VPN研究应用报告.doc

一、 序言 互联网普及、移动通信技术进步、信息化程度提升，使全世界数字信息高度共 享成为可能。中国高校也越来越重视数字化校园开发，依靠优异网络技术开展电化教学、电子教学资源建设。而作为电子教学资源关键之一，电子图书馆建设已经成为当今数字化校园建设新亮点。中国很多高校近几年全部从网上购置了大量电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很关键意义，数字图书馆建设和应用已经成为高校信息化建设和现代教育技术改革工作一大关键。 二、 选题背景 伴随教育信息化深入，很多学校全部建立了校园网，为了实现校内资源优化整合，让师 生们愈加好进行工作和学习，她们需要在校园网内部或在校外远程节点上，随时享受校园网内部各项服务，然而因为互联网黑客对各高校资源虎视眈眈，在没有经过任何许可情况下，黑客们很轻易就潜入校园网内部进行捣乱，为此，多数校园网全部不会将自己多种应用系统和全部信息资源完全开放，因为这么让整个校园网面临无以估量破坏性损失，为了网络安全考虑，将vpn技术应用于基于公共互联网构架校园网，能够很好处理校园网多校区、远程访问、远程管理等问题。 三、 vpn介绍 虚拟专用网（vpn）被定义为经过一个公用网络（通常是因特网）建立一个临时、安 全连接，是一条穿过混乱公用网络安全、稳定隧道。使用这条隧道能够对数据进行几倍加密达成安全使用互联网目标。虚拟专用网是对企业内部网扩展。虚拟专用网能够帮助远程用户、企业分支机构、商业伙伴及供给商同企业内部网建立可信安全连接，并确保数据安全传输。虚拟专用网可用于不停增加移动用户全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信虚拟专用线路，用于经济有效地连接到商业伙伴和用户安全外联网虚拟专用网。 四、 vpn功效 vpn能够提供功效： 防火墙功效、认证、加密、隧道化。 vpn能够经过特殊加密通讯协议在连接在internet上在不一样地方两个或多个 企业内部网之间建立一条专有通讯线路，就好比是架设了一条专线一样，不过它并不需要真正去铺设光缆之类物理线路。这就好比去电信局申请专线，不过不用给铺设线路费用，也不用购置路由器等硬件设备。vpn技术原是路由器含相关键技术之一，在交换机，防火墙设备或windows 等软件里也全部支持vpn功效，一句话，vpn关键就是在利用公共网络建立虚拟私有网。 五、 vpn常见网络协议 常见虚拟私人网络协议有： ipsec : ipsec(缩写ip security)是保护ip协议安全通信标准，它关键对ip协议分组进行加密和认证。ipsec作为一个协议族（即一系列相互关联协议）由以下部分组成：(1)保护分组流协议；(2)用来建立这些安全分组流密钥交换协议。前者又分成两个部分： vpn加密分组流封装安全载荷（esp）及较少使用认证头（ah），认证头提供了对分组流认证并确保其消息完整性，但不提供保密性。现在为止，ike协议是唯一已经制订密钥交换协议。 pptp: point to point tunneling protocol -- 点到点隧道协议 。在因特网上建立ip虚拟专用网 （vpn）隧道协议，关键内容是在因特网上建立多协议安全虚拟专用网通信方法。 l2f: layer 2 forwarding -- 第二层转发协议 l2tp: layer 2 tunneling protocol --第二层隧道协议 gre：vpn第三层隧道协议 六、 vpn研究问题 ? vpn怎样处理校园网安全风险 对于校园网而言，它即使给师生带来了资源共享便捷，但同时也意味着含有安全风险，比如非授权访问，没有预先经过授权，就使用校园网络或计算机资源；信息泄漏或丢失，关键数据在有意或无意中被泄漏出去或丢失；以非法手段窃得对数据使用权，删除、修改、插入或重发一些关键信息；不停对网络服务系统进行干扰，改变其正常作业步骤，实施无关程序使系统响应减慢甚至瘫痪；利用网络传输计算机病毒等。那么，校园网利用vpn技术方案，是否能避免校园网潜在安全隐患，杜绝上述情况发生呢？ vpn即虚拟私有网络技术，它安全功效包含：通道协议、身份验证和数据加密，实际工作时，远程外网用户机向校园网内vpn服务器发出请求，vpn服务器响应请求并向用户机发出身份质询，用户机将加密响应信息发送到vpn服务端，vpn服务器依据用户数据库检验该响应，假如账户有效，vpn服务器将检验该用户是否含有远程访问权限，假如该用户拥有远程访问权限，vpn服务器接收此连接。在身份验证过程中产生用户机和服务器公有密钥将用来对数据进行加密。简单来说，vpn能够经过对校园网内数据进行封包和加密传输，在互联网公网上传输私有数据、达成私有网络安全等级。 ? 选择ipsec vpn还是ssl vpn 校园网vpn方案能够经过公众ip网络建立了私有数据传输通道，将远程或分校分支办公室、合作伙伴、移动办公人员等连接起来，减轻了校园网远程访问费用负担，节省电话费用开支，不过对于端到端安全数据通讯，还需要依据实际情况采取不一样架构。通常而言，ipsec vpn和ssl vpn是现在校园网vpn方案采取最为广泛安全技术，但它们之间有很大区分，总体来说，ipsec vpn是提供站点和站点之间连接，比较适合校园网内分校和分校连接；而ssl vpn则提供远程接入校园网服务，比如适合校园网和外网连接。 从vpn技术架构来看，ipsec vpn是比较理想校园网接入方案，因为它工作在网络层，能够对终端站点间全部传输数据进行保护，能够实现internet多专用网安全连接，而不管是哪类网络应用，它将远程用户端置于校园内部网，使远程用户端拥有内部网用户一样权限和操作功效。ipsec vpn还要求在远程接入用户端合适安装和配置ipsec用户端软件和接入设备，这大大提升了安全等级，因为访问受到特定接入设备、软件用户端、用户认证机制和预定义安全规则限制。而且这些ipsec用户端软件能实现自动安装，不需要用户参与，所以不管对网管还是终端用户，全部能够减轻安装和维护上负担。 ? vpn为校园网带来哪些应用 在校园网中，经过vpn给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一个直接连接到校园局域网服务。那么，vpn能为校园网带来哪些具体应用优势呢？首先就是办公自动化，比如校园办公楼共有40个信息点，此时能够经过校园网连至internet用户，实现100m甚至1000m到桌面带宽，并对财务科、人事科等科室进行单独子网管理。 还能够利用vpn在校园网内建立考试监控系统、综合多媒体教室等，比如学校含有两个多媒体教室，每个教室60台pc，经过校园网上连至internet，实现远程多媒体教学目标。也能够将学生、教职员宿舍区pc经过校园网上连至internet，而不进行任何部署。 校园网采取vpn技术能够降低使用费，远程用户能够经过向当地isp申请账户登录到internet，以internet作为通道和企业内部专用网络相连，通信费用大幅度降低；学校能够节省购置和维护通信设备费用。现在很多大学全部有多个分校，各个分校和培训场所网络整合使学校信息化管理成本肯定增加，比如学校数据存放，很多学校全部采取了分布式存放方法，其含有较低投资花费和软件布署灵活性，然而其管理难度高，后期维护成本高，假如采取vpn服务器，能够对各分校进行web通讯控制，同时又能够实现分校访问互通。 为了让师生共享图书资源，和国外高校合作交换图书馆数据，和向国外商业图书馆交纳版权费，取得更多电子文件资料浏览权，很多高校全部建立了数字图书馆，但在应用上也会产生对应约束性，比如说为了确保数据信息知识产权，浏览者必需是已缴纳版权费本校内网地址，或则被校方授权过内部正当师生，此时采取vpn加密技术，数据在internet中传输时，internet上用户只看到公共ip地址，看不到数据包内包含专用网络地址。不仅能够实现将校园网连续性扩展到校外；在校外能够访问校内未向互联网开放资源。同时又确保了校园数字图书馆易用性和安全性。 ? vpn支持哪种校园网接入方法 在教育机构校园网，因为不一样地域、不一样学校条件不一样，它们选择网络接入方法也有差异，比如条件不大好中小学校，可能还在采取模拟电话、isdn、adsl拨号上网，而对于条件好高校，则采取了光纤或ddn、帧中继等专线连接，那么，vpn方案到底支持哪种接入方法呢？实际上，vpn能够支持最常见网络协议，因为在internet上组建vpn，用户计算机或网络需要建立到isp连接，和用户上网接入方法相同，比如基于ip、ipx和netbui协议网络中用户机全部能使用vpn方案。 七、vpn在校园图书馆系统中调查分析 数字图书馆版权问题不容忽略，不管什么类型图书，全部要遵照数字版权保护(digital rights management，drm)要求，经过安全和加密技术控制数字内容及其分发路径，从而预防对数字产品非授权使用。 正是在这么一个保护知识产权背景下，高校图书馆所购置电子资源大部分全部有限制访问ip地址范围。即: 1、 采购这些数据库不是存放在图书馆服务器上，而是存放在提供商服务器上，图书馆支付费用以后，数据库服务商是依据访问者ip地址来判定是否是经过授权用户。 2、 只要是从校园网出去ip地址全部是认可，因为校园网出口ip和部分公网ip地址是属于这个有限范围，所以校园网上全部上网计算机全部能够使用。 3、 假如老师、学生在家里上网或一个老师到外地出差需要访问这些电子资源，不管采取pstn拨号、adsl、小区宽带，使用全部是社会网络运行商提供ip地址，不是校园网ip地址范围，所以数据库服务商认为是非授权用户，拒绝访问。当然，我们也能够要求服务商深入开放更多ip地址为正当用户，不过这要求访问者ip地址是固定、静态，而实际上，绝大多数校外用户使用全部是动态ip地址，是不确定，所以数据库服务商无法确定访问者正当身份，所以自动屏蔽。 所以，就需要一套可管理、可认证、安全远程访问电子图书馆处理方案，将校园网看成校外用户中转站，使校外用户经过鉴权后拥有校内地址再访问资源数据库。到底有没有这么一个方案呢?虚拟专用网即vpn技术，给了我们很好答案。 vpn是虚拟专用网简称，虚拟专用网不是真专用网络，但却能够实现专用网络功效。虚拟专用网指是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商)，在公用网络中建立专用数据通信网络技术。在虚拟专用网中，任意两个节点之间连接并没有传统专网所需端到端物理链路，而是利用某种公众网物理链路资源动态组成。 实际上，现在中国已经有不少高校采取了或正常尝试使用vpn技术来处理这个问题，而且大多是采取ipsec vpn技术。利用ipsec技术，校外用户在本机安装一个vpn用户端软件后经过配置连入图书馆网络，ipsec vpn中心端会给每个远程用户分配一个校园网ip地址，从而实现远程用户以校园网用户身份访问电子资源。 虽说ipsec vpn是现在vpn主流技术之一，但ipsec协议最初是为了处理site to site安全问题而制订，所以在此基础上建立远程接入方案在面临越来越多end to site应用情况下已经力不从心。 首先是用户端配置问题:在每个远程接入终端全部需要安装对应ipsec用户端，而且需要做复杂配置，伴随这种远程接入用户端安装数量增多将给网络管理员带来巨大挑战。即使部分领先企业已经处理了ipsec 用户端难以配置和维护问题，不过还是无法避免在每个终端上安装用户端麻烦，而且即使这些用户端极少出问题，但伴随用户数量增多，天天需要维护用户端绝对数量也不少。 其次是ipsec vpn本身安全问题:往往传统ipsec 处理方案全部没有很好处理移动用户接入到私有网络安全控制问题，这么就为病毒传输和黑客入侵提供了很多可能路径，而且在怎样针对不一样用户身份设定对不一样资源访问权限上也存在不少缺点(伴随技术发展，新兴vpn厂商已经着手改善这些问题并取得了对应成绩)。 然后是对网络支持问题:传统ipsec vpn在网络适应性上全部存在部分问题，即使部分领导厂商已经或正在处理网络兼容性问题，但因为ipsec vpn对防火墙安全策略配置较为复杂(往往要开放部分很用端口)，所以用户端网络适应性还是不能做到百分之百完美。 最终是移动设备支持问题:伴随未来通讯技术发展，移动终端种类将会越来越多，ipsec 用户端需要有更多版原来适应这些终端，但伴随终端种类爆炸性增加，这几乎是不可能。 所以，ssl vpn技术应运而生。ssl vpn突出优势在于web安全和移动接入，它能够提供远程安全接入，而无需安装或设定用户端软件。ssl在web易用性和安全性方面架起了一座桥梁。现在，对ssl vpn公认三大好处是:首先来自于它简单性，它不需要配置，能够立即安装、立即生效;第二个好处是用户端不需要安装，直接利用浏览器中内嵌ssl协议就行;第三个好处是兼容性好，能够适适用于任何终端及操作系统。全部校外用户只需要打开ie浏览器访问图书馆internet ip即可成功接入图书馆，ssl vpn技术采取了一个类似代理性质技术，全部访问全部是以ssl vpn设备lan口名义提议，所以只要ssl vpn设备lan口ip是一个正当校园网ip，全部成功接入ssl校外用户全部能够成功访问这个ssl vpn设备lan口所能访问资源。 但ssl vpn并不能替换ipsec vpn。因为，这两种技术现在应用在不一样领域。ssl vpn考虑是应用软件安全性，更多应用在web远程安全接入方面;而ipsec vpn是在两个局域网之间经过internet建立安全连接，保护是点对点之间通信，而且，ipsec工作于网络层，不局限于web应用。它构建了局域网之间虚拟专用网络，对终端站点间全部传输数据进行保护，而不管是哪类网络应用，安全和应用扩展性更强。从高校应用来看，因为ssl接入方法下全部用户访问请求全部是从ssl vpn设备lan口提议，对于那些对单个用户流量有严格限制资源商来说，这些ssl用户访问会被当成一个用户对待，很快就会因为达成资源商流量限制而造成该ip被禁用，也就造成全部ssl用户无法继续访问图书馆资源。 那么，高校图书馆应该选择何种vpn技术以处理现在校外用户合理访问图书馆各类资源需求呢?从现在图书馆使用情况来看，比较合理应用方法应该是ipsec和ssl共同使用。 正如我们前面所分析，上游资源商对于资源应用是有限制，除了限制提议请求ip地址外，还会限制单个ip地址所产生流量，所以在图书馆大量校外用户群中，我们将用户分为两个类型，一类是使用图书馆资源较为频繁、访问数据量较大用户(以老师为主，数量较少)，另一类则是使用次数较少、访问数据不多用户(以学生为主，数量较多)，经过用户划分，我们给访问量大但数量少老师用户分配ipsec接入方法，这么就能够把大量用户流量分配到不一样ip地址上，避免单个ip流量过大造成问题，而那些数量众多但访问量小学生用户分配ssl接入方法，利用ssl vpn无需布署用户端特征大大降低用户端维护工作量，从而实现vpn在图书馆应用快速布署。 经过长时间测试，华师图书馆选择使用中国专业vpn厂商深信服科技推出了ipsec/ssl 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和ssl vpn功效，利用两种技术集成很好处理了图书馆应用需求，同时一体化设计能够大幅度降低整个vpn产品投入，满足教育行业低成本高效率it建设需求。 八、结论 vpn技术代表了当今网络发展最新趋势,它综合了传统数据网络性能优点(安全和qos)和共享数据网络结构优点(简单和低成本),能够提供远程访问,外部网和内部网安全连接,建设和维护费用比专线网络要低得多.而且,vpn在降低成本同时满足了对网络带宽,接入和服务不停增加需求.依据调查数据表明,用vpn替换租用线路来连接远程站点可节省20%～47%开支,这么一个经济,安全和灵活技术,在国外图书馆已经逐步普及.在中国,部分高校图书馆也开始应用vpn技术实现多校区图书馆互联和开展部分远程文件信息服务.vpn技术在高校图书馆应用,必将提升图书馆利用效率,为图书馆远程文件信息服务打开新局面,尤其为多校区图书馆之间资源共享提供安全,高效,经济网络传输和数据访问路径.伴随vpn技术日益成熟,它将在图书馆得到更为广泛应用。