发布时间 : 星期四 文章毕业论文-基于GRE-over-IPsec-VPN设计与仿真更新完毕开始阅读97badd42366baf1ffc4ffe4733687e21af45ffa1
第一章 网络安全与VPN简介
1.1网络安全简介
随着互联网的深入发展和应用,在其带给人类越来越多的利益之时,网络中的各种威胁也随之而来,并且日积月累,已经发展成为威胁各种网络的重大因素,其中涉及到国家信息机密安全、企业信息安全以及家庭甚至个人的网络信息安全。
1、网络安全的由来
网络安全可分为三个基本类型:
网络策略定义中的弱点,包括业务和安全策略弱点,而这些策略则是网络正常运行的先决条件。
计算机技术弱点,包括网络信息运行协议和操作系统等的安全弱点。 设备配置中的弱点,包括网络设备的设定、配置和管理。 2、网络安全的威胁类型
安全威胁主要来自两个方面,即网络外部用户和内部用户。绝大多数的网络的安全威胁来自于内部,所以在进行网络安全设计时,必须通过内部措施处理这个问题,以保护重要资源。
安全威胁的基本方式分为无组织的和有组织的两种威胁类型,其中无组织的威胁是指由于缺乏经验而崇拜黑客的人试图获得对网络的访问时形成的安全威胁。任何人均可以通过互联网获得很多工具用来发现网络中的安全弱点,这些工具包括端口扫描工具、地址扫描工具以及其他很多工具。
另一方面,有组织的威胁是由技术训练有素的人试图获得对网络访问时实施的。这些黑客建立和使用很高级的工具攻入网络或者干扰网络中正常运行的各种服务。
以上描述了网络安全威胁的基本组件,谈到威胁的分类,则通常通过以下术语进行分类:
勘测攻击:黑客试图获得相关网络的信息,包括网络拓扑、网络中的设备、在设备上运行的软件以及应用到设备上的配置。
访问攻击:黑客企图获得对网络和网络资源的未授权的或者非法的访问。
拒绝访问攻击,即DoS攻击:黑客企图拒绝到特定资源的合法流量和用户访问,或者至少降低对资源的服务质量。
3、网络安全解决方案
一个较好的网络安全解决方案应该具备以下基本条件:易于使用和实施、应该使公司能够在网络中开发和部署新的应用;应该使公司能以一个安全的方式使用Internet。
思科在网络安全设计方面则有一套安全轮形图,其中包含四个步骤,即:保护网络安全、监控网络安全、测试网络安全和改进网络安全。
其安全轮形图如下图1.1[1]:
1
图1.1 网络安全轮形图
1.2 VPN技术简介
1、VPN技术的由来
众所周知,计算机网络发展之初,随着计算机科技的飞速发展,以及计算机互联给人民所带来的便利逐步得到人类的认可,计算机网逐步演化到世界的各个角落,随之诞生的各种网络安全犹如前文所述。但是在当今经济腾飞、科技发达的世界里,地域之间、企业之间以及个体之间无时无刻不需要互联,而这必然也面临诸多问题。于是,人类逐步想了诸多解决办法。
首先,如果不同区域间的计算机内网相互通信,必然会穿越互联网,这很显然会将自己的内部局域网在互联网上公之于众,必然面临诸多网络安全威胁。网络设计之初,很多网络设计者解决上述问题的最简单直接的办法就是在不同区域间的内部局域网之间铺设自己的专用物理链路,这样就会增加网络建设的开支。同时随着自身发展需求的不断增大,自身的内部局域网也逐步壮大和扩散,这样将会使得自身铺设的物理链路剧增,会使得自身的网络建设费用随之剧增。面对这样的难题,一般的区域网络建设者和使用者,是无法承受得起这么一笔高额费用。显而易见,这种解决上述难题的办法在当今互联网世界里是不切合实际的。
其次,后来随着网络运营商的发展及其不断壮大,很多区域内部网之间的互联,便通过租用运营商的网络链路来成为自身不同区域内部网络之间互联的专用链路,这样就必须向运营商提供费用不菲的链路租费。虽然这种解决办法相对于前者来说更加经济便捷,但是这种费用也不是一笔小的开支,也会使得相当大规模的网络使用者无法承受。同时运营商只将自己的这部分物理链路租用给一家网络,这显然使得运营商的物理链路没有得到更高的使用效率,浪费运营商的物理网络资源。
后来,人们便又逐渐想出很多种办法来弥补上述的不足,比如远程拨入,这种网络互连方法只能满足那些在流量需求相对比较小、覆盖范围比较小的情况,对于覆盖范围大、流量需求大的网络互联则体现出远程拨入的弱势。
在当今互联网的应用当中,有一种虚拟的隧道技术穿越互联网,以达到内部网络之间,以及其他一些不需要外部网络知晓的网络通信之间相互互联的目的。首先,这种虚拟隧道
2
技术不需要铺设实际的物理链路,也不需要租用运营商的物理链路,当然也就不必支付高额的费用;其次,此技术在达到比前面所述解决方案更加优越的效果,还带来了更加宽泛的网络互连域,提供了更加安全的互联通信,因为很多虚拟隧道技术采用了安全加密技术进行数据通信。
以上所最终演变出来的虚拟隧道技术所形成的互联互通的网络技术,就是今天众口皆碑的虚拟专用网技术,即VPN技术。 2. VPN技术简介
虚拟专用网(VPN)是通过互联网来临时建立一个临时的、安全的网络连接,是一种穿越互联网的安全、稳定的虚拟隧道。VPN是内部网络通过互联网的一种扩展,可以帮助远程用户、分支机构、业务伙伴以及自身与供应商之间建立可信的安全连接,来保障安全的数据通信与互联。
VPN可以根据需要提供可加密、可认证、可防火墙的功能,是穿越互联网而虚拟隧道化的一种技术,因此可见,VPN是通过四项安全保障技术来保障安全数据传输的,四项安全保障技术为:隧道技术、加解密技术、密钥管理技术以及发送方与接收方之间的相互认证技术。
VPN同实际物理链路网络一样,其中有时根据需要也要运行某种网络协议,VPN常用的协议有以下几种:
IPSec协议:IPSec是保护IP协议安全通信的标准,它主要对IP协议分组进行加密和认证,后续章节将对其进行详细论述,此处不再深入。
GRE协议:GRE协议是VPN的第三层隧道协议,后续章节将对其进行详细论述,此处不再深入。
SSL协议:SSL(Secure Sockets Layer 安全套接层)协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
MPLS[2]:多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。MPLS 独立于第二和第三层协议,看似属于第2.5层协议。它提供了一种方式,将 IP 地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。
基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来,形成一个统一的网络,传统的VPN一般是通过GRE(Generic Routing Encapsulation)、L2TP(Layer 2 Tunneling Protocol)、PPTP(Point to Point Tunneling Protocol)、IPSec协议等隧道协议来实现私有网络间数据流在公网上的传送。MPLS VPN相对于其他VPN,采用MPLS组建的VPN具有更好的可维护性及可扩展性,MPLS VPN更适合于组建大规模的复杂的VPN。
PPTP:Point to Point Tunneling Protocol,即点到点隧道协议,其功能由两部分构成:访问集中器PAC和网络服务器PNS,而PPTP则是在二者之间实现,而且二者之间并不包括其他系统。其工作原理很简单:第一步,具有PAC的远程计算机用户拨号接入使用PPP的本地ISP的网络访问服务器(NAS);第二步,PAC通过PPP连接建立一条控制信道,并且通过互联网连接到属于本地网络的PNS;第三步,通过控制隧道协商PPTP隧道参数,
3
建立PPTP隧道;第四步,通过PAC与PNS之间的PPTP隧道,从远程用户建立进入专用NAS的PPP连接;第五步,完成以上四个步骤之后,一个PPTP VPN就建立起来,进而进行相应的网络数据通信。适用于远程拨号连接的VPN网络环境。
L2F协议:Layer 2 Forwarding,即第二层转发协议。它允许通信载体和其他服务提供商提供远程拨号接入,其在某些方面和PPTP有些相似。
L2TP:Layer 2 Tunneling Protocol,即第二层隧道协议,与PPTP和L2F相似,三者只是基于不同的网络设备和设备生产商基于不同的目的而开发的。
3、VPN的分类
根据VPN运行的协议来划分:
由1.2.2节几种协议的介绍,VPN按照上述协议则可结合相应的协议形成一种VPN,同时集中协议相互结合后再集合VPN技术又形成多种VPN技术。
根据VPN的加密特别可以划分为三种,即:加密VPN、非加密VPN和混合VPN。其中所为混合VPN则是加密VPN和非加密VPN结合的产物[1]。
以上两种划分方式并非没有关联,相反则是相互包含,比如加密VPN有IPSec VPN和SSL VPN等,非加密VPN则有非数据严格加密的GRE VPN等,混合VPN则如本课题所涉及到的GRE over IPSec VPN和IPSec over GRE VPN,等等。
4