论文部分内容阅读
摘要:随着高校规模的扩大,网络更加复杂,安全性的要求也不断提高。该文提出在高校中通过VPN技术和IPSec技术实现网络的灵活性、管理性和安全性。首先介绍VPN的技术特点,分析安全性,结合IPSec提供有效安全的服务。
关键词:VPN;IPSec;安全技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)22-6189-02
The Application of VPN and IPSec technology in the College Networks
GU A-han1, ZHAO Li-hui2
(1.Northeast Institute of Electronic Technology, Jinzhou 121000, China; 2.College of Electrical Engineering, Liaoning University of Technology, Jinzhou 121000, China)
Abstract: As the university is more scope, the network is more complexandsecurity requirements are also rising.The paper adopts that network is flexible, managerial and secure and by usingIPSecand VPN technology in the universities. Firstlythe technical features ofVPNintroduced, safety analyzed, combined with IPSec to provide effective security services.
Key words: VPN; IPSec; safety technology
随着招生规模的不断扩大,许多高校都建立了分布城市各个地区的分校,导致校园网络地域更加广泛。同时校区网络的资源需要共享,彼此之间的通信量又很大,造成网络通信更加复杂。如何解决网络构建问题成为热点问题。这不仅要考虑网络的安全性和可管理性,也要考虑网络的经济型。本文提出基于VPN和IPSec来实现校区网络之间的通信问题,为高校网络的构建提出解决方案。
1 高校网络的现状分析
1.1 网络安全性问题
1)非法信息、病毒的存在:校园网规模的不断扩大,网络内的接入点不断增多,这为网络内非法信息的传播提供了条件,同时病毒的流行也有扩大的可能。如何保证校园内网络的信息合法和安全性,也要保证外部传输来的信息安全成为解决网络问题的当务之急。
2)黑客攻击:校园网在扩大的同时,不可避免会出现黑客攻击的问题,虽然设置防火墙等安全措施,但由于规模的扩大,设备的缺陷,或多或少会被黑客攻击,这些攻击又可能造成设备故障造成网络的安全性降低,因此高水平的黑客是校园要防范的问题之一。
1.2 高校网络的常规安全解决办法
1)设置防火墙:“防火墙”是计算机网络中用于防范外部攻击的常用手段,不论是软件或硬件都可以作为防火墙设施,在校园网络中设置防火墙是采用的必要手段之一。
2)建立适当的账号管理机制
账号安全的安全是最重要的,但也最容易出现问题尤其在高校网络中。因为学生人数太多,不可能分配很特殊的上网账号和密码。常规解决办法有禁用登录时间、禁止远程登录、审核登录账号的操作细节、设置更安全的密码等措施。
3)禁用一些端口和服务:服务器中开放的常用端口外,禁用一些不需要的端口,以防止非法的访问或试探,一些不用的服务停用,这样可以减少不安全的访问和攻击。
4)网络划分为子网:在网络管理中,可以通过VLAN将网络按功能划分成若干子网,区别教师网络和学生网络,细化办公管理网络,在一定程度上减少网络互访问性,增加网络安全。
以上的存在的问题和解决的办法,面对着日益庞大的校园网络有些捉襟见肘。网络的资源有些是公开的,有些是有权限的,而地域范围和计算机的数目在不断扩大。因此,对于范围扩大的网络VPN技术和IPSec技术是解决跨区域范围实现局域网络互访的良好解决方案,下面介绍一下两种技术的特点。
2 VPN、IPSec技术
2.1 VPN
VPN,意为虚拟专用网络,利用公网来构建专用网络,网络运行于共享的IP网之上,通过建立数据隧道来完成数据通信,“加密管道”来保证数据的安全传输。对于校园网好比在各个校园用一条专线连接起到专用、虚拟的网络通信效果。每个用户的通信也在VPN之上,通过VPN的方式可以增强网络的安全性、保密性、可管理性,保证校园网用户之间连接的可靠性。
IP隧道用于VPN中,生成的隧道是安全的,但隧道是在公用的网络之上,不是专用的,信道本身也有良好的管理性能。协议来完成数据传输的安全性,通过数据的加密、封包、协议再嵌套等操作完成。特殊的协议保证数据传输的安全性。
2.2 IPSec
1)IPSec协议:IPSec(Internet 协议安全性)协议不是一个单独的协议,是一个协议的集合,确保在IP层数据的安全性。协议由下面几个部分组成:网络认证协议、封装安全载荷协议、密钥管理协议和用于网络认证及加密的一些算法等。协议规定使用怎样的安全算法、密钥,对上层提供访问控制数据源认证、数据加密等服务,以保证网络的安全。
2)封包协议:IPsec 的包封装模型是整个协议的重要功能,负责信息接收和发送者的私网地址变换成 Internet 上的公网地址,把双方需要通信的数据信息转换为标准的数据。两个距离较远处于异地的局域网本来不能通讯的,通过出口处IPSec VPN设备,实现数据的封装、打包,就如同局域网对局域网的通讯。
3)加密协议:为了保证数据安全,IPSec协议通过加密技术来完成对数据的封装方法是把要发送的数据进行加密,在目的地再把数据解密,这种方式更好地保证数据的安全传输。Internet 出口的IPSecVPN设备负责数据的加密和解密。
4)数据认证协议:通过加密后的数据在传输中也可能被伪造和篡改,数据包传输到目的地址,内容可能发生变化,而对于收信方无从知道知道数据包是经过修改的,这样可能接收的就不是安全的数据。为解决这个问题,IPSec使用算法计算包文特征,对经过VPN传输的数据进行认证,报文经过还原,需要检查这个处理过特征码,如果匹配,认为是安全的数据,若不匹配则数据就有可能被篡改就不是安全的。
5)身份认证协议:认证身份就是对用户进行鉴权。鉴权方式采用预设共享密钥方法,这种方法通过通讯双方在发送数据前约定加密解密的密码。
3 高校网络VPN、IPSec的实现
3.1 校园网拓扑图
学校有2个校区,通过VPN组网,网络出口采用光纤接入互联网,在校园网络出口处各安装一台VPN IPSec设备,系统首先向IPSec中心认证平台发送鉴权申请,经中心鉴定确认合法终端后,根据预先制定的策略向校区通信,这时就好像局域网一样进行数据通信,通信是经过加密的实现可管理性、安全性。
3.2 VPN 服务器配置
服务器的配置要经过以下过程完成:
1)在Server2008中打开路由和远程访问功能;打开后窗口右边右击本机主机名称,选择配置并启用路由和远程访问,打开配置功能。
2)在配置中,打开虚拟专用网络“VPN服务器”,下一步后,打开远程客户协议,选择验证远程访问,VPN 客户端添加数据协议,下一步后,打开连接到Internet 或周边网络上的接口相对应的连接。
3)VPN服务器设置IP有两种方式:DHCP来获取远程访问VPN 客户端的IP地址、使用一个或多个静态地址范围,为远程客户进行 IP 地址分配。设置为:191.168.0.100。
4)端口设置,在端口属性对话框中,选中VPN端口设备:这里选择WAN微型端口(PPTP)和 WAN 微型端口(L2TP),然后点击配置;在对话框中,选中远程访问连接,允许VPN连接。
3.3 VPN 客户端配置
配置需要以下两个过程:
1)打开连接向导,点下一步接着在网络连接类型窗口里点选择,“连接到我的工作场所的网络”。在连接方式窗口里选择虚拟专用网络连接,然后为此连接命名。
2)打开VPN服务器选择窗口,需要输入VPN服务端的固定内容,这里有两种方式:固定 IP 、动态域名如图1所示。
4 结论
高校网络的跨区域决定了需要更加可靠安全的技术作为支撑,本文提出的基于VPN、IPSec解决方案为复杂跨地区局域网的实现提供可能。这种网络可以通过VPN方式传输局域网数据,网络的安全可以通过认证、加密等技术来保证。实践表明这种采用VPN IPSec的网络构建方案可以降低网络建设的费用,提高网络的安全性,方便校园内部网IP地址的划分,实现广泛的资源共享和移动办公。
参考文献:
[1] Gholson S. Trilobite Systems. State MachineDesignTechniquesFor Verilog and VHDL.Synopsys JournalofHigh-level Design. Sept.1994.
[2] Wilson C, Peter Dock.虚拟专用网的创建与实现[M].钟鸣,魏允韬,译.北京:机械工业出版社,2000.
[3] 封浩宇.IP-VPN 在电信运营网络中的实现[J].电信科技,2002(4):13-15.
[4] 舒伟权.浅析校园网中VPN技术的应用[J].浙江国际海运职业技术学院学报.2008(4):1-3.
关键词:VPN;IPSec;安全技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)22-6189-02
The Application of VPN and IPSec technology in the College Networks
GU A-han1, ZHAO Li-hui2
(1.Northeast Institute of Electronic Technology, Jinzhou 121000, China; 2.College of Electrical Engineering, Liaoning University of Technology, Jinzhou 121000, China)
Abstract: As the university is more scope, the network is more complexandsecurity requirements are also rising.The paper adopts that network is flexible, managerial and secure and by usingIPSecand VPN technology in the universities. Firstlythe technical features ofVPNintroduced, safety analyzed, combined with IPSec to provide effective security services.
Key words: VPN; IPSec; safety technology
随着招生规模的不断扩大,许多高校都建立了分布城市各个地区的分校,导致校园网络地域更加广泛。同时校区网络的资源需要共享,彼此之间的通信量又很大,造成网络通信更加复杂。如何解决网络构建问题成为热点问题。这不仅要考虑网络的安全性和可管理性,也要考虑网络的经济型。本文提出基于VPN和IPSec来实现校区网络之间的通信问题,为高校网络的构建提出解决方案。
1 高校网络的现状分析
1.1 网络安全性问题
1)非法信息、病毒的存在:校园网规模的不断扩大,网络内的接入点不断增多,这为网络内非法信息的传播提供了条件,同时病毒的流行也有扩大的可能。如何保证校园内网络的信息合法和安全性,也要保证外部传输来的信息安全成为解决网络问题的当务之急。
2)黑客攻击:校园网在扩大的同时,不可避免会出现黑客攻击的问题,虽然设置防火墙等安全措施,但由于规模的扩大,设备的缺陷,或多或少会被黑客攻击,这些攻击又可能造成设备故障造成网络的安全性降低,因此高水平的黑客是校园要防范的问题之一。
1.2 高校网络的常规安全解决办法
1)设置防火墙:“防火墙”是计算机网络中用于防范外部攻击的常用手段,不论是软件或硬件都可以作为防火墙设施,在校园网络中设置防火墙是采用的必要手段之一。
2)建立适当的账号管理机制
账号安全的安全是最重要的,但也最容易出现问题尤其在高校网络中。因为学生人数太多,不可能分配很特殊的上网账号和密码。常规解决办法有禁用登录时间、禁止远程登录、审核登录账号的操作细节、设置更安全的密码等措施。
3)禁用一些端口和服务:服务器中开放的常用端口外,禁用一些不需要的端口,以防止非法的访问或试探,一些不用的服务停用,这样可以减少不安全的访问和攻击。
4)网络划分为子网:在网络管理中,可以通过VLAN将网络按功能划分成若干子网,区别教师网络和学生网络,细化办公管理网络,在一定程度上减少网络互访问性,增加网络安全。
以上的存在的问题和解决的办法,面对着日益庞大的校园网络有些捉襟见肘。网络的资源有些是公开的,有些是有权限的,而地域范围和计算机的数目在不断扩大。因此,对于范围扩大的网络VPN技术和IPSec技术是解决跨区域范围实现局域网络互访的良好解决方案,下面介绍一下两种技术的特点。
2 VPN、IPSec技术
2.1 VPN
VPN,意为虚拟专用网络,利用公网来构建专用网络,网络运行于共享的IP网之上,通过建立数据隧道来完成数据通信,“加密管道”来保证数据的安全传输。对于校园网好比在各个校园用一条专线连接起到专用、虚拟的网络通信效果。每个用户的通信也在VPN之上,通过VPN的方式可以增强网络的安全性、保密性、可管理性,保证校园网用户之间连接的可靠性。
IP隧道用于VPN中,生成的隧道是安全的,但隧道是在公用的网络之上,不是专用的,信道本身也有良好的管理性能。协议来完成数据传输的安全性,通过数据的加密、封包、协议再嵌套等操作完成。特殊的协议保证数据传输的安全性。
2.2 IPSec
1)IPSec协议:IPSec(Internet 协议安全性)协议不是一个单独的协议,是一个协议的集合,确保在IP层数据的安全性。协议由下面几个部分组成:网络认证协议、封装安全载荷协议、密钥管理协议和用于网络认证及加密的一些算法等。协议规定使用怎样的安全算法、密钥,对上层提供访问控制数据源认证、数据加密等服务,以保证网络的安全。
2)封包协议:IPsec 的包封装模型是整个协议的重要功能,负责信息接收和发送者的私网地址变换成 Internet 上的公网地址,把双方需要通信的数据信息转换为标准的数据。两个距离较远处于异地的局域网本来不能通讯的,通过出口处IPSec VPN设备,实现数据的封装、打包,就如同局域网对局域网的通讯。
3)加密协议:为了保证数据安全,IPSec协议通过加密技术来完成对数据的封装方法是把要发送的数据进行加密,在目的地再把数据解密,这种方式更好地保证数据的安全传输。Internet 出口的IPSecVPN设备负责数据的加密和解密。
4)数据认证协议:通过加密后的数据在传输中也可能被伪造和篡改,数据包传输到目的地址,内容可能发生变化,而对于收信方无从知道知道数据包是经过修改的,这样可能接收的就不是安全的数据。为解决这个问题,IPSec使用算法计算包文特征,对经过VPN传输的数据进行认证,报文经过还原,需要检查这个处理过特征码,如果匹配,认为是安全的数据,若不匹配则数据就有可能被篡改就不是安全的。
5)身份认证协议:认证身份就是对用户进行鉴权。鉴权方式采用预设共享密钥方法,这种方法通过通讯双方在发送数据前约定加密解密的密码。
3 高校网络VPN、IPSec的实现
3.1 校园网拓扑图
学校有2个校区,通过VPN组网,网络出口采用光纤接入互联网,在校园网络出口处各安装一台VPN IPSec设备,系统首先向IPSec中心认证平台发送鉴权申请,经中心鉴定确认合法终端后,根据预先制定的策略向校区通信,这时就好像局域网一样进行数据通信,通信是经过加密的实现可管理性、安全性。
3.2 VPN 服务器配置
服务器的配置要经过以下过程完成:
1)在Server2008中打开路由和远程访问功能;打开后窗口右边右击本机主机名称,选择配置并启用路由和远程访问,打开配置功能。
2)在配置中,打开虚拟专用网络“VPN服务器”,下一步后,打开远程客户协议,选择验证远程访问,VPN 客户端添加数据协议,下一步后,打开连接到Internet 或周边网络上的接口相对应的连接。
3)VPN服务器设置IP有两种方式:DHCP来获取远程访问VPN 客户端的IP地址、使用一个或多个静态地址范围,为远程客户进行 IP 地址分配。设置为:191.168.0.100。
4)端口设置,在端口属性对话框中,选中VPN端口设备:这里选择WAN微型端口(PPTP)和 WAN 微型端口(L2TP),然后点击配置;在对话框中,选中远程访问连接,允许VPN连接。
3.3 VPN 客户端配置
配置需要以下两个过程:
1)打开连接向导,点下一步接着在网络连接类型窗口里点选择,“连接到我的工作场所的网络”。在连接方式窗口里选择虚拟专用网络连接,然后为此连接命名。
2)打开VPN服务器选择窗口,需要输入VPN服务端的固定内容,这里有两种方式:固定 IP 、动态域名如图1所示。
4 结论
高校网络的跨区域决定了需要更加可靠安全的技术作为支撑,本文提出的基于VPN、IPSec解决方案为复杂跨地区局域网的实现提供可能。这种网络可以通过VPN方式传输局域网数据,网络的安全可以通过认证、加密等技术来保证。实践表明这种采用VPN IPSec的网络构建方案可以降低网络建设的费用,提高网络的安全性,方便校园内部网IP地址的划分,实现广泛的资源共享和移动办公。
参考文献:
[1] Gholson S. Trilobite Systems. State MachineDesignTechniquesFor Verilog and VHDL.Synopsys JournalofHigh-level Design. Sept.1994.
[2] Wilson C, Peter Dock.虚拟专用网的创建与实现[M].钟鸣,魏允韬,译.北京:机械工业出版社,2000.
[3] 封浩宇.IP-VPN 在电信运营网络中的实现[J].电信科技,2002(4):13-15.
[4] 舒伟权.浅析校园网中VPN技术的应用[J].浙江国际海运职业技术学院学报.2008(4):1-3.