网络安全毕业论文设计.doc 33页

'网络安全毕业论文设计目录摘要3Abstract4第1章网络安全概述51.1网络安全的现状51.2VPN技术介绍61.3课题背景71.4研究目标7第2章VPN技术及其应用82.1VPN概念82.2VPN技术的工作原理82.3VPN技术的应用领域92.3.1远程访问102.3.2组建内联网102.3.3组建外联网10第3章VPN技术与相关协议113.1PPTP协议与L2TP协议113.1.1PPTP协议113.1.2L2TP协议113.2Ipsec协议113.2.1设计Ipsec的目的123.2.2Ipsec的组成部分123.3ESP机制133.3.1ESP封装技术的隧道模式133.3.2ESP封装技术的传输模式143.4AH机制153.4.1AH封装技术的隧道模式153.4.2AH封装技术的传输模式16第4章方案设计164.1需求分析174.2设计方案要达到的目的184.3VPN组建方案网络拓扑图18第5章各部分VPN设备的配置195.1公司总部到分支机构的ISAVPN配置195.1.1总部ISAVPN配置205.1.2支部ISAVPN配置225.1.3VPN连接24第33页（共33页） 5.1.4连接测试255.2公司总部站点到移动用户端的VPN配置275.2.1总部ISAVPN配置285.2.2动用户端VPN配置295.2.3连接测试30总结31参考文献32致谢33第33页（共33页） 摘要随着通信技术、微电子技术和计算机软件技术的迅猛发展，以计算机为基础的网络技术在开放系统互连模型和TCP/IP协议簇的规约下，异型计算机之间、异构网络之间互连的技术屏障已被完全打破，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现出传统企业网的功能缺陷，于是企业便对于自身的网络建设提出了更高的需求，由此推进了信息技术的发展。如今从个人、家庭到企事业单位、政府以及军事部门都已离不开网络，迅速发展的网络不仅提高了工作效率还给人们带来了越来越多的利益，但网络给人们带来了方便的同时对每个用户的信息却受到了严重的威胁。针对这一问题计算机人员研发出VPN的一种虚拟局域网，它的出现解决了安全传输信息的这一问题。本文首先介绍了VPN的概念、应用前景、以及相关的技术与主要的安全协议，并通过一个小企业运用VPN的技术来构建自己的企业网和外联网的实例，来实现各个之间的信息通信，本文中包括各模块的工作原理、实现的思想、实现的细节以及最终的测试结果等，并对在实验中遇到的问题以及困难得到了解决。关键词VPN；加密；PPTP；L2TP；Ipsec第33页（共33页） AbstractWiththedevelopmentofcommunicationtechnology,microelectronicstechnologyandcomputersoftwaretechnologydevelopment,computerbasednetworktechnologyinOpenSystemInterconnectReferenceModelandTCP/IPprotocolsunderthestipulationsbetweencomputers,special-shaped,heterogeneousnetworkinterconnectionbetweentechnologicalbarrierhasbeenbrokencompletely,especiallythedevelopmentofnetworkeconomy,businessexpansion,customerincreasingthedistributionofawiderangeofpartners,increasing,thispromptedthebenefitoftheenterpriseisgrowing,butalsoincreasinglyprotrudingshowsthetraditionalenterprisenetworkfunctionaldefects,thentheenterprisetoitsownnetworkconstructionraisedtallerrequirement,therebypromotingthedevelopmentoftheinformationtechnology.Nowfromindividuals,familiestoenterprises,governmentsandmilitarydepartmentshavebeeninseparablefromthenetwork,therapiddevelopmentofthenetworknotonlyimproveworkefficiencytobringpeoplemoreandmoreinterests,buttheInternetbringspeopleconveniencetoeachuser"sinformationhasbeenaseriousthreatto.InviewoftheproblemsappearedinrecentyearsaVpnvirtuallocalareanetwork,itappearstosolvethesecuretransmissionofinformationtothisproblem.Thispaperfirstintroducestheconcept,application,prospectofVPN,andtherelatedtechnologyandthemainsecurityprotocol,andthroughasmallenterprisestouseVPNtechnologytobuildtheirownintranetandextranetexamples,torealizetheinformationcommunicationbetween,experimentsincludingtheworkingprinciplesofeachmodule,realizeideasthedetailsoftheimplementation,aswellasthefinaltestresult,andtheexperimentencounteredproblemsanddifficultieshavebeensolved.分享到翻译结果重试抱歉，系统响应超时，请稍后再试·支持中英、中日在线互译·支持网页翻译，在输入框输入网页地址即可·提供一键清空、复制功能、支持双语对照查看，使您体验更加流畅第1章网络安全概述1.1网络安全的现状网络的诞生极大地方便了人们的沟通和交流，第33页（共33页） 信息网络更已深入到政府、军事、企业生产管理等诸多领域,其中存储、传输和处理的信息有很多是政府的重要决策、军事秘密、企业生产经营的商业信息等，然而自网络诞生之日起，网络安全就一直如影随形。1988年11月20日上网蠕虫病毒，至今仍然让人们心有余悸，正是从那时刻起，internet逐渐成为病毒肆虐的温床，滥用网络技术缺陷和漏洞的网络入侵更让人们防不胜防，具体的安全隐患主要表现为：　　（1）计算机系统受病毒感染和破坏的情况相当严重。（2）电脑黑客方法活动已形成重要威胁。（3）信息基础设施面临网络安全的挑战。（4）信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。（5）传输信息的完整性、可用性、保密性得不到保证。计算机网络的安全与我们自己的利益息息相关，网络是动态变化的，新的Internet黑客站点、病毒、盗取每日剧增，所以一个安全的计算机网络系统必须采取强有力的网络安全策略，认真研究网络安全发展方向掌握最先进的技术，这样才能保证计算机网络系统安全、可靠地正常运行，才能把握住计算机网络安全的大门。目前国内外有以下几种典型的网络安全技术：1.防火墙系统防火墙系统能增强机构内部网络的安全性，加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问、外界的哪些人员可以访问内部的哪些服务、以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往因特网的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。2.入侵检测系统入侵检测通过监控系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。它根据用户的历史行为，基于用户当前的操作，完成对攻击的决策并一一记录下攻击证据，为数据恢复与事故处理提供依据。目前主要有两类入侵检测系统：基于网络的和基于主机的。前者在连接过程中监视特定网段的数据流，查找每一数据包内隐藏的恶意入侵，并对发现的入侵做出及时的响应；后者是检查某台主机系统日志中记录的未经授权的可疑行为，并及时做出响应。3.访问控制技术访问控制也是网络安全防范和保护的主要技术，它的主要任务是保证网络资源不被非法使用和非法访问。入网访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。4.虚拟专用网VPN技术VPN第33页（共33页） 技术可以在远程用户、公司分支机构、商业合作伙伴与公司的内部网之间建立可靠的安全连接，并保护数据的安全传输。与实际的点到点连接电路一样，VPN系统可被设计成通过Internet，提供安全的点到点(或端到端)的“隧道”。一个VPN至少提供如下功能： （1）数据加密。 （2）信息认证和身份认证。（3）访问权限控制。根据用户的需求，VPN可以用多种不同的方法实现。通常情况下，有基于防火墙的VPN、基于路由器的VPN、基于服务器的VPN和专用的VPN设备等。企业经济的发展是推动社会发展的主要动力，所以企业之间的商业信息的安全就变得尤为重要，上述中VPN虚拟网络技术不仅解决了信息的安全传输还解决的企业与各个之间的通信，还可以为组织机构提供一个满足跨越公共通信网络建立安全、可靠和高效的网络平台的虚拟专网。1.2VPN技术介绍为适应全球经济一体化的格局与发展，利用IP协议和现有的Internet来建立企业的安全的专有网络，成为主要VPN发展趋势，VPN网络给用户所带来的好处主要表现在以下几个方面：1.节约成本　　节约成本是VPN网络技术的最为重要的一个优势，也是它取胜传统的专线网络的关键所在。据行业调查公司的研究报告显示拥有VPN的企业相比起采用传统租用专线的远程接入服务器或Modem池和拨号线路的企业能够节省30%到70%的开销。2.增强的安全性　　目前VPN主要采用四项技术来保证数据通信安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、身份认证技术(Authentication)。3.网络协议支持　　VPN支持最常用的网络协议，这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN，这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。4.可随意的与合作伙伴联网　　在过去企业如果想与合作伙伴连网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，这样相当麻烦，不便于企业自身的发展，有了VPN之后，这种协商也毫无必要，真正达到了要连就连要断就断，可以实现灵活自如的扩展和延伸。5.安全的IP地址，第33页（共33页） 　　由于VPN是加密的，VPN数据包在因特网中传输时因特网上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址，因此远程专用网络上指定的地址是受到保护的。1.3课题背景　　随着信息时代的来临，企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。有人曾这样比喻互联网，互联网就像一片汪洋大海，接入互联网的每个用户就像是漂泊在这汪洋大海里的一叶孤舟，随时都会有触礁和遭遇风暴的危险，但网络带给人类的诱惑是无法抗拒的，VPN虚拟网络的出现不仅解决了信息的安全传输还解决的企业与各个之间的通信。计算机网络技术不断提升，信息管理范围不断扩大，不论是企业内部职能部门，还是企业外部的供应商、分支机构和外出人员，都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境，计算机技术人员针对这一情况通过VPN技术为企业组建了以下三种网络：（1）为解决企事业单位通过公共通信网络将地域分散的分支机构“连接在一起”提出了内联网（intranet）概念。（2）为解决企事业单位通过公共通信网络与合作伙伴和有共同利益的外部内联网实现互通互联和信息交换而提出的外联网（Extranet）概念。（3）为解决企事业单位职员出差在外，通过公共通信网络共享内联网资源而提出的远程接入（Remoteaccess）概念。中小型企业如果自己购买VPN设备，财务成本会比较高，而且一般中小型企业的资金能力有限，但VPN技术最显著的一个特点就是节约成本，这种网络没有自己所有权的网络设备和通信线缆，是通过租入或临时租用的公共通信设备设施中的某一部分供自己完成业务并保证了信息的安全性，所以发展中小型企业VPN技术是最好的选择。1.4研究目标在本文的实例中呼和浩特的鸿骏电子有限公司在海拉尔开办分公司来发展业务，公司希望总部与分公司、总部与合作伙伴可以随时的进行安全的信息沟通，而外出办公人员可以访问到企业内部关键数据，随时随地共享商业信息提高工作效率。我们根据VPN的虚拟技术在企业与客户、总部与分部以及外出人员之间建立了安全可靠的虚拟通道，并用运用密码算法对数据进行加密处理来保证传输信息的安全性，对数据进行完整性校验，为了保障信息在internet上传输的安全性，VPN采用了隧道、认证、存取控制、机密性、数据完整性等措施，解决了企业与客户、总部与分部以及外出人员之间传输的信息不被偷看、篡改、复制。在构建VPN虚拟局域网的过程中，着实遵循着方便实用、高效低成本、安全可靠等相关原则合理地规划出网络安全架构，对企业使用ISAServerVPN第33页（共33页） 安全方案提供一点小的见解。第2章VPN技术及其应用2.1VPN概念VPN是英文virtualprivatenetwork的缩写，这里专指在公共通信基础设施上构建的虚拟专用或私有网，可以被认为是一种公共网络中隔离出来的网络。VPN的隔离特性提供了某种的通信保密性和虚拟性。虽然VPN在本质上并不是完全独立的网络，它与真正网络的差别在于VPN以隔离方式通过共享公共通信基础设施，我们从通信角度将VPN定义为：“VPN是一种通信环境，在这一环境中，存取受到控制目的在于只许被确定为同一个共同体的内部同层连接，而VPN的构建则是通过对公共通信基础设施的通信介质进行某种逻辑分割来进行的，”同时我们从组网技术角度将VPN定义为：“VPN通过共享通信基础设施为用户提供制定的网络连接，这种定制的连接要求用户共享相同的安全性、优先级服务、可靠性和管理性策略，在共享的基础通信设施上采用隧道技术和特殊配置技术措施，仿真点到点的连接。”VPN它不同于传统的网络，VPN网络可以将逻辑上不能相通的网络之间建立一个安全的通讯通道，使得这两个网络之间的能够互相访问。VPN通过对数据进行完整性校验，运用密码算法对数据进行加密处理来保证其安全性。为了保障信息在internet上传输的安全性，VPN技术采用了隧道、认证、存取控制、机密性、数据完整性等措施，保证信息在传输中不被偷看、篡改、复制。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。2.2VPN技术的工作原理由于VPN体系的复杂性和融合性，VPN服务的成长速度将超越VPN产品，成为VPN发展的新动力。目前大部分的VPN市场份额仍由VPN产品销售体现，在未来的若干年里，VPN服务所占的市场份额将超过VPN产品，这也体现了信息安全服务成为竞争焦点的趋势。而VPN技术的原理是怎么样的呢，下面简单的介绍下。把因特网用作专用广域网，就要克服两个主要障碍。首先，网络经常使用多种协议如IPX和NetBEUI进行通信，但因特网只能处理IP流量。所以，VPN就需要提供一种方法，将非IP的协议从一个网络传送到另一个网络。其次，网上传输的数据包以明文格式传输，因而，只要看得到因特网的流量，就能读取包内所含的数据。如果公司希望利用因特网传输重要的商业机密信息，这显然是一个问题。VPN第33页（共33页） 克服这些障碍的办法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传输，如图1-1所示。图1-1工作原理源网络的VPN隧道发起器与目标网络上的VPN隧道发起器进行通信。两者就加密方案达成一致，然后隧道发起器对包进行加密，确保安全（为了加强安全，应采用验证过程，以确保证方式）。最后VPN发起器将整个加密包封装成IP包。现在不管最初的传输是何种协议，它都能在纯IP因特网上传输。又因为包进行了加密，所以谁也无法读取原始数据。在目标网络这头，VPN隧道终结器收到包后去掉IP信息，然后根据达成一致的加密方案对包进行解密，将随后获得的包发给远程接入服务器或本地路由器，他们在把隐藏的IPX包发到网络，最终发往相应目的地。2.3VPN技术的应用领域利用VPN技术几乎可以解决所有利用公共通信网络进行通信的虚拟专用网络连接的问题。归纳起来有以下几种应用领域。2.3.1远程访问为解决企事业单位职员出差在外，通过公共通信网络共享内联网资源而提出的远程接入（Remoteaccess）概念。远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动IP和电缆技术与公司总部、公司内联网的VPN设备建立起隧道或密道信，实现访问连接，此时的远程用户终端设备上必须加装相应的VPN软件。推而广之，远程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程VPN访问。这种应用类型也叫AccessVPN(或访问型VPN)，这是基本的VPN应用类型。不难证明，其他类型的VPN都是AccessVPN的组合、延伸和扩展。第33页（共33页） 2.3.2组建内联网为解决企事业单位通过公共通信网络将地域分散的分支机构“连接在一起”提出了内联网（intranet）概念。一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信基础设施上采用的隧道技术等VPN技术构成组织机构“内部”的虚拟专用网络，当其将公司所有权的VPN设备配置在各个公司网络与公共网络之间（即连接边界处）时，这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN组建的内联网也叫IntranetVPNIntranetVPN是解决内联网结构安全和连接安全、传输安全的主要方法。2.3.3组建外联网为解决企事业单位通过公共通信网络与合作伙伴和有共同利益的外部内联网实现互通互联和信息交换而提出的外联网（Extranet）概念。使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来，根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享，这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。这样组建的外联网也叫ExtranetVPN。ExtranetVPN是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网VPN的连接和传输中使用了加密技术，必须解决其中的密码分发、管理的一致性问题。第3章vpn技术相关协议3.1PPTP协议与L2TP协议3.1.1PPTP协议1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，它集成于WindowsNTServer4.0中，WindowsNTWorkstation和Windows9.X也提供相应的客户端软件。PPP支持多种网络协议，可把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中，再将整个报文封装在PPTP隧道协议包中，最后，再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制，减少拥塞的可能性，避免由于包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密(MPPE:MicrosoftPoint-to-Point)算法，可以选用较弱的40位密钥或强度较大的128位密钥。1996年Cisco提出L2F(Layer2Forwarding)隧道协议，它也支持多协议，但其主要用于Cisco的路由器和拨号访问服务器。第33页（共33页） 3.1.2L2TP协议1997年底Microsoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议。L2TP支持多协议，利用公共网络封装PPP帧可以实现和企业原有非IP网的兼容。这类服务不单支持已注册的IP地址，也支持私有的IP地址，以及IPX、X2.5等多协议传输。这类新型的服务为拨号用户和ISP都代来了极大的好处。因为这类服务支持已耗费了大量资金建成的传统非IP网，或允许共同因特网巨大的网络基础设施。L2TP正是这类服务中的典型代表。L2TP将PPP分组进行隧道封装并在不同传输媒体上传输，使用PPP可靠性发送(RFC1663)实现数据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手协议CHAP来验证对方的身份，这使得现如今的异地办公更加方便和安全。3.2Ipsec协议IPSec(IPSecurty)是IETFIPSec工作组为了在IP层提供通信安全而制定的一套协议族。它包括安全协议部分和密钥协商部分。安全协议部分定义了对通信的各种保护方；密钥协商部分定义了如何为安全协议商保护参数以及如何对通信实体的身份进行鉴别。IPSec安全协议给出了两种通信保护机制：封装安全载荷（EncapsuationSecurityPayload,以下简称ESP）和鉴别头（AuthenticationHeader，以下简称AH）。其中ESP机制为通信提供机密性、完整性保护；AH机制为通信提供完整性保护。ESP和AH机制都能为通信提供抗重放(Anti-replay)攻击。Ipsec协议使用IKE（InternetKeyExchange）协议实现安全协议自动安全参数协商。IKE协商的安全参数包括加密及鉴别密钥、通信的保护模式（隧道或传输模式）、密钥的生存期等。IKE将这些安全参数构成的安全参数背景称为安全关联（SecurityAssociation,以下简称SA）。IKE还负责这些安全参数的刷新。3.2.1设计Ipsec的目的以TCP/IP协议簇的设计初衷及其使用环境基本未考虑互连技术造成的安全隐患和固有的漏洞，这是因为TCP/IP协议族的主要协议以及因特网原始主干均源于美国国防部的研究计划和项目应用，它运行于国防部内部封闭的网络。网络内的用户和设备在严密的管理的管理制度约束和高强度的安全观念培训机制下，其运行环境是安全的。美国军方将这一技术和主干网移交给社会使用时，已将原始主干网络分成无物理连接的两个部分。由于TCP/IP协议簇的运行环境发生了变化，再也没有人们想象中的那么安全。如今因特网中的攻击方式层出不穷，人们因为商业的、政治的或个人目的互相偷听、攻击和破坏。为了抵御这些攻击，IETF设计了IPSec协议。第33页（共33页） IPSec协议利用预享密钥、数字签名或公钥加密实现强的通信实体身份相互鉴别，并对通信提供基于预享密钥的分组级源鉴别；IPSec协议通过ESP机制为通信提供机密性保护；IPSec协议通过AH和ESP机制能够为通信提供完整性保护；IPSec协议通过AH和ESP机制能够为通信提供抗重放攻击。3.2.2Ipsec的组成部分安全体系结构ESPAH加密算法鉴别算法DOI密钥管理协议在协议协议族里，给出了IPSec协议体系结构。体系结构定义了主机和网关应提供的各种保护功能。体系规定了IPSec协议提供的两种安全保护机制：AH和ESP机制。ESP机制为通信提供机密性保护和完整性保护；AH机制对通信提供完整性保护。这两种机制为IPSec协议族提供安全服务。通信双方何时应实现ESP或AH保护、保护什么样的通信、保护的强度如何以及何时应实现密钥协商等，都受到实施IPSec的安全策略的控制。IPSec协议通过安全策略的配置和实施表达用户对通信的保护意图，因此表示IPSec各组件的关系如图3-1所示。图　3-1IPSec各组件的关系3.3ESP机制ESP机制主要是为通信提供机密性保护。依据建立安全关联时的选择，它也能为通信提供鉴别保护。因为ESP封装的载荷内容不同，可将ESP分为两种模式：•隧道模式：将整个IP分组封装到ESP载荷之中。•传输模式：将上层协议部分封装到ESP载荷之中。第33页（共33页） 3.3.1ESP封装技术的隧道模式ESP机制通过将整个IP分组或上层协议部分（即传输层协议数据，如TCP、UDP或ICMP协议数据)封装到一个ESP载荷中，然后对此荷载进行相应的安全处理，如加密处理、鉴别处理等，实现对通信的机密性或完整性保护，对于隧道模式，有如下典型实现模型如图3-2所示。安全网关1安全网关2192.168.1.1192.168.1.25411.143.1.159ESPESP11.168.41.60192.168.2.254192.168.2.1192.168.1/24192.168.2/24主机11ESP隧道主机21............图　3-2ESP隧道模式即在ESP隧道的实施模型中，IPSec处理模块安装于安全网关1和安全网关2，由它们来实现ESP处理。位于安全网关1和安全网关2之后的子网被认为是内部可信的，因此分别称其为网关1和网关2的保护子网。保护子网内的通信都是以文明方式进行。但当两个子网之间的分组流经网关1和网关2之间的公网时，将受到ESP机制的安全保护。这种模式有如下优点：•保护子网中的所有用户都可以透明地享受由安全网关提供的安全保护。•子网内部可以使用私有IP地址，无须公有IP地址资源。•子网内部的拓扑结构被保护。这种模式的缺点则为：•增大了网关内部的处理负荷，容易形成通信瓶颈。•对内部的诸多安全问题将不可控。3.3.2ESP封装技术的传输模式对于传输模式，有如下典型实现模型：如图3-3所示。............11.143.1.111.143.1.254122.13.2.59ESPESP63.168.2.111.143.1/24163.168.2/24主机11ESP隧道主机2127.168.3.6063.168.2.254第33页（共33页） 图　3-3传输模式的ESP的实现其中，IPSec模块被安装于两端主机。主机11发送到主机21的IP分组将受到ESP提供的安全保护。这种模式有如下优点：•即使内网中的其他用户，也不能理解传输于主机11和主机21之间的数据内容。•分担了IPSec处理负荷，避免了IPSec处理的瓶颈问题。这种模式的缺点则为：•由于每一个希望实现传输模式的主机都必须安装并实现ESP协议，因此不能实现端用户的透明服务。•不能使用私有IP地址，必须使用公有地址资源。•暴露了子网内部拓扑。事实上，IPSec的传输模式和隧道模式分别类似于其它隧道协议的自愿模式和强制模式，即一个基于用户的实施，一个是基于网络的实施。3.4AH机制AH机制主要用于为通信提供完整性服务。AH还能为通信提供抗重放攻击等服务。按照AH协议的规定，可以按AH封装的协议数据不同，将AH封装划分为两种模式：隧道模式和传输模式。3.4.1AH封装技术的隧道模式如果将AH头插入原IP分组的IP头之前，并在AH头之前插入新的IP头，则称此模型的封装为隧道封装；对于隧道模式，有如下典型实现模型：如图3-4所示。............192.168.1.1192.168.1.25422.13.2.59AHAH27.168.3.60192.168.2.25192.168.2.1192.168.1/24192.168.2/24主机11AH隧道主机21安全网关2安全网关1第33页（共33页） 　　图3-4隧道模式的AH实现即在AH隧道的实施模型中，IPSec处理模块安装于安全路由器1和安全路由器2，由它们来实现AH处理。位于安全网关1和安全网关2之后的子网被认为是内部可信的，不会发生数据篡改等攻击行为，因此分别称其为路由器1和2的保护子网。这种模式有如下优点：•子网内部的各主机可以借助安全网关的IPSec处理，可以透明地享受安全服务。•子网内部可以使用私有IP地址，无需申请公有地址资源。这种模式的缺点则为：•IPSec主要集中在安全网关，增大了路由器的处理负荷，容易形成通信瓶颈。•对内部的诸多安全问题将不可控。3.4.2AH封装技术的传输模式如将AH头插入IP头和路由扩展头之后，上层协议数据的端到端扩展头之前，则称该模式的封装为传输模式。对于传输模式的AH，有如下典型实现模型：如图3-5所示。192.168.1.1192.168.1.25422.13.2.59AHAH27.168.3.60192.168.2.25192.168.2.1192.168.1/24192.168.2/24主机11AH隧道主机21安全网关2安全网关1............................图　3-5传输模式的AH实现第33页（共33页） 其中，IPSec模块被安装于两端主机。主机11发送到主机21的IP分组将受到AH提供的安全保护。这种模式有如下优点：•即使内网中的其他用户，也不能篡改传输于主机11和主机21之间的数据内容。•分担了IPSec处理负荷，避免了IPSec处理的瓶颈问题。这种模式的缺点则为：•由于每一个希望实现传输模式的主机都必须安装并实现IPSec模块，因此不能实现端用户的透明服务。•不能使用私有IP地址，必须使用公有地址资源。第4章方案设计VPN的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状下来具体实施。本文中就以一个中小型企业为例，在实际环境中建立一个基于ISA的企业VPN网络以满足企业与客户、总部与分部以及公司与外出人员之间的访问要求。4.1需求分析随着公司的发展壮大，呼和浩特鸿骏电子有限公司在海拉尔开办了分公司来进一步发展业务，公司希望总部和分公司、总部与合作伙伴可以随时的进行安全的信息沟通，而外出办公人员可以访问到企业内部关键数据，随时随地共享商业信息，提高工作效率。一些大型跨国公司解决这个问题的方法，就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题，但是费用昂贵，对于中小企业来说是无法负担的，而VPN技术最大的优点就是节约成本，所以用VPN技术就解决了这个问题。根据该公司用户的需求，遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定采用ISAServerVPN安全方案，以ISA作为网络访问的安全控制。ISAServer集成了WindowsserverVPN服务，提供一个完善的防火墙和VPN解决方案。以ISAVPN作为连接Internet的安全网关，并使用双网卡，隔开内外网，增加网络安全性。ISA具备了基于策略的安全性，并且能够加速和管理对Internet的访问。防火墙能对数据包层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对于各种规模的企业来说，ISAServer都可以增强网络安全性、贯彻一致的Internet使用策略、加速Internet访问并实现员工工作效率最大化。方案的设计在ISA中可以使用以下三种协议来建立VPN连接：　　•IPSEC隧道模式。第33页（共33页） •L2TPoverIPSec模式。•PPTP。　　下表比较了这三种协议：如表4-1所示。表　4-1ISA中三种协议对比表协议何时使用安全等级备注IPSec隧道模式连接到第三方的VPN服务器高这是唯一一种可以连接到非微软VPN服务器的方式L2TPoverIPSec连接到ISAServer2000、ISAServer2004或者WindowsVPN服务器高使用RRAS比IPSec隧道模式更容易理解，但是要求远程VPN服务器是ISAServer或者WindowsVPN服务器。PPTP连接到ISAServer2000、ISAServer2004或者WindowsVPN高使用RRAS和L2TP具有同样的限制但是更容易配置，因为使用IPSec加密L2TP更认为更安全。三个站点都采用ISAVPN作为安全网关，且L2TPoverIPSec结合了L2TP和IPSec的优点，所以在这里采用L2TPoverIPSec作为VPN实施方案。4.2方案设计的目的（1）我们通过VPN技术可以使呼市总部和分公司之间以及呼市总部和合作伙伴之间透过VPN联机采用IPSec协定，确保传输数据的安全。（2）在外出差或想要连回总部或分公司的用户也可使用IPSec方式与企业联网。（3）对总部内网实施上网的访问控制，通过VPN设备的访问控制策略，对访问的PC进行严格的访问控制。（4）对外网可以抵御黑客的入侵，起到Firewall作用，具有控制和限制的安全机制和措施，具备防火墙和抗攻击等功能。（5）部署灵活、维护方便、提供强大的管理功能，以减少系统的维护量以适应大规模组网需要。4.3方案网络拓扑图呼和浩特鸿骏电子有限公司在海拉尔开办了分公司来发展业务，在通信的过程中，为了保证数据的安全性总部与分支机构、总部与合作伙伴分别通过ISAVPN安全网关建立VPN隧道、外出办公人员与总部建立VPN隧道可以访问到企业内部关键数据，随时随地共享商业信息，提高工作效率。如图4-2所示。第33页（共33页） 　　　　　　　　　　　　　　　　　图　4-2网络拓扑图第5章各部分VPN设备的配置公司总部与分支机构之间和公司总部与合作伙伴之间的VPN通信，都是站点对站点的方式，只是权限设置不一样，公司总部与分支机构要实现的是公司的分支机构可以共享总部的资源，公司总部与合作伙伴要实现的是资源共享和互访。两者之间的差别是合作伙伴的VPN在接入上设置了总部可以访问的操作。因为三个站点都采用ISAVPN作为安全网关，所以以下站点对站点的VPN配置就以公司总部到分支机构为例，说明在ISA上实现VPN的具体操作。如图5-1所示。图5-1实验模拟网络拓扑图第33页（共33页） 5.1公司总部到分支机构的ISAVPN配置各主机的TCP/IP为：一、呼市总部外部网络：IP：192.168.1.1DG：192.168.1.1内部网络：IP：172.16.192.167DG：None二、分部外部网络：IP：192.168.1.2DG：192.168.1.1内部网络：IP:192.168.3.1DG：None在总部和支部之间建立一个基于IPSec的站点到站点的VPN连接，由支部向总部进行请求拨号，具体步骤如下：（1）在总部ISA服务器上建立远程站点。（2）建立此远程站点的网络规则。（3）建立此远程站点的访问规则。（4）在总部为远程站点的拨入建立用户。（5）在支部ISA服务器上建立远程站点。（6）建立此远程站点的网络规则。（7）建立此远程站点的访问规则。第33页（共33页） （8）测试VPN连接。如图5-2所示。图5-2总部建立的远程站点图5.1.1总部ISAVPN配置1．在总部ISA服务器上建立远程分支机构站点　（1）打开ISAServer2004控制台，点击虚拟专用网络，点击右边任务面板中的添加远程站点网络；（2）在欢迎使用网络创建向导页，输入远程站点的名字Branch，点击下一　　　　　步；（3）在VPN协议页，选择IPSec上的第二层隧道协议（L2TP），点击下一步；（4）在远程站点网关页，输入远程VPN服务器的名称或IP地址，如果输入名称，需确保可以正确解析，在这里输入192.168.1.2点击下一步；（5）在网络地址页点击添加输入与此网卡关联IP地址范围，在此输入192.168.3.0和192.168.3.255，点击确定后，点击下一步继续；（6）在正在完成新建网络向导页，点击完成。（7）打开VPN客户端，点击配置VPN客户端访问，在常规页中，选择启用VPN客户端访问，填入允许的最大VPN客户端数量20，在协议页，选择启用PPTP（N）和启用L2TP/IPSEC（E）点击确定。（8）点击选择身份验证方法，选择Microsoft加密的身份验证版本2（MS-CHAPv2）（M）和允许L2TP连接自定义IPSec策略（L）,输入预共享的密钥main04jsja。（9）点击定义地址分配，在地址分配页，选择静态地址池，点击添加，添加VPN连接后总部主机分配的给客户端的IP地址段，在这里输入210.34.212.0-210.34.212.255，点击确定完成设置。2．在总部上建立此远程站点的网络规则接下来，我们需要建立一条网络规则，为远程站点和内部网络间的访问定义路由关系。1）右键点击配置下的网络，然后点击新建，选择网络规则；第33页（共33页） 2）在新建网络规则向导页，输入规则名字，在此命名为InternaltoBranch，点击下一步;3）在网络通讯源页，点击添加，选择网络目录下的内部，点击下一步；4）在网络通讯目标页，点击添加，选择网络目录下的Branch，点击下一步；5）在网络关系页，选择路由，然后点击下一步；6）在正在完成新建网络规则向导页，点击完成；如图5-3所示。图5-3总部网络规则图3、在总部上建立此远程站点的访问规则现在，我们需要为远程站点和内部网络间的互访建立访问规则，1）右键点击防火墙策略，选择新建，点击访问规则；2）在欢迎使用新建访问规则向导页，输入规则名称，在此命名为maintobranch，点击下一步；3）在规则操作页，选择允许，点击下一步；4）在协议页，选择所选的协议，然后添加HTTP和Ping，(这里可以再根据实际需要添加协议)点击下一步；5）在访问规则源页，点击添加，选择网络目录下的Branch和内部，点击下一步；6）在访问规则目标页，点击添加，选择网络目录下的Branch和内部，点击下一步；7）在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成；8）最后，点击应用以保存修改和更新防火墙设置。此时在警报里面有提示，需要重启ISA服务器，所以我们需要重启ISA计算机。如图5-4所示。第33页（共33页） 图5-4总部访问控制图4、在总部上为远程站点的拨入建立用户1）在重启总部ISA服务器后，以管理员身份登录，2）在我的电脑上点击右键，选择管理，选择在本地用户和组里面，右击用户，选择新用户，这个VPN拨入用户的名字一定要和远程站点的名字一致，在此是main，输入密码main，选中用户不能修改密码和密码永不过期，取消勾选用户必须在下次登录时修改密码，点击创建；3）击此用户，选择属性；在用户属性的拨入标签，选择允许访问，点击确定。如图5-5图5-5总部用户创建图此时，远程客户端拨入总部的用户账号就建好了。5.1.2支部ISAVPN配置1、在支部ISA服务器上添加远程站点1）打开ISAServer2004控制台，点击虚拟专用网络，点击右边任务面板中的添加远程站点网络；第33页（共33页） 2）在欢迎使用网络创建向导页，输入远程站点的名字Main，点击下一步；3）在VPN协议页，选择IPSec上的第二层隧道协议（L2TP），点击下一步；4）在远程站点网关页，输入远程VPN服务器的名称或IP地址，如果输入名称，需确保可以正确解析，在这里输入192.168.1.1，点击下一步；5）在远程身份验证页，输入用户名main，输入密码main，点击下一步继续；6）在网络地址页，点击添加输入与此网卡关联的IP地址范围，在此输入192.168.3.0和192.168.3.255，点击确定后，点击下一步继续；7）在正在完成新建网络向导页，点击完成。如图5-6图5-6支部建立的远程站点图2、建立此远程站点的网络规则接下来，我们需要建立一条网络规则，为远程站点和内部网络间的访问定义路由关系。1）右击配置下的网络，然后点击新建，选择网络规则；2）在新建网络规则向导页，输入规则名字，在此我命名为内部->Main，点击下一步；3）在网络通讯源页，点击添加，选择网络目录下的内部，点击下一步；4）在网络通讯目标页，点击添加，选择网络目录下的Main，点击下一步；5）在网络关系页，选择路由，然后点击下一步；6）在正在完成新建网络规则向导页，点击完成；如图5-7图5-7支部的网络规则图3、建立此远程站点的访问规则在创建完远程站点和远程站点的网络规则之后，我们需要为远程站点和内部网络间的互访建立访问规则，1）右击防火墙策略，选择新建，点击访问规则；2）在欢迎使用新建访问规则向导页，输入规则名称，在此我命名为branchto第33页（共33页） main，点击下一步；3）在规则操作页，选择允许，点击下一步；4）在协议页，选择所选的协议，然后添加HTTP和Ping，点击下一步；5）在访问规则源页，点击添加，选择网络目录下的Main和内部，点击下一步；6）在访问规则目标页，点击添加，选择网络目录下的Main和内部，点击下一步；7）在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成；8）最后，点击应用以保存修改和更新防火墙设置。如图5-8图5-8支部的访问控制图此时在警报里面有提示，需要重启ISA服务器，所以，我们需要重启支部ISA计算机。5.1.3VPN连接在支部的路由和远程访问控制台中，展开服务器，1）点击网络接口，这时就会出现我们创建的main网络拨号接口，右键点击属性，在安全页选择高级设置下的IPSec设置，在使用预共享的密钥作身份验证（U）的选框里打勾，并输入密钥main04jsja,点击两次确定，完成密钥设置。2）右键点击设置凭据，在接口凭据页，输入此接口连接到远程路由器使用的凭据，因为在远程ISA端我们设置为main所以这里输入的用户密码为main，点击确定。如图5-9第33页（共33页） 图5-9连接验证图3）右键main点击连接如图5-10图5-10正在进行连接示意图如图5-11图5-11已连接上示意图到此为止站点到站点的VPN已经构建好了，在上面的设置中，远程的支部不允许总部进行访问，如果要设成可以互相访问，支部的配置只要参照总部的配置就可以实现了。5.1.4连接测试我们之前在静态地址池里设置了VPN连接后分配的IP地址，因此测试是否连接时只要查支部主机的IP地址就可以了，在测试的结果中，出现了210.34.212.2这个VPN分配的IP地址，说明VPN已成功连接上总部的ISAVPN服务器。如图5-12第33页（共33页） 图5-12支部主机VPN连接后的ipconfig图在支部的主机上ping总部内部的某一主机，如下所示，虽然第一次连接时间超时，没有回应，但是接下来的三个连接都可以ping通，说明VPN已经成功连接，并可以访问到总部内网的其他主机。如图5-13第33页（共33页） 图5-13支部PING通总部内部网络图5.2公司总部站点到移动用户端的VPN配置总部外部网络：IP：192.168.1.1DG：192.168.1.1内部网络：IP：172.16.192.167DG：None移动用户IP：192.168.1.3在总部和移动用户之间建立一个基于IPSec的VPN连接，具体步骤如下：1)在总部ISA服务器上建立网络规则第33页（共33页） 2)建立此远程站点的访问规则；3)在总部为远程站点的拨入建立用户；4)在客户端建立拨号连接5)测试VPN连接；5.2.1总部ISAVPN配置1、创建远程访问移动客户端1)打开ISAServer2004控制台，点击虚拟专用网络，点击右边任务面板中常规VPN配置中的选择访问网络2）在虚拟专用网络（VPN）属性页选择访问网络,选中外部和所有网络（和本地主机）3）选择地址分配页，这里需要在静态地址池里面添加分给VPN拨入用户的IP地址，因为在站点对站点的设置里已经配置过，所以这里直接点确定点击确定；4）点击VPN客户端任务里的配置VPN客户端访问选项，点击启用VPN客户端访问，设置允许的最大VPN客户端数量20。5）点击协议选项，选择启用PPTP（N）和启用L2TP/IPSEC（E）点击确定。2、创建移动客户端的访问规则现在，我们需要为远程站点和内部网络间的互访建立访问规则，1）右键点击防火墙策略，在任务面板上选择创建新的访问规则；2）在欢迎使用新建访问规则向导页，输入规则名称AllowmoveVPN，点击下一步；3）在规则操作页，选择允许，点击下一步；4）在协议页，选择所选的协议，然后添加HTTP和PING，点击下一步；5）在访问规则源页，点击添加，选择网络目录下的外部，点击下一步；6）在访问规则目标页，点击添加，选择网络集目录下的所有网络（和本地主机），点击下一步；7）在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成；8）最后，点击应用以保存修改和更新防火墙设置。如图5-14图5-14总部移动用户访问控制图第33页（共33页） 3、在总部上为移动用户创建拨入建立帐号1）在重启总部ISA服务器后，以管理员身份登录，2)在我的电脑上点击右键，选择管理，选择在本地用户和组里面，右击用户，选择新用户，输入用户名movevpn，输入密码movevpn，选择用户必须在下次登录时修改密码，点击创建；3)右击此用户，选择属性；在用户属性的拨入标签，选择允许访问，点击确定。如图5-15图5-15总部移动用户创建图5.2.2移动用户端VPN配置1、VPN客户端的配置1)点击开始->所有程序->附件->通讯->新建连接向导2)在新建连接向导页，点击下一步3)在网络连接类型页，选择连接到我的工作场所的网络点击下一步4)在网络连接页，选择虚拟专用网连接点击下一步5)在连接名页面，输入连接的名称，如“XMUT”，点击下一步6)在公用网络页，选择不拨初始连接，点击下一步7)在VPN服务器选择页，输入主机名或IP地址192.168.1.1,点击下一步8)在可用连接页，根据需要进行选择，然后单击下一步按钮继续。9)在完成网络连接向导页，勾选中在我的桌面添加快捷方式复选框，然后单击完成按钮。2、设置XUMT的连接属性右键XMUT连接，点击属性，在安全页选择高级设置下的IPSEC设置，在使用预共享的密钥作身份验证（U）的选框里打勾，并输入密钥main04jsja,点击两次确定。到此为止，站点对站点的VPN和站点对客户端的VPN已经都建立好了，具体的访问控制和网络规则都可以随实际的应用而更改。第33页（共33页） 5.2.3连接测试在VPN客户端主机上输入ipconfig,得到一个静态地址210.34.212.4，说明已连接成功。如图5-16图5-16移动用户VPN连接后ipconfig图.第33页（共33页） 总结第33页（共33页） 主要参考文献1、石炎生等《计算机网络工程实用教程》第2版电子工业出版社20112.CNNIC中国互联网络发展状况统计报告3.杨波《现代密码学》清华大学出版社20074.谢希仁《计算机网络》第五版电子工业出版社20075.胡建伟《网络安全与保密》西安电子科技大学出版社20066．肖盛文《计算机网络实用教程》北京邮电大学出版社20107.杨义先《信息安全新技术》北京邮电大学出版社20028．Larryloeb《安全电子交易》人民邮电出版社20019.卿斯汉《网络安全检测的理论和实践》计算机系统应用200110.冯登国《信息安全核心理论与实践》国防工业出版社200011.肖遥《大中型网络入侵要案直击与防御》电子工业出版社201012.（美）海吉《网络安全技术与解决方案》人民邮电出版社201013.王景新《网络安全评估》第二版中国电力出版社2010第33页（共33页） 第33页（共33页）'