vpn技术论文范文
时间:2023-04-09 00:47:33
导语:如何才能写好一篇vpn技术论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:虚拟专用网vpn远程访问网络安全
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、VPN技术简介
VPN(VirtualPrivateNetwork)即虚拟专用网络,指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和Internet用户的接入,以实现安全快捷的网络连接。
二、基于Internet的VPN网络架构及安全性分析
VPN技术类型有很多种,在互联网技术高速发展的今天,可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用,基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对VPN的常规需求。
2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。
2.2VPN技术安全性分析VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、Windows环境下VPN网络的设计与应用
企业利用Internet网络技术和Windows系统设计出VPN网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,VPN服务端需要建立在Windows服务器的运行环境中,客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。
3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或VPN)”;外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,即赋予了远端用户拨入VPN服务器的权限。
3.2VPN客户端配置VPN客户端适用范围更广,这里以Windows2003为例说明,其它的Windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“VPN服务器选择”窗口里,输入VPN服务端地址,可以是固定IP,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。:
3.3连接后的共享操作当VPN客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业OA,ERP等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献:
篇2
本篇校园网论文介绍加强对新技术在校园网中的应用理论研究,对实际的发展有着重要的指导性。
1 MPLS技术原理及体系结构分析
1.1 MPLS技术原理分析
从实际来看,在传统以IP分组转发的技术方面,主要是在IP分组报头基础上,通过IP地址在路由表当中实施的最长匹配查找。MPLS技术将网络层灵活的路由选择功能及数据链路层高速交换性能特点进行的完美结合,这样就对以往的以IP分组技术为主的局限性得到了优化。另外在这一技术上同时也引进了标签概念,这是比较短并方便处置以及对拓扑信息没有包含的信息内容。这一原理是对标签交换机制进行的引入,也就是将路由控制以及数据转发等进行单独化的处理,从而就为每个IP数据包提供了固定长度标签,就决定了数据包路径及优先级。 1.2 MPLS体系结构分析
MPLS这一体系结构当中,MPLS所使用的短而定长标签封装分组在数据平面实现了快速转发功能,并在这一平面有着IP网络的强大灵活路由功能,对实际所需要的网络需求能够得以有效满足。其体系结构图示如下图1所示,针对核心的LSR主要是在平面进行标签的分组并转发,在LER方面主要是转发平面所进行实施的工作任务,同时也包含了对传统IP分组的转发。
通过上图就能够看出,对这一体系结构起到支持的主要就是显示路由以及逐跳路由,在对MPLS进行实际应用的过程中,实行标记分发过程中也需要对显示路由进行规定,但这一路由并不会对每个IP分组进行规定,这样就会使得MPLS显示路由会比传统IP源点路由在作业额效率上得到很大程度的提升。不仅如此,在对MPLS LSP进行构建的过程中,能够通过有序LSP以及独立LSP进行控制。
2 MPLS VPN技术在校园网中的规划设计及应用
2.1 MPLS VPN技术在校园网中的规划设计分析
通过对相关的技术加以借鉴对校园网要进行详细的规划设计,通过实践之后主要是采取了MPLS/BGP VPN技术作为是实现MPLS VPN业务技术路线所构建的各业务系统虚拟独立网络,而后在各业务系统部门间的可控互通访问。另外就是在MPLS VPN技术支持下通过对IP VPN部署来进行提供安全保证,构建能够实现全网电子信息资源库,以及通过H3C网管平台技术进行实现网管中心对全网MPLS VPN业务的统一管理。具体的规划设计能够通过分校区规划以及主校区规划、共享数据VPN规划的方式进行实现。
2.2 MPLS VPN技术在校园网中的实际应用
通过对MPLS VPN技术在校园网中的简单规划设计的分析,主要是能够在实际中得到应用。在具体应用中主要是将局域网交换技术作为重要的基础,并对虚拟局域网技术进行有机的结合,在校园网当中来实现单纯的在OR基础上第二层优先级服务。由于所需服务的差异性,例如音视频传输自身的要求。故此要能够紧密的和服务机制进行结合,来为校园网当中一些关键通信数据帧设置较高的用户优先级。
另外就是要结合实际进行差别服务结合资源预留协议,虽然在综合服务所提供的更高QOS保证,而对于校园网这类非运营性网络来说,过高的实现现代价以及复杂度并非是合适的。在具体的应用过程中要能够对DS域设置问题以及DSCP分类实现问题进行有效的解决。MPLS VPN实现了VPN间的路由隔离,在每个PE路由器方面为每个所连接的VPN都进行维护了独立虚拟路由转发实例,而每个VF驻留都是来自于同一VPN路由配置,穿越MPLS核心到其它的PE路由器过程中,这一隔离是过多协议,并增加了唯一VPN标识符进行实现。
网络通信的大部分信息不再来自工作组内部,主要是来自于外部对因特网的访问,倘若是对第三层QOS问题得到有效解决,那么在校园网中所有第三层网络设备就会成为校园网QOS的发展瓶颈。从当前的大型复杂网络建设过程中能够发现,通过对MPLS VPN技术的有效应用,能够将信息受控访问及安全隔离等问题得到有效的解决,这一技术能够保证各业务系统逻辑网络相对独立性,并对各种类型的业务系统安全性有着很强的保护作用,所以在校园网的应用上有着比较广阔的前景。
篇3
【关键词】L2 VPNIPSec隧道虚拟化The Research and Design of IPSec-based L2 VPN
ZHU Yufeng(School of Electronics Engineering and Computer Science, Peking University, Beijing, 100871, China)
Abstract: L2 VPN is working at layer 2 of OSI network model, which can hide the geographical limitations and provide virtual private network service.
This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.
Key Words:L2 VPN, IPSec Tunnel, Virtualization
一、引言
随着虚拟化及云计算的兴起和应用,VPN隧道成为一个连接不同地区虚拟数据中心或者云计算中心的必备技术,其中L2 VPN工作在OSI网络模型的第二层,它可以隐藏地域限制,提供虚拟专有网络服务,能够更好的满足虚拟化及云计算的需求。
二、方法研究
L2 VPN基本的概念是将L2网桥和IPSec VPN网关结合,利用VPN隧道模拟物理网线,将2台或者多台跨越因特网的网桥连接起来。
如图所示:
为了实现以上L2 VPN的功能,我们需要考虑以下因素:
(1)如何将L2数据包导向VPN隧道;
(2)如何封装以太网帧;
(3)数据包的flow设计;
(4)如何支持VLAN;
(5)如何支持多站点多用户(例如,星型拓扑)。
2.1重定向数据包到VPN隧道
为了很好的连接L2网桥和VPN网关,我们定义一个虚拟的隧道端口,用来解耦合网桥和VPN的功能。对于网桥来说,虚拟隧道端口就像是一个物理端口一样,用来收发以太网数据包。对于VPN网关来说,虚拟隧道端口就是一个明文数据包进入加密隧道的入口,所有到达虚拟隧道端口的数据包,都将会被加密从隧道发出去。
虚拟隧道端口模拟物理以太网端口,它的功能如下:
(1)在内核中创建一个虚拟网络端口;
(2)发送以太网数据包。而驱动程序的发送功能,就是VPN隧道加密。
(3)接收以太网数据包。VPN加密后,会把明文放到虚拟端口的接收队列。
(4)支持网桥MAC反向学习。
(5)支持VLAN tag。
所有对于L2网桥看来,虚拟隧道端口和物理网桥端口没有任何区别,收到和发送的都是以太网数据包。网桥也不知道VPN网关的存在。同样,VPN网关也知道网桥的存在,到达VPN网关也只是以太网数据包。
2.2以太网数据包封装
IPSec隧道工作在三层,用来设计封装IP数据包,所以我们需要将以太网帧封装成IP数据包,再将该IP数据包封装成IPSec数据包。
我们可以考虑以下方式:
(1)EtherIP over IPSec;
(2)非标准的IPSec封装;
(3)混合模式。
(8)VPN1收到ARP应答密文包,解密去EtherIP和IPSec包头,查询MAC地址表,得知出口是eth1,然后将报文发往PC1。此时,VPN1并且更新MAC地址表。
VPN2网桥的MAC表:
(9)PC1收到ARP应答明文包,学到PC2的MAC地址。然后发送ICMP请求到PC2。数据包的目的MAC是PC2-MAC,源MAC是PC1-MAC。
(10)VPN1收到ICMP请求,查询MAC地址表得到出口是tun1,将数据包送到VPN隧道加密,然后发往VPN2网关。
(11)VPN2收到ICMP请求,查询MAC地址表,得到出口是eth1,将数据包发送到PC2。
(12)PC2收到ICMP请求并发送ICMP应答,该应答数据包被发发送到VPN2。
(13)VPN2收到ICMP应答,查询MAC地址表,得到出口是tun1,将数据包通过隧道发送到VPN1。
(14)VPN1收到ICMP应答,查询MAC地址表,得到出口是eth1,将数据包发送到PC1。
3.1VLAN支持
二层网桥可能连接很多VLAN,隧道端口需要工作在TRUNK模式,这样可以允许VLAN数据包通过VPN隧道。
拓扑如下:
EtherIP over IPSec可以封装VLAN tag,但是overhead会比较大。一种优化的方法是分配每个tunnel端口和tunnel一个VALN tag,这样就不需要封装VLAN tag,提高有效载荷。
3.2星型拓扑支持
要支持Hub & Spoke星型拓扑,我们只需要再增加一个tunnel端口,并且把该端口绑定到一个到Spoke的VPN隧道。该设计非常灵活,易于扩展。
拓扑如下:
四、结束语
本文通过引入虚拟隧道端口,巧妙的将L2网桥和IPSec VPN网关结合在一起,简单并且有效的将数据包重定向到VPN隧道。
另外,本文通过结合EtherIP over IPSec封装发送多播和广播数据包,IPSec封装发送单播数据包,有效提高了VPN隧道的有效载荷和传输性能。
参考文献
[1] RFC3378: EtherIP: Tunneling Ethernet Frames in IP Datagrams
[2] RFC2784: Generic Routing Encapsulation
[3] RFC3438: Layer Two Tunneling Protocol
[4] RFC4664: Framework for Layer 2 Virtual Private Networks
[5] RFC4665: Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks
[6] RFC4026; Provider Provisioned Virtual Private Network (VPN) Terminology
[7] RFC4301: Security Architecture for the Internet Protocol
篇4
关键词:文山学院 虚拟专用网 VPN
一、现状及需求
文山学院坐落于祖国西南边陲云南省文山州州府所在地文山市,学校占地948亩,有教职工594人,学校设有10个二级学院共43个本专科专业,全日制在校生9183人。从学校建设角度,可以把文山学院分为老校区和新校区。学校校园网覆盖到办公楼、教学楼、教职工宿舍楼及老校区部分学生宿舍,由于校园网出口带宽不高,整体网速慢以及很多学生宿舍没有校园网布线,使得很多学生都是自己向网络供应商申请接入互联网。由于我校的教务管理系统只能在校园网内部访问,教师查询教学信息以及考试成绩等的录入只能局限在校园网内部,另外广大教师在获取学校图书馆提供的电子图书、科研论文等信息资源时,也只能在校园网访问。因此,迫切需要一种方法能让学校的师生无论是在学校内还是校外,都能顺利地访问校园网里的资源。这对提高教学效率和教师的科研水平都是很有益的。因此,提出建设我校的VPN解决方案,能够兼顾性能和价格,实现真正意义的优质低价的网络VPN互联。
二、VPN技术分析
虚拟专用网(Virtual Private NetWork,VPN)是指利用Internet等公共网络创建远程的计算机到局域网以及局域网到局域网的连接,而建立的一种可以跨跃更大的物理范围的局域网应用。
1.隧道技术
隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。
VPN采用隧道(Tunneling)技术,利用PPTP与L2TP等协议对数据包进行封装和加密,所以保证了在Internet等公共网络上传输的数据的安全性。
2.VPN分类
VPN按照它的应用可以分为两种:单机到局域网的连接(point to LAN)(如图1所示)和局域网到局域网的连接(LAN to LAN)[1](如图2所示)。
单机到局域网的连接适用于单个用户连接到企业局域网。只要用户个人计算机能够访问Internet,用户就能通过VPN方式跟企业局域网建立连接,从而访问企业局域网提供的资源。
局域网到局域网的连接适用于企业分支机构(可以是多个分支机构)连接到企业总部局域网。企业分支机构和企业总部既可以通过Internet互联也可以通过专线连接,达到分支机构局域网和总部局域网逻辑上属于一个更大的局域网,实现资源的相互共享。
图1单机到局域网的连接
图2 局域网到局域网的连接
根据我校的实际情况,提供VPN服务可以方便广大师生员工通过外网访问校园网登陆教务管理系统数字图书馆等操作,选择单机到局域网的连接。
一个完整的VPN系统一般由VPN服务器、VPN数据通道和VPN客户端三个单元构成。
三、VPN服务器及客户机的安装配置
1.VPN服务器的安装与配置
方案以安装有Windows Server 2008操作系统作为VPN服务器。
①单击“开始”“程序”“管理工具”“管理您的服务器”命令,添加“远程访问/VPN服务器”角色,启动“路由和远程访问服务器向导”
②在向导的配置界面中,选择“虚拟专用网络(VPN)访问和NAT”单选按钮,配置该服务器为VPN服务器,同时具有NAT功能,然后单击“下一步”按钮
③选择“VPN”和拨号复选框,然后单击“下一步”按钮
④使用VPN,在VPN服务器上必须有两个网络接口,一个连接到Internet,一个接到校园网网络。选择“本地连接”为VPN服务器到Internet的网络接口,“本地连接2”连接到校园局域网。单击“下一步”按钮
⑤选择“自动”单选按钮,因为校园网内专门有DHCP服务器进行IP地址的指派。单击“下一步”按钮
⑥提示是否选择此服务器与RADIUS服务器一起工作,选择“否”,单击“下一步”按钮
⑦最后单击“完成”按钮,结束“远程访问/VPN服务器”的配置。
为用户配置远程访问权限
用户可以通过VPN服务器上的本地用户账户和局域网中的域用户账户通过VPN访问局域网。要使用户通过VPN访问局域网,账户都应该具有“拨入权限”。
2.VPN客户端计算机安装与配置
远程客户首要条件是已经连接到Internet。远程客户机接入Internet可以是通过宽带拨号,也可以是局域网到Internet的网络连接。
方案以安装有windows 7 SP1操作系统作为VPN客户端。
①打开控制面板进入“网络和共享中心”。
②点击进入“设置新的连接和网络”,选择“连接到工作区”并点击“下一步”。
③点击“使用我的Internet连接(VPN)”
④在“Internet地址”栏输入企业网络地址,并“下一步”。
⑤输入企业网络管理员提供的用户名和密码,点击“连接”便可以连接到企业网络。
⑥连接成功后,VPN客户端逻辑上已经和企业网络处在同一局域网内,此时VPN客户端便可以使用远程局域网提供的各种资源。
四、结论
建立校园VPN,可以利用现有的公共网络资源,在普通用户和校区之间建立安全、可靠、经济和高效的传输链路,利用Internet的传输线路保证了网络的互联性,采用隧道、加密等VPN技术保证了信息传输的安全性,从而极大地提高了办公效率,节省了学校资源,为校园信息化建设奠定了基础。
参考文献:
[1]郝兴伟.计算机网络技术及应用[M].中国水利水电出版社,2009年:196-212.
[2]高博,赵映红.虚拟专用网络(VPN)技术应用与实践[J].水科学与工程技术,2014(3):93-96.
篇5
关键词:访问型VPN;L2TP;IPSec;PPP;隧道
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)31-pppp-0c
Research of Access VPN Solution Based on L2TP and IPSEC
JIANG Ying1, MIAO Chang-yun2
(1.Tianjin Polytechnic University,Tianjin 300000,China;2.HeBei University of Technology LangFang Department,LangFang 065000,China)
Abstract: Tunneling is the key technology for constructing Virtual Private Network(VPN). As the noticeable tunnel protocols,Layer Two Tunneling Protocol (L2TP) and IP Security Protocol (IPSec) are firstly introduced in this paper. we analyze the latent security trouble of Access VPN based on L2TP, and the cause, which restricts the secure creation of IP-VPN with IPSec. Finally we provide the Access VPN solution based on L2TP and IPSEC.
Key words: Access VPN; L2TP; IPSec; PPP; Tunnel
虚拟专用网络(VPN,Virtual Private Network),是利用各种安全协议,在公众网络中建立安全隧道,将远程的分支机构、商业伙伴、移动办公人员等与总部连接起来,并且提供安全的端到端的数据通信的一种网络技术。最初VPN是以LAN间互连型VPN为主要目的开发的,但随着公司职工异地办工和移动用户远程通信的迫切需要,访问型VPN日益受到重视。访问型VPN即处于公司内部网外部的终端通过在Internet网上构建的VPN与公司内部网相连,使外部终端能够像内部网中的用户一样使用内部网资源。
目前VPN主要采用四项技术来保证通信安全[1]:隧道技术、加解密技术、密钥交换与管理技术、身份认证技术。隧道技术是VPN的核心技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),使数据包通过这条隧道安全传输。隧道由隧道协议形成,隧道协议规定了隧道的建立,维护和删除规则以及怎样将用户数据封装在隧道中进行传输。到现在为止,比较成熟的隧道协议有:1) 链路层隧道协议,主要有点对点隧道协议PPTP、第二层转发协议L2F以及第二层隧道协议L2TP;2) 网络层隧道协议,主要有通用路由封装协议GRE和IP安全协议IPSec。
L2TP是对端到端协议(PPP)的一种扩展,它结合了L2F和PPTP的优点,成为IETF有关二层隧道协议的工业标准。像PPTP一样,L2TP支持多种传输协议,它将用户的数据封装在PPP帧中,然后通过IP骨干网进行传输。与PPTP不同的是,L2TP对隧道维护和用户数据都使用UDP作为封装方法。尽管许多人相信L2TP是安全的协议,但是它除了提供方便的用户和连接的认证外,自身对传输的用户数据并不执行任何加密,因此,它不能提供安全的隧道;IPSec则不然,它工作在OSI参考模型的网络层(第三层)。其最大的优点是提供了非常强大的安全功能,包括数据的机密性、数据完整性和验证、抗回放检测等服务。
L2TP是一种访问型VPN解决方案,它不能提供安全的隧道,并不能满足用户对数据传输安全性的需求。如果需要安全的VPN,则需要IPSec和L2TP结合使用。本文对L2TP和IPSec分别进行讨论,分析其优缺点,并给出利用L2TP与IPSec结合实现访问型VPN的解决方案。
1 L2TP和IPSEC协议分析
1.1 第二层隧道协议 L2TP
L2TP协议是将PPP分组进行隧道封装并在不同的传输媒体上传输,所以L2TP可看作虚拟PPP连续,并且它利用PPP NCP来协商IP的分配。使用L2TP,有两种隧道模式:自愿隧道模式和强制隧道模式。在自愿隧道中,远程访问用户运行L2TP,并且建立到服务器的VPN连接;在强制隧道中,另外一台设备代表用户,负责建立隧道。如图1所示,L2TP主要由访问集中器LAC (L2TP Access Concentrator)和网络服务器LNS (L2TP Network Server)构成。LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道。LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS。L2TP解决了多个PPP链路的捆绑问题,使物理上连接到不同NAS的PPP链路,在逻辑上的终结点为同一个物理设备。
作为PPP的扩展,L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。L2TP定义了控制包的加密传输,每个被建立的隧道生成一个独一无二的随机钥匙,以便抵抗欺骗性的攻击,但是它对传输中的用户数据并不加密。因此,L2TP并不能满足用户对安全性的需求,L2TP封装存在以下安全隐患[2]:
1)L2TP分组在网上传输时,攻击者可以通过窃取数据分组而知晓用户身份;
2)攻击者可以修改L2TP控制数据和L2TP数据分组;
3)攻击者可以劫持L2TP隧道或隧道中的PPP连接;
4)攻击者可以通过终止PPP连接或L2TP隧道,而进行拒绝服务攻击;
5)攻击者可以修改PPP ECP或CCP协议,以削弱或去除对PPP连接的机密性保护;也可通过破坏PPP LCP鉴别协议而削弱PPP鉴别过程的强度或获取用户口令。
1.2 IP安全协议IPSec
IPSec是IETF IPSec工作组制订的一组基于密码学的开放网络安全协议,用以保证IP网络上数据通信的安全性。IPSec利用密码技术从三个方面来保证数据的安全:通过认证,对主机和端点进行身份鉴别;利用完整性检查来保证数据在传输过程中没有被修改;加密IP地址和数据以保证数据私有性。
IPSec的安全结构由三个主要的协议组成:封装安全负载(Encapsulating Security Payload, ESP) 定义了为通信提供机密性、完整性保护和抗重播服务的具体实现方法。认证头(Authentication Header, AH) 定义了为通信提供完整性和抗重放服务的具体实现方法。ESP和AH协议都有一个确定特定的算法和可选功能的支持文献集。
Internet安全协会和密钥管理协议(ISAKMP)是IPSec的另一个主要组件。ISADMP提供了用于应用层服务的通用格式,它支持IPSec协议和密钥管理需求。IETF设计了Oakley密钥确定协议(Key Determination Protocol)来实施ISAKMP功能。这个协议在通信系统之间建立一个安全联系,它是一个产生和交换IPSec密钥材料并且协调IPSec参数的框架。
IPSec提供了网络层IP的安全机制,能够对IP数据流完整性、机密性、防重放等进行保护,也能提供灵活的连接级、数据分组级的源鉴别。目前,通常利用IPSec在INTERNET网上构建LAN间的VPN,但不被用于独立构建远程访问型VPN,主要原因如下:
1)IPSec虽然提供了很强的主机级的身份鉴别,但它只能支持有限的用户级身份鉴别。而在远程访问型VPN中远程终端用户要进入企业内部网必须进行严格的身份鉴别。目前IPSec协议还不能方便、有效地实现这项功能。
2)在IPSec安全协议中,总是假设封装的分组是IP分组,目前尚不能支持多协议封装。
3)目前的IPSec只支持以固定的IP地址查找对应的预享密钥、证书等鉴别信息,尚不支持动态分配的IP地址。而出差在外的公司员工通常使用电话拨号方式接入INTERNET网,此时用户使用的是动态分配的IP地址,因此无法通过身份鉴别,接入内部网。
通过以上对L2TP和IPSec协议各自优缺点的分析,可以考虑构建一种更加安全、经济的远程访问VPN的解决方案:将L2TP协议和IPSec协议综合起来使用,利用IPSec弥补L2TP的安全方面的不足,同时又利用L2TP弥补IPSec在用户级鉴别、授权等方面的不足。
2 基于L2TP/IPSec构建访问型VPN
2.1 L2TP/IPSec方案的原理分析
通过分析可知:L2TP 其实就是IP 封装协议的另一个变种,L2TP通道的IP 封装结构为(IP 报头(UDP 报头(L2TP报 头(PPP报头(PPP 负载)))))。创建一个L2TP 通道就是将L2TP帧封装在UDP 报头中,再将该UDP保文封装在以通道端点作为源地址和目的地址的IP 报文中。因为外部封装使用的是IP协议,所以IPSec可以用于保护上述合成的IP数据报文,也就是保护L2TP通道中流动的数据。
假设所有的隧道和链路都已经建立成功,远程用户使用该VPN进行通信的过程如下[3]:
1)首先远程用户端产生一个终止于LNS的、封装了一个内部IP包的PPP包,内部IP包的源地址是LNS分配给用户的VPN内网地址,目的地址是VPN内网服务器,这个PPP包通过用户和LAC间的PPP物理链路传送到LAC。
2)LAC根据PPP包中的用户名找到对应的L2TP隧道和IPSec隧道并对其进行L2TP封装和IPSec处理,生成L2TP/IPSec包。
3)LAC从自己的动态IP池里分配一个随机IP地址,为L2TP/IPSec包封装外部IP头并传送给LNS。
4)LNS收到这个包后,首先进行IPSec的解密和认证处理,然后依次去除L2TP头和PPP头,最后根据内部IP头的目的地址发往VPN内网服务器。
在L2TP/IPSec 方案实现时,L2TP运行在IP 之上,而IP层已经部署了IPSec软件,所以在LAC和LNS之间所有的数据包在传递给L2TP软件处理前都要进行IPSec的相应处理。假设IPSec软件提供了ESP和AH两种安全协议,那么IPSec便可以首先使用ESP 完成对L2TP包加密的工作,对整个高层报文进行保护,然后利用AH对加密数据和外部头进行认证,生成的L2TP/IPSec包格式如图2所示。其中IP2是内部的IP头部,包含有数据的真正的源和目的地址选项(一般考虑为私有地址)。IP1利用公网的传输特性(如公共网的传输地址、带宽等)传送内部数据。
本实现方案中,由L2TP提供隧道服务,而IPSec提供安全服务,这样可以提供一个更安全的VPN实现方案。通过将L2TP的基于点到点协议(PPP)的特点和IPSec的安全特点结合在一起,不仅利用了L2TP的封装机制,而且对数据分组提供了安全性保护,可以防止非法用户对VPN的攻击,能够满足远程用户接入VPN的要求。
2.2 L2TP/IPSec方案的应用模式
2.2.1 基于L2TP和IPSec的自愿隧道模式
这种模式下,L2TP和IPSec均安装于远程用户主机上。此时用户主机充当了LAC,用户自主对L2TP进行配置和管理。如图3所示,LAC将L2TP分组发送到ISP,再经过Internet到LNS,通过一个访问连接将L2TP依次封装在PPP和IP包中,这样LAC可以取
(下转第8654页)
(上接第8646页)
得它与LNS端的SA属性。如果LAC取得SA,它能获得LAC和LNS的安全服务[4]。由于LAC和LNS之间有安全服务,则可以利用IPSec而取消PPP的加密和压缩。
2.2.2 基于IPSec和L2TP的强制隧道的模式
此种模式将IPSec安装于远程访问主机,而L2TP集成于LAC。PPP Client发送PPP帧给LAC,在LNS端收到的数据包是封装了PPP的L2TP包,如图4所示。在这种模式下,Client和LNS拥有安全服务的不同的信息,PPP加密和压缩是否执行,要依靠Client的策略。由于Client没有任何LAC和LNS之间的服务,而Client不信任LAC以及它和LAC之间的线路,Client 一般要求它到LNS的端到端的IPSec加密或者PPP的加密/压缩[5]。
3 结束语
以L2TP协议与IPSec协议的结合使用来实现访问型V PN时,L2TP利用IPSec强大的安全功能,以弥补自身安全方面的不足,提供了具有多种协议封装和完备的安全功能的V PN,提高了应用方案的安全性、完善了方案的鉴别和授权机制,具有一定的使用价值,但同时也产生了因重复封装引起的额外开销。随着对访问型V PN研究的不断深入,协议进一步完善,存在的问题会逐步得到解决。
参考文献:
[1] 高德昊.VPN技术在组网中的研究与应用[D].中国优秀硕士学位论文全文数据库,2007,(5).
[2] 戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.
[3] 季超,楚艳萍.基于L2TP/IPSEC的安全隧道技术方案[J].河南大学学报(自然科学版),2004,(34)1:94-96.
篇6
关键词:信息安全,移动通信,密码学,信息系统
1 前言公安信息化工作的快速推进,金盾工程的全面建设,使得各级公安机关和广大干警在执行警务工作中将广泛应用公安警务信息来侦破案件、抓捕逃犯、核查车辆、打击和预防犯罪等。在街面和移动中,充分利用警务信息已成为公安工作的紧迫需求,公安信息移动应用系统建设也是金盾工程的主要建设内容之一。警务通是基于移动通信技术的公安信息综合业务查询系统和指挥调度系统。充分发挥了移动通信技术所特有的随时、随地、随心的特点,满足了外勤警务人员在治安、交通、刑侦、监管、户政、经侦、边防、消防、出入境等方面需要适时进行信息交互的工作需要,是用信息化实现“科技强警”的成功典范。
正是警务信息处理的特殊性要求系统开发人员在设计系统应将其安全性和健壮性放在最重要的位置,以保证系统的正常运行和涉秘信息的安全处理。本文将从网络安全、数据访问安全和数据存储安全三方面讨论移动警务系统的安全策略。
2 网络安全由于保密性需要,网络设计阶段的所有需求都应该以安全为中心。接下来将从宏观到微观,从“大网”设计到设备选型,来分析网络安全的策略需求。
2.1 移动网络的安全所有的移动数据专线,都采用APN或者VPN方式,由交换网直接连接运营商的专网,不连接公共互联网,同时避免中间存在其他的连接点。在此基础上,相关通道可提供加密的传输保证。
2.2 网络安全设备的综合使用采用防火墙和网闸设备,提供网络访问的安全。防火墙设备,用于在交换网内隔离接入服务区与信息服务区。隔离网闸设备,按照在公安部的网络安全标准使用,并提高了一个级别,除了交换网与公安内网的隔离网闸外,在交换网与运营商数据专线的接口处也设置了隔离网闸,进一步提高了安全性。
2.3 网络攻击的抵抗能力通过VPN网关、防火墙等网络设备的使用,共同抵抗来自公网网络攻击(如DDOS等)。基于IPSec的VPN和防火墙可防止IP层以上的攻击行为。使用SSL VPN和防火墙:可防止应用层的攻击。
2.5 采用加密的VPN网关在接入认证中,使用公安部认可的VPN加密数据网关,建立起移动警务终端到交换网的VPN加密隧道(基于RSA1024)。避免了数据在专线传输过程中被窥探。
2.6 应用层的加密通道所有的移动应用系统,主要是基于Web的B/S应用体系。在此之上,应用层通信,均采用基于SSL的HTTPS的加密处理通道(支持RSA 1024)。
3 数据访问安全数据访问是真实世界中业务处理流程到软件设计的微观化,数据访问安全的策略应该从设计正确的数据流图到保证数据流图各个环节安全进行分析,主要由以下几个方面共同负责。
3.1 专门的安全业务交换平台采用公安部认可的安全业务交换平台,提供业务与数据的安全访问。该交换平台位于交换网和内网之间,通过专用服务设备和网闸连接,建立一个单向的通道,并通过内网端主动提取和控制的机制,实现相关交换的安全处理。支持业务系统和数据系统的安全交换,具有统一的管理界面,便于管理。
3.2 多层次的综合身份认证功能对于每个移动警务的实际用户,提供了以下几个层次的认证处理。
移动终端对用户的认证。确定使用终端的用户的合法性。主要采用开机密码、指纹识别(需硬件支持)、操作系统登录密码等多种方式。
网络运营商对拨号终端身份的认证。所有的移动警务终端的手机卡,需事先在运营商的专线接入点登记。无线拨号中,只有已经登记的SIM卡,才能拨叫网络运营商的接入点,否则将无法拨叫。
公安移动接入区对拨号终端身份的认证。公安移动接入区的移动终端拨入验证系统,对网络运营商的接入点传来的移动终端的身份信息(如SIM卡号 分组名等)进行身份核实,对于非法的拨入号码拒绝连接。这样,即使由网络运营商的接入点传来的非法终端号码,也无法进入接入平台
移动终端接入公安移动区中时,接入网关对移动终端的单向认证。认证过程基于终端的设备数字证书和签名密钥,由终端设备和接入VPN网关自动完成。。
接入平台对用户可访问应用的认证。移动接入区的平台统一管理系统,对每个接入用户可以访问的子应用系统进行了限制。这样,每个用户只能访问受限制的移动警务应用,而不能访问全部。
应用程序的用户认证。当移动终端上的应用系统登录交换网的移动警务应用时,需要使用移动用户的个人数字证书,与应用服务器进行身份验证(基于数字签名,可考虑连接内网PKI系统),只有通过验证,才能进入到系统内部,进行相关的操作。
3.3 数据的加密传输所有的数据,均通过两个级别的加密机制来完成。主要如下:
(1)传输通道加密。
从移动终端到移动警务应用系统的整个通道,采用加密的方式,进行保护。包括两个层面:
网络层的加密:通过终端加密卡和加密VPN网关的认证,建立其基于网络层的加密隧道(基于RSA 1024)
应用层的加密:基于HTTPS和SSL协议的使用,通过用户数字证书和移动警务应用系统进行身份认证,建立起应用层的加密隧道(基于RSA 1024)
(2)传输数据加密
会话中所传输的所有数据均采用加密的方式进行。进一步避免了数据通道被破解后,数据被窥探的可能。具体的加密算法,对称算法采用SCB2,杂凑算法采用SHA-256(高于公安部标准)
3.4 密码体系在数据安全体系中很多方面都与密码体系紧密相关。因此对于该方面特别加以说明。。在移动警务平台的实施中,密码体系按照公安部建设指导书的方针完成。具体包括以下几方面:
(1)密码算法
对称算法:采用不低于AES256的加密。主要用于传输中的数据加密、移动终端安全卡认证等。
公钥算法:采用RSA(1024位),主要用于移动用户的证书认证,SSL通道的加密协商、证书的签发等。
散列算法:采用SHA-1(160)或者更高级别的(256或者384),产生消息摘要。
(2)专用密码设备
在移动警务平台的使用中,需要使用相关的密码设备,以保证相应的加密处理。相关的设备主要有如下两类:
移动接入专用密码卡:用于配合服务端系统,完成数据加解密、签名、消息验证等功能。对于每个相关的服务器需要安装相应产品。相关产品采用公安部认证的产品。
移动接入终端专用安全卡:用于验证接入终端的安全性,对于每个移动终端,需要安装。根据不同的终端类型,当前适合的有三种:
SDIO安全卡:处理能力强,适合具备SDIO接口的移动终端设备(实际比较少)。。
PCMCIA卡:适合具有PCMCIA接口的笔记本电脑。
安全SIM卡:功能较弱,适合常见手机和PDA,对终端要求低。
以上三种产品,将根据实际的终端特点,分别采购。所有的产品需经过公安部相关认证。
3.5 入侵检测对非法侵入交换网的攻击事件的发现和自动阻断,由综合安全防护系统完成,如果网闸可以有相应功能则由网闸实行。具体是否使用根据情况而定,这里不再多介绍。
3.6 病毒的防范移动警务应用系统涉及的所有的服务器,将尽量采用基于Linux的操作系统,避免病毒的干扰。对于必须采用Windows系统的服务器系统,使用国家有关部门批准的查杀毒软件,定时查杀和升级。制定完善的防病毒制度,关闭服务器系统上的一些外部接口(如USB口等),切断病毒传播途径。对于移动应用服务器要重点防护。
4 数据存储安全主要防范由于意外事故造成的数据丢失。主要手段包括:
硬件设备冗余:所有数据服务器,均要求采用基于RAID5的SCSI磁盘冗余阵列。
数据备份:所有的数据库,均要求定期进行备份。备份策略根据具体服务器而定。
专用存储服务器,提供专业存储管理。建议采用存储服务器,可有效管理维护数据库资源
参考文献:
[1]《PGP在移动警务通系统中的应用研究》,朱永胜,计算机应用技术硕士毕业论文,2007 年
[2]《安全隔离与信息交换助力公安移动警务》,王羽,《信息网络安全》,2005年3期
[3] 《警务通:加速移动警务信息化》,《中国新通信》,2007年4期
[4] 《数字水印取证技术在移动警务通中的应用》,应影,计算机应用技术硕士毕业论文,2007年
篇7
【关键词】 图书馆;SSL VPN;数字资源;远程访问
高校图书馆是学校文献资源的中心,承担着为学校的教学、科研和管理工作提供文献信息服务。随着高等教育和互联网技术的高速发展,师生利用图书馆资源的方式和手段发生了巨大的变化,传统的到馆借阅方式逐步被网上借阅方式取代,人们利用文献信息的方式在某种意义上讲已经突破了时空的限制。师生在校外如何通过互联网共享学校的文献信息资源是近年来图书馆界和IT界研究较多的课题,目前外网用户共享内网资源的技术主要有电话拨号、服务器(proxy)、虚拟专用网(VPN),VPN是近年来发展较快,实现方式比较简便,较容易被接受的一种接入技术,现就VPN技术中的SSL VPN及其在图书馆信息资源共享中的应用进行介绍。
1 SSL VPN 概述
1.1 SSL VPN的概念 VPN(Virtual Private Network)是指依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)在公用网上建立的一条虚拟专用通道,让两个远距离的网络客户能在这个专用的网络通道中相互传递数据信息。SSL VPN是采用SSL(Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,是一种在应用层协议和TCP/IP协议之间提供数据安全性的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户端认证[1]。SSL协议提供了网络上通信双方的安全保护,避免信息在网络传输过程中被截取、改编和破坏,现在SSL协议已成为Internet中用来鉴别用户身份及在浏览器与WEB服务器之间进行加密通讯的全球化标准。
1.2 SSL VPN的通信过程 SSL VPN一般的实现方式是在内网中的防火墙后面放置一个SSL服务器,SSL服务器将提供一个远程用户与各种不同的应用服务器之间的连接,实现起来主要有握手协议、记录协议、警告协议的通信,SSL VPN的通信过程主要集中在握手协议上,主要有:第1步:SSL客户机连接到SSL服务器,并要求服务器验证身份;第2步:服务器通过发送它的数字证书证明自身的身份。这个交换包括整个证书链,直到某个证书颁发机构(CA),通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性; 第3步:服务器发出一个请求,对客户端的证书进行验证;第4步:双方协商用于加密的消息加密算法和用于完整性检查的HASH函数,通常由客户端提供它所支持的所有算法列表,然后由服务器选择其中最强大的加密算法;第5步:客户机和服务器通过下列步骤生成会话密钥。客户机生成一个随机数,并使用服务器的公钥(从服务器证书中获得)对它加密,再送到服务器;服务器用更加随机的数据,用客户机的公钥加密,发送至客户机以表示响应;使用 HASH函数从随机数据中生成密钥[2]。
1.3 SSL VPN的优点 相对于其它接入方式,SSL VPN在实现远程访问内网资源时有其独特的优势,因此,近年来SSL VPN技术在各个行业,特别在企业、高校、公司及政府部门得到了广泛的应用。①无需安装客户端软件。客户端的区别是SSL VPN最大的优势,有Web浏览器的地方的就有SSL,所以预先安装了Web浏览器的客户机可以随时作为SSL VPN的客户端,在大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件。这样,远程访问的用户可以在任何时间任何地点对应用资源进行访问。②适用大多数设备。基于 Web访问的开放体系可以在运行标准的浏览器下访问任何设备,包括非传统设备,如可以上网的电话和PDA等通讯产品等。 ③适用于大多数操作系统。可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问,不管操作系统是 Windows、Macinwsh、Unix还是 Linux。④支持网络驱动器访问。用户通过SSL VPN通信可以访问在网络驱动器上的资源。 ⑤良好的安全性。SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。⑥较强的资源控制能力。基于Web的访问允许网络管理部门为远程访问用户进行详尽的资源访问控制,这样有利于对不同身份用户进行访问权限的控制。 ⑦经济实用性较好。使用SSL VPN具有很好的经济性,因为只需要在内网架设一台VPN硬件设备就可以实现所有用户的远程安全访问接入,远程用户只要依赖现有互联网设备就可以方便访问内网资源。 ⑧可以绕过防火墙和服务器进行访问。基于SSL的远程访问方案中,使用 NAT(网络地址转换)服务的远程用户或者因特网服务的用户可以绕过防火墙和服务器进行访问,这是采用基于 IPSec安全协议的远程访问很难或者根本做不到的[3]。
1.4 SSL VPN接入拓朴图 目前,一般大学校园网的网络结构是比较规范的,至少拥有一条大宽带的外网接口及防火墙、安全过滤网关系统、认证系统、路由交换机和大量的服务器,要实现内网资源的远程访问,只要在防火墙后面设置一台SSL VPN网关,并根据网络和用户的具体情况进行配置,就可以实现内网资源共享。SSL VPN在内部网中的应用结构,见图1。
2 SSL VPN在高校图书馆中的应用
2.1 高校图书馆数字资源建设及应用 随着信息技术的快速发展,图书馆的数字化建设步伐也越来越快,图书馆的管理和服务正向数字化、网络化大步迈进。当前,几乎所有高校图书馆都建立了各自的数字图书馆,数字资源的建设经费比例也逐年的提高,师生获取文献资源的方式很大程度上趋向网络化发展。高校图书馆除了拥有各种各样的自建数据库,还引进了大量的外来数据库,包括电子图书、电子期刊、博硕士论文数据库、报纸、年鉴、专利、工具书、视听报告、教学资源库等等,这些资源有的是安装在本地服务器,有的是购买网上包库,但不管是哪种形式的数据库,由于受到知识产权保护和商业利益影响的限制,往往只限于本校的师生使用,其实现的方式一种是使用IP地址限制,即只允许某一特定范围内的IP地址用户拥有浏览和下载权限,这种用户的IP地址是相对固定的,一般是在学校的校园网;另一种访问方式是设定访问账号和密码,但这种方式往往是和访问及下载流量互相捆绑。第二种方式对用户数较多的大单位明显是不合适的,因为,随着多元化社会的发展,很多老师和学生住在校外,教师到外出差和学习、学生到外地实习等,这一部分人群对学校的数字资源拥有使用的权利,但现有条件又不能允许他们使用,因此,通过SSL VPN实现高校图书馆资源的远程共享是最为有效、最为简便和最为经济的途径。
2.2 SSL VPN在高校图书馆中的应用情况 由于SSL VPN具有安全性好、易于管理、实用性较强、扩展方便及性能可靠等诸多优点,近年来在实现高校校园网内网资源的远程访问中得到了广泛应用。SSL VPN是一种新兴的VPN技术,相对于IPSec,VPN具有明显的优越性,在解决外网用户访问内网Web服务方面日益受到人们的青睐,目前大多数高校图书馆都设置VPN服务,在内网资源的远程访问,特别是在解决图书馆数字资源的远程访问方面发挥了重要的作用,可以说,VPN技术解决了非校内用户共享内网优质资源的难题,SSL VPN的出现使得远程资源共享更加容易实现,同时也更容易被用户接受,因为对于用户而言,只要能够接入互联网,无需对客户电脑作任何设置,在https协议下直接输入SSL VPN网关的IP地址,就如同在内网一样享受到各种服务。
SSL VPN通过在Internet上建立移动用户与内部网间的专用数据通道,很好地解决了外网用户访问和使用图书馆数字资源时所面临的具体问题。同时,SSL VPN因其具有安全、灵活、低成本等优势,逐步成为了图书馆电子资源远访问的主流技术,为发挥数字资源的共享性和可传播性、提升信息服务质量和水平提供了良好的技术支持环境,图书馆数字资源访问真正突破了时空的限制。
参考文献
[1] 史春光.浅析基于SSL VPN 协议的VPN技术[J].信息技术,2009,(3):121-123.
篇8
【 关键词 】 VPN;仿真;Chariot;性能
1 引言
VPN(Virtual Private Network,虚拟私有网)是指通过公共网络建立的一个临时、安全的连接,它能够穿过不安全的公用网络。通过对网络数据进行加密传输,实现在公网上传递私密数据。VPN能够很好地保护数据的完整性和准确性,避免收发数据不一致。VPN主要采用隧道、加密解密、身份认证、密钥管理,在公共网络中为客户端虚拟出类似于局域网的专有线路。
Chariot是由NetIQ公司推出的一款网络测试软件,是目前世界上唯一认可的应用层IP网络及网络设备的测试软件,可提供端到端、多操作系统、多协议、多应用模拟测试,还可以进行网络故障定位、网络优化等。它可以从用户角度测试网络或网络参数(吞吐量、反应时间、延时、抖动、丢包等),能够模拟众多的商业应用进行测试,例如HTTP、FTP、AD、Exchange、SQL、Oracle和SAP等。
Chariot通过模仿各种应用程序所发出的网络数据交换,帮助网络设计者或网络管理人员对网络进行评沽。通过Chariot附带的各种测试脚本用户可以测试网络的数据流量、响应时间以及数据吞吐量,也可以根据网络中所采用的应用程序的需要,选择相应的测试脚本或根据实际需要编制符合自己要求的脚本。
Chariot采用主动式监视及定量的测量,通过产生模拟真实的流量,采用端到端的方法测试网络设备或网络系统在真实环境中的性能。
2 测试方案设计
本方案分别测试VPN系统和由同一硬件和软件搭建的路由器传输性能,由于只是对比测试VPN及路由器的性能,这里将测试模型进行了简化。
由于测试条件有限,为了不影响校园网的整体运行,本测试采用非独立控制台测试方式,测试VPN系统的传输特性并与传统路由方式传输进行对比。测试中服务器运行VPN软件时为VPN方式连接,关闭VPN软件则整个链路改为传统的路由连接,其拓扑环境如图1所示。
在A机器上安装Chariot,打开运行界面,在主界面中点NEW按钮,弹出的界面中点上方一排按钮的ADD PAIR,在ADD AN ENDPOINT PAIR窗口中输入PAIR名称,在Endpoint1和Endpoint2处分别输入客户端B和控制台A的IP地址,再点击“select script”按钮并选择一个脚本,由于我们的测量是以百兆带宽为主,所以选择软件内置的脚本High Performance Throughput。可采用复制方式,建立多个收发线程。确定后点击主菜单的“RUN”按钮启动测量工作,软件会同时每对连接测试100个数据包从B发送到A。
3 测试对象模拟
本测试得到了VPN准入系统的吞吐量、反应时间、时延等指标的数据。同时,我们还在相同硬件、软件及网络设备基础上,测试了仅启用转发功能的路由器模式下的相关数据,进行对比。
为了仿真多用户同时通过VPN服务器进行访问,我们在Chariot控制台上建立了8对通信线程(线对数对测试时间影响较大),使Endpoint1向Endpoint2同时发送测试报文,并在控制界面上显示测试情况。Group/Pair是所建立的通信连接的名字,用Pair1~Pair8表示,Endpoint1和Endpoint2分别表示连接双方的IP地址。在VPN模式下,Endpoint1的地址设置为Chariot控制台A的VPN虚拟地址10.10.0.6,EndPoint2的地址设置为客户端B的IP地址172.16.7.133。Network Protocol是连接选选择的通信协议,为了表示广泛性,我们选择了使用最多的TCP协议。最后一栏是本测试为连接选择的脚本文件,为了更好的观察,我们选择了文件内容较大的脚本。
同时为了进行对比,本测试在同样的网络环境下,将VPN服务器换为仅启用路由转发的服务器,并利用Chariot软件同样建立了8对连接进行测试对比,Endpoint1的地址设置为Chariot控制台A的实际网卡地址210.45.50.123,EndPoint2地址不变。
4 测试结果
在网络通信中,用户通常对网络的速率和传输质量较为看重,针对这两点要求,我们分别对VPN模式和普通路由模式的吞吐量、传输率记忆响应时间进行了对比测试,得到如下测试结果。
4.1 吞吐量测试
作者首先对VPN模式下的数据吞吐量进行测试,两台测试机器分别通过100M网络接口于VPN服务器相连,在11分钟的测试时间内,8对连接的瞬时吞吐量起伏较大,最大值近乎最小值的两倍。但从8对连接的平均值来看,相差很小,整个VPN模式下的吞吐量分配较为公平。同时,8对连接的平均吞吐量总和为93.079Mbps,接近100M的带宽上限,作者认为通过VPN模式下对物理线路有着很高的利用率。
同样,作者对路由模式下的数据传输吞吐量也进行了对比测试,发现在同环境下采用路由模式得到的测试数据,最大值和最小值差异比VPN模式下的更大,并且8对连接的平均吞吐率差别也更为明显。同时,8对连接的平均吞吐量之和仅为86.038Mbps,也小于VPN模式下的93.078Mbps。由此,可以判断在吞吐量方面,VPN模式比传统路由模式具有更好的性能。
4.2 传输率测试
对于一个网络来说,除了吞吐量以外,其数据的传输效率也是一个很重要的评价因素。VPN模式下的网络传输率测试结果表明,在数据传输率方面,VPN模式下8对连接的平均值非常接近,各连接具有极好的公平性,进一步反映了VPN通道是公平可靠的。
在对路由模式下网络数据传输率的对比测试中,8对连接的最大值和最小值差别很大,且其平均传输率变化也更为明显。从总的传输效率来说,路由模式下的平均传输效率之和也比VPN模式下得到的数据小了很多。因此,VPN模式下的传输率也优与传统路由模式。
4.3 响应时间测试
对于一个可靠的网络,用户的连接请求应当在很短时间内给出回应,对用户作出回答。最后,为全面评估VPN方案的可行度,本文还进行了响应时间的测试,其结果可以看到在VPN模式下,8对连接的响应时间非常接近,一方的连接请求平均可以在7秒内得到另一方的回应,最小为4.552秒,最大为8.412秒,在日常使用中基本能够满足大多数网络应用的要求。
我们还对路由模式下的网络相应时间进行了测试,测试结果表明,相比VPN模式下来说,传统路由模式下的连接响应时间更长,且最小值为4.188秒,最大值为20.858秒,更不稳定。由此可以得知,VPN模式下的响应时间也更为稳定和可靠。
5 对比分析
我们对VPN模式下的测试数据和传统路由转发模式下的测试数据进行了对比,结果见表1。
由测试结果对比可见,本设计实现的VPN准入系统在吞吐量、传输率、响应时间等指标的平均性能明显优于基于同平台上的路由转发模式。但是从理论上来说,VPN传输过程是采用SSL协议对报文进行加密、解密,而路由模式中的IP包转发仅为寻址和分组的操作,VPN传输过程中的开销应远大于路由模式。
这里出现的现象,我们认为是在通信线路质量较高的情况下,VPN系统采用的UDP传输协议较路由模式采用的TCP协议简便,没有三次握手的确认开销,所以在大量数据传输时能体现高效特点。
6 结束语
本文介绍了网络传输性能测试软件Chariot,并利用该软件对自建的VPN系统模型进行了仿真测试。虽然我们的测试条件有限,在与同平台、同网络环境的路由转发模式的测试对比中,发现在通信线路质量较高的情况下,VPN系统采用的UDP传输协议较路由模式采用的TCP协议要简化,没有三次握手的确认开销,在大量数据传输时能体现高效特点。在某些特定的应用中,可以取代路由器和NAT设备,保证网络传输的安全性。
参考文献
[1] 黄华键. SSL VPN中安全身份人证的研究[D]. 西安电子科技大学硕士学位论文,2008.
[2] 武鸿浩.CUDA并行计算技术在情报信息研判中的应用[J].信息网络安全,2012,(02):58-59.
[3] 田爱军,张勇进. 安全模型的研究和实现[J]. 信息安全与通信保密,2001, (8): 34-36.
[4] 张震. VPN技术分析及安全模型研究[J]. 微型机与应用, 2002, 21(2): 28-30.
[5] Aboba B,Calhoun P. RADIUS(Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol(EAP)[EB].
[6] 于晓. 高安全机制VPN组网关键技术研究[R]. 北京:中国科学院, 2008.
[7] 吴轩亮.三网融合下城域网DDoS攻击的监测及防范技术研究[J].信息网络安全,2012.(03):45-48.
[8] 王俊峰,周明天. 高速网络性能测量研究[J]. 计算机科学, 2004, 31(9): 66-71.
[9] 孙志岗,李扎,王宇颖. 网络应用软件健壮性测试方法研究[J]. 计算机工程与科学,2005, (4): 63-65.
基金项目:
本课题为安徽省教育厅自然基金课题项目延深(2003KJ161),基于Linux通过公网IP加密隧道实现Cernet远程互连的研究。
篇9
论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。
Abstract:Along with the fast computer development and the universal application of the network technology, along with information times coming up on, Information is attracting the world’s attention and employed as a kind of important resources. Internet is a very actively developed field. Because it may be illegally attacked by hackers, It is very necessary for data’s protection, delivery and protection against various accidents, intentional or want destroy under any condition. Firewall is the first consideration when plan how to protect your local area network against endangers brought by Internet attack. The core content of firewall technology is to construct a relatively safe environment of subnet in the not-so-safe network environment. This paper introduces the basic conception and system structure of fire-wall technology and also discusses two main technology means to realize fire-wall: One is based on packet filtering, which is to realize fire-wall function through Screening Router; and the other is Proxy and the typical representation is the gateway on application level.....
第一章 绪论
§1.1概述
随着以 Internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自 linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的 Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用 Internet提高办事效率、市场反应能力和竞争力。通过 Internet,他们可以从异地取回重要数据,同时也面临 Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理 、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与VPN的概念及相关测试方法
第二章 防火墙的原理 、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏. DMZ外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integrated security system)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章 防火墙的部署和使用配置
§ 3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部 Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§ 3.2 防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN 1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
第四章 防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1 规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§ 4.2 防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§ 4.3 主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§ 4.4 自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天, FTP、Telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§ 4.5 其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§ 4.6 资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§ 4.7 软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§ 4.8 软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章 防火墙的入侵检测
§ 5.1 什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统 (IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§ 5.2 入侵检测技术及发展
自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统
§ 5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§ 5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§ 5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§ 5.6什么是VPN ?
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows 2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§ 5.7VPN的特点
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
§ 5.8 VPN防火墙
VPN防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN防火墙过滤的就是承载通信数据的通信包。
最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙,因为他们的工作方式都是一样的:分析出入VPN防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN防火墙,VPN防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)VPN防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,比较好的VPN防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令VPN防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗IDS;
2)躲避IDS的安全策略;
3)快速发动进攻,使IDS无法反应;
4)发动大规模攻击,使IDS判断出错;
5)直接破坏IDS;
6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献 :
1..Marcus Goncalves著。宋书民,朱智强等译。防火墙技术指南[M]。机械工业出版社
2.梅杰,许榕生。Internet防火墙技术新发展。微电脑世界 .
3.Ranum M J. Thinking About Firewalls.
篇10
关键词: 安全隐患; 全网动态安全体系模型; 信息安全化; 安全防御
中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2016)12-46-03
Abstract: This paper studies the modern campus network information security, the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model (APPDRR), through the research of the mainstream network information security technology of the modern campus network, puts forward the solution of each layer of the modern campus network security, and applies it to all aspects of the modern campus network, to build a modern campus network of the overall security defense system.
Key words: hidden danger; APPDRR; information security; security defense
0 引言
随着现代校园网接入互联网以及各种应用急剧增加,在享受高速互联网带来无限方便的同时,我们也被各种层次的安全问题困扰着。现代校园网络安全是一个整体系统工程,必须要对现代校园网进行全方位多层次安全分析,综合运用先进的安全技术和产品,制定相应的安全策略,建立一套深度防御体系[1],以自动适应现代校园网的动态安全需求。
1 现代校园网络的安全隐患分析
现代校园网作为信息交换平台重要的基础设施,承担着教学、科研、办公等各种应用,信息安全隐患重重,面临的安全威胁可以分为以下几个层面。
⑴ 物理层的安全分析:物理层安全指的是网络设备设施、通信线路等遭受自然灾害、意外或人为破坏,造成现代校园网不能正常运行。在考虑现代校园网安全时,首先要考虑到物理安全风险,它是整个网络系统安全的前提保障。
⑵ 网络层的安全分析:网络层处于网络体系结构中物理层和传输层之间,是网络入侵者进入信息系统的渠道和通路,网络核心协议TCP/IP并非专为安全通信而设计,所以网络系统存在大量安全隐患和威胁。
⑶ 系统层的安全分析:现代校园网中采用的各类操作系统都不可避免地存在着安全脆弱性,并且当今漏洞被发现与漏洞被利用之间的时间差越来越小,这就使得所有操作系统本身的安全性给整个现代校园网系统带来巨大的安全风险。
⑷ 数据层的安全分析:数据审计平台的原始数据来源各种应用系统及设备,采集引擎实现对网络设备、安全设备、操作系统、应用服务等事件收集,采用多种方式和被收集设备进行数据交互,主要面临着基于应用层数据的攻击。
⑸ 应用层的安全分析[2]:为满足学校教学、科研、办公等需要,在现代校园网中提供了各层次的网络应用,用户提交的业务信息被监听或篡改等存在很多的信息安全隐患,主机系统上运行的应用软件系统采购自第三方,直接使用造成诸多安全要素。
⑹ 管理层的安全分析:人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。
⑺ 非法入侵后果风险分析:非法入侵者一旦获得对资源的控制权,就可以随意对数据和文件进行删除和修改,主要有篡改或删除信息、公布信息、盗取信息、盗用服务、拒绝服务等。
2 现代校园网安全APPDRR模型提出
全网动态安全体系模型[3](APPDRR)从建立全网自适应的、动态安全体系的角度出发,充分考虑了涉及网络安全技术的六方面,如风险分析(Analysis)、安全策略(Policy)、安全防护(Protection)、安全检测(Detection)、实时响应(Response)、数据恢复(Recovery)等,并强调各个方面的动态联系与关联程度。现代校园网安全模型如图1所示,该模型紧紧围绕安全策略构建了五道防线:第一道防线是风险分析,这是整体安全的前提和基础;第二道防线是安全防护,阻止对现代校园网的入侵和破坏;第三道防线是安全监测,及时跟踪发现;第四道防线是实时响应,保证现代校园网的可用性和可靠性;第五道防线是数据恢复,保证有用的数据在系统被入侵后能迅速恢复,并把灾难降到最低程度。
3 现代校园网主流网络信息安全化的技术研究
为了保护现代校园网的信息安全,结合福建农业职业技术学院网络的实际需求,现代校园网信息中心将多种安全措施进行整合,建立一个立体的、完善的、多层次的现代校园网安全防御体系,主要技术有加解密技术、防火墙技术、防病毒系统、虚拟专用网、入侵防护技术、身份认证系统、数据备份系统和预警防控系统等,如图2所示。
3.1 加解密技术
现代校园网中将部署各种应用系统,许多重要信息、电子公文涉及公众隐私、特殊敏感信息和非公开信息。为确保特殊信息在各校区和部门之间交换过程中的保密性、完整性、可用性、真实性和可控性,需运用先进的对称密码算法、公钥密码算法、数字签名技术、数字摘要技术和密钥管理分发等加解密技术。
3.2 防火墙技术
防火墙技术是网络基础设施必要的不可分割的组成元素,是构成现代校园网信息安全化不可缺少的关键部分。它按照预先设定的一系列规则,对进出内外网之间的信息数据流进行监测、限制和过滤,只允许匹配规则的数据通过,并能够记录相关的访问连接信息、通信服务量以及试图入侵事件,以便管理员分析检测、迅速响应和反馈调整。
3.3 防病毒系统
抗病毒技术可以及时发现内外网病毒的入侵和破坏,并通过以下两种有效的手段进行相应地控制:一是有效阻止网络病毒的广泛传播,采用蜜罐技术、隔离技术等;二是杀毒技术,使用网络型防病毒系统进行预防、实时检测和杀毒技术,让现代校园网系统免受其危害。
3.4 虚拟专用网
虚拟专用网(全称为Virtual Private NetWork,简称VPN)指的是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对现代校园网内部网的扩展,由若干个不同的站点组成的集合,一个站点可以属于不同的VPN,站点具有IP连通性,VPN间可以实现防问控制[4]。使用VPN的学校不仅提升了效率,而且学校各校区间的连接更加灵活。只要能够上网,各校区均可以安全访问到主校区网。使用VPN数据加密传输,保证信息在公网中传输的私密性和安全性。VPN按OSI参考模型分层来分类有:①数据链路层有PPTP、L2F和L2TP;②网络层有GRE、IPSEC、 MPLS和DMVPN;③应用层有SSL。
3.5 入侵防护技术
入侵防护技术包含入侵检测系统(IDS)和入侵防御系统(IPS)。IDS可以识别针对现代校园网资源或计算机的恶意企图和不良行为,并能对此及时作出防控。IDS不仅能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时能监控授权对象对系统资源的非法操作,提高了现代校园网的动态安全保护。IPS帮助系统应对现代校园网的有效攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和及时响应),提高现代校园网基础结构的完整性。
3.6 身份认证系统
现代校园网殊部门(如档案、财务、招生等)要建设成系统。要采用身份认证系统[5],应建立相应的身份认证基础平台,加强用户的身份认证,防止对网络资源的非授权访问以及越权操作,加强口令的管理。
3.7 数据备份系统
在现代校园网系统中建立安全可靠的数据备份系统是保证现代校园网系统数据安全和整体网络可靠运行的必要手段,可保证在灾难突发时,系统及业务有效恢复。现代校园网的数据备份系统平台能实时对整个校园网的数据及系统进行集中统一备份,备份策略采用完全备份与增量备份相结合的方式。
3.8 预警防控系统
现代校园网络安全管理人员必须对整个校园网体系的安全防御策略及时地进行检测、修复和升级,严格履行国家标准的信息安全管理制度,构建现代校园网统一的安全管理与监控机制,能实行现代校园网统一安全配置,调控多层面分布式的安全问题,提高现代校园网的安全预警能力,加强对现代校园网应急事件的处理能力,切实建立起一个方便快捷、安全高效的现代校园网预警防控系统,实现现代校园网信息安全化的可控性。
4 现代校园网络安全问题的解决方案
通过对现代校园网主流网络信息安全化技术的深入研究,针对现代校园网的安全隐患,提出现代校园网络安全问题的各层解决方案。
⑴ 物理层安全:主要指物理设备的安全,机房的安全等,包括物理层的软硬件设备安全性、设备的备份、防灾害能力、防干扰能力、设备的运行环境和不间断电源保障等。相关环境建设和硬件产品必须按照我国相关国家标准执行。
⑵ 网络层安全:针对现代校园网内部不同的业务部门及应用系统安全需求进行安全域划分,并按照这些安全功能需求设计和实现相应的安全隔离与保护措施[6],采用核心交换机的访问控制列表以及VLAN隔离功能、硬件防火墙等安全防范措施实现信息安全化。
⑶ 系统层安全:现代校园网管理平台的主机选择安全可靠的操作系统,采取以下技术手段进行安全防护:补丁分发技术、系统扫描技术、主机加固技术、网络防病毒系统。
⑷ 数据层安全:主要使用数据库审计系统进行监控管理,对审计记录结果进行保存,检索和查询,按需审计;同时还能够对危险行为进行报警及阻断,并提供对数据库访问的统计和分析,实现分析结果的可视化,能够针对数据库性能进行改进提供参考依据。
⑸ 应用层安全:应用层安全的安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密,并通过审计和记录机制,确保服务请求和资源访问的防抵赖。
⑹ 管理层安全:现代校园网应依法来制订安全管理制度,提供数据审计平台。一方面,对站点的访问活动进行多层次的记录,及时发现非法入侵行为。另一方面,当事故发生后,提供黑客攻击行为的追踪线索及破案依据,实现对网络的可控性与可审查性。
5 构筑现代校园网的整体安全防御体系
现代校园网络安全问题的各层解决方案综合应用到实际工作环境中,在配套安全管理制度规范下[7],现代校园网可实现全方位多层次的信息安全化管理,配有一整套完备的现代校园网安全总需求分析、校园网风险分析、风险控制及安全风险评估、安全策略和布署处置、预警防控系统、安全实时监控系统、数据审计平台、数据存储备份与恢复等动态自适应的防御体系,可有效防范、阻止和切断各种入侵者,构筑现代校园网的整体安全屏障。
6 结束语
信息安全化是现代校园网实施安全的有效举措,并建立一套切实可行的现代校园网络安全保护措施,提高现代校园网信息和应急处置能力,发挥现代校园网服务教学、科研和办公管理的作用。现代网络的高速发展同时伴随着种种不确定的安全因素,时时威胁现代校园网的健康发展,要至始至终保持与时俱进的思想,适时调整相应的网络安全设备。
参考文献(Reference):
[1] [美]Sean Convery著,王迎春,谢琳,江魁译.网络安全体系结
构[M].人民邮电出版社,2005.
[2] Cbris McNab著,王景新译.网络安全评估[M].中国电力出版
社,2006.
[3] 陈杰新.校园网络安全技术研究与应用[J].吉林大学硕士学
位论文,2010.
[4] Teare D.著,袁国忠译.Cisco CCNP Route学习指南[M].北京
人民邮电出版社.2011.
[5] 张彬.高校数字化校园安全防护与管理系统设计与实现[D].
电子科技大学硕士学位论文,2015.5.
[6] 彭胜伟.高校校园计算机网络设计与实现[J].无线互联技术,
2012.11.