如何构建更安全VPN校园网络.docxVIP

如何构建更安全VPN校园网络 一、前言 随着IPV4协议在各种局域网络中的应用，来自网络内 部的安全威胁变得越来越突出，而IPV4协议上的安全漏洞 加剧了网络的安全风险。为了保证网络免受各种攻击的威 胁，网络的使用者不得不采用专门的技术来防止各种恶意攻 击，而这些技术的采用往往需要购置额外的设备，进行繁琐 的网络配置从而保证网络的安全。IPv6中直接将IPSec作为 必选协议引入到其安全机制当中，从而很好的解决了网络层 端到端的安全性问题。 二、实现VPN的主要技术 目前建设VPN使用最广的技术是IPSEC和SSL,下面就 对IPSEC和SSL两技术的实现原理进行介绍，并根据两种技 术的特点提出合适的VPN设计方案。 (一)IPSec VPN 的布局 星形VPN部署 许多用户的网络结构包括总部和多处分支机构，为了达 到分支机构之间的互通，我们可以采用全连通(Full Mesh) 的部署。但这种方法拓展性不好，当分支机构的数目增多时, VPN数量以N2的速度增长。星形部署VPN解决了这个问题。 每一个分支机构只建一个VPN到总部，这条VPN不仅作为 分支到总部的加密通道，而且分支机构之间的通信也是通过 它完成，分支机构通过总部通信。 拨号VPN 在总部一分支机构的案例里，当分支机构的数量增加 时，在总部的配置也变得越来越繁琐。拨号VPN应运而生。 拨号VPN在总部配置一个VPN模板。当一个分支机构连入 时，一个动态的VPN隧道在总部方自动生。拨号VPN可以 使用预共享密钥或证书(PKI)做认证。 (二)SSL 技术 VPN SSL VPN 原理 所谓的SSL VPN是指使用者利用浏览器内建的Secure Socket Layer封包处理功能，用浏览器连回用户内部SSL VPN 服务器，然后透过网络封包转向的方式，让使用者可以在远 程计算机执行应用程序，读取用户内部服务器数据。它采用 标准的安全套接层(SSL)对传输中的数据包进行加密，从 而在应用层保护了数据的安全性。高质量的SSL VPN解决方 案可保证用户进行安全的全局访问。 SSL VPN的实现 SSL VPN 一般的实现方式是在用户的防火墙后面放置一 个SSL代理服务器。如果用户希望安全地连接到用户网络上, 那么当用户在浏览器上输入一个URL后，连接将被SSL代理 服务器取得，并验证该用户的身份，然后SSL代理服务器将 提供一个远程用户与各种不同的应用服务器之间连接。 三、 IPSec VPN与SSL VPN优劣比较 基于Internet实现多专用网安全连接，IPSec VPN是比 较理想的方案。IPSec工作于网络层，对终端站点间所有传 输数据进行保护，而不管是哪类网络应用。它在事实上将远 程客户端“置于”用户内部网，使远程客户端拥有内部网用 户一样的权限和操作功能。 IPSec VPN要求在远程接入客户端适当安装和配置 IPSec客户端软件和接入设备，这大大提高了安全级别，因 为访问受到特定的接入设备、软件客户端、用户认证机制和 预定义安全规则的限制。 SSL用户仅限于运用Web浏览器接入，这对新型基于Web 的商务应用软件比较合适，但它限制了非Web应用访问，使 得一些文件操作功能难于实现，如文件共享、预定文件备份 和自动文件传输。 四、 实验测试 实验背景：某高校共有两个校区，两个校区分别设有数 据中心，数据中心为了保持数据一致性需要定期实现数据共 享。 解决方案：因为IPSec工作于网络层，对终端站点间所 有传输数据进行保护，所以在这里使用IPSec VPN来实现两 个中心站点间的连接。 数据中心一数据中心 启用IKE协商 routerA (config) ttcrypto isakmp policy 1 routerA (config一isakmap) #hash md5 routerA ( config一isakmap ) ^authentication pre一share rout erA (config) # cryp to isakmp key 123456 address 20. 20. 20. 22 routerB (config) ttcrypto isakmp policy 1 routerB (config一isakmap) #hash md5 routerB (config一isakmap) #authentication pre一share routerB (config) ttcrypto isakmp key 123456 address 20. 20. 20.21 配置IPSec相关参数 routerA ( cnfog ) ttcrypto ipsec trailsform一set test?ah— md5一 hamc esp一