烟草专卖Debian Linux VPN 技术综述与实现.doc
-
资源ID:2388307
资源大小:45KB
全文页数:9页
- 资源格式: DOC
下载积分:8金币
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
烟草专卖Debian Linux VPN 技术综述与实现.doc
烟草专卖局(公司)Debian Linux VPN 技术综述与实现烟草专卖局(公司)烟草专卖局 Debian Linux VPN 技术综述与实现摘要:随着烟草行业信息化建设的持续推进,公司内部数据处理、信息交换日益增多,在信息系统的服务器和主机上存放着越来越多的数据。这些数据与企业的经营管理活动密切关联,成为企业领导者管理决策、企业员工日常工作的重要依据,在企业发展中起到了重要作用。正因如此,公司领导者和员工外出办公期间对企业内部资源的访问需求日益增加,希望在外期间能和在本地办公室一样方便地访问内部网络,处理事务,如何安全、快速、方便的远程访问公司内部资源成为信息部门需要解决的当务之急。而VPN(Virtual Private Network,虚拟专用网)成为值得期待的解决方案。关键词:VPN、虚拟专用网、PPTP、远程接入、安全连接。一、VPN简介:VPN(Virtual Private Network,虚拟专用网)是随着互联网的应用而迅速发展起来的一种新技术,它通过对网络数据的封包和加密,实现在公用互联网络上建立专用通道传输私有数据。它是一种介于公用网和专用网之间的逻辑性“虚拟”网络,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。它的出现已有好几年的历史。现在有越来越多的网络设备开发商投入到VPN设备的开发与研究。二、VPN基本原理一般来说两台具有独立IP并连接上互联网的计算机只要知道对方的IP地址,是可以直接通信的。但是位于这两台计算机之后的网络是不能直接互联的,原因是这些私有的网络和公用网络使用了不同的地址空间或协议,即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一条专用通道。私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。这样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。由于VPN连接的特点,私有网络的通信内容会在公用网络上传输,出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道是需要一个专门的过程,依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个VPN系统。一个完整的VPN系统一般包括以下三个单元:1、VPN服务器端。一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作,并要求VPN服务器已经连入Internet,并且拥有一个独立的公网IP。 2、VPN客户端。一台计算机或其它设备用来发起VPN连接的请求,也处理数据的打包和解包工作,并要求VPN客户机已经连入Internet。3、VPN数据通道。一条建立在公用网络上的数据连接。三、VPN应用的几种常用协议:PPTP点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。L2TP第 2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议,其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。L2TP支持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。IPSec 隧道模式隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够通过网络传输。隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封装,原始数据包头用于将数据包路由到最终目的地。SSL VPN协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙。在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后来交换的数据。SSL独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。四VPN具有的优点1.降低费用,首先远程用户可以通过向当地的ISP申请账户登陆到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。2.增强安全性,VPN通过使用点到点协议用户级身份验证的方法进行验证,对于敏感的数据,可以使用VPN连接通过VPN服务器将高度敏感的数据地址物理地进行分隔,只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。所有的流量均经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护,同时因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到VPN使用的协议。因此,利用Internet作为传输载体,采用VPN技术,实现企业网宽带远程访问是一个非常理想的企业网远程访问解决方案。 3.高度灵活性,用户不论是在家中、在出差途中、或是在其他任何环境中,只要该用户能够接入Internet,便能够安全地接入企业网内部。既不受地域限制,也不受接入方式限制。五、烟草专卖局(公司)VPN网络需求分析随着烟草信息化建设的逐步深入,移动办公、远程接入等应用越来越广泛,如何为烟草的职工及系统相关调试人员提供安全、方便、快捷的接入,成为一项急待解决的问题。并在允许进行远程接入的同时,对于接入进来的人员必须要有明确的权限划分、严密的监控措施,以防非法人员越权操作。 六、方案选择根据目前主流的远程接入方式,结合淮南市烟草公司的应用系统环境,我们对VPN接入方式进行了仔细而周全的分析:1.IPSec VPN可以实现IP级的访问,但它在操控性、适应性、扩展性方面都处在劣势,需要安装客户端,并对客户端进行较为复杂的配置,完成配置后才能建立通信信道,对于多数烟草职工难以独立完成,需由网络维护人员协助完成安装配置,产品使用操控性不佳;连接会受到地址转换(NAT)和网关代理(PROXY)的影响而无法穿越,无法建立通信信道,如员工出差在外,利用宾馆、酒店网络使用VPN,基本无法建立连接。产品网络适应性较差;客户端的许可费用较高,受支持的操作系统较少,产品后期扩展性不足。2. SSL VPN虽然解决了IPSec VPN在操控性和扩展性上的不足,但它在适应性方面依然美中不足。SSL VPN主要支持的是基于WEB的应用,能够对B/S构架的系统实现良好访问,可是遇到C/S构架的系统便无能为力了。虽然B/S构架是目前烟草行业的主流结构,但我们也不能漠视C/S构架的依然存在。其次,WEB级的支持往往无法达到系统管理人员的维护要求。对于烟草企业内网中服务器、网络设备等的远程维护,需要IP节点级的控制。3.PPTP VPN相比起来不管从操作性还是适应性都非常不错,可以完美解决B/S和C/S架构使用问题,兼顾了烟草系统应用人员和系统管理人员的不同需求;在安全方面作得也相当不错,具备最高128位的加密,而且客户端不需要安装客户端软件,现行的主流操作系统基本都支持。综上所述烟草专卖局(公司)选择了以PPTP VPN作为最终的解决方案,建立淮南市局(公司)的VPN服务器。七、部署实施方案确定后,信息中心通过分析,利用中心机房淘汰下来的服务器,以Debian Linux操作系统为平台,自己动手搭建起一台PPTP VPN服务器,即保证了系统的高可用性,发挥了设备的最大性能,又为公司节约了一笔费用,满足了员工外出办工及远程运维人员的需求。系统主要配置步骤如下:1.安装必要软件apt-get inatll pptpd kernel-tree-2.6.18 kernel-packageapt-get install kernel-patch-mppe libc6-dev2. 编译内核make-kpkg -added-patches debian,mppe -append-to-version -686-smp-mppe -initrd kernel_image3. 配置pptpd.conf文件localip 192.168.100.1remoteip 192.168.100.2-304.配置chap-secrets密码文件hnycgs pptpd ycgs "*"5.重启服务重启network和pptpd /etc/init.d/networking restart/etc/init.d/pptpd restart6.开启网络NATiptables -A POSTROUTING -t nat -s 192.168.100.0/24 -o eth1 -j SNAT -to-source 10.49.128.68通过一系列繁琐的配置命令,一台linux vpn服务器终于成功搭建,经过后期运行,设备性能相当稳定。完全满足设计目标。八、应用总结烟草成功构建Linux 为核心的VPN服务器,面向全体烟草职工及系统运维管理人员开放使用以来,VPN服务系统从未死机,系统运行效率非常高效,此次应用也是对一种新型操作系统平台的尝试,让我们相信linux开源系统在以后的应用中可被广泛的使用,打破微软与IBM对烟草行业的垄断,为进一步降低烟草行业信息化发展的投入做了一些尝试。VPN作为一种通过远程接入访问内部网络的技术,在带给员工方便、快捷的同时,也存在着一定的安全风险。主要体现在密码的使用及保密上,我们将严格按照省局公司关于“VPN的安全管理要求”的相关规定严格执行,既要在技术上把关,更需要在管理上做到位。我们根据不同用户,分配相应的VPN用户接入权限,制定不同的授权访问级别;其次加强VPN操作人员信息安全培训,签订VPN安全使用责任书,严格审计VPN系统的操作行为,建立VPN客户端接入日志,100%做到VPN的安全运行。 VPN的使用是烟草信息化发展的必然趋势,相信VPN能够让我们的工作变得更加轻松愉快!9