當(dāng)前位置：首頁 > 文庫 > 文案

vpn技術(shù)論文范文10篇

時(shí)間：2024-08-15 14:07:42 27

vpn技術(shù)論文

vpn技術(shù)論文范文第1篇

關(guān)鍵詞VPN；虛擬專用網(wǎng)；SSLVPN；IPSecVPN

1引言

VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)，是一項(xiàng)迅速發(fā)展起來的新技術(shù)，主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡(luò)，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。一個(gè)網(wǎng)絡(luò)連接通常由客戶機(jī)、傳輸介質(zhì)和服務(wù)器三個(gè)部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報(bào)的發(fā)送接受過程中使用了加密解密技術(shù)，使得傳送數(shù)據(jù)報(bào)的路由器均不知道數(shù)據(jù)報(bào)的內(nèi)容，就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。

2隧道技術(shù)的實(shí)現(xiàn)

假設(shè)某公司在相距很遠(yuǎn)的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個(gè)部門若利用因特網(wǎng)進(jìn)行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。

圖1

現(xiàn)在設(shè)部門A的主機(jī)X向部門B的主機(jī)Y發(fā)送數(shù)據(jù)報(bào)，源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報(bào)從主機(jī)X發(fā)送給路由器R1。路由器R1收到這個(gè)內(nèi)部數(shù)據(jù)報(bào)后進(jìn)行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報(bào)，這個(gè)外部數(shù)據(jù)報(bào)的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報(bào)后，對(duì)其進(jìn)行解密，恢復(fù)出原來的內(nèi)部數(shù)據(jù)報(bào)，并轉(zhuǎn)發(fā)給主機(jī)Y。這樣便實(shí)現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。

3軍隊(duì)院校校園網(wǎng)建設(shè)VPN技術(shù)應(yīng)用設(shè)想

隨著我軍三期網(wǎng)的建設(shè)，VPN技術(shù)也可廣泛應(yīng)用于軍隊(duì)院校的校園網(wǎng)建設(shè)之中。這是由軍隊(duì)院校的實(shí)際需求所決定的。首先，軍隊(duì)的特殊性要求一些信息的傳達(dá)要做到安全可靠，采用VPN技術(shù)會(huì)大大提高網(wǎng)絡(luò)傳輸?shù)目煽啃?；第二，軍?duì)院校不但有各教研室和學(xué)員隊(duì)，還包括保障部隊(duì)、管理機(jī)構(gòu)等，下屬部門較多，有些部門相距甚至不在一個(gè)地方，采用VPN技術(shù)可簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理；第三，采用了VPN技術(shù)后將為外出調(diào)研的教員、學(xué)員們以及其它軍隊(duì)院校的用戶通過軍隊(duì)網(wǎng)訪問本校圖書館查閱資料提供便利。

而VPN技術(shù)的特點(diǎn)正好能夠滿足以上幾點(diǎn)需求。首先是安全性，VPN通過使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證的方法進(jìn)行驗(yàn)證，這些驗(yàn)證方法包括：密碼身份驗(yàn)證協(xié)議(PAP)、質(zhì)詢握手身份驗(yàn)證協(xié)議(CHAP)、Shiva密碼身份驗(yàn)證協(xié)議(SPAP)、Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議(MS-CHAP)和可選的可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)，并且采用微軟點(diǎn)對(duì)點(diǎn)加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機(jī)制對(duì)數(shù)據(jù)包進(jìn)行加密。對(duì)于敏感的數(shù)據(jù)，還可以使用VPN連接通過VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進(jìn)行分隔，只有擁有適當(dāng)權(quán)限的用戶才能通過遠(yuǎn)程訪問建立與VPN服務(wù)器的VPN連接，并且可以訪問敏感部門網(wǎng)絡(luò)中受到保護(hù)的資源。第二，在解決異地訪問本地電子資源問題上，這正是VPN技術(shù)的主要特點(diǎn)之一，可以讓外地的授權(quán)用戶方便地訪問本地的資源。目前，主要的VPN技術(shù)有IPSecVPN和SSLVPN兩種。其中IPSec技術(shù)的工作原理類似于包過濾防火墻，可以看作是對(duì)包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)，包過濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。但是IPSec不同于包過濾防火墻的是，對(duì)IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞過IPSec)外還能對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。而SSLVPN技術(shù)則是近幾年發(fā)展起來的新技術(shù)，它能夠更加有效地進(jìn)行訪問控制，而且安全易用，不需要高額的費(fèi)用。該技術(shù)主要具有以下幾個(gè)特點(diǎn)：第一，安全性高；第二，便于擴(kuò)展；第三，簡(jiǎn)單性；第四，兼容性好。

我認(rèn)為軍隊(duì)院校校園網(wǎng)VPN技術(shù)應(yīng)主要采用SSLVPN技術(shù)。首先因?yàn)槠浒踩院?，由于IPSecVPN部署在網(wǎng)絡(luò)層，因此，內(nèi)部網(wǎng)絡(luò)對(duì)于通過VPN的使用者來說是透明的，只要是通過了IPSecVPN網(wǎng)關(guān)，它可以在內(nèi)部為所欲為。因此，IPSecVPN的目標(biāo)是建立起來一個(gè)虛擬的IP網(wǎng)，而無法保護(hù)內(nèi)部數(shù)據(jù)的安全，而SSLVPN則是接入企業(yè)內(nèi)部的應(yīng)用，而不是企業(yè)的整個(gè)網(wǎng)絡(luò)。它可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限，從而保護(hù)具體的敏感數(shù)據(jù)。并且數(shù)據(jù)加密的安全性有加密算法來保證。對(duì)于軍隊(duì)機(jī)構(gòu)，安全保密應(yīng)該是主要考慮的方面之一。第二，SSLVPN與IPSecVPN相比，具有更好的可擴(kuò)展性?？梢噪S時(shí)根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器。而IPSecVPN在部署時(shí)，要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSecVPN就要重新部署。第三，操作的復(fù)雜度低，它不需要配置，可以立即安裝、立即生效，另外客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行。第四，SSLVPN的兼容性很好，而不像傳統(tǒng)的IPSecVPN對(duì)客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件。此外，使用SSLVPN還具有更好的經(jīng)濟(jì)性，這是因?yàn)橹恍枰诳偛糠胖靡慌_(tái)硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程安全訪問接入；但是對(duì)于IPSecVPN來說，每增加一個(gè)需要訪問的分支就需要添加一個(gè)硬件設(shè)備。

雖然SSLVPN的優(yōu)點(diǎn)很多，但也可結(jié)合使用IPSecVPN技術(shù)。因?yàn)檫@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSLVPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而IPSecVPN是在兩個(gè)局域網(wǎng)之間通過網(wǎng)絡(luò)建立的安全連接，保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信，并且，IPSecVPN工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴(kuò)展性更強(qiáng)?？捎糜谲娦Ｖg建立虛擬專用網(wǎng)，進(jìn)行安全可靠的信息傳送。

4結(jié)論

總之，VPN是一項(xiàng)綜合性的網(wǎng)絡(luò)新技術(shù)，目前的運(yùn)用還不是非常地普及，在軍隊(duì)網(wǎng)中的應(yīng)用更是少之又少。但是隨著全軍三期網(wǎng)的建成以及我軍信息化建設(shè)的要求，VPN技術(shù)將會(huì)發(fā)揮其應(yīng)有的作用。

參考文獻(xiàn)

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版).北京：電子工業(yè)出版社，2003

vpn技術(shù)論文范文第2篇

關(guān)鍵詞：虛擬專用網(wǎng)VPN遠(yuǎn)程訪問網(wǎng)絡(luò)安全

引言

隨著信息時(shí)代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴(kuò)大，不論是企業(yè)內(nèi)部職能部門，還是企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員，都需要同企業(yè)總部之間建立起一個(gè)快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境。怎樣建立外部網(wǎng)絡(luò)環(huán)境與內(nèi)部網(wǎng)絡(luò)環(huán)境之間的安全通信，實(shí)現(xiàn)企業(yè)外部分支機(jī)構(gòu)遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)資源，成為當(dāng)前很多企業(yè)在信息網(wǎng)絡(luò)化建設(shè)方面亟待解決的問題。

一、VPN技術(shù)簡(jiǎn)介

VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)絡(luò)，指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專用網(wǎng)絡(luò)。在隧道的發(fā)起端（即服務(wù)端），用戶的私有數(shù)據(jù)經(jīng)過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地到達(dá)用戶端。

VPN可以提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過隧道加密技術(shù)達(dá)到類似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)。它能夠提供Internet遠(yuǎn)程訪問，通過安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶、現(xiàn)場(chǎng)服務(wù)人員等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，此外它還提供了對(duì)移動(dòng)用戶和漫游用戶的支持，使網(wǎng)絡(luò)時(shí)代的移動(dòng)辦公成為現(xiàn)實(shí)。

隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的蓬勃發(fā)展，基于Internet的商務(wù)應(yīng)用在企業(yè)信息管理領(lǐng)域得到了長(zhǎng)足發(fā)展。根據(jù)企業(yè)的商務(wù)活動(dòng)，需要一些固定的生意伙伴、供應(yīng)商、客戶也能夠訪問本企業(yè)的局域網(wǎng)，從而簡(jiǎn)化信息傳遞的路徑，加快信息交換的速度，提高企業(yè)的市場(chǎng)響應(yīng)速度和決策速度。同時(shí)，圍繞企業(yè)自身的發(fā)展戰(zhàn)略，企業(yè)的分支機(jī)構(gòu)越來越多，企業(yè)需要與各分支機(jī)構(gòu)之間建立起信息相互訪問的渠道。面對(duì)越來越復(fù)雜的網(wǎng)絡(luò)應(yīng)用和日益突出的信息處理問題，VPN技術(shù)無疑給我們提供了一個(gè)很好的解決思路。VPN可以幫助遠(yuǎn)程用戶同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，大幅度地減少了企業(yè)、分支機(jī)構(gòu)、供應(yīng)商和客戶花在信息傳遞環(huán)節(jié)的時(shí)間，降低了企業(yè)局域網(wǎng)和Internet安全對(duì)接的成本。VPN的應(yīng)用建立在一個(gè)全開放的Internet環(huán)境之中，這樣就大大簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)和管理，滿足了不斷增長(zhǎng)的移動(dòng)用戶和Internet用戶的接入，以實(shí)現(xiàn)安全快捷的網(wǎng)絡(luò)連接。

二、基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析

VPN技術(shù)類型有很多種，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，可以利用Internet網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)VPN服務(wù)器架構(gòu)以及客戶端連接應(yīng)用，基于Internet環(huán)境的VPN技術(shù)具有成本低、安全性好、接入方便等特點(diǎn)，能夠很好的滿足企業(yè)對(duì)VPN的常規(guī)需求。

2.1Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶端、VPN連接、隧道等幾個(gè)重要環(huán)節(jié)。在VPN服務(wù)器端，用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和和數(shù)據(jù)加密之后在Internet上傳輸，通過虛擬隧道到達(dá)接收端，接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據(jù)交互。基于Internet環(huán)境的企業(yè)VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

2.2VPN技術(shù)安全性分析VPN技術(shù)主要由三個(gè)部分組成：隧道技術(shù)，數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜?。挥脩粽J(rèn)證則保證未獲認(rèn)證的用戶無法訪問網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸，因此安全問題是VPN技術(shù)的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)的，以此確保遠(yuǎn)程客戶端能夠安全地訪問VPN服務(wù)器。

在運(yùn)行性能方面，隨著企業(yè)電子商務(wù)活動(dòng)的激增，信息處理量日益增加，網(wǎng)絡(luò)擁塞的現(xiàn)象經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此制定VPN方案時(shí)應(yīng)考慮到能夠?qū)W(wǎng)絡(luò)通信進(jìn)行控制來確保其性能。我們可以通過VPN管理平臺(tái)來定義管理策略，分配基于數(shù)據(jù)傳輸重要性的接口帶寬，這樣既能滿足重要數(shù)據(jù)優(yōu)先應(yīng)用的原則，又不會(huì)屏蔽低優(yōu)先級(jí)的應(yīng)用。考慮到網(wǎng)絡(luò)設(shè)施的日益完善、網(wǎng)絡(luò)應(yīng)用程序的不斷增加、網(wǎng)絡(luò)用戶數(shù)量的快速增長(zhǎng)，對(duì)與復(fù)雜的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、權(quán)限分配的綜合處理能力是VPN方案應(yīng)用的關(guān)鍵。因此VPN方案要有一個(gè)固定的管理策略以減輕管理、報(bào)告等方面的負(fù)擔(dān)，管理平臺(tái)要有一個(gè)定義安全策略的簡(jiǎn)單方法，將安全策略進(jìn)行合理分布，并能管理大量網(wǎng)絡(luò)設(shè)備，確保整個(gè)運(yùn)行環(huán)境的安全穩(wěn)定。

三、Windows環(huán)境下VPN網(wǎng)絡(luò)的設(shè)計(jì)與應(yīng)用

企業(yè)利用Internet網(wǎng)絡(luò)技術(shù)和Windows系統(tǒng)設(shè)計(jì)出VPN網(wǎng)絡(luò)，無需鋪設(shè)專用的網(wǎng)絡(luò)通訊線路，即可實(shí)現(xiàn)遠(yuǎn)程終端對(duì)企業(yè)資源的訪問和共享。在實(shí)際應(yīng)用中，VPN服務(wù)端需要建立在Windows服務(wù)器的運(yùn)行環(huán)境中，客戶端幾乎適用于所有的Windows操作系統(tǒng)。下面以Windows2003系統(tǒng)為例介紹VPN服務(wù)器與客戶端的配置。

3.1Windows2003系統(tǒng)中VPN服務(wù)器的安裝配置在Windows2003系統(tǒng)中VPN服務(wù)稱之為“路由和遠(yuǎn)程訪問”，需要對(duì)此服務(wù)進(jìn)行必要的配置使其生效。

3.1.1VPN服務(wù)的配置。桌面上選擇“開始”“管理工具”“路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問”服務(wù)窗口；鼠標(biāo)右鍵點(diǎn)擊本地計(jì)算機(jī)名，選擇“配置并啟用路由和遠(yuǎn)程訪問”；在出現(xiàn)的配置向?qū)Т翱邳c(diǎn)下一步，進(jìn)入服務(wù)選擇窗口；標(biāo)準(zhǔn)VPN配置需要兩塊網(wǎng)卡（分別對(duì)應(yīng)內(nèi)網(wǎng)和外網(wǎng)），選擇“遠(yuǎn)程訪問（撥號(hào)或VPN）”；外網(wǎng)使用的是Internet撥號(hào)上網(wǎng)，因此在彈出的窗口中選擇“VPN”；下一步連接到Internet的網(wǎng)絡(luò)接口，此時(shí)會(huì)看到服務(wù)器上配置的兩塊網(wǎng)卡及其IP地址，選擇連接外網(wǎng)的網(wǎng)卡；在對(duì)遠(yuǎn)程客戶端指派地址的時(shí)候，一般選擇“來自一個(gè)指定的地址范圍”，根據(jù)內(nèi)網(wǎng)網(wǎng)段的IP地址，新建一個(gè)指定的起始IP地址和結(jié)束IP地址。最后，“設(shè)置此服務(wù)器與RADIUS一起工作”選否。VPN服務(wù)器配置完成。

3.1.2賦予用戶撥入權(quán)限設(shè)置。默認(rèn)的系統(tǒng)用戶均被拒絕撥入到VPN服務(wù)器上，因此需要為遠(yuǎn)端用戶賦予撥入權(quán)限。在“管理工具”中打開“計(jì)算機(jī)管理”控制臺(tái)；依次展開“本地用戶和組”“用戶”，選中用戶并進(jìn)入用戶屬性設(shè)置；轉(zhuǎn)到“撥入”選項(xiàng)卡，在“選擇訪問權(quán)限(撥入或VPN)”選項(xiàng)組下選擇“允許訪問”，即賦予了遠(yuǎn)端用戶撥入VPN服務(wù)器的權(quán)限。

3.2VPN客戶端配置VPN客戶端適用范圍更廣，這里以Windows2003為例說明，其它的Windows操作系統(tǒng)配置步驟類似。

在桌面“網(wǎng)上鄰居”圖標(biāo)點(diǎn)右鍵選屬性，之后雙擊“新建連接向?qū)А贝蜷_向?qū)Т翱诤簏c(diǎn)下一步；接著在“網(wǎng)絡(luò)連接類型”窗口里選擇“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”；在網(wǎng)絡(luò)連接方式窗口里選擇“虛擬專用網(wǎng)絡(luò)連接”；接著為此連接命名后點(diǎn)下一步；在“VPN服務(wù)器選擇”窗口里，輸入VPN服務(wù)端地址，可以是固定IP，也可以是服務(wù)器域名；點(diǎn)下一步依次完成客戶端設(shè)置。在連接的登陸窗口中輸入服務(wù)器所指定的用戶名和密碼，即可連接上VPN服務(wù)器端。:

3.3連接后的共享操作當(dāng)VPN客戶端撥入連接以后，即可訪問服務(wù)器所在局域網(wǎng)里的信息資源，就像并入局域網(wǎng)一樣適用。遠(yuǎn)程用戶既可以使用企業(yè)OA，ERP等信息管理系統(tǒng)，也可以使用文件共享和打印等共享資源。

四、小結(jié)

現(xiàn)代化企業(yè)在信息處理方面廣泛地應(yīng)用了計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)，在企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問以及企業(yè)電子商務(wù)環(huán)境中，虛擬專用網(wǎng)(VPN)技術(shù)為信息集成與優(yōu)化提供了一個(gè)很好的解決方案。VPN技術(shù)利用在公共網(wǎng)絡(luò)上建立安全的專用網(wǎng)絡(luò)，從而為企業(yè)用戶提供了一個(gè)低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸。VPN技術(shù)在企業(yè)資源管理與配置、信息的共享與交互、供應(yīng)鏈集中管理、電子商務(wù)等方面都具有很高的應(yīng)用價(jià)值，在未來的企業(yè)信息化建設(shè)中具有廣闊的前景。

參考文獻(xiàn):

[1]閆曉弟，耶健.基于VPN的電子資源遠(yuǎn)程訪問系統(tǒng)的研究與實(shí)現(xiàn).情報(bào)雜志.2009(8).

vpn技術(shù)論文范文第3篇

一、現(xiàn)代金融網(wǎng)絡(luò)系統(tǒng)典型架構(gòu)及其安全現(xiàn)狀

就金融業(yè)目前的大部分網(wǎng)絡(luò)應(yīng)用而言，典型的省內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)一般是由一個(gè)總部（省級(jí)網(wǎng)絡(luò)中心）和若干個(gè)地市分支機(jī)構(gòu)、以及數(shù)量不等的合作伙伴和移動(dòng)遠(yuǎn)程（撥號(hào)）用戶所組成。除遠(yuǎn)程用戶外，其余各地市分支機(jī)構(gòu)均為規(guī)模不等的局域網(wǎng)絡(luò)系統(tǒng)。其中省級(jí)局域網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，為金融機(jī)構(gòu)中心服務(wù)所在地，同時(shí)也是該金融企業(yè)的省級(jí)網(wǎng)絡(luò)管理中心。而各地市及合作伙伴之間的聯(lián)接方式則多種多樣，包括遠(yuǎn)程撥號(hào)、專線、Internet等。

從省級(jí)和地市金融機(jī)構(gòu)的互聯(lián)方式來看，可以分為以下三種模式：（1）移動(dòng)用戶和遠(yuǎn)程機(jī)構(gòu)用戶通過撥號(hào)訪問網(wǎng)絡(luò)，撥號(hào)訪問本身又可分為通過電話網(wǎng)絡(luò)撥入管理中心訪問服務(wù)器和撥入網(wǎng)絡(luò)服務(wù)提供商兩種方式；（2）各地市遠(yuǎn)程金融分支機(jī)構(gòu)局域網(wǎng)通過專線或公共網(wǎng)絡(luò)與總部局域網(wǎng)絡(luò)連接；（3）合作伙伴（客戶、供應(yīng)商）局域網(wǎng)通過專線或公共網(wǎng)絡(luò)與總部局域網(wǎng)連接。

由于各類金融機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)均有其特定的發(fā)展歷史，其網(wǎng)絡(luò)技術(shù)的運(yùn)用也是傳統(tǒng)技術(shù)和先進(jìn)技術(shù)兼收并蓄。通常在金融機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)建設(shè)過程中，主要側(cè)重于網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定性并確保金融機(jī)構(gòu)的正常生產(chǎn)營(yíng)運(yùn)。

就網(wǎng)絡(luò)信息系統(tǒng)安全而言，目前金融機(jī)構(gòu)的安全防范機(jī)制仍然是脆弱的，一般金融機(jī)構(gòu)僅利用了一些常規(guī)的安全防護(hù)措施，這些措施包括利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)自身的安全設(shè)施；購(gòu)買并部署商用的防火墻和防病毒產(chǎn)品等。在應(yīng)用程序的設(shè)計(jì)中，也僅考慮到了部分信息安全問題。應(yīng)該說這在金融業(yè)務(wù)網(wǎng)絡(luò)建設(shè)初期的客觀環(huán)境下是可行的，也是客觀條件限制下的必然。由于業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計(jì)的各種版本的商用基礎(chǔ)軟件，這些軟件通常僅具備一些基本的安全功能，而且在安裝時(shí)的缺省配置往往更多地照顧了使用的方便性而忽略了系統(tǒng)的安全性，如考慮不周很容易留下安全漏洞。此外，金融機(jī)構(gòu)在獲得公共Internet信息服務(wù)的同時(shí)并不能可靠地獲得安全保障，Internet服務(wù)提供商（ISP）采取的安全手段都是為了保護(hù)他們自身和他們核心服務(wù)的可靠性，而不是保護(hù)他們的客戶不被攻擊，他們對(duì)于你的安全問題的反應(yīng)可能是提供建議，也可能是盡力幫助，或者只是關(guān)閉你的連接直到你恢復(fù)正常。因此，總的來說金融系統(tǒng)中的大部分網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)沒有達(dá)到與金融系統(tǒng)信息的重要性相稱的安全級(jí)別，有的甚至對(duì)于一些常規(guī)的攻擊手段也無法抵御，這些都是金融管理信息系統(tǒng)亟待解決的安全問題。

二、現(xiàn)代金融網(wǎng)絡(luò)面臨的威脅及安全需求

目前金融系統(tǒng)存在的網(wǎng)絡(luò)安全威脅，就其攻擊手段而言可分為針對(duì)信息的攻擊、針對(duì)系統(tǒng)的攻擊、針對(duì)使用者的攻擊以及針對(duì)系統(tǒng)資源的攻擊等四類，而實(shí)施安全攻擊的人員則可能是外部人員，也可能是機(jī)構(gòu)內(nèi)部人員。

針對(duì)信息的攻擊是最常見的攻擊行為，信息攻擊是針對(duì)處于傳輸和存儲(chǔ)形態(tài)的信息進(jìn)行的，其攻擊地點(diǎn)既可以在局域網(wǎng)內(nèi)，也可以在廣域網(wǎng)上。針對(duì)信息的攻擊手段的可怕之處在于其隱蔽性和突然性，攻擊者可以不動(dòng)聲色地竊取并利用信息，而無慮被發(fā)現(xiàn)；犯罪者也可以在積聚足夠的信息后驟起發(fā)難，進(jìn)行敲詐勒索。此類案件見諸報(bào)端層出不窮，而未公開案例與之相比更是數(shù)以倍數(shù)。

利用系統(tǒng)（包括操作系統(tǒng)、支撐軟件及應(yīng)用系統(tǒng)）固有的或系統(tǒng)配置及管理過程中的安全漏洞，穿透或繞過安全設(shè)施的防護(hù)策略，達(dá)到非法訪問直至控制系統(tǒng)的目的，并以此為跳板，繼續(xù)攻擊其他系統(tǒng)。由于我國(guó)的網(wǎng)絡(luò)信息系統(tǒng)中大量采用不是專為安全系統(tǒng)設(shè)計(jì)的基礎(chǔ)軟件和支撐平臺(tái)，為了照顧使用的方便性而忽略了安全性，導(dǎo)致許多安全漏洞的產(chǎn)生，如果再考慮到某些軟件供應(yīng)商出于政治或經(jīng)濟(jì)的目的，可能在系統(tǒng)中預(yù)留“后門”，因此必須采用有效的技術(shù)手段加以預(yù)防。

針對(duì)使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑，攻擊者多利用管理者和使用者安全意識(shí)不強(qiáng)、管理制度松弛、認(rèn)證技術(shù)不嚴(yán)密的特點(diǎn)，通過種種手段竊取系統(tǒng)權(quán)限，通過合法程序來達(dá)到非法目的，并可在事后嫁禍他人或毀滅證據(jù)，導(dǎo)致此類攻擊難以取證。

針對(duì)資源的攻擊是以各種手段耗盡系統(tǒng)某一資源，使之喪失繼續(xù)提供服務(wù)的能力，因此又稱為拒絕服務(wù)類攻擊。拒絕服務(wù)攻擊的高級(jí)形式為分布式拒絕服務(wù)攻擊，即攻擊者利用其所控制的成百上千個(gè)系統(tǒng)同時(shí)發(fā)起攻擊，迫使攻擊對(duì)象癱瘓。由于針對(duì)資源的攻擊利用的是現(xiàn)有的網(wǎng)絡(luò)架構(gòu)，尤其是Internet以及TCP/IP協(xié)議的固有缺陷，因此在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施沒有得到大的改進(jìn)前，難以徹底解決。

金融的安全需求安全包括五個(gè)基本要素：機(jī)密性、完整性、可用性、可審查性和可控性。目前國(guó)內(nèi)金融機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)重點(diǎn)解決好網(wǎng)絡(luò)內(nèi)部的信息流動(dòng)及操作層面所面臨的安全問題，即總部和分支機(jī)構(gòu)及合作伙伴之間在各個(gè)層次上的信息傳輸安全和網(wǎng)絡(luò)訪問控制問題。網(wǎng)絡(luò)系統(tǒng)需要解決的關(guān)鍵安全問題概括起來主要有：傳輸信息的安全、節(jié)點(diǎn)身份認(rèn)證、交易的不可抵賴性和對(duì)非法攻擊事件的可追蹤性。

必須指出：網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息環(huán)境，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。金融行業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。

三、網(wǎng)絡(luò)安全基本技術(shù)與VPN技術(shù)

解決網(wǎng)絡(luò)信息系統(tǒng)安全保密問題的兩項(xiàng)主要基礎(chǔ)技術(shù)為網(wǎng)絡(luò)訪問控制技術(shù)和密碼技術(shù)。網(wǎng)絡(luò)訪問控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來攻擊。密碼技術(shù)用于加密隱蔽傳輸信息、認(rèn)證用戶身份、抗否認(rèn)等。

密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一，實(shí)際上，數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法，這使得它能以較小的代價(jià)提供很強(qiáng)的安全保護(hù)，在現(xiàn)代金融的網(wǎng)絡(luò)安全的應(yīng)用上起著非常關(guān)鍵的作用。

虛擬專用網(wǎng)絡(luò)（VPN：VirtualPrivateNetwork）技術(shù)就是在網(wǎng)絡(luò)層通過數(shù)據(jù)包封裝技術(shù)和密碼技術(shù)，使數(shù)據(jù)包在公共網(wǎng)絡(luò)中通過“加密管道”傳播，從而在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)。利用VPN技術(shù)，金融機(jī)構(gòu)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相安全的傳遞信息；另外，金融機(jī)構(gòu)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以安全的連接進(jìn)入金融機(jī)構(gòu)網(wǎng)絡(luò)中，進(jìn)行各類網(wǎng)絡(luò)結(jié)算和匯兌。

綜合利用網(wǎng)絡(luò)互聯(lián)的隧道技術(shù)、數(shù)據(jù)加密技術(shù)、網(wǎng)絡(luò)訪問控制技術(shù)，并通過適當(dāng)?shù)拿荑€管理機(jī)制，在公共的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的虛擬專用網(wǎng)絡(luò)系統(tǒng)，可以實(shí)現(xiàn)完整的集成化金融機(jī)構(gòu)范圍VPN安全解決方案。對(duì)于現(xiàn)行的金融行業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)，采用VPN技術(shù)可以在不影響現(xiàn)行業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下，極大地提高系統(tǒng)的安全性能，是一種較為理想的基礎(chǔ)解決方案。

當(dāng)今VPN技術(shù)中對(duì)數(shù)據(jù)包的加解密一般應(yīng)用在網(wǎng)絡(luò)層（對(duì)于TCP/IP網(wǎng)絡(luò)，發(fā)生在IP層），從而既克服了傳統(tǒng)的鏈（線）路加密技術(shù)對(duì)通訊方式、傳輸介質(zhì)、傳輸協(xié)議依賴性高，適應(yīng)性差，無統(tǒng)一標(biāo)準(zhǔn)等缺陷，又避免了應(yīng)用層端——端加密管理復(fù)雜、互通性差、安裝和系統(tǒng)遷移困難等問題，使得VPN技術(shù)具有節(jié)省成本、適應(yīng)性好、標(biāo)準(zhǔn)化程度高、便于管理、易于與其他安全和系統(tǒng)管理技術(shù)融合等優(yōu)勢(shì)，成為目前和今后金融安全網(wǎng)絡(luò)發(fā)展的一個(gè)必然趨勢(shì)。

從應(yīng)用上看虛擬專用網(wǎng)可以分為虛擬企業(yè)網(wǎng)和虛擬專用撥號(hào)網(wǎng)絡(luò)（VPDN）。虛擬企業(yè)網(wǎng)主要是使用專線上網(wǎng)的部分企業(yè)、合作伙伴間的虛擬專網(wǎng)；虛擬專用撥號(hào)網(wǎng)絡(luò)是使用電話撥號(hào)（PPP撥號(hào)）上網(wǎng)的遠(yuǎn)程用戶與企業(yè)網(wǎng)間的虛擬專網(wǎng)。虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議應(yīng)該具備以下條件：保證數(shù)據(jù)的真實(shí)性，通訊主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址假冒（IPSpoofing）的能力。保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子篡改數(shù)據(jù)的能力。保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使竊聽者不能破解攔截到的通道數(shù)據(jù)。提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)。提供安全保護(hù)措施和訪問控制，具有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪問控制。

針對(duì)現(xiàn)行的金融機(jī)構(gòu)的網(wǎng)絡(luò)信息安全，VPN具有以下優(yōu)點(diǎn)：（1）降低成本。不必租用長(zhǎng)途專線建設(shè)專網(wǎng)，不必大量的網(wǎng)絡(luò)維護(hù)人員和設(shè)備投資；（2）容易擴(kuò)展。網(wǎng)絡(luò)路由設(shè)備配置簡(jiǎn)單，無需增加太多的設(shè)備，省時(shí)省錢；（3）完全控制主動(dòng)權(quán)。VPN上的設(shè)施和服務(wù)完全掌握在金融機(jī)構(gòu)自己的手中。比方說，金融機(jī)構(gòu)可以把撥號(hào)訪問交給網(wǎng)絡(luò)服務(wù)商（NSP）去做，由自己負(fù)責(zé)用戶的查驗(yàn)、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

vpn技術(shù)論文范文第4篇

關(guān)鍵詞：有效利用數(shù)字圖書館方法

中圖分類號(hào)：G250.7 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：1672-1578（2013）03-0081-02

1 引言

信息技術(shù)的迅速發(fā)展和廣泛應(yīng)用，不僅改變著人們的工作和生活方式，也改變著教育和學(xué)習(xí)方式，也促進(jìn)了國(guó)內(nèi)外數(shù)字資源的突飛猛進(jìn)發(fā)展，高校圖書館購(gòu)買的數(shù)字資源也越來越多，可供師生訪問的資源日漸增多，但是數(shù)據(jù)庫資源的知識(shí)產(chǎn)權(quán)和版權(quán)等因素使得相當(dāng)部分?jǐn)?shù)字資源使用范圍有限，只能在校園網(wǎng)內(nèi)部訪問，不能對(duì)外網(wǎng)開放。電大開放教育以學(xué)生為中心，具有開放性、靈活性、針對(duì)性和適應(yīng)性等特點(diǎn)，主要運(yùn)用衛(wèi)星、電視、互聯(lián)網(wǎng)、移動(dòng)終端等信息化手段和多種教學(xué)媒介，構(gòu)建全民多樣化終身學(xué)習(xí)型社會(huì)。國(guó)家開放大學(xué)數(shù)字圖書館的服務(wù)對(duì)象是開放大學(xué)及電大系統(tǒng)的師生，但他們多數(shù)是在職在崗的成人，學(xué)習(xí)的地方相對(duì)分散，到校園圖書館利用數(shù)字資源極為不便，也因此形成了開放大學(xué)圖書館服務(wù)方式的特殊性。為了滿足電大系統(tǒng)教師和學(xué)生隨時(shí)隨地便捷地使用圖書館數(shù)字資源，國(guó)家開放大學(xué)數(shù)字圖書館提供遠(yuǎn)程訪問服務(wù)。

2 遠(yuǎn)程訪問數(shù)字圖書館

本文所討論的遠(yuǎn)程訪問是校外訪問，就是指非校園網(wǎng)用戶突破校內(nèi)IP地址的物理限制使用學(xué)校購(gòu)買的數(shù)字化數(shù)據(jù)庫資源。目前遠(yuǎn)程訪問圖書館數(shù)字資源有傳統(tǒng)服務(wù)器技術(shù)、VPN技術(shù)、Athens項(xiàng)目、PKI技術(shù)、Shibbloeth項(xiàng)目、EZproxy技術(shù)等[1]。VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程訪問已經(jīng)普遍應(yīng)用并逐步完善，尤其在遠(yuǎn)程訪問圖書館數(shù)字資源中應(yīng)用更為廣泛。新興的 SSL VPN 技術(shù)非常適合移動(dòng)用戶的遠(yuǎn)程接入訪問，該技術(shù)集傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全、快速及共享數(shù)據(jù)庫的低成本且簡(jiǎn)單易行等優(yōu)點(diǎn)特點(diǎn)，可以為外部網(wǎng)提供虛擬連接，從而成為高校圖書館為所有非校園網(wǎng)的師生提供資源共享的最理想的方案[2]。

3 VPN概述

VPN（Virtual Private Network）即虛擬專用網(wǎng)絡(luò)，是一種網(wǎng)絡(luò)新技術(shù)，在公用網(wǎng)絡(luò)上通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)，建立單位內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程虛擬訪問的連接方式。VPN具有傳輸數(shù)據(jù)安全可靠，連接方便靈活，可完全控制，成本低等特點(diǎn)[3]。

SSL VPN是采用SSL（Secure Sockets Layer，安全套接層）協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是基于WEB的安全協(xié)議，使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的VPN就可以免于安裝客戶端。相對(duì)于傳統(tǒng)的VPN而言，SSL VPN具有部署簡(jiǎn)單，無客戶端，維護(hù)成本低，網(wǎng)絡(luò)適應(yīng)強(qiáng)等特點(diǎn)[4]。

4 應(yīng)用VPN技術(shù)訪問數(shù)字圖書館的方法

筆者在教育教學(xué)過程中發(fā)現(xiàn)絕大多數(shù)學(xué)生不會(huì)遠(yuǎn)程訪問數(shù)字圖書館，甚至很多教師都不會(huì)合理利用網(wǎng)上數(shù)字資源。開放大學(xué)圖書館由于涉及數(shù)據(jù)庫資源的知識(shí)產(chǎn)權(quán)問題，使用范圍有限，在校園網(wǎng)內(nèi)使用沒有限制，但校外只允許屬于電大的教師和學(xué)生作為合法的用戶，提供VPN技術(shù)，用戶在登錄后，需要安裝VPN控件，才能正常的打開文獻(xiàn)資源列表。一般情況下，VPN系統(tǒng)會(huì)自動(dòng)檢測(cè)電腦系統(tǒng)，并引導(dǎo)安裝VPN插件，也可以在網(wǎng)站下載插件安裝包進(jìn)行安裝。因此要求我們提供用戶名和密碼來進(jìn)行身份的確認(rèn)。筆者在教學(xué)工作中發(fā)現(xiàn)，很多學(xué)生寫畢業(yè)論文或教師做課題研究的時(shí)候，抱怨找不到資源，找到的資源不完整或者下載需付費(fèi)，下面簡(jiǎn)單介紹校外如何訪問開放大學(xué)數(shù)字圖書館（中央廣播電視大學(xué)圖書館）。

4.1 開放大學(xué)數(shù)字圖書館介紹

國(guó)家開放大學(xué)數(shù)字圖書館為開放大學(xué)及全國(guó)電大系統(tǒng)提供一站式、扁平化服務(wù)，其中電子圖書書目數(shù)據(jù)達(dá)340多萬種、電子圖書全文達(dá)234萬種、學(xué)術(shù)文獻(xiàn)7000多萬篇、社科數(shù)字期刊2800多種，名師講座88624集，基本實(shí)現(xiàn)數(shù)字文獻(xiàn)資源全學(xué)科覆蓋[5]。主要涵蓋：（1）開放文獻(xiàn)資源列表，提供中央電大圖書館提供的常用電子文獻(xiàn)資源列表；（2）讀者論壇幫助BBS（beta），是開放數(shù)圖論壇讀者幫助模塊，在此可以反饋在使用中存在的問題，提出數(shù)字圖書改進(jìn)建議；（3）數(shù)字圖書館學(xué)習(xí)空間，以圖書館培訓(xùn)、教育為主要內(nèi)容，同時(shí)提供教師自建課程的Moodle教學(xué)平臺(tái)；（4）電大在線?我的工作室，提供在線教學(xué)輔導(dǎo)的全部信息；（5）開放大學(xué)講壇，由中央電大圖書館主辦的學(xué)術(shù)講座平臺(tái)，匯集名師名家，深入講解近期發(fā)生的熱點(diǎn)問題，提供最全的視頻資料信息；（6）全國(guó)電大圖書館通訊，是圖書館服務(wù)與交流電子期刊，提供了最新的電大圖書館工作動(dòng)態(tài)，介紹電大圖書館新引進(jìn)的和推薦的文獻(xiàn)信息資源等；（7）社會(huì)化應(yīng)用及交流網(wǎng)站等服務(wù)。

4.2 安裝VPN控件

開放大學(xué)數(shù)字圖書館（http：//）通過VPN的方式對(duì)開放教育學(xué)生以及電大系統(tǒng)教職工提供授權(quán)訪問服務(wù)。打開頁面“插件”（如上圖），下載“國(guó)家開放大學(xué)數(shù)字圖書館遠(yuǎn)程訪問控件”，即VPN控件，在安裝過程中關(guān)閉防火墻和IE安全控（上接81頁）

件軟件，并將圖書館網(wǎng)站的鏈接地址添加到IE信任列表，Windows Vista用戶在安裝控件時(shí)請(qǐng)關(guān)閉UAC，Windows 7用戶在安裝控件時(shí)請(qǐng)對(duì)IE點(diǎn)擊右鍵選擇“以管理員身份運(yùn)行”，再打開安裝頁面。安裝VPN控件后，這個(gè)插件要求必須使用IE瀏覽器進(jìn)行訪問，IE瀏覽器的版本最低為6.0。

4.3 登陸訪問資源列表

點(diǎn)擊“開放數(shù)圖”，學(xué)生用電大在線學(xué)生證號(hào)進(jìn)行登錄，教師用電大在線用戶名進(jìn)行登錄，通過點(diǎn)擊開放文獻(xiàn)資源列表標(biāo)簽，在進(jìn)入過程中檢查身份的合法性及訪問資源的安全性，檢查完畢進(jìn)入應(yīng)用列表，包括CNKI、維普、萬方、超星、龍?jiān)础⒆x秀等數(shù)據(jù)庫，涵蓋了最新期刊、會(huì)議論文、學(xué)位論文等。

4.4 文獻(xiàn)檢索

以中國(guó)知網(wǎng)（CNKI）為例，打開CNKI（國(guó)開鏡像版），期刊包括博碩士學(xué)位論文、會(huì)議、報(bào)紙、外文文獻(xiàn)、年鑒、百科、詞典、統(tǒng)計(jì)數(shù)據(jù)、專利、標(biāo)準(zhǔn)等內(nèi)容，通過全文、主題、篇名、關(guān)鍵字、摘要、文獻(xiàn)來源等方式輸入關(guān)鍵字進(jìn)行檢索，在檢索結(jié)果中打開自己感興趣的文獻(xiàn)進(jìn)行閱讀、下載。

日新月異的信息技術(shù)，促進(jìn)了教育信息化的迅猛發(fā)展，電大教師的信息技術(shù)應(yīng)用能力、文獻(xiàn)檢索的方法和途徑直接決定了遠(yuǎn)程教育教學(xué)資源的使用效率和科研水平，因此筆者認(rèn)為提升師生信息素養(yǎng)，加強(qiáng)信息技術(shù)應(yīng)用能力，通過系統(tǒng)內(nèi)數(shù)字資源應(yīng)用培訓(xùn)，從數(shù)字圖書館平臺(tái)訪問、國(guó)內(nèi)主要文獻(xiàn)數(shù)據(jù)庫的使用、移動(dòng)數(shù)字圖書館的使用等方面進(jìn)行培訓(xùn)，使教職工掌握數(shù)字文獻(xiàn)資源的使用，提高數(shù)字資源的使用率，充分發(fā)揮資源共享的優(yōu)勢(shì)和效益，為教學(xué)和科研提供支持。

參考文獻(xiàn)：

[1]張文豐，黃淑敏.開放大學(xué)數(shù)字圖書館資源校外訪問方式的研究[J].黑龍江科技信息，2007，（20）：146.

[2]付凱東.SSL VPN技術(shù)在高校圖書館數(shù)字資源中的應(yīng)用[J].微計(jì)算機(jī)信息，2010，26（7-3）：107.

[3]百度百科：虛擬專用網(wǎng)絡(luò)[EB/OL].http：///view/480950.htm？fromId=19735.

[4]百度百科：SSL VPN介紹[EB/OL].http：///view/708397.htm/

[5]國(guó)家開放大學(xué)移動(dòng)數(shù)字圖書館建設(shè)研討會(huì)暨全國(guó)電大圖工委成立20周年紀(jì)念會(huì)在京舉行[EB/OL].[2012-12-12].http：///crtvul_news_detail.asp？id=20121212217

vpn技術(shù)論文范文第5篇

關(guān)鍵詞：計(jì)算機(jī)教學(xué)資源網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；SSL VPN

中圖分類號(hào)：TP258.6文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 03-0000-02

The Application of SSL VPN Technology in the Computer Network of Teaching Resources

Tan Qinhong

(Tongren Polytechnic,Tongren554300,China)

Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.

Keywords:Computer teaching resources network;Network security;SSL VPN

一、校園網(wǎng)計(jì)算機(jī)教學(xué)系統(tǒng)面臨的安全風(fēng)險(xiǎn)分析

隨著國(guó)家教育事業(yè)的快速發(fā)展以及IT技術(shù)的迅猛發(fā)展，人們的生產(chǎn)、生活方式發(fā)生了翻天覆地的變化，傳統(tǒng)的教室內(nèi)黑板面授教學(xué)模式已經(jīng)不能完全滿足當(dāng)代的教學(xué)工作，必須有一種新的教學(xué)方式來彌補(bǔ)傳統(tǒng)教學(xué)模式單一的不足，計(jì)算機(jī)教學(xué)應(yīng)運(yùn)而生，特別是計(jì)算機(jī)多媒體教學(xué)。計(jì)算機(jī)教學(xué)方式中，學(xué)習(xí)的人可以隨時(shí)隨地的學(xué)習(xí)，不受時(shí)間和空間的限制，并且具有學(xué)習(xí)成本低廉等一系列優(yōu)點(diǎn)，因此計(jì)算機(jī)教學(xué)受到越來越多的歡迎。

為方便教師和學(xué)生等對(duì)教學(xué)資源的外部訪問，存儲(chǔ)有教學(xué)資源的網(wǎng)絡(luò)大多與互聯(lián)網(wǎng)相連，難免會(huì)受到來自于網(wǎng)絡(luò)內(nèi)部和外部的攻擊，計(jì)算機(jī)網(wǎng)絡(luò)的大多設(shè)備或軟件為國(guó)外生產(chǎn)，其中可能存在一些后門程序，操作系統(tǒng)、應(yīng)用系統(tǒng)等都存在大量的漏洞可以讓攻擊者利用，計(jì)算機(jī)病毒等惡意程序、SQL注入攻擊、跨站腳本攻擊、DDOS攻擊、釣魚網(wǎng)站的泛濫讓校園網(wǎng)的安全形式不容樂觀。

校園網(wǎng)中，用戶有學(xué)生、教師、外部學(xué)習(xí)者等主體，教學(xué)資源的訪問主體的身份不好控制、資源訪問控制困難，很難讓指定的用戶只能訪問指定的資源，不能訪問其它非授權(quán)訪問資源、用戶對(duì)資源的訪問不具有抗抵賴等問題。

校園網(wǎng)是學(xué)校的門戶，是學(xué)校的形象窗口，是學(xué)校賴以生存的生產(chǎn)資料的一部分，如果遭到惡意攻擊，導(dǎo)致不能正常對(duì)外部提供服務(wù)，將對(duì)學(xué)校造成嚴(yán)重?fù)p失。

二、SSL VPN簡(jiǎn)介

VPN（Virtual Private Network虛擬專用網(wǎng)絡(luò)）[1]是一種在公共的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)（如internet）上建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。VPN通過對(duì)數(shù)據(jù)包進(jìn)行加密和封包，在公共網(wǎng)絡(luò)基礎(chǔ)平臺(tái)上構(gòu)建出安全、可靠的專用隧道，使私有數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸。用戶使用VPN技術(shù)，不需要建設(shè)自己的專用網(wǎng)絡(luò)，節(jié)省投資，使用便捷，VPN技術(shù)因而獲得了廣泛的應(yīng)用。

VPN技術(shù)發(fā)展至今，產(chǎn)生了多個(gè)種類，有工作在2層的L2TP VPN，工作在3層的IPsec VPN，工作在傳輸層和應(yīng)用層之間的SSL（Secure Socket Layer安全套接層）VPN，基于虛擬路由表和標(biāo)簽轉(zhuǎn)發(fā)的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用戶通過公共網(wǎng)絡(luò)（如internet）接入業(yè)務(wù)網(wǎng)絡(luò)，在遠(yuǎn)程接入上應(yīng)用廣泛。

SSL是一個(gè)獨(dú)立于平臺(tái)并獨(dú)立于應(yīng)用的協(xié)議，用戶保護(hù)基于TCP的應(yīng)用。在TCP/IP四層架構(gòu)中，SSL在傳輸層之上，應(yīng)用層之下，像TCP連接所連接的套接字一樣工作。

SSL VPN技術(shù)幫助用戶使用標(biāo)準(zhǔn)的Web瀏覽器就可以通過公共網(wǎng)絡(luò)平臺(tái)接入所要訪問的遠(yuǎn)程資源。在用戶的計(jì)算機(jī)上，不需要安裝客戶端軟件及進(jìn)行復(fù)雜的配置，大大方便了用戶，僅僅通過一臺(tái)接入了Internet的計(jì)算機(jī)就能訪問遠(yuǎn)程資源。這為企業(yè)及政府提高效率也帶來了方便。

用戶所要訪問的資源位于企業(yè)網(wǎng)或者政務(wù)網(wǎng)內(nèi)部，在此情況下，需要部署SSL VPN網(wǎng)關(guān)在企業(yè)網(wǎng)或者政務(wù)網(wǎng)的邊緣，介于服務(wù)器與遠(yuǎn)程用戶之間，控制二者的通信。如下圖所示：

SSL VPN網(wǎng)關(guān)除了作為隧道的終點(diǎn)，還要執(zhí)行以下三種功能：，應(yīng)用轉(zhuǎn)換、端口轉(zhuǎn)發(fā)[2]。

1.：它將來自遠(yuǎn)端瀏覽器的頁面請(qǐng)求（采用

[4]王衛(wèi)亞.計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)與研究[D].長(zhǎng)安大學(xué)碩士學(xué)位論文,2010

vpn技術(shù)論文范文第6篇

關(guān)鍵詞：SSL VPN； IPsec VPN；數(shù)字化校園；遠(yuǎn)程訪問

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-2163（2013）02-0032-03

0引言

隨著信息化進(jìn)程的加快，各個(gè)高校對(duì)校園信息化投入不斷增加，致力于建成數(shù)據(jù)交換與共享的數(shù)字化校園平臺(tái)。雖然目前很多學(xué)校已經(jīng)擁有了應(yīng)用管理系統(tǒng)、數(shù)據(jù)資源庫系統(tǒng)、公共通訊平臺(tái)，但這些網(wǎng)絡(luò)資源和辦公平臺(tái)常常受到網(wǎng)絡(luò)的限制，只能在校園內(nèi)部使用。本校2012年師生問卷調(diào)查顯示：居住在外的教師、經(jīng)常出差的行政辦公人員以及在外實(shí)習(xí)的大四畢業(yè)生對(duì)于校外不能訪問校內(nèi)數(shù)字化資源，均已感到極為不便。具體來說，教師在外網(wǎng)不能登錄學(xué)習(xí)平臺(tái)批改作業(yè)；行政人員出差時(shí)，不能獲取部門統(tǒng)計(jì)數(shù)據(jù)；大四未在校的學(xué)生不能通過畢業(yè)設(shè)計(jì)系統(tǒng)提交論文。這些狀況即已表明目前校園的基礎(chǔ)網(wǎng)絡(luò)及其實(shí)現(xiàn)方案存在一定的不足，亟需新技術(shù)的應(yīng)用以解決校園外部訪問校內(nèi)數(shù)字化資源的問題。經(jīng)過廣泛，深入的調(diào)研分析可知，VPN（Virtual Private Network）正是解決這一瓶頸的技術(shù)方案。

1VPN 的原理及SSL VPN方案的優(yōu)勢(shì)

11VPN原理

VPN，即虛擬專用網(wǎng)絡(luò)，其含義指通過使用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，利用“隧道”技術(shù)、認(rèn)證技術(shù)、加密技術(shù)以及控制訪問等相應(yīng)技術(shù)向單位內(nèi)部專用網(wǎng)絡(luò)提供遠(yuǎn)程訪問的連接方式[1]。VPN利用公用網(wǎng)絡(luò)來實(shí)現(xiàn)任意兩個(gè)節(jié)點(diǎn)之間的專有連接，適用于移動(dòng)用戶、分支機(jī)構(gòu)以及遠(yuǎn)程用戶安全、穩(wěn)定地接入到內(nèi)部網(wǎng)絡(luò)。同時(shí)，VPN還向用戶提供了專用網(wǎng)絡(luò)所獨(dú)具的功能，但其本身卻不是一種真正意義上的獨(dú)立物理網(wǎng)絡(luò)，沒有固定物理線路連接。近年來，VPN技術(shù)已經(jīng)大量應(yīng)用于高校的移動(dòng)辦公，并且在數(shù)字化資源的多校區(qū)數(shù)據(jù)訪問方面也有著廣泛應(yīng)用。VPN遠(yuǎn)程訪問的思路是，用戶在網(wǎng)絡(luò)覆蓋的任意地點(diǎn)，首先，通過ADSL或者LAN方式接入互聯(lián)網(wǎng)；其后，通過撥號(hào)校園網(wǎng)的VPN網(wǎng)關(guān)，構(gòu)建一條從用戶所在網(wǎng)絡(luò)地址到校園網(wǎng)的二層隧道；而后是VPN服務(wù)器給用戶分配相應(yīng)的校園網(wǎng)地址，從而實(shí)現(xiàn)校園網(wǎng)數(shù)字化資源的遠(yuǎn)程訪問[2]。

12兩種VPN方案的對(duì)比

按照協(xié)議劃分，VPN主要有兩大主流，分別是IPsec VPN和SSL VPN。IPsec VPN技術(shù)是由IP安全體系架構(gòu)協(xié)議來提供隧道的安全保障，IPsec協(xié)議是一組協(xié)議套件，包括安全協(xié)議、加密算法、認(rèn)證算法、密鑰管理協(xié)議等[3]。IPsec VPN構(gòu)建于網(wǎng)絡(luò)層，通過對(duì)數(shù)據(jù)的加密和認(rèn)證來保證數(shù)據(jù)傳輸?shù)目煽啃?、保密性和私有性，最適合Site to Site之間的虛擬專用網(wǎng)。相比之下，SSL VPN采用的是SSL安全套接層協(xié)議，構(gòu)建于網(wǎng)絡(luò)的應(yīng)用層。SSL VPN方案無需安裝客戶端軟件，經(jīng)過認(rèn)證的用戶是通過Web瀏覽器而接入網(wǎng)絡(luò)，適用于Point to Site的連接方式?？傮w來看，相比于IPsec VPN方案，SSL VPN方案有三點(diǎn)優(yōu)勢(shì)，具體如下。

（1）兼容性較好。SSL VPN適用于現(xiàn)存的各款操作系統(tǒng)和使用終端，對(duì)用戶也無任何特殊的操作要求。用戶不需要下載客戶端，由此免去了對(duì)客戶端軟件的更新升級(jí)、配置維護(hù)，否則，在進(jìn)行VPN策略調(diào)整的時(shí)候，其管理難度將呈幾何級(jí)數(shù)的增長(zhǎng)。SSL VPN方案只需在普通的瀏覽器中內(nèi)嵌入SSL協(xié)議，就可以使客戶端簡(jiǎn)便、安全地訪問內(nèi)網(wǎng)信息，維護(hù)成本較低。

（2）提供更為精細(xì)的訪問控制。由于校園網(wǎng)內(nèi)、外部流量均經(jīng)過VPN硬件設(shè)備，由此在服務(wù)器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能，可提供用戶級(jí)別鑒定，確證只有一定權(quán)限之上的用戶才能訪問校園網(wǎng)內(nèi)的特定網(wǎng)絡(luò)資源。比如大四在外的實(shí)習(xí)學(xué)生只具有期刊檢索的訪問功能，而在外的辦公行政人員還可以訪問某個(gè)特定部門的相關(guān)數(shù)據(jù)。

（3）具備更強(qiáng)的安全性。IPsec是基于網(wǎng)絡(luò)層的VPN方案，對(duì)IP應(yīng)用均是高度透明的。而SSL VPN是基于應(yīng)用層的，在Web的應(yīng)用防護(hù)方面更具一定優(yōu)勢(shì)。某些高端的SSL VPN產(chǎn)品同樣支持文件共享、網(wǎng)絡(luò)鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應(yīng)用。2SSL-VPN的關(guān)鍵技術(shù)及性能分析

21訪問控制技術(shù)

訪問控制技術(shù)是由VPN服務(wù)的提供者根據(jù)用戶的身份標(biāo)志對(duì)訪問某些信息項(xiàng)進(jìn)行相應(yīng)操控的作用機(jī)制。目前，通用的VPN方案中，常常是由系統(tǒng)管理員來控制相關(guān)用戶的訪問權(quán)限。作為安全的VPN設(shè)備，SSL VPN可通過“組”策略對(duì)應(yīng)用進(jìn)行訪問控制[4]。有些SSL VPN產(chǎn)品可以將Web應(yīng)用定義為一系列的URL，而組和用戶則可允許和禁止訪問相應(yīng)的應(yīng)用。其它一些SSL VPN產(chǎn)品可以提供更為精細(xì)的高級(jí)控制，控制策略不僅含有“允許”和“禁止”，還包括用戶能訪問的資源列表以及對(duì)這些資源的操作權(quán)限控制。由于SSL VPN工作在網(wǎng)絡(luò)的應(yīng)用層，管理員可以基于應(yīng)用需求、用戶特征以及TCP/IP端口進(jìn)行嚴(yán)密的訪問控制策略設(shè)置。SSL VPN還能通過瀏覽器中的參數(shù)支持動(dòng)態(tài)訪問部署策略，管理員可以依據(jù)用戶身份、設(shè)備類型、網(wǎng)絡(luò)信任級(jí)別、會(huì)話參數(shù)等各型因子，定義不同的會(huì)話角色，并給與不同的訪問權(quán)限。另外，基于用戶的訪問控制需要維護(hù)大量的用戶信息，當(dāng)前最流行的控制策略則是基于角色的訪問控制，在握手協(xié)議的過程中統(tǒng)一集成訪問控制的基礎(chǔ)功能，再將資源的控制權(quán)交托于可信的授權(quán)管理模型。

22性能分析

VPN的性能指標(biāo)值對(duì)校園網(wǎng)中關(guān)鍵業(yè)務(wù)的應(yīng)用實(shí)現(xiàn)具有直接影響，在設(shè)計(jì)數(shù)字化校園的VPN詳盡方案之前，有必要了解其性能指標(biāo)。SSL VPN中，常見的性能指標(biāo)有連接速率、網(wǎng)絡(luò)延遲、加密吞吐量、并發(fā)用戶數(shù)，等。其中，連接速率表示了SSL VPN系統(tǒng)每秒鐘可建立或終止的最大會(huì)話連接數(shù)目，用以度量被測(cè)VPN設(shè)備在單位時(shí)間內(nèi)交易事務(wù)的處理能力[5]?？梢酝ㄟ^添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外，SSL VPN使用的是非對(duì)稱加密算法，這就導(dǎo)致VPN服務(wù)器的CPU將在高負(fù)荷狀況下處理SSL的加解密。而對(duì)于這種計(jì)算密集型的加解密操作，為了保障服務(wù)器能夠正常工作，既可以限制SSL會(huì)話的數(shù)量，也可以添加服務(wù)器的數(shù)目。只是這兩種方式各有利弊，若限制會(huì)話數(shù)目，就會(huì)出現(xiàn)高峰期間的部分用戶無法連接服務(wù)器，而添加服務(wù)器數(shù)目又會(huì)大幅增加VPN系統(tǒng)的財(cái)務(wù)用度。因而，通常情況下，使用SSL加速器來提升加解密速度，進(jìn)入SSL的數(shù)據(jù)流由加速器解密并傳給服務(wù)器，而外流的數(shù)據(jù)又經(jīng)過加速器加密再回傳給客戶。服務(wù)器方面，只需要處理簡(jiǎn)單的SSL請(qǐng)求，將消耗資源的工作完全交給加速器，全面有效地提升了VPN方案的整體性能。

3SSL-VPN下的數(shù)字化校園解決方案

31需求分析與設(shè)計(jì)目標(biāo)

校園數(shù)字化資源中集結(jié)了多種重要的數(shù)據(jù)庫以及多款辦公軟件。大四年級(jí)的學(xué)生會(huì)經(jīng)常需要登錄畢業(yè)設(shè)計(jì)系統(tǒng)上傳學(xué)科論文；校外居住的教師也需要登錄圖書館期刊檢索系統(tǒng)，下載專業(yè)文獻(xiàn)；另外，因公在外的招生、財(cái)務(wù)人員又需要及時(shí)獲取部門的數(shù)字化信息，并借助辦公自動(dòng)化的高端平臺(tái)與其它部門順暢溝通。上述校園網(wǎng)的這些外部訪問通常都是不確定的動(dòng)態(tài)IP地址，在數(shù)據(jù)庫服務(wù)器的安全策略中多會(huì)將之認(rèn)定為是非法用戶而遭到拒絕。因此，在外部訪問校園網(wǎng)之?dāng)?shù)字化校園時(shí)，就需要研發(fā)一個(gè)遠(yuǎn)程訪問方案，該方案可將合法的非授權(quán)校外地址轉(zhuǎn)化為授權(quán)的校園網(wǎng)內(nèi)地址。此方案需要考慮的用戶有三種，分別是：在外居住的教師、大四實(shí)習(xí)生以及在外辦公的行政人員。

32系統(tǒng)體系結(jié)構(gòu)

經(jīng)過實(shí)地調(diào)研和深入分析，采用了SSL VPN架構(gòu)，具體框架如圖1所示。

由圖1可知，這是一個(gè)基于Web模式的SSL VPN系統(tǒng)，在用戶和應(yīng)用服務(wù)器之間構(gòu)建了一個(gè)安全的信息傳遞通道。其中，SSL VPN服務(wù)器相當(dāng)于一個(gè)網(wǎng)關(guān)，且具備雙重身份。對(duì)用戶而言，這是服務(wù)器，負(fù)責(zé)提供基于證書的身份鑒別；對(duì)應(yīng)用服務(wù)器而言，則屬于客戶端的身份，并向服務(wù)器遞交訪問申請(qǐng)。由此，通過在防火墻后安裝VPN設(shè)備，校外用戶只需要打開IE瀏覽器，就可以訪問到校園數(shù)字化資源的URL。其后，SSL VPN 設(shè)備將取得連接并驗(yàn)證用戶的身份，此時(shí)SSL服務(wù)器就會(huì)將連接映射到不同應(yīng)用的服務(wù)器上。而且方案中又采用了技術(shù)，所有成功接入SSL VPN系統(tǒng)的校外用戶都可以全面訪問LAN口所能獲得的數(shù)字化資源。本系統(tǒng)還具備較高的傳輸性能，優(yōu)先考慮SSL VPN服務(wù)器的性能，將需要消耗大量資源的加解密工作交給加速器。實(shí)現(xiàn)過程中，采用的設(shè)備是由Cisco ASA建立Web VPN服務(wù)器，而將Radius Server作為驗(yàn)證用戶身份的服務(wù)器。

33改進(jìn)型安全策略——基于角色的控制

本校SSL VPN系統(tǒng)采用的是基于角色的訪問控制策略，既包括用戶安全認(rèn)證的接口也包括用戶訪問的資源列表。實(shí)際上，校園網(wǎng)系統(tǒng)的用戶認(rèn)證和訪問控制均在控制協(xié)議部分獲得實(shí)現(xiàn)，可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性，系統(tǒng)在進(jìn)行安全認(rèn)證時(shí)，就可以同步實(shí)現(xiàn)角色驗(yàn)證。VPN系統(tǒng)在明確用戶角色屬性的基礎(chǔ)上確定其訪問權(quán)限，而后給出該用戶可以訪問的資源列表信息。另外，用戶在登錄VPN系統(tǒng)時(shí)，還需要在登錄界面輸入身份信息。

4結(jié)束語

隨著校外用戶對(duì)數(shù)字化校園資源訪問需求的日益迫切增長(zhǎng)，使得VPN技術(shù)也隨之廣受關(guān)注[6]。為了給予校外訪問、使用校園數(shù)字化資源提供更大便利，因而在綜合考慮本校實(shí)際用戶數(shù)量和主要用戶角色的基礎(chǔ)上，由網(wǎng)絡(luò)中心主持設(shè)計(jì)并全面實(shí)現(xiàn)了SSL VPN系統(tǒng)。目前，本校SSL VPN系統(tǒng)運(yùn)轉(zhuǎn)良好，能夠滿足現(xiàn)有的使用需求，并且也具備了一定的擴(kuò)展能力。當(dāng)然，該實(shí)施方案并不是唯一可選，當(dāng)校園網(wǎng)的VPN用戶數(shù)量并不多、要求也不高時(shí)，就可以考慮軟件型VPN方案。不然，還可通過購(gòu)買專業(yè)的VPN設(shè)備打造高水準(zhǔn)、高級(jí)別的SSL VPN系統(tǒng)。

參考文獻(xiàn)：

[1]王達(dá). 虛擬專用網(wǎng)（VPN）精解[M]. 北京：清華大學(xué)出版社，2004：45-46.

[2]朱偉珠. 利用VPN技術(shù)實(shí)現(xiàn)高校圖書館資源共享[J]. 情報(bào)科學(xué)，2007，25（7）：1158-1061.

[3]徐家臻，陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2004，25（4）：186-188.

[4]沈海波，洪帆. 訪問控制模型研究綜述[J].計(jì)算機(jī)應(yīng)用研究，2005，32（5）：9-11.

[5]KEN，ARAUJO. SSL VPN gateways：A new approach to secure remote access[J]. Database and Network Journal， 2003，33（6）：3-5.

vpn技術(shù)論文范文第7篇

論文摘要：隨著信息技術(shù)的不斷發(fā)展，學(xué)校如何更好的利用內(nèi)部網(wǎng)絡(luò)服務(wù)成為擺在學(xué)校面前的重要課題。本文通過對(duì)學(xué)校網(wǎng)絡(luò)建設(shè)現(xiàn)狀及vpn技術(shù)的分析介紹，在如何利用vpn技術(shù)為學(xué)校搭建網(wǎng)絡(luò)應(yīng)用安全通道進(jìn)行了探索。

隨著信息化時(shí)代的到來，以網(wǎng)絡(luò)技術(shù)為代表的信息技術(shù)已經(jīng)成為社會(huì)發(fā)展的重要推動(dòng)力。網(wǎng)絡(luò)技術(shù)以其信息海量性、交互性、便捷性等優(yōu)勢(shì)，正在日益深人人們的生活。同樣，由于信息技術(shù)的巨大作用，它也被廣泛應(yīng)用于學(xué)校的各種活動(dòng)之中。當(dāng)然，網(wǎng)絡(luò)技術(shù)同時(shí)也存在很多缺點(diǎn)，比如網(wǎng)絡(luò)安全問題，就成為影響學(xué)校信息安全的潛在威脅。因此，學(xué)校在利用網(wǎng)絡(luò)技術(shù)的同時(shí)，

一定要注意研究和防范其缺點(diǎn)和不足。

i、我國(guó)學(xué)校網(wǎng)絡(luò)建設(shè)的基本情況和特點(diǎn)

應(yīng)該說，我國(guó)學(xué)校網(wǎng)絡(luò)建設(shè)起步時(shí)間較晚，但是發(fā)展速度十分迅速，筆者總結(jié)出我國(guó)學(xué)校網(wǎng)絡(luò)建設(shè)的基本情況和特點(diǎn)如下:

1.1建設(shè)的普遍性

據(jù)一項(xiàng)不完全調(diào)查顯示，目前我國(guó)具備獨(dú)立的學(xué)校網(wǎng)絡(luò)系統(tǒng)的學(xué)校約占全體注冊(cè)學(xué)校數(shù)量的90%以上。這里所說的學(xué)校網(wǎng)絡(luò)建設(shè)，不僅僅指學(xué)校的門戶網(wǎng)站或者學(xué)校主頁，而是涵蓋學(xué)校內(nèi)部行政辦公網(wǎng)、教學(xué)網(wǎng)絡(luò)以及學(xué)生網(wǎng)絡(luò)等網(wǎng)絡(luò)系統(tǒng)?？梢哉f，隨著網(wǎng)絡(luò)技術(shù)的進(jìn)一步普及，學(xué)校已經(jīng)意識(shí)到建立自身獨(dú)立的網(wǎng)絡(luò)系統(tǒng)的巨大意義，能夠主動(dòng)投人人力物力，聘請(qǐng)專業(yè)機(jī)構(gòu)針對(duì)本學(xué)校特點(diǎn)研發(fā)、部署網(wǎng)絡(luò)系統(tǒng)。

1.2應(yīng)用的廣泛性

目前我國(guó)學(xué)校在創(chuàng)建獨(dú)立網(wǎng)絡(luò)體系的同時(shí)，非常注意對(duì)于網(wǎng)絡(luò)功能的再開發(fā)。目前國(guó)內(nèi)學(xué)校利用網(wǎng)絡(luò)系統(tǒng)可以進(jìn)行內(nèi)部管理、辦公自動(dòng)化處理、視頻會(huì)議、網(wǎng)絡(luò)教學(xué)、ip電話、學(xué)校推廣等等，極大地豐富了校園網(wǎng)絡(luò)的應(yīng)用手段，拓展了應(yīng)用領(lǐng)域。

1.3安全意識(shí)提高

從國(guó)內(nèi)市場(chǎng)主流網(wǎng)絡(luò)安全技術(shù)銷售情況可以看出，全社會(huì)網(wǎng)絡(luò)安全意識(shí)正在逐步提高，一些造價(jià)不菲的學(xué)校版專業(yè)軟件銷售情況也十分可觀。學(xué)校加強(qiáng)對(duì)網(wǎng)絡(luò)安全的防范，一方面體現(xiàn)出學(xué)校的觀念正在逐步改進(jìn)，另一方面可以看出，我國(guó)國(guó)內(nèi)的網(wǎng)絡(luò)安全市場(chǎng)仍然具備較大的拓展空間。

1.4交流的多樣性

學(xué)校網(wǎng)絡(luò)大都由外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)構(gòu)成。外部網(wǎng)絡(luò)就是通常意義上的互聯(lián)網(wǎng)，而內(nèi)部網(wǎng)絡(luò)是學(xué)校獨(dú)立的網(wǎng)絡(luò)系統(tǒng)，俗稱內(nèi)網(wǎng)。隨著交流的不斷增多和辦公形式的多樣化，越來越多的用戶希望能隨時(shí)通過互聯(lián)網(wǎng)接人校園網(wǎng)，實(shí)現(xiàn)遠(yuǎn)程辦公。而在當(dāng)今日益繁多的網(wǎng)絡(luò)技術(shù)中，vpn技術(shù)由于具備自身獨(dú)特的優(yōu)勢(shì)，可以很好地滿足建立學(xué)校網(wǎng)絡(luò)安全通道的需求。

2,vpn技術(shù)

2.1基本情況

vpn僅irtualprivatenetwork)，即虛擬專用網(wǎng)，被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過非安全網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。vpn主要技術(shù)包括隧道技術(shù)與安全技術(shù)。簡(jiǎn)言之，通過利用vpn技術(shù)，可以在學(xué)校內(nèi)部網(wǎng)絡(luò)與外網(wǎng)之間建立一個(gè)虛擬的安全通道，實(shí)現(xiàn)學(xué)校充分利用校內(nèi)網(wǎng)絡(luò)系統(tǒng)的要求。

2.2獨(dú)特優(yōu)勢(shì)

vpn技術(shù)是比較新的網(wǎng)絡(luò)技術(shù)，具有許多以往網(wǎng)絡(luò)虛擬技術(shù)所不具備的優(yōu)勢(shì)，具體說來，主要體現(xiàn)如下:

第一，可以最大限度地保證學(xué)校網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。在前文中，筆者談到學(xué)校關(guān)心網(wǎng)絡(luò)安全問題，能否保證學(xué)校網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定和安全，將是這項(xiàng)技術(shù)能否被大范圍推廣和使用的關(guān)鍵。在vpn技術(shù)中，學(xué)校可以在內(nèi)部服務(wù)器上實(shí)現(xiàn)對(duì)用戶資格的認(rèn)證，同時(shí)，在網(wǎng)絡(luò)運(yùn)作過程中。 vpn技術(shù)還可以支持點(diǎn)對(duì)點(diǎn)加密及各種網(wǎng)絡(luò)安全加密協(xié)議，如ipsecarity，這可以最大程度上保證學(xué)校網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

第二，可以降低學(xué)校網(wǎng)絡(luò)運(yùn)行維護(hù)的成本。由于vpn設(shè)備本身帶有路由功能，可以有效地減少學(xué)校內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接時(shí)需要的網(wǎng)絡(luò)配置設(shè)備，對(duì)一些傳統(tǒng)設(shè)備，vpn技術(shù)也可以很好地實(shí)現(xiàn)兼容。在虛擬網(wǎng)絡(luò)運(yùn)行過程中，由于其穩(wěn)定性良好，不需要學(xué)校付出大量成本進(jìn)行維護(hù)，因此可以極大地降低學(xué)校網(wǎng)絡(luò)成本。

第三，可以實(shí)現(xiàn)學(xué)校網(wǎng)絡(luò)系統(tǒng)功能的提升。學(xué)校網(wǎng)絡(luò)系統(tǒng)應(yīng)用vpn技術(shù)，可以將學(xué)校內(nèi)部的網(wǎng)絡(luò)設(shè)備與外網(wǎng)實(shí)現(xiàn)安全互聯(lián)，同時(shí)也可以將學(xué)校分支機(jī)構(gòu)的網(wǎng)絡(luò)設(shè)備進(jìn)行有效連接，主要部門通過對(duì)于vpn權(quán)限的控制，可以有效地掌控學(xué)校網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況，并依托學(xué)校網(wǎng)絡(luò)進(jìn)行各項(xiàng)活動(dòng)，從而實(shí)現(xiàn)對(duì)學(xué)校網(wǎng)絡(luò)功能的進(jìn)一步擴(kuò)展。

3、學(xué)校如何利用vpn技術(shù)

既然vpn技術(shù)具有許多優(yōu)勢(shì)，非常適合運(yùn)用于學(xué)校網(wǎng)絡(luò)建設(shè)，那么學(xué)校應(yīng)該著手對(duì)這項(xiàng)技術(shù)的應(yīng)用進(jìn)行研究。筆者認(rèn)為，我國(guó)學(xué)校運(yùn)用vpn技術(shù)沒有固定的模式和套路，應(yīng)該依據(jù)學(xué)校自身的情況和特點(diǎn)，制定出相應(yīng)的使用方案。但是，學(xué)校在使用vpn技術(shù)的過程中，還是可以找到一些共性的原則。

首先，是成本最小化原則。學(xué)校在利用vpn技術(shù)時(shí)，可以委托專業(yè)機(jī)構(gòu)設(shè)置學(xué)校vpn，學(xué)校只需要設(shè)置相應(yīng)的權(quán)限即可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的有效管理。

vpn技術(shù)論文范文第8篇

論文關(guān)鍵詞：ssl;ssl vpn;遠(yuǎn)程接入

論文摘要：本文討論了在遠(yuǎn)程安全接入領(lǐng)域的ssl vpn技術(shù)，通過對(duì)ssl協(xié)議的分析，全面衡量了ssl vpn遠(yuǎn)程接入方案在軍隊(duì)院校網(wǎng)絡(luò)應(yīng)用中的綜合優(yōu)勢(shì)。

1引言

打造遠(yuǎn)程安全接入平臺(tái)，一直是網(wǎng)絡(luò)遠(yuǎn)程訪問的迫切需求。當(dāng)前，眾多的安全協(xié)議(如pptp.l2tp.ipsec和mpls)各具特色并側(cè)重于不同的方面，但能同時(shí)結(jié)合簡(jiǎn)易、安全兩項(xiàng)特性的則非ssl莫屬，ssl vpn是平衡訪問自由度和安全性的出色解決方案。

2 ssl

安全套接層(secure sockets layer, ssl)是netscape于1994年提出的基于web應(yīng)用的安全協(xié)議，它介于http及tcp之間，高層協(xié)議可以透明地運(yùn)行在該協(xié)議之上，它指定了一種在應(yīng)用程序協(xié)議和丁cp/ip協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，能為丁cp/ip連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。其安全連接基于握手協(xié)議、記錄協(xié)議和警告協(xié)議來完成。

3 ssl vpn主要特點(diǎn)

(1)高安全性:ssl安全通道可確保端到端真正安全可靠的連接，能有效保證信息的真實(shí)性、完整性和保密性。

(2)高易用性:無需客戶端的安裝和配置，對(duì)終端系統(tǒng)具有良好的兼容性。

(3)高性價(jià)比:不需要配置，易于部署及管理，可有效降低網(wǎng)絡(luò)配置成本。

(4)高可擴(kuò)展性和兼容性:可隨時(shí)添加需要vpn保護(hù)的服務(wù)器，并適用于大多數(shù)設(shè)備。

(5)高效的資源控制能力:可區(qū)分用戶設(shè)置訪問權(quán)限，實(shí)現(xiàn)區(qū)分對(duì)待的資源控制策略。

4 ssl vpn應(yīng)用優(yōu)勢(shì)

隨著軍隊(duì)院校網(wǎng)絡(luò)信息化建設(shè)的推進(jìn)，實(shí)際應(yīng)用中面臨著越來越多的跨地域、跨部門的數(shù)據(jù)傳遞，以及大量的遠(yuǎn)程訪問內(nèi)網(wǎng)的需求。例如跨地域的會(huì)商研討、數(shù)據(jù)采集、資料檢索、分支部門和下屬機(jī)構(gòu)的機(jī)要信息交換等。根據(jù)這些需求和實(shí)際情況，下面主要從ssl vpn和ipsec vpn對(duì)比出發(fā)，全面衡量ssl vpn的優(yōu)勢(shì)。

(1)謹(jǐn)慎靈活的接入認(rèn)證策略。在遠(yuǎn)程接入過程中，用戶身份驗(yàn)證是整個(gè)過程的第一環(huán)，也是最重要的一環(huán)，如果不能有效識(shí)別用戶的身份，使得非法用戶接入，將給內(nèi)部網(wǎng)絡(luò)帶來極大的安全隱患。ssl vpn提供對(duì)所傳送數(shù)據(jù)的加密、認(rèn)證和發(fā)送源的身份認(rèn)證，支持將多種身份識(shí)別方式進(jìn)行組合，一般包括usb-key、硬件特征碼、數(shù)字證書、動(dòng)態(tài)令牌、短信認(rèn)證等，而且可以對(duì)訪問權(quán)限進(jìn)行嚴(yán)格的等級(jí)劃分，實(shí)現(xiàn)不同用戶對(duì)于不同應(yīng)用程序的控制。

(2)穩(wěn)妥有效的數(shù)據(jù)保護(hù)策略。因?yàn)閟sl vpn接入的是內(nèi)部網(wǎng)絡(luò)的應(yīng)用，而不是整個(gè)網(wǎng)絡(luò)，并限制了非web端口的訪問，使得部分文件操作功能不易實(shí)現(xiàn)，這實(shí)際上也起到了相應(yīng)的保護(hù)功能。同時(shí)，ssl網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，客戶端的大多數(shù)病毒木馬感染不到內(nèi)網(wǎng)服務(wù)器。而ipsec vpn實(shí)現(xiàn)的是ip級(jí)別的訪問，使得局域網(wǎng)能夠傳播的病毒，通過vpn也能夠傳播，極易導(dǎo)致內(nèi)部網(wǎng)絡(luò)的防病毒策略形同虛設(shè)。一旦惡意ipsec vpn用戶獲得權(quán)限通過了網(wǎng)關(guān)，無疑會(huì)給內(nèi)網(wǎng)帶來災(zāi)難性的后果，但ssl vpn大大減弱了類似的風(fēng)險(xiǎn)。

(3)良好的可管理性和可控性。一方面，ssl vpn的部署不需改變?cè)W(wǎng)絡(luò)結(jié)構(gòu)，就可部署在內(nèi)網(wǎng)任一節(jié)點(diǎn)處，并可隨時(shí)添加需要vpn保護(hù)的服務(wù)器。而ipsec vpn在部署時(shí)，則要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，設(shè)備的移除和添加就有可能導(dǎo)致vpn重新部署，且客戶終端設(shè)備的變更，也意味著客戶端軟件的更新或部署。另一方面，數(shù)字化校園已經(jīng)將更多的服務(wù)集成于web應(yīng)用，具備個(gè)性化的門戶網(wǎng)站，不同的部門和人員都有對(duì)應(yīng)的內(nèi)網(wǎng)訪問權(quán)限。這和基于ssl vpn的用戶訪問級(jí)別劃分控制策略是一致的。

vpn技術(shù)論文范文第9篇

【關(guān)鍵詞】L2 VPNIPSec隧道虛擬化The Research and Design of IPSec-based L2 VPN

ZHU Yufeng（School of Electronics Engineering and Computer Science， Peking University， Beijing， 100871， China）

Abstract： L2 VPN is working at layer 2 of OSI network model， which can hide the geographical limitations and provide virtual private network service.

This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.

Key Words：L2 VPN， IPSec Tunnel， Virtualization

一、引言

隨著虛擬化及云計(jì)算的興起和應(yīng)用，VPN隧道成為一個(gè)連接不同地區(qū)虛擬數(shù)據(jù)中心或者云計(jì)算中心的必備技術(shù)，其中L2 VPN工作在OSI網(wǎng)絡(luò)模型的第二層，它可以隱藏地域限制，提供虛擬專有網(wǎng)絡(luò)服務(wù)，能夠更好的滿足虛擬化及云計(jì)算的需求。

二、方法研究

L2 VPN基本的概念是將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合，利用VPN隧道模擬物理網(wǎng)線，將2臺(tái)或者多臺(tái)跨越因特網(wǎng)的網(wǎng)橋連接起來。

如圖所示：

為了實(shí)現(xiàn)以上L2 VPN的功能，我們需要考慮以下因素：

（1）如何將L2數(shù)據(jù)包導(dǎo)向VPN隧道；

（2）如何封裝以太網(wǎng)幀；

（3）數(shù)據(jù)包的flow設(shè)計(jì)；

（4）如何支持VLAN；

（5）如何支持多站點(diǎn)多用戶（例如，星型拓?fù)洌?span style="display:none">cPk萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

2.1重定向數(shù)據(jù)包到VPN隧道

為了很好的連接L2網(wǎng)橋和VPN網(wǎng)關(guān)，我們定義一個(gè)虛擬的隧道端口，用來解耦合網(wǎng)橋和VPN的功能。對(duì)于網(wǎng)橋來說，虛擬隧道端口就像是一個(gè)物理端口一樣，用來收發(fā)以太網(wǎng)數(shù)據(jù)包。對(duì)于VPN網(wǎng)關(guān)來說，虛擬隧道端口就是一個(gè)明文數(shù)據(jù)包進(jìn)入加密隧道的入口，所有到達(dá)虛擬隧道端口的數(shù)據(jù)包，都將會(huì)被加密從隧道發(fā)出去。

虛擬隧道端口模擬物理以太網(wǎng)端口，它的功能如下：

（1）在內(nèi)核中創(chuàng)建一個(gè)虛擬網(wǎng)絡(luò)端口；

（2）發(fā)送以太網(wǎng)數(shù)據(jù)包。而驅(qū)動(dòng)程序的發(fā)送功能，就是VPN隧道加密。

（3）接收以太網(wǎng)數(shù)據(jù)包。VPN加密后，會(huì)把明文放到虛擬端口的接收隊(duì)列。

（4）支持網(wǎng)橋MAC反向?qū)W習(xí)。

（5）支持VLAN tag。

所有對(duì)于L2網(wǎng)橋看來，虛擬隧道端口和物理網(wǎng)橋端口沒有任何區(qū)別，收到和發(fā)送的都是以太網(wǎng)數(shù)據(jù)包。網(wǎng)橋也不知道VPN網(wǎng)關(guān)的存在。同樣，VPN網(wǎng)關(guān)也知道網(wǎng)橋的存在，到達(dá)VPN網(wǎng)關(guān)也只是以太網(wǎng)數(shù)據(jù)包。

2.2以太網(wǎng)數(shù)據(jù)包封裝

IPSec隧道工作在三層，用來設(shè)計(jì)封裝IP數(shù)據(jù)包，所以我們需要將以太網(wǎng)幀封裝成IP數(shù)據(jù)包，再將該IP數(shù)據(jù)包封裝成IPSec數(shù)據(jù)包。

我們可以考慮以下方式：

（1）EtherIP over IPSec；

（2）非標(biāo)準(zhǔn)的IPSec封裝；

（3）混合模式。

（8）VPN1收到ARP應(yīng)答密文包，解密去EtherIP和IPSec包頭，查詢MAC地址表，得知出口是eth1，然后將報(bào)文發(fā)往PC1。此時(shí)，VPN1并且更新MAC地址表。

VPN2網(wǎng)橋的MAC表：

（9）PC1收到ARP應(yīng)答明文包，學(xué)到PC2的MAC地址。然后發(fā)送ICMP請(qǐng)求到PC2。數(shù)據(jù)包的目的MAC是PC2-MAC，源MAC是PC1-MAC。

（10）VPN1收到ICMP請(qǐng)求，查詢MAC地址表得到出口是tun1，將數(shù)據(jù)包送到VPN隧道加密，然后發(fā)往VPN2網(wǎng)關(guān)。

（11）VPN2收到ICMP請(qǐng)求，查詢MAC地址表，得到出口是eth1，將數(shù)據(jù)包發(fā)送到PC2。

（12）PC2收到ICMP請(qǐng)求并發(fā)送ICMP應(yīng)答，該應(yīng)答數(shù)據(jù)包被發(fā)發(fā)送到VPN2。

（13）VPN2收到ICMP應(yīng)答，查詢MAC地址表，得到出口是tun1，將數(shù)據(jù)包通過隧道發(fā)送到VPN1。

（14）VPN1收到ICMP應(yīng)答，查詢MAC地址表，得到出口是eth1，將數(shù)據(jù)包發(fā)送到PC1。

3.1VLAN支持

二層網(wǎng)橋可能連接很多VLAN，隧道端口需要工作在TRUNK模式，這樣可以允許VLAN數(shù)據(jù)包通過VPN隧道。

拓?fù)淙缦拢?span style="display:none">cPk萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

EtherIP over IPSec可以封裝VLAN tag，但是overhead會(huì)比較大。一種優(yōu)化的方法是分配每個(gè)tunnel端口和tunnel一個(gè)VALN tag，這樣就不需要封裝VLAN tag，提高有效載荷。

3.2星型拓?fù)渲С?span style="display:none">cPk萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

要支持Hub & Spoke星型拓?fù)?，我們只需要再增加一個(gè)tunnel端口，并且把該端口綁定到一個(gè)到Spoke的VPN隧道。該設(shè)計(jì)非常靈活，易于擴(kuò)展。

拓?fù)淙缦拢?span style="display:none">cPk萬博士范文網(wǎng)-您身邊的范文參考網(wǎng)站Vanbs.com

四、結(jié)束語

本文通過引入虛擬隧道端口，巧妙的將L2網(wǎng)橋和IPSec VPN網(wǎng)關(guān)結(jié)合在一起，簡(jiǎn)單并且有效的將數(shù)據(jù)包重定向到VPN隧道。

另外，本文通過結(jié)合EtherIP over IPSec封裝發(fā)送多播和廣播數(shù)據(jù)包，IPSec封裝發(fā)送單播數(shù)據(jù)包，有效提高了VPN隧道的有效載荷和傳輸性能。

參考文獻(xiàn)

[1] RFC3378： EtherIP： Tunneling Ethernet Frames in IP Datagrams

[2] RFC2784： Generic Routing Encapsulation

[3] RFC3438： Layer Two Tunneling Protocol

[4] RFC4664： Framework for Layer 2 Virtual Private Networks

[5] RFC4665： Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks

[6] RFC4026； Provider Provisioned Virtual Private Network （VPN） Terminology

[7] RFC4301： Security Architecture for the Internet Protocol

[8] RFC4303： IP Encapsulating Security Payload

vpn技術(shù)論文范文第10篇

關(guān)鍵詞:IPSec VPN;MPLS VPN;SSL VPN;對(duì)比

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2012) 12-0101-01

一、引言

隨著信息化經(jīng)濟(jì)一體化的發(fā)展,實(shí)現(xiàn)資源共享是每個(gè)企業(yè)追求發(fā)展進(jìn)步不可或缺的一步。利用隧道技術(shù)在公共網(wǎng)絡(luò)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN)是實(shí)現(xiàn)資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個(gè)比較主流的VPN技術(shù)。

二、IPSec VPN

IPSec VPN即指采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù),用來提供公用和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。IPsec給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括AH網(wǎng)絡(luò)認(rèn)證協(xié)議、ESP封裝安全載荷、IKE因特網(wǎng)密鑰交換和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等[1]。其中,AH協(xié)議和ESP協(xié)議用來提供安全服務(wù),IKE協(xié)議用于密鑰交換。

(一)認(rèn)證頭(AH)協(xié)議

IPsec認(rèn)證頭協(xié)議是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議(AH協(xié)議把AH頭插入IP數(shù)據(jù)包),它為IP數(shù)據(jù)報(bào)提供無連接完整性、數(shù)據(jù)源認(rèn)證、保護(hù)以避免重播情況[1]。

(二)封裝安全載荷(ESP)協(xié)議

封裝安全載荷(ESP)協(xié)議是IPsec體系結(jié)構(gòu)中的一種用來提高IP的安全性的主要協(xié)議。ESP加密要保護(hù)的數(shù)據(jù)并且在IPsec ESP的數(shù)據(jù)部分進(jìn)行數(shù)據(jù)的完整性校驗(yàn),以達(dá)到其數(shù)據(jù)機(jī)密性和完整性的目的。ESP提供了與AH相同的安全服務(wù)并提供了一種保密。

(三)IKE

IKE是一種混合型協(xié)議,由Internet安全聯(lián)盟(SA)和密鑰管理協(xié)議(ISAKMP)這兩種密鑰交換協(xié)議組成。IKE是以受保護(hù)的方式為SA協(xié)商并提供經(jīng)過認(rèn)證的密鑰信息的協(xié)議。IKE用于協(xié)商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當(dāng)位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協(xié)議協(xié)商SA。

三、MPLS VPN

MPLS VPN與傳統(tǒng)的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術(shù),而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個(gè)安全的VPN,MPLS VPN的所有技術(shù)產(chǎn)生于Internet。MPLS VPN是一種以MPLS技術(shù)為基礎(chǔ)的IP VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(Multiprotocol Label Switching,多協(xié)議標(biāo)記交換)技術(shù),簡(jiǎn)化核心路由器的路由選擇方式,結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IP VPN)。

(一)MPLS VPN的基本原理

每個(gè)MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由P(供應(yīng)商)設(shè)備組成,這些設(shè)備構(gòu)成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周圍的PE路由器可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。在MPLS VPN中,用戶站點(diǎn)通常運(yùn)行的是IP。它們并不需要運(yùn)行MPLS和其他特殊的VPN協(xié)議。在PE路由器中,RD對(duì)應(yīng)同每個(gè)用戶站點(diǎn)連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設(shè)置VPN站點(diǎn)工作的一部分,它并不在用戶設(shè)備上進(jìn)行配置,對(duì)于用戶來說是透明的[2]。

(二)MPLS VPN的優(yōu)點(diǎn)

1.減少時(shí)延。由于數(shù)據(jù)包不再經(jīng)過封裝或者加密,所以時(shí)延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創(chuàng)建一個(gè)專用網(wǎng),它同幀中繼網(wǎng)絡(luò)具備的安全性很相似[2]。

2.配置MPLS VPN網(wǎng)絡(luò)的設(shè)備比較容易。配置MPLS VPN網(wǎng)絡(luò)的設(shè)備也變得容易了,僅需配置核心網(wǎng)絡(luò)不許訪問CPE。

3.提高了資源利用率。由于在網(wǎng)內(nèi)使用標(biāo)簽交換,用戶各個(gè)點(diǎn)的局域網(wǎng)可以使用重復(fù)的IP地址,提高了IP資源利用率。

4.安全性高。采用MPLS作為通道機(jī)制實(shí)現(xiàn)透明報(bào)文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。

四、SSL VPN

SSL VPN的出現(xiàn)是為了解決IPSec VPN的固有的缺點(diǎn),SSL VPN繼承了IPSec VPN的遠(yuǎn)程使用與內(nèi)網(wǎng)使用體驗(yàn)一致優(yōu)點(diǎn),避免了因有客戶端而導(dǎo)致的使用維護(hù)不便、帶來大量病毒和蠕蟲的入侵、無法與企業(yè)現(xiàn)有認(rèn)證服務(wù)器結(jié)合、無法審計(jì)等問題[2]。IPSec VPN與SSL VPN的對(duì)比。傳統(tǒng)的IPSec VPN在部署時(shí),往往需要在每個(gè)遠(yuǎn)程接入的終端都安裝相應(yīng)的IPSec客戶端并需要作復(fù)雜的配置。若企業(yè)的遠(yuǎn)程接入數(shù)量增多,企業(yè)的維護(hù)成本就會(huì)隨之增加。而SSL VPN最大的優(yōu)點(diǎn)之一就是不需要安裝客戶端程序遠(yuǎn)程用戶可以隨時(shí)隨地從任何瀏覽器上安全接入到內(nèi)部網(wǎng)絡(luò)。對(duì)比表如下:

五、總結(jié)

由于VPN的優(yōu)秀安全特性,讓它越來越受到安全要求較高的企業(yè)或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術(shù)增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復(fù)雜的VPN系統(tǒng)會(huì)繼續(xù)出現(xiàn)。所以,其安全策略管理的問題將逐步顯現(xiàn),這方面的研究也將受到高度重視。

參考文獻(xiàn):

[1]

本文鏈接：http://www.lbgj202.com/v-141-2671.htmlvpn技術(shù)論文范文10篇

聲明：本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn)，不代表本站觀點(diǎn)，本站不承擔(dān)任何法律責(zé)任。天上不會(huì)到餡餅，請(qǐng)大家謹(jǐn)防詐騙！若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。

上一篇：vpn技術(shù)范文10篇

下一篇：vr技術(shù)論文范文10篇

相關(guān)文章：

漣鋼實(shí)習(xí)報(bào)告08-27

描寫大雨后的優(yōu)美句子07-22

走讀生承諾書08-13

小學(xué)英語教師專業(yè)培訓(xùn)心得08-19

議論文好句好段素材08-26

遨游漢字王國(guó)作文07-23

一風(fēng)景優(yōu)美的地方的作文07-23

哈爾濱電力職業(yè)技術(shù)學(xué)院學(xué)費(fèi)貴嗎大概招生多少人07-31

木牛流馬成語故事09-20