论文部分内容阅读
[摘要]现在很多连接都被称作VPN(Virtual Private Ntwork),让很多人分不清楚。那么,一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但是它却能够实现专用网络的功能,并且具有保密,安全等主要特点。
[关键词]VPN 接入 隧道技术 安全技术
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2009)0210051-01
一、VPN
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
二、VPN的隧道技术与安全技术
从总体来说,YPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,vPN主要包含隧道技术与安全技术。目前VPN隧道协议有四种:
1、点对点隧道协议PPTP。PPTP(Point to Point Tunneling Protocol)协议将控制包与数据包分开。控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE(通用路由协议封装) v2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
2、第二层隧道协议L2TP。L2TP(Layer 2 Tunneling Protocol)协议是国际标准隧道协议。它结合了PPTP协议以及第二层转发L2F(Layer 2Forwarding,二层转发协议)协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是,L2TP没有任何加密措施,更多的是和IPSec协议结合使用,提供隧道验证。
3、IPSec协议。IPSec(网络协议安全)协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。
现在一种发展趋势,是将L2TP和IPSec结合起来,即用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN都采用这类技术。它的优点是定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上VPN之間的互操作性;不足之处在于,除了包过滤外,它没有指定其他访问控制方法,对于采用NAT(网络地址翻译)方式访问公共网络的情况难以处理,为此最适合于可信LAN到LAN之间VPN的场合应用。
4、SOCKS v5协议。SOCKS v5协议的优势在于访问控制,因此适用于安全性较高的VPN。SOCKS v5现在被IETF(互联网工程任务组),建议作为建立VPN的标准。它的优点是能够非常详细地进行访问控制,即在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术;SOCKS v5可根据规则过滤数据流,包括Java Applet~Actives控制。
(1)安全技术:VPN常常需要在不安全的Internet中通信,通信的内容可能涉及企业的机密数据,YPN中的安全技术通常由加密、认证和密钥交换与管理技术组成。
(2)认证技术:认证技术防止数据的伪造和被篡改。它采用一种称为“摘要”的技术。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有验证数据的完整性和用户认证两种用途。
(3)加密技术:IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法,如DES(Data Encryption Stamdard)、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。
(4)密钥交换与管理:VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置;另一种采用密钥交换协议动态分发。目前主要的密钥交换与管理标准有IKE(互联网密钥交换)、SKIP(互联网简单密钥管理)和Oakley。
三、VPN的架设与接入
连接步骤:
1、启用xp的远程访问组件,该组件默认不启用。打开服务services.msc,找到Routing and Remote Access服务,设置启动类型为自动,并启动服务。
2、在“网上邻居”上点右键,点击“属性”,会看到“传入的连接”。
3、双击打开属性,勾选“虚拟专用网”下的复选框。打开“用户页”,选择允许远程拨入的用户,或者新建用户。打开网络页,确保计算机上已经安装了IPX/SPX协议。服务器上设置完成。
4、打开客户机,打开网上邻居,单击创建一个新的连接。点击“下一步”,单击“连接到我的工作场所的网络”,单击“虚拟专用网络连接”,输入公司名,单击下一步,输入VPN服务器的IP地址,单击完成客户机创建连接完毕。
5、打开刚刚创建好的连接,输入允许介入的用户名和密码,单击“连接”,网络连接后,客户机成功接入XP VPN服务器。
6、查看客户机的属性,连接时间,流量。服务器自动生成一个169.254.0.0/16网段的地址,客户机被分配了一个给网段的地址,可以进行正常通信。
7、查看服务器的属性。在服务器上可以看到,现实一个客户已连接。
8、连接完成。
上面的步骤证明了XP完全可以作为VPN服务器使用,并且在ADSL拨号网络上实验成功。从整个过程和实验结果看,XP系统的“传入的连接”是Windows2003 RRA服务中VPN功能的精简版,比如客户端IP分配无法设置,客户端不能进行时间等拨入限制,而且同时只能有一个用户接入,看似用处不大,但是作为个人办公操作系统来说,加之操作简单不需要任何第三方软件和复杂的设置,对于小型办公环境或家庭网络~-VPN功能已经足够使用了。
四、总结
Windows系统自带的VPN服务允许用户或企业通过公共或专用网络与远端服务器,分支机构,或其他公司建立安全和可靠的连接。虽然上述通讯过程发生公共互联网络上,但是用户端如同使用专用网络进行通讯一样建立起安全的连接。使用Windows系统的VPN技术可以解决在当今远程通讯量日益增大,企业全球运作分布广泛的情况下,员工需要访问中央资源,企业相互之间必须能够进行及时和有效的通讯的问题。
[关键词]VPN 接入 隧道技术 安全技术
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2009)0210051-01
一、VPN
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
二、VPN的隧道技术与安全技术
从总体来说,YPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,vPN主要包含隧道技术与安全技术。目前VPN隧道协议有四种:
1、点对点隧道协议PPTP。PPTP(Point to Point Tunneling Protocol)协议将控制包与数据包分开。控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GRE(通用路由协议封装) v2协议中。目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
2、第二层隧道协议L2TP。L2TP(Layer 2 Tunneling Protocol)协议是国际标准隧道协议。它结合了PPTP协议以及第二层转发L2F(Layer 2Forwarding,二层转发协议)协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。但是,L2TP没有任何加密措施,更多的是和IPSec协议结合使用,提供隧道验证。
3、IPSec协议。IPSec(网络协议安全)协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。
现在一种发展趋势,是将L2TP和IPSec结合起来,即用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN都采用这类技术。它的优点是定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上VPN之間的互操作性;不足之处在于,除了包过滤外,它没有指定其他访问控制方法,对于采用NAT(网络地址翻译)方式访问公共网络的情况难以处理,为此最适合于可信LAN到LAN之间VPN的场合应用。
4、SOCKS v5协议。SOCKS v5协议的优势在于访问控制,因此适用于安全性较高的VPN。SOCKS v5现在被IETF(互联网工程任务组),建议作为建立VPN的标准。它的优点是能够非常详细地进行访问控制,即在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKS v5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术;SOCKS v5可根据规则过滤数据流,包括Java Applet~Actives控制。
(1)安全技术:VPN常常需要在不安全的Internet中通信,通信的内容可能涉及企业的机密数据,YPN中的安全技术通常由加密、认证和密钥交换与管理技术组成。
(2)认证技术:认证技术防止数据的伪造和被篡改。它采用一种称为“摘要”的技术。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有验证数据的完整性和用户认证两种用途。
(3)加密技术:IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法,如DES(Data Encryption Stamdard)、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。
(4)密钥交换与管理:VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置;另一种采用密钥交换协议动态分发。目前主要的密钥交换与管理标准有IKE(互联网密钥交换)、SKIP(互联网简单密钥管理)和Oakley。
三、VPN的架设与接入
连接步骤:
1、启用xp的远程访问组件,该组件默认不启用。打开服务services.msc,找到Routing and Remote Access服务,设置启动类型为自动,并启动服务。
2、在“网上邻居”上点右键,点击“属性”,会看到“传入的连接”。
3、双击打开属性,勾选“虚拟专用网”下的复选框。打开“用户页”,选择允许远程拨入的用户,或者新建用户。打开网络页,确保计算机上已经安装了IPX/SPX协议。服务器上设置完成。
4、打开客户机,打开网上邻居,单击创建一个新的连接。点击“下一步”,单击“连接到我的工作场所的网络”,单击“虚拟专用网络连接”,输入公司名,单击下一步,输入VPN服务器的IP地址,单击完成客户机创建连接完毕。
5、打开刚刚创建好的连接,输入允许介入的用户名和密码,单击“连接”,网络连接后,客户机成功接入XP VPN服务器。
6、查看客户机的属性,连接时间,流量。服务器自动生成一个169.254.0.0/16网段的地址,客户机被分配了一个给网段的地址,可以进行正常通信。
7、查看服务器的属性。在服务器上可以看到,现实一个客户已连接。
8、连接完成。
上面的步骤证明了XP完全可以作为VPN服务器使用,并且在ADSL拨号网络上实验成功。从整个过程和实验结果看,XP系统的“传入的连接”是Windows2003 RRA服务中VPN功能的精简版,比如客户端IP分配无法设置,客户端不能进行时间等拨入限制,而且同时只能有一个用户接入,看似用处不大,但是作为个人办公操作系统来说,加之操作简单不需要任何第三方软件和复杂的设置,对于小型办公环境或家庭网络~-VPN功能已经足够使用了。
四、总结
Windows系统自带的VPN服务允许用户或企业通过公共或专用网络与远端服务器,分支机构,或其他公司建立安全和可靠的连接。虽然上述通讯过程发生公共互联网络上,但是用户端如同使用专用网络进行通讯一样建立起安全的连接。使用Windows系统的VPN技术可以解决在当今远程通讯量日益增大,企业全球运作分布广泛的情况下,员工需要访问中央资源,企业相互之间必须能够进行及时和有效的通讯的问题。