vpn技術論文范文

導語：如何才能寫好一篇vpn技術論文，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：虛擬專用網vpn遠程訪問網絡安全

引言

隨著信息時代的來臨，企業的發展也日益呈現出產業多元化、結構分布化、管理信息化的特征。計算機網絡技術不斷提升，信息管理范圍不斷擴大，不論是企業內部職能部門，還是企業外部的供應商、分支機構和外出人員，都需要同企業總部之間建立起一個快速、安全、穩定的網絡通信環境。怎樣建立外部網絡環境與內部網絡環境之間的安全通信，實現企業外部分支機構遠程訪問內部網絡資源，成為當前很多企業在信息網絡化建設方面亟待解決的問題。

一、VPN技術簡介

VPN（VirtualPrivateNetwork）即虛擬專用網絡，指的是依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商）在公用網絡中建立專用的數據通信網絡的技術，通過對網絡數據的封裝和加密傳輸，在公用網絡上傳輸私有數據的專用網絡。在隧道的發起端（即服務端），用戶的私有數據經過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數據經過拆封和解密之后安全地到達用戶端。

VPN可以提供多樣化的數據、音頻、視頻等服務以及快速、安全的網絡環境，是企業網絡在互聯網上的延伸。該技術通過隧道加密技術達到類似私有網絡的安全數據傳輸功能，具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問，通過安全的數據通道將企業分支機構、遠程用戶、現場服務人員等跟公司的企業網連接起來，構成一個擴展的公司企業網，此外它還提供了對移動用戶和漫游用戶的支持，使網絡時代的移動辦公成為現實。

隨著互聯網技術和電子商務的蓬勃發展，基于Internet的商務應用在企業信息管理領域得到了長足發展。根據企業的商務活動，需要一些固定的生意伙伴、供應商、客戶也能夠訪問本企業的局域網，從而簡化信息傳遞的路徑，加快信息交換的速度，提高企業的市場響應速度和決策速度。同時，圍繞企業自身的發展戰略，企業的分支機構越來越多，企業需要與各分支機構之間建立起信息相互訪問的渠道。面對越來越復雜的網絡應用和日益突出的信息處理問題，VPN技術無疑給我們提供了一個很好的解決思路。VPN可以幫助遠程用戶同公司的內部網建立可信的安全連接，并保證數據的安全傳輸，通過將數據流轉移到低成本的網絡上，大幅度地減少了企業、分支機構、供應商和客戶花在信息傳遞環節的時間，降低了企業局域網和Internet安全對接的成本。VPN的應用建立在一個全開放的Internet環境之中，這樣就大大簡化了網絡的設計和管理，滿足了不斷增長的移動用戶和Internet用戶的接入，以實現安全快捷的網絡連接。

二、基于Internet的VPN網絡架構及安全性分析

VPN技術類型有很多種，在互聯網技術高速發展的今天，可以利用Internet網絡技術實現VPN服務器架構以及客戶端連接應用，基于Internet環境的VPN技術具有成本低、安全性好、接入方便等特點，能夠很好的滿足企業對VPN的常規需求。

2.1Internet環境下的VPN網絡架構Internet環境下的VPN網絡包括VPN服務器、VPN客戶端、VPN連接、隧道等幾個重要環節。在VPN服務器端，用戶的私有數據經過隧道協議和和數據加密之后在Internet上傳輸，通過虛擬隧道到達接收端，接收到的數據經過拆封和解密之后安全地傳送給終端用戶，最終形成數據交互。基于Internet環境的企業VPN網絡拓撲結構。

2.2VPN技術安全性分析VPN技術主要由三個部分組成：隧道技術，數據加密和用戶認證。隧道技術定義數據的封裝形式，并利用IP協議以安全方式在Internet上傳送；數據加密保證敏感數據不會被盜取；用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術、加密協議和安全密鑰來實現的，以此確保遠程客戶端能夠安全地訪問VPN服務器。

在運行性能方面，隨著企業電子商務活動的激增，信息處理量日益增加，網絡擁塞的現象經常發生，這給VPN性能的穩定帶來極大的影響。因此制定VPN方案時應考慮到能夠對網絡通信進行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略，分配基于數據傳輸重要性的接口帶寬，這樣既能滿足重要數據優先應用的原則，又不會屏蔽低優先級的應用。考慮到網絡設施的日益完善、網絡應用程序的不斷增加、網絡用戶數量的快速增長，對與復雜的網絡管理、網絡安全、權限分配的綜合處理能力是VPN方案應用的關鍵。因此VPN方案要有一個固定的管理策略以減輕管理、報告等方面的負擔，管理平臺要有一個定義安全策略的簡單方法，將安全策略進行合理分布，并能管理大量網絡設備，確保整個運行環境的安全穩定。

三、Windows環境下VPN網絡的設計與應用

企業利用Internet網絡技術和Windows系統設計出VPN網絡，無需鋪設專用的網絡通訊線路，即可實現遠程終端對企業資源的訪問和共享。在實際應用中，VPN服務端需要建立在Windows服務器的運行環境中，客戶端幾乎適用于所有的Windows操作系統。下面以Windows2003系統為例介紹VPN服務器與客戶端的配置。

3.1Windows2003系統中VPN服務器的安裝配置在Windows2003系統中VPN服務稱之為“路由和遠程訪問”，需要對此服務進行必要的配置使其生效。

3.1.1VPN服務的配置。桌面上選擇“開始”“管理工具”“路由和遠程訪問”，打開“路由和遠程訪問”服務窗口；鼠標右鍵點擊本地計算機名，選擇“配置并啟用路由和遠程訪問”；在出現的配置向導窗口點下一步，進入服務選擇窗口；標準VPN配置需要兩塊網卡（分別對應內網和外網），選擇“遠程訪問（撥號或VPN）”；外網使用的是Internet撥號上網，因此在彈出的窗口中選擇“VPN”；下一步連接到Internet的網絡接口，此時會看到服務器上配置的兩塊網卡及其IP地址，選擇連接外網的網卡；在對遠程客戶端指派地址的時候，一般選擇“來自一個指定的地址范圍”，根據內網網段的IP地址，新建一個指定的起始IP地址和結束IP地址。最后，“設置此服務器與RADIUS一起工作”選否。VPN服務器配置完成。

3.1.2賦予用戶撥入權限設置。默認的系統用戶均被拒絕撥入到VPN服務器上，因此需要為遠端用戶賦予撥入權限。在“管理工具”中打開“計算機管理”控制臺；依次展開“本地用戶和組”“用戶”，選中用戶并進入用戶屬性設置；轉到“撥入”選項卡，在“選擇訪問權限(撥入或VPN)”選項組下選擇“允許訪問”，即賦予了遠端用戶撥入VPN服務器的權限。

3.2VPN客戶端配置VPN客戶端適用范圍更廣，這里以Windows2003為例說明，其它的Windows操作系統配置步驟類似。

在桌面“網上鄰居”圖標點右鍵選屬性，之后雙擊“新建連接向導”打開向導窗口后點下一步；接著在“網絡連接類型”窗口里選擇“連接到我的工作場所的網絡”；在網絡連接方式窗口里選擇“虛擬專用網絡連接”；接著為此連接命名后點下一步；在“VPN服務器選擇”窗口里，輸入VPN服務端地址，可以是固定IP，也可以是服務器域名；點下一步依次完成客戶端設置。在連接的登陸窗口中輸入服務器所指定的用戶名和密碼，即可連接上VPN服務器端。:

3.3連接后的共享操作當VPN客戶端撥入連接以后，即可訪問服務器所在局域網里的信息資源，就像并入局域網一樣適用。遠程用戶既可以使用企業OA，ERP等信息管理系統，也可以使用文件共享和打印等共享資源。

四、小結

現代化企業在信息處理方面廣泛地應用了計算機互聯網絡，在企業網絡遠程訪問以及企業電子商務環境中，虛擬專用網(VPN)技術為信息集成與優化提供了一個很好的解決方案。VPN技術利用在公共網絡上建立安全的專用網絡，從而為企業用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務，是企業內部網的擴展和延伸。VPN技術在企業資源管理與配置、信息的共享與交互、供應鏈集中管理、電子商務等方面都具有很高的應用價值，在未來的企業信息化建設中具有廣闊的前景。

參考文獻:

篇2

      本篇校園網論文介紹加強對新技術在校園網中的應用理論研究，對實際的發展有著重要的指導性。 

1 MPLS技術原理及體系結構分析 

1.1 MPLS技術原理分析 

從實際來看，在傳統以IP分組轉發的技術方面，主要是在IP分組報頭基礎上，通過IP地址在路由表當中實施的最長匹配查找。MPLS技術將網絡層靈活的路由選擇功能及數據鏈路層高速交換性能特點進行的完美結合，這樣就對以往的以IP分組技術為主的局限性得到了優化。另外在這一技術上同時也引進了標簽概念，這是比較短并方便處置以及對拓撲信息沒有包含的信息內容。這一原理是對標簽交換機制進行的引入，也就是將路由控制以及數據轉發等進行單獨化的處理，從而就為每個IP數據包提供了固定長度標簽，就決定了數據包路徑及優先級。  　    　1.2 MPLS體系結構分析 

MPLS這一體系結構當中，MPLS所使用的短而定長標簽封裝分組在數據平面實現了快速轉發功能，并在這一平面有著IP網絡的強大靈活路由功能，對實際所需要的網絡需求能夠得以有效滿足。其體系結構圖示如下圖1所示，針對核心的LSR主要是在平面進行標簽的分組并轉發，在LER方面主要是轉發平面所進行實施的工作任務，同時也包含了對傳統IP分組的轉發。 

通過上圖就能夠看出，對這一體系結構起到支持的主要就是顯示路由以及逐跳路由，在對MPLS進行實際應用的過程中，實行標記分發過程中也需要對顯示路由進行規定，但這一路由并不會對每個IP分組進行規定，這樣就會使得MPLS顯示路由會比傳統IP源點路由在作業額效率上得到很大程度的提升。不僅如此，在對MPLS LSP進行構建的過程中，能夠通過有序LSP以及獨立LSP進行控制。 

2 MPLS VPN技術在校園網中的規劃設計及應用 

2.1 MPLS VPN技術在校園網中的規劃設計分析 

通過對相關的技術加以借鑒對校園網要進行詳細的規劃設計，通過實踐之后主要是采取了MPLS/BGP VPN技術作為是實現MPLS VPN業務技術路線所構建的各業務系統虛擬獨立網絡，而后在各業務系統部門間的可控互通訪問。另外就是在MPLS VPN技術支持下通過對IP VPN部署來進行提供安全保證，構建能夠實現全網電子信息資源庫，以及通過H3C網管平臺技術進行實現網管中心對全網MPLS VPN業務的統一管理。具體的規劃設計能夠通過分校區規劃以及主校區規劃、共享數據VPN規劃的方式進行實現。 

2.2 MPLS VPN技術在校園網中的實際應用 

通過對MPLS VPN技術在校園網中的簡單規劃設計的分析，主要是能夠在實際中得到應用。在具體應用中主要是將局域網交換技術作為重要的基礎，并對虛擬局域網技術進行有機的結合，在校園網當中來實現單純的在OR基礎上第二層優先級服務。由于所需服務的差異性，例如音視頻傳輸自身的要求。故此要能夠緊密的和服務機制進行結合，來為校園網當中一些關鍵通信數據幀設置較高的用戶優先級。 

另外就是要結合實際進行差別服務結合資源預留協議，雖然在綜合服務所提供的更高QOS保證，而對于校園網這類非運營性網絡來說，過高的實現現代價以及復雜度并非是合適的。在具體的應用過程中要能夠對DS域設置問題以及DSCP分類實現問題進行有效的解決。MPLS VPN實現了VPN間的路由隔離，在每個PE路由器方面為每個所連接的VPN都進行維護了獨立虛擬路由轉發實例，而每個VF駐留都是來自于同一VPN路由配置，穿越MPLS核心到其它的PE路由器過程中，這一隔離是過多協議，并增加了唯一VPN標識符進行實現。 

網絡通信的大部分信息不再來自工作組內部，主要是來自于外部對因特網的訪問，倘若是對第三層QOS問題得到有效解決，那么在校園網中所有第三層網絡設備就會成為校園網QOS的發展瓶頸。從當前的大型復雜網絡建設過程中能夠發現，通過對MPLS VPN技術的有效應用，能夠將信息受控訪問及安全隔離等問題得到有效的解決，這一技術能夠保證各業務系統邏輯網絡相對獨立性，并對各種類型的業務系統安全性有著很強的保護作用，所以在校園網的應用上有著比較廣闊的前景。 

篇3

【關鍵詞】L2 VPNIPSec隧道虛擬化The Research and Design of IPSec-based L2 VPN

ZHU Yufeng（School of Electronics Engineering and Computer Science， Peking University， Beijing， 100871， China）

Abstract： L2 VPN is working at layer 2 of OSI network model， which can hide the geographical limitations and provide virtual private network service.

This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.

Key Words：L2 VPN， IPSec Tunnel， Virtualization

一、引言

隨著虛擬化及云計算的興起和應用，VPN隧道成為一個連接不同地區虛擬數據中心或者云計算中心的必備技術，其中L2 VPN工作在OSI網絡模型的第二層，它可以隱藏地域限制，提供虛擬專有網絡服務，能夠更好的滿足虛擬化及云計算的需求。

二、方法研究

L2 VPN基本的概念是將L2網橋和IPSec VPN網關結合，利用VPN隧道模擬物理網線，將2臺或者多臺跨越因特網的網橋連接起來。

如圖所示：

為了實現以上L2 VPN的功能，我們需要考慮以下因素：

（1）如何將L2數據包導向VPN隧道；

（2）如何封裝以太網幀；

（3）數據包的flow設計；

（4）如何支持VLAN；

（5）如何支持多站點多用戶（例如，星型拓撲）。

2.1重定向數據包到VPN隧道

為了很好的連接L2網橋和VPN網關，我們定義一個虛擬的隧道端口，用來解耦合網橋和VPN的功能。對于網橋來說，虛擬隧道端口就像是一個物理端口一樣，用來收發以太網數據包。對于VPN網關來說，虛擬隧道端口就是一個明文數據包進入加密隧道的入口，所有到達虛擬隧道端口的數據包，都將會被加密從隧道發出去。

虛擬隧道端口模擬物理以太網端口，它的功能如下：

（1）在內核中創建一個虛擬網絡端口；

（2）發送以太網數據包。而驅動程序的發送功能，就是VPN隧道加密。

（3）接收以太網數據包。VPN加密后，會把明文放到虛擬端口的接收隊列。

（4）支持網橋MAC反向學習。

（5）支持VLAN tag。

所有對于L2網橋看來，虛擬隧道端口和物理網橋端口沒有任何區別，收到和發送的都是以太網數據包。網橋也不知道VPN網關的存在。同樣，VPN網關也知道網橋的存在，到達VPN網關也只是以太網數據包。

2.2以太網數據包封裝

IPSec隧道工作在三層，用來設計封裝IP數據包，所以我們需要將以太網幀封裝成IP數據包，再將該IP數據包封裝成IPSec數據包。

我們可以考慮以下方式：

（1）EtherIP over IPSec；

（2）非標準的IPSec封裝；

（3）混合模式。

（8）VPN1收到ARP應答密文包，解密去EtherIP和IPSec包頭，查詢MAC地址表，得知出口是eth1，然后將報文發往PC1。此時，VPN1并且更新MAC地址表。

VPN2網橋的MAC表：

（9）PC1收到ARP應答明文包，學到PC2的MAC地址。然后發送ICMP請求到PC2。數據包的目的MAC是PC2-MAC，源MAC是PC1-MAC。

（10）VPN1收到ICMP請求，查詢MAC地址表得到出口是tun1，將數據包送到VPN隧道加密，然后發往VPN2網關。

（11）VPN2收到ICMP請求，查詢MAC地址表，得到出口是eth1，將數據包發送到PC2。

（12）PC2收到ICMP請求并發送ICMP應答，該應答數據包被發發送到VPN2。

（13）VPN2收到ICMP應答，查詢MAC地址表，得到出口是tun1，將數據包通過隧道發送到VPN1。

（14）VPN1收到ICMP應答，查詢MAC地址表，得到出口是eth1，將數據包發送到PC1。

3.1VLAN支持

二層網橋可能連接很多VLAN，隧道端口需要工作在TRUNK模式，這樣可以允許VLAN數據包通過VPN隧道。

拓撲如下：

EtherIP over IPSec可以封裝VLAN tag，但是overhead會比較大。一種優化的方法是分配每個tunnel端口和tunnel一個VALN tag，這樣就不需要封裝VLAN tag，提高有效載荷。

3.2星型拓撲支持

要支持Hub & Spoke星型拓撲，我們只需要再增加一個tunnel端口，并且把該端口綁定到一個到Spoke的VPN隧道。該設計非常靈活，易于擴展。

拓撲如下：

四、結束語

本文通過引入虛擬隧道端口，巧妙的將L2網橋和IPSec VPN網關結合在一起，簡單并且有效的將數據包重定向到VPN隧道。

另外，本文通過結合EtherIP over IPSec封裝發送多播和廣播數據包，IPSec封裝發送單播數據包，有效提高了VPN隧道的有效載荷和傳輸性能。

參考文獻

[1] RFC3378： EtherIP： Tunneling Ethernet Frames in IP Datagrams

[2] RFC2784： Generic Routing Encapsulation

[3] RFC3438： Layer Two Tunneling Protocol

[4] RFC4664： Framework for Layer 2 Virtual Private Networks

[5] RFC4665： Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks

[6] RFC4026； Provider Provisioned Virtual Private Network （VPN） Terminology

[7] RFC4301： Security Architecture for the Internet Protocol

篇4

關鍵詞：文山學院 虛擬專用網 VPN

一、現狀及需求

文山學院坐落于祖國西南邊陲云南省文山州州府所在地文山市，學校占地948畝，有教職工594人，學校設有10個二級學院共43個本專科專業，全日制在校生9183人。從學校建設角度，可以把文山學院分為老校區和新校區。學校校園網覆蓋到辦公樓、教學樓、教職工宿舍樓及老校區部分學生宿舍，由于校園網出口帶寬不高，整體網速慢以及很多學生宿舍沒有校園網布線，使得很多學生都是自己向網絡供應商申請接入互聯網。由于我校的教務管理系統只能在校園網內部訪問，教師查詢教學信息以及考試成績等的錄入只能局限在校園網內部，另外廣大教師在獲取學校圖書館提供的電子圖書、科研論文等信息資源時，也只能在校園網訪問。因此，迫切需要一種方法能讓學校的師生無論是在學校內還是校外，都能順利地訪問校園網里的資源。這對提高教學效率和教師的科研水平都是很有益的。因此，提出建設我校的VPN解決方案，能夠兼顧性能和價格，實現真正意義的優質低價的網絡VPN互聯。

二、VPN技術分析

虛擬專用網（Virtual Private NetWork，VPN）是指利用Internet等公共網絡創建遠程的計算機到局域網以及局域網到局域網的連接，而建立的一種可以跨躍更大的物理范圍的局域網應用。

1.隧道技術

隧道技術（Tunneling）是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然后通過隧道發送。新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。

VPN采用隧道（Tunneling）技術，利用PPTP與L2TP等協議對數據包進行封裝和加密，所以保證了在Internet等公共網絡上傳輸的數據的安全性。

2.VPN分類

VPN按照它的應用可以分為兩種：單機到局域網的連接（point to LAN）（如圖1所示）和局域網到局域網的連接（LAN to LAN）[1]（如圖2所示）。

單機到局域網的連接適用于單個用戶連接到企業局域網。只要用戶個人計算機能夠訪問Internet，用戶就能通過VPN方式跟企業局域網建立連接，從而訪問企業局域網提供的資源。

局域網到局域網的連接適用于企業分支機構（可以是多個分支機構）連接到企業總部局域網。企業分支機構和企業總部既可以通過Internet互聯也可以通過專線連接，達到分支機構局域網和總部局域網邏輯上屬于一個更大的局域網，實現資源的相互共享。

圖1單機到局域網的連接

圖2 局域網到局域網的連接

根據我校的實際情況，提供VPN服務可以方便廣大師生員工通過外網訪問校園網登陸教務管理系統數字圖書館等操作，選擇單機到局域網的連接。

一個完整的VPN系統一般由VPN服務器、VPN數據通道和VPN客戶端三個單元構成。

三、VPN服務器及客戶機的安裝配置

1.VPN服務器的安裝與配置

方案以安裝有Windows Server 2008操作系統作為VPN服務器。

①單擊“開始”“程序”“管理工具”“管理您的服務器”命令，添加“遠程訪問/VPN服務器”角色，啟動“路由和遠程訪問服務器向導”

②在向導的配置界面中，選擇“虛擬專用網絡（VPN）訪問和NAT”單選按鈕，配置該服務器為VPN服務器，同時具有NAT功能，然后單擊“下一步”按鈕

③選擇“VPN”和撥號復選框，然后單擊“下一步”按鈕

④使用VPN，在VPN服務器上必須有兩個網絡接口，一個連接到Internet，一個接到校園網網絡。選擇“本地連接”為VPN服務器到Internet的網絡接口，“本地連接2”連接到校園局域網。單擊“下一步”按鈕

⑤選擇“自動”單選按鈕，因為校園網內專門有DHCP服務器進行IP地址的指派。單擊“下一步”按鈕

⑥提示是否選擇此服務器與RADIUS服務器一起工作，選擇“否”，單擊“下一步”按鈕

⑦最后單擊“完成”按鈕，結束“遠程訪問/VPN服務器”的配置。

為用戶配置遠程訪問權限

用戶可以通過VPN服務器上的本地用戶賬戶和局域網中的域用戶賬戶通過VPN訪問局域網。要使用戶通過VPN訪問局域網，賬戶都應該具有“撥入權限”。

2.VPN客戶端計算機安裝與配置

遠程客戶首要條件是已經連接到Internet。遠程客戶機接入Internet可以是通過寬帶撥號，也可以是局域網到Internet的網絡連接。

方案以安裝有windows 7 SP1操作系統作為VPN客戶端。

①打開控制面板進入“網絡和共享中心”。

②點擊進入“設置新的連接和網絡”，選擇“連接到工作區”并點擊“下一步”。

③點擊“使用我的Internet連接（VPN）”

④在“Internet地址”欄輸入企業網絡地址，并“下一步”。

⑤輸入企業網絡管理員提供的用戶名和密碼，點擊“連接”便可以連接到企業網絡。

⑥連接成功后，VPN客戶端邏輯上已經和企業網絡處在同一局域網內，此時VPN客戶端便可以使用遠程局域網提供的各種資源。

四、結論

建立校園VPN，可以利用現有的公共網絡資源，在普通用戶和校區之間建立安全、可靠、經濟和高效的傳輸鏈路，利用Internet的傳輸線路保證了網絡的互聯性，采用隧道、加密等VPN技術保證了信息傳輸的安全性，從而極大地提高了辦公效率，節省了學校資源，為校園信息化建設奠定了基礎。

參考文獻：

[1]郝興偉.計算機網絡技術及應用[M].中國水利水電出版社，2009年：196-212.

[2]高博，趙映紅.虛擬專用網絡（VPN）技術應用與實踐[J].水科學與工程技術，2014（3）：93-96.

篇5

關鍵詞:訪問型VPN;L2TP;IPSec;PPP;隧道

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)31-pppp-0c

Research of Access VPN Solution Based on L2TP and IPSEC

JIANG Ying1, MIAO Chang-yun2

(1.Tianjin Polytechnic University,Tianjin 300000,China;2.HeBei University of Technology LangFang Department,LangFang 065000,China)

Abstract: Tunneling is the key technology for constructing Virtual Private Network(VPN). As the noticeable tunnel protocols,Layer Two Tunneling Protocol (L2TP) and IP Security Protocol (IPSec) are firstly introduced in this paper. we analyze the latent security trouble of Access VPN based on L2TP, and the cause, which restricts the secure creation of IP-VPN with IPSec. Finally we provide the Access VPN solution based on L2TP and IPSEC.

Key words: Access VPN; L2TP; IPSec; PPP; Tunnel

虛擬專用網絡(VPN,Virtual Private Network),是利用各種安全協議,在公眾網絡中建立安全隧道,將遠程的分支機構、商業伙伴、移動辦公人員等與總部連接起來,并且提供安全的端到端的數據通信的一種網絡技術。最初VPN是以LAN間互連型VPN為主要目的開發的,但隨著公司職工異地辦工和移動用戶遠程通信的迫切需要,訪問型VPN日益受到重視。訪問型VPN即處于公司內部網外部的終端通過在Internet網上構建的VPN與公司內部網相連,使外部終端能夠像內部網中的用戶一樣使用內部網資源。

目前VPN主要采用四項技術來保證通信安全[1]:隧道技術、加解密技術、密鑰交換與管理技術、身份認證技術。隧道技術是VPN的核心技術,類似于點對點連接技術,它在公用網建立一條數據通道(隧道),使數據包通過這條隧道安全傳輸。隧道由隧道協議形成,隧道協議規定了隧道的建立,維護和刪除規則以及怎樣將用戶數據封裝在隧道中進行傳輸。到現在為止,比較成熟的隧道協議有:1) 鏈路層隧道協議,主要有點對點隧道協議PPTP、第二層轉發協議L2F以及第二層隧道協議L2TP;2) 網絡層隧道協議,主要有通用路由封裝協議GRE和IP安全協議IPSec。

L2TP是對端到端協議(PPP)的一種擴展,它結合了L2F和PPTP的優點,成為IETF有關二層隧道協議的工業標準。像PPTP一樣,L2TP支持多種傳輸協議,它將用戶的數據封裝在PPP幀中,然后通過IP骨干網進行傳輸。與PPTP不同的是,L2TP對隧道維護和用戶數據都使用UDP作為封裝方法。盡管許多人相信L2TP是安全的協議,但是它除了提供方便的用戶和連接的認證外,自身對傳輸的用戶數據并不執行任何加密,因此,它不能提供安全的隧道;IPSec則不然,它工作在OSI參考模型的網絡層(第三層)。其最大的優點是提供了非常強大的安全功能,包括數據的機密性、數據完整性和驗證、抗回放檢測等服務。

L2TP是一種訪問型VPN解決方案,它不能提供安全的隧道,并不能滿足用戶對數據傳輸安全性的需求。如果需要安全的VPN,則需要IPSec和L2TP結合使用。本文對L2TP和IPSec分別進行討論,分析其優缺點,并給出利用L2TP與IPSec結合實現訪問型VPN的解決方案。

1 L2TP和IPSEC協議分析

1.1 第二層隧道協議 L2TP

L2TP協議是將PPP分組進行隧道封裝并在不同的傳輸媒體上傳輸,所以L2TP可看作虛擬PPP連續,并且它利用PPP NCP來協商IP的分配。使用L2TP,有兩種隧道模式:自愿隧道模式和強制隧道模式。在自愿隧道中,遠程訪問用戶運行L2TP,并且建立到服務器的VPN連接;在強制隧道中,另外一臺設備代表用戶,負責建立隧道。如圖1所示,L2TP主要由訪問集中器LAC (L2TP Access Concentrator)和網絡服務器LNS (L2TP Network Server)構成。LAC支持客戶端的L2TP,用于發起呼叫、接收呼叫和建立隧道。LNS是所有隧道的終點。在傳統的PPP連接中,用戶撥號連接的終點是LAC,L2TP使得PPP協議的終點延伸到LNS。L2TP解決了多個PPP鏈路的捆綁問題,使物理上連接到不同NAS的PPP鏈路,在邏輯上的終結點為同一個物理設備。

作為PPP的擴展,L2TP支持標準的安全特性CHAP和PAP,可以進行用戶身份認證。L2TP定義了控制包的加密傳輸,每個被建立的隧道生成一個獨一無二的隨機鑰匙,以便抵抗欺騙性的攻擊,但是它對傳輸中的用戶數據并不加密。因此,L2TP并不能滿足用戶對安全性的需求,L2TP封裝存在以下安全隱患[2]:

1)L2TP分組在網上傳輸時,攻擊者可以通過竊取數據分組而知曉用戶身份;

2)攻擊者可以修改L2TP控制數據和L2TP數據分組;

3)攻擊者可以劫持L2TP隧道或隧道中的PPP連接;

4)攻擊者可以通過終止PPP連接或L2TP隧道,而進行拒絕服務攻擊;

5)攻擊者可以修改PPP ECP或CCP協議,以削弱或去除對PPP連接的機密性保護;也可通過破壞PPP LCP鑒別協議而削弱PPP鑒別過程的強度或獲取用戶口令。

1.2 IP安全協議IPSec

IPSec是IETF IPSec工作組制訂的一組基于密碼學的開放網絡安全協議,用以保證IP網絡上數據通信的安全性。IPSec利用密碼技術從三個方面來保證數據的安全:通過認證,對主機和端點進行身份鑒別;利用完整性檢查來保證數據在傳輸過程中沒有被修改;加密IP地址和數據以保證數據私有性。

IPSec的安全結構由三個主要的協議組成:封裝安全負載(Encapsulating Security Payload, ESP) 定義了為通信提供機密性、完整性保護和抗重播服務的具體實現方法。認證頭(Authentication Header, AH) 定義了為通信提供完整性和抗重放服務的具體實現方法。ESP和AH協議都有一個確定特定的算法和可選功能的支持文獻集。

Internet安全協會和密鑰管理協議(ISAKMP)是IPSec的另一個主要組件。ISADMP提供了用于應用層服務的通用格式,它支持IPSec協議和密鑰管理需求。IETF設計了Oakley密鑰確定協議(Key Determination Protocol)來實施ISAKMP功能。這個協議在通信系統之間建立一個安全聯系,它是一個產生和交換IPSec密鑰材料并且協調IPSec參數的框架。

IPSec提供了網絡層IP的安全機制,能夠對IP數據流完整性、機密性、防重放等進行保護,也能提供靈活的連接級、數據分組級的源鑒別。目前,通常利用IPSec在INTERNET網上構建LAN間的VPN,但不被用于獨立構建遠程訪問型VPN,主要原因如下:

1)IPSec雖然提供了很強的主機級的身份鑒別,但它只能支持有限的用戶級身份鑒別。而在遠程訪問型VPN中遠程終端用戶要進入企業內部網必須進行嚴格的身份鑒別。目前IPSec協議還不能方便、有效地實現這項功能。

2)在IPSec安全協議中,總是假設封裝的分組是IP分組,目前尚不能支持多協議封裝。

3)目前的IPSec只支持以固定的IP地址查找對應的預享密鑰、證書等鑒別信息,尚不支持動態分配的IP地址。而出差在外的公司員工通常使用電話撥號方式接入INTERNET網,此時用戶使用的是動態分配的IP地址,因此無法通過身份鑒別,接入內部網。

通過以上對L2TP和IPSec協議各自優缺點的分析,可以考慮構建一種更加安全、經濟的遠程訪問VPN的解決方案:將L2TP協議和IPSec協議綜合起來使用,利用IPSec彌補L2TP的安全方面的不足,同時又利用L2TP彌補IPSec在用戶級鑒別、授權等方面的不足。

2 基于L2TP/IPSec構建訪問型VPN

2.1 L2TP/IPSec方案的原理分析

通過分析可知:L2TP 其實就是IP 封裝協議的另一個變種,L2TP通道的IP 封裝結構為(IP 報頭(UDP 報頭(L2TP報 頭(PPP報頭(PPP 負載)))))。創建一個L2TP 通道就是將L2TP幀封裝在UDP 報頭中,再將該UDP保文封裝在以通道端點作為源地址和目的地址的IP 報文中。因為外部封裝使用的是IP協議,所以IPSec可以用于保護上述合成的IP數據報文,也就是保護L2TP通道中流動的數據。

假設所有的隧道和鏈路都已經建立成功,遠程用戶使用該VPN進行通信的過程如下[3]:

1)首先遠程用戶端產生一個終止于LNS的、封裝了一個內部IP包的PPP包,內部IP包的源地址是LNS分配給用戶的VPN內網地址,目的地址是VPN內網服務器,這個PPP包通過用戶和LAC間的PPP物理鏈路傳送到LAC。

2)LAC根據PPP包中的用戶名找到對應的L2TP隧道和IPSec隧道并對其進行L2TP封裝和IPSec處理,生成L2TP/IPSec包。

3)LAC從自己的動態IP池里分配一個隨機IP地址,為L2TP/IPSec包封裝外部IP頭并傳送給LNS。

4)LNS收到這個包后,首先進行IPSec的解密和認證處理,然后依次去除L2TP頭和PPP頭,最后根據內部IP頭的目的地址發往VPN內網服務器。

在L2TP/IPSec 方案實現時,L2TP運行在IP 之上,而IP層已經部署了IPSec軟件,所以在LAC和LNS之間所有的數據包在傳遞給L2TP軟件處理前都要進行IPSec的相應處理。假設IPSec軟件提供了ESP和AH兩種安全協議,那么IPSec便可以首先使用ESP 完成對L2TP包加密的工作,對整個高層報文進行保護,然后利用AH對加密數據和外部頭進行認證,生成的L2TP/IPSec包格式如圖2所示。其中IP2是內部的IP頭部,包含有數據的真正的源和目的地址選項(一般考慮為私有地址)。IP1利用公網的傳輸特性(如公共網的傳輸地址、帶寬等)傳送內部數據。

本實現方案中,由L2TP提供隧道服務,而IPSec提供安全服務,這樣可以提供一個更安全的VPN實現方案。通過將L2TP的基于點到點協議(PPP)的特點和IPSec的安全特點結合在一起,不僅利用了L2TP的封裝機制,而且對數據分組提供了安全性保護,可以防止非法用戶對VPN的攻擊,能夠滿足遠程用戶接入VPN的要求。

2.2 L2TP/IPSec方案的應用模式

2.2.1 基于L2TP和IPSec的自愿隧道模式

這種模式下,L2TP和IPSec均安裝于遠程用戶主機上。此時用戶主機充當了LAC,用戶自主對L2TP進行配置和管理。如圖3所示,LAC將L2TP分組發送到ISP,再經過Internet到LNS,通過一個訪問連接將L2TP依次封裝在PPP和IP包中,這樣LAC可以取

(下轉第8654頁)

(上接第8646頁)

得它與LNS端的SA屬性。如果LAC取得SA,它能獲得LAC和LNS的安全服務[4]。由于LAC和LNS之間有安全服務,則可以利用IPSec而取消PPP的加密和壓縮。

2.2.2 基于IPSec和L2TP的強制隧道的模式

此種模式將IPSec安裝于遠程訪問主機,而L2TP集成于LAC。PPP Client發送PPP幀給LAC,在LNS端收到的數據包是封裝了PPP的L2TP包,如圖4所示。在這種模式下,Client和LNS擁有安全服務的不同的信息,PPP加密和壓縮是否執行,要依靠Client的策略。由于Client沒有任何LAC和LNS之間的服務,而Client不信任LAC以及它和LAC之間的線路,Client 一般要求它到LNS的端到端的IPSec加密或者PPP的加密/壓縮[5]。

3 結束語

以L2TP協議與IPSec協議的結合使用來實現訪問型V PN時,L2TP利用IPSec強大的安全功能,以彌補自身安全方面的不足,提供了具有多種協議封裝和完備的安全功能的V PN,提高了應用方案的安全性、完善了方案的鑒別和授權機制,具有一定的使用價值,但同時也產生了因重復封裝引起的額外開銷。隨著對訪問型V PN研究的不斷深入,協議進一步完善,存在的問題會逐步得到解決。

參考文獻:

[1] 高德昊.VPN技術在組網中的研究與應用[D].中國優秀碩士學位論文全文數據庫,2007,(5).

[2] 戴宗坤,唐三平.VPN與網絡安全[M].北京:電子工業出版社,2002.

[3] 季超,楚艷萍.基于L2TP/IPSEC的安全隧道技術方案[J].河南大學學報(自然科學版),2004,(34)1:94-96.

篇6

關鍵詞：信息安全，移動通信，密碼學，信息系統

 

1 前言公安信息化工作的快速推進，金盾工程的全面建設，使得各級公安機關和廣大干警在執行警務工作中將廣泛應用公安警務信息來偵破案件、抓捕逃犯、核查車輛、打擊和預防犯罪等。在街面和移動中，充分利用警務信息已成為公安工作的緊迫需求，公安信息移動應用系統建設也是金盾工程的主要建設內容之一。警務通是基于移動通信技術的公安信息綜合業務查詢系統和指揮調度系統。充分發揮了移動通信技術所特有的隨時、隨地、隨心的特點，滿足了外勤警務人員在治安、交通、刑偵、監管、戶政、經偵、邊防、消防、出入境等方面需要適時進行信息交互的工作需要，是用信息化實現“科技強警”的成功典范。

正是警務信息處理的特殊性要求系統開發人員在設計系統應將其安全性和健壯性放在最重要的位置，以保證系統的正常運行和涉秘信息的安全處理。本文將從網絡安全、數據訪問安全和數據存儲安全三方面討論移動警務系統的安全策略。

2 網絡安全由于保密性需要，網絡設計階段的所有需求都應該以安全為中心。接下來將從宏觀到微觀，從“大網”設計到設備選型，來分析網絡安全的策略需求。

2.1 移動網絡的安全所有的移動數據專線，都采用APN或者VPN方式，由交換網直接連接運營商的專網，不連接公共互聯網，同時避免中間存在其他的連接點。在此基礎上，相關通道可提供加密的傳輸保證。

2.2 網絡安全設備的綜合使用采用防火墻和網閘設備，提供網絡訪問的安全。防火墻設備，用于在交換網內隔離接入服務區與信息服務區。隔離網閘設備，按照在公安部的網絡安全標準使用，并提高了一個級別，除了交換網與公安內網的隔離網閘外，在交換網與運營商數據專線的接口處也設置了隔離網閘，進一步提高了安全性。

2.3 網絡攻擊的抵抗能力通過VPN網關、防火墻等網絡設備的使用，共同抵抗來自公網網絡攻擊(如DDOS等)。基于IPSec的VPN和防火墻可防止IP層以上的攻擊行為。使用SSL VPN和防火墻：可防止應用層的攻擊。

2.5 采用加密的VPN網關在接入認證中，使用公安部認可的VPN加密數據網關，建立起移動警務終端到交換網的VPN加密隧道（基于RSA1024）。避免了數據在專線傳輸過程中被窺探。

2.6 應用層的加密通道所有的移動應用系統，主要是基于Web的B/S應用體系。在此之上，應用層通信，均采用基于SSL的HTTPS的加密處理通道（支持RSA 1024）。

3 數據訪問安全數據訪問是真實世界中業務處理流程到軟件設計的微觀化，數據訪問安全的策略應該從設計正確的數據流圖到保證數據流圖各個環節安全進行分析，主要由以下幾個方面共同負責。

3.1 專門的安全業務交換平臺采用公安部認可的安全業務交換平臺，提供業務與數據的安全訪問。該交換平臺位于交換網和內網之間，通過專用服務設備和網閘連接，建立一個單向的通道，并通過內網端主動提取和控制的機制，實現相關交換的安全處理。支持業務系統和數據系統的安全交換，具有統一的管理界面，便于管理。

3.2 多層次的綜合身份認證功能對于每個移動警務的實際用戶，提供了以下幾個層次的認證處理。

移動終端對用戶的認證。確定使用終端的用戶的合法性。主要采用開機密碼、指紋識別（需硬件支持）、操作系統登錄密碼等多種方式。

網絡運營商對撥號終端身份的認證。所有的移動警務終端的手機卡，需事先在運營商的專線接入點登記。無線撥號中，只有已經登記的SIM卡，才能撥叫網絡運營商的接入點，否則將無法撥叫。

公安移動接入區對撥號終端身份的認證。公安移動接入區的移動終端撥入驗證系統，對網絡運營商的接入點傳來的移動終端的身份信息（如SIM卡號 分組名等）進行身份核實，對于非法的撥入號碼拒絕連接。這樣，即使由網絡運營商的接入點傳來的非法終端號碼，也無法進入接入平臺

移動終端接入公安移動區中時，接入網關對移動終端的單向認證。認證過程基于終端的設備數字證書和簽名密鑰，由終端設備和接入VPN網關自動完成。。

接入平臺對用戶可訪問應用的認證。移動接入區的平臺統一管理系統，對每個接入用戶可以訪問的子應用系統進行了限制。這樣，每個用戶只能訪問受限制的移動警務應用，而不能訪問全部。

應用程序的用戶認證。當移動終端上的應用系統登錄交換網的移動警務應用時，需要使用移動用戶的個人數字證書，與應用服務器進行身份驗證（基于數字簽名，可考慮連接內網PKI系統），只有通過驗證，才能進入到系統內部，進行相關的操作。

3.3 數據的加密傳輸所有的數據，均通過兩個級別的加密機制來完成。主要如下：

（1）傳輸通道加密。

從移動終端到移動警務應用系統的整個通道，采用加密的方式，進行保護。包括兩個層面：

網絡層的加密：通過終端加密卡和加密VPN網關的認證，建立其基于網絡層的加密隧道（基于RSA 1024）

應用層的加密：基于HTTPS和SSL協議的使用，通過用戶數字證書和移動警務應用系統進行身份認證，建立起應用層的加密隧道（基于RSA 1024）

（2）傳輸數據加密

會話中所傳輸的所有數據均采用加密的方式進行。進一步避免了數據通道被破解后，數據被窺探的可能。具體的加密算法，對稱算法采用SCB2，雜湊算法采用SHA-256（高于公安部標準）

3.4 密碼體系在數據安全體系中很多方面都與密碼體系緊密相關。因此對于該方面特別加以說明。。在移動警務平臺的實施中，密碼體系按照公安部建設指導書的方針完成。具體包括以下幾方面：

（1）密碼算法

對稱算法：采用不低于AES256的加密。主要用于傳輸中的數據加密、移動終端安全卡認證等。

公鑰算法：采用RSA（1024位），主要用于移動用戶的證書認證，SSL通道的加密協商、證書的簽發等。

散列算法：采用SHA-1（160）或者更高級別的（256或者384），產生消息摘要。

（2）專用密碼設備

在移動警務平臺的使用中，需要使用相關的密碼設備，以保證相應的加密處理。相關的設備主要有如下兩類：

移動接入專用密碼卡：用于配合服務端系統，完成數據加解密、簽名、消息驗證等功能。對于每個相關的服務器需要安裝相應產品。相關產品采用公安部認證的產品。

移動接入終端專用安全卡：用于驗證接入終端的安全性，對于每個移動終端，需要安裝。根據不同的終端類型，當前適合的有三種：

SDIO安全卡：處理能力強，適合具備SDIO接口的移動終端設備（實際比較少）。。

PCMCIA卡：適合具有PCMCIA接口的筆記本電腦。

安全SIM卡：功能較弱，適合常見手機和PDA，對終端要求低。

以上三種產品，將根據實際的終端特點，分別采購。所有的產品需經過公安部相關認證。

3.5 入侵檢測對非法侵入交換網的攻擊事件的發現和自動阻斷，由綜合安全防護系統完成，如果網閘可以有相應功能則由網閘實行。具體是否使用根據情況而定，這里不再多介紹。

3.6 病毒的防范移動警務應用系統涉及的所有的服務器，將盡量采用基于Linux的操作系統，避免病毒的干擾。對于必須采用Windows系統的服務器系統，使用國家有關部門批準的查殺毒軟件，定時查殺和升級。制定完善的防病毒制度，關閉服務器系統上的一些外部接口（如USB口等），切斷病毒傳播途徑。對于移動應用服務器要重點防護。

4 數據存儲安全主要防范由于意外事故造成的數據丟失。主要手段包括：

硬件設備冗余：所有數據服務器，均要求采用基于RAID5的SCSI磁盤冗余陣列。

數據備份：所有的數據庫，均要求定期進行備份。備份策略根據具體服務器而定。

專用存儲服務器，提供專業存儲管理。建議采用存儲服務器，可有效管理維護數據庫資源

參考文獻：

[1]《PGP在移動警務通系統中的應用研究》，朱永勝，計算機應用技術碩士畢業論文，2007 年

[2]《安全隔離與信息交換助力公安移動警務》，王羽，《信息網絡安全》，2005年3期

[3] 《警務通:加速移動警務信息化》，《中國新通信》，2007年4期

[4] 《數字水印取證技術在移動警務通中的應用》，應影，計算機應用技術碩士畢業論文，2007年

篇7

【關鍵詞】 圖書館;SSL VPN;數字資源;遠程訪問

高校圖書館是學校文獻資源的中心，承擔著為學校的教學、科研和管理工作提供文獻信息服務。隨著高等教育和互聯網技術的高速發展，師生利用圖書館資源的方式和手段發生了巨大的變化，傳統的到館借閱方式逐步被網上借閱方式取代，人們利用文獻信息的方式在某種意義上講已經突破了時空的限制。師生在校外如何通過互聯網共享學校的文獻信息資源是近年來圖書館界和IT界研究較多的課題，目前外網用戶共享內網資源的技術主要有電話撥號、服務器(proxy)、虛擬專用網(VPN)，VPN是近年來發展較快，實現方式比較簡便，較容易被接受的一種接入技術，現就VPN技術中的SSL VPN及其在圖書館信息資源共享中的應用進行介紹。

1 SSL VPN 概述

1.1 SSL VPN的概念 VPN(Virtual Private Network)是指依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商)在公用網上建立的一條虛擬專用通道，讓兩個遠距離的網絡客戶能在這個專用的網絡通道中相互傳遞數據信息。SSL VPN是采用SSL(Security Socket Layer)協議來實現遠程接入的一種新型VPN技術。SSL協議是網景公司提出的基于WEB應用的安全協議，是一種在應用層協議和TCP/IP協議之間提供數據安全性的機制，它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶端認證[1]。SSL協議提供了網絡上通信雙方的安全保護，避免信息在網絡傳輸過程中被截取、改編和破壞，現在SSL協議已成為Internet中用來鑒別用戶身份及在瀏覽器與WEB服務器之間進行加密通訊的全球化標準。

1.2 SSL VPN的通信過程 SSL VPN一般的實現方式是在內網中的防火墻后面放置一個SSL服務器，SSL服務器將提供一個遠程用戶與各種不同的應用服務器之間的連接，實現起來主要有握手協議、記錄協議、警告協議的通信，SSL VPN的通信過程主要集中在握手協議上，主要有：第1步：SSL客戶機連接到SSL服務器，并要求服務器驗證身份;第2步：服務器通過發送它的數字證書證明自身的身份。這個交換包括整個證書鏈，直到某個證書頒發機構(CA)，通過檢查有效日期并確認證書包含可信任CA的數字簽名來驗證證書的有效性; 第3步：服務器發出一個請求，對客戶端的證書進行驗證;第4步：雙方協商用于加密的消息加密算法和用于完整性檢查的HASH函數，通常由客戶端提供它所支持的所有算法列表，然后由服務器選擇其中最強大的加密算法;第5步：客戶機和服務器通過下列步驟生成會話密鑰。客戶機生成一個隨機數，并使用服務器的公鑰(從服務器證書中獲得)對它加密，再送到服務器;服務器用更加隨機的數據，用客戶機的公鑰加密，發送至客戶機以表示響應;使用 HASH函數從隨機數據中生成密鑰[2]。

1.3 SSL VPN的優點 相對于其它接入方式，SSL VPN在實現遠程訪問內網資源時有其獨特的優勢，因此，近年來SSL VPN技術在各個行業，特別在企業、高校、公司及政府部門得到了廣泛的應用。①無需安裝客戶端軟件。客戶端的區別是SSL VPN最大的優勢，有Web瀏覽器的地方的就有SSL，所以預先安裝了Web瀏覽器的客戶機可以隨時作為SSL VPN的客戶端，在大多數執行基于SSL協議的遠程訪問是不需要在遠程客戶端設備上安裝軟件。這樣，遠程訪問的用戶可以在任何時間任何地點對應用資源進行訪問。②適用大多數設備。基于 Web訪問的開放體系可以在運行標準的瀏覽器下訪問任何設備，包括非傳統設備，如可以上網的電話和PDA等通訊產品等。 ③適用于大多數操作系統。可以運行標準的因特網瀏覽器的大多數操作系統都可以用來進行基于Web的遠程訪問，不管操作系統是 Windows、Macinwsh、Unix還是 Linux。④支持網絡驅動器訪問。用戶通過SSL VPN通信可以訪問在網絡驅動器上的資源。 ⑤良好的安全性。SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的，客戶對資源的每一次操作都需要經過安全的身份驗證和加密。⑥較強的資源控制能力。基于Web的訪問允許網絡管理部門為遠程訪問用戶進行詳盡的資源訪問控制，這樣有利于對不同身份用戶進行訪問權限的控制。 ⑦經濟實用性較好。使用SSL VPN具有很好的經濟性，因為只需要在內網架設一臺VPN硬件設備就可以實現所有用戶的遠程安全訪問接入，遠程用戶只要依賴現有互聯網設備就可以方便訪問內網資源。 ⑧可以繞過防火墻和服務器進行訪問。基于SSL的遠程訪問方案中，使用 NAT(網絡地址轉換)服務的遠程用戶或者因特網服務的用戶可以繞過防火墻和服務器進行訪問，這是采用基于 IPSec安全協議的遠程訪問很難或者根本做不到的[3]。

1.4 SSL VPN接入拓樸圖 目前，一般大學校園網的網絡結構是比較規范的，至少擁有一條大寬帶的外網接口及防火墻、安全過濾網關系統、認證系統、路由交換機和大量的服務器，要實現內網資源的遠程訪問，只要在防火墻后面設置一臺SSL VPN網關，并根據網絡和用戶的具體情況進行配置，就可以實現內網資源共享。SSL VPN在內部網中的應用結構，見圖1。

2 SSL VPN在高校圖書館中的應用

2.1 高校圖書館數字資源建設及應用 隨著信息技術的快速發展，圖書館的數字化建設步伐也越來越快，圖書館的管理和服務正向數字化、網絡化大步邁進。當前，幾乎所有高校圖書館都建立了各自的數字圖書館，數字資源的建設經費比例也逐年的提高，師生獲取文獻資源的方式很大程度上趨向網絡化發展。高校圖書館除了擁有各種各樣的自建數據庫，還引進了大量的外來數據庫，包括電子圖書、電子期刊、博碩士論文數據庫、報紙、年鑒、專利、工具書、視聽報告、教學資源庫等等，這些資源有的是安裝在本地服務器，有的是購買網上包庫，但不管是哪種形式的數據庫，由于受到知識產權保護和商業利益影響的限制，往往只限于本校的師生使用，其實現的方式一種是使用IP地址限制，即只允許某一特定范圍內的IP地址用戶擁有瀏覽和下載權限，這種用戶的IP地址是相對固定的，一般是在學校的校園網;另一種訪問方式是設定訪問賬號和密碼，但這種方式往往是和訪問及下載流量互相捆綁。第二種方式對用戶數較多的大單位明顯是不合適的，因為，隨著多元化社會的發展，很多老師和學生住在校外，教師到外出差和學習、學生到外地實習等，這一部分人群對學校的數字資源擁有使用的權利，但現有條件又不能允許他們使用，因此，通過SSL VPN實現高校圖書館資源的遠程共享是最為有效、最為簡便和最為經濟的途徑。

2.2 SSL VPN在高校圖書館中的應用情況 由于SSL VPN具有安全性好、易于管理、實用性較強、擴展方便及性能可靠等諸多優點，近年來在實現高校校園網內網資源的遠程訪問中得到了廣泛應用。SSL VPN是一種新興的VPN技術，相對于IPSec，VPN具有明顯的優越性，在解決外網用戶訪問內網Web服務方面日益受到人們的青睞，目前大多數高校圖書館都設置VPN服務，在內網資源的遠程訪問，特別是在解決圖書館數字資源的遠程訪問方面發揮了重要的作用，可以說，VPN技術解決了非校內用戶共享內網優質資源的難題，SSL VPN的出現使得遠程資源共享更加容易實現，同時也更容易被用戶接受，因為對于用戶而言，只要能夠接入互聯網，無需對客戶電腦作任何設置，在https協議下直接輸入SSL VPN網關的IP地址，就如同在內網一樣享受到各種服務。

SSL VPN通過在Internet上建立移動用戶與內部網間的專用數據通道，很好地解決了外網用戶訪問和使用圖書館數字資源時所面臨的具體問題。同時，SSL VPN因其具有安全、靈活、低成本等優勢，逐步成為了圖書館電子資源遠訪問的主流技術，為發揮數字資源的共享性和可傳播性、提升信息服務質量和水平提供了良好的技術支持環境，圖書館數字資源訪問真正突破了時空的限制。

參考文獻

[1] 史春光.淺析基于SSL VPN 協議的VPN技術[J].信息技術，2009，(3)：121-123.

篇8

【 關鍵詞 】 VPN；仿真；Chariot；性能

1 引言

VPN（Virtual Private Network，虛擬私有網）是指通過公共網絡建立的一個臨時、安全的連接，它能夠穿過不安全的公用網絡。通過對網絡數據進行加密傳輸，實現在公網上傳遞私密數據。VPN能夠很好地保護數據的完整性和準確性，避免收發數據不一致。VPN主要采用隧道、加密解密、身份認證、密鑰管理，在公共網絡中為客戶端虛擬出類似于局域網的專有線路。

Chariot是由NetIQ公司推出的一款網絡測試軟件，是目前世界上唯一認可的應用層IP網絡及網絡設備的測試軟件，可提供端到端、多操作系統、多協議、多應用模擬測試，還可以進行網絡故障定位、網絡優化等。它可以從用戶角度測試網絡或網絡參數（吞吐量、反應時間、延時、抖動、丟包等），能夠模擬眾多的商業應用進行測試，例如HTTP、FTP、AD、Exchange、SQL、Oracle和SAP等。

Chariot通過模仿各種應用程序所發出的網絡數據交換，幫助網絡設計者或網絡管理人員對網絡進行評沽。通過Chariot附帶的各種測試腳本用戶可以測試網絡的數據流量、響應時間以及數據吞吐量，也可以根據網絡中所采用的應用程序的需要，選擇相應的測試腳本或根據實際需要編制符合自己要求的腳本。

Chariot采用主動式監視及定量的測量，通過產生模擬真實的流量，采用端到端的方法測試網絡設備或網絡系統在真實環境中的性能。

2 測試方案設計

本方案分別測試VPN系統和由同一硬件和軟件搭建的路由器傳輸性能，由于只是對比測試VPN及路由器的性能，這里將測試模型進行了簡化。

由于測試條件有限，為了不影響校園網的整體運行，本測試采用非獨立控制臺測試方式，測試VPN系統的傳輸特性并與傳統路由方式傳輸進行對比。測試中服務器運行VPN軟件時為VPN方式連接，關閉VPN軟件則整個鏈路改為傳統的路由連接，其拓撲環境如圖1所示。

在A機器上安裝Chariot，打開運行界面，在主界面中點NEW按鈕，彈出的界面中點上方一排按鈕的ADD PAIR，在ADD AN ENDPOINT PAIR窗口中輸入PAIR名稱，在Endpoint1和Endpoint2處分別輸入客戶端B和控制臺A的IP地址，再點擊“select script”按鈕并選擇一個腳本，由于我們的測量是以百兆帶寬為主，所以選擇軟件內置的腳本High Performance Throughput。可采用復制方式，建立多個收發線程。確定后點擊主菜單的“RUN”按鈕啟動測量工作，軟件會同時每對連接測試100個數據包從B發送到A。

3 測試對象模擬

本測試得到了VPN準入系統的吞吐量、反應時間、時延等指標的數據。同時，我們還在相同硬件、軟件及網絡設備基礎上，測試了僅啟用轉發功能的路由器模式下的相關數據，進行對比。

為了仿真多用戶同時通過VPN服務器進行訪問，我們在Chariot控制臺上建立了8對通信線程（線對數對測試時間影響較大），使Endpoint1向Endpoint2同時發送測試報文，并在控制界面上顯示測試情況。Group/Pair是所建立的通信連接的名字，用Pair1～Pair8表示，Endpoint1和Endpoint2分別表示連接雙方的IP地址。在VPN模式下，Endpoint1的地址設置為Chariot控制臺A的VPN虛擬地址10.10.0.6，EndPoint2的地址設置為客戶端B的IP地址172.16.7.133。Network Protocol是連接選選擇的通信協議，為了表示廣泛性，我們選擇了使用最多的TCP協議。最后一欄是本測試為連接選擇的腳本文件，為了更好的觀察，我們選擇了文件內容較大的腳本。

同時為了進行對比，本測試在同樣的網絡環境下，將VPN服務器換為僅啟用路由轉發的服務器，并利用Chariot軟件同樣建立了8對連接進行測試對比，Endpoint1的地址設置為Chariot控制臺A的實際網卡地址210.45.50.123，EndPoint2地址不變。

4 測試結果

在網絡通信中，用戶通常對網絡的速率和傳輸質量較為看重，針對這兩點要求，我們分別對VPN模式和普通路由模式的吞吐量、傳輸率記憶響應時間進行了對比測試，得到如下測試結果。

4.1 吞吐量測試

作者首先對VPN模式下的數據吞吐量進行測試，兩臺測試機器分別通過100M網絡接口于VPN服務器相連，在11分鐘的測試時間內，8對連接的瞬時吞吐量起伏較大，最大值近乎最小值的兩倍。但從8對連接的平均值來看，相差很小，整個VPN模式下的吞吐量分配較為公平。同時，8對連接的平均吞吐量總和為93.079Mbps，接近100M的帶寬上限，作者認為通過VPN模式下對物理線路有著很高的利用率。

同樣，作者對路由模式下的數據傳輸吞吐量也進行了對比測試，發現在同環境下采用路由模式得到的測試數據，最大值和最小值差異比VPN模式下的更大，并且8對連接的平均吞吐率差別也更為明顯。同時，8對連接的平均吞吐量之和僅為86.038Mbps，也小于VPN模式下的93.078Mbps。由此，可以判斷在吞吐量方面，VPN模式比傳統路由模式具有更好的性能。

4.2 傳輸率測試

對于一個網絡來說，除了吞吐量以外，其數據的傳輸效率也是一個很重要的評價因素。VPN模式下的網絡傳輸率測試結果表明，在數據傳輸率方面，VPN模式下8對連接的平均值非常接近，各連接具有極好的公平性，進一步反映了VPN通道是公平可靠的。

在對路由模式下網絡數據傳輸率的對比測試中，8對連接的最大值和最小值差別很大，且其平均傳輸率變化也更為明顯。從總的傳輸效率來說，路由模式下的平均傳輸效率之和也比VPN模式下得到的數據小了很多。因此，VPN模式下的傳輸率也優與傳統路由模式。

4.3 響應時間測試

對于一個可靠的網絡，用戶的連接請求應當在很短時間內給出回應，對用戶作出回答。最后，為全面評估VPN方案的可行度，本文還進行了響應時間的測試，其結果可以看到在VPN模式下，8對連接的響應時間非常接近，一方的連接請求平均可以在7秒內得到另一方的回應，最小為4.552秒，最大為8.412秒，在日常使用中基本能夠滿足大多數網絡應用的要求。

我們還對路由模式下的網絡相應時間進行了測試，測試結果表明，相比VPN模式下來說，傳統路由模式下的連接響應時間更長，且最小值為4.188秒，最大值為20.858秒，更不穩定。由此可以得知，VPN模式下的響應時間也更為穩定和可靠。

5 對比分析

我們對VPN模式下的測試數據和傳統路由轉發模式下的測試數據進行了對比，結果見表1。

由測試結果對比可見，本設計實現的VPN準入系統在吞吐量、傳輸率、響應時間等指標的平均性能明顯優于基于同平臺上的路由轉發模式。但是從理論上來說，VPN傳輸過程是采用SSL協議對報文進行加密、解密，而路由模式中的IP包轉發僅為尋址和分組的操作，VPN傳輸過程中的開銷應遠大于路由模式。

這里出現的現象，我們認為是在通信線路質量較高的情況下，VPN系統采用的UDP傳輸協議較路由模式采用的TCP協議簡便，沒有三次握手的確認開銷，所以在大量數據傳輸時能體現高效特點。

6 結束語

本文介紹了網絡傳輸性能測試軟件Chariot，并利用該軟件對自建的VPN系統模型進行了仿真測試。雖然我們的測試條件有限，在與同平臺、同網絡環境的路由轉發模式的測試對比中，發現在通信線路質量較高的情況下，VPN系統采用的UDP傳輸協議較路由模式采用的TCP協議要簡化，沒有三次握手的確認開銷，在大量數據傳輸時能體現高效特點。在某些特定的應用中，可以取代路由器和NAT設備，保證網絡傳輸的安全性。

參考文獻

[1] 黃華鍵. SSL VPN中安全身份人證的研究[D]. 西安電子科技大學碩士學位論文，2008.

[2] 武鴻浩.CUDA并行計算技術在情報信息研判中的應用[J].信息網絡安全，2012，（02）：58-59.

[3] 田愛軍，張勇進. 安全模型的研究和實現[J]. 信息安全與通信保密，2001， （8）： 34-36.

[4] 張震. VPN技術分析及安全模型研究[J]. 微型機與應用， 2002， 21（2）： 28-30.

[5] Aboba B，Calhoun P. RADIUS（Remote Authentication Dial In User Service） Support For Extensible Authentication Protocol（EAP）[EB].

[6] 于曉. 高安全機制VPN組網關鍵技術研究[R]. 北京：中國科學院， 2008.

[7] 吳軒亮.三網融合下城域網DDoS攻擊的監測及防范技術研究[J].信息網絡安全，2012.（03）：45-48.

[8] 王俊峰，周明天. 高速網絡性能測量研究[J]. 計算機科學， 2004， 31（9）： 66-71.

[9] 孫志崗，李扎，王宇穎. 網絡應用軟件健壯性測試方法研究[J]. 計算機工程與科學，2005， （4）： 63-65.

基金項目：

本課題為安徽省教育廳自然基金課題項目延深（2003KJ161），基于Linux通過公網IP加密隧道實現Cernet遠程互連的研究。

篇9

論文摘要:隨著計算機的飛速發展以及網絡技術的普遍應用，隨著信息時代的來臨，信息作為一種重要的資源正得到了人們的重視與應用。因特網是一個發展非常活躍的領域，可能會受到黑客的非法攻擊，所以在任何情況下，對于各種事故，無意或有意的破壞，保護數據及其傳送、處理都是非常必要的。計劃如何保護你的局域網免受因特網攻擊帶來的危害時，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。本文介紹了防火墻技術的基本概念、系統結構、原理、構架、入侵檢測技術及VPN等相關問題。

Abstract:Along with the fast computer development and the universal application of the network technology， along with information times coming up on， Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers， It is very necessary for data’s protection， delivery and protection against various accidents， intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering， which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level.....

第一章 緒論

§1.1概述

隨著以 Internet為代表的全球信息化浪潮的來臨，信息網絡技術的應用正日益廣泛，應用層次正在深入，應用領域也從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，其中以黨政系統、大中院校網絡系統、銀行系統、商業系統、管理部門、政府或軍事領域等為典型。伴隨網絡的普及，公共通信網絡傳輸中的數據安全問題日益成為關注的焦點。一方面，網絡化的信息系統提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統效率和可靠性，并且還具備可擴充性。另一方面，也正是由于具有這些特點增加了網絡信息系統的不安全性。

開放性的網絡，導致網絡所面臨的破壞和攻擊可能是多方面的，例如:可能來自物理傳輸線路的攻擊，也可以對網絡通信協議和實現實施攻擊，可以是對軟件實施攻擊，也可以對硬件實施攻擊。國際性的網絡，意味著網絡的攻擊不僅僅來自本地網絡的用戶，也可以來自 linternet上的任何一臺機器，也就是說，網絡安全所面臨的是一個國際化的挑戰。開放的、國際化的 Internet的發展給政府機構、企事業單位的工作帶來了革命性的變革和開放，使得他們能夠利用 Internet提高辦事效率、市場反應能力和競爭力。通過 Internet，他們可以從異地取回重要數據，同時也面臨 Internet開放所帶來的數據安全的挑戰與危險。如何保護企業的機密信息不受黑客和工業間諜的入侵，己成為政府機構、企事業單位信息化建設健康發展所要考慮的重要因素之一。廣泛分布的企業內部網絡由公共網絡互聯起來，這種互聯方式面臨多種安全威脅，極易受到外界的攻擊，導致對網絡的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國內己有許多成熟的防火墻及其他相關安全產品，并且這些產品早已打入市場，但是對于安全產品來說，要想進入我軍部隊。我們必須自己掌握安全測試技術，使進入部隊的安全產品不出現問題，所以對網絡安全測試的研究非常重要，具有深遠的意義。

§1.2本文主要工作

了解防火墻的原理 、架構、技術實現

了解防火墻的部署和使用配置

熟悉防火墻測試的相關標準

掌握防火墻產品的功能、性能、安全性和可用性的測試方法

掌握入侵檢測與VPN的概念及相關測試方法

第二章 防火墻的原理 、架構、技術實現

§2.1什么是防火墻？

防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。

§2.2防火墻的原理

隨著網絡規模的擴大和開放性的增強，網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節點的網絡，它們可能運行著不同的操作系統，當發現了安全缺陷時，每個可能被影響的節點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻 (Firewall)，防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備，作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞. DMZ外網和內部局域網的防火墻系統。

§2.3防火墻的架構

防火墻產品的三代體系架構主要為：

第一代架構：主要是以單一cpu作為整個系統業務和管理的核心，cpu有x86、powerpc、mips等多類型，產品主要表現形式是pc機、工控機、pc-box或risc-box等；

第二代架構：以np或asic作為業務處理的主要核心，對一般安全業務進行加速，嵌入式cpu為管理核心，產品主要表現形式為box等；

第三代架構：iss（integrated security system）集成安全體系架構，以高速安全處理芯片作為業務處理的主要核心，采用高性能cpu發揮多種安全業務的高層應用，產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性能高，各單元及系統更為靈活。

§2.4防火墻的技術實現

從Windows軟件防火墻的誕生開始，這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進化與升級。從最早期的只能分析來源地址，端口號以及未經處理的報文原文的封包過濾防火墻，后來出現了能對不同的應用程序設置不同的訪問網絡權限的技術；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時候單純的一個截包丟包，堵截IP和端口的工具，發展到了今天功能強大的整體性的安全套件。

第三章 防火墻的部署和使用配置

§ 3.1防火墻的部署

雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻，但由于監測型防火墻技術的實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代型產品為主，但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求，同時也能有效地控制安全系統的總擁有成本。

實際上，作為當前防火墻產品的主流趨勢，大多數服務器（也稱應用網關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的，應用網關能提供對協議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過應用，應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。

----那么我們究竟應該在哪些地方部署防火墻呢？

----首先，應該安裝防火墻的位置是公司內部網絡與外部 Internet的接口處，以阻擋來自外部網絡的入侵；其次，如果公司內部網絡規模較大，并且設置有虛擬局域網(VLAN)，則應該在各個VLAN之間設置防火墻；第三，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

§ 3.2 防火墻的使用配置

一、防火墻的配置規則：

沒有連接的狀態(沒有握手或握手不成功或非法的數據包)，任何數據包無法穿過防火墻。(內部發起的連接可以回包。通過ACL開放的服務器允許外部發起連接)

inside可以訪問任何outside和dmz區域。

dmz可以訪問outside區域。

inside訪問dmz需要配合static(靜態地址轉換)。

outside訪問dmz需要配合acl(訪問控制列表)。

二、防火墻設備的設置步驟：

1、確定設置防火墻的部署模式；

2、設置防火墻設備的IP地址信息（接口地址或管理地址（設置在VLAN 1上））；

3、設置防火墻設備的路由信息；

4、確定經過防火墻設備的IP地址信息（基于策略的源、目標地址）；

5、確定網絡應用（如FTP、EMAIL等應用）；

6、配置訪問控制策略。

第四章 防火墻測試的相關標準

防火墻作為信息安全產品的一種，它的產生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率，更是為了保證國家信息的安全。依照中華人民共和國國家標準GB/T 18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網絡服務器的安全技術要求》以及多款防火墻隨機提供的說明文檔，中國軟件評測中心軟件產品測試部根據有關方面的標準和不同防火墻的特點整理出以下軟件防火墻的測試標準：

4.1 規則配置方面

要使防火墻軟件更好的服務于用戶，除了其默認的安全規則外，還需要用戶在使用過程中不斷的完善其規則；而規則的設置是否靈活方便、實際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標準。簡單快捷的規則配置過程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應用程序、文件或注冊表鍵值實施單獨的規則添加等等，這將成為此款軟件防火墻規則配置的一個特色。

§ 4.2 防御能力方面

對于防火墻防御能力的表現，由于偶然因素太多，因此無法從一個固定平等的測試環境中來得出結果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結果可能仍然有一定的出入，但大致可以做為一個性能參考。

§ 4.3 主動防御提示方面

對于網絡訪問、系統進程訪問、程序運行等本機狀態發生改變時，防火墻軟件一般都會有主動防御提示出現。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應的操作選擇。

§ 4.4 自定義安全級別方面

用戶是否可以參照已有安全級別的安全性描述來設置符合自身特殊需要的規則。防火墻可設置系統防火墻的安全等級、安全規則，以防止電腦被外界入侵。一般的防火墻共有四個級別：

高級：預設的防火墻安全等級，用戶可以上網，收發郵件；l

中級：預設的防火墻安全等級，用戶可以上網，收發郵件，網絡聊天， FTP、Telnet等；l

低級：預設的防火墻安全等級，只對已知的木馬進行攔截，對于其它的訪問，只是給于提示用戶及記錄；l

自定義：用戶可自定義防火墻的安全規則，可以根據需要自行進行配置。l

§ 4.5 其他功能方面

這主要是從軟件的擴展功能表現、操作設置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網址、實施木馬掃描、阻止彈出廣告窗口、將未受保護的無線網絡“學習”為規則、惡意軟件檢測、個人隱私保護等豐富的功能項，是否可以滿足用戶各方面的需要。

§ 4.6 資源占用方面

這方面的測試包括空閑時和瀏覽網頁時的CPU占用率、內存占有率以及屏蔽大量攻擊時的資源占用和相應速度。總的來是就是資源占用率越低越好，啟動的速度越快越好。

§ 4.7 軟件安裝方面

這方面主要測試軟件的安裝使用是否需要重啟系統、安裝過程是不是方便、安裝完成后是否提示升級本地數據庫的信息等等。

§ 4.8 軟件界面方面

軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善，相反地，簡化了用戶的操作設置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項，這方便用戶根據不同的安全級別啟動相應的防護

第五章 防火墻的入侵檢測

§ 5.1 什么是入侵檢測系統？

入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程，它不僅檢測來自外部的入侵行為，同時也檢測內部用戶的未授權活動。

入侵檢測系統 (IDS)是從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認為是防火墻之后的第二道安全閘門，它作為一種積極主動的安全防護技術，從網絡安全立體縱深、多層次防御的角度出發，對防范網絡惡意攻擊及誤操作提供了主動的實時保護，從而能夠在網絡系統受到危害之前攔截和響應入侵

§ 5.2 入侵檢測技術及發展

自1980年產生IDS概念以來，已經出現了基于主機和基于網絡的入侵檢測系統，出現了基于知識的模型識別、異常識別和協議分析等入侵檢測技術，并能夠對百兆、千兆甚至更高流量的網絡系統執行入侵檢測。

入侵檢測技術的發展已經歷了四個主要階段：

第一階段是以基于協議解碼和模式匹配為主的技術，其優點是對于已知的攻擊行為非常有效，各種已知的攻擊行為可以對號入座，誤報率低;缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測，漏報率高。

第二階段是以基于模式匹配+簡單協議分析+異常統計為主的技術，其優點是能夠分析處理一部分協議，可以進行重組;缺點是匹配效率較低，管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。

第三階段是以基于完全協議分析+模式匹配+異常統計為主的技術，其優點是誤報率、漏報率和濫報率較低，效率高，可管理性強，并在此基礎上實現了多級分布式的檢測管理;缺點是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協議分析+模式匹配+異常統計為主的技術，其優點是入侵管理和多項技術協同工作，建立全局的主動保障體系，具有良好的可視化、可控性和可管理性。以該技術為核心，可構造一個積極的動態防御體系，即IMS——入侵管理系統。

新一代的入侵檢測系統應該是具有集成HIDS和NIDS的優點、部署方便、應用靈活、功能強大、并提供攻擊簽名、檢測、報告和事件關聯等配套服務功能的智能化系統

§ 5.3入侵檢測技術分類

從技術上講，入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協議分析三類。而主要的入侵檢測方法有特征檢測法、概率統計分析法和專家知識庫系統。

(1)基于知識的模式識別

這種技術是通過事先定義好的模式數據庫實現的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規則時，根據模式匹配原則判別是否發生了攻擊行為。

模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。

(2)基于知識的異常識別

這種技術是通過事先建立正常行為檔案庫實現的，其基本思想是：首先把主體的各種正常活動用某種形式描述出來，并建立“正常活動檔案”，當某種活動與所描述的正常活動存在差異時，就認為是“入侵”行為，進而被檢測識別。

異常識別的關鍵是描述正常活動和構建正常活動檔案庫。

利用行為進行識別時，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為，并具有簡單的學習功能。

以下是幾種基于知識的異常識別的檢測方法：

1)基于審計的攻擊檢測技術

這種檢測方法是通過對審計信息的綜合分析實現的，其基本思想是：根據用戶的歷史行為、先前的證據或模型，使用統計分析方法對用戶當前的行為進行檢測和判別，當發現可疑行為時，保持跟蹤并監視其行為，同時向系統安全員提交安全審計報告。

2)基于神經網絡的攻擊檢測技術

由于用戶的行為十分復雜，要準確匹配一個用戶的歷史行為和當前的行為是相當困難的，這也是基于審計攻擊檢測的主要弱點。

而基于神經網絡的攻擊檢測技術則是一個對基于傳統統計技術的攻擊檢測方法的改進方向，它能夠解決傳統的統計分析技術所面臨的若干問題，例如，建立確切的統計分布、實現方法的普遍性、降低算法實現的成本和系統優化等問題。

3)基于專家系統的攻擊檢測技術

所謂專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的，它根據專家經驗進行推理判斷得出結論。例如，當用戶連續三次登錄失敗時，可以把該用戶的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測技術

攻擊者在入侵一個系統時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種系統就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的系統建立特定的攻擊腳本。

使用基于知識的模式識別和基于知識的異常識別所得出的結論差異較大，甚至得出相反結論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫，它對已知攻擊可以詳細、準確地報告出攻擊類型，但對未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結論的，它雖無法準確判斷出攻擊的手段，但可以發現更廣泛的、甚至未知的攻擊行為。

§ 5.4入侵檢測技術剖析

1）信號分析

對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網絡入侵和系統已有模式數據庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

3）統計分析

統計分析方法首先給系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。例如，本來都默認用GUEST帳號登錄的，突然用ADMINI帳號登錄。這樣做的優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法，目前正處于研究熱點和迅速發展之中。

4）完整性分析

完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發現被更改的、被特咯伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，用于事后分析而不用于實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統進行全面地掃描檢查。

§ 5.5防火墻與入侵檢測的聯動

網絡安全是一個整體的動態的系統工程，不能靠幾個產品單獨工作來進行安全防范。理想情況下，整個系統的安全產品應該有一個響應協同，相互通信，協同工作。其中入侵檢測系統和防火墻之間的聯動就能更好的進行安全防護。圖8所示就是入侵檢測系統和防火墻之間的聯動，當入侵檢測系統檢測到入侵后，通過和防火墻通信，讓防火墻自動增加規則，以攔截相關的入侵行為，實現聯動聯防。

§ 5.6什么是VPN ?

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或Windows 2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網絡建立虛擬私有網。

虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

§ 5.7VPN的特點

1.安全保障雖然實現VPN的技術和方式很多，但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面，由于VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。

2.服務質量保證（QoS）

VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網絡優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，使實時性要求高的數據得不到及時發送；而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優先級分實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。

3.可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

4.可管理性

從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

§ 5.8 VPN防火墻

VPN防火墻就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統統過濾掉。在網絡的世界里，要由VPN防火墻過濾的就是承載通信數據的通信包。

最簡單的VPN防火墻是以太網橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用。大多數VPN防火墻采用的技術和標準可謂五花八門。這些VPN防火墻的形式多種多樣：有的取代系統上已經裝備的TCP/IP協議棧；有的在已有的協議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統。還有一些應用型的VPN防火墻只對特定類型的網絡連接提供保護（比如SMTP或者HTTP協議等）。還有一些基于硬件的VPN防火墻產品其實應該歸入安全路由器一類。以上的產品都可以叫做VPN防火墻，因為他們的工作方式都是一樣的：分析出入VPN防火墻的數據包，決定放行還是把他們扔到一邊。

所有的VPN防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖，兩個網段之間隔了一個VPN防火墻，VPN防火墻的一端有臺UNIX計算機，另一邊的網段則擺了臺PC客戶機。

當PC客戶機向UNIX計算機發起telnet請求時，PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發送。接下來，協議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里，這個IP包必須經過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機。

現在我們“命令”（用專業術語來說就是配制）VPN防火墻把所有發給UNIX計算機的數據包都給拒了，完成這項工作以后，比較好的VPN防火墻還會通知客戶程序一聲呢！既然發向目標的IP數據沒法轉發，那么只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。

還有一種情況，你可以命令VPN防火墻專給那臺可憐的PC機找茬，別人的數據包都讓過就它不行。這正是VPN防火墻最基本的功能：根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了，由于黑客們可以采用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統面臨的最主要挑戰有兩個：一個是虛警率太高，一個是檢測速度太慢。現有的入侵檢測系統還有其他技術上的致命弱點。因此，可以這樣說，入侵檢測產品仍具有較大的發展空間，從技術途徑來講，除了完善常規的、傳統的技術（模式識別和完整性檢測）外，應重點加強統計分析的相關技術研究。

但無論如何，入侵檢測不是對所有的入侵都能夠及時發現的，即使擁有當前最強大的入侵檢測系統，如果不及時修補網絡中的安全漏洞的話，安全也無從談起。

同樣入侵檢測技術也存在許多缺點，IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現在以下幾個方面：

1)利用加密技術欺騙IDS;

2)躲避IDS的安全策略;

3)快速發動進攻，使IDS無法反應;

4)發動大規模攻擊，使IDS判斷出錯;

5)直接破壞IDS;

6)智能攻擊技術，邊攻擊邊學習，變IDS為攻擊者的工具。

我認為在與防火墻技術結合中應該注意擴大檢測范圍和類別、加強自學習和自適應的能力方面發展。

參考文獻 ：

1..Marcus Goncalves著。宋書民，朱智強等譯。防火墻技術指南[M]。機械工業出版社

2.梅杰，許榕生。Internet防火墻技術新發展。微電腦世界 .

3.Ranum M J. Thinking About Firewalls.

篇10

關鍵詞： 安全隱患； 全網動態安全體系模型； 信息安全化； 安全防御

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2016）12-46-03

Abstract： This paper studies the modern campus network information security， the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model （APPDRR）， through the research of the mainstream network information security technology of the modern campus network， puts forward the solution of each layer of the modern campus network security， and applies it to all aspects of the modern campus network， to build a modern campus network of the overall security defense system.

Key words： hidden danger； APPDRR； information security； security defense

0 引言

隨著現代校園網接入互聯網以及各種應用急劇增加，在享受高速互聯網帶來無限方便的同時，我們也被各種層次的安全問題困擾著。現代校園網絡安全是一個整體系統工程，必須要對現代校園網進行全方位多層次安全分析，綜合運用先進的安全技術和產品，制定相應的安全策略，建立一套深度防御體系[1]，以自動適應現代校園網的動態安全需求。

1 現代校園網絡的安全隱患分析

現代校園網作為信息交換平臺重要的基礎設施，承擔著教學、科研、辦公等各種應用，信息安全隱患重重，面臨的安全威脅可以分為以下幾個層面。

⑴ 物理層的安全分析：物理層安全指的是網絡設備設施、通信線路等遭受自然災害、意外或人為破壞，造成現代校園網不能正常運行。在考慮現代校園網安全時，首先要考慮到物理安全風險，它是整個網絡系統安全的前提保障。

⑵ 網絡層的安全分析：網絡層處于網絡體系結構中物理層和傳輸層之間，是網絡入侵者進入信息系統的渠道和通路，網絡核心協議TCP/IP并非專為安全通信而設計，所以網絡系統存在大量安全隱患和威脅。

⑶ 系統層的安全分析：現代校園網中采用的各類操作系統都不可避免地存在著安全脆弱性，并且當今漏洞被發現與漏洞被利用之間的時間差越來越小，這就使得所有操作系統本身的安全性給整個現代校園網系統帶來巨大的安全風險。

⑷ 數據層的安全分析：數據審計平臺的原始數據來源各種應用系統及設備，采集引擎實現對網絡設備、安全設備、操作系統、應用服務等事件收集，采用多種方式和被收集設備進行數據交互，主要面臨著基于應用層數據的攻擊。

⑸ 應用層的安全分析[2]：為滿足學校教學、科研、辦公等需要，在現代校園網中提供了各層次的網絡應用，用戶提交的業務信息被監聽或篡改等存在很多的信息安全隱患，主機系統上運行的應用軟件系統采購自第三方，直接使用造成諸多安全要素。

⑹ 管理層的安全分析：人員有各種層次，對人員的管理和安全制度的制訂是否有效，影響由這一層次所引發的安全問題。

⑺ 非法入侵后果風險分析：非法入侵者一旦獲得對資源的控制權，就可以隨意對數據和文件進行刪除和修改，主要有篡改或刪除信息、公布信息、盜取信息、盜用服務、拒絕服務等。

2 現代校園網安全APPDRR模型提出

全網動態安全體系模型[3]（APPDRR）從建立全網自適應的、動態安全體系的角度出發，充分考慮了涉及網絡安全技術的六方面，如風險分析（Analysis）、安全策略（Policy）、安全防護（Protection）、安全檢測（Detection）、實時響應（Response）、數據恢復（Recovery）等，并強調各個方面的動態聯系與關聯程度。現代校園網安全模型如圖1所示，該模型緊緊圍繞安全策略構建了五道防線：第一道防線是風險分析，這是整體安全的前提和基礎；第二道防線是安全防護，阻止對現代校園網的入侵和破壞；第三道防線是安全監測，及時跟蹤發現；第四道防線是實時響應，保證現代校園網的可用性和可靠性；第五道防線是數據恢復，保證有用的數據在系統被入侵后能迅速恢復，并把災難降到最低程度。

3 現代校園網主流網絡信息安全化的技術研究

為了保護現代校園網的信息安全，結合福建農業職業技術學院網絡的實際需求，現代校園網信息中心將多種安全措施進行整合，建立一個立體的、完善的、多層次的現代校園網安全防御體系，主要技術有加解密技術、防火墻技術、防病毒系統、虛擬專用網、入侵防護技術、身份認證系統、數據備份系統和預警防控系統等，如圖2所示。

3.1 加解密技術

現代校園網中將部署各種應用系統，許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性，需運用先進的對稱密碼算法、公鑰密碼算法、數字簽名技術、數字摘要技術和密鑰管理分發等加解密技術。

3.2 防火墻技術

防火墻技術是網絡基礎設施必要的不可分割的組成元素，是構成現代校園網信息安全化不可缺少的關鍵部分。它按照預先設定的一系列規則，對進出內外網之間的信息數據流進行監測、限制和過濾，只允許匹配規則的數據通過，并能夠記錄相關的訪問連接信息、通信服務量以及試圖入侵事件，以便管理員分析檢測、迅速響應和反饋調整。

3.3 防病毒系統

抗病毒技術可以及時發現內外網病毒的入侵和破壞，并通過以下兩種有效的手段進行相應地控制：一是有效阻止網絡病毒的廣泛傳播，采用蜜罐技術、隔離技術等；二是殺毒技術，使用網絡型防病毒系統進行預防、實時檢測和殺毒技術，讓現代校園網系統免受其危害。

3.4 虛擬專用網

虛擬專用網（全稱為Virtual Private NetWork，簡稱VPN）指的是通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對現代校園網內部網的擴展，由若干個不同的站點組成的集合，一個站點可以屬于不同的VPN，站點具有IP連通性，VPN間可以實現防問控制[4]。使用VPN的學校不僅提升了效率，而且學校各校區間的連接更加靈活。只要能夠上網，各校區均可以安全訪問到主校區網。使用VPN數據加密傳輸，保證信息在公網中傳輸的私密性和安全性。VPN按OSI參考模型分層來分類有：①數據鏈路層有PPTP、L2F和L2TP；②網絡層有GRE、IPSEC、 MPLS和DMVPN；③應用層有SSL。

3.5 入侵防護技術

入侵防護技術包含入侵檢測系統（IDS）和入侵防御系統（IPS）。IDS可以識別針對現代校園網資源或計算機的惡意企圖和不良行為，并能對此及時作出防控。IDS不僅能夠檢測未授權對象（人或程序）針對系統的入侵企圖或行為，同時能監控授權對象對系統資源的非法操作，提高了現代校園網的動態安全保護。IPS幫助系統應對現代校園網的有效攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和及時響應），提高現代校園網基礎結構的完整性。

3.6 身份認證系統

現代校園網殊部門（如檔案、財務、招生等）要建設成系統。要采用身份認證系統[5]，應建立相應的身份認證基礎平臺，加強用戶的身份認證，防止對網絡資源的非授權訪問以及越權操作，加強口令的管理。

3.7 數據備份系統

在現代校園網系統中建立安全可靠的數據備份系統是保證現代校園網系統數據安全和整體網絡可靠運行的必要手段，可保證在災難突發時，系統及業務有效恢復。現代校園網的數據備份系統平臺能實時對整個校園網的數據及系統進行集中統一備份，備份策略采用完全備份與增量備份相結合的方式。

3.8 預警防控系統

現代校園網絡安全管理人員必須對整個校園網體系的安全防御策略及時地進行檢測、修復和升級，嚴格履行國家標準的信息安全管理制度，構建現代校園網統一的安全管理與監控機制，能實行現代校園網統一安全配置，調控多層面分布式的安全問題，提高現代校園網的安全預警能力，加強對現代校園網應急事件的處理能力，切實建立起一個方便快捷、安全高效的現代校園網預警防控系統，實現現代校園網信息安全化的可控性。

4 現代校園網絡安全問題的解決方案

通過對現代校園網主流網絡信息安全化技術的深入研究，針對現代校園網的安全隱患，提出現代校園網絡安全問題的各層解決方案。

⑴ 物理層安全：主要指物理設備的安全，機房的安全等，包括物理層的軟硬件設備安全性、設備的備份、防災害能力、防干擾能力、設備的運行環境和不間斷電源保障等。相關環境建設和硬件產品必須按照我國相關國家標準執行。

⑵ 網絡層安全：針對現代校園網內部不同的業務部門及應用系統安全需求進行安全域劃分，并按照這些安全功能需求設計和實現相應的安全隔離與保護措施[6]，采用核心交換機的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現信息安全化。

⑶ 系統層安全：現代校園網管理平臺的主機選擇安全可靠的操作系統，采取以下技術手段進行安全防護：補丁分發技術、系統掃描技術、主機加固技術、網絡防病毒系統。

⑷ 數據層安全：主要使用數據庫審計系統進行監控管理，對審計記錄結果進行保存，檢索和查詢，按需審計；同時還能夠對危險行為進行報警及阻斷，并提供對數據庫訪問的統計和分析，實現分析結果的可視化，能夠針對數據庫性能進行改進提供參考依據。

⑸ 應用層安全：應用層安全的安全性策略包括用戶和服務器間的雙向身份認證、信息和服務資源的訪問控制和訪問資源的加密，并通過審計和記錄機制，確保服務請求和資源訪問的防抵賴。

⑹ 管理層安全：現代校園網應依法來制訂安全管理制度，提供數據審計平臺。一方面，對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。另一方面，當事故發生后，提供黑客攻擊行為的追蹤線索及破案依據，實現對網絡的可控性與可審查性。

5 構筑現代校園網的整體安全防御體系

現代校園網絡安全問題的各層解決方案綜合應用到實際工作環境中，在配套安全管理制度規范下[7]，現代校園網可實現全方位多層次的信息安全化管理，配有一整套完備的現代校園網安全總需求分析、校園網風險分析、風險控制及安全風險評估、安全策略和布署處置、預警防控系統、安全實時監控系統、數據審計平臺、數據存儲備份與恢復等動態自適應的防御體系，可有效防范、阻止和切斷各種入侵者，構筑現代校園網的整體安全屏障。

6 結束語

信息安全化是現代校園網實施安全的有效舉措，并建立一套切實可行的現代校園網絡安全保護措施，提高現代校園網信息和應急處置能力，發揮現代校園網服務教學、科研和辦公管理的作用。現代網絡的高速發展同時伴隨著種種不確定的安全因素，時時威脅現代校園網的健康發展，要至始至終保持與時俱進的思想，適時調整相應的網絡安全設備。

參考文獻（Reference）：

[1] [美]Sean Convery著，王迎春，謝琳，江魁譯.網絡安全體系結

構[M].人民郵電出版社，2005.

[2] Cbris McNab著，王景新譯.網絡安全評估[M].中國電力出版

社，2006.

[3] 陳杰新.校園網絡安全技術研究與應用[J].吉林大學碩士學

位論文，2010.

[4] Teare D.著，袁國忠譯.Cisco CCNP Route學習指南[M].北京

人民郵電出版社.2011.

[5] 張彬.高校數字化校園安全防護與管理系統設計與實現[D].

電子科技大學碩士學位論文，2015.5.

[6] 彭勝偉.高校校園計算機網絡設計與實現[J].無線互聯技術，

2012.11.