论文部分内容阅读
摘 要 目前,Internet技术发展迅速,错综复杂的IP网络为人们的生产生活带来很大的便利,但是随着生活水平的提高,人们对传统网络解决方案的处理能力提出了更高的要求。经过多年的探索实践基于IP虚拟专用网(VPN)解决方案凭借其费用低、拓展业务灵活性强等诸多优点成为众多企业的首选。本文对利用防火墙构建VPN设计进行探讨,并对利用防火墙构建VPN实例的步骤和技术进行详细的介绍。
关键词 防火墙;VPN;设计;技术
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)13-0076-01
网络给企事业单位的发展以及个人的生活带来了深远影响,通过Internet可以很方便的进行异地数据的存取,显著提高了企事业单位的工作效率和人们的生活质量。不过人们在享受高科技给生产生活带来便利的同时,不能忽视互联网开放所带来的数据安全问题。为了保证数据安全传输以及专业人员的正常访问,企业应重视利用防火墙构建VPN的应用。
1 利用防火墙构建VPN介绍
1.1 体系结构设计
对安全隧道代理(STA)而言,当VPN用户代理(UA)将请求建立在安全隧道基础上后,接受安全隧道代理请求,并通过VPN管理中心对其进行控制和管理。这种安全隧道可以建立在公用互联网上,用于用户端信息的透明传输,在这个过程中密钥的分配以及用户身份的认证和管理之间相互独立,彼此互不干扰,不过其都在VPN密钥分配中心以及用户认证管理中心管理下进行。用户代理主要包括用户认证(UAF)、访问控制(ACF)以及安全隧道终端功能(STF)三种形式,对于一套完整的VPN服务来讲应由以上三个部分提供用户高层应用服务,其中VPN安全传输平面(STP)由VPN管理中心(MC)和安全隧道代理(STA)组成,而安全传输平面的辅助平面公共功能平面(CFP)则有用户认证管理中心(UAAC)和VPN密钥分配中心(KDC)两部分构成,它除了负责密钥的分配和管理密钥外,还能提供相对独立的用户认证给VPN用户代理。用户认证管理中心(UAAC)和VPN用户代理进行直接联系,不但可以向安全隧道代理提供用户代理身份认证,而且必要情况下,还可以和安全隧道代理(STA)进行联系。另外,安全隧道代理和VPN用户代理还可以提供双向的身份认证。
1.2 软件介绍
本文介绍的设计方法建立在Check Point Firewall-1硬件防火墙基础之上,该类软件防火墙在市场上出现较早,其最大的优点是能够移植到不同平台上,例如可以在WinNT、Unix以及Win2K等平台上使用,除此之外,该防火墙还具备较强的中和性能。
2 使用防火墙构件VPN步骤介绍
Firewall-1中为了覆盖所有VPN操作,可将新的规则加入Policy Editor规则集中,例如为了在网络中建立加密通信通道,仅需要加入两条规则就能实现交换密钥的功能。另外,如有其他需求还应将Encrypt加入规则集中的Action这一列。具体操作流程介绍如下:①单击“开始”找到“程序”中的Check Point Management Clients这一行,单击其中的Policy Editor NGFP2,会出现Check Point Policy Editor的命令窗口,输入要实现功能的命令后,单击OK按钮保存设置。②找到Rules中的Add Rule用户添加规则,单击Below,同时找到Policy Editor的Rule Base面板中单击“桌面安全等级”即Desktop Security|Standard。③在Inbound Rules中找到Action单击后选择Query Column。④在Rule Base Query Clause对话框选择Not in list这一栏单击Encrypt,通过单击Add按钮将Encrypt添加到In List这一栏中,设置完毕后单击Close关闭,对于Outbound Rules的设置参考上述的③、④。⑤单击Rules,找到Add Rule,单击Below。⑥在Inbound Rules区域中,在列表的最下面位置找到新规则,并在Source这一栏中右击Any,选择Add后,将Add Object打开。⑦选择Local Gateway即本地网关,单击OK保存设置。⑧找到Inbound Rules区域,找到添加规则后,通过单击Below添加另一条VPN规则。⑨单击Remote Gateway后单击OK。⑩右击Action这一栏下的Accept,选择Encrypt。右击Track栏中的None,选择Log。在高亮显示的Inbound Rules区域中通过单击Rules、Below按钮添加另外的VPN规则。在Source栏中右击Any,选择Add后会出现Add Object对话框,单击Remote Gateway,然后单击OK。同样在高亮的Outbound Rules区域进行类似的设置,最后单击OK保存设置。右击Action栏中的Accept,单击Encrypt,并右击Track下的None,选择log,然后单击File文件按钮选择Save保存按钮,将设置的规则进行保存,最后选择File中的Exit将Check Point Policy Editor回到桌面。
3 实力模型关键技术
实力模型关键技术主要包括两方面内容:首先,建立VPN通道协议IPSec。IPSec保证了IP网络中信息传递的安全性,其主要有互联网密钥管理协议、认证协议头以及安全加载封装三要素组成,其中为了达到安全等级可以对安全加密封装和认证协议头进行组合或者分装使用,另外对于VPN来讲应注重认证和加密工作,以防止信息在Internet传播过程中被窃取。IPSec中使用很多密钥交换方法,例如数据加密标准(DES)等,密钥管理主要有自动和手动两种方式。其次,IPSec的实现介绍。IPSec可以借助共享网络对设备进行访问,这种功能在有关的服务器和主机中通过隧道模式或传送模式实现。另外,即便在压缩的数据隧道模式和原始IP地址中IPSec数据包仍能顺利的进行传输,不过当ESP在一台主机的传输且原始明文的IP头只加密数据时,这种传输包括UDP和TCP头两部分。
4 总结
用防火墙构件VPN时尤其应注意构建的传输协议能够保证传输数据的完整性、机密性和真实性,以此保证信息能够准确传达发送者的意图,并能防止偷听,获取数据的相关信息,使信息真实可靠为企业相关业务的顺利开展创造良好的条件。
参考文献
[1]许智力.关于利用防火墙构建VPN设计和应用思考[J].计算机光盘软件与应用,2013(03).
[2]崔艳莉,王建华,何良生.集成防火墙功能的VPN网关设计[J].信息安全与通信保密,2006(04).
关键词 防火墙;VPN;设计;技术
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)13-0076-01
网络给企事业单位的发展以及个人的生活带来了深远影响,通过Internet可以很方便的进行异地数据的存取,显著提高了企事业单位的工作效率和人们的生活质量。不过人们在享受高科技给生产生活带来便利的同时,不能忽视互联网开放所带来的数据安全问题。为了保证数据安全传输以及专业人员的正常访问,企业应重视利用防火墙构建VPN的应用。
1 利用防火墙构建VPN介绍
1.1 体系结构设计
对安全隧道代理(STA)而言,当VPN用户代理(UA)将请求建立在安全隧道基础上后,接受安全隧道代理请求,并通过VPN管理中心对其进行控制和管理。这种安全隧道可以建立在公用互联网上,用于用户端信息的透明传输,在这个过程中密钥的分配以及用户身份的认证和管理之间相互独立,彼此互不干扰,不过其都在VPN密钥分配中心以及用户认证管理中心管理下进行。用户代理主要包括用户认证(UAF)、访问控制(ACF)以及安全隧道终端功能(STF)三种形式,对于一套完整的VPN服务来讲应由以上三个部分提供用户高层应用服务,其中VPN安全传输平面(STP)由VPN管理中心(MC)和安全隧道代理(STA)组成,而安全传输平面的辅助平面公共功能平面(CFP)则有用户认证管理中心(UAAC)和VPN密钥分配中心(KDC)两部分构成,它除了负责密钥的分配和管理密钥外,还能提供相对独立的用户认证给VPN用户代理。用户认证管理中心(UAAC)和VPN用户代理进行直接联系,不但可以向安全隧道代理提供用户代理身份认证,而且必要情况下,还可以和安全隧道代理(STA)进行联系。另外,安全隧道代理和VPN用户代理还可以提供双向的身份认证。
1.2 软件介绍
本文介绍的设计方法建立在Check Point Firewall-1硬件防火墙基础之上,该类软件防火墙在市场上出现较早,其最大的优点是能够移植到不同平台上,例如可以在WinNT、Unix以及Win2K等平台上使用,除此之外,该防火墙还具备较强的中和性能。
2 使用防火墙构件VPN步骤介绍
Firewall-1中为了覆盖所有VPN操作,可将新的规则加入Policy Editor规则集中,例如为了在网络中建立加密通信通道,仅需要加入两条规则就能实现交换密钥的功能。另外,如有其他需求还应将Encrypt加入规则集中的Action这一列。具体操作流程介绍如下:①单击“开始”找到“程序”中的Check Point Management Clients这一行,单击其中的Policy Editor NGFP2,会出现Check Point Policy Editor的命令窗口,输入要实现功能的命令后,单击OK按钮保存设置。②找到Rules中的Add Rule用户添加规则,单击Below,同时找到Policy Editor的Rule Base面板中单击“桌面安全等级”即Desktop Security|Standard。③在Inbound Rules中找到Action单击后选择Query Column。④在Rule Base Query Clause对话框选择Not in list这一栏单击Encrypt,通过单击Add按钮将Encrypt添加到In List这一栏中,设置完毕后单击Close关闭,对于Outbound Rules的设置参考上述的③、④。⑤单击Rules,找到Add Rule,单击Below。⑥在Inbound Rules区域中,在列表的最下面位置找到新规则,并在Source这一栏中右击Any,选择Add后,将Add Object打开。⑦选择Local Gateway即本地网关,单击OK保存设置。⑧找到Inbound Rules区域,找到添加规则后,通过单击Below添加另一条VPN规则。⑨单击Remote Gateway后单击OK。⑩右击Action这一栏下的Accept,选择Encrypt。右击Track栏中的None,选择Log。在高亮显示的Inbound Rules区域中通过单击Rules、Below按钮添加另外的VPN规则。在Source栏中右击Any,选择Add后会出现Add Object对话框,单击Remote Gateway,然后单击OK。同样在高亮的Outbound Rules区域进行类似的设置,最后单击OK保存设置。右击Action栏中的Accept,单击Encrypt,并右击Track下的None,选择log,然后单击File文件按钮选择Save保存按钮,将设置的规则进行保存,最后选择File中的Exit将Check Point Policy Editor回到桌面。
3 实力模型关键技术
实力模型关键技术主要包括两方面内容:首先,建立VPN通道协议IPSec。IPSec保证了IP网络中信息传递的安全性,其主要有互联网密钥管理协议、认证协议头以及安全加载封装三要素组成,其中为了达到安全等级可以对安全加密封装和认证协议头进行组合或者分装使用,另外对于VPN来讲应注重认证和加密工作,以防止信息在Internet传播过程中被窃取。IPSec中使用很多密钥交换方法,例如数据加密标准(DES)等,密钥管理主要有自动和手动两种方式。其次,IPSec的实现介绍。IPSec可以借助共享网络对设备进行访问,这种功能在有关的服务器和主机中通过隧道模式或传送模式实现。另外,即便在压缩的数据隧道模式和原始IP地址中IPSec数据包仍能顺利的进行传输,不过当ESP在一台主机的传输且原始明文的IP头只加密数据时,这种传输包括UDP和TCP头两部分。
4 总结
用防火墙构件VPN时尤其应注意构建的传输协议能够保证传输数据的完整性、机密性和真实性,以此保证信息能够准确传达发送者的意图,并能防止偷听,获取数据的相关信息,使信息真实可靠为企业相关业务的顺利开展创造良好的条件。
参考文献
[1]许智力.关于利用防火墙构建VPN设计和应用思考[J].计算机光盘软件与应用,2013(03).
[2]崔艳莉,王建华,何良生.集成防火墙功能的VPN网关设计[J].信息安全与通信保密,2006(04).