设为首页收藏本站

新微赢技术网

 找回密码
 注册
搜索
热搜: 回贴
查看: 11219|回复: 2
打印 上一主题 下一主题

虚拟专用网络简介及在Windows NT服务器上实现

[复制链接]
跳转到指定楼层
1#
发表于 2009-11-29 02:22:14 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
虚拟专用网络VPN(Virtual Private Network)是Internet技术迅速发展的产物,他可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其他公 共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。为了保障信息在公共网上传输的安全,VPN技术采用了认证、存取控制、加 密、数据完整性等措施以保证信息在传输中不被偷看、篡改、复制。
1 支持实现VPN的主要技术
VPN技术的发展是基于隧道技术的基础上的,隧道技术是一种通过使用互联网络的基础 设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发 送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的2个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装,传输和解包在内的全过程。
下面考察一些主要的隧道技术。具体包括:
1.1 对点隧道协议(PPTP)
PPTP协议是点到点协议(PPP)的扩充,PPTP是一个第2层的协议,将PPP 数据帧封装在IP数据报内通过IP网络,如Internet传送。PPTP还可用于专用局域网络之间的连接。RFC草案"点对点隧道协议"对PPTP协议 进行了说明和介绍。该草案由PPTP论坛的成员公司,包括微软,Ascend,3Com,和ECI等公司在1996年6月提交至IETF。可在站点 http://WWW.ietf.org参看草案的在线拷贝。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成 PPP数据帧通过隧道传送。可以对封装PPP帧中的负载数据进行加密或压缩。
1.2 L2F
L2F是Cisco公司提出隧道技术,作为一种传输协议L2F支持拨号接人服务器将 拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之重新注入(inject)网络。与PPTP和 L2TP不同,L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。
1.3 第2层隧道协议(L2TP)
L2TP结合了PPTP和L2F协议。他是一种网络层协议,支持封装的PPP帧在 IP、X.25、帧中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协 议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。
IP网上的L2TP使用UDP和一系列的L2TP消息对隧道进行维护。L2TP同 样使用UDP将L2TP协议封装的PPP帧通过隧道发送。可以对封装PPP帧中的负载数据进行加密或压缩。L2TP协议允许对IP,IPX或 NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP、X.25、帧中继或ATM。
PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管2个协议非常相似,但是仍存在以下几方面的不同:
(1)PPTP要求互联网络为IP网络 L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP)、帧中继永久虚拟电路(PVCs)、X.25虚拟电路(VCs)或ATM VCs网络上使用。
(2)PPTP只能在2个端点间建立单一隧道 L2TP支持在2个端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。
(3)L2TP可以提供包头压缩 当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。
(4)L2TP可以提供隧道验证,而PPTP则不支持隧道验证 但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道。
1.4 安全IP(IPSec)隧道模式
IPSec是第3层的协议标准,支持IP网络上数据的安全传输。IPSEC是一种由 IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密 时,IPSEC使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSEC使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。IPSEC协议下, 只有发送方和接受方知道秘密密钥。如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。
ESP有2种工作模式:传送模式和隧道模式。在传送模式时只对IP的数据部分加 密。一个IPSEC隧道由一个隧道客户和隧道服务器组成,两端都配置使用IPSEC隧道技术,采用协商加密机制。而在隧道模式时将通过设备对整个IP包加 密(包括包头),使IP包的源地址与目的地址隐藏。此时的IP包的包头为VPN设备(网关,路由器等)的IP地址。一个IPSEC隧道由一个隧道客户和隧 道服务器组成,两端都配置使用IPSEC隧道技术,采用协商加密机制。
IPSec隧道模式具有以下功能和局限:
(1)只能支持IP数据流。
(2)工作在IP栈(IPstack)的底层,因此,应用程序和高层协议可以继承IPSEC的行为。
(3)由一个安全策略(一整套过滤机制)进行控制。安全策略按照优先级的先后顺序创 建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密 机制进行加密,然后封装在隧道包头内。 2 VPN在Windows 2000服务器中的实现
2.1 Windows 2000的虚拟专用网络
Windows 2000支持2种类型的VPN技术:
(1)PPTP 他使用了用户级点对点协议的认证方法和微软的点对点数据加密方法;
(2)IPSec的L2TP协议 使用用户级PPP认证方法和IPSec级的证书进行数据加密。
基于IPSec的L2TP数据包的封装由2层组成:
(1)L2TP封装 将PPP框架(1P数据包、IPX数据包或NetBEUI框架)包装成L2TP头和UDP头
(2)IPSec封装 使用IPSec封装安全措施负载量(ESP)头文件和尾文件、提供消息完整性和身份验证的IPSec身份验证尾文件及最后的IP头数据包装L2TP结果消息。在IP头文件中有与VPN客户机和VPN服务器对应的源和目标IP地址。
图1显示了PPP数据包的L2TP和IPSec封装。
2.2 在Windows NT服务器中建立VPN
在Windows NT服务器中建立VPN的过程是:首先在Windows NT上安装PPTP并输入该服务器支持的VPN数量,然后增加VPN设备作为RAS的端口,配置加密和验证办法,然后对VPN隧道配置TCP/IP协议。 最后配置RAS路由选择使PPTP包经过该服务器到网络。
在Windows 2000中可以通过"网络连接向导"快速配置VPN,Windows 2000可以自动识别VPN设备并添加VPN网络连接。
客户端可采用Windows 98操作系统,首先通过Windows 98光盘安装VPN网络例程,然后安装Microsoft Virtual Private Network适配器,最后建立和配置Dial-UP Networking图标连接到PPTP服务器即可。
Windows 2000L2TP是PPTP用采管道化,地址分配和认证的更安全的版本。
Windows 2000通过策略来配置IPsec并提供管理控制台、IP安全策略,同时,在Windows 2000中PKI提供了数字论证证书授权功能。通过PKI来实现密钥的分配和管理,这也是Windows 2000实现VPN不可缺少的重要组成部分。
3 VPN的安全性
3.1 授 权
只有得到授权的用户和路由器才能创建VPN连接。对于Windows 2000,VPN连接的授权由用户帐户的拨人属性及远端访问策略决定。不需要单为VPN连接创建用户帐户。根据Windows 2000安全性,VPN服务器使用在可用用户帐户数据库中指定的用户帐户。从基于PPTP的VPN客户端连接到基于PPTP的运行Windows 2000的VPN服务器时发生的情况:
(1)VPN客户端使用VPN服务器创建PPTP隧道。
(2)服务器向客户端发送质询。
(3)客户将加密的响应发送给服务器。(假定VPN客户端和VPN服务器使用MS-CHAP v1或CHAP身份验证协议。)
(4)服务器检查对应于用户帐户数据库的响应。
(5)如果帐户有效并拥有远程访问权限,服务器将接受符合VPN客户远程访问策略和用户帐户属性的连接。
基于IPSec的VPN客户端上的L2TP连接到运行Windows 2000的基于IPSec的VPN服务器上的L2TP时发生的情况:
(1)通过使用机器验证、Internet安全协会与密钥管理协议(1SAKMP)以及Oakley密钥生成协议来创建IPSec安全协会。
(2)VPN客户端使用VPN服务器创建L2TP隧道.
(3)服务器向客户端发送质询。(假定VPN客户端和VPN服务器使用MS-CHAP v1或CHAP身份验证协议)
(4)客户将加密的响应发送给服务器。
(5)服务器检查对应于用户帐户数据库的响应。
(6)如果帐户有效并拥有远程访问权限,服务器将接受符合VPN客户远程访问策略和用户帐户属性的连接。
通过授权和身份验证并连接到LAN后,远程访问VPN连接的VPN客户只能访问那些 具有权限的网络资源。远程访问VPN客户服从Windows 2000安全设置,如同他们在办公室中一样。换句话说,远程访问VPN客户不能进行任何无权进行的操作,也不能访问无权访问的资源。 远程访问服务器必须先鉴别远程访问VPN客户的身份,然后才允许其进行网络访问和数据传输。该身份验证是登录到Windows 2000中的独立步骤。
可以将远程访问VPN客户限制为只许访问VPN服务器的共享资源,而不许访问VPN服务器连接的网络。因此,管理员可以严格控制远程访问VPN客户端的可用信息并限制客户端在破坏安全事件中曝光。
另外,可以在远程访问策略配置文件基础上,使用数据包筛选器限制对Intranet 的IP通信的访问。通过参数文件包过滤器,可以配置基于例外的允许输出连接(输出过滤器)和进入连接(输入过滤器)的IP传输:除了过滤器指定的通信以外 的所有通信,或除了过滤器指定的通信以外没有通信。远程访问策略配置文件对所有与远程访问策略相匹配的连接申请进行筛选。
3.2 身份验证
通过VPN服务器验证VPN客户身份至关重要地关系到安全性问题。身份验证以2个级别进行:
(1)机器级身份验证 如果将IPSec用于通过IPSecVPN连接的L2TP,机器级别的身份验证将通过IPSec安全关联建立过程中的机器证书交换完成。
(2)用户级别身份验证 在通过PPTP或L2TP隧道发送数据之前,必须对请求VPN连接的用户或请求拨号路由器进行身份验证。用户级别的身份验证是通过PPP身份验证方式进行的。
3.3 数据加密
必须使用数据加密来保护在VPN客户和VPN服务器或者共享或公共网络之间发送的数 据,因为这些网络通常有未授权拦截的危险。可以将VPN服务器配置为强制执行加密的通讯。连接到该服务器的用户必须对数据进行加密,否则不允许建立连接。 对VPN连接,Windows 2000使用有PPTP的Microsoft点到点加密(MPPE)及使用L2TP的IPSec加密。
3.4 数据包筛选
要保证VPN服务器在Internet接口上发送或接收除VPN通信之外任何通信的 安全,需要在响应与Internet连接的接口上的IPSec输入和输出筛选器上配置PPTP或L2TP。对于路由器到路由器VPN连接,还必须使用 IPSec数据包筛选器上的PPTP或L2TP配置呼叫路由器(VPN客户)。
因为默认情况下,在Intranet接口和Internet连接相对应的接口上启 用IP路由,运行Windows 2000的计算机在Internet和Intranet之间转发IP数据包。这在Intranet和Internet上可能的非法用户之间提供一个直接、 路由的连接。为了保护Intranet,以使Intranet的惟一通信是通过安全VNP连接发送或接收的,必须通过Internet接口上的IPSec 过滤器配置PPTP或L2TP。
4 结 语
VPN作为一种正在发展和完善的技术,其设计应该包含以下原则:安全性、网络优化、VPN管理等。
在安全性上,由于VPN直接构建在公用网上,其安全问题极其重要,必须确定其VPN 上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源和信息的访问。同时还要充分有效地利用有限的广域网资源,按优先级分配带宽资源,为重要 数据提供可靠的带宽,预防阻塞的发生。
在VPN的管理上,VPN要求将网络功能从局域网无缝地延伸到公用网、个人和别的局域网。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减少网络风险、具有高扩展性和高可靠性、经济性。
2#
发表于 2009-12-26 01:05:11 | 只看该作者
加油啊!!!!顶哦!!!!!支持楼主,支持你~
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

申请友链|小黑屋|最新主题|手机版|新微赢技术网 ( 苏ICP备08020429号 )  

GMT+8, 2024-11-19 07:31 , Processed in 0.103510 second(s), 10 queries , Gzip On, Memcache On.

Powered by xuexi

© 2001-2013 HaiAn.Com.Cn Inc. 寰耽

快速回复 返回顶部 返回列表