3)目前的(de)IPSec只支持(chi)以(yi)固定的(de)IP地址查找對應(ying)的(de)預享密鑰、證書等鑒別信(xin)息,尚不支持(chi)動態(tai)分(fen)配的(de)IP地址。而出差在外的(de)公司員工通常使用電話撥號(hao)方式接入(ru)INTERNET網,此時(shi)用戶使用的(de)是動態(tai)分(fen)配的(de)IP地址,因(yin)此無法通過身份鑒別,接入(ru)內(nei)部網。

通(tong)過以上對(dui)L2TP和IPSec協議(yi)各自優缺點的(de)分析,可以考慮構建一種更加安全(quan)、經濟的(de)遠程訪問VPN的(de)解決方案:將L2TP協議(yi)和IPSec協議(yi)綜合起來使用(yong)(yong),利用(yong)(yong)IPSec彌(mi)補L2TP的(de)安全(quan)方面的(de)不足(zu),同(tong)時(shi)又利用(yong)(yong)L2TP彌(mi)補IPSec在用(yong)(yong)戶級鑒別、授權等方面的(de)不足(zu)。

2 基于L2TP/IPSec構建訪問(wen)型VPN

2.1 L2TP/IPSec方案的原理分析(xi)

通(tong)(tong)過(guo)分析可知:L2TP 其實就是(shi)IP 封裝(zhuang)(zhuang)(zhuang)協議的(de)(de)(de)(de)另一(yi)個(ge)變種,L2TP通(tong)(tong)道的(de)(de)(de)(de)IP 封裝(zhuang)(zhuang)(zhuang)結(jie)構為(wei)(IP 報(bao)頭(tou)(tou)(UDP 報(bao)頭(tou)(tou)(L2TP報(bao) 頭(tou)(tou)(PPP報(bao)頭(tou)(tou)(PPP 負載)))))。創建一(yi)個(ge)L2TP 通(tong)(tong)道就是(shi)將L2TP幀(zhen)封裝(zhuang)(zhuang)(zhuang)在(zai)UDP 報(bao)頭(tou)(tou)中(zhong),再將該UDP保文(wen)封裝(zhuang)(zhuang)(zhuang)在(zai)以通(tong)(tong)道端(duan)點作(zuo)為(wei)源地(di)址和目(mu)的(de)(de)(de)(de)地(di)址的(de)(de)(de)(de)IP 報(bao)文(wen)中(zhong)。因為(wei)外部封裝(zhuang)(zhuang)(zhuang)使用(yong)的(de)(de)(de)(de)是(shi)IP協議,所以IPSec可以用(yong)于保護上述合成(cheng)的(de)(de)(de)(de)IP數據報(bao)文(wen),也就是(shi)保護L2TP通(tong)(tong)道中(zhong)流動的(de)(de)(de)(de)數據。

假設所有的隧道和鏈路都已經建(jian)立(li)成功(gong),遠程(cheng)用戶(hu)使用該VPN進(jin)行通信的過程(cheng)如下[3]:

1)首先遠程用戶(hu)端產生一個(ge)(ge)終止于LNS的、封裝了一個(ge)(ge)內部IP包的PPP包,內部IP包的源地址是(shi)LNS分配給用戶(hu)的VPN內網(wang)(wang)地址,目的地址是(shi)VPN內網(wang)(wang)服務器,這(zhe)個(ge)(ge)PPP包通過用戶(hu)和LAC間的PPP物(wu)理鏈路傳送到LAC。

2)LAC根據PPP包中的用(yong)戶名找到對(dui)應的L2TP隧(sui)道和IPSec隧(sui)道并對(dui)其進(jin)行L2TP封裝和IPSec處理,生成L2TP/IPSec包。

3)LAC從自己(ji)的動態IP池里分配一(yi)個隨機IP地址,為L2TP/IPSec包封裝(zhuang)外部IP頭并傳送(song)給(gei)LNS。

4)LNS收到這個(ge)包后(hou),首先進行IPSec的解密和(he)認證(zheng)處理,然(ran)后(hou)依次去除L2TP頭(tou)(tou)和(he)PPP頭(tou)(tou),最后(hou)根據內部IP頭(tou)(tou)的目(mu)的地址(zhi)發往VPN內網服(fu)務器(qi)。

在(zai)L2TP/IPSec 方案實現(xian)時(shi),L2TP運(yun)行(xing)(xing)在(zai)IP 之上,而IP層已經部(bu)署了IPSec軟件,所以(yi)在(zai)LAC和LNS之間所有(you)的(de)(de)數(shu)(shu)據包(bao)(bao)在(zai)傳遞給L2TP軟件處(chu)理前都要進行(xing)(xing)IPSec的(de)(de)相應處(chu)理。假設(she)IPSec軟件提供了ESP和AH兩種(zhong)安全(quan)協議,那(nei)么IPSec便可以(yi)首先使用(yong)ESP 完(wan)成對(dui)L2TP包(bao)(bao)加(jia)密(mi)的(de)(de)工作,對(dui)整個高層報文進行(xing)(xing)保護,然后利用(yong)AH對(dui)加(jia)密(mi)數(shu)(shu)據和外部(bu)頭進行(xing)(xing)認證(zheng),生成的(de)(de)L2TP/IPSec包(bao)(bao)格式如圖(tu)2所示。其中IP2是內部(bu)的(de)(de)IP頭部(bu),包(bao)(bao)含有(you)數(shu)(shu)據的(de)(de)真(zhen)正的(de)(de)源和目的(de)(de)地(di)址選(xuan)項(xiang)(一般考慮為(wei)私有(you)地(di)址)。IP1利用(yong)公網的(de)(de)傳輸特性(xing)(如公共網的(de)(de)傳輸地(di)址、帶寬(kuan)等)傳送內部(bu)數(shu)(shu)據。

本(ben)實現(xian)方案中,由L2TP提供隧(sui)道(dao)服(fu)務(wu)(wu),而(er)IPSec提供安(an)全服(fu)務(wu)(wu),這樣可以提供一(yi)個更安(an)全的(de)(de)(de)VPN實現(xian)方案。通過將L2TP的(de)(de)(de)基于(yu)點到點協議(PPP)的(de)(de)(de)特點和IPSec的(de)(de)(de)安(an)全特點結(jie)合在一(yi)起(qi),不僅利用了(le)L2TP的(de)(de)(de)封裝(zhuang)機制,而(er)且對數(shu)據(ju)分組提供了(le)安(an)全性保護,可以防止(zhi)非法用戶對VPN的(de)(de)(de)攻擊(ji),能(neng)夠滿足遠程用戶接入VPN的(de)(de)(de)要求。

2.2 L2TP/IPSec方(fang)案(an)的應用(yong)模(mo)式

2.2.1 基于L2TP和IPSec的自愿隧道模式(shi)

這(zhe)種模(mo)式(shi)下,L2TP和IPSec均(jun)安(an)裝于遠程用戶(hu)主(zhu)(zhu)機(ji)上。此時用戶(hu)主(zhu)(zhu)機(ji)充當了LAC,用戶(hu)自主(zhu)(zhu)對L2TP進行配置和管理。如圖(tu)3所示,LAC將L2TP分組發送到(dao)ISP,再經過(guo)Internet到(dao)LNS,通(tong)過(guo)一個(ge)訪問連(lian)接將L2TP依(yi)次封裝在PPP和IP包中,這(zhe)樣LAC可以(yi)取(qu)

(下轉第8654頁)

(上接第8646頁(ye))

得它(ta)與(yu)LNS端的SA屬性。如果(guo)LAC取(qu)得SA,它(ta)能獲得LAC和LNS的安全服務[4]。由于LAC和LNS之(zhi)間有安全服務,則可以利用IPSec而取(qu)消PPP的加密和壓縮(suo)。

2.2.2 基(ji)于IPSec和L2TP的強制隧道的模式

此種模式(shi)將(jiang)IPSec安(an)裝(zhuang)于遠(yuan)程(cheng)訪問主機,而L2TP集成于LAC。PPP Client發送PPP幀給(gei)LAC,在LNS端收(shou)到的(de)數據包(bao)是(shi)封裝(zhuang)了PPP的(de)L2TP包(bao),如圖(tu)4所(suo)示。在這種模式(shi)下,Client和(he)(he)(he)LNS擁有安(an)全服(fu)務的(de)不(bu)同的(de)信息,PPP加(jia)(jia)密(mi)和(he)(he)(he)壓(ya)縮(suo)(suo)是(shi)否執行,要依(yi)靠Client的(de)策略。由于Client沒有任(ren)何LAC和(he)(he)(he)LNS之間(jian)(jian)的(de)服(fu)務,而Client不(bu)信任(ren)LAC以(yi)及它(ta)(ta)和(he)(he)(he)LAC之間(jian)(jian)的(de)線路,Client 一般(ban)要求(qiu)它(ta)(ta)到LNS的(de)端到端的(de)IPSec加(jia)(jia)密(mi)或者PPP的(de)加(jia)(jia)密(mi)/壓(ya)縮(suo)(suo)[5]。

3 結束語

以(yi)L2TP協議(yi)與IPSec協議(yi)的(de)(de)結合使用來(lai)實現(xian)訪(fang)(fang)問型V PN時(shi),L2TP利(li)用IPSec強大的(de)(de)安全功能(neng),以(yi)彌補自身安全方面的(de)(de)不足,提供了(le)具有多種協議(yi)封裝和完備的(de)(de)安全功能(neng)的(de)(de)V PN,提高了(le)應用方案(an)的(de)(de)安全性、完善了(le)方案(an)的(de)(de)鑒別(bie)和授(shou)權機(ji)制,具有一(yi)定的(de)(de)使用價值,但(dan)同時(shi)也產生了(le)因重復(fu)封裝引起的(de)(de)額外(wai)開銷。隨著對訪(fang)(fang)問型V PN研究的(de)(de)不斷深(shen)入(ru),協議(yi)進一(yi)步(bu)完善,存在(zai)的(de)(de)問題會逐步(bu)得(de)到(dao)解決。

參考文獻:

[1] 高德昊.VPN技術(shu)在組(zu)網中的研究與應(ying)用[D].中國優(you)秀碩士(shi)學位(wei)論文(wen)全(quan)文(wen)數據庫,2007,(5).

[2] 戴宗坤,唐三平.VPN與網絡安全(quan)[M].北京(jing):電子工業出版社,2002.

[3] 季(ji)超,楚艷萍(ping).基于(yu)L2TP/IPSEC的安(an)全(quan)隧道技術方案[J].河南大學(xue)(xue)學(xue)(xue)報(bao)(自然科學(xue)(xue)版),2004,(34)1:94-96.

篇6

關鍵詞：信息安全，移動通(tong)信，密碼學，信息系統

 

1 前(qian)言公(gong)安(an)(an)信(xin)息(xi)(xi)化(hua)工(gong)作的(de)(de)(de)(de)快速推(tui)進，金盾工(gong)程的(de)(de)(de)(de)全面建設(she)，使得各(ge)級公(gong)安(an)(an)機關(guan)和廣大干警(jing)在(zai)執行(xing)警(jing)務(wu)(wu)(wu)工(gong)作中將廣泛應用(yong)(yong)公(gong)安(an)(an)警(jing)務(wu)(wu)(wu)信(xin)息(xi)(xi)來偵(zhen)破案件(jian)、抓捕逃犯(fan)(fan)、核查車輛、打擊和預防犯(fan)(fan)罪等(deng)。在(zai)街面和移動中，充(chong)(chong)分利用(yong)(yong)警(jing)務(wu)(wu)(wu)信(xin)息(xi)(xi)已成(cheng)為公(gong)安(an)(an)工(gong)作的(de)(de)(de)(de)緊迫需求，公(gong)安(an)(an)信(xin)息(xi)(xi)移動應用(yong)(yong)系(xi)統建設(she)也是(shi)金盾工(gong)程的(de)(de)(de)(de)主要(yao)(yao)建設(she)內容之(zhi)一。警(jing)務(wu)(wu)(wu)通(tong)是(shi)基于移動通(tong)信(xin)技術(shu)的(de)(de)(de)(de)公(gong)安(an)(an)信(xin)息(xi)(xi)綜(zong)合業務(wu)(wu)(wu)查詢系(xi)統和指揮調度系(xi)統。充(chong)(chong)分發揮了(le)移動通(tong)信(xin)技術(shu)所特(te)有的(de)(de)(de)(de)隨時、隨地、隨心(xin)的(de)(de)(de)(de)特(te)點(dian)，滿足了(le)外勤警(jing)務(wu)(wu)(wu)人員在(zai)治安(an)(an)、交(jiao)通(tong)、刑偵(zhen)、監(jian)管、戶(hu)政、經偵(zhen)、邊防、消防、出入境等(deng)方面需要(yao)(yao)適時進行(xing)信(xin)息(xi)(xi)交(jiao)互的(de)(de)(de)(de)工(gong)作需要(yao)(yao)，是(shi)用(yong)(yong)信(xin)息(xi)(xi)化(hua)實現(xian)“科技強警(jing)”的(de)(de)(de)(de)成(cheng)功典(dian)范。

正是警務(wu)(wu)信息處(chu)理(li)的特殊性(xing)要求系(xi)統(tong)開發人員在設計系(xi)統(tong)應將其安(an)(an)全(quan)性(xing)和健壯(zhuang)性(xing)放在最重要的位(wei)置，以保證系(xi)統(tong)的正常運行和涉秘信息的安(an)(an)全(quan)處(chu)理(li)。本文將從(cong)網絡安(an)(an)全(quan)、數(shu)據訪問安(an)(an)全(quan)和數(shu)據存(cun)儲安(an)(an)全(quan)三方(fang)面討論移動(dong)警務(wu)(wu)系(xi)統(tong)的安(an)(an)全(quan)策略。

2 網絡(luo)安全(quan)由于保密性需要(yao)，網絡(luo)設計階段的所(suo)有(you)需求(qiu)都應(ying)該(gai)以安全(quan)為中心。接下來(lai)將從宏觀到(dao)微觀，從“大網”設計到(dao)設備(bei)選型(xing)，來(lai)分析網絡(luo)安全(quan)的策略(lve)需求(qiu)。

2.1 移(yi)動網絡的(de)安全(quan)所有的(de)移(yi)動數(shu)據專線，都(dou)采(cai)用(yong)APN或者VPN方式，由交(jiao)換網直接連接運營(ying)商(shang)的(de)專網，不連接公共互聯網，同時避(bi)免(mian)中間存在其(qi)他的(de)連接點。在此基礎上，相關通道可提供加密的(de)傳輸保證(zheng)。

2.2 網(wang)(wang)絡安(an)(an)(an)全設(she)備(bei)(bei)的(de)(de)綜(zong)合使用采用防火墻和網(wang)(wang)閘(zha)設(she)備(bei)(bei)，提(ti)供網(wang)(wang)絡訪問(wen)的(de)(de)安(an)(an)(an)全。防火墻設(she)備(bei)(bei)，用于(yu)在交換網(wang)(wang)內隔(ge)離(li)(li)接入(ru)服務區(qu)與(yu)信息服務區(qu)。隔(ge)離(li)(li)網(wang)(wang)閘(zha)設(she)備(bei)(bei)，按(an)照在公安(an)(an)(an)部的(de)(de)網(wang)(wang)絡安(an)(an)(an)全標準使用，并提(ti)高了一個級別，除了交換網(wang)(wang)與(yu)公安(an)(an)(an)內網(wang)(wang)的(de)(de)隔(ge)離(li)(li)網(wang)(wang)閘(zha)外，在交換網(wang)(wang)與(yu)運營(ying)商數據專線的(de)(de)接口(kou)處也設(she)置(zhi)了隔(ge)離(li)(li)網(wang)(wang)閘(zha)，進一步提(ti)高了安(an)(an)(an)全性。

2.3 網絡攻擊的抵抗(kang)能力通過VPN網關(guan)、防(fang)火(huo)墻(qiang)等網絡設備(bei)的使(shi)用，共同抵抗(kang)來自公網網絡攻擊(如DDOS等)。基于(yu)IPSec的VPN和(he)防(fang)火(huo)墻(qiang)可防(fang)止IP層以上的攻擊行為(wei)。使(shi)用SSL VPN和(he)防(fang)火(huo)墻(qiang)：可防(fang)止應用層的攻擊。

2.5 采用(yong)加密(mi)的VPN網(wang)關在接入認證(zheng)中，使(shi)用(yong)公安部認可的VPN加密(mi)數據(ju)網(wang)關，建立起移動警務終端到(dao)交(jiao)換網(wang)的VPN加密(mi)隧道（基于RSA1024）。避免了數據(ju)在專線傳輸過(guo)程中被窺(kui)探。

2.6 應用層的(de)(de)加(jia)密通道所有的(de)(de)移動應用系統，主要是基(ji)于Web的(de)(de)B/S應用體系。在此之上(shang)，應用層通信，均采用基(ji)于SSL的(de)(de)HTTPS的(de)(de)加(jia)密處理通道（支持RSA 1024）。

3 數(shu)據訪問(wen)(wen)安全(quan)數(shu)據訪問(wen)(wen)是(shi)真實(shi)世界中業務處理流程到軟件設計(ji)(ji)的(de)微觀化(hua)，數(shu)據訪問(wen)(wen)安全(quan)的(de)策略(lve)應該(gai)從設計(ji)(ji)正確的(de)數(shu)據流圖(tu)到保證數(shu)據流圖(tu)各個環節(jie)安全(quan)進(jin)行分(fen)析，主要由(you)以(yi)下(xia)幾個方面(mian)共同負責。

3.1 專(zhuan)門的(de)(de)安(an)全業(ye)務(wu)交(jiao)(jiao)換(huan)平(ping)臺(tai)采(cai)用公安(an)部認可(ke)的(de)(de)安(an)全業(ye)務(wu)交(jiao)(jiao)換(huan)平(ping)臺(tai)，提供(gong)業(ye)務(wu)與(yu)數據的(de)(de)安(an)全訪問。該交(jiao)(jiao)換(huan)平(ping)臺(tai)位(wei)于交(jiao)(jiao)換(huan)網和內網之間，通(tong)(tong)過(guo)專(zhuan)用服務(wu)設備和網閘連(lian)接，建立一(yi)個單向的(de)(de)通(tong)(tong)道，并通(tong)(tong)過(guo)內網端(duan)主動提取和控制(zhi)的(de)(de)機制(zhi)，實現相關交(jiao)(jiao)換(huan)的(de)(de)安(an)全處理。支持業(ye)務(wu)系統(tong)和數據系統(tong)的(de)(de)安(an)全交(jiao)(jiao)換(huan)，具有統(tong)一(yi)的(de)(de)管(guan)理界面，便于管(guan)理。

3.2 多層次的綜(zong)合身份(fen)認證功能對于每(mei)個移動警(jing)務(wu)的實(shi)際用戶，提供了(le)以下幾個層次的認證處理(li)。

移(yi)動終(zhong)端(duan)對用(yong)(yong)戶的認證。確定使用(yong)(yong)終(zhong)端(duan)的用(yong)(yong)戶的合法性(xing)。主要采用(yong)(yong)開機(ji)密碼(ma)、指紋識別（需硬(ying)件支(zhi)持）、操(cao)作(zuo)系統(tong)登錄密碼(ma)等多種方式。

網(wang)絡(luo)運營商對撥(bo)號終(zhong)端身份的認證(zheng)。所有的移動警(jing)務終(zhong)端的手機卡，需事先在運營商的專(zhuan)線接(jie)入點(dian)(dian)登記。無(wu)線撥(bo)號中，只有已經(jing)登記的SIM卡，才能撥(bo)叫(jiao)網(wang)絡(luo)運營商的接(jie)入點(dian)(dian)，否(fou)則將無(wu)法撥(bo)叫(jiao)。

公安移(yi)動(dong)接(jie)(jie)入(ru)區(qu)對撥號(hao)終端(duan)身份(fen)(fen)的(de)(de)(de)認證(zheng)(zheng)。公安移(yi)動(dong)接(jie)(jie)入(ru)區(qu)的(de)(de)(de)移(yi)動(dong)終端(duan)撥入(ru)驗(yan)證(zheng)(zheng)系(xi)統，對網絡(luo)運(yun)營(ying)(ying)商的(de)(de)(de)接(jie)(jie)入(ru)點傳(chuan)來的(de)(de)(de)移(yi)動(dong)終端(duan)的(de)(de)(de)身份(fen)(fen)信息(xi)（如(ru)SIM卡號(hao) 分組(zu)名(ming)等）進行身份(fen)(fen)核(he)實，對于非(fei)法的(de)(de)(de)撥入(ru)號(hao)碼拒(ju)絕(jue)連接(jie)(jie)。這(zhe)樣(yang)，即(ji)使由網絡(luo)運(yun)營(ying)(ying)商的(de)(de)(de)接(jie)(jie)入(ru)點傳(chuan)來的(de)(de)(de)非(fei)法終端(duan)號(hao)碼，也無法進入(ru)接(jie)(jie)入(ru)平(ping)臺

移動(dong)(dong)終(zhong)(zhong)(zhong)端接(jie)入公安移動(dong)(dong)區中時(shi)，接(jie)入網關對(dui)移動(dong)(dong)終(zhong)(zhong)(zhong)端的單向(xiang)認證(zheng)。認證(zheng)過程(cheng)基于終(zhong)(zhong)(zhong)端的設備數字證(zheng)書(shu)和(he)簽名密(mi)鑰，由終(zhong)(zhong)(zhong)端設備和(he)接(jie)入VPN網關自動(dong)(dong)完成。。

接入(ru)平臺對用(yong)戶可(ke)(ke)訪問(wen)應(ying)用(yong)的認證。移(yi)(yi)動接入(ru)區(qu)的平臺統(tong)一管理系統(tong)，對每個接入(ru)用(yong)戶可(ke)(ke)以訪問(wen)的子應(ying)用(yong)系統(tong)進行了(le)限制。這樣，每個用(yong)戶只能訪問(wen)受(shou)限制的移(yi)(yi)動警(jing)務應(ying)用(yong)，而(er)不能訪問(wen)全(quan)部。

應(ying)用(yong)(yong)(yong)程序的用(yong)(yong)(yong)戶認(ren)證(zheng)(zheng)。當移動終(zhong)端(duan)上的應(ying)用(yong)(yong)(yong)系(xi)統(tong)登錄交換網的移動警務應(ying)用(yong)(yong)(yong)時，需要使用(yong)(yong)(yong)移動用(yong)(yong)(yong)戶的個人數(shu)字(zi)證(zheng)(zheng)書，與(yu)應(ying)用(yong)(yong)(yong)服務器進(jin)行身份驗(yan)證(zheng)(zheng)（基于數(shu)字(zi)簽名，可(ke)考慮連接內(nei)網PKI系(xi)統(tong)），只有通(tong)過(guo)驗(yan)證(zheng)(zheng)，才能進(jin)入到(dao)系(xi)統(tong)內(nei)部，進(jin)行相(xiang)關的操作。

3.3 數據(ju)的(de)加密傳輸所有的(de)數據(ju)，均通過兩個級別(bie)的(de)加密機制來完成。主要如下(xia)：

（1）傳輸通道加密。

從(cong)移動(dong)終端到移動(dong)警務應用(yong)系統的整個(ge)通道(dao)，采用(yong)加(jia)密的方式，進行(xing)保(bao)護。包括兩(liang)個(ge)層(ceng)面：

網(wang)(wang)絡層的(de)加密(mi)(mi)：通過終端加密(mi)(mi)卡和加密(mi)(mi)VPN網(wang)(wang)關的(de)認(ren)證，建立其基(ji)于網(wang)(wang)絡層的(de)加密(mi)(mi)隧道(dao)（基(ji)于RSA 1024）

應(ying)用層的加密：基于HTTPS和(he)SSL協議的使用，通過用戶數字證書和(he)移動警務應(ying)用系統(tong)進行身份認證，建立起應(ying)用層的加密隧(sui)道（基于RSA 1024）

（2）傳輸(shu)數據加密

會話中(zhong)所(suo)傳輸的所(suo)有數(shu)據均采(cai)用加密(mi)的方(fang)式(shi)進行。進一步避免了數(shu)據通道被破(po)解后(hou)，數(shu)據被窺探的可能。具體的加密(mi)算(suan)法，對(dui)稱算(suan)法采(cai)用SCB2，雜湊算(suan)法采(cai)用SHA-256（高(gao)于公安部標(biao)準）

3.4 密(mi)碼體(ti)系(xi)在數據安(an)全體(ti)系(xi)中很多方(fang)面(mian)都與(yu)密(mi)碼體(ti)系(xi)緊密(mi)相(xiang)關。因此對于該方(fang)面(mian)特別(bie)加以(yi)說明。。在移(yi)動警務(wu)平臺(tai)的(de)(de)實(shi)施(shi)中，密(mi)碼體(ti)系(xi)按照公(gong)安(an)部建設指導書的(de)(de)方(fang)針完成。具體(ti)包括以(yi)下幾方(fang)面(mian)：

（1）密碼算法

對稱算法(fa)：采用不低于AES256的(de)加密。主要(yao)用于傳輸中的(de)數據加密、移動終端安全卡認證等。

公鑰算法(fa)：采用RSA（1024位），主要(yao)用于移動用戶的證書認(ren)證，SSL通道的加(jia)密協商、證書的簽發等。

散列算法：采(cai)用SHA-1（160）或(huo)者更高(gao)級別(bie)的（256或(huo)者384），產生消(xiao)息(xi)摘要。

（2）專用密碼設備

在移動警(jing)務平(ping)臺的使用中，需(xu)要使用相(xiang)關的密(mi)碼設備，以保(bao)證相(xiang)應的加密(mi)處(chu)理(li)。相(xiang)關的設備主要有如下兩類：

移動(dong)接入專(zhuan)用(yong)(yong)密(mi)碼卡：用(yong)(yong)于(yu)(yu)配合服(fu)務端系統，完成數(shu)據加解密(mi)、簽名、消息驗證(zheng)等功能(neng)。對于(yu)(yu)每個相關(guan)的服(fu)務器需要安裝(zhuang)相應產品(pin)。相關(guan)產品(pin)采用(yong)(yong)公安部認證(zheng)的產品(pin)。

移動接(jie)入終(zhong)(zhong)端專(zhuan)用安(an)全(quan)卡：用于驗證接(jie)入終(zhong)(zhong)端的安(an)全(quan)性，對(dui)于每個移動終(zhong)(zhong)端，需要安(an)裝。根據不同的終(zhong)(zhong)端類(lei)型，當(dang)前適合的有三種(zhong)：

SDIO安全卡：處(chu)理(li)能(neng)力強(qiang)，適合具備SDIO接口(kou)的移動終端設備（實際比較少）。。

PCMCIA卡：適(shi)合具有PCMCIA接(jie)口的筆記本電腦(nao)。

安全SIM卡：功(gong)能較弱，適(shi)合常見手機(ji)和PDA，對終(zhong)端要(yao)求低。

以上三種產品，將根據實際的(de)終端特點，分別(bie)采購。所有的(de)產品需(xu)經過(guo)公安部相關(guan)認證。

3.5 入侵檢測對非(fei)法侵入交換網(wang)(wang)的攻擊事件的發(fa)現和自動(dong)阻斷(duan)，由(you)綜合安全防(fang)護系統完成，如果網(wang)(wang)閘可以有相應功能則由(you)網(wang)(wang)閘實行(xing)。具體是(shi)否使用根據情(qing)況而(er)定，這里不再多介(jie)紹。

3.6 病(bing)(bing)毒(du)(du)(du)的(de)(de)(de)防范移動(dong)警務(wu)應用(yong)系(xi)統(tong)涉及的(de)(de)(de)所有的(de)(de)(de)服(fu)務(wu)器(qi)，將盡量(liang)采(cai)用(yong)基于Linux的(de)(de)(de)操作(zuo)系(xi)統(tong)，避免(mian)病(bing)(bing)毒(du)(du)(du)的(de)(de)(de)干擾(rao)。對于必須采(cai)用(yong)Windows系(xi)統(tong)的(de)(de)(de)服(fu)務(wu)器(qi)系(xi)統(tong)，使用(yong)國家有關部門批準的(de)(de)(de)查殺毒(du)(du)(du)軟件，定時(shi)查殺和升級。制定完善的(de)(de)(de)防病(bing)(bing)毒(du)(du)(du)制度，關閉服(fu)務(wu)器(qi)系(xi)統(tong)上的(de)(de)(de)一些外部接(jie)口（如USB口等），切斷病(bing)(bing)毒(du)(du)(du)傳播(bo)途徑。對于移動(dong)應用(yong)服(fu)務(wu)器(qi)要重點(dian)防護。

4 數據存(cun)儲安全主要防(fang)范由于意外事故造成(cheng)的(de)數據丟失。主要手(shou)段包括(kuo)：

硬件設備冗(rong)余(yu)(yu)：所有數據服務器，均要求采用基(ji)于RAID5的SCSI磁盤冗(rong)余(yu)(yu)陣列。

數據備(bei)份(fen)(fen)：所有的數據庫，均(jun)要求定期進行備(bei)份(fen)(fen)。備(bei)份(fen)(fen)策略根(gen)據具體服務器而(er)定。

專(zhuan)用(yong)(yong)存儲服(fu)務(wu)(wu)器，提(ti)供專(zhuan)業存儲管(guan)理(li)。建議采用(yong)(yong)存儲服(fu)務(wu)(wu)器，可有(you)效管(guan)理(li)維護(hu)數(shu)據庫資源

參考文獻：

[1]《PGP在移動警務通系統(tong)中的應用(yong)研究》，朱永勝，計算(suan)機應用(yong)技術碩士(shi)畢業(ye)論文，2007 年

[2]《安全(quan)隔(ge)離與信息(xi)交換助力公安移動(dong)警務》，王羽，《信息(xi)網(wang)絡(luo)安全(quan)》，2005年3期(qi)

[3] 《警務(wu)(wu)通:加速(su)移動警務(wu)(wu)信息化》，《中國新通信》，2007年4期

[4] 《數字水印取證技術(shu)在移動(dong)警(jing)務通(tong)中的應(ying)(ying)(ying)用》，應(ying)(ying)(ying)影，計算機應(ying)(ying)(ying)用技術(shu)碩士畢業論文，2007年

篇7

【關鍵詞】 圖書館;SSL VPN;數字資源;遠程訪(fang)問(wen)

高校圖書館是學(xue)校文(wen)獻(xian)資源的(de)中心，承擔著為學(xue)校的(de)教學(xue)、科研和管理工作提供文(wen)獻(xian)信(xin)息(xi)服(fu)務(wu)(wu)。隨著高等教育和互聯(lian)(lian)網技(ji)術的(de)高速發(fa)(fa)展，師(shi)生利(li)用圖書館資源的(de)方式和手段發(fa)(fa)生了巨大的(de)變(bian)化，傳統的(de)到館借閱(yue)方式逐步被(bei)網上借閱(yue)方式取代，人們利(li)用文(wen)獻(xian)信(xin)息(xi)的(de)方式在某(mou)種意(yi)義上講已(yi)經(jing)突破了時空的(de)限制。師(shi)生在校外(wai)如何通過互聯(lian)(lian)網共(gong)享(xiang)(xiang)學(xue)校的(de)文(wen)獻(xian)信(xin)息(xi)資源是近(jin)年(nian)來圖書館界(jie)和IT界(jie)研究較(jiao)多的(de)課(ke)題(ti)，目(mu)前外(wai)網用戶共(gong)享(xiang)(xiang)內網資源的(de)技(ji)術主要有電話撥(bo)號、服(fu)務(wu)(wu)器(proxy)、虛擬專用網(VPN)，VPN是近(jin)年(nian)來發(fa)(fa)展較(jiao)快，實現方式比較(jiao)簡(jian)便，較(jiao)容易被(bei)接受的(de)一種接入技(ji)術，現就VPN技(ji)術中的(de)SSL VPN及其(qi)在圖書館信(xin)息(xi)資源共(gong)享(xiang)(xiang)中的(de)應用進行介(jie)紹。

1 SSL VPN 概述

1.1 SSL VPN的(de)(de)(de)(de)(de)(de)(de)概念 VPN(Virtual Private Network)是指依靠ISP(Internet服務(wu)提供商)和其它(ta)NSP(網(wang)絡(luo)(luo)服務(wu)提供商)在(zai)公用(yong)網(wang)上建(jian)立的(de)(de)(de)(de)(de)(de)(de)一(yi)(yi)條虛擬專用(yong)通(tong)道，讓兩個遠距離的(de)(de)(de)(de)(de)(de)(de)網(wang)絡(luo)(luo)客戶(hu)能在(zai)這個專用(yong)的(de)(de)(de)(de)(de)(de)(de)網(wang)絡(luo)(luo)通(tong)道中(zhong)相(xiang)互(hu)傳(chuan)遞數據(ju)信(xin)息(xi)(xi)。SSL VPN是采用(yong)SSL(Security Socket Layer)協(xie)(xie)(xie)議(yi)(yi)來實現遠程接入的(de)(de)(de)(de)(de)(de)(de)一(yi)(yi)種新(xin)型VPN技術(shu)。SSL協(xie)(xie)(xie)議(yi)(yi)是網(wang)景公司提出的(de)(de)(de)(de)(de)(de)(de)基于WEB應(ying)用(yong)的(de)(de)(de)(de)(de)(de)(de)安全(quan)協(xie)(xie)(xie)議(yi)(yi)，是一(yi)(yi)種在(zai)應(ying)用(yong)層協(xie)(xie)(xie)議(yi)(yi)和TCP/IP協(xie)(xie)(xie)議(yi)(yi)之間提供數據(ju)安全(quan)性的(de)(de)(de)(de)(de)(de)(de)機(ji)制(zhi)，它(ta)為(wei)TCP/IP連接提供數據(ju)加(jia)密(mi)、服務(wu)器認證、消息(xi)(xi)完整性以及可選的(de)(de)(de)(de)(de)(de)(de)客戶(hu)端認證[1]。SSL協(xie)(xie)(xie)議(yi)(yi)提供了網(wang)絡(luo)(luo)上通(tong)信(xin)雙方的(de)(de)(de)(de)(de)(de)(de)安全(quan)保護，避免信(xin)息(xi)(xi)在(zai)網(wang)絡(luo)(luo)傳(chuan)輸過(guo)程中(zhong)被截取、改編和破(po)壞，現在(zai)SSL協(xie)(xie)(xie)議(yi)(yi)已成(cheng)為(wei)Internet中(zhong)用(yong)來鑒別用(yong)戶(hu)身份及在(zai)瀏覽器與WEB服務(wu)器之間進(jin)行加(jia)密(mi)通(tong)訊的(de)(de)(de)(de)(de)(de)(de)全(quan)球(qiu)化標準(zhun)。

1.2 SSL VPN的(de)(de)通(tong)信過程 SSL VPN一(yi)(yi)般的(de)(de)實現方式(shi)是在(zai)內(nei)網(wang)中的(de)(de)防火墻后(hou)面放置一(yi)(yi)個(ge)SSL服務(wu)(wu)(wu)器(qi)(qi)(qi)，SSL服務(wu)(wu)(wu)器(qi)(qi)(qi)將提供(gong)一(yi)(yi)個(ge)遠程用(yong)(yong)戶(hu)(hu)與各種不(bu)同的(de)(de)應(ying)用(yong)(yong)服務(wu)(wu)(wu)器(qi)(qi)(qi)之(zhi)間(jian)的(de)(de)連接，實現起來(lai)(lai)主要(yao)(yao)有握手協(xie)議(yi)、記錄協(xie)議(yi)、警告協(xie)議(yi)的(de)(de)通(tong)信，SSL VPN的(de)(de)通(tong)信過程主要(yao)(yao)集中在(zai)握手協(xie)議(yi)上，主要(yao)(yao)有：第(di)1步(bu)(bu)：SSL客(ke)戶(hu)(hu)機(ji)(ji)連接到SSL服務(wu)(wu)(wu)器(qi)(qi)(qi)，并(bing)要(yao)(yao)求服務(wu)(wu)(wu)器(qi)(qi)(qi)驗證(zheng)(zheng)(zheng)(zheng)身份;第(di)2步(bu)(bu)：服務(wu)(wu)(wu)器(qi)(qi)(qi)通(tong)過發送(song)(song)它的(de)(de)數(shu)字證(zheng)(zheng)(zheng)(zheng)書(shu)證(zheng)(zheng)(zheng)(zheng)明(ming)自身的(de)(de)身份。這個(ge)交(jiao)換包(bao)括整個(ge)證(zheng)(zheng)(zheng)(zheng)書(shu)鏈，直到某個(ge)證(zheng)(zheng)(zheng)(zheng)書(shu)頒(ban)發機(ji)(ji)構(CA)，通(tong)過檢查有效(xiao)日期并(bing)確認證(zheng)(zheng)(zheng)(zheng)書(shu)包(bao)含可信任CA的(de)(de)數(shu)字簽名來(lai)(lai)驗證(zheng)(zheng)(zheng)(zheng)證(zheng)(zheng)(zheng)(zheng)書(shu)的(de)(de)有效(xiao)性; 第(di)3步(bu)(bu)：服務(wu)(wu)(wu)器(qi)(qi)(qi)發出一(yi)(yi)個(ge)請求，對(dui)客(ke)戶(hu)(hu)端(duan)的(de)(de)證(zheng)(zheng)(zheng)(zheng)書(shu)進(jin)行驗證(zheng)(zheng)(zheng)(zheng);第(di)4步(bu)(bu)：雙方協(xie)商用(yong)(yong)于加密的(de)(de)消息加密算(suan)法(fa)和用(yong)(yong)于完(wan)整性檢查的(de)(de)HASH函數(shu)，通(tong)常由客(ke)戶(hu)(hu)端(duan)提供(gong)它所(suo)支持(chi)的(de)(de)所(suo)有算(suan)法(fa)列(lie)表，然后(hou)由服務(wu)(wu)(wu)器(qi)(qi)(qi)選擇(ze)其中最(zui)強大的(de)(de)加密算(suan)法(fa);第(di)5步(bu)(bu)：客(ke)戶(hu)(hu)機(ji)(ji)和服務(wu)(wu)(wu)器(qi)(qi)(qi)通(tong)過下列(lie)步(bu)(bu)驟(zou)生成會話密鑰(yao)(yao)。客(ke)戶(hu)(hu)機(ji)(ji)生成一(yi)(yi)個(ge)隨機(ji)(ji)數(shu)，并(bing)使(shi)用(yong)(yong)服務(wu)(wu)(wu)器(qi)(qi)(qi)的(de)(de)公(gong)鑰(yao)(yao)(從服務(wu)(wu)(wu)器(qi)(qi)(qi)證(zheng)(zheng)(zheng)(zheng)書(shu)中獲得)對(dui)它加密，再送(song)(song)到服務(wu)(wu)(wu)器(qi)(qi)(qi);服務(wu)(wu)(wu)器(qi)(qi)(qi)用(yong)(yong)更加隨機(ji)(ji)的(de)(de)數(shu)據，用(yong)(yong)客(ke)戶(hu)(hu)機(ji)(ji)的(de)(de)公(gong)鑰(yao)(yao)加密，發送(song)(song)至客(ke)戶(hu)(hu)機(ji)(ji)以表示響應(ying);使(shi)用(yong)(yong) HASH函數(shu)從隨機(ji)(ji)數(shu)據中生成密鑰(yao)(yao)[2]。

1.3 SSL VPN的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)優(you)點 相對(dui)(dui)(dui)于(yu)(yu)(yu)其(qi)它接入(ru)方(fang)式，SSL VPN在(zai)(zai)(zai)實現(xian)遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)內(nei)網(wang)資(zi)源時(shi)有(you)其(qi)獨特的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)優(you)勢(shi)(shi)，因此，近年來SSL VPN技術在(zai)(zai)(zai)各個行(xing)(xing)(xing)業(ye)，特別在(zai)(zai)(zai)企業(ye)、高校、公(gong)司及政府部(bu)(bu)門得到了廣泛的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)應(ying)用(yong)(yong)(yong)。①無需(xu)安(an)(an)裝客(ke)(ke)戶(hu)(hu)端(duan)軟(ruan)件(jian)。客(ke)(ke)戶(hu)(hu)端(duan)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)區別是(shi)(shi)SSL VPN最大(da)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)優(you)勢(shi)(shi)，有(you)Web瀏覽器(qi)(qi)(qi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)地方(fang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)就(jiu)有(you)SSL，所(suo)(suo)以(yi)(yi)預先安(an)(an)裝了Web瀏覽器(qi)(qi)(qi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)客(ke)(ke)戶(hu)(hu)機可(ke)(ke)(ke)以(yi)(yi)隨時(shi)作(zuo)為SSL VPN的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)客(ke)(ke)戶(hu)(hu)端(duan)，在(zai)(zai)(zai)大(da)多(duo)數(shu)執行(xing)(xing)(xing)基(ji)(ji)(ji)于(yu)(yu)(yu)SSL協議(yi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)是(shi)(shi)不(bu)需(xu)要(yao)在(zai)(zai)(zai)遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)客(ke)(ke)戶(hu)(hu)端(duan)設備(bei)(bei)上安(an)(an)裝軟(ruan)件(jian)。這(zhe)(zhe)樣，遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)用(yong)(yong)(yong)戶(hu)(hu)可(ke)(ke)(ke)以(yi)(yi)在(zai)(zai)(zai)任何時(shi)間(jian)任何地點對(dui)(dui)(dui)應(ying)用(yong)(yong)(yong)資(zi)源進(jin)(jin)(jin)(jin)行(xing)(xing)(xing)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)。②適用(yong)(yong)(yong)大(da)多(duo)數(shu)設備(bei)(bei)。基(ji)(ji)(ji)于(yu)(yu)(yu) Web訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)開放(fang)體系可(ke)(ke)(ke)以(yi)(yi)在(zai)(zai)(zai)運(yun)行(xing)(xing)(xing)標準的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)瀏覽器(qi)(qi)(qi)下訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)任何設備(bei)(bei)，包括非傳統設備(bei)(bei)，如(ru)可(ke)(ke)(ke)以(yi)(yi)上網(wang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)電話和(he)PDA等通(tong)訊產(chan)品等。 ③適用(yong)(yong)(yong)于(yu)(yu)(yu)大(da)多(duo)數(shu)操(cao)作(zuo)系統。可(ke)(ke)(ke)以(yi)(yi)運(yun)行(xing)(xing)(xing)標準的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)因特網(wang)瀏覽器(qi)(qi)(qi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)大(da)多(duo)數(shu)操(cao)作(zuo)系統都(dou)可(ke)(ke)(ke)以(yi)(yi)用(yong)(yong)(yong)來進(jin)(jin)(jin)(jin)行(xing)(xing)(xing)基(ji)(ji)(ji)于(yu)(yu)(yu)Web的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)，不(bu)管(guan)操(cao)作(zuo)系統是(shi)(shi) Windows、Macinwsh、Unix還是(shi)(shi) Linux。④支持(chi)網(wang)絡(luo)(luo)驅(qu)動(dong)器(qi)(qi)(qi)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)。用(yong)(yong)(yong)戶(hu)(hu)通(tong)過(guo)SSL VPN通(tong)信(xin)可(ke)(ke)(ke)以(yi)(yi)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)在(zai)(zai)(zai)網(wang)絡(luo)(luo)驅(qu)動(dong)器(qi)(qi)(qi)上的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)資(zi)源。 ⑤良好(hao)(hao)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)安(an)(an)全(quan)性。SSL安(an)(an)全(quan)通(tong)道是(shi)(shi)在(zai)(zai)(zai)客(ke)(ke)戶(hu)(hu)到所(suo)(suo)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)資(zi)源之間(jian)建(jian)立的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)，確保端(duan)到端(duan)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)真正安(an)(an)全(quan)。無論在(zai)(zai)(zai)內(nei)部(bu)(bu)網(wang)絡(luo)(luo)還是(shi)(shi)在(zai)(zai)(zai)因特網(wang)上數(shu)據都(dou)不(bu)是(shi)(shi)透明的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)，客(ke)(ke)戶(hu)(hu)對(dui)(dui)(dui)資(zi)源的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)每一(yi)次操(cao)作(zuo)都(dou)需(xu)要(yao)經過(guo)安(an)(an)全(quan)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)身份(fen)驗證和(he)加密。⑥較強(qiang)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)資(zi)源控制能力(li)。基(ji)(ji)(ji)于(yu)(yu)(yu)Web的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)允許網(wang)絡(luo)(luo)管(guan)理部(bu)(bu)門為遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)用(yong)(yong)(yong)戶(hu)(hu)進(jin)(jin)(jin)(jin)行(xing)(xing)(xing)詳盡的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)資(zi)源訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)控制，這(zhe)(zhe)樣有(you)利于(yu)(yu)(yu)對(dui)(dui)(dui)不(bu)同身份(fen)用(yong)(yong)(yong)戶(hu)(hu)進(jin)(jin)(jin)(jin)行(xing)(xing)(xing)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)權限的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)控制。 ⑦經濟(ji)實用(yong)(yong)(yong)性較好(hao)(hao)。使(shi)用(yong)(yong)(yong)SSL VPN具有(you)很好(hao)(hao)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)經濟(ji)性，因為只(zhi)需(xu)要(yao)在(zai)(zai)(zai)內(nei)網(wang)架設一(yi)臺(tai)VPN硬(ying)件(jian)設備(bei)(bei)就(jiu)可(ke)(ke)(ke)以(yi)(yi)實現(xian)所(suo)(suo)有(you)用(yong)(yong)(yong)戶(hu)(hu)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)安(an)(an)全(quan)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)接入(ru)，遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)用(yong)(yong)(yong)戶(hu)(hu)只(zhi)要(yao)依(yi)賴現(xian)有(you)互聯(lian)網(wang)設備(bei)(bei)就(jiu)可(ke)(ke)(ke)以(yi)(yi)方(fang)便訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)內(nei)網(wang)資(zi)源。 ⑧可(ke)(ke)(ke)以(yi)(yi)繞(rao)過(guo)防火(huo)墻和(he)服務器(qi)(qi)(qi)進(jin)(jin)(jin)(jin)行(xing)(xing)(xing)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)。基(ji)(ji)(ji)于(yu)(yu)(yu)SSL的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)方(fang)案中，使(shi)用(yong)(yong)(yong) NAT(網(wang)絡(luo)(luo)地址轉換(huan))服務的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)用(yong)(yong)(yong)戶(hu)(hu)或者(zhe)因特網(wang)服務的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)用(yong)(yong)(yong)戶(hu)(hu)可(ke)(ke)(ke)以(yi)(yi)繞(rao)過(guo)防火(huo)墻和(he)服務器(qi)(qi)(qi)進(jin)(jin)(jin)(jin)行(xing)(xing)(xing)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)，這(zhe)(zhe)是(shi)(shi)采用(yong)(yong)(yong)基(ji)(ji)(ji)于(yu)(yu)(yu) IPSec安(an)(an)全(quan)協議(yi)的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)遠(yuan)(yuan)(yuan)程(cheng)(cheng)(cheng)訪(fang)(fang)(fang)(fang)問(wen)(wen)(wen)(wen)(wen)(wen)(wen)很難或者(zhe)根本做不(bu)到的(de)(de)(de)(de)(de)(de)(de)(de)(de)(de)[3]。

1.4 SSL VPN接(jie)入拓(tuo)樸圖 目前，一(yi)(yi)般大學校園(yuan)網(wang)(wang)的(de)(de)網(wang)(wang)絡結構是比較規范(fan)的(de)(de)，至少(shao)擁有一(yi)(yi)條大寬帶的(de)(de)外網(wang)(wang)接(jie)口及(ji)防火(huo)墻、安(an)全(quan)過濾網(wang)(wang)關系統(tong)、認證系統(tong)、路由交換機和大量的(de)(de)服務器，要實現內網(wang)(wang)資源(yuan)的(de)(de)遠程訪問，只要在防火(huo)墻后(hou)面設置一(yi)(yi)臺SSL VPN網(wang)(wang)關，并根據網(wang)(wang)絡和用戶的(de)(de)具(ju)體情況進行配置，就可以(yi)實現內網(wang)(wang)資源(yuan)共享。SSL VPN在內部網(wang)(wang)中的(de)(de)應用結構，見圖1。

2 SSL VPN在(zai)高校(xiao)圖書館中的應(ying)用

2.1 高(gao)校圖(tu)書(shu)館(guan)(guan)數(shu)(shu)字(zi)資源(yuan)建(jian)設及應用(yong)(yong)(yong) 隨著信息(xi)技術的(de)(de)(de)(de)(de)快速發(fa)展，圖(tu)書(shu)館(guan)(guan)的(de)(de)(de)(de)(de)數(shu)(shu)字(zi)化(hua)建(jian)設步(bu)伐也越來越快，圖(tu)書(shu)館(guan)(guan)的(de)(de)(de)(de)(de)管理(li)和(he)(he)(he)(he)服(fu)務正(zheng)向(xiang)數(shu)(shu)字(zi)化(hua)、網絡化(hua)大(da)步(bu)邁進。當前(qian)，幾乎所有高(gao)校圖(tu)書(shu)館(guan)(guan)都建(jian)立了(le)各自(zi)的(de)(de)(de)(de)(de)數(shu)(shu)字(zi)圖(tu)書(shu)館(guan)(guan)，數(shu)(shu)字(zi)資源(yuan)的(de)(de)(de)(de)(de)建(jian)設經(jing)費比例也逐年(nian)的(de)(de)(de)(de)(de)提高(gao)，師生(sheng)獲取文獻(xian)資源(yuan)的(de)(de)(de)(de)(de)方(fang)(fang)式(shi)很大(da)程度上(shang)趨向(xiang)網絡化(hua)發(fa)展。高(gao)校圖(tu)書(shu)館(guan)(guan)除了(le)擁(yong)有各種各樣的(de)(de)(de)(de)(de)自(zi)建(jian)數(shu)(shu)據庫，還引(yin)進了(le)大(da)量的(de)(de)(de)(de)(de)外來數(shu)(shu)據庫，包(bao)括(kuo)電子圖(tu)書(shu)、電子期刊、博碩士論(lun)文數(shu)(shu)據庫、報(bao)紙(zhi)、年(nian)鑒、專利、工具書(shu)、視聽報(bao)告、教(jiao)(jiao)學資源(yuan)庫等等，這些資源(yuan)有的(de)(de)(de)(de)(de)是(shi)(shi)安(an)裝在本(ben)地(di)(di)服(fu)務器，有的(de)(de)(de)(de)(de)是(shi)(shi)購買網上(shang)包(bao)庫，但不管是(shi)(shi)哪種形式(shi)的(de)(de)(de)(de)(de)數(shu)(shu)據庫，由于受到知(zhi)識產(chan)權保護和(he)(he)(he)(he)商(shang)業利益影響的(de)(de)(de)(de)(de)限(xian)制，往往只限(xian)于本(ben)校的(de)(de)(de)(de)(de)師生(sheng)使(shi)用(yong)(yong)(yong)，其(qi)實(shi)現的(de)(de)(de)(de)(de)方(fang)(fang)式(shi)一種是(shi)(shi)使(shi)用(yong)(yong)(yong)IP地(di)(di)址限(xian)制，即只允許(xu)某一特定(ding)范圍內的(de)(de)(de)(de)(de)IP地(di)(di)址用(yong)(yong)(yong)戶(hu)(hu)擁(yong)有瀏覽(lan)和(he)(he)(he)(he)下載權限(xian)，這種用(yong)(yong)(yong)戶(hu)(hu)的(de)(de)(de)(de)(de)IP地(di)(di)址是(shi)(shi)相對固定(ding)的(de)(de)(de)(de)(de)，一般是(shi)(shi)在學校的(de)(de)(de)(de)(de)校園網;另一種訪(fang)問方(fang)(fang)式(shi)是(shi)(shi)設定(ding)訪(fang)問賬號和(he)(he)(he)(he)密碼，但這種方(fang)(fang)式(shi)往往是(shi)(shi)和(he)(he)(he)(he)訪(fang)問及下載流量互相捆綁(bang)。第(di)二種方(fang)(fang)式(shi)對用(yong)(yong)(yong)戶(hu)(hu)數(shu)(shu)較多的(de)(de)(de)(de)(de)大(da)單(dan)位明(ming)顯是(shi)(shi)不合適的(de)(de)(de)(de)(de)，因(yin)(yin)為，隨著多元(yuan)化(hua)社會(hui)的(de)(de)(de)(de)(de)發(fa)展，很多老師和(he)(he)(he)(he)學生(sheng)住在校外，教(jiao)(jiao)師到外出(chu)差(cha)和(he)(he)(he)(he)學習、學生(sheng)到外地(di)(di)實(shi)習等，這一部分人群對學校的(de)(de)(de)(de)(de)數(shu)(shu)字(zi)資源(yuan)擁(yong)有使(shi)用(yong)(yong)(yong)的(de)(de)(de)(de)(de)權利，但現有條件又不能(neng)允許(xu)他(ta)們(men)使(shi)用(yong)(yong)(yong)，因(yin)(yin)此(ci)，通(tong)過(guo)SSL VPN實(shi)現高(gao)校圖(tu)書(shu)館(guan)(guan)資源(yuan)的(de)(de)(de)(de)(de)遠(yuan)程共享是(shi)(shi)最(zui)為有效、最(zui)為簡便(bian)和(he)(he)(he)(he)最(zui)為經(jing)濟的(de)(de)(de)(de)(de)途徑。

2.2 SSL VPN在高校(xiao)圖書館中的(de)(de)應用(yong)情況 由于(yu)SSL VPN具有(you)安全性好、易于(yu)管理、實用(yong)性較強、擴展方(fang)便及性能(neng)可靠等諸多優點(dian)，近年來在實現(xian)(xian)高校(xiao)校(xiao)園(yuan)網(wang)(wang)(wang)(wang)內網(wang)(wang)(wang)(wang)資(zi)源的(de)(de)遠(yuan)程訪(fang)問(wen)中得到了廣(guang)泛應用(yong)。SSL VPN是一(yi)種新興的(de)(de)VPN技術，相對(dui)于(yu)IPSec，VPN具有(you)明顯的(de)(de)優越性，在解決(jue)外網(wang)(wang)(wang)(wang)用(yong)戶(hu)訪(fang)問(wen)內網(wang)(wang)(wang)(wang)Web服務方(fang)面(mian)日(ri)益受(shou)到人們的(de)(de)青睞，目前大多數高校(xiao)圖書館都設(she)(she)置VPN服務，在內網(wang)(wang)(wang)(wang)資(zi)源的(de)(de)遠(yuan)程訪(fang)問(wen)，特(te)別是在解決(jue)圖書館數字資(zi)源的(de)(de)遠(yuan)程訪(fang)問(wen)方(fang)面(mian)發揮了重要的(de)(de)作用(yong)，可以說，VPN技術解決(jue)了非校(xiao)內用(yong)戶(hu)共享(xiang)內網(wang)(wang)(wang)(wang)優質(zhi)資(zi)源的(de)(de)難題，SSL VPN的(de)(de)出現(xian)(xian)使得遠(yuan)程資(zi)源共享(xiang)更(geng)加容(rong)(rong)易實現(xian)(xian)，同時也(ye)更(geng)容(rong)(rong)易被用(yong)戶(hu)接(jie)受(shou)，因為(wei)對(dui)于(yu)用(yong)戶(hu)而言，只要能(neng)夠接(jie)入互聯網(wang)(wang)(wang)(wang)，無需對(dui)客戶(hu)電腦作任(ren)何設(she)(she)置，在https協議下直接(jie)輸入SSL VPN網(wang)(wang)(wang)(wang)關的(de)(de)IP地址，就如同在內網(wang)(wang)(wang)(wang)一(yi)樣享(xiang)受(shou)到各種服務。

SSL VPN通過在(zai)Internet上建立(li)移動(dong)用(yong)(yong)戶(hu)與內部(bu)網間的專用(yong)(yong)數(shu)據通道，很(hen)好地解決了(le)外網用(yong)(yong)戶(hu)訪(fang)(fang)問和(he)使(shi)用(yong)(yong)圖(tu)書(shu)館(guan)數(shu)字資源時(shi)所面臨的具(ju)體問題。同時(shi)，SSL VPN因(yin)其具(ju)有(you)安全、靈活、低成本(ben)等(deng)優勢，逐步成為了(le)圖(tu)書(shu)館(guan)電子資源遠(yuan)訪(fang)(fang)問的主流技術，為發揮數(shu)字資源的共享性(xing)和(he)可傳播性(xing)、提升信息服務質量和(he)水平(ping)提供了(le)良好的技術支持(chi)環境，圖(tu)書(shu)館(guan)數(shu)字資源訪(fang)(fang)問真正突破(po)了(le)時(shi)空的限制(zhi)。

參考文獻

[1] 史春(chun)光.淺析基于SSL VPN 協議的VPN技術[J].信(xin)息技術，2009，(3)：121-123.

篇8

【 關(guan)鍵(jian)詞(ci) 】 VPN；仿真；Chariot；性能(neng)

1 引言

VPN（Virtual Private Network，虛擬(ni)私有網(wang)）是指通過公(gong)(gong)共網(wang)絡(luo)建立的一(yi)個臨時、安全的連接，它能夠(gou)穿過不安全的公(gong)(gong)用網(wang)絡(luo)。通過對網(wang)絡(luo)數據(ju)(ju)進(jin)行加密傳(chuan)輸，實現在公(gong)(gong)網(wang)上(shang)傳(chuan)遞私密數據(ju)(ju)。VPN能夠(gou)很好地(di)保護數據(ju)(ju)的完整性(xing)(xing)和準(zhun)確性(xing)(xing)，避免收發數據(ju)(ju)不一(yi)致。VPN主要采(cai)用隧道、加密解密、身份認證、密鑰管理，在公(gong)(gong)共網(wang)絡(luo)中為(wei)客戶(hu)端虛擬(ni)出類似于局(ju)域(yu)網(wang)的專有線路。

Chariot是(shi)由(you)NetIQ公司推出的(de)一(yi)款網(wang)絡(luo)測試(shi)(shi)軟件，是(shi)目前世界(jie)上唯(wei)一(yi)認可的(de)應用(yong)(yong)層IP網(wang)絡(luo)及網(wang)絡(luo)設備的(de)測試(shi)(shi)軟件，可提(ti)供(gong)端(duan)(duan)到端(duan)(duan)、多(duo)(duo)操作系(xi)統、多(duo)(duo)協議、多(duo)(duo)應用(yong)(yong)模擬測試(shi)(shi)，還可以進行網(wang)絡(luo)故障定位、網(wang)絡(luo)優化等。它可以從用(yong)(yong)戶角(jiao)度測試(shi)(shi)網(wang)絡(luo)或網(wang)絡(luo)參數（吞吐(tu)量、反應時間、延(yan)時、抖(dou)動(dong)、丟包等），能夠模擬眾多(duo)(duo)的(de)商業應用(yong)(yong)進行測試(shi)(shi)，例如HTTP、FTP、AD、Exchange、SQL、Oracle和SAP等。

Chariot通過模(mo)仿各種(zhong)應(ying)用程(cheng)序(xu)所發出的(de)網絡(luo)數據(ju)交換，幫助網絡(luo)設計(ji)者或(huo)網絡(luo)管理人員(yuan)對網絡(luo)進行評沽。通過Chariot附帶的(de)各種(zhong)測試(shi)(shi)(shi)腳本用戶可(ke)以(yi)(yi)(yi)測試(shi)(shi)(shi)網絡(luo)的(de)數據(ju)流量、響應(ying)時(shi)間以(yi)(yi)(yi)及數據(ju)吞(tun)吐量，也可(ke)以(yi)(yi)(yi)根(gen)據(ju)網絡(luo)中所采用的(de)應(ying)用程(cheng)序(xu)的(de)需(xu)要，選擇相應(ying)的(de)測試(shi)(shi)(shi)腳本或(huo)根(gen)據(ju)實際需(xu)要編制符合自己要求的(de)腳本。

Chariot采用主動式監視及定量的測(ce)量，通(tong)過產生模擬(ni)真(zhen)實(shi)的流量，采用端到端的方法測(ce)試網絡(luo)設備或網絡(luo)系統(tong)在真(zhen)實(shi)環境中的性能。

2 測試方案設計

本方案分別測試(shi)(shi)VPN系(xi)統和由同一(yi)硬件和軟件搭(da)建的路(lu)由器傳輸性(xing)能，由于只是對比測試(shi)(shi)VPN及路(lu)由器的性(xing)能，這里(li)將(jiang)測試(shi)(shi)模型進(jin)行了簡(jian)化。

由(you)于測(ce)試(shi)條件有限(xian)，為(wei)了不影響(xiang)校園網的(de)整(zheng)體運(yun)行(xing)(xing)，本(ben)測(ce)試(shi)采用非獨立控制臺(tai)測(ce)試(shi)方式(shi)，測(ce)試(shi)VPN系(xi)統的(de)傳輸特性并與(yu)傳統路(lu)由(you)方式(shi)傳輸進行(xing)(xing)對(dui)比。測(ce)試(shi)中服務器運(yun)行(xing)(xing)VPN軟件時為(wei)VPN方式(shi)連(lian)接(jie)(jie)，關(guan)閉VPN軟件則整(zheng)個(ge)鏈路(lu)改為(wei)傳統的(de)路(lu)由(you)連(lian)接(jie)(jie)，其拓撲環境(jing)如圖1所示(shi)。

在(zai)A機器上(shang)(shang)安裝(zhuang)Chariot，打開運行(xing)界(jie)面(mian)，在(zai)主(zhu)界(jie)面(mian)中點(dian)(dian)NEW按鈕，彈出的(de)(de)(de)界(jie)面(mian)中點(dian)(dian)上(shang)(shang)方一排按鈕的(de)(de)(de)ADD PAIR，在(zai)ADD AN ENDPOINT PAIR窗(chuang)口中輸入(ru)PAIR名稱，在(zai)Endpoint1和Endpoint2處分別輸入(ru)客(ke)戶端B和控(kong)制臺A的(de)(de)(de)IP地(di)址，再點(dian)(dian)擊“select script”按鈕并選擇(ze)一個腳本，由于我(wo)們(men)的(de)(de)(de)測量是(shi)以百兆帶寬為主(zhu)，所以選擇(ze)軟件內置的(de)(de)(de)腳本High Performance Throughput。可采用復制方式，建(jian)立(li)多個收(shou)發線(xian)程(cheng)。確定后點(dian)(dian)擊主(zhu)菜(cai)單的(de)(de)(de)“RUN”按鈕啟(qi)動測量工(gong)作(zuo)，軟件會(hui)同時(shi)每對連接測試100個數據包(bao)從B發送到A。

3 測試對象模擬

本(ben)測試(shi)(shi)得到了VPN準入系統的吞吐(tu)量、反應時(shi)間、時(shi)延(yan)等指標(biao)的數(shu)據(ju)(ju)。同時(shi)，我們(men)還在相(xiang)同硬件、軟件及網絡設(she)備基(ji)礎上，測試(shi)(shi)了僅啟(qi)用轉(zhuan)發功能(neng)的路由器(qi)模式下的相(xiang)關(guan)數(shu)據(ju)(ju)，進行對比(bi)。

為(wei)(wei)了(le)仿真多(duo)用(yong)戶同時通(tong)過VPN服務器進(jin)行(xing)訪問(wen)，我(wo)(wo)們在Chariot控(kong)(kong)制(zhi)臺上(shang)建立(li)了(le)8對通(tong)信線程（線對數對測(ce)試(shi)時間影(ying)響(xiang)較大），使(shi)(shi)Endpoint1向Endpoint2同時發送測(ce)試(shi)報文，并在控(kong)(kong)制(zhi)界面上(shang)顯示(shi)(shi)測(ce)試(shi)情況。Group/Pair是(shi)所建立(li)的(de)(de)(de)(de)(de)(de)(de)通(tong)信連(lian)(lian)接(jie)(jie)(jie)的(de)(de)(de)(de)(de)(de)(de)名字，用(yong)Pair1～Pair8表示(shi)(shi)，Endpoint1和Endpoint2分別表示(shi)(shi)連(lian)(lian)接(jie)(jie)(jie)雙方的(de)(de)(de)(de)(de)(de)(de)IP地(di)址。在VPN模(mo)式下，Endpoint1的(de)(de)(de)(de)(de)(de)(de)地(di)址設置為(wei)(wei)Chariot控(kong)(kong)制(zhi)臺A的(de)(de)(de)(de)(de)(de)(de)VPN虛擬地(di)址10.10.0.6，EndPoint2的(de)(de)(de)(de)(de)(de)(de)地(di)址設置為(wei)(wei)客戶端B的(de)(de)(de)(de)(de)(de)(de)IP地(di)址172.16.7.133。Network Protocol是(shi)連(lian)(lian)接(jie)(jie)(jie)選選擇(ze)的(de)(de)(de)(de)(de)(de)(de)通(tong)信協(xie)議(yi)，為(wei)(wei)了(le)表示(shi)(shi)廣(guang)泛性，我(wo)(wo)們選擇(ze)了(le)使(shi)(shi)用(yong)最(zui)多(duo)的(de)(de)(de)(de)(de)(de)(de)TCP協(xie)議(yi)。最(zui)后一欄(lan)是(shi)本測(ce)試(shi)為(wei)(wei)連(lian)(lian)接(jie)(jie)(jie)選擇(ze)的(de)(de)(de)(de)(de)(de)(de)腳(jiao)(jiao)本文件(jian)，為(wei)(wei)了(le)更好的(de)(de)(de)(de)(de)(de)(de)觀察，我(wo)(wo)們選擇(ze)了(le)文件(jian)內容較大的(de)(de)(de)(de)(de)(de)(de)腳(jiao)(jiao)本。

同時(shi)為了進(jin)(jin)行對(dui)比，本測試(shi)在(zai)同樣(yang)的網(wang)(wang)絡環(huan)境下，將VPN服務器換為僅啟用路由轉發的服務器，并利用Chariot軟(ruan)件(jian)同樣(yang)建立了8對(dui)連接(jie)進(jin)(jin)行測試(shi)對(dui)比，Endpoint1的地(di)址(zhi)設(she)置(zhi)為Chariot控制臺A的實際(ji)網(wang)(wang)卡地(di)址(zhi)210.45.50.123，EndPoint2地(di)址(zhi)不變(bian)。

4 測試結果

在網(wang)絡(luo)通信中(zhong)，用戶通常對網(wang)絡(luo)的(de)速(su)率和傳輸質量較(jiao)為看重，針對這兩點要(yao)求，我們(men)分(fen)別對VPN模(mo)式和普通路由模(mo)式的(de)吞(tun)吐量、傳輸率記憶響應時間進行了對比測(ce)試(shi)，得到如下測(ce)試(shi)結果。

4.1 吞吐量測試(shi)

作者首先對(dui)(dui)(dui)VPN模式下(xia)的數(shu)據吞吐(tu)量進行(xing)測(ce)(ce)試(shi)，兩(liang)臺測(ce)(ce)試(shi)機器分別通(tong)過100M網絡接(jie)口于VPN服務器相(xiang)連(lian)，在11分鐘的測(ce)(ce)試(shi)時間內(nei)，8對(dui)(dui)(dui)連(lian)接(jie)的瞬時吞吐(tu)量起伏(fu)較大，最大值(zhi)近乎最小值(zhi)的兩(liang)倍(bei)。但從8對(dui)(dui)(dui)連(lian)接(jie)的平(ping)均值(zhi)來看(kan)，相(xiang)差很小，整個VPN模式下(xia)的吞吐(tu)量分配(pei)較為公平(ping)。同時，8對(dui)(dui)(dui)連(lian)接(jie)的平(ping)均吞吐(tu)量總和為93.079Mbps，接(jie)近100M的帶寬上限，作者認為通(tong)過VPN模式下(xia)對(dui)(dui)(dui)物理線(xian)路有著很高(gao)的利(li)用率。

同樣，作者對路由(you)(you)模式(shi)(shi)下(xia)的數(shu)據傳輸吞吐量(liang)也進(jin)行了對比(bi)測試，發現在(zai)(zai)同環境下(xia)采用路由(you)(you)模式(shi)(shi)得到的測試數(shu)據，最大(da)值(zhi)和最小(xiao)(xiao)值(zhi)差異比(bi)VPN模式(shi)(shi)下(xia)的更大(da)，并且8對連接的平均吞吐率差別也更為明顯(xian)。同時，8對連接的平均吞吐量(liang)之和僅(jin)為86.038Mbps，也小(xiao)(xiao)于VPN模式(shi)(shi)下(xia)的93.078Mbps。由(you)(you)此，可以判斷在(zai)(zai)吞吐量(liang)方面，VPN模式(shi)(shi)比(bi)傳統路由(you)(you)模式(shi)(shi)具有更好(hao)的性能。

4.2 傳輸率測試

對(dui)于(yu)一(yi)個網絡(luo)(luo)來說，除了(le)吞吐量(liang)以外，其數據的(de)(de)(de)傳(chuan)輸(shu)效率也是(shi)一(yi)個很(hen)重(zhong)要的(de)(de)(de)評(ping)價因素(su)。VPN模(mo)式下的(de)(de)(de)網絡(luo)(luo)傳(chuan)輸(shu)率測試結果表明，在數據傳(chuan)輸(shu)率方面，VPN模(mo)式下8對(dui)連接(jie)的(de)(de)(de)平均值非(fei)常接(jie)近，各連接(jie)具有(you)極好(hao)的(de)(de)(de)公(gong)平性(xing)，進一(yi)步(bu)反映了(le)VPN通道是(shi)公(gong)平可靠(kao)的(de)(de)(de)。

在對(dui)路(lu)(lu)由模(mo)式(shi)(shi)下網絡數據傳(chuan)(chuan)輸(shu)(shu)率(lv)(lv)的(de)(de)(de)(de)(de)對(dui)比測試中，8對(dui)連接(jie)的(de)(de)(de)(de)(de)最(zui)大(da)值(zhi)和最(zui)小(xiao)值(zhi)差別很大(da)，且其平均傳(chuan)(chuan)輸(shu)(shu)率(lv)(lv)變化(hua)也更為明顯。從總(zong)的(de)(de)(de)(de)(de)傳(chuan)(chuan)輸(shu)(shu)效(xiao)率(lv)(lv)來(lai)說，路(lu)(lu)由模(mo)式(shi)(shi)下的(de)(de)(de)(de)(de)平均傳(chuan)(chuan)輸(shu)(shu)效(xiao)率(lv)(lv)之和也比VPN模(mo)式(shi)(shi)下得到的(de)(de)(de)(de)(de)數據小(xiao)了很多。因此，VPN模(mo)式(shi)(shi)下的(de)(de)(de)(de)(de)傳(chuan)(chuan)輸(shu)(shu)率(lv)(lv)也優與傳(chuan)(chuan)統路(lu)(lu)由模(mo)式(shi)(shi)。

4.3 響應時間測試

對(dui)于一(yi)個可靠(kao)的(de)(de)(de)網(wang)絡(luo)(luo)，用(yong)(yong)戶(hu)的(de)(de)(de)連(lian)接請求應(ying)(ying)當在很(hen)短(duan)時(shi)間(jian)內給(gei)出回應(ying)(ying)，對(dui)用(yong)(yong)戶(hu)作(zuo)出回答。最后，為(wei)全面評(ping)估VPN方案的(de)(de)(de)可行度，本(ben)文還進行了響應(ying)(ying)時(shi)間(jian)的(de)(de)(de)測試，其結果可以看到在VPN模(mo)式下，8對(dui)連(lian)接的(de)(de)(de)響應(ying)(ying)時(shi)間(jian)非常(chang)(chang)接近，一(yi)方的(de)(de)(de)連(lian)接請求平均可以在7秒(miao)內得到另一(yi)方的(de)(de)(de)回應(ying)(ying)，最小(xiao)為(wei)4.552秒(miao)，最大為(wei)8.412秒(miao)，在日常(chang)(chang)使用(yong)(yong)中基(ji)本(ben)能夠滿足大多數網(wang)絡(luo)(luo)應(ying)(ying)用(yong)(yong)的(de)(de)(de)要求。

我們還對路由(you)模式下(xia)的(de)網絡相應(ying)時(shi)間(jian)進(jin)行了(le)測試(shi)(shi)，測試(shi)(shi)結果表明，相比VPN模式下(xia)來說(shuo)，傳統(tong)路由(you)模式下(xia)的(de)連(lian)接(jie)響應(ying)時(shi)間(jian)更長，且最小值(zhi)為(wei)4.188秒(miao)，最大值(zhi)為(wei)20.858秒(miao)，更不穩定(ding)。由(you)此可(ke)以得知，VPN模式下(xia)的(de)響應(ying)時(shi)間(jian)也更為(wei)穩定(ding)和(he)可(ke)靠。

5 對比分析

我們對VPN模(mo)式下(xia)的(de)測(ce)試數(shu)據和傳(chuan)統路由轉發模(mo)式下(xia)的(de)測(ce)試數(shu)據進(jin)行了對比，結果(guo)見表1。

由測試結果對(dui)比(bi)可見，本設計實現的(de)(de)(de)VPN準(zhun)入(ru)系(xi)統在吞吐(tu)量、傳輸率、響應時間等指標的(de)(de)(de)平均性能明(ming)顯優于(yu)基于(yu)同平臺(tai)上(shang)的(de)(de)(de)路(lu)(lu)由轉發模(mo)式。但是從(cong)理論(lun)上(shang)來說，VPN傳輸過(guo)程(cheng)是采用SSL協議對(dui)報(bao)文進行加(jia)密、解密，而(er)路(lu)(lu)由模(mo)式中(zhong)的(de)(de)(de)IP包轉發僅(jin)為尋址和分(fen)組的(de)(de)(de)操作(zuo)，VPN傳輸過(guo)程(cheng)中(zhong)的(de)(de)(de)開(kai)銷應遠(yuan)大于(yu)路(lu)(lu)由模(mo)式。

這里(li)出現(xian)(xian)的現(xian)(xian)象，我們認為是在(zai)(zai)通信線路(lu)質量較(jiao)高的情況下，VPN系統采用的UDP傳輸(shu)協議較(jiao)路(lu)由模式(shi)采用的TCP協議簡便，沒(mei)有三次(ci)握手的確認開銷，所以在(zai)(zai)大量數(shu)據傳輸(shu)時能體現(xian)(xian)高效特(te)點。

6 結束語

本文介(jie)紹了網(wang)絡(luo)(luo)傳輸性(xing)能測試(shi)軟件(jian)(jian)Chariot，并利用(yong)該(gai)軟件(jian)(jian)對自建的(de)VPN系統(tong)模(mo)(mo)型進行了仿真(zhen)測試(shi)。雖然我們的(de)測試(shi)條件(jian)(jian)有限，在與同平臺、同網(wang)絡(luo)(luo)環境的(de)路由轉發模(mo)(mo)式的(de)測試(shi)對比中(zhong)，發現在通信線(xian)路質量較高(gao)的(de)情況(kuang)下，VPN系統(tong)采用(yong)的(de)UDP傳輸協(xie)議(yi)較路由模(mo)(mo)式采用(yong)的(de)TCP協(xie)議(yi)要簡化，沒有三(san)次(ci)握(wo)手(shou)的(de)確認開銷，在大量數(shu)據傳輸時能體現高(gao)效(xiao)特(te)點。在某些特(te)定(ding)的(de)應用(yong)中(zhong)，可以取代路由器和NAT設備，保(bao)證網(wang)絡(luo)(luo)傳輸的(de)安(an)全性(xing)。

參考文獻

[1] 黃華鍵. SSL VPN中安全身(shen)份人(ren)證的研究(jiu)[D]. 西(xi)安電(dian)子科技大學碩士學位論文，2008.

[2] 武鴻浩.CUDA并行計(ji)算(suan)技(ji)術(shu)在(zai)情報信息(xi)研判中的應(ying)用[J].信息(xi)網絡安全，2012，（02）：58-59.

[3] 田愛(ai)軍(jun)，張勇進. 安(an)全模型的研(yan)究和實(shi)現[J]. 信(xin)(xin)息(xi)安(an)全與通信(xin)(xin)保密，2001， （8）： 34-36.

[4] 張震. VPN技術分析及安全模型研究[J]. 微型機與(yu)應用， 2002， 21（2）： 28-30.

[5] Aboba B，Calhoun P. RADIUS（Remote Authentication Dial In User Service） Support For Extensible Authentication Protocol（EAP）[EB].

[6] 于曉. 高安全機制VPN組網關鍵(jian)技術研(yan)究[R]. 北(bei)京：中國科學院， 2008.

[7] 吳軒亮.三網(wang)(wang)融合下城(cheng)域網(wang)(wang)DDoS攻(gong)擊的監測及防(fang)范技術研究[J].信息網(wang)(wang)絡(luo)安(an)全，2012.（03）：45-48.

[8] 王俊(jun)峰，周明天. 高速網絡性能測(ce)量研究(jiu)[J]. 計(ji)算機科(ke)學， 2004， 31（9）： 66-71.

[9] 孫志崗，李扎(zha)，王宇穎. 網絡應用軟件健壯性測試方法研究[J]. 計算(suan)機工程與科學，2005， （4）： 63-65.

基金項目：

本課題(ti)為(wei)安徽省教育廳自(zi)然基(ji)金(jin)課題(ti)項目延(yan)深（2003KJ161），基(ji)于Linux通過公網IP加密隧道實現Cernet遠程(cheng)互連的研究(jiu)。

篇9

論文(wen)(wen)摘要(yao):隨著計算機的(de)(de)(de)(de)(de)(de)飛速(su)發(fa)(fa)展以及(ji)網(wang)(wang)(wang)絡(luo)技(ji)術的(de)(de)(de)(de)(de)(de)普遍應用(yong)，隨著信息時代的(de)(de)(de)(de)(de)(de)來臨，信息作(zuo)為(wei)一(yi)種重要(yao)的(de)(de)(de)(de)(de)(de)資源正得到(dao)了人(ren)們的(de)(de)(de)(de)(de)(de)重視與應用(yong)。因特網(wang)(wang)(wang)是(shi)一(yi)個發(fa)(fa)展非(fei)常(chang)活躍(yue)的(de)(de)(de)(de)(de)(de)領域，可能(neng)會受(shou)到(dao)黑(hei)客的(de)(de)(de)(de)(de)(de)非(fei)法攻擊(ji)，所以在任(ren)何(he)情況下(xia)，對于各種事故，無意或有意的(de)(de)(de)(de)(de)(de)破(po)壞，保護數據及(ji)其傳送(song)、處理都(dou)是(shi)非(fei)常(chang)必要(yao)的(de)(de)(de)(de)(de)(de)。計劃如何(he)保護你的(de)(de)(de)(de)(de)(de)局域網(wang)(wang)(wang)免受(shou)因特網(wang)(wang)(wang)攻擊(ji)帶來的(de)(de)(de)(de)(de)(de)危害時，首先要(yao)考(kao)慮的(de)(de)(de)(de)(de)(de)是(shi)防(fang)火墻(qiang)(qiang)。防(fang)火墻(qiang)(qiang)的(de)(de)(de)(de)(de)(de)核心(xin)思(si)想是(shi)在不(bu)安(an)全(quan)的(de)(de)(de)(de)(de)(de)網(wang)(wang)(wang)際網(wang)(wang)(wang)環境(jing)中構(gou)造(zao)一(yi)個相(xiang)對安(an)全(quan)的(de)(de)(de)(de)(de)(de)子網(wang)(wang)(wang)環境(jing)。本(ben)文(wen)(wen)介紹了防(fang)火墻(qiang)(qiang)技(ji)術的(de)(de)(de)(de)(de)(de)基(ji)本(ben)概念、系統結構(gou)、原(yuan)理、構(gou)架、入侵(qin)檢測技(ji)術及(ji)VPN等相(xiang)關問(wen)題。

Abstract:Along with the fast computer development and the universal application of the network technology， along with information times coming up on， Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers， It is very necessary for data’s protection， delivery and protection against various accidents， intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering， which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level.....

第一章 緒論

§1.1概述

隨(sui)著以 Internet為(wei)代表的(de)(de)全(quan)球信(xin)(xin)息(xi)化浪潮的(de)(de)來臨(lin)，信(xin)(xin)息(xi)網(wang)絡(luo)技術的(de)(de)應(ying)用(yong)(yong)(yong)正日益(yi)(yi)廣泛，應(ying)用(yong)(yong)(yong)層次正在深入，應(ying)用(yong)(yong)(yong)領域(yu)也從傳(chuan)統(tong)(tong)(tong)的(de)(de)、小型(xing)業(ye)務(wu)(wu)系(xi)統(tong)(tong)(tong)逐漸向(xiang)大(da)型(xing)、關鍵業(ye)務(wu)(wu)系(xi)統(tong)(tong)(tong)擴(kuo)展(zhan)，其(qi)中以黨政系(xi)統(tong)(tong)(tong)、大(da)中院校網(wang)絡(luo)系(xi)統(tong)(tong)(tong)、銀行系(xi)統(tong)(tong)(tong)、商業(ye)系(xi)統(tong)(tong)(tong)、管理(li)部門(men)、政府或軍事領域(yu)等(deng)為(wei)典(dian)型(xing)。伴(ban)隨(sui)網(wang)絡(luo)的(de)(de)普及，公共通(tong)(tong)信(xin)(xin)網(wang)絡(luo)傳(chuan)輸中的(de)(de)數據安(an)(an)全(quan)問題日益(yi)(yi)成為(wei)關注的(de)(de)焦點(dian)。一(yi)方面，網(wang)絡(luo)化的(de)(de)信(xin)(xin)息(xi)系(xi)統(tong)(tong)(tong)提供(gong)了資源的(de)(de)共享性、用(yong)(yong)(yong)戶使用(yong)(yong)(yong)的(de)(de)方便性，通(tong)(tong)過分(fen)布式處理(li)提高了系(xi)統(tong)(tong)(tong)效率和可(ke)靠性，并且還具備可(ke)擴(kuo)充性。另一(yi)方面，也正是由于(yu)具有這些特點(dian)增加(jia)了網(wang)絡(luo)信(xin)(xin)息(xi)系(xi)統(tong)(tong)(tong)的(de)(de)不安(an)(an)全(quan)性。

開(kai)放性(xing)(xing)的(de)(de)(de)(de)網(wang)(wang)絡(luo)，導(dao)致(zhi)網(wang)(wang)絡(luo)所面(mian)(mian)臨的(de)(de)(de)(de)破(po)壞(huai)和(he)攻(gong)擊(ji)可能(neng)是(shi)(shi)多(duo)方(fang)面(mian)(mian)的(de)(de)(de)(de)，例如:可能(neng)來(lai)(lai)自(zi)物(wu)理傳輸線(xian)路的(de)(de)(de)(de)攻(gong)擊(ji)，也(ye)(ye)可以(yi)對網(wang)(wang)絡(luo)通信(xin)協議(yi)和(he)實現實施(shi)(shi)攻(gong)擊(ji)，可以(yi)是(shi)(shi)對軟(ruan)件實施(shi)(shi)攻(gong)擊(ji)，也(ye)(ye)可以(yi)對硬件實施(shi)(shi)攻(gong)擊(ji)。國際性(xing)(xing)的(de)(de)(de)(de)網(wang)(wang)絡(luo)，意(yi)味著(zhu)網(wang)(wang)絡(luo)的(de)(de)(de)(de)攻(gong)擊(ji)不(bu)僅僅來(lai)(lai)自(zi)本地網(wang)(wang)絡(luo)的(de)(de)(de)(de)用(yong)戶，也(ye)(ye)可以(yi)來(lai)(lai)自(zi) linternet上(shang)的(de)(de)(de)(de)任何一(yi)(yi)臺(tai)機(ji)器，也(ye)(ye)就是(shi)(shi)說(shuo)，網(wang)(wang)絡(luo)安(an)全所面(mian)(mian)臨的(de)(de)(de)(de)是(shi)(shi)一(yi)(yi)個國際化的(de)(de)(de)(de)挑戰。開(kai)放的(de)(de)(de)(de)、國際化的(de)(de)(de)(de) Internet的(de)(de)(de)(de)發展給政府機(ji)構、企事(shi)業(ye)(ye)單(dan)(dan)位(wei)的(de)(de)(de)(de)工(gong)作帶(dai)來(lai)(lai)了革命性(xing)(xing)的(de)(de)(de)(de)變(bian)革和(he)開(kai)放，使(shi)得他們能(neng)夠(gou)利用(yong) Internet提高辦事(shi)效(xiao)率、市場反應能(neng)力和(he)競爭力。通過 Internet，他們可以(yi)從異地取回(hui)重(zhong)要數據(ju)，同時(shi)也(ye)(ye)面(mian)(mian)臨 Internet開(kai)放所帶(dai)來(lai)(lai)的(de)(de)(de)(de)數據(ju)安(an)全的(de)(de)(de)(de)挑戰與危險。如何保護企業(ye)(ye)的(de)(de)(de)(de)機(ji)密信(xin)息不(bu)受黑客和(he)工(gong)業(ye)(ye)間諜的(de)(de)(de)(de)入侵，己成(cheng)為(wei)政府機(ji)構、企事(shi)業(ye)(ye)單(dan)(dan)位(wei)信(xin)息化建設健康發展所要考慮(lv)的(de)(de)(de)(de)重(zhong)要因素(su)之(zhi)一(yi)(yi)。廣泛分布的(de)(de)(de)(de)企業(ye)(ye)內部網(wang)(wang)絡(luo)由公共網(wang)(wang)絡(luo)互聯起來(lai)(lai)，這種(zhong)互聯方(fang)式面(mian)(mian)臨多(duo)種(zhong)安(an)全威脅(xie)，極易受到(dao)外界的(de)(de)(de)(de)攻(gong)擊(ji)，導(dao)致(zhi)對網(wang)(wang)絡(luo)的(de)(de)(de)(de)非法訪問和(he)信(xin)息泄露(lu)。防(fang)火(huo)墻是(shi)(shi)安(an)全防(fang)范的(de)(de)(de)(de)最有效(xiao)也(ye)(ye)是(shi)(shi)最基本的(de)(de)(de)(de)手段之(zhi)一(yi)(yi)。

雖(sui)然國(guo)內(nei)己有許多(duo)成(cheng)熟的防火墻及(ji)其(qi)他(ta)相關安(an)全產(chan)品(pin)(pin)，并且這(zhe)些產(chan)品(pin)(pin)早已打入市場，但是對(dui)于安(an)全產(chan)品(pin)(pin)來說，要想進入我軍部(bu)隊。我們必須自己掌握安(an)全測(ce)試技(ji)術，使(shi)進入部(bu)隊的安(an)全產(chan)品(pin)(pin)不出現問題，所以對(dui)網絡安(an)全測(ce)試的研究非常(chang)重要，具有深遠的意義。

§1.2本文主要工作(zuo)

了解防(fang)火(huo)墻的原理 、架構、技(ji)術實現

了解防火墻的(de)部(bu)署和使用配置(zhi)

熟悉(xi)防火(huo)墻測試的相(xiang)關標準

 掌握防(fang)火墻產品的功能、性(xing)能、安全(quan)性(xing)和可(ke)用性(xing)的測試(shi)方法

掌握(wo)入(ru)侵檢測與(yu)VPN的概念及相(xiang)關測試方法

第二章(zhang) 防火墻的原理 、架構、技術實現

§2.1什(shen)么是(shi)防火墻？

防火墻是指設置在(zai)不(bu)(bu)同網(wang)(wang)(wang)(wang)絡(luo)（如可(ke)信(xin)(xin)任(ren)的(de)(de)企業(ye)內部(bu)(bu)網(wang)(wang)(wang)(wang)和不(bu)(bu)可(ke)信(xin)(xin)的(de)(de)公共(gong)網(wang)(wang)(wang)(wang)）或(huo)網(wang)(wang)(wang)(wang)絡(luo)安(an)全(quan)域(yu)之(zhi)間的(de)(de)一系列部(bu)(bu)件的(de)(de)組合(he)。它是不(bu)(bu)同網(wang)(wang)(wang)(wang)絡(luo)或(huo)網(wang)(wang)(wang)(wang)絡(luo)安(an)全(quan)域(yu)之(zhi)間信(xin)(xin)息的(de)(de)唯一出(chu)入口，能(neng)根據企業(ye)的(de)(de)安(an)全(quan)政策控制(zhi)（允(yun)許、拒絕(jue)、監測）出(chu)入網(wang)(wang)(wang)(wang)絡(luo)的(de)(de)信(xin)(xin)息流，且本身具有(you)較強的(de)(de)抗攻擊能(neng)力。它是提供(gong)信(xin)(xin)息安(an)全(quan)服(fu)務，實現網(wang)(wang)(wang)(wang)絡(luo)和信(xin)(xin)息安(an)全(quan)的(de)(de)基礎設施。

§2.2防(fang)火墻的原(yuan)理

隨著網絡(luo)(luo)規模的(de)(de)(de)擴(kuo)大和(he)(he)開放(fang)性的(de)(de)(de)增強(qiang)，網絡(luo)(luo)上(shang)的(de)(de)(de)很(hen)多敏感信(xin)息和(he)(he)保(bao)密數(shu)據將受到很(hen)多主(zhu)動和(he)(he)被動的(de)(de)(de)人為(wei)攻擊。一種(zhong)解決辦法是為(wei)需(xu)要保(bao)護(hu)的(de)(de)(de)網絡(luo)(luo)上(shang)的(de)(de)(de)每(mei)個工作站和(he)(he)服務器裝(zhuang)備上(shang)強(qiang)大的(de)(de)(de)安(an)(an)全(quan)(quan)特征(例如入(ru)侵檢測)，但(dan)這(zhe)幾乎是一種(zhong)不(bu)(bu)(bu)切合實(shi)際的(de)(de)(de)方法，因(yin)為(wei)對具有(you)幾百個甚至上(shang)千個節點的(de)(de)(de)網絡(luo)(luo)，它們可(ke)能運行(xing)著不(bu)(bu)(bu)同的(de)(de)(de)操作系(xi)統，當發現了安(an)(an)全(quan)(quan)缺(que)(que)陷時，每(mei)個可(ke)能被影響的(de)(de)(de)節點都必須(xu)加以(yi)改進以(yi)修復這(zhe)個缺(que)(que)陷。另(ling)一種(zhong)選擇(ze)就是防(fang)(fang)火墻 (Firewall)，防(fang)(fang)火墻是用來在安(an)(an)全(quan)(quan)私(si)有(you)網絡(luo)(luo)(可(ke)信(xin)任(ren)網絡(luo)(luo))和(he)(he)外部(bu)不(bu)(bu)(bu)可(ke)信(xin)任(ren)網絡(luo)(luo)之間(jian)(jian)安(an)(an)全(quan)(quan)連接的(de)(de)(de)一個設備或一組設備，作為(wei)私(si)有(you)網絡(luo)(luo)和(he)(he)外部(bu)網絡(luo)(luo)之間(jian)(jian)連接的(de)(de)(de)單點存在。防(fang)(fang)火墻是設置在可(ke)信(xin)任(ren)的(de)(de)(de)內(nei)部(bu)網絡(luo)(luo)和(he)(he)不(bu)(bu)(bu)可(ke)信(xin)任(ren)的(de)(de)(de)外部(bu)網絡(luo)(luo)之間(jian)(jian)的(de)(de)(de)一道(dao)屏障(zhang)，它可(ke)以(yi)實(shi)施比較(jiao)廣(guang)泛的(de)(de)(de)安(an)(an)全(quan)(quan)策略來控制信(xin)息流，防(fang)(fang)止不(bu)(bu)(bu)可(ke)預料的(de)(de)(de)潛在的(de)(de)(de)入(ru)侵破壞. DMZ外網和(he)(he)內(nei)部(bu)局域網的(de)(de)(de)防(fang)(fang)火墻系(xi)統。

§2.3防火墻的架構

防火墻(qiang)產(chan)品的三代體系架構主要為(wei)：

第一(yi)代(dai)架(jia)構：主要是以單一(yi)cpu作為整個系(xi)統業務(wu)和管理的核心，cpu有x86、powerpc、mips等(deng)多類(lei)型(xing)，產(chan)品主要表現形式是pc機、工控(kong)機、pc-box或risc-box等(deng)；

 第(di)二(er)代架構：以np或asic作為(wei)(wei)業務處(chu)理的主(zhu)要核(he)心，對一般安全業務進行加速，嵌入式cpu為(wei)(wei)管(guan)理核(he)心，產品主(zhu)要表現形式為(wei)(wei)box等；

第(di)三代(dai)架構：iss（integrated security system）集(ji)成(cheng)安(an)全(quan)(quan)(quan)體(ti)系架構，以高(gao)速(su)安(an)全(quan)(quan)(quan)處理芯片(pian)作為業(ye)務處理的(de)(de)(de)主要核(he)心，采用(yong)高(gao)性(xing)能cpu發(fa)揮多(duo)種安(an)全(quan)(quan)(quan)業(ye)務的(de)(de)(de)高(gao)層(ceng)應用(yong)，產品(pin)主要表現形式(shi)為基于電信級的(de)(de)(de)高(gao)可靠、背板交換(huan)式(shi)的(de)(de)(de)機架式(shi)設備，容(rong)量(liang)大(da)性(xing)能高(gao)，各(ge)單(dan)元(yuan)及(ji)系統更為靈活。

§2.4防火(huo)墻的技術實現

從Windows軟(ruan)件(jian)防(fang)(fang)火墻(qiang)(qiang)的(de)誕生開(kai)始，這(zhe)種安(an)全(quan)防(fang)(fang)護產品(pin)就在跟隨著不斷深(shen)入的(de)黑客(ke)病(bing)毒(du)與反黑反毒(du)之爭，不斷的(de)進化與升級。從最(zui)早期的(de)只能分析來源地址，端口號以及未經處理的(de)報文(wen)原文(wen)的(de)封包(bao)(bao)過濾防(fang)(fang)火墻(qiang)(qiang)，后來出(chu)現了能對不同的(de)應用程序設(she)置不同的(de)訪問(wen)網(wang)絡權限的(de)技術(shu)；近年來由ZoneAlarm等國(guo)外知名品(pin)牌(pai)牽頭，還(huan)開(kai)始流(liu)(liu)行了具有未知攻擊(ji)攔截(jie)(jie)能力的(de)智能行為(wei)監控防(fang)(fang)火墻(qiang)(qiang)；最(zui)后，由于近來垃圾插件(jian)和(he)流(liu)(liu)氓軟(ruan)件(jian)的(de)盛行，很多防(fang)(fang)火墻(qiang)(qiang)都在考(kao)慮給自己加上攔截(jie)(jie)流(liu)(liu)氓軟(ruan)件(jian)的(de)功(gong)能。綜上，Windows軟(ruan)件(jian)防(fang)(fang)火墻(qiang)(qiang)從開(kai)始的(de)時候單純的(de)一個截(jie)(jie)包(bao)(bao)丟包(bao)(bao)，堵截(jie)(jie)IP和(he)端口的(de)工具，發展到了今天(tian)功(gong)能強大的(de)整(zheng)體(ti)性的(de)安(an)全(quan)套件(jian)。

第三章 防(fang)火墻的部署和使用配置

§ 3.1防(fang)火(huo)墻的部署

雖然監測(ce)型(xing)(xing)(xing)防火墻安全(quan)性上已超越了(le)包過濾型(xing)(xing)(xing)和(he)服務器型(xing)(xing)(xing)防火墻，但由于監測(ce)型(xing)(xing)(xing)防火墻技術(shu)的(de)實(shi)現成本較(jiao)高，也(ye)不易管理(li)，所以目前在實(shi)用中的(de)防火墻產品(pin)仍然以第二(er)代型(xing)(xing)(xing)產品(pin)為主，但在某些方(fang)面也(ye)已經(jing)開(kai)始使(shi)用監測(ce)型(xing)(xing)(xing)防火墻。基于對系統(tong)成本與安全(quan)技術(shu)成本的(de)綜合考慮，用戶(hu)可以選擇(ze)性地(di)(di)使(shi)用某些監測(ce)型(xing)(xing)(xing)技術(shu)。這樣(yang)既能夠保(bao)證網絡系統(tong)的(de)安全(quan)性需求(qiu)，同(tong)時也(ye)能有效地(di)(di)控制安全(quan)系統(tong)的(de)總擁有成本。

實(shi)際上(shang)，作(zuo)為(wei)當前防火(huo)墻產品的(de)(de)(de)主流趨勢，大(da)多數服務器（也稱應(ying)用(yong)(yong)(yong)(yong)網關）也集成了包過(guo)濾技(ji)術(shu)，這兩種(zhong)技(ji)術(shu)的(de)(de)(de)混合應(ying)用(yong)(yong)(yong)(yong)顯然比(bi)單獨(du)使用(yong)(yong)(yong)(yong)具有(you)更大(da)的(de)(de)(de)優勢。由于(yu)這種(zhong)產品是(shi)基于(yu)應(ying)用(yong)(yong)(yong)(yong)的(de)(de)(de)，應(ying)用(yong)(yong)(yong)(yong)網關能提(ti)供對協議的(de)(de)(de)過(guo)濾。例(li)如，它可以過(guo)濾掉FTP連接中(zhong)的(de)(de)(de)PUT命令，而且通過(guo)應(ying)用(yong)(yong)(yong)(yong)，應(ying)用(yong)(yong)(yong)(yong)網關能夠有(you)效(xiao)地避免內部網絡(luo)的(de)(de)(de)信息外泄。正(zheng)是(shi)由于(yu)應(ying)用(yong)(yong)(yong)(yong)網關的(de)(de)(de)這些特(te)點，使得應(ying)用(yong)(yong)(yong)(yong)過(guo)程中(zhong)的(de)(de)(de)矛盾主要集中(zhong)在對多種(zhong)網絡(luo)應(ying)用(yong)(yong)(yong)(yong)協議的(de)(de)(de)有(you)效(xiao)支持(chi)和對網絡(luo)整體性能的(de)(de)(de)影響(xiang)上(shang)。

----那么我們究竟應該在(zai)哪(na)些地方(fang)部(bu)署(shu)防火墻呢？

----首先(xian)，應該(gai)安裝(zhuang)防火(huo)墻(qiang)的(de)位置(zhi)是公司(si)內(nei)(nei)部網(wang)(wang)絡與外部 Internet的(de)接(jie)口處，以阻擋來自外部網(wang)(wang)絡的(de)入侵(qin)；其次，如果(guo)公司(si)內(nei)(nei)部網(wang)(wang)絡規模較大，并且(qie)設(she)置(zhi)有(you)(you)虛(xu)擬局域網(wang)(wang)(VLAN)，則應該(gai)在各(ge)個(ge)VLAN之間(jian)設(she)置(zhi)防火(huo)墻(qiang)；第三，通過公網(wang)(wang)連接(jie)的(de)總部與各(ge)分(fen)支機(ji)構(gou)之間(jian)也應該(gai)設(she)置(zhi)防火(huo)墻(qiang)，如果(guo)有(you)(you)條件，還應該(gai)同時將總部與各(ge)分(fen)支機(ji)構(gou)組成虛(xu)擬專(zhuan)用網(wang)(wang)(VPN)。

----安裝防(fang)火墻的(de)基本原(yuan)則(ze)是：只要有(you)惡意(yi)侵(qin)入的(de)可能，無論是內部(bu)(bu)網(wang)絡還是與外部(bu)(bu)公(gong)網(wang)的(de)連接(jie)處，都應該安裝防(fang)火墻。

§ 3.2 防(fang)火墻(qiang)的使用(yong)配置(zhi)

一、防火(huo)墻(qiang)的配置規則：

沒有連(lian)接的狀態(tai)(沒有握手(shou)(shou)或(huo)握手(shou)(shou)不成功或(huo)非法的數據包)，任何數據包無(wu)法穿過防火(huo)墻。(內部發起的連(lian)接可以回包。通過ACL開放的服務器允(yun)許外(wai)部發起連(lian)接)

inside可以訪問任(ren)何outside和(he)dmz區域。

dmz可以訪問outside區域(yu)。

inside訪問dmz需要配合static(靜態地址轉換)。

outside訪問(wen)dmz需要(yao)配合(he)acl(訪問(wen)控制(zhi)列(lie)表)。

二、防火墻設(she)備的設(she)置步驟：

1、確定設置防火墻的部(bu)署(shu)模式(shi)；

2、設置防火墻(qiang)設備(bei)的IP地址(zhi)信息（接口地址(zhi)或管理地址(zhi)（設置在VLAN 1上））；

3、設(she)置防火墻設(she)備的路由信息；

4、確定經過(guo)防火墻設備(bei)的(de)IP地址(zhi)信息（基于策略的(de)源、目標地址(zhi)）；

5、確定(ding)網絡應用(yong)（如FTP、EMAIL等(deng)應用(yong)）；

6、配置訪問控制策略。

第四章 防火墻測(ce)試的相(xiang)關標準

防(fang)火(huo)墻(qiang)(qiang)作(zuo)為(wei)信息(xi)安(an)全(quan)產品(pin)的(de)(de)(de)一種(zhong)，它的(de)(de)(de)產生源(yuan)于(yu)信息(xi)安(an)全(quan)的(de)(de)(de)需求。所(suo)以(yi)(yi)防(fang)火(huo)墻(qiang)(qiang)的(de)(de)(de)測(ce)試(shi)不(bu)僅有利于(yu)提(ti)高防(fang)火(huo)墻(qiang)(qiang)的(de)(de)(de)工作(zuo)效率，更(geng)是為(wei)了保證國(guo)(guo)家信息(xi)的(de)(de)(de)安(an)全(quan)。依照中華人民(min)共(gong)和(he)(he)國(guo)(guo)國(guo)(guo)家標(biao)準GB/T 18019-1999《信息(xi)技(ji)術(shu)包過濾(lv)防(fang)火(huo)墻(qiang)(qiang)安(an)全(quan)技(ji)術(shu)要(yao)求》、GB/T18020-1999《信息(xi)技(ji)術(shu)應(ying)用級防(fang)火(huo)墻(qiang)(qiang)安(an)全(quan)技(ji)術(shu)要(yao)求》和(he)(he)GB/T17900-1999《網絡服務器的(de)(de)(de)安(an)全(quan)技(ji)術(shu)要(yao)求》以(yi)(yi)及(ji)多款(kuan)防(fang)火(huo)墻(qiang)(qiang)隨機(ji)提(ti)供的(de)(de)(de)說明(ming)文檔，中國(guo)(guo)軟(ruan)件(jian)評測(ce)中心軟(ruan)件(jian)產品(pin)測(ce)試(shi)部(bu)根據有關方面(mian)的(de)(de)(de)標(biao)準和(he)(he)不(bu)同防(fang)火(huo)墻(qiang)(qiang)的(de)(de)(de)特(te)點整理出以(yi)(yi)下軟(ruan)件(jian)防(fang)火(huo)墻(qiang)(qiang)的(de)(de)(de)測(ce)試(shi)標(biao)準：

4.1 規則配置方面

要(yao)使(shi)防火(huo)(huo)墻(qiang)軟(ruan)件更(geng)(geng)好的(de)(de)(de)(de)服務(wu)于(yu)用戶，除了其默認的(de)(de)(de)(de)安全(quan)規(gui)(gui)則(ze)外，還需要(yao)用戶在使(shi)用過程中不(bu)斷(duan)(duan)的(de)(de)(de)(de)完善其規(gui)(gui)則(ze)；而規(gui)(gui)則(ze)的(de)(de)(de)(de)設置是(shi)否(fou)靈(ling)活方便、實際效果是(shi)否(fou)理想等(deng)方面(mian)，也是(shi)判斷(duan)(duan)一款(kuan)防火(huo)(huo)墻(qiang)軟(ruan)件整體安全(quan)性是(shi)否(fou)合格的(de)(de)(de)(de)重要(yao)標(biao)準。簡單(dan)快捷(jie)的(de)(de)(de)(de)規(gui)(gui)則(ze)配(pei)置過程讓防火(huo)(huo)墻(qiang)軟(ruan)件具(ju)備更(geng)(geng)好的(de)(de)(de)(de)親和力，一款(kuan)防火(huo)(huo)墻(qiang)軟(ruan)件如(ru)果能實施在線檢測所有對本(ben)機的(de)(de)(de)(de)訪(fang)問并控(kong)制它(ta)們(men)、分(fen)別對應用程序、文件或注冊表鍵值(zhi)實施單(dan)獨的(de)(de)(de)(de)規(gui)(gui)則(ze)添(tian)加等(deng)等(deng)，這將(jiang)成(cheng)為此款(kuan)軟(ruan)件防火(huo)(huo)墻(qiang)規(gui)(gui)則(ze)配(pei)置的(de)(de)(de)(de)一個特色。

§ 4.2 防御能力(li)方面

對于防(fang)火墻防(fang)御能(neng)力(li)的(de)(de)表現，由于偶然因素太多，因此無法從一個固定平等(deng)的(de)(de)測(ce)試環(huan)境中來(lai)得出(chu)結果。但是可(ke)以使用(yong)了X-Scan等(deng)安全掃描工(gong)具(ju)來(lai)測(ce)試。雖然得出(chu)的(de)(de)結果可(ke)能(neng)仍然有一定的(de)(de)出(chu)入，但大(da)致可(ke)以做為一個性能(neng)參考(kao)。

§ 4.3 主動防御提(ti)示方面

對于網絡訪問、系(xi)統進程訪問、程序(xu)運(yun)行等本機(ji)狀(zhuang)態發生改變時(shi)，防火墻軟(ruan)件一(yi)般都會有主動防御(yu)提示(shi)出現。這方面主要測試(shi)軟(ruan)件攔截或(huo)過濾時(shi)是否提示(shi)用(yong)戶做出相應的操作選擇。

§ 4.4 自定(ding)義(yi)安全級別方面(mian)

用戶(hu)是否可以參(can)照(zhao)已有安(an)全級(ji)別(bie)的(de)安(an)全性描述來設(she)置符合自(zi)身(shen)特殊需要的(de)規則。防(fang)火墻可設(she)置系統防(fang)火墻的(de)安(an)全等級(ji)、安(an)全規則，以防(fang)止電(dian)腦被(bei)外界入(ru)侵。一般的(de)防(fang)火墻共有四(si)個級(ji)別(bie)：

高級(ji)：預設的防火墻安全等級(ji)，用(yong)戶可以上(shang)網，收(shou)發郵件；l

中級：預設的防(fang)火墻(qiang)安全等級，用戶可(ke)以上網，收發郵件，網絡聊天， FTP、Telnet等；l

低級：預(yu)設(she)的防火墻安全等級，只(zhi)對(dui)已知的木馬進(jin)行攔(lan)截，對(dui)于其它的訪問，只(zhi)是(shi)給于提(ti)示用戶及(ji)記(ji)錄(lu)；l

自(zi)定(ding)義(yi)：用(yong)戶可自(zi)定(ding)義(yi)防火墻的(de)安全(quan)規則，可以根據需要自(zi)行(xing)進行(xing)配置。l

§ 4.5 其他功能方面

這主要(yao)是(shi)從(cong)軟件的擴展功能(neng)表(biao)現、操作設置的易用性(xing)、軟件的兼(jian)容性(xing)和安全可(ke)靠性(xing)方面(mian)來綜合判定。比如是(shi)否具有(you)過濾網(wang)(wang)址(zhi)、實施(shi)木(mu)馬(ma)掃描、阻(zu)止彈出廣告窗口、將未受保(bao)護的無線網(wang)(wang)絡“學習”為規則(ze)、惡意軟件檢(jian)測、個人(ren)隱私(si)保(bao)護等豐富(fu)的功能(neng)項，是(shi)否可(ke)以滿(man)足用戶各(ge)方面(mian)的需要(yao)。

§ 4.6 資(zi)源占用(yong)方面

這方面的(de)測試包(bao)括空閑時(shi)和瀏覽網(wang)頁時(shi)的(de)CPU占用(yong)率、內(nei)存占有率以(yi)及屏蔽大量(liang)攻擊時(shi)的(de)資源占用(yong)和相(xiang)應速度。總(zong)的(de)來是(shi)就(jiu)是(shi)資源占用(yong)率越(yue)低越(yue)好，啟動的(de)速度越(yue)快越(yue)好。

§ 4.7 軟件安裝(zhuang)方(fang)面

這方(fang)面(mian)主要(yao)測試軟件的(de)安(an)裝使用是(shi)(shi)否需要(yao)重啟(qi)系統、安(an)裝過(guo)程是(shi)(shi)不是(shi)(shi)方(fang)便(bian)、安(an)裝完成(cheng)后是(shi)(shi)否提(ti)示升級本地數(shu)據庫的(de)信息等(deng)等(deng)。

§ 4.8 軟件界面(mian)方(fang)面(mian)

軟(ruan)件是否可(ke)切換界(jie)面(mian)皮膚和(he)(he)語言、界(jie)面(mian)是否簡潔等等。簡潔的界(jie)面(mian)并不代表其功能就不完(wan)善，相反地(di)，簡化了用戶的操作(zuo)設置項(xiang)也就帶來了更智能的安全防(fang)護(hu)(hu)功能。比(bi)如(ru)有的防(fang)護(hu)(hu)墻安裝完(wan)成(cheng)(cheng)后(hou)會在桌面(mian)生(sheng)成(cheng)(cheng)簡單模式和(he)(he)高級模式兩個啟動項(xiang)，這方便(bian)用戶根據不同的安全級別啟動相應(ying)的防(fang)護(hu)(hu)

第五章 防火墻的入侵(qin)檢測

§ 5.1 什么是入侵檢(jian)測(ce)系統？

入侵檢測(ce)可(ke)被定義(yi)為對計算機和網絡資源(yuan)上的(de)(de)惡意(yi)使(shi)用(yong)行(xing)為進行(xing)識別和響應的(de)(de)處理過(guo)程，它不僅(jin)檢測(ce)來(lai)自外部的(de)(de)入侵行(xing)為，同時也(ye)檢測(ce)內部用(yong)戶的(de)(de)未授權活動。

入侵(qin)檢測(ce)系(xi)統 (IDS)是從計算機(ji)網絡(luo)(luo)系(xi)統中的(de)(de)若干關(guan)鍵(jian)點收集信(xin)息，并分析這(zhe)些信(xin)息，檢查網絡(luo)(luo)中是否有(you)違反安全(quan)策略的(de)(de)行為和(he)遭到襲擊的(de)(de)跡(ji)象。IDS被公認為是防(fang)(fang)(fang)火(huo)墻之后的(de)(de)第二道安全(quan)閘門(men)，它作(zuo)(zuo)為一種積極主(zhu)(zhu)動的(de)(de)安全(quan)防(fang)(fang)(fang)護技術，從網絡(luo)(luo)安全(quan)立(li)體(ti)縱深、多層次防(fang)(fang)(fang)御的(de)(de)角度(du)出發，對(dui)防(fang)(fang)(fang)范(fan)網絡(luo)(luo)惡意攻擊及誤(wu)操作(zuo)(zuo)提供了主(zhu)(zhu)動的(de)(de)實時保護，從而能夠在網絡(luo)(luo)系(xi)統受到危害之前攔截(jie)和(he)響應(ying)入侵(qin)

§ 5.2 入侵(qin)檢測技術及發展

自(zi)1980年產生IDS概念以來，已經出現了(le)基(ji)于(yu)主機和基(ji)于(yu)網(wang)絡的入侵檢(jian)測系統，出現了(le)基(ji)于(yu)知識(shi)的模型識(shi)別(bie)、異常識(shi)別(bie)和協議(yi)分析等入侵檢(jian)測技術，并(bing)能夠對百兆、千兆甚(shen)至更(geng)高流量的網(wang)絡系統執行入侵檢(jian)測。

入侵檢測(ce)技術的發展已(yi)經歷(li)了四個主要(yao)階段：

第一階段是(shi)以基于協議(yi)解(jie)碼和模式匹配為主的技(ji)術，其(qi)優(you)點(dian)是(shi)對于已知(zhi)的攻(gong)擊(ji)行(xing)為非常有效(xiao)，各種已知(zhi)的攻(gong)擊(ji)行(xing)為可以對號入座，誤報(bao)率(lv)低;缺點(dian)是(shi)高(gao)超的黑(hei)客(ke)采用(yong)變形手法或者新技(ji)術可以輕易躲避(bi)檢測，漏報(bao)率(lv)高(gao)。

第(di)二階段(duan)是以基于模(mo)式匹配(pei)(pei)+簡單協議分析(xi)(xi)(xi)+異常統計為(wei)主的技(ji)術(shu)(shu)，其優點(dian)是能(neng)夠分析(xi)(xi)(xi)處(chu)理(li)一(yi)部分協議，可以進(jin)行重(zhong)組;缺點(dian)是匹配(pei)(pei)效(xiao)率較低，管理(li)功(gong)能(neng)較弱。這(zhe)種檢測(ce)技(ji)術(shu)(shu)實際上(shang)是在(zai)第(di)一(yi)階段(duan)技(ji)術(shu)(shu)的基礎上(shang)增加了部分對異常行為(wei)分析(xi)(xi)(xi)的功(gong)能(neng)。

第三階段是(shi)以基于完全協議分(fen)析+模式(shi)匹配+異(yi)常統計為主的技術，其優點(dian)是(shi)誤(wu)報(bao)(bao)率(lv)、漏報(bao)(bao)率(lv)和濫報(bao)(bao)率(lv)較(jiao)低，效率(lv)高(gao)，可管(guan)理性強，并在此基礎上實(shi)現了多級分(fen)布(bu)式(shi)的檢測管(guan)理;缺點(dian)是(shi)可視化程度(du)不夠，防范及管(guan)理功能較(jiao)弱。

第(di)四階段是(shi)以基于安(an)全管(guan)(guan)理+協議分析+模式匹配+異常統計為主的技(ji)術，其優點是(shi)入(ru)侵(qin)管(guan)(guan)理和多(duo)項(xiang)技(ji)術協同工作(zuo)，建立全局的主動(dong)保障體(ti)(ti)系(xi)，具有良好的可(ke)視化、可(ke)控性和可(ke)管(guan)(guan)理性。以該(gai)技(ji)術為核心，可(ke)構(gou)造(zao)一個積極的動(dong)態防(fang)御體(ti)(ti)系(xi)，即IMS——入(ru)侵(qin)管(guan)(guan)理系(xi)統。

新一(yi)代的入侵檢(jian)測(ce)系(xi)統(tong)應(ying)該是具(ju)有集成HIDS和(he)NIDS的優點、部署方便、應(ying)用靈活、功能(neng)(neng)強大、并提供攻擊簽名、檢(jian)測(ce)、報(bao)告和(he)事(shi)件關聯等配套服務功能(neng)(neng)的智(zhi)能(neng)(neng)化(hua)系(xi)統(tong)

§ 5.3入侵檢測技術分類

從(cong)技術(shu)上講，入(ru)侵檢測技術(shu)大致(zhi)分為(wei)基于知識的模式識別(bie)、基于知識的異常識別(bie)和協(xie)議分析(xi)三(san)類。而主(zhu)要的入(ru)侵檢測方法有特征檢測法、概(gai)率統(tong)計分析(xi)法和專家知識庫系統(tong)。

(1)基于知識(shi)的模(mo)式識(shi)別(bie)

這(zhe)種技術是(shi)(shi)通過事先定義(yi)好的模(mo)(mo)(mo)式(shi)數(shu)據(ju)(ju)庫(ku)(ku)實現的，其(qi)基本思想是(shi)(shi)：首先把各種可能的入侵活(huo)動均用某種模(mo)(mo)(mo)式(shi)表示出(chu)來(lai)，并建立(li)模(mo)(mo)(mo)式(shi)數(shu)據(ju)(ju)庫(ku)(ku)，然后監視(shi)主(zhu)體的一(yi)舉一(yi)動，當檢測到主(zhu)體活(huo)動違反了事先定義(yi)的模(mo)(mo)(mo)式(shi)規(gui)則時(shi)，根據(ju)(ju)模(mo)(mo)(mo)式(shi)匹配(pei)原則判別是(shi)(shi)否發(fa)生(sheng)了攻擊行為。

模式(shi)(shi)識(shi)別的(de)(de)關鍵(jian)是建立入(ru)侵模式(shi)(shi)的(de)(de)表示(shi)形式(shi)(shi)，同時，要能夠區分入(ru)侵行為(wei)和正(zheng)常行為(wei)。這種檢測(ce)技術僅(jin)限于檢測(ce)出(chu)已(yi)建立模式(shi)(shi)的(de)(de)入(ru)侵行為(wei)，屬已(yi)知(zhi)類型，對新(xin)類型的(de)(de)入(ru)侵是無能為(wei)力的(de)(de)，仍需改進。

(2)基于知識的(de)異常識別

這種技術是通過(guo)事(shi)先(xian)建(jian)立正(zheng)常(chang)(chang)行為(wei)檔(dang)案庫實(shi)現(xian)的(de)，其基本思想是：首先(xian)把主體的(de)各種正(zheng)常(chang)(chang)活動(dong)(dong)用某種形式描述(shu)出來，并(bing)建(jian)立“正(zheng)常(chang)(chang)活動(dong)(dong)檔(dang)案”，當(dang)某種活動(dong)(dong)與所描述(shu)的(de)正(zheng)常(chang)(chang)活動(dong)(dong)存在差異時，就認為(wei)是“入侵”行為(wei)，進而被(bei)檢測識別(bie)。

異常(chang)識別的(de)關鍵是描(miao)述正常(chang)活動和構建(jian)正常(chang)活動檔案庫。

利(li)用行(xing)為(wei)(wei)進行(xing)識別時，存在(zai)四(si)種可能(neng)(neng)：一是入侵且行(xing)為(wei)(wei)正常;二(er)是入侵且行(xing)為(wei)(wei)異(yi)(yi)常;三(san)是非入侵且行(xing)為(wei)(wei)正常;四(si)是非入侵且行(xing)為(wei)(wei)異(yi)(yi)常。根據異(yi)(yi)常識別思想，把第二(er)種和(he)第四(si)種情況判定為(wei)(wei)“入侵”行(xing)為(wei)(wei)。這種檢(jian)測技術(shu)可以檢(jian)測出未知行(xing)為(wei)(wei)，并(bing)具(ju)有簡單的(de)學習功(gong)能(neng)(neng)。

以下(xia)是(shi)幾種基于知識的異常(chang)識別的檢(jian)測方法：

1)基于審(shen)計的(de)攻擊檢(jian)測技術(shu)

這種檢(jian)測(ce)方法(fa)是通過對審計信(xin)息的(de)綜合分(fen)析實(shi)現的(de)，其基本(ben)思(si)想是：根據用(yong)戶的(de)歷史行(xing)(xing)為、先前(qian)的(de)證據或模型，使用(yong)統(tong)計分(fen)析方法(fa)對用(yong)戶當(dang)前(qian)的(de)行(xing)(xing)為進行(xing)(xing)檢(jian)測(ce)和判別，當(dang)發現可疑行(xing)(xing)為時(shi)，保持(chi)跟蹤并監視其行(xing)(xing)為，同(tong)時(shi)向系(xi)統(tong)安(an)(an)全員提交(jiao)安(an)(an)全審計報告。

2)基于神經網絡的攻擊檢測技術

由(you)于(yu)(yu)用戶的行(xing)為(wei)(wei)十分復雜，要(yao)準確匹配一個用戶的歷史行(xing)為(wei)(wei)和當(dang)前的行(xing)為(wei)(wei)是相當(dang)困難的，這也是基于(yu)(yu)審計攻擊檢測的主要(yao)弱點。

而基于神經網絡的攻(gong)擊(ji)檢測技術則(ze)是一個對基于傳(chuan)統(tong)統(tong)計(ji)技術的攻(gong)擊(ji)檢測方(fang)法(fa)的改進方(fang)向，它能夠解決(jue)傳(chuan)統(tong)的統(tong)計(ji)分(fen)析技術所(suo)面臨的若(ruo)干(gan)問題，例如，建立確切的統(tong)計(ji)分(fen)布、實現(xian)方(fang)法(fa)的普遍性(xing)、降低算法(fa)實現(xian)的成本(ben)和系統(tong)優化(hua)等問題。

3)基(ji)于專家系(xi)統的攻(gong)擊檢測技術

所謂專(zhuan)家(jia)系(xi)統(tong)就(jiu)是一個(ge)依據專(zhuan)家(jia)經(jing)驗(yan)(yan)定義的(de)推理系(xi)統(tong)。這(zhe)種檢測是建立在專(zhuan)家(jia)經(jing)驗(yan)(yan)基礎上的(de)，它根(gen)據專(zhuan)家(jia)經(jing)驗(yan)(yan)進行(xing)(xing)推理判斷得出結論。例如，當用戶連續三(san)次登錄(lu)失敗時，可以把(ba)該用戶的(de)第四次登錄(lu)視為(wei)攻擊行(xing)(xing)為(wei)。

4)基于(yu)模型推理的攻擊檢測技(ji)術(shu)

攻(gong)(gong)(gong)擊(ji)(ji)者在入(ru)(ru)侵(qin)一(yi)個系(xi)統(tong)(tong)時(shi)往(wang)往(wang)采用(yong)一(yi)定(ding)(ding)(ding)的(de)(de)(de)行(xing)(xing)為程序(xu)，如猜(cai)測(ce)口(kou)令的(de)(de)(de)程序(xu)，這種(zhong)行(xing)(xing)為程序(xu)構成了某(mou)種(zhong)具有一(yi)定(ding)(ding)(ding)行(xing)(xing)為特征的(de)(de)(de)模型，根(gen)據這種(zhong)模型所代表的(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)意圖(tu)的(de)(de)(de)行(xing)(xing)為特征，可以(yi)實時(shi)地檢(jian)測(ce)出惡意的(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)企圖(tu)，盡(jin)管攻(gong)(gong)(gong)擊(ji)(ji)者不(bu)(bu)一(yi)定(ding)(ding)(ding)都(dou)是(shi)惡意的(de)(de)(de)。用(yong)基于模型的(de)(de)(de)推理方法人(ren)們能(neng)夠為某(mou)些行(xing)(xing)為建立特定(ding)(ding)(ding)的(de)(de)(de)模型，從而能(neng)夠監視(shi)具有特定(ding)(ding)(ding)行(xing)(xing)為特征的(de)(de)(de)某(mou)些活動(dong)。根(gen)據假(jia)設的(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)腳(jiao)本，這種(zhong)系(xi)統(tong)(tong)就能(neng)檢(jian)測(ce)出非法的(de)(de)(de)用(yong)戶行(xing)(xing)為。一(yi)般為了準確判(pan)斷，要(yao)為不(bu)(bu)同(tong)的(de)(de)(de)入(ru)(ru)侵(qin)者和(he)不(bu)(bu)同(tong)的(de)(de)(de)系(xi)統(tong)(tong)建立特定(ding)(ding)(ding)的(de)(de)(de)攻(gong)(gong)(gong)擊(ji)(ji)腳(jiao)本。

使用基(ji)于知(zhi)(zhi)識(shi)的(de)(de)(de)模(mo)式識(shi)別(bie)和基(ji)于知(zhi)(zhi)識(shi)的(de)(de)(de)異(yi)常識(shi)別(bie)所得出的(de)(de)(de)結論(lun)差(cha)異(yi)較大，甚(shen)至(zhi)得出相反結論(lun)。這是因為基(ji)于知(zhi)(zhi)識(shi)的(de)(de)(de)模(mo)式識(shi)別(bie)的(de)(de)(de)核(he)心是維護一個入(ru)侵(qin)(qin)模(mo)式庫，它(ta)(ta)對(dui)已知(zhi)(zhi)攻擊(ji)可以詳細(xi)、準確(que)地(di)報(bao)告出攻擊(ji)類型，但(dan)對(dui)未知(zhi)(zhi)攻擊(ji)卻無能為力，而且入(ru)侵(qin)(qin)模(mo)式庫必須(xu)不(bu)斷(duan)更(geng)新(xin)。而基(ji)于知(zhi)(zhi)識(shi)的(de)(de)(de)異(yi)常識(shi)別(bie)則是通過對(dui)入(ru)侵(qin)(qin)活動的(de)(de)(de)檢測得出結論(lun)的(de)(de)(de)，它(ta)(ta)雖無法準確(que)判斷(duan)出攻擊(ji)的(de)(de)(de)手段，但(dan)可以發(fa)現更(geng)廣泛的(de)(de)(de)、甚(shen)至(zhi)未知(zhi)(zhi)的(de)(de)(de)攻擊(ji)行為。

§ 5.4入侵檢(jian)測技術剖析

1）信號分析

對收集到(dao)的(de)有關系(xi)統、網絡、數據及用(yong)戶活動的(de)狀態和行(xing)為等信息，一般通過三(san)種技(ji)術手段進行(xing)分(fen)析(xi)(xi)(xi)：模式(shi)匹配、統計分(fen)析(xi)(xi)(xi)和完整性(xing)分(fen)析(xi)(xi)(xi)。其中前兩種方(fang)法(fa)用(yong)于實時(shi)的(de)入侵檢測(ce)，而完整性(xing)分(fen)析(xi)(xi)(xi)則(ze)用(yong)于事后分(fen)析(xi)(xi)(xi)。

2）模式匹配

模(mo)式匹配(pei)就是將(jiang)收集(ji)到的(de)(de)(de)信(xin)息與已(yi)(yi)知的(de)(de)(de)網絡(luo)入侵(qin)和系統已(yi)(yi)有模(mo)式數(shu)據庫進(jin)(jin)行比較，從(cong)(cong)而發現(xian)違背安(an)全策略的(de)(de)(de)行為。該過(guo)程可(ke)(ke)以很(hen)簡單(dan)（如(ru)通過(guo)字符串(chuan)匹配(pei)以尋(xun)找一(yi)個(ge)(ge)簡單(dan)的(de)(de)(de)條目或(huo)指(zhi)令），也可(ke)(ke)以很(hen)復(fu)雜（如(ru)利用正規的(de)(de)(de)數(shu)學表(biao)(biao)達式來表(biao)(biao)示安(an)全狀態的(de)(de)(de)變化）。一(yi)般來講，一(yi)種進(jin)(jin)攻模(mo)式可(ke)(ke)以用一(yi)個(ge)(ge)過(guo)程（如(ru)執行一(yi)條指(zhi)令）或(huo)一(yi)個(ge)(ge)輸出（如(ru)獲得權(quan)限）來表(biao)(biao)示。該方(fang)法(fa)的(de)(de)(de)一(yi)大(da)優點(dian)是只(zhi)需收集(ji)相(xiang)關的(de)(de)(de)數(shu)據集(ji)合，顯著減(jian)少系統負擔(dan)，且技術(shu)已(yi)(yi)相(xiang)當成熟。它與病毒(du)防火墻采用的(de)(de)(de)方(fang)法(fa)一(yi)樣，檢測(ce)準確率和效率都相(xiang)當高。但是，該方(fang)法(fa)存在的(de)(de)(de)弱點(dian)是需要不(bu)(bu)斷(duan)(duan)的(de)(de)(de)升級以對付不(bu)(bu)斷(duan)(duan)出現(xian)的(de)(de)(de)黑客(ke)攻擊手法(fa)，不(bu)(bu)能檢測(ce)到從(cong)(cong)未出現(xian)過(guo)的(de)(de)(de)黑客(ke)攻擊手段。

3）統計分析

統(tong)計(ji)分析(xi)方法(fa)(fa)首先(xian)給系(xi)(xi)統(tong)對象(xiang)（如(ru)用戶(hu)、文(wen)件、目錄(lu)和(he)設(she)備(bei)等(deng)）創建一個統(tong)計(ji)描述，統(tong)計(ji)正(zheng)常使用時的(de)(de)(de)一些測(ce)量(liang)(liang)屬性（如(ru)訪問次(ci)數、操作失敗次(ci)數和(he)延時等(deng)）。在(zai)比較這(zhe)一點上與模式匹配(pei)有些相象(xiang)之(zhi)處(chu)。測(ce)量(liang)(liang)屬性的(de)(de)(de)平均值將(jiang)被用來(lai)與網絡(luo)、系(xi)(xi)統(tong)的(de)(de)(de)行為(wei)(wei)進行比較，任(ren)何觀察值在(zai)正(zheng)常值范圍之(zhi)外時，就認為(wei)(wei)有入(ru)(ru)侵(qin)發(fa)生(sheng)。例如(ru)，本來(lai)都默認用GUEST帳號登錄(lu)的(de)(de)(de)，突然用ADMINI帳號登錄(lu)。這(zhe)樣做的(de)(de)(de)優點是可檢測(ce)到(dao)未知的(de)(de)(de)入(ru)(ru)侵(qin)和(he)更為(wei)(wei)復雜的(de)(de)(de)入(ru)(ru)侵(qin)，缺點是誤報、漏報率高，且(qie)不適應用戶(hu)正(zheng)常行為(wei)(wei)的(de)(de)(de)突然改變。具體的(de)(de)(de)統(tong)計(ji)分析(xi)方法(fa)(fa)如(ru)基(ji)于(yu)專家(jia)系(xi)(xi)統(tong)的(de)(de)(de)、基(ji)于(yu)模型推理的(de)(de)(de)和(he)基(ji)于(yu)神(shen)經網絡(luo)的(de)(de)(de)分析(xi)方法(fa)(fa)，目前(qian)正(zheng)處(chu)于(yu)研究熱點和(he)迅速發(fa)展(zhan)之(zhi)中(zhong)。

4）完整性分析

完整(zheng)性分(fen)(fen)(fen)析(xi)主要(yao)關注某(mou)個(ge)文件或對(dui)象是(shi)否(fou)被(bei)更改(gai)，這經常包括文件和(he)目錄的(de)(de)內容及屬性，它(ta)在(zai)發現(xian)被(bei)更改(gai)的(de)(de)、被(bei)特(te)(te)咯伊化的(de)(de)應用程(cheng)序方(fang)面特(te)(te)別(bie)有(you)效。完整(zheng)性分(fen)(fen)(fen)析(xi)利用強(qiang)有(you)力的(de)(de)加密機制(zhi)，稱為消息摘要(yao)函數（例如(ru)MD5），它(ta)能識別(bie)哪怕是(shi)微小(xiao)的(de)(de)變化。其優點是(shi)不管(guan)(guan)模式匹配方(fang)法(fa)(fa)和(he)統計分(fen)(fen)(fen)析(xi)方(fang)法(fa)(fa)能否(fou)發現(xian)入侵，只要(yao)是(shi)成(cheng)功的(de)(de)攻擊導(dao)致了文件或其它(ta)對(dui)象的(de)(de)任(ren)何改(gai)變，它(ta)都能夠發現(xian)。缺點是(shi)一般以批處理(li)方(fang)式實現(xian)，用于事后分(fen)(fen)(fen)析(xi)而不用于實時響應。盡(jin)管(guan)(guan)如(ru)此，完整(zheng)性檢測方(fang)法(fa)(fa)還應該是(shi)網絡安(an)全(quan)產品的(de)(de)必(bi)要(yao)手段(duan)之(zhi)一。例如(ru)，可以在(zai)每一天的(de)(de)某(mou)個(ge)特(te)(te)定(ding)時間內開啟完整(zheng)性分(fen)(fen)(fen)析(xi)模塊，對(dui)網絡系統進行全(quan)面地掃(sao)描檢查。

§ 5.5防火墻與(yu)入侵檢(jian)測的聯動

網絡安(an)全(quan)是一個整(zheng)體的(de)動態(tai)的(de)系統(tong)(tong)(tong)工(gong)程(cheng)，不能靠幾個產(chan)品單獨工(gong)作(zuo)來進(jin)行安(an)全(quan)防范。理想情況下，整(zheng)個系統(tong)(tong)(tong)的(de)安(an)全(quan)產(chan)品應該有一個響應協同(tong)，相互通信(xin)，協同(tong)工(gong)作(zuo)。其中入侵(qin)檢(jian)測(ce)(ce)系統(tong)(tong)(tong)和防火(huo)(huo)墻(qiang)(qiang)之(zhi)(zhi)間(jian)的(de)聯(lian)動就能更好(hao)的(de)進(jin)行安(an)全(quan)防護。圖8所示就是入侵(qin)檢(jian)測(ce)(ce)系統(tong)(tong)(tong)和防火(huo)(huo)墻(qiang)(qiang)之(zhi)(zhi)間(jian)的(de)聯(lian)動，當入侵(qin)檢(jian)測(ce)(ce)系統(tong)(tong)(tong)檢(jian)測(ce)(ce)到(dao)入侵(qin)后(hou)，通過和防火(huo)(huo)墻(qiang)(qiang)通信(xin)，讓防火(huo)(huo)墻(qiang)(qiang)自動增(zeng)加規則，以攔截相關的(de)入侵(qin)行為，實現(xian)聯(lian)動聯(lian)防。

§ 5.6什么是VPN ?

VPN的(de)(de)(de)英文全稱是(shi)(shi)“Virtual Private Network”，翻譯過(guo)來(lai)就是(shi)(shi)“虛(xu)擬(ni)專(zhuan)(zhuan)用(yong)網(wang)(wang)(wang)絡(luo)”。顧名思義，虛(xu)擬(ni)專(zhuan)(zhuan)用(yong)網(wang)(wang)(wang)絡(luo)我們可(ke)以(yi)把它理解(jie)成是(shi)(shi)虛(xu)擬(ni)出來(lai)的(de)(de)(de)企業內部專(zhuan)(zhuan)線(xian)(xian)(xian)。它可(ke)以(yi)通過(guo)特殊(shu)的(de)(de)(de)加(jia)密的(de)(de)(de)通訊(xun)協議在連接在Internet上的(de)(de)(de)位于不同地方的(de)(de)(de)兩個或多個企業內部網(wang)(wang)(wang)之(zhi)(zhi)間建立(li)一(yi)條專(zhuan)(zhuan)有的(de)(de)(de)通訊(xun)線(xian)(xian)(xian)路(lu)，就好比(bi)是(shi)(shi)架設(she)了一(yi)條專(zhuan)(zhuan)線(xian)(xian)(xian)一(yi)樣，但是(shi)(shi)它并不需要(yao)(yao)真正的(de)(de)(de)去鋪(pu)設(she)光纜之(zhi)(zhi)類的(de)(de)(de)物理線(xian)(xian)(xian)路(lu)。這(zhe)就好比(bi)去電信局申請專(zhuan)(zhuan)線(xian)(xian)(xian)，但是(shi)(shi)不用(yong)給鋪(pu)設(she)線(xian)(xian)(xian)路(lu)的(de)(de)(de)費用(yong)，也不用(yong)購(gou)買路(lu)由器(qi)等(deng)硬件(jian)設(she)備。VPN技術原是(shi)(shi)路(lu)由器(qi)具有的(de)(de)(de)重要(yao)(yao)技術之(zhi)(zhi)一(yi)，目前在交換機，防(fang)火墻設(she)備或Windows 2000等(deng)軟(ruan)件(jian)里也都支持VPN功能，一(yi)句話，VPN的(de)(de)(de)核心就是(shi)(shi)在利用(yong)公共網(wang)(wang)(wang)絡(luo)建立(li)虛(xu)擬(ni)私有網(wang)(wang)(wang)。

虛擬(ni)(ni)專(zhuan)(zhuan)用(yong)(yong)(yong)網(wang)（VPN）被定義(yi)為通(tong)過一個公(gong)用(yong)(yong)(yong)網(wang)絡(luo)(luo)（通(tong)常是因特網(wang)）建立一個臨時的(de)(de)(de)(de)、安(an)全(quan)的(de)(de)(de)(de)連接(jie)(jie)(jie)，是一條穿過混(hun)亂(luan)的(de)(de)(de)(de)公(gong)用(yong)(yong)(yong)網(wang)絡(luo)(luo)的(de)(de)(de)(de)安(an)全(quan)、穩定的(de)(de)(de)(de)隧道。虛擬(ni)(ni)專(zhuan)(zhuan)用(yong)(yong)(yong)網(wang)是對企業(ye)(ye)內部網(wang)的(de)(de)(de)(de)擴(kuo)展(zhan)。虛擬(ni)(ni)專(zhuan)(zhuan)用(yong)(yong)(yong)網(wang)可以幫(bang)助(zhu)遠程用(yong)(yong)(yong)戶、公(gong)司分(fen)支機構、商業(ye)(ye)伙(huo)伴及供應商同公(gong)司的(de)(de)(de)(de)內部網(wang)建立可信的(de)(de)(de)(de)安(an)全(quan)連接(jie)(jie)(jie)，并保證數據的(de)(de)(de)(de)安(an)全(quan)傳輸。虛擬(ni)(ni)專(zhuan)(zhuan)用(yong)(yong)(yong)網(wang)可用(yong)(yong)(yong)于不斷增(zeng)長的(de)(de)(de)(de)移動用(yong)(yong)(yong)戶的(de)(de)(de)(de)全(quan)球因特網(wang)接(jie)(jie)(jie)入，以實(shi)現安(an)全(quan)連接(jie)(jie)(jie)；可用(yong)(yong)(yong)于實(shi)現企業(ye)(ye)網(wang)站之間安(an)全(quan)通(tong)信的(de)(de)(de)(de)虛擬(ni)(ni)專(zhuan)(zhuan)用(yong)(yong)(yong)線(xian)路，用(yong)(yong)(yong)于經濟有(you)效地連接(jie)(jie)(jie)到商業(ye)(ye)伙(huo)伴和用(yong)(yong)(yong)戶的(de)(de)(de)(de)安(an)全(quan)外聯(lian)網(wang)虛擬(ni)(ni)專(zhuan)(zhuan)用(yong)(yong)(yong)網(wang)。

§ 5.7VPN的特點

1.安(an)全(quan)(quan)保障雖然實現(xian)VPN的(de)技術和(he)方(fang)(fang)式很多，但(dan)(dan)所有(you)的(de)VPN均應保證(zheng)通過公(gong)用網(wang)絡平(ping)臺傳輸(shu)數據的(de)專用性和(he)安(an)全(quan)(quan)性。在安(an)全(quan)(quan)性方(fang)(fang)面，由于VPN直接構建在公(gong)用網(wang)上，實現(xian)簡單、方(fang)(fang)便、靈活，但(dan)(dan)同時其(qi)安(an)全(quan)(quan)問題也(ye)更為突出。企業(ye)必須確保其(qi)VPN上傳送的(de)數據不(bu)被(bei)攻(gong)擊者窺視和(he)篡改，并且要防止非法(fa)用戶對網(wang)絡資(zi)源或(huo)私有(you)信息的(de)訪問。

2.服(fu)務質量保證（QoS）

VPN網(wang)應當為企業數(shu)據提(ti)供不同(tong)(tong)等級的(de)(de)(de)(de)服務質量保證(zheng)。不同(tong)(tong)的(de)(de)(de)(de)用戶(hu)和業務對(dui)服務質量保證(zheng)的(de)(de)(de)(de)要(yao)求(qiu)差別較大。在網(wang)絡(luo)優化方面，構建VPN的(de)(de)(de)(de)另一重要(yao)需求(qiu)是充分(fen)(fen)有效地(di)利(li)用有限的(de)(de)(de)(de)廣(guang)域網(wang)資源，為重要(yao)數(shu)據提(ti)供可靠的(de)(de)(de)(de)帶(dai)(dai)(dai)寬(kuan)(kuan)(kuan)。廣(guang)域網(wang)流(liu)量的(de)(de)(de)(de)不確(que)定性使(shi)其帶(dai)(dai)(dai)寬(kuan)(kuan)(kuan)的(de)(de)(de)(de)利(li)用率很低，在流(liu)量高峰時(shi)(shi)引起網(wang)絡(luo)阻塞(sai)，使(shi)實時(shi)(shi)性要(yao)求(qiu)高的(de)(de)(de)(de)數(shu)據得(de)不到及時(shi)(shi)發送；而在流(liu)量低谷時(shi)(shi)又造成大量的(de)(de)(de)(de)網(wang)絡(luo)帶(dai)(dai)(dai)寬(kuan)(kuan)(kuan)空閑。QoS通過流(liu)量預(yu)測與流(liu)量控制策略，可以按(an)照優先級分(fen)(fen)實現帶(dai)(dai)(dai)寬(kuan)(kuan)(kuan)管理，使(shi)得(de)各(ge)類(lei)數(shu)據能夠被(bei)合理地(di)先后發送，并預(yu)防阻塞(sai)的(de)(de)(de)(de)發生。

3.可擴充性(xing)和靈活性(xing)

VPN必須能(neng)夠支持通過Intranet和(he)Extranet的任何類(lei)型的數據流，方便增(zeng)加(jia)(jia)新的節(jie)點，支持多種類(lei)型的傳(chuan)輸媒介，可以(yi)滿足同時傳(chuan)輸語音(yin)、圖像和(he)數據等新應用對高質量傳(chuan)輸以(yi)及(ji)帶寬增(zeng)加(jia)(jia)的需(xu)求。

4.可管理性

從用戶角(jiao)度和運營商角(jiao)度應(ying)可方便(bian)地進(jin)行管(guan)(guan)理(li)(li)、維護。VPN管(guan)(guan)理(li)(li)的目標為：減小網絡風險(xian)、具有高擴展性(xing)、經(jing)濟性(xing)、高可靠性(xing)等優(you)點(dian)。事實(shi)上，VPN管(guan)(guan)理(li)(li)主要包括安全管(guan)(guan)理(li)(li)、設備管(guan)(guan)理(li)(li)、配置(zhi)管(guan)(guan)理(li)(li)、訪(fang)問控制列(lie)表(biao)管(guan)(guan)理(li)(li)、QoS管(guan)(guan)理(li)(li)等內(nei)容。

§ 5.8 VPN防火墻

VPN防火墻就是(shi)一種過(guo)(guo)濾塞(sai)（目(mu)前你(ni)這(zhe)么(me)理解不算(suan)錯），你(ni)可以讓你(ni)喜歡的東西通過(guo)(guo)這(zhe)個塞(sai)子，別的玩(wan)意都統統過(guo)(guo)濾掉。在網絡的世界里，要由VPN防火墻過(guo)(guo)濾的就是(shi)承(cheng)載(zai)通信(xin)數據的通信(xin)包。

最簡單(dan)的(de)(de)(de)(de)VPN防(fang)(fang)(fang)火(huo)墻(qiang)是(shi)以太(tai)網橋。但幾乎沒有(you)(you)人會(hui)認為(wei)這種原(yuan)始VPN防(fang)(fang)(fang)火(huo)墻(qiang)能管多(duo)大用。大多(duo)數VPN防(fang)(fang)(fang)火(huo)墻(qiang)采用的(de)(de)(de)(de)技術(shu)和標(biao)準(zhun)可謂五花八(ba)門。這些VPN防(fang)(fang)(fang)火(huo)墻(qiang)的(de)(de)(de)(de)形(xing)式多(duo)種多(duo)樣(yang)：有(you)(you)的(de)(de)(de)(de)取(qu)代系統上(shang)已(yi)經裝備的(de)(de)(de)(de)TCP/IP協議(yi)棧；有(you)(you)的(de)(de)(de)(de)在已(yi)有(you)(you)的(de)(de)(de)(de)協議(yi)棧上(shang)建立(li)自己的(de)(de)(de)(de)軟件模塊；有(you)(you)的(de)(de)(de)(de)干脆就(jiu)是(shi)獨立(li)的(de)(de)(de)(de)一(yi)(yi)(yi)套操作系統。還(huan)有(you)(you)一(yi)(yi)(yi)些應用型的(de)(de)(de)(de)VPN防(fang)(fang)(fang)火(huo)墻(qiang)只對特定(ding)類型的(de)(de)(de)(de)網絡連(lian)接提(ti)供保護（比如SMTP或者HTTP協議(yi)等(deng)）。還(huan)有(you)(you)一(yi)(yi)(yi)些基于硬(ying)件的(de)(de)(de)(de)VPN防(fang)(fang)(fang)火(huo)墻(qiang)產品其實應該歸入安(an)全路由(you)器一(yi)(yi)(yi)類。以上(shang)的(de)(de)(de)(de)產品都可以叫做VPN防(fang)(fang)(fang)火(huo)墻(qiang)，因(yin)為(wei)他(ta)們的(de)(de)(de)(de)工(gong)作方式都是(shi)一(yi)(yi)(yi)樣(yang)的(de)(de)(de)(de)：分(fen)析出(chu)入VPN防(fang)(fang)(fang)火(huo)墻(qiang)的(de)(de)(de)(de)數據包(bao)，決定(ding)放行(xing)還(huan)是(shi)把他(ta)們扔到(dao)一(yi)(yi)(yi)邊(bian)。

所(suo)有(you)的VPN防(fang)火墻都具有(you)IP地址(zhi)過濾(lv)功能。這(zhe)項任務要檢(jian)查(cha)IP包頭，根據其IP源地址(zhi)和目標(biao)地址(zhi)作出放行/丟棄決定。看看下面這(zhe)張圖，兩個網段(duan)之(zhi)間隔(ge)了一個VPN防(fang)火墻，VPN防(fang)火墻的一端有(you)臺(tai)UNIX計算機(ji)，另(ling)一邊的網段(duan)則擺了臺(tai)PC客(ke)戶機(ji)。

當PC客(ke)戶機(ji)(ji)向(xiang)UNIX計算機(ji)(ji)發起telnet請求時，PC的(de)(de)telnet客(ke)戶程序就產生(sheng)一個(ge)(ge)(ge)TCP包并把它傳給本(ben)地(di)的(de)(de)協(xie)議棧準備(bei)發送(song)(song)。接(jie)下(xia)來(lai)，協(xie)議棧將這個(ge)(ge)(ge)TCP包“塞”到一個(ge)(ge)(ge)IP包里，然(ran)后通過PC機(ji)(ji)的(de)(de)TCP/IP棧所定義(yi)的(de)(de)路徑將它發送(song)(song)給UNIX計算機(ji)(ji)。在這個(ge)(ge)(ge)例子里，這個(ge)(ge)(ge)IP包必須(xu)經過橫在PC和UNIX計算機(ji)(ji)中的(de)(de)VPN防(fang)火墻才(cai)能(neng)到達UNIX計算機(ji)(ji)。

現在(zai)我們“命令”（用專業術語(yu)來(lai)說就是配制）VPN防(fang)火墻把所有發給UNIX計(ji)(ji)算機(ji)(ji)的(de)數據包(bao)都(dou)給拒(ju)了(le)，完(wan)成這項(xiang)工作以后(hou)，比(bi)較好的(de)VPN防(fang)火墻還會通知客(ke)戶程序一聲(sheng)呢！既然發向目標的(de)IP數據沒法(fa)轉發，那么只有和UNIX計(ji)(ji)算機(ji)(ji)同在(zai)一個網段的(de)用戶才能訪問UNIX計(ji)(ji)算機(ji)(ji)了(le)。

還(huan)有一(yi)種情況，你可以(yi)(yi)命令VPN防火墻(qiang)專給那臺可憐的(de)(de)(de)PC機找茬(cha)，別人的(de)(de)(de)數據包都讓過就(jiu)它不行。這(zhe)正是VPN防火墻(qiang)最基本的(de)(de)(de)功(gong)能：根(gen)據IP地(di)址(zhi)(zhi)(zhi)(zhi)做轉發(fa)(fa)判斷(duan)。但要(yao)(yao)(yao)上(shang)了大場面這(zhe)種小(xiao)伎倆就(jiu)玩不轉了，由于黑客們可以(yi)(yi)采用IP地(di)址(zhi)(zhi)(zhi)(zhi)欺騙技術，偽(wei)裝成(cheng)合法地(di)址(zhi)(zhi)(zhi)(zhi)的(de)(de)(de)計算機就(jiu)可以(yi)(yi)穿(chuan)越(yue)信(xin)任(ren)這(zhe)個地(di)址(zhi)(zhi)(zhi)(zhi)的(de)(de)(de)VPN防火墻(qiang)了。不過根(gen)據地(di)址(zhi)(zhi)(zhi)(zhi)的(de)(de)(de)轉發(fa)(fa)決策機制還(huan)是最基本和必需的(de)(de)(de)。另(ling)外要(yao)(yao)(yao)注意(yi)的(de)(de)(de)一(yi)點是，不要(yao)(yao)(yao)用DNS主機名建立過濾(lv)表，對DNS的(de)(de)(de)偽(wei)造比IP地(di)址(zhi)(zhi)(zhi)(zhi)欺騙要(yao)(yao)(yao)容易多了。

后記：

入(ru)侵檢(jian)測(ce)(ce)作為一(yi)種積(ji)極主(zhu)動地安全(quan)防護(hu)技術(shu)，提供了(le)對內部攻擊、外(wai)部攻擊和誤操(cao)作的(de)(de)實(shi)時保護(hu)，在網絡系統(tong)(tong)(tong)受到(dao)危害(hai)之前攔截和響應(ying)入(ru)侵。入(ru)侵檢(jian)測(ce)(ce)系統(tong)(tong)(tong)面臨的(de)(de)最主(zhu)要挑戰有兩個：一(yi)個是(shi)虛(xu)警(jing)率太高，一(yi)個是(shi)檢(jian)測(ce)(ce)速度(du)太慢。現有的(de)(de)入(ru)侵檢(jian)測(ce)(ce)系統(tong)(tong)(tong)還有其他技術(shu)上的(de)(de)致(zhi)命弱點(dian)。因此，可以這樣說，入(ru)侵檢(jian)測(ce)(ce)產品仍具有較大的(de)(de)發展空間，從技術(shu)途徑來(lai)講(jiang)，除(chu)了(le)完善常規的(de)(de)、傳統(tong)(tong)(tong)的(de)(de)技術(shu)（模式識別和完整性檢(jian)測(ce)(ce)）外(wai)，應(ying)重點(dian)加(jia)強統(tong)(tong)(tong)計分析(xi)的(de)(de)相關技術(shu)研(yan)究(jiu)。

但(dan)無(wu)論如(ru)何，入(ru)侵檢測不是對所有(you)的(de)(de)入(ru)侵都能夠及時(shi)發現的(de)(de)，即(ji)使擁有(you)當前最強大的(de)(de)入(ru)侵檢測系統(tong)，如(ru)果不及時(shi)修補網絡中的(de)(de)安全(quan)漏洞的(de)(de)話，安全(quan)也無(wu)從談起。

同樣入侵檢測(ce)技術也存(cun)在許(xu)多缺點，IDS的(de)(de)檢測(ce)模(mo)型(xing)始(shi)終落后(hou)于攻擊者的(de)(de)新知(zhi)識和技術手段。主(zhu)要表現在以下幾(ji)個方面(mian)：

1)利用加密(mi)技術欺騙IDS;

2)躲避(bi)IDS的安全(quan)策略(lve);

3)快速發動進攻，使IDS無法反(fan)應(ying);

4)發動(dong)大規模(mo)攻擊，使IDS判斷(duan)出錯;

5)直接破壞IDS;

6)智(zhi)能攻(gong)擊技術，邊攻(gong)擊邊學(xue)習，變IDS為攻(gong)擊者(zhe)的工具。

我認(ren)為在與防火墻(qiang)技術結合中應(ying)該注意擴大檢測范圍和(he)類(lei)別、加強自學習和(he)自適(shi)應(ying)的(de)能力方面發展。

參考文獻 ：

1..Marcus Goncalves著。宋(song)書民，朱(zhu)智強等(deng)譯(yi)。防火墻技術(shu)指(zhi)南(nan)[M]。機械工(gong)業出版社

2.梅杰，許榕生(sheng)。Internet防火(huo)墻技術新(xin)發展。微電腦世界 .

3.Ranum M J. Thinking About Firewalls.

篇10

關鍵詞(ci)： 安(an)全(quan)(quan)隱(yin)患； 全(quan)(quan)網動態安(an)全(quan)(quan)體系模型(xing)； 信息安(an)全(quan)(quan)化； 安(an)全(quan)(quan)防(fang)御

中圖(tu)分類號：TP393 文獻標志(zhi)碼：A 文章編號：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著(zhu)現(xian)代校(xiao)園網接入互聯網以及(ji)各種應用急劇增加，在享受高速(su)互聯網帶來無限(xian)方便的(de)同時(shi)，我們也被各種層次的(de)安(an)全(quan)問題困擾著(zhu)。現(xian)代校(xiao)園網絡安(an)全(quan)是一個(ge)整(zheng)體系統工(gong)程，必須要對現(xian)代校(xiao)園網進(jin)行全(quan)方位多層次安(an)全(quan)分析，綜合運用先進(jin)的(de)安(an)全(quan)技(ji)術和(he)產品，制定(ding)相(xiang)應的(de)安(an)全(quan)策(ce)略(lve)，建立一套(tao)深度防御(yu)體系[1]，以自動(dong)適應現(xian)代校(xiao)園網的(de)動(dong)態安(an)全(quan)需求。

1 現代校園(yuan)網絡的安全隱患分(fen)析

現代校園(yuan)網作為信息交換平(ping)臺重(zhong)要的基(ji)礎設施，承擔著教學、科研、辦公等各種應用(yong)，信息安全(quan)(quan)隱患重(zhong)重(zhong)，面臨的安全(quan)(quan)威脅可以分為以下幾(ji)個層面。

⑴ 物(wu)理層的安(an)(an)全(quan)分(fen)析(xi)：物(wu)理層安(an)(an)全(quan)指的是(shi)網絡設備設施、通(tong)信(xin)線路等遭受自然災害、意外或人為破(po)壞(huai)，造成(cheng)現代校園網不能(neng)正常(chang)運(yun)行。在考慮現代校園網安(an)(an)全(quan)時，首(shou)先要考慮到(dao)物(wu)理安(an)(an)全(quan)風險(xian)，它(ta)是(shi)整個網絡系統(tong)安(an)(an)全(quan)的前提保(bao)障(zhang)。

⑵ 網(wang)(wang)(wang)(wang)(wang)絡層(ceng)(ceng)的(de)安(an)(an)全(quan)分析：網(wang)(wang)(wang)(wang)(wang)絡層(ceng)(ceng)處于網(wang)(wang)(wang)(wang)(wang)絡體系(xi)結(jie)構中(zhong)物理層(ceng)(ceng)和(he)(he)(he)傳(chuan)輸層(ceng)(ceng)之(zhi)間，是網(wang)(wang)(wang)(wang)(wang)絡入侵者(zhe)進入信息系(xi)統的(de)渠道和(he)(he)(he)通路，網(wang)(wang)(wang)(wang)(wang)絡核心協議TCP/IP并非專為安(an)(an)全(quan)通信而(er)設計，所以網(wang)(wang)(wang)(wang)(wang)絡系(xi)統存在(zai)大量安(an)(an)全(quan)隱患(huan)和(he)(he)(he)威脅。

⑶ 系統(tong)(tong)層的安(an)全(quan)分析：現(xian)代校(xiao)(xiao)園(yuan)網中(zhong)采用(yong)的各類操(cao)作(zuo)系統(tong)(tong)都不可避免地(di)存在著安(an)全(quan)脆(cui)弱性，并且當今漏洞(dong)(dong)被(bei)發現(xian)與漏洞(dong)(dong)被(bei)利用(yong)之間的時(shi)間差越來越小，這就使得所有操(cao)作(zuo)系統(tong)(tong)本身的安(an)全(quan)性給整個現(xian)代校(xiao)(xiao)園(yuan)網系統(tong)(tong)帶來巨大的安(an)全(quan)風險。

⑷ 數(shu)據層(ceng)的安全分(fen)析：數(shu)據審計平臺的原始數(shu)據來源各種應(ying)(ying)用系統(tong)及設(she)備(bei)，采集引擎實現對網絡設(she)備(bei)、安全設(she)備(bei)、操作系統(tong)、應(ying)(ying)用服務等事件收集，采用多(duo)種方式和被收集設(she)備(bei)進(jin)行數(shu)據交互(hu)，主要(yao)面(mian)臨著基(ji)于(yu)應(ying)(ying)用層(ceng)數(shu)據的攻擊。

⑸ 應(ying)用(yong)(yong)層的(de)(de)安(an)全(quan)分析[2]：為滿足學校(xiao)教(jiao)學、科研、辦(ban)公(gong)等(deng)需(xu)要(yao)，在現代校(xiao)園網(wang)中提供了各層次的(de)(de)網(wang)絡應(ying)用(yong)(yong)，用(yong)(yong)戶提交的(de)(de)業(ye)務信息(xi)被監聽或(huo)篡改等(deng)存(cun)在很多的(de)(de)信息(xi)安(an)全(quan)隱患，主(zhu)機(ji)系統上運行的(de)(de)應(ying)用(yong)(yong)軟件系統采購自第三方，直接使用(yong)(yong)造成諸多安(an)全(quan)要(yao)素。

⑹ 管(guan)理(li)層的安(an)(an)全(quan)分析：人(ren)(ren)員(yuan)(yuan)有各(ge)種層次，對(dui)人(ren)(ren)員(yuan)(yuan)的管(guan)理(li)和安(an)(an)全(quan)制度的制訂是否有效，影響由這一(yi)層次所(suo)引發(fa)的安(an)(an)全(quan)問題。

⑺ 非法入侵后(hou)果風險(xian)分析：非法入侵者(zhe)一旦獲得對資源的控制權，就可以隨意對數據和(he)文件進行(xing)刪除和(he)修改(gai)，主要有篡改(gai)或(huo)刪除信(xin)息、公布信(xin)息、盜(dao)取(qu)信(xin)息、盜(dao)用服(fu)(fu)務、拒(ju)絕服(fu)(fu)務等(deng)。

2 現(xian)代校園網(wang)安全(quan)APPDRR模型(xing)提出

全(quan)網(wang)(wang)(wang)(wang)動態(tai)安(an)(an)(an)(an)全(quan)體系(xi)模型(xing)[3]（APPDRR）從建立全(quan)網(wang)(wang)(wang)(wang)自適應(ying)的(de)(de)(de)、動態(tai)安(an)(an)(an)(an)全(quan)體系(xi)的(de)(de)(de)角度出發，充分考慮了(le)涉及網(wang)(wang)(wang)(wang)絡(luo)安(an)(an)(an)(an)全(quan)技(ji)術的(de)(de)(de)六(liu)方面，如(ru)風(feng)險分析(xi)（Analysis）、安(an)(an)(an)(an)全(quan)策(ce)略(lve)（Policy）、安(an)(an)(an)(an)全(quan)防(fang)(fang)護（Protection）、安(an)(an)(an)(an)全(quan)檢測（Detection）、實時(shi)響(xiang)應(ying)（Response）、數據(ju)恢(hui)復（Recovery）等，并(bing)強調各個方面的(de)(de)(de)動態(tai)聯系(xi)與關聯程度。現(xian)代(dai)校園(yuan)網(wang)(wang)(wang)(wang)安(an)(an)(an)(an)全(quan)模型(xing)如(ru)圖1所示，該模型(xing)緊(jin)緊(jin)圍繞安(an)(an)(an)(an)全(quan)策(ce)略(lve)構建了(le)五(wu)道(dao)防(fang)(fang)線(xian)(xian)：第(di)一道(dao)防(fang)(fang)線(xian)(xian)是(shi)(shi)風(feng)險分析(xi)，這是(shi)(shi)整(zheng)體安(an)(an)(an)(an)全(quan)的(de)(de)(de)前提和基礎；第(di)二道(dao)防(fang)(fang)線(xian)(xian)是(shi)(shi)安(an)(an)(an)(an)全(quan)防(fang)(fang)護，阻(zu)止對現(xian)代(dai)校園(yuan)網(wang)(wang)(wang)(wang)的(de)(de)(de)入侵(qin)和破壞；第(di)三道(dao)防(fang)(fang)線(xian)(xian)是(shi)(shi)安(an)(an)(an)(an)全(quan)監測，及時(shi)跟蹤發現(xian)；第(di)四(si)道(dao)防(fang)(fang)線(xian)(xian)是(shi)(shi)實時(shi)響(xiang)應(ying)，保證(zheng)現(xian)代(dai)校園(yuan)網(wang)(wang)(wang)(wang)的(de)(de)(de)可(ke)用性(xing)和可(ke)靠性(xing)；第(di)五(wu)道(dao)防(fang)(fang)線(xian)(xian)是(shi)(shi)數據(ju)恢(hui)復，保證(zheng)有用的(de)(de)(de)數據(ju)在系(xi)統被入侵(qin)后能(neng)迅速(su)恢(hui)復，并(bing)把(ba)災難降到最低程度。

3 現(xian)代校(xiao)園(yuan)網主流網絡信息安全化的(de)技術研究

為了保護(hu)現代校(xiao)園(yuan)網(wang)(wang)的(de)(de)(de)信息(xi)安全，結合福(fu)建農業職業技(ji)(ji)(ji)(ji)術學院網(wang)(wang)絡的(de)(de)(de)實際需(xu)求，現代校(xiao)園(yuan)網(wang)(wang)信息(xi)中心將多種安全措(cuo)施進(jin)行整合，建立一個立體的(de)(de)(de)、完善(shan)的(de)(de)(de)、多層(ceng)次的(de)(de)(de)現代校(xiao)園(yuan)網(wang)(wang)安全防御(yu)體系，主要技(ji)(ji)(ji)(ji)術有加(jia)解密(mi)技(ji)(ji)(ji)(ji)術、防火墻技(ji)(ji)(ji)(ji)術、防病毒系統、虛擬專用網(wang)(wang)、入侵(qin)防護(hu)技(ji)(ji)(ji)(ji)術、身份認(ren)證系統、數據備份系統和(he)預警防控系統等，如(ru)圖2所示。

3.1 加解密技(ji)術

現代校園網中將部署各種應用(yong)系統，許多(duo)重要(yao)信(xin)息(xi)(xi)(xi)、電(dian)子公(gong)文(wen)涉及公(gong)眾隱(yin)私、特(te)殊(shu)敏(min)感(gan)信(xin)息(xi)(xi)(xi)和(he)非(fei)公(gong)開信(xin)息(xi)(xi)(xi)。為確保(bao)(bao)特(te)殊(shu)信(xin)息(xi)(xi)(xi)在各校區和(he)部門之間交換(huan)過程中的保(bao)(bao)密性(xing)、完整性(xing)、可用(yong)性(xing)、真實性(xing)和(he)可控性(xing)，需運用(yong)先進的對稱密碼算(suan)法(fa)、公(gong)鑰密碼算(suan)法(fa)、數(shu)字(zi)簽(qian)名(ming)技術(shu)(shu)、數(shu)字(zi)摘要(yao)技術(shu)(shu)和(he)密鑰管理分發等加解密技術(shu)(shu)。

3.2 防火墻技(ji)術(shu)

防火(huo)墻技術是網絡基礎設(she)施(shi)必要的(de)(de)不可(ke)分割的(de)(de)組成元素(su)，是構成現代校園網信(xin)息(xi)安全化不可(ke)缺少的(de)(de)關(guan)鍵部分。它按(an)照預先設(she)定(ding)的(de)(de)一系列規(gui)則，對進出內外(wai)網之間的(de)(de)信(xin)息(xi)數(shu)據流(liu)進行(xing)監測、限(xian)制和過(guo)濾，只允許匹配規(gui)則的(de)(de)數(shu)據通(tong)過(guo)，并能夠記錄相(xiang)關(guan)的(de)(de)訪問連(lian)接(jie)信(xin)息(xi)、通(tong)信(xin)服務量以(yi)及試(shi)圖入侵(qin)事件，以(yi)便(bian)管(guan)理員分析檢測、迅速響應和反饋調整。

3.3 防病毒系統(tong)

抗病(bing)毒(du)技(ji)(ji)術(shu)可以(yi)及時發現內(nei)外網(wang)(wang)病(bing)毒(du)的入侵和(he)破壞，并通過以(yi)下兩種有效的手段進行(xing)相應(ying)地(di)控(kong)制：一是有效阻止網(wang)(wang)絡病(bing)毒(du)的廣泛傳播，采用蜜罐技(ji)(ji)術(shu)、隔(ge)離技(ji)(ji)術(shu)等(deng)；二是殺毒(du)技(ji)(ji)術(shu)，使用網(wang)(wang)絡型防(fang)病(bing)毒(du)系統進行(xing)預防(fang)、實時檢測(ce)和(he)殺毒(du)技(ji)(ji)術(shu)，讓現代校(xiao)園網(wang)(wang)系統免受其危害。

3.4 虛擬專用(yong)網

虛擬專(zhuan)用(yong)網(wang)（全(quan)稱為(wei)Virtual Private NetWork，簡稱VPN）指的(de)(de)(de)是(shi)通過一(yi)個(ge)公(gong)用(yong)網(wang)絡(luo)（通常是(shi)因特網(wang)）建立一(yi)個(ge)臨(lin)時的(de)(de)(de)、安全(quan)的(de)(de)(de)連接，是(shi)一(yi)條(tiao)穿過混亂的(de)(de)(de)公(gong)用(yong)網(wang)絡(luo)的(de)(de)(de)安全(quan)、穩定的(de)(de)(de)隧(sui)道。虛擬專(zhuan)用(yong)網(wang)是(shi)對現代校(xiao)(xiao)(xiao)園(yuan)網(wang)內(nei)部網(wang)的(de)(de)(de)擴展，由若干個(ge)不同的(de)(de)(de)站點組成的(de)(de)(de)集(ji)合，一(yi)個(ge)站點可(ke)以屬(shu)于(yu)不同的(de)(de)(de)VPN，站點具有(you)IP連通性，VPN間可(ke)以實現防問(wen)控(kong)制[4]。使用(yong)VPN的(de)(de)(de)學校(xiao)(xiao)(xiao)不僅提升了效(xiao)率，而且學校(xiao)(xiao)(xiao)各校(xiao)(xiao)(xiao)區(qu)(qu)間的(de)(de)(de)連接更加靈活(huo)。只要能夠上(shang)網(wang)，各校(xiao)(xiao)(xiao)區(qu)(qu)均可(ke)以安全(quan)訪問(wen)到主校(xiao)(xiao)(xiao)區(qu)(qu)網(wang)。使用(yong)VPN數據加密傳輸，保證信息在(zai)公(gong)網(wang)中傳輸的(de)(de)(de)私密性和安全(quan)性。VPN按OSI參(can)考(kao)模型分層(ceng)來分類有(you)：①數據鏈路層(ceng)有(you)PPTP、L2F和L2TP；②網(wang)絡(luo)層(ceng)有(you)GRE、IPSEC、 MPLS和DMVPN；③應用(yong)層(ceng)有(you)SSL。

3.5 入(ru)侵防護技(ji)術

入侵(qin)防護技術包含(han)入侵(qin)檢(jian)測系(xi)(xi)統（IDS）和(he)入侵(qin)防御系(xi)(xi)統（IPS）。IDS可以識(shi)別針(zhen)對現(xian)(xian)代(dai)(dai)校園(yuan)網(wang)資(zi)源或(huo)計算(suan)機的(de)(de)惡(e)意(yi)企(qi)圖和(he)不良行為，并能(neng)(neng)對此及時作(zuo)出防控。IDS不僅能(neng)(neng)夠檢(jian)測未授權(quan)對象（人或(huo)程序(xu)）針(zhen)對系(xi)(xi)統的(de)(de)入侵(qin)企(qi)圖或(huo)行為，同時能(neng)(neng)監控授權(quan)對象對系(xi)(xi)統資(zi)源的(de)(de)非法操作(zuo)，提(ti)高(gao)了(le)(le)現(xian)(xian)代(dai)(dai)校園(yuan)網(wang)的(de)(de)動(dong)態安(an)全(quan)保護。IPS幫助(zhu)系(xi)(xi)統應對現(xian)(xian)代(dai)(dai)校園(yuan)網(wang)的(de)(de)有效攻擊，擴展了(le)(le)系(xi)(xi)統管理員的(de)(de)安(an)全(quan)管理能(neng)(neng)力(li)（包括安(an)全(quan)審計、監視(shi)、進攻識(shi)別和(he)及時響應），提(ti)高(gao)現(xian)(xian)代(dai)(dai)校園(yuan)網(wang)基礎結構的(de)(de)完整性。

3.6 身(shen)份認證系統

現代校園網殊部門（如檔(dang)案、財務(wu)、招(zhao)生等(deng)）要建(jian)設成(cheng)系統。要采用身(shen)份(fen)認證(zheng)系統[5]，應(ying)建(jian)立(li)相(xiang)應(ying)的(de)身(shen)份(fen)認證(zheng)基礎平臺(tai)，加強(qiang)用戶(hu)的(de)身(shen)份(fen)認證(zheng)，防(fang)止對網絡資源的(de)非(fei)授權訪(fang)問(wen)以及越權操作，加強(qiang)口令(ling)的(de)管理。

3.7 數據備份系統

在(zai)現(xian)代校園(yuan)網(wang)系統(tong)(tong)中(zhong)建(jian)立安全(quan)可(ke)靠(kao)的(de)(de)(de)(de)數(shu)據(ju)(ju)備(bei)份(fen)(fen)系統(tong)(tong)是(shi)保證現(xian)代校園(yuan)網(wang)系統(tong)(tong)數(shu)據(ju)(ju)安全(quan)和整體網(wang)絡可(ke)靠(kao)運行(xing)(xing)的(de)(de)(de)(de)必要手段，可(ke)保證在(zai)災難突發(fa)時，系統(tong)(tong)及(ji)業務有(you)效恢復。現(xian)代校園(yuan)網(wang)的(de)(de)(de)(de)數(shu)據(ju)(ju)備(bei)份(fen)(fen)系統(tong)(tong)平(ping)臺(tai)能實時對整個校園(yuan)網(wang)的(de)(de)(de)(de)數(shu)據(ju)(ju)及(ji)系統(tong)(tong)進行(xing)(xing)集中(zhong)統(tong)(tong)一備(bei)份(fen)(fen)，備(bei)份(fen)(fen)策略采用(yong)完(wan)全(quan)備(bei)份(fen)(fen)與增量備(bei)份(fen)(fen)相結合(he)的(de)(de)(de)(de)方式。

3.8 預警防控系統

現(xian)代(dai)(dai)校(xiao)園網(wang)絡安(an)全(quan)(quan)(quan)管(guan)(guan)理(li)人員必須對整個校(xiao)園網(wang)體系的(de)(de)安(an)全(quan)(quan)(quan)防(fang)御策略及時地進行(xing)檢測、修(xiu)復(fu)和(he)升級，嚴格(ge)履行(xing)國家標(biao)準的(de)(de)信息(xi)安(an)全(quan)(quan)(quan)管(guan)(guan)理(li)制度，構(gou)建現(xian)代(dai)(dai)校(xiao)園網(wang)統(tong)一的(de)(de)安(an)全(quan)(quan)(quan)管(guan)(guan)理(li)與監控(kong)(kong)機制，能(neng)實行(xing)現(xian)代(dai)(dai)校(xiao)園網(wang)統(tong)一安(an)全(quan)(quan)(quan)配置，調(diao)控(kong)(kong)多層面(mian)分布式(shi)的(de)(de)安(an)全(quan)(quan)(quan)問題，提(ti)高現(xian)代(dai)(dai)校(xiao)園網(wang)的(de)(de)安(an)全(quan)(quan)(quan)預警能(neng)力，加強(qiang)對現(xian)代(dai)(dai)校(xiao)園網(wang)應(ying)急事(shi)件的(de)(de)處理(li)能(neng)力，切實建立起(qi)一個方便快(kuai)捷(jie)、安(an)全(quan)(quan)(quan)高效的(de)(de)現(xian)代(dai)(dai)校(xiao)園網(wang)預警防(fang)控(kong)(kong)系統(tong)，實現(xian)現(xian)代(dai)(dai)校(xiao)園網(wang)信息(xi)安(an)全(quan)(quan)(quan)化(hua)的(de)(de)可控(kong)(kong)性。

4 現代校園網絡安(an)全問題的解決方案

通過對(dui)現代(dai)(dai)校(xiao)(xiao)園網主流網絡(luo)信息安全化技(ji)術(shu)的深入研究，針(zhen)對(dui)現代(dai)(dai)校(xiao)(xiao)園網的安全隱(yin)患，提出現代(dai)(dai)校(xiao)(xiao)園網絡(luo)安全問題的各層解決(jue)方案(an)。

⑴ 物(wu)(wu)理(li)層安全(quan)：主要指物(wu)(wu)理(li)設(she)備(bei)(bei)的(de)安全(quan)，機房(fang)的(de)安全(quan)等，包括物(wu)(wu)理(li)層的(de)軟硬件設(she)備(bei)(bei)安全(quan)性(xing)、設(she)備(bei)(bei)的(de)備(bei)(bei)份(fen)、防(fang)災害能(neng)力、防(fang)干擾能(neng)力、設(she)備(bei)(bei)的(de)運行(xing)環境和不間斷電源保(bao)障(zhang)等。相(xiang)關(guan)環境建設(she)和硬件產品必須(xu)按照我(wo)國相(xiang)關(guan)國家標(biao)準(zhun)執(zhi)行(xing)。

⑵ 網(wang)絡層安(an)(an)全(quan)(quan)：針對(dui)現代校園網(wang)內部不同的業務部門及應(ying)用系(xi)統安(an)(an)全(quan)(quan)需(xu)求進行安(an)(an)全(quan)(quan)域劃分，并按照這些安(an)(an)全(quan)(quan)功(gong)能需(xu)求設計和實現相應(ying)的安(an)(an)全(quan)(quan)隔(ge)離(li)與保(bao)護(hu)措施[6]，采(cai)用核心交(jiao)換機的訪問(wen)控制列表以及VLAN隔(ge)離(li)功(gong)能、硬(ying)件防火墻等安(an)(an)全(quan)(quan)防范措施實現信息安(an)(an)全(quan)(quan)化。

⑶ 系(xi)統(tong)層安(an)(an)全：現代校園網(wang)管(guan)理(li)平臺(tai)的主機(ji)選(xuan)擇安(an)(an)全可靠的操(cao)作系(xi)統(tong)，采取以下技(ji)(ji)術(shu)手段進行安(an)(an)全防護：補丁分發(fa)技(ji)(ji)術(shu)、系(xi)統(tong)掃描(miao)技(ji)(ji)術(shu)、主機(ji)加固技(ji)(ji)術(shu)、網(wang)絡(luo)防病(bing)毒系(xi)統(tong)。

⑷ 數(shu)據(ju)層安(an)全：主要使用數(shu)據(ju)庫審計(ji)系統進(jin)(jin)行(xing)監控(kong)管理，對(dui)(dui)審計(ji)記錄結果進(jin)(jin)行(xing)保(bao)存，檢(jian)索和查詢，按需審計(ji)；同時還能夠對(dui)(dui)危險行(xing)為進(jin)(jin)行(xing)報警(jing)及阻斷，并提供對(dui)(dui)數(shu)據(ju)庫訪(fang)問(wen)的統計(ji)和分(fen)析(xi)，實(shi)現分(fen)析(xi)結果的可視(shi)化，能夠針對(dui)(dui)數(shu)據(ju)庫性(xing)能進(jin)(jin)行(xing)改進(jin)(jin)提供參考(kao)依據(ju)。

⑸ 應用(yong)層安全(quan)：應用(yong)層安全(quan)的(de)安全(quan)性策略包括用(yong)戶和(he)(he)服務器間的(de)雙向身份認(ren)證(zheng)、信(xin)息和(he)(he)服務資(zi)源(yuan)(yuan)的(de)訪(fang)問(wen)控制和(he)(he)訪(fang)問(wen)資(zi)源(yuan)(yuan)的(de)加密，并通過審(shen)計和(he)(he)記錄機(ji)制，確保服務請(qing)求和(he)(he)資(zi)源(yuan)(yuan)訪(fang)問(wen)的(de)防抵賴。

⑹ 管(guan)理(li)層(ceng)(ceng)安全：現代校園網應依法來制訂安全管(guan)理(li)制度(du)，提(ti)供數據審(shen)計平臺。一(yi)方(fang)面(mian)，對(dui)(dui)站點的訪問活動進行多層(ceng)(ceng)次的記錄(lu)，及時發現非(fei)法入侵行為。另一(yi)方(fang)面(mian)，當事故發生后(hou)，提(ti)供黑客攻擊行為的追蹤線索及破(po)案(an)依據，實現對(dui)(dui)網絡(luo)的可控性(xing)與(yu)可審(shen)查(cha)性(xing)。

5 構筑現(xian)代(dai)校(xiao)園網的整體安全防(fang)御體系(xi)

現(xian)(xian)(xian)代(dai)校(xiao)園(yuan)(yuan)網絡(luo)安(an)(an)(an)全(quan)(quan)(quan)(quan)問題的各層(ceng)解決方(fang)案綜合應(ying)(ying)用到實(shi)際(ji)工作環境(jing)中，在配套安(an)(an)(an)全(quan)(quan)(quan)(quan)管(guan)(guan)理(li)制度(du)規(gui)范(fan)下[7]，現(xian)(xian)(xian)代(dai)校(xiao)園(yuan)(yuan)網可實(shi)現(xian)(xian)(xian)全(quan)(quan)(quan)(quan)方(fang)位多層(ceng)次的信息安(an)(an)(an)全(quan)(quan)(quan)(quan)化管(guan)(guan)理(li)，配有一整套完(wan)備的現(xian)(xian)(xian)代(dai)校(xiao)園(yuan)(yuan)網安(an)(an)(an)全(quan)(quan)(quan)(quan)總需求分析、校(xiao)園(yuan)(yuan)網風(feng)險(xian)分析、風(feng)險(xian)控制及安(an)(an)(an)全(quan)(quan)(quan)(quan)風(feng)險(xian)評估(gu)、安(an)(an)(an)全(quan)(quan)(quan)(quan)策略和布署處置、預警防(fang)控系統、安(an)(an)(an)全(quan)(quan)(quan)(quan)實(shi)時監控系統、數據(ju)審計平(ping)臺、數據(ju)存儲(chu)備份與恢復等動(dong)態自適應(ying)(ying)的防(fang)御體系，可有效防(fang)范(fan)、阻止和切斷各種入侵者，構筑現(xian)(xian)(xian)代(dai)校(xiao)園(yuan)(yuan)網的整體安(an)(an)(an)全(quan)(quan)(quan)(quan)屏障。

6 結束語

信(xin)息安(an)(an)全(quan)(quan)(quan)化是現(xian)代(dai)校(xiao)(xiao)(xiao)園(yuan)網(wang)實施安(an)(an)全(quan)(quan)(quan)的(de)(de)(de)有效舉措(cuo)，并建立(li)一(yi)套切實可行的(de)(de)(de)現(xian)代(dai)校(xiao)(xiao)(xiao)園(yuan)網(wang)絡安(an)(an)全(quan)(quan)(quan)保(bao)護措(cuo)施，提(ti)高現(xian)代(dai)校(xiao)(xiao)(xiao)園(yuan)網(wang)信(xin)息和應(ying)急(ji)處置能力，發揮現(xian)代(dai)校(xiao)(xiao)(xiao)園(yuan)網(wang)服(fu)務教學、科研(yan)和辦公管理的(de)(de)(de)作用。現(xian)代(dai)網(wang)絡的(de)(de)(de)高速發展(zhan)同時(shi)伴隨著種種不確定的(de)(de)(de)安(an)(an)全(quan)(quan)(quan)因素，時(shi)時(shi)威(wei)脅現(xian)代(dai)校(xiao)(xiao)(xiao)園(yuan)網(wang)的(de)(de)(de)健康發展(zhan)，要(yao)至始至終保(bao)持與(yu)時(shi)俱進的(de)(de)(de)思想，適時(shi)調(diao)整相應(ying)的(de)(de)(de)網(wang)絡安(an)(an)全(quan)(quan)(quan)設備。

參考文(wen)獻（Reference）：

[1] [美]Sean Convery著，王(wang)迎(ying)春，謝(xie)琳，江魁譯.網絡安(an)全體(ti)系結

構[M].人民郵電(dian)出版(ban)社(she)，2005.

[2] Cbris McNab著，王景新(xin)譯(yi).網絡安全評估[M].中國電力出版

社，2006.

[3] 陳杰(jie)新.校園網(wang)絡(luo)安全技術(shu)研究(jiu)與應用[J].吉林(lin)大(da)學(xue)碩士學(xue)

位論文，2010.

 [4] Teare D.著，袁國忠譯.Cisco CCNP Route學習指(zhi)南[M].北京(jing)

人民郵電出版社(she).2011.

[5] 張彬.高(gao)校數字化(hua)校園(yuan)安全防護與管理(li)系(xi)統設計與實現(xian)[D].

電子科技大(da)學(xue)碩(shuo)士(shi)學(xue)位論文，2015.5.

[6] 彭勝偉.高校校園計(ji)算(suan)機(ji)網絡設計(ji)與實現[J].無線互聯技術，

2012.11.