推荐第1篇:知名端口号
知名端口号
//注: 由于一些应用软件占用了部分端口, 因此此文件中的部分端口被注释掉了(注释字符为: //)
TCP 1=TCP Port Service Multiplexer
TCP 2=Death
TCP 5=Remote Job Entry,yoyo
TCP 7=Echo
TCP 11=Skun
TCP 12=Bomber
TCP 16=Skun
TCP 17=Skun
TCP 18=消息传输协议,skun
TCP 19=Skun
TCP 20=FTP Data,Amanda
TCP 21=文件传输,Back Construction,Blade Runner,Doly Trojan,Fore,FTP trojan,Invisible FTP,Larva, WebEx,WinCrash
TCP 22=远程登录协议
TCP 23=远程登录(Telnet),Tiny Telnet Server (= TTS)
TCP 25=电子邮件(SMTP),Ajan,Antigen,Email Paword Sender,Happy 99,Kuang2,ProMail trojan,Shtrilitz,Stealth,Tapiras,Terminator,WinPC,WinSpy,Haebu Coceda
TCP 27=Aasin
TCP 28=Amanda
TCP 29=MSG ICP
TCP 30=Agent 40421
TCP 31=Agent 31,Hackers Paradise,Masters Paradise,Agent 40421
TCP 37=Time,ADM worm
TCP 39=SubSARI
TCP 41=DeepThroat,Foreplay
TCP 42=Host Name Server
TCP 43=WHOIS
TCP 44=Arctic
TCP 48=DRAT
TCP 49=主机登录协议
TCP 50=DRAT
TCP 51=IMP Logical Addre Maintenance,Fuck Lamers Backdoor
TCP 52=MuSka52,Skun
TCP 53=DNS,Bonk (DOS Exploit)
TCP 54=MuSka52
TCP 58=DMSetup
TCP 59=DMSetup
TCP 63=whois++
TCP 64=Communications Integrator
TCP 65=TACACS-Database Service
TCP 66=Oracle SQL*NET,AL-Bareki
TCP 67=Bootstrap Protocol Server
TCP 68=Bootstrap Protocol Client
TCP 69=W32.Evala.Worm,BackGate Kit,Nimda,Pasana,Storm,Storm worm,Theef,Worm.Cycle.a
TCP 70=Gopher服务,ADM worm
TCP 79=用户查询
(Finger),Firehotcker,ADM worm
TCP 80=超文本服务器(Http),Executor,RingZero
TCP 81=Chubo,Worm.Bbeagle.q
TCP 82=Netsky-Z
TCP 88=Kerberos krb5服务
TCP 99=Hidden Port
TCP 102=消息传输代理
TCP 108=SNA网关访问服务器
TCP 109=Pop2
TCP 110=电子邮件(Pop3),ProMail
TCP 113=Kazimas, Auther Idnet
TCP 115=简单文件传输协议
TCP 118=SQL Services, Infector 1.4.2
TCP 119=新闻组传输协议(Newsgroup(Nntp)), Happy 99
TCP 121=JammerKiller, Bo jammerkillah
TCP 123=网络时间协议(NTP),Net Controller
TCP 129=Paword Generator Protocol
TCP 133=Infector 1.x
TCP 135=微软DCE RPC end-point mapper服务
TCP 137=微软Netbios Name服务(网上邻居传输文件使用)
TCP 138=微软Netbios Name服务(网上邻居传输文件使用)
TCP 139=微软Netbios Name服务(用于文件及打印机共享)
TCP 142=NetTaxi
TCP 143=IMAP
TCP 146=FC Infector,Infector
TCP 150=NetBIOS Seion Service
TCP 156=SQL服务器
TCP 161=Snmp
TCP 162=Snmp-Trap
TCP 170=A-Trojan
TCP 177=X Display管理控制协议
TCP 179=Border网关协议(BGP)
TCP 190=网关访问控制协议(GACP)
TCP 194=Irc
TCP 197=目录定位服务(DLS)
TCP 256=Nirvana
TCP 315=The Invasor
TCP 371=ClearCase版本管理软件
TCP 389=Lightweight Directory Acce Protocol (LDAP)
TCP 396=Novell Netware over IP
TCP 420=Breach
TCP 421=TCP Wrappers
TCP 443=安全服务
TCP 444=Simple Network Paging Protocol(SNPP)
TCP 445=Microsoft-DS
TCP 455=Fatal Connections
TCP 456=Hackers paradise,FuseSpark
TCP 458=苹果公司QuickTime
TCP 513=Grlogin
TCP 514=RPC Backdoor
TCP 520=Rip
TCP 531=Rasmin,Net666
TCP 544=kerberos kshell
TCP 546=DHCP Client
TCP 547=DHCP Server
TCP 548=Macintosh文件服务
TCP 555=Ini-Killer,Phase Zero,Stealth Spy
TCP 569=MSN
TCP 605=SecretService
TCP 606=Noknok8
TCP 660=DeepThroat
TCP 661=Noknok8
TCP 666=Attack FTP,Satanz Backdoor,Back Construction,Dark Connection Inside 1.2
TCP 667=Noknok7.2
TCP 668=Noknok6
TCP 669=DP trojan
TCP 692=GayOL
TCP 707=Welchia,nachi
TCP 777=AIM Spy
TCP 808=RemoteControl,WinHole
TCP 815=Everyone Darling
TCP 901=Backdoor.Devil
TCP 911=Dark Shadow
TCP 993=IMAP
TCP 999=DeepThroat
TCP 1000=Der Spaeher
TCP 1001=Silencer,WebEx,Der Spaeher
TCP 1003=BackDoor
TCP 1010=Doly
TCP 1011=Doly
TCP 1012=Doly
TCP 1015=Doly
TCP 1016=Doly
TCP 1020=Vampire
TCP 1023=Worm.Saer.e
TCP 1024=NetSpy.698(YAI)
TCP 1059=nimreg
//TCP 1025=NetSpy.698,Unused Windows Services Block
//TCP 1026=Unused Windows Services Block
//TCP 1027=Unused Windows Services Block
TCP 1028=应用层网关服务
//TCP 1029=Unused Windows Services Block
//TCP 1030=Unused Windows Services Block
//TCP 1033=Netspy
//TCP 1035=Multidropper
//TCP 1042=Bla
//TCP 1045=Rasmin
//TCP 1047=GateCrasher
//TCP 1050=MiniCommand
TCP 1058=nim
TCP 1069=Backdoor.TheefServer.202
TCP 1070=Voice,Psyber Stream Server,Streaming Audio Trojan
TCP 1079=ASPROVATalk
TCP
1080=Wingate,Worm.BugBear.B,Worm.Novarg.B
//TCP 1090=Xtreme, VDOLive
//TCP 1092=LoveGate
//TCP 1095=Rat
//TCP 1097=Rat
//TCP 1098=Rat
//TCP 1099=Rat
TCP 1109=Pop with Kerberos
TCP 1110=nfsd-keepalive
TCP 1111=Backdoor.AIMVision
TCP 1155=Network File Acce
//TCP 1170=Psyber Stream
Server,Streaming Audio trojan,Voice
//TCP 1200=NoBackO
//TCP 1201=NoBackO
//TCP 1207=Softwar
//TCP 1212=Nirvana,Visul Killer
//TCP 1234=Ultors
//TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse
//TCP 1245=VooDoo Doll
//TCP 1269=Mavericks Matrix
TCP 1270=Microsoft Operations Manager
//TCP 1313=Nirvana
//TCP 1349=BioNet
TCP 1352=Lotus Notes
TCP 1433=Microsoft SQL Server
TCP 1434=Microsoft SQL Monitor
//TCP 1441=Remote Storm
//TCP
1492=FTP99CMP(BackOriffice.FTP)
TCP 1503=NetMeeting T.120
TCP 1512=Microsoft Windows Internet Name Service
//TCP 1509=Psyber Streaming Server
TCP 1570=Orbix Daemon
//TCP 1600=Shivka-Burka
//TCP 1703=Exloiter 1.1
TCP 1720=NetMeeting H.233 call Setup
TCP 1731=NetMeeting音频调用控制
TCP 1745=ISA Server proxy autoconfig, Remote Winsock
TCP 1801=Microsoft Meage Queue
//TCP 1807=SpySender
TCP 1906=Backdoor/Verify.b
TCP 1907=Backdoor/Verify.b
//TCP 1966=Fake FTP 2000
//TCP 1976=Custom port
//TCP 1981=Shockrave
TCP 1990=stun-p1 cisco STUN Priority 1 port
TCP 1990=stun-p1 cisco STUN Priority 1 port
TCP 1991=stun-p2 cisco STUN Priority 2 port
TCP 1992=stun-p3 cisco STUN Priority 3 port,ipsendmsg IPsendmsg
TCP 1993=snmp-tcp-port cisco SNMP TCP port
TCP 1994=stun-port cisco serial tunnel port
TCP 1995=perf-port cisco perf port
TCP 1996=tr-rsrb-port cisco Remote SRB port
TCP 1997=gdp-port cisco Gateway Discovery Protocol
TCP 1998=x25-svc-port cisco X.25 service (XOT)
//TCP 1999=BackDoor, TransScout
//TCP 2000=Der Spaeher,INsane Network
TCP 2002=W32.Beagle.AX @mm
//TCP 2001=Transmion scout
//TCP 2002=Transmion scout
//TCP 2003=Transmion scout
//TCP 2004=Transmion scout
//TCP 2005=TTransmion scout
TCP 2011=cypre
TCP 2015=raid-cs
//TCP 2023=Ripper,Pa Ripper,Hack City Ripper Pro
TCP 2049=NFS
//TCP 2115=Bugs
//TCP 2121=Nirvana
//TCP 2140=Deep Throat, The Invasor
//TCP 2155=Nirvana
//TCP 2208=RuX
TCP 2234=DirectPlay
//TCP 2255=Illusion Mailer
//TCP 2283=HVL Rat5
//TCP 2300=PC Explorer
//TCP 2311=Studio54
TCP 2556=Worm.Bbeagle.q
//TCP 2565=Striker
//TCP 2583=WinCrash
//TCP 2600=Digital RootBeer
//TCP 2716=Prayer Trojan
TCP 2745=Worm.BBeagle.k
//TCP 2773=Backdoor,SubSeven
//TCP 2774=SubSeven2.1&2.2
//TCP 2801=Phineas Phucker
TCP 2967=SSC Agent
//TCP 2989=Rat
//TCP 3024=WinCrash trojan
TCP 3074=Microsoft Xbox game port
TCP 3127=Worm.Novarg
TCP 3128=RingZero,Worm.Novarg.B
//TCP 3129=Masters Paradise
TCP 3132=Microsoft Busine Rule Engine Update Service
//TCP 3150=Deep Throat, The Invasor
TCP 3198=Worm.Novarg
//TCP 3210=SchoolBus
TCP 3268=Microsoft Global Catalog
TCP 3269=Microsoft Global Catalog with LDAP/SSL
TCP 3332=Worm.Cycle.a
TCP 3333=Prosiak
TCP 3535=Microsoft Cla Server
TCP 3389=超级终端
//TCP 3456=Terror
//TCP 3459=Eclipse 2000
//TCP 3700=Portal of Doom
//TCP 3791=Eclypse
//TCP 3801=Eclypse
TCP 3847=Microsoft Firewall Control
TCP 3996=Portal of Doom,RemoteAnything
TCP 4000=腾讯QQ客户端
TCP 4060=Portal of Doom,RemoteAnything
TCP 4092=WinCrash
TCP 4242=VHM
TCP 4267=SubSeven2.1&2.2
TCP 4321=BoBo
TCP 4350=Net Device
TCP 4444=Prosiak,Swift remote
TCP 4500=Microsoft IPsec NAT-T, W32.HLLW.Tufas
TCP 4567=File Nail
TCP 4661=Backdoor/Surila.f
TCP 4590=ICQTrojan
TCP 4899=Remote Administrator服务器
TCP 4950=ICQTrojan
TCP 5000=WindowsXP服务器,Blazer
5,Bubbel,Back Door Setup,Sockets de Troie
TCP 5001=Back Door Setup, Sockets de Troie
TCP 5002=cd00r,Shaft
TCP 5011=One of the Last Trojans (OOTLT)
TCP 5025=WM Remote KeyLogger
TCP
5031=Firehotcker,Metropolitan,NetMetro
TCP 5032=Metropolitan
TCP 5190=ICQ Query
TCP 5321=Firehotcker
TCP 5333=Backage Trojan Box 3
TCP 5343=WCrat
TCP 5400=Blade Runner, BackConstruction1.2
TCP 5401=Blade Runner,Back Construction
TCP 5402=Blade Runner,Back Construction
TCP 5471=WinCrash
TCP 5512=Illusion Mailer
TCP 5521=Illusion Mailer
TCP 5550=Xtcp,INsane Network
TCP 5554=Worm.Saer
TCP 5555=ServeMe
TCP 5556=BO Facil
TCP 5557=BO Facil
TCP 5569=Robo-Hack
TCP 5598=BackDoor 2.03
TCP 5631=PCAnyWhere data
TCP 5632=PCAnyWhere
TCP 5637=PC Crasher
TCP 5638=PC Crasher
TCP 5678=Remote Replication Agent Connection
TCP 5679=Direct Cable Connect Manager
TCP 5698=BackDoor
TCP 5714=Wincrash3
TCP 5720=Microsoft Licensing
TCP 5741=WinCrash3
TCP 5742=WinCrash
TCP 5760=Portmap Remote Root Linux Exploit
TCP 5880=Y3K RAT
TCP 5881=Y3K RAT
TCP 5882=Y3K RAT
TCP 5888=Y3K RAT
TCP 5889=Y3K RAT
TCP 5900=WinVnc
TCP 6000=Backdoor.AB
TCP 6006=Noknok8
TCP 6073=DirectPlay8
TCP 6129=Dameware Nt Utilities服务器
TCP 6272=SecretService
TCP 6267=广外女生
TCP 6400=Backdoor.AB,The Thing
TCP 6500=Devil 1.03
TCP 6661=Teman
TCP 6666=TCPshell.c
TCP 6667=NT Remote Control,Wise 播放器接收端口
TCP 6668=Wise Video广播端口
TCP 6669=Vampyre
TCP 6670=DeepThroat,iPhone
TCP 6671=Deep Throat 3.0
TCP 6711=SubSeven
TCP 6712=SubSeven1.x
TCP 6713=SubSeven
TCP 6723=Mstream
TCP 6767=NT Remote Control
TCP 6771=DeepThroat
TCP 6776=BackDoor-G,SubSeven,2000 Cracks
TCP 6777=Worm.BBeagle
TCP 6789=Doly Trojan
TCP 6838=Mstream
TCP 6883=DeltaSource
TCP 6912=Shit Heep
TCP 6939=Indoctrination
TCP 6969=GateCrasher, Priority, IRC 3
TCP 6970=RealAudio,GateCrasher
TCP 7000=Remote Grab,NetMonitor,SubSeven1.x
TCP 7001=Freak88, Weblogic默认端口
TCP 7201=NetMonitor
TCP 7215=BackDoor-G, SubSeven
TCP 7001=Freak88,Freak2k
TCP 7300=NetMonitor
TCP 7301=NetMonitor
TCP 7306=NetMonitor,NetSpy 1.0
TCP 7307=NetMonitor, ProcSpy
TCP 7308=NetMonitor, X Spy
TCP 7323=Sygate服务器端
TCP 7424=Host Control
TCP 7511=聪明基因
TCP 7597=Qaz
TCP 7609=Snid X2
TCP 7626=冰河
TCP 7777=The Thing
TCP 7789=Back Door Setup, ICQKiller
TCP 7983=Mstream
TCP 8000=腾讯OICQ服务器端,XDMA
TCP 8010=Wingate,Logfile
TCP 8011=WAY2.4
TCP 8080=WWW 代理(如:Tomcat的默认端口),Ring Zero,Chubo,Worm.Novarg.B
TCP 8102=网络神偷
TCP 8181=W32.Erkez.D@mm
TCP 8520=W32.Socay.Worm
TCP 8594=I-Worm/Bozori.a
TCP 8787=BackOfrice 2000
TCP 8888=Winvnc
TCP 8897=Hack Office,Armageddon
TCP 8989=Recon
TCP 9000=Netministrator
TCP 9080=WebSphere
TCP 9325=Mstream
TCP 9400=InCommand 1.0
TCP 9401=InCommand 1.0
TCP 9402=InCommand 1.0
TCP 9535=Remote Man Server
TCP 9872=Portal of Doom
TCP 9873=Portal of Doom
TCP 9874=Portal of Doom
TCP 9875=Portal of Doom
TCP 9876=Cyber Attacker
TCP 9878=TransScout
TCP 9989=Ini-Killer
TCP 9898=Worm.Win32.Dabber.a
TCP 9999=Prayer Trojan
TCP 10067=Portal of Doom
TCP 10080=Worm.Novarg.B
TCP 10084=Syphillis
TCP 10085=Syphillis
TCP 10086=Syphillis
TCP 10101=BrainSpy
TCP 10167=Portal Of Doom
TCP
10168=Worm.Supnot.78858.c,Worm.LovGate.T
TCP 10520=Acid Shivers
TCP 10607=Coma trojan
TCP 10666=Ambush
TCP 11000=Senna Spy
TCP 11050=Host Control
TCP 11051=Host Control
TCP 11223=Progenic,Hack \'99KeyLogger
TCP 11320=IMIP Channels Port
TCP 11831=TROJ_LATINUS.SVR
TCP 12076=Gjamer, MSH.104b
TCP 12223=Hack\'99 KeyLogger
TCP 12345=GabanBus, NetBus 1.6/1.7, Pie Bill Gates, X-bill
TCP 12346=GabanBus, NetBus 1.6/1.7, X-bill
TCP 12349=BioNet
TCP 12361=Whack-a-mole
TCP 12362=Whack-a-mole
TCP 12363=Whack-a-mole
TCP 12378=W32/Gibe@MM
TCP 12456=NetBus
TCP 12623=DUN Control
TCP 12624=Buttman
TCP 12631=WhackJob, WhackJob.NB1.7
TCP 12701=Eclipse2000
TCP 12754=Mstream
TCP 13000=Senna Spy
TCP 13010=Hacker Brazil
TCP 13013=Psychward
TCP 13223=Tribal Voice的聊天程序PowWow
TCP 13700=Kuang2 The Virus
TCP 14456=Solero
TCP 14500=PC Invader
TCP 14501=PC Invader
TCP 14502=PC Invader
TCP 14503=PC Invader
TCP 15000=NetDaemon 1.0
TCP 15092=Host Control
TCP 15104=Mstream
TCP 16484=Mosucker
TCP 16660=Stacheldraht (DDoS)
TCP 16772=ICQ Revenge
TCP 16959=Priority
TCP 16969=Priority
TCP 17027=提供广告服务的Conducent\"adbot\"共享软件
TCP 17166=Mosaic
TCP 17300=Kuang2 The Virus
TCP 17490=CrazyNet
TCP 17500=CrazyNet
TCP 17569=Infector 1.4.x + 1.6.x
TCP 17777=Nephron
TCP 18753=Shaft (DDoS)
TCP 19191=蓝色火焰
TCP 19864=ICQ Revenge
TCP 20000=Millennium II (GrilFriend)
TCP 20001=Millennium II (GrilFriend)
TCP 20002=AcidkoR
TCP 20034=NetBus 2 Pro
TCP 20168=Lovgate
TCP 20203=Logged,Chupacabra
TCP 20331=Bla
TCP 20432=Shaft (DDoS)
TCP 20808=Worm.LovGate.v.QQ
TCP 21335=Tribal Flood Network,Trinoo
TCP 21544=Schwindler 1.82,GirlFriend
TCP 21554=Schwindler
1.82,GirlFriend,Exloiter 1.0.1.2
TCP 22222=Prosiak,RuX Uploader 2.0
TCP 22784=Backdoor.Intruzzo
TCP 23432=Asylum 0.1.3
TCP 23444=网络公牛
TCP 23456=Evil FTP, Ugly FTP, WhackJob
TCP 23476=Donald Dick
TCP 23477=Donald Dick
TCP 23777=INet Spy
TCP 26274=Delta
TCP 26681=Spy Voice
TCP 27374=Sub Seven 2.0+, Backdoor.Baste
TCP 27444=Tribal Flood Network,Trinoo
TCP 27665=Tribal Flood Network,Trinoo
TCP 29431=Hack Attack
TCP 29432=Hack Attack
TCP 29104=Host Control
TCP 29559=TROJ_LATINUS.SVR
TCP 29891=The Unexplained
TCP 30001=Terr0r32
TCP 30003=Death,Lamers Death
TCP 30029=AOL trojan
TCP 30100=NetSphere 1.27a,NetSphere 1.31
TCP 30101=NetSphere 1.31,NetSphere 1.27a
TCP 30102=NetSphere 1.27a,NetSphere 1.31
TCP 30103=NetSphere 1.31
TCP 30303=Sockets de Troie
TCP 30722=W32.Esbot.A
TCP 30947=Intruse
TCP 30999=Kuang2
TCP 31336=Bo Whack
TCP 31337=Baron Night,BO
client,BO2,Bo Facil,BackFire,Back Orifice,DeepBO,Freak2k,NetSpy
TCP 31338=NetSpy,Back Orifice,DeepBO
TCP 31339=NetSpy DK
TCP 31554=Schwindler
TCP 31666=BOWhack
TCP 31778=Hack Attack
TCP 31785=Hack Attack
TCP 31787=Hack Attack
TCP 31789=Hack Attack
更新时间: 2007年8月6日
TCP 31791=Hack Attack
TCP 31792=Hack Attack
TCP 32100=PeanutBrittle
TCP 32418=Acid Battery
TCP 33333=Prosiak,Blakharaz 1.0
TCP 33577=Son Of Psychward
TCP 33777=Son Of Psychward
TCP 33911=Spirit 2001a
TCP 34324=BigGluck,TN,Tiny Telnet Server
TCP 34555=Trin00 (Windows) (DDoS)
TCP 35555=Trin00 (Windows) (DDoS)
TCP 36794=Worm.Bugbear-A
TCP 37651=YAT
TCP 40412=The Spy
TCP 40421=Agent 40421,Masters Paradise.96
TCP 40422=Masters Paradise
TCP 40423=Masters Paradise.97
TCP 40425=Masters Paradise
TCP 40426=Masters Paradise 3.x
TCP 41666=Remote Boot
TCP 43210=Schoolbus 1.6/2.0
TCP 44444=Delta Source
TCP 44445=Happypig
TCP 45576=未知代理
TCP 47252=Prosiak
TCP 47262=Delta
TCP 47624=Direct Play Server
TCP 47878=BirdSpy2
TCP 49301=Online Keylogger
TCP 50505=Sockets de Troie
TCP 50766=Fore, Schwindler
TCP 51966=CafeIni
TCP 53001=Remote Windows Shutdown
TCP 53217=Acid Battery 2000
TCP 54283=Back Door-G, Sub7
TCP 54320=Back Orifice 2000,Sheep
TCP 54321=School Bus .69-1.11,Sheep, BO2K
TCP 57341=NetRaider
TCP 58008=BackDoor.Tron
TCP 58009=BackDoor.Tron
TCP 58339=ButtFunnel
TCP 59211=BackDoor.DuckToy
TCP 60000=Deep Throat
TCP 60068=Xzip 6000068
TCP 60411=Connection
TCP 60606=TROJ_BCKDOR.G2.A
TCP 61466=Telecommando
TCP 61603=Bunker-kill
TCP 63485=Bunker-kill
TCP 65000=Devil, DDoS
TCP 65432=Th3tr41t0r, The Traitor
TCP 65530=TROJ_WINMITE.10
TCP 65535=RC,Adore Worm/Linux
TCP 69123=ShitHeep
TCP 88798=Armageddon,Hack Office
UDP 1=Sockets des Troie
UDP 9=Chargen
UDP 19=Chargen
UDP 69=Pasana
UDP 80=Penrox
UDP 371=ClearCase版本管理软件
UDP 445=公共Internet文件系统(CIFS)
UDP 500=Internet密钥交换
UDP 1025=Maverick\'s Matrix 1.2 - 2.0
UDP 1026=Remote Explorer 2000
UDP 1027=HP服务,UC聊天软件,Trojan.Huigezi.e
UDP 1028=应用层网关服务,KiLo,SubSARI
UDP 1029=SubSARI
UDP 1031=Xot
UDP 1032=Akosch4
UDP 1104=RexxRave
UDP 1111=Daodan
UDP 1116=Lurker
UDP 1122=Last 2000,Singularity
UDP 1183=Cyn,SweetHeart
UDP 1200=NoBackO
UDP 1201=NoBackO
UDP 1342=BLA trojan
UDP 1344=Ptakks
UDP 1349=BO dll
UDP 1512=Microsoft Windows Internet Name Service
UDP 1561=MuSka52
UDP 1772=NetControle
UDP 1801=Microsoft Meage Queue
UDP 1978=Slapper
UDP 1985=Black Diver
UDP 2000=A-trojan,Fear,Force,GOTHIC Intruder,Last 2000,Real 2000
UDP 2001=Scalper
UDP 2002=Slapper
UDP 2015=raid-cs
UDP 2018=rellpack
UDP 2130=Mini BackLash
UDP 2140=Deep Throat,Foreplay,The Invasor
UDP
2222=SweetHeart,Way,Backdoor/Mifeng.t
UDP 2234=DirectPlay
UDP 2339=Voice Spy
UDP 2702=Black Diver
UDP 2989=RAT
UDP 3074=Microsoft Xbox game port
UDP 3132=Microsoft Busine Rule Engine Update Service
UDP 3150=Deep Throat
UDP 3215=XHX
UDP 3268=Microsoft Global Catalog
UDP 3269=Microsoft Global Catalog with LDAP/SSL
UDP 3333=Daodan
UDP 3535=Microsoft Cla Server
UDP 3801=Eclypse
UDP 3996=Remote Anything
UDP 4128=RedShad
UDP 4156=Slapper
UDP 4350=Net Device
UDP 4500=Microsoft IPsec NAT-T, sae-urn
UDP 5419=DarkSky
UDP 5503=Remote Shell Trojan
UDP 5555=Daodan
UDP 5678=Remote Replication Agent Connection
UDP 5679=Direct Cable Connect Manager
UDP 5720=Microsoft Licensing
UDP 5882=Y3K RAT
UDP 5888=Y3K RAT
UDP 6073=DirectPlay8
UDP 6112=Battle.net Game
UDP 6666=KiLo
UDP 6667=KiLo
UDP 6766=KiLo
UDP 6767=KiLo,UandMe
UDP 6838=Mstream Agent-handler
UDP 7028=未知木马
UDP 7424=Host Control
UDP 7788=Singularity
UDP 7983=MStream handler-agent
UDP 8012=Ptakks
UDP 8090=Aphex\'s Remote Packet Sniffer
UDP 8127=9_119,Chonker
UDP 8488=KiLo
UDP 8489=KiLo
UDP 8787=BackOrifice 2000
UDP 8879=BackOrifice 2000
UDP 9325=MStream Agent-handler
UDP 10000=XHX
UDP 10067=Portal of Doom
UDP 10084=Syphillis
UDP 10100=Slapper
UDP 10167=Portal of Doom UDP 10498=Mstream
UDP 10666=Ambush
UDP 11225=Cyn
UDP 12321=Proto
UDP 12345=BlueIce 2000
UDP 12378=W32/Gibe@MM
UDP 12623=ButtMan,DUN Control
UDP 11320=IMIP Channels Port
UDP 15210=UDP remote shell backdoor server
UDP 15486=KiLo
UDP 16514=KiLo
UDP 16515=KiLo
UDP 18753=Shaft handler to Agent
UDP 20433=Shaft
UDP 21554=GirlFriend
UDP 22784=Backdoor.Intruzzo
UDP 23476=Donald Dick
UDP 25123=MOTD
UDP 26274=Delta Source
UDP 26374=Sub-7 2.1
UDP 26444=Trin00/TFN2K
UDP 26573=Sub-7 2.1
UDP 27184=Alvgus trojan 2000
UDP 27444=Trinoo
UDP 29589=KiLo
UDP 29891=The Unexplained
UDP 30103=NetSphere
UDP 31320=Little Witch
UDP 31335=Trin00 DoS Attack
UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO
UDP 31338=Back Orifice, NetSpy DK, DeepBO
UDP 31339=Little Witch
UDP 31340=Little Witch
UDP 31416=Lithium
UDP 31787=Hack aTack
UDP 31789=Hack aTack
UDP 31790=Hack aTack
UDP 31791=Hack aTack
UDP 33390=未知木马
UDP 34555=Trinoo
UDP 35555=Trinoo
UDP 43720=KiLo
UDP 44014=Iani
UDP 44767=School Bus
UDP 46666=Taskman
UDP 47262=Delta Source
UDP 47624=Direct Play Server
UDP 47785=KiLo
UDP 49301=OnLine keyLogger
UDP 49683=Fenster
UDP 49698=KiLo
UDP 52901=Omega
UDP 54320=Back Orifice
UDP 54321=Back Orifice 2000
UDP 54341=NetRaider Trojan
UDP 61746=KiLO
UDP 61747=KiLO
UDP 61748=KiLO
UDP 65432=The Traitor
推荐第2篇:VPN说明书.
VPN 使用说明书
1 申请/重置账号密码:http://self.cczu.edu.cn/index/addvpnwlan(无账号或忘记密码时,进行申请或重置密码)
2 用户自助修改密码:http://219.230.159.60:8080/selfservice(有密码时,进行修改)
3 中国移动、中国电信、联通、和教育网用户请分别点击上面的图标进行访问;
4 在您首次使用的时候,系统将自动下载安装插件至所在计算机,请您留意页面提示并安装;
5 当插件安装完毕之后,正常进入登录窗口,使用用户名和密码进行登录; 6 登录成功后,即进入用户使用页面,此时即可访问校内和校外指定资源。 7 访问校内资源时请不要关闭本页;访问结束后请及时退出。
8 vista系统使用需进行以下操作:通过把“控制面板”--“用户帐户”--“打开或关闭„用户帐户控制‟”中的选项去掉即可,即不要选中“使用用户帐户控制(UAC)帮助保护您的计算机”,点“确定”,从新启动计算机。 9 使用GHOST安装操作系统的用户,可能会无法使用lvpn。
注意事项:
一、若成功登录后,不能正常下载及浏览文件,请首先确认您的计算机上是否已经安装相应的文件浏览器或阅读器;
二、若不能正常安装请查看以下说明:
1、浏览器安全级别太高,请到中或默认级别,或调整以下设置: A、浏览器禁止下载ActiveX控件,设设置允许下载控件;
B、浏览器禁止运行ActiveX控件,设设置允许运行控件;
C、浏览器禁止ActiveX控件执行脚本,设设置允许执行脚本;
2、浏览器插件拦截控件下载,如上网安全助手等,请设置允许下载
3、可浏览器安全中将本页为信任站点
4、浏览器要求使用IE5以上版本
5、本系统支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系统
四、因带宽不足,为提高速度,提高访问效率,请不要在校内使用;不使用时请及时退出系统;10分钟内如不使用本系统,系统将自动断线。
五、如果长时间不能建立隧道,或者不能获取ip地址,请将防火墙和杀毒软件先行关闭或者卸载,成功连接后,再次把防火墙和杀毒软件打开或安装。
六、如有疑问请拨打:86330350
推荐第3篇:VPN管理制度
VPN管理制度
(一)湖南华润电力鲤鱼江有限公司VPN系统主要为湖南华润电力鲤鱼江有限公司正式员工提供公司内网专线接入服务。
(二)湖南华润电力鲤鱼江有限公司VPN系统由VPN接入系统和防火墙系统构成。VPN接入系统提供公司内网的接入服务。
(三)湖南华润电力鲤鱼江有限公司VPN系统用户不得利用此系统从事危害国家安全、泄露国家秘密等犯罪活动,不得查阅、复制和传播有碍社会治安和有伤风化的信息。
第二条 VPN系统管理
(一)湖南华润电力鲤鱼江有限公司VPN系统是由湖南华润电力鲤鱼江有限公司信息中心进行管理和维护。
(二)湖南华润电力鲤鱼江有限公司VPN系统地址:https://61.187.187.246 /。
第三条 VPN账户申请
对于正式员工,申请VPN账户需要以下步骤:
(一)填写《VPN账户申请表》,经由部门主管同意后,提交信息中心办理。
(二)送交申请表起一个工作日内,由信信息中心工作人员通知VPN账户申请者最终审定的VPN账户名称和初始密码,之后用户即可正常使用。
(四)VPN新用户须登录修改个人登录密码。
第四条 VPN账户注销
具有VPN帐户的员工在调离湖南华润电力鲤鱼江有限公司前,需通知信信息中心,VPN帐户保留一个月后由信息中心注销。
本管理规章制度自发布之日起执行,解释权归湖南华润电力鲤鱼江有限公司信息中心所有。
湖南华润电力鲤鱼江有限公司信息中心
2010年10月22日
推荐第4篇:VPN定义
VPN
开放分类: 互联网、网络、电脑、技术
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Acce VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
======
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。
---- 从概念上讲,IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况(如运营商的运营商)。
---- 图1给出了实现IP-VPN的一个通用方案。其中,CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。
---- 站点是指这样一组网络或子网,它们是用户网络的一部分,并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点,一个站点可以同时位于不同的几个VPN之中。
---- 图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示,一个站点可以同时属于多个VPN。依据一定的策略,属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力,也可以不提供这种能力。当一个站点同时属于多个VPN时,它必须具有一个在所有VPN中唯一的地址空间。
---- MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础,服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以,在MPLS/ATM网络中,有多种支持IP-VPN的方法,本文介绍其中两种方法。
方案一
---- 本节介绍一种在公共网中使用MPLS提供IPVPN业务的方法。该方法使用LDP的一般操作方式,即拓扑驱动方式来实现基本的LSP建立过程,同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。
---- 图3 给出了在MPLS/ATM核心网络中提供IPVPN业务的一种由LER和LSR构成的网络配置。
---- LER (标记边缘路由器)
---- LER是MPLS的边缘路由器,它位于MPLS/ATM服务提供者网络的边缘。 对于VPN用户的IP业务量,LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享,它还应当具有执行虚拟路由的能力。这就是说,它应当为自己服务的各个VPN分别建立一个转发表,这是因为不同VPN的IP地址空间可能是有所重叠的。
---- LSR(标记交换路由器)
---- MPLS/ATM核心网络是服务提供者的下层网络,它为用户的IP-VPN业务所共享。
---- 建立IP-VPN区域的操作
---- 希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IPVPN区域。作为一种普通的LDP操作,基本的LSP 建立过程将使用拓扑驱动方法来进行,这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由,则将使用两级LSP隧道(标记堆栈)。
---- VPN成员
---- 每一个LER都有一个任务,即发现在VPN区域中为同一 IPVPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道,所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP,
向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记,以方便这些消息能够最终到达目的LER。
---- LDP Hello消息实际上是一种查询消息,通过这一消息,发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER(对等实体)。新的Hello消息相邻实体注册完成之后,相关的两个LER之间将开始发起LDP会话。随后,其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后,对等LER之间的会话便建立起来了。此后,双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道,则该标记将被推入标记栈中,并被置于原有的标记之上。
---- VPN成员资格和可到达性信息的传播
---- 通过路由信息的交换,LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER,还需要找到在一个VPN中哪些LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之,只有支持相同VPN的LER之间才能成功地建立LDP会话。
---- VPN内的可到达性
---- 最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IPVPN的一员时,配置信息将包含它在VPN内部要使用的路由协议。在这一过程中,还可能会配置必要的安全保密特性,以便该LER能够成为其他LER的相邻路由器。在VPN内部路由方案中,每一次发现阶段结束之后,每一个LER 都将发布通过它可以到达的、VPN用户的地址前缀。
---- IP分组转发
---- LER之间的路由信息交互完成之后,各个LER都将建立起一个转发表,该转发表将把VPN用户的特定地址前缀(FEC转发等价类) 与下一跳联系起来。当收到的IP分组的下一跳是一个LER时,转发进程将首先把用于该LER的标记(嵌套隧道标记)推入标记栈,随后把能够到达该LER的基本网络LSP上下一跳的基本标记推入标记分组,接着带有两个标记的分组将被转发到基本网络LSP中的下一个LSR;当该分组到达目的LER时,最外层的标记可能已经发生许多次的改变,而嵌套在内部的标记始终保持不变;当标记栈弹出后,继续使用嵌套标记将分组发送至正确的LER。在LER上,每一个VPN使用的嵌套标记空间必须与该LER所支持的其他所有VPN使用的嵌套标记空间不同。
方案二
---- 本节将对一种在公共网中使用MPLS和多协议边界网关协议来提供IP-VPN业务的方法进行介绍,其技术细节可以参见RFC 2547。
---- 图1 给出了在MPLS/ATM核心网络中提供IPVPN业务的、由LER和LSR构成的网络配置,图4则给出了使用RFC 2547的网络模型。
---- 提供者边缘(PE)路由器
---- PE路由器是与用户路由器相连的服务提供者边缘路由器。
---- 实际上,它就是一个边缘LSR(即MPLS网络与不使用 MPLS的用户或服务提供者之间的接口)。
---- 用户边缘 (CE)路由器
---- CE路由器是用于将一个用户站点接至PE路由器的用户边缘路由器。在这一方案中,CE路由器不使用MPLS,它只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。
---- 提供者(P)路由器
---- P路由器是指网络中的核心LSR。
---- 站点(Site)
---- 站点是指这样一组网络或子网:它们是用户网络的一部分,通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。
---- 路径区别标志
---- 服务提供者将为每一个VPN分配一个唯一的标志符,该标志符称为路径区别标志(RD),它对应于服务提供者网络中的每一个Intranet或Extranet 都是不同的。PE路由器中的转发表里将包含一系列唯一的地址,这些地址称为VPNIP 地址,它们是由RD与用户的IP地址连接而成的。VPNIP地址对于服务提供者网络中的每一个端点都是唯一的,对于VPN中的每一个节点(即VPN中的每一个PE路由器),转发表中都将存储有一个条目。
---- 连接模型
---- 图4给出了MPLS/BGP VPN的连接模型。
---- 从图4中可以看出,P路由器位于MPLS网络的核心。 PE路由器将使用MPLS与核心MPLS网络通信,同时使用IP路由技术来与CE路由器通信。 P与PE路由器将使用IP路由协议(内部网关协议)来建立MPLS核心网络中的路径,并且使用LDP实现路由器之间的标记分发。
---- PE路由器使用多协议BGP4来实现彼此之间的通信,完成标记交换和每一个VPN策略。除非使用了路径映射标志(route reflector),否则PE 之间是BGP全网状连接。特别地,图4中的PE处于同一自治域中,它们之间使用内部BGP (iBGP)协议。
---- P路由器不使用BGP协议而且对VPN一无所知,它们使用普通的MPLS协议与进程。
---- PE路由器可以通过IP路由协议与CE路由器交换IP路径,也可以使用静态路径。在CE与PE路由器之间使用普通的路由进程。CE路由器不必实现MPLS或对VPN有任何特别了解。
---- PE路由器通过iBGP将用户路径分发到其他的PE路由器。为了实现路径分发,BGP使用VPN-IP地址(由RD和IPv4地址构成)。这样,不同的VPN可以使用重叠的IPv4地址空间而不会发生VPN-IP地址重复的情况。
---- PE路由器将BGP计算得到的路径映射到它们的路由表中,以便把从CE路由器收到的分组转发到正确的LSP上。
---- 这一方案使用两级标记:内部标记用于PE路由器对于各个VPN的识别,外部标记则为MPLS网络中的LSR所用——它们将使用这些标记把分组转发给正确的PE。
---- 建立IP-VPN区域的操作
---- 希望提供IP-VPN业务的网络提供者必须按照连接需求对网络进行设计与配置,这包括:PE必须为其支持的VPN以及与之相连的CE所属的VPN 进行配置;MPLS网络或者是一个路径映射标志中的PE路由器之间必须进行对等关系的配置;为了与CE进行通信,还必须进行普通的路由协议配置;为了与MPLS核心网络进行通信,还必须进行普通的MPLS配置(如LDP、IGP)。另外,P路由器除了要求能够支持MPLS之外,还要能够支持VPN。
>---- VPN成员资格和可到达性信息的传播
---- PE路由器使用IP路由协议或者是静态路径的配置来交换路由信息,并且通过这一过程获得与之直接相连的用户网站IP地址前缀。
---- PE路由器通过与其BGP对等实体交换VPN-IP地址前缀来获得到达目的VPN站点的路径。另外,PE路由器还要通过BGP与其PE路由器对等实体交换标记,以此确定PE路由器间连接所使用的LSP。这些标记用作第二级标记,P 路由器看不到这些标记。
---- PE路由器将为其支持的每一个VPN分别建立路由表和转发表,与一个PE路由器相连的CE路由器则根据该连接所使用的接口选择合适的路由表。
---- IP分组转发
---- PE之间的路由信息交换完成之后,每一个PE都将为每一个VPN建立一个转发表,该转发表将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。
---- 当收到发自CE路由器的IP分组时,PE路由器将在转发表中查询该分组对应的VPN。
---- 如果找到匹配的条目,路由器将执行以下操作:
---- 如果下一跳是一个PE路由器,转发进程将首先把从路由表中得到的、该PE路由器所对应的标记(嵌套隧道标记)推入标记栈;PE路由器把基本的标记推入分组,该标记用于把分组转发到到达目的PE路由器的、基本网络LSP上的第一跳;带有两级标记的分组将被转发到基本网络LSP上的下一个LSR。
---- P路由器(LSR)使用顶层标记及其路由表对分组继续进行转发。当该分组到达目的LER时,最外层的标记可能已发生多次改变,而嵌套在内部的标记保持不变。
---- 当PE收到分组时,它使用内部标记来识别VPN。此后, PE将检查与该VPN相关的路由表,以便决定对分组进行转发所要使用的接口。
---- 如果在VPN路由表中找不到匹配的条目,PE路由器将检查Internet路由表(如果网络提供者具备这一能力)。如果找不到路由,相应分组将被丢弃。
---- VPNIP转发表中包含VPNIP地址所对应的标记,这些标记可以把业务流路由至VPN中的每一个站点。这一过程由于使用的是标记而不是IP 地址,所以在企业网中,用户可以使用自己的地址体系,这些地址在通过服务提供者网络进行业务传输时无需网络地址翻译(NAT)。通过为每一个VPN使用不同的逻辑转发表,不同的VPN业务将可以被分开。使用BGP协议,交换机可以根据入口选择一个特定的转发表,该转发表可以只列出一个VPN有效目的地址。
---- 为了建立企业的Extranet,服务提供者需要对VPN之间的可到达性进行明确指定(可能还需要进行NAT配置)。
---- 安全
---- 在服务提供者网络中,PE所使用的每一个分组都将与一个RD相关联,这样,用户无法将其业务流或者是分组偷偷送入另一个用户的VPN。要注意的是,在用户数据分组中没有携带RD,只有当用户位于正确的物理端口上或拥有PE路由器中已经配置的、适当的RD时,用户才能加入一个Intranet或 Extranet。这一建立过程可以保证非法用户无法进入VPN,从而为用户提供与帧中继、租用线或ATM业务相同的安全等级。
推荐第5篇:VPN研究报告
一、前言
互联网的普及、移动通信技术的进步、信息化程度的提高,使全世界的数字信息高度共
享成为可能。中国高校也越来越重视数字化校园的开发,依托先进的网络技术开展电化教学、电子教学资源的建设。而作为电子教学资源的重点之一,电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生开展教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义,数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。
二、选题背景
随着教育信息化的深入,很多学校都建立了校园网,为了实现校内资源优化整合,让师
生们更好的进行工作和学习,他们需要在校园网内部或在校外的远程节点上,随时享受校园网内部的各项服务,然而由于互联网黑客对各高校的资源虎视眈眈,在没有经过任何允许的情况下,黑客们很容易就潜入校园网内部进行捣乱,为此,多数校园网都不会将自己的各种应用系统和所有信息资源完全开放,因为这样让整个校园网面临无以估量的破坏性损失,为了网络安全考虑,将vpn技术应用于基于公共互联网构架的校园网,可以较好的解决校园网多校区、远程访问、远程管理等问题。
三、vpn简介
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安
全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
四、vpn功能
vpn可以提供的功能: 防火墙功能、认证、加密、隧道化。
vpn可以通过特殊的加密的通讯协议在连接在internet上的位于不同地方的两个或多个
企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。vpn技术原是路由器具有的重要技术之一,在交换机,防火墙设备或windows 2000等软件里也都支持vpn功能,一句话,vpn的核心就是在利用公共网络建立虚拟私有网。
五、vpn常用的网络协议
常用的虚拟私人网络协议有:
ipsec : ipsec(缩写ip security)是保护ip协议安全通信的标准,它主要对ip协议分组进行加密和认证。ipsec作为一个协议族(即一系列相互关联的协议)由以下部分组成:(1)保护分组流的协议;(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分: vpn加密分组流的封装安全载荷(esp)及较少使用的认证头(ah),认证头提供了对分组流的认证并保证其消息完整性,但不提供保密性。目前为止,ike协议是唯一已经制定的密钥交换协议。
pptp: point to point tunneling protocol -- 点到点隧道协议 。在因特网上建立ip虚拟专用网
(vpn)隧道的协议,主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。 l2f: layer 2 forwarding -- 第二层转发协议
l2tp: layer 2 tunneling protocol --第二层隧道协议 gre:vpn的第三层隧道协议
六、vpn研究问题
? vpn如何解决校园网安全风险
对于校园网而言,它虽然给师生带来了资源共享的便捷,但同时也意味着具有安全风险,比如非授权访问,没有预先经过授权,就使用校园网络或计算机资源;信息泄漏或丢失,重要数据在有意或无意中被泄漏出去或丢失;以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息;不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪;利用网络传播计算机病毒等。那么,校园网利用vpn技术方案,是否能避免校园网的潜在安全隐患,杜绝上述情况的发生呢?
vpn即虚拟私有网络技术,它的安全功能包括:通道协议、身份验证和数据加密,实际工作时,远程外网客户机向校园网内的vpn服务器发出请求,vpn服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到vpn服务端,vpn服务器根据用户数据库检查该响应,如果账户有效,vpn服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,vpn服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。简单来说,vpn可以通过对校园网内的数据进行封包和加密传输,在互联网公网上传输私有数据、达到私有网络的安全级别。 ? 选择ipsec vpn还是l vpn 校园网vpn方案可以通过公众ip网络建立了私有数据传输通道,将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来,减轻了校园网的远程访问费用负担,节省电话费用开支,不过对于端到端的安全数据通讯,还需要根据实际情况采取不同的架构。一般而言,ipsec vpn和l vpn是目前校园网vpn方案采用最为广泛的安全技术,但它们之间有很大的区别,总体来说,ipsec vpn是提供站点与站点之间的连接,比较适合校园网内分校与分校的连接;而l vpn则提供远程接入校园网服务,比如适合校园网与外网的连接。
从vpn技术架构来看,ipsec vpn是比较理想的校园网接入方案,由于它工作在网络层,可以对终端站点间所有传输数据进行保护,可以实现internet多专用网安全连接,而不管是哪类网络应用,它将远程客户端置于校园内部网,使远程客户端拥有内部网用户一样的权限和操作功能。ipsec vpn还要求在远程接入客户端适当安装和配置ipsec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些ipsec客户端软件能实现自动安装,不需要用户参与,因而无论对网管还是终端用户,都可以减轻安装和维护上的负担。 ? vpn为校园网带来哪些应用
在校园网中,通过vpn给校外住户、分校区用户、出差远程办公用户、远程工作者等提供一种直接连接到校园局域网的服务。那么,vpn能为校园网带来哪些具体应用优势呢?首先就是办公自动化,比如校园办公楼共有40个信息点,此时可以通过校园网连至internet用户,实现100m甚至1000m到桌面的带宽,并对财务科、人事科等科室进行单独子网管理。 还可以利用vpn在校园网内建立考试监控系统、综合多媒体教室等,比如学校具有两个多媒体教室,每个教室60台pc,通过校园网上连至internet,实现远程多媒体教学的目的。也可以将学生、教职工宿舍区的pc通过校园网上连至internet,而不进行任何布置。
校园网采用vpn技术可以降低使用费,远程用户可以通过向当地的isp申请账户登录到internet,以internet作为通道与企业内部专用网络相连,通信费用大幅度降低;学校可以节省购买和维护通信设备的费用。现在很多大学都有多个分校,各个分校和培训场所网络整合使学校的信息化管理成本必然的增加,比如学校的数据存储,许多学校都采用了分布式存储方式,其具有较低的投资花费和软件部署的灵活性,然而其管理难度高,后期维护成本高,如果采取vpn服务器,可以对各分校进行web通讯控制,同时又可以实现分校访问互通。 为了让师生共享图书资源,与国外高校合作交换图书馆数据,以及向国外商业图书馆交纳版权费,获得更多电子文献资料的浏览权,很多高校都建立了数字图书馆,但在应用上也会产生相应的约束性,比如说为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址,或则被校方授权过的内部合法师生,此时采用vpn加密技术,数据在internet中传输时,internet上的用户只看到公共的ip地址,看不到数据包内包含的专用网络地址。不仅可以实现将校园网的连续性扩展到校外;在校外可以访问校内未向互联网开放的资源。同时又确保了校园数字图书馆的易用性和安全性。 ? vpn支持哪种校园网接入方式
在教育机构的校园网,由于不同地区、不同学校的条件不同,它们选择的网络接入方式也有差异,比如条件不大好的中小学校,可能还在采取模拟电话、isdn、adsl拨号上网,而对于条件好的高校,则采取了光纤或ddn、帧中继等专线连接,那么,vpn方案到底支持哪种接入方式呢?实际上,vpn可以支持最常用的网络协议,因为在internet上组建vpn,用户计算机或网络需要建立到isp连接,与用户上网接入方式相似,比如基于ip、ipx和netbui协议的网络中的客户机都能使用vpn方案。
七、vpn在校园图书馆系统中的调查分析
数字图书馆的版权问题不容忽视,不管什么类型的图书,都要遵循数字版权保护(digital rights management,drm)的规定,通过安全和加密技术控制数字内容及其分发途径,从而防止对数字产品非授权使用。
正是在这样一种保护知识产权的背景下,高校图书馆所购买的电子资源大部分都有限制访问的ip地址范围。即:
1、采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商是根据访问者的ip地址来判断是否是经过授权的用户。
2、只要是从校园网出去的ip地址都是认可的,因为校园网出口ip和部分公网ip地址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
3、如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用pstn拨号、adsl、小区宽带,使用的都是社会网络运营商提供的ip地址,不是校园网的ip地址范围,因此数据库服务商认为是非授权用户,拒绝访问。当然,我们也可以要求服务商进一步开放更多的ip地址为合法用户,但是这要求访问者的ip地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态ip地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而自动屏蔽。
因此,就需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过鉴权后拥有校内地址再访问资源数据库。到底有没有这样一种方案呢?虚拟专用网即vpn技术,给了我们很好的答案。 vpn是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠isp(internet service provider 服务提供商)和其它nsp(networkservice provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
实际上,目前国内已经有不少高校采用了或者正常尝试使用vpn技术来解决这个问题,而且大多是采用的ipsec vpn技术。利用ipsec技术,校外用户在本机安装一个vpn客户端软件后经过配置连入图书馆网络,ipsec vpn中心端会给每个远程用户分配一个校园网ip地址,从而实现远程用户以校园网用户身份访问电子资源。
虽说ipsec vpn是目前vpn的主流技术之一,但ipsec协议最初是为了解决site to site的安全问题而制定的,因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。
首先是客户端配置问题:在每个远程接入的终端都需要安装相应的ipsec客户端,并且需要做复杂的配置,随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了ipsec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
其次是ipsec vpn自身安全问题:往往传统的ipsec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的vpn厂商已经着手改进这些问题并取得了相应的成绩)。
然后是对网络的支持问题:传统的ipsec vpn在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于ipsec vpn对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,ipsec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此,l vpn技术应运而生。l vpn的突出优势在于web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。l在web的易用性和安全性方面架起了一座桥梁。目前,对l vpn公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的l协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开ie浏览器访问图书馆的internet ip即可成功接入图书馆,l vpn技术采用了一种类似代理性质的技术,所有的访问都是以l vpn设备的lan口的名义发起的,所以只要l vpn设备的lan口ip是一个合法的校园网ip,所有成功接入l的校外用户都可以成功访问这个l vpn设备lan口所能访问的资源。
但l vpn并不能取代ipsec vpn。因为,这两种技术目前应用在不同的领域。l vpn考虑的是应用软件的安全性,更多应用在web的远程安全接入方面;而ipsec vpn是在两个局域网之间通过internet建立的安全连接,保护的是点对点之间的通信,并且,ipsec工作于网络层,不局限于web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。从高校应用来看,由于l接入方式下所有用户的访问请求都是从l vpn设备的lan口发起的,对于那些对单个用户流量有严格限制的资源商来说,这些l用户的访问会被当成一个用户对待,很快就会因为达到资源商的流量限制而造成该ip被禁用,也就导致所有l用户无法继续访问图书馆资源。
那么,高校图书馆应该选择何种vpn技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看,比较合理的应用方式应该是ipsec和l共同使用。
正如我们前面所分析的,上游资源商对于资源的应用是有限制的,除了限制发起请求的ip地址外,还会限制单个ip地址所产生的流量,因此在图书馆大量的校外用户群中,我们将用户分为两个类型,一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主,数量较少),另一类则是使用次数较少、访问数据不多的用户(以学生为主,数量较多),通过用户划分,我们给访问量大但数量少的教师用户分配ipsec接入方式,这样就可以把大量的用户流量分配到不同的ip地址上,避免单个ip流量过大造成的问题,而那些数量众多但访问量小的学生用户分配l接入方式,利用l vpn无需部署客户端的特性大大降低客户端的维护工作量,从而实现vpn在图书馆应用的快速部署。 经过长时间的测试,华师图书馆选择使用国内专业vpn厂商深信服科技推出了ipsec/l 一体化vpn平台:sinfor m5100-s。该产品在一台网关上同时集成了ipsec和l vpn功能,利用两种技术的集成很好解决了图书馆应用的需求,同时一体化的设计能够大幅度的降低整个vpn产品的投入,满足教育行业低成本高效率it建设的需求。
八、结论
vpn技术代表了当今网络发展的最新趋势,它综合了传统数据网络性能的优点(安全和qos)和共享数据网络结构的优点(简单和低成本),能够提供远程访问,外部网和内部网的安全连接,建设与维护费用比专线网络要低得多.而且,vpn在降低成本的同时满足了对网络带宽,接入和服务不断增加的需求.根据调查数据表明,用vpn替代租用线路来连接远程站点可节约20%~47%的开支,这么一种经济,安全和灵活的技术,在国外图书馆已经逐步普及.在国内,一些高校图书馆也开始应用vpn技术实现多校区图书馆互联和开展一些远程文献信息服务.vpn技术在高校图书馆的应用,必将提高图书馆利用效率,为图书馆的远程文献信息服务打开新局面,尤其为多校区图书馆之间资源的共享提供安全,高效,经济的网络传输和数据访问途径.随着vpn技术的日益成熟,它将在图书馆得到更为广泛的应用。
推荐第6篇:计算机服务器最常用端口号
计算机服务器最常用端口号
代理服务器常用以下端口:
(1).HTTP
协议代理服务器常用端口号:80/8080/3128/8081/9080
(2).SOCKS代理协议服务器常用端口号:1080 (3).FTP(文件传输)协议代理服务器常用端口号:21 (4).Telnet(远程登录)协议代理服务器常用端口:23
HTTP服务器,默认的端口号为80/tcp(木马Executor开放此端口);
HTTPS(securely transferring web pages)服务器,默认的端口号为443/tcp 443/udp;
Telnet(不安全的文本传送),默认端口号为23/tcp(木马Tiny Telnet Server所开放的端口);
FTP,默认的端口号为21/tcp(木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口);
TFTP(Trivial File Transfer Protocol ),默认的端口号为69/udp;
SSH(安全登录)、SCP(文件传输)、端口重定向,默认的端口号为22/tcp;
SMTP Simple Mail Transfer Protocol (E-mail),默认的端口号为25/tcp(木马Antigen、Email Paword Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口);
POP3 Post Office Protocol (E-mail) ,默认的端口号为110/tcp;
WebLogic,默认的端口号为7001;
Webshpere应用程序,默认的端口号为9080;
webshpere管理工具,默认的端口号为9090;
JBOSS,默认的端口号为8080;
TOMCAT,默认的端口号为8080;
WIN2003远程登陆,默认的端口号为3389;
Symantec AV/Filter for MSE ,默认端口号为 8081;
Oracle 数据库,默认的端口号为1521;
ORACLE EMCTL,默认的端口号为1158;
Oracle XDB( XML 数据库),默认的端口号为8080;
Oracle XDB FTP服务,默认的端口号为2100;
MS SQL*SERVER数据库server,默认的端口号为1433/tcp 1433/udp;
MS SQL*SERVER数据库monitor,默认的端口号为1434/tcp 1434/udp;
QQ,默认的端口号为1080/udp.代理服务器常用以下端口:
(1).HTTP
协议代理服务器常用端口号:80/8080/3128/8081/9080
(2).SOCKS代理协议服务器常用端口号:1080 (3).FTP(文件传输)协议代理服务器常用端口号:21 (4).Telnet(远程登录)协议代理服务器常用端口:23
HTTP服务器,默认的端口号为80/tcp(木马Executor开放此端口);
HTTPS(securely transferring web pages)服务器,默认的端口号为443/tcp 443/udp;
Telnet(不安全的文本传送),默认端口号为23/tcp(木马Tiny Telnet Server所开放的端口);
FTP,默认的端口号为21/tcp(木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口);
TFTP(Trivial File Transfer Protocol ),默认的端口号为69/udp;
SSH(安全登录)、SCP(文件传输)、端口重定向,默认的端口号为22/tcp;
SMTP Simple Mail Transfer Protocol (E-mail),默认的端口号为25/tcp(木马Antigen、Email Paword Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口);
POP3 Post Office Protocol (E-mail) ,默认的端口号为110/tcp;
WebLogic,默认的端口号为7001;
Webshpere应用程序,默认的端口号为9080;
webshpere管理工具,默认的端口号为9090;
JBOSS,默认的端口号为8080;
TOMCAT,默认的端口号为8080; WIN2003远程登陆,默认的端口号为3389;
Symantec AV/Filter for MSE ,默认端口号为 8081;
Oracle 数据库,默认的端口号为1521;
ORACLE EMCTL,默认的端口号为1158;
Oracle XDB( XML 数据库),默认的端口号为8080;
Oracle XDB FTP服务,默认的端口号为2100;
MS SQL*SERVER数据库server,默认的端口号为1433/tcp 1433/udp;
MS SQL*SERVER数据库monitor,默认的端口号为1434/tcp 1434/udp;
QQ,默认的端口号为1080/udp.
(注:本数据收集于中国黑客联盟)
推荐第7篇:协议号与端口号区别
协议号与端口号区别
协议号和端口号的区别
网络层-数据包的包格式里面有个很重要的字段叫做协议号。比如在传输层如果是tcp连接,那么在网络层ip包里面的协议号就将会有个值是6,如果是udp的话那个值就是17-----传输层 传输层--通过接口关联(端口的字段叫做端口)---应用层,详见RFC 1700
协议号是存在于IP数据报的首部的20字节的固定部分,占有8bit.该字段是指出此数据报所携带的是数据是使用何种协议,以便目的主机的IP层知道将数据部分上交给哪个处理过程。也就是协议字段告诉IP层应当如何交付数据。
而端口,则是运输层服务访问点TSAP,端口的作用是让应用层的各种应用进程都能将其数据通过端口向下交付给运输层,以及让运输层知道应当将其报文段中的数据向上通过端口交付给应用层的进程。 端口号存在于UDP和TCP报文的首部,而IP数据报则是将UDP或者TCP报文做为其数据部分,再加上IP数据报首部,封装成IP数据报。而协议号则是存在这个IP数据报的首部.
比方来说:
端口你在网络上冲浪,别人和你聊天,你发电子邮件,必须要有共同的协议,这个协议就是TCP/IP协议,任何网络软件的通讯都基于TCP/IP协议。如果把互联网比作公路网,电脑就是路边的房屋,房屋要有门你才可以进出,TCP/IP协议规定,电脑可以有256乘以256扇门,即从0到65535号“门”,TCP/IP协议把它叫作“端口”。当你发电子邮件的时候,E-mail软件把信件送到了邮件服务器的25号端口,当你收信的时候,E-mail软件是从邮件服务器的110号端口这扇门进去取信的,你现在看到的我写的东西,是进入服务器的80端口。新安装好的
个人电脑打开的端口号是139端口,你上网的时候,就是通过这个端口与外界联系的。关于端口,再做一些补充
现在假设我们有一台服务器,别人可以用一种tcp/ip协议的一种如ftp登录上我们的机器上进行文件的上传下载,但是同时我们又希望别人能够浏览我们的web服务器,如果要是没有端口,那末很显然,我们无法区分这两种不同的服务,同时客户端也无法区分我们给他提供了那种服务。我们现在采用端口来解决这个问题,在使用tcp/ip协议在主机上建立服务之前,我们必须制定端口,指定端口号将表示运行的是那种服务。
比如,客户端发送一个数据包给ip,然后ip将进来的数据发送给传输协议(tcp或者udp),然后传输协议再根据数据包的第一个报头中的协议号和端口号来决定将此数据包给哪个应用程序(也叫网络服务)。也就是说,协议号+端口号唯一的确定了接收数据包的网络进程。由于标志数据发送进程的\'源端口号\'和标志数据接受进程的\'目的端口号\'都包含在每个tcp段和udp段的第一个分组中,系统可以知道到底是哪个客户应用程序同哪个服务器应用程序在通讯,而不会将数据发送到别的进程中
推荐第8篇:FTP端口号20和21
个主动模式的FTP连接建立要遵循以下步骤:
客户端打开一个随机的端口(端口号大于1024,在这里,我们称它为x),同时一个FTP进程连接至服务器的21号命令端口。此时,源端口为随机端口x,在客户端,远程端口为21,在服务器。
客户端开始监听端口(x+1),同时向服务器发送一个端口命令(通过服务器的21号命令端口),此命令告诉服务器客户端正在监听的端口号并且已准备好从此端口接收数据。这个端口就是我们所知的数据端口。
服务器打开20号源端口并且建立和客户端数据端口的连接。此时,源端口为20,远程数据端口为(x+1)。
客户端通过本地的数据端口建立一个和服务器20号端口的连接,然后向服务器发送一个应答,告诉服务器它已经建立好了一个连接。
摘自百度百科
推荐第9篇:vpn使用说明资料
VPN使用手册
- i第一章 Forticlient安装及使用说明
安装前注意事项:
IE版本需要升级到8.0以上。
如果安装了360安全卫士等防护软件,请及时卸载,安装 公司指定杀毒防护软件。
一、软件安装说明
下面以win7操作系统64位安装程序为例介绍一些安装过程。
(1)右键单击64位版.exe应用程序,在下拉菜单中点击‘以管理员身份运行’,在用户账户控制界面弹框中点击‘是’,进入FortiClient安装向导,阅读过许可协议后,点击‘yes,I have read and accept the …’前面的方框,然后点击‘Next’。
注:win XP系统直接双击安装程序即可。
(2)设置安装路径:安装路径选择默认目标文件夹即可,点击‘Next’继续。
(3)进入下一对话框,点击‘Install’。
(4)进入安装界面。
3
(5)安装完成后,点击‘Finish’。之后在桌面右下角会出现绿色小盾牌图标
。
二、登录前提准备
该软件默认将OA-VPN(tj-chinamobile)的连接站点内置在程序中。使用该应用程序前需进行如下操作。
Win7以上操作系统的用户,需要以管理员身份运行VPN。右键点击桌面上创建的快捷方式,在弹出的菜单中点击‘属性’。
进入Forticlient属性对话框,点击‘兼容性’,在特权等级那一项,点击‘以管理员身份运行此程序’,之后点击‘确定’。
三、BOSS-VPN的配置说明
新安装的VPN没有BOSS连接站点,用户需手动自行添加配置信息。 (1)双击状态栏右下角的tj-chinamobile右侧的小齿轮图标
图标,进入登录页面,点击第一栏,在下拉列表中点击‘建立新连接’。
(2)进入新建VPN连接页面。选择连接类型‘IPsec VPN’,在该页面下填写如下信息。
连接名:bovpn; 远程网关:211.103.90.132; 验证方式:共享密钥123456。 信息填写完后,点击‘高级设置’。
7 (3)在高级设置里,点击‘Phase 1’,点击‘Deed Peer检测’,将前面的勾去掉。
(4)继续在高级设置里,点击‘Phase 2’,点击‘自动保活’,将前面的方框打勾。
之后依次点击【应用】【关闭】即可。
四、登录VPN OA-VPN(tj-chinamobile)用于登录OA,BI等系统,OA访问页面的地址为http://emis.tj.cmcc;BOSS-VPN (bovpn)用于登录BOSS/CRM,ESOP等系统,BOSS访问页面的地址为http://internet.tj.cmcc。
OA-VPN和BOSS-VPN切换方式如下。在登录页面,点击第一栏的连接站点名,在弹出的下拉列表中选择要连接的站点即可。
下面以OA-VPN为例介绍VPN登录。 (1)双击状态栏右下角的
图标,进入登录页面,第一栏连接站点默认选择tj-chinamobile,及OA-VPN。
登录OA-VPN:输入4A账号(即checkpoint-VPN的用户名@sms之前的部分,bovpn的用户名是@bo之前的部分)和对应的密码,点击‘连接’。
(2)等待连接,之后页面自动跳转到手机短信验证界面。输入短信‘天津移动统一用户认证管理平台一次性密码’中的7位数字,点击‘确定’。
(3)连接成功后,窗口自动最小化出现在右下角状态栏中,图标变为。双击图标打开客户端,可以查看连接状态。VPN若掉线,状态栏右下角提示‘IPSec
10 VPN连接终止’;若要手动中断连接,点击‘中断连接’。
退出FortiClient 右键点击盾牌图标
,在弹出的菜单中选择‘关闭 FortiClient’。
win7系统会出现‘用户账户控制’弹框,点击‘是’即可彻底退出客户端。
第二章 Forticlient常见问题汇总
使用中常见的三类问题:
一.连接VPN之后, BOSS页面无法正常访问
Q1: 访问BOSS页面跳转到无线城市等导航页面
A1: DNS解析异常,请使用地址http://10.143.6.99访问。 二. IE浏览器的相关问题
Q2: IE浏览器升级到IE8后,CRM无法打印发票 A2:该问题常见于营业厅缴话费打印发票。
解放方法:IE浏览器升级后,在CRM缴费页面点击打印发票,浏览器菜单栏下方会出现一个加载printer 控件的提示条,点击该提示加载控件即可。
Q3: IE 浏览器升级到IE8后,CRM工单页面无法正常显示
CRM无法正常打开工单,或出现的提示框的【确定】和【取消】没有高亮显示,呈灰色。
A3:停留在要打开的页面,点击浏览器菜单栏的【工具】选项,在下拉菜单中选择‘兼容性视图设置’,在兼容性视图设置对话框中,在添加此网站该栏可以看到要打开页面的网址,之后点击‘添加’。 三. 登录VPN时输入4A账号后报用户资料错误
Q4: 在登录页面,输入4A账号和对应的密码,点击‘连接’后,报‘用户资料错误’
A4:出现该问题有以下三类原因
原因一:没有VPN权限。如果没有该权限,需在OA 起草中心提‘4A账号管理流程’的单子。
确定有VPN权限后,请看原因二。
原因二:4A账号对应的密码错误。内网环境下IE浏览器中输入地址http://www.tj.cmcc/,在登录界面点击‘忘记密码’,进行密码的修改。
密码确定正确后,请看原因三。
原因三:超过3个月不使用4A账号,该账号会自动锁定。在浏览器中输入
12 地址http://www.tj.cmcc/,输入4A账号和用户名,如果锁定的话,登陆后,会出现自动解锁按钮,用户自行解锁即可。
四. 登录VPN时输入手机验证码后报VPN连接失败
Q5: 在登录页面,输入4A账号和对应的密码,点击‘连接’后进入手机短信验证界面,输入动态验证码,点击‘确定’后报‘VPN连接失败’。如下图所示。
A5:该问题的原因是连接超时。
输入4A账号和密码,点击连接后,手机会收到短信验证码,迅速输入该验证码,点击确定。如果长时间未输入,就会超时报错。
推荐第10篇:VPN实验总结
网络上关于vpn的原理的文章很多,这里就不再罗嗦了。 下面是我最近做vpn实验的小结:
(一)vpn acce server的配置 实验网络拓扑:
pc(vpn client 4.01)---switch---router1720 (vpn acce server) pc配置: ip:10.130.23.242/28 gw:10.130.23.246 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 步骤:
1、配置isakmp policy: crypto isakmp policy 1 encr 3des authen pre-share group 2
2、配置vpn client地址池
cry isa client conf addre-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
cry isa client conf group vclient-group ####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。 key vclient-key ####vclient-key就是在vpn client的连接配置中需要输入的group authentication paword。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1 set transform-set vclient-tfs ####和第四步对应
6、配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map ####使用第五步配置的map模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization cry map vpnmap client conf addre respond ####响应client分配地址的请求
7、配置静态路由
ip route 192.168.1.0 255.255.255.0 fastethernet0 说明几点: (1)因为1720只有一个fastethernet口,所以用router1720上的lo0地址来模拟router内部网络。
(2)vpn client使用的ip pool地址不能与router内部网络ip地址重叠。 (3)10.130.23.0网段模拟公网地址,172.16.1.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。 (4)没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。 (5)关于split tunnel。配置方法:首先,设置acce 133 permit ip 172.16.1.0 0.0.0.255 any,允许1720本地网络数据通过tunnel,然后在第三步骤中添加一个参数:acl 133。 1720的完整配置:
VPN1720#sh run Building configuration...Current configuration : 1321 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service paword-encryption ! hostname VPN1720 ! enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ! ! no ip domain-lookup ! ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration addre-pool local pool192 ! crypto isakmp client configuration group vclient-group key vclient-key domain test.com pool pool192 ! ! crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac ! crypto dynamic-map template-map 1 set transform-set vclient-tfs ! ! crypto map vpnmap isakmp authorization list vclient-group crypto map vpnmap client configuration addre respond crypto map vpnmap 1 ipsec-isakmp dynamic template-map ! ! ! ! interface Loopback0 ip addre 172.16.1.1 255.255.255.240 ! interface FastEthernet0 ip addre 10.130.23.246 255.255.255.240 speed auto crypto map vpnmap ! interface Serial0 no ip addre shutdown ! ip local pool pool192 192.168.1.1 192.168.1.254 ip clale ip route 192.168.1.0 255.255.255.0 FastEthernet0 no ip http server ip pim bidir-enable ! ! ! ! line con 0 line aux 0 line vty 0 4 ! no scheduler allocate end VPN Client 4.01的配置:
新建一个connection entry,参数中name任意起一个,host填入vpn acce server的f0地址
10.130.23.246,
group auahentication中name填vclient-group,paword填vclient-key.测试:
(1)在pc上运行VPN client,连接vpn acce server。 (2)ipconfig/all,查看获取到的ip地址与其他参数。 (3)在router,show cry isa sa,看连接是否成功。
(4)从router,ping client已经获取到的ip地址,通过。
(5)从client,ping router的lo0配置的地址172.16.1.1,通过。
(6)查看vpn client软件的status--statistics,可以看到加密与解密的数据量。
(7)1720上show cry ip sa, 也可以查看加密与解密的数据量。
常用调试命令: show cry isakmp sa show cry ipsec sa clear cry sa clear cry isakmp debug cry isakmp #####这是最常用的debug命令,vpn连接的基本错误都可以用它来找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
实验网络拓扑:
router3662(vpn client)---switch---router1720 (vpn acce server) pc (vpn client 4.01)------| 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 pc配置: ip:10.130.23.242/28 gw:10.130.23.246 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios味c3660-jk9o3s-mz.123-1a.bin 步骤:
1、配置1720路由器,参照实验一,设置为vpn server。
2、配置3662路由器,设置vpn client参数
cry ip client ezvpn vclient ####定义crypto-ezvpn name mode network-extension ####设置为网络扩展模式
group vclient-group key vclient-key ####设置登录vpn server的组名与组口令
peer 10.130.23.246 ####设置vpn server的ip地址,如果启用dns,则可以用hostname connect auto ####设置为自动连接。如果设为手动,则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。
local-addre F0/0 ####设置vpn通道本地地址,选用f0/0,可以保证vpn server找到它
3、定义加密数据入口,这里为f0/1 inter f0/1 cry ip client ezvpn vclient inside
4、定义加密数据出口,这里为连接vpn server的f0/0 inter f0/0 cry ip client ezvpn vclient outside
5、在1720上设置静态路由,地址范围为3662路由本地网络的地址 ip route 172.16.2.0 255.255.255.0 f0
6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。
service dhcp ####启动dhcp 服务
ip dhcp pool dhcppool ####定义dhcp pool name network 172.16.2.0 /24 ####定义可分配的IP地址段
default-router 172.16.2.1 ####定义dhcp client的默认网关 lease 1 0 0 ####设置ip保留时间
import all ####如果配置了上级dhcp,server,则接受其所有参数 ip dhcp excluded-addre 172.16.2.1 ####将router上的地址排除
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据没有进行加密。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以发现数据不通过加密。 (6)启动pc vpn client,ping 172.16.1.1,通过。在1720上查看show cry ip sa,可以看到数据通过加密进行传输。
(7)在pc vpn client,ping 172.16.2.1,通过。在1720和3662上查看show cry ip sa,可以看到数据通过加密进行传输。在1720上show cry isa sa,可以看到两个vpn连接。
(8)在3660上扩展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client获得的ip),通过。查看show cry ip sa,可以发现数据通过加密进行传输。
说明:
(1)不同平台,不同ios版本,easy vpn client的配置有所不同。特别是加密数据入出接口的配置,配置接口前后,用show cry ip client ezvpn来查看与验证。
(2)network-extension模式,vpn client端本地ip不通过nat/pat进行数据传输。
(3)以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验
(一),设置acl 133和cry isa client conf group中的参数,完成后,可以实现测试(1)-(5)。要实现Pc vpn client和3662 vpn client 互通,即测试(6)-(8),还要在1720 的acl 133中添加两条,分别是acce 133 permit ip 192.168.1.0 0.0.0.255 any、acce 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要复位vpn通道,才可以起作用。在pc端,是通过disconnect再connect来实现;在3662上,通过clear cry ip client ezvpn来复位。
常用调试命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa
(三)easy vpn client的配置(client mode)
实验网络拓扑同实验
(二) 实验步骤参考实验
(二),其中第二步,将mode network-extension改为mode client。
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,不通。这是因为3662端ip数据流是通过nat进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。在1720上打开deb ip icmp,可以看到echo reply信息的dst地址为192.168.1.19(vpn client 从vpn server获取的ip地址)。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。
说明:
(1)client 模式,vpn client端内部网络采用nat方式与vpn server进行通信,vpn client端网络可以访问server端网络资源,server端网络不能访问client端内部网络资源。
(2)client与network-extension两种模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置与数据流量。
(4)关于split tunnel,client模式的easy vpn client,与pc的vpn client类似,配置split tunnel的方法也相同。 常用调试命令:
show cry ip client ezvpn clear cry ip client ezvpn deb cry ip client ezvpn show cry ip sa deb cry isa show cry isa sa show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
实验网络拓扑: router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。 ip route 172.16.2.0 255.255.255.0 10.130.23.244 (2)定义加密数据的acl acce 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 (3)定义isakmp policy cry isa policy 1 authentication pre-share ####采用pre-share key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。 (4)定义pre-share key cry isa key pre-share-key addre 10.130.23.244 ####其中pre-share-key 为key,两个路由器上要一样 ####其中10.130.23.244为peer路由器的ip地址。 (5)定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name,后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值,此配置可选 (6)定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match addre 144 ####定义进行加密传输的数据,与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应
####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer (7)将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map (8)同样方法配置3662路由器。 1720的完整配置: VPN1720#sh run Building configuration...Current configuration : 1217 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service paword-encryption ! hostname VPN1720 ! logging buffered 4096 debugging no logging rate-limit enable paword CISCO ! username vclient1 paword 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ! ! ip domain-name fjbf.com ! ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key pre-share-key addre 10.130.23.244 ! ! crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ! crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match addre 144 ! ! ! ! interface Loopback0 ip addre 172.16.1.1 255.255.255.0 ! interface FastEthernet0 ip addre 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map ! interface Serial0 no ip addre encapsulation ppp no keepalive no fair-queue ! ip clale ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable ! ! acce-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 ! ! line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login ! end 测试:
(1)未将map应用到接口之前,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。
(2)map应用到接口之后,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。
查看show cry ip sa,可以看到数据没有通过vpn 通道进行传输,因为不符合acl 144。 (3)map应用到接口之后,在1720,扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据通过vpn 通道进行传输。
(4)在3662上同样进行测试。
说明:
(1)采用pre-share方式加密数据,配置简单,数据传输效率较高,但是安全性不高。
(2)加密数据前后,通过ping大包的方式测试,可以发现这种利用软件进行数据加密的方式,延时较大。如果需要开展voip、ip 视讯会议等业务,建议选配vpn模块进行硬件加密。
常用调试命令: show cry isa sa show cry ip sa show cry engine configuration show cry engine connections active show cry engine connections flow deb cry isa deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
实验网络拓扑:
router3662---switch---router1720 3662接口ip: f0/0:10.130.23.244/28 f0/1:172.16.2.1/24 1720接口ip:
f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin 3662的ios为c3660-jk9o3s-mz.123-1a.bin 步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。 ip route 172.16.2.0 255.255.255.0 10.130.23.244 (2)定义加密数据的acl acce 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 (3)生成rsa key cry key generate rsa general-keys ####生成General Purpose rsa Key 或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key 这里 统一用general purpose key (4)复制peer router的public key到本地router中 (A)在3662上生成general purpose key (B)在3662上show cry key mypubkey rsa,复制其中的General Purpose Key (C)在1720上,cry key pubkey-chain rsa ####设置public key addreed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key key-string ####定义key串
粘贴从3662上复制的General Purpose Key #####如果第三步生成了两种key,则这里复制粘贴的,应该是Encryption Key(三个key中的第二个) (5)定义isakmp policy cry isa policy 1 authentication rsa-encr ####采用rsa Encryption key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。 (6)定义transform-set cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ####其中vpn-tfs为transform-set name,后面两项为加密传输的算法 mode transport/tunnel #####tunnel为默认值,此配置可选 (7)定义crypto map entry cry map vpn-map 10 ipsec-isakmp ####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match addre 144 ####定义进行加密传输的数据,与第二步对应 set peer 10.130.23.244 ####定义peer路由器的ip set transform-set vpn-tfs ####与第五步对应
####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer;同样,pubkey 也要对应进行设置。
(7)将crypto map应用到接口上 inter f0 #####vpn通道入口 cry map vpn-map (8)同样方法配置3662路由器。
1720完整配置:
VPN1720#sh run Building configuration...Current configuration : 1490 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service paword-encryption ! hostname VPN1720 ! logging buffered 4096 debugging no logging rate-limit enable paword CISCO ! username vclient1 paword 0 vclient1 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ! ! ip domain-name fjbf.com ! ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 1 encr 3des authentication rsa-encr group 2 ! ! crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac ! crypto key pubkey-chain rsa addreed-key 10.130.23.244 addre 10.130.23.244 key-string 305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102 DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001 quit ! crypto map vpn-map 10 ipsec-isakmp set peer 10.130.23.244 set transform-set vpn-tfs match addre 144 ! ! ! ! interface Loopback0 ip addre 172.16.1.1 255.255.255.0 ! interface FastEthernet0 ip addre 10.130.23.246 255.255.255.240 speed auto crypto map vpn-map ! interface Serial0 no ip addre encapsulation ppp no keepalive no fair-queue ! ip clale ip route 172.16.2.0 255.255.255.0 10.130.23.244 no ip http server ip pim bidir-enable ! ! acce-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 ! ! line con 0 exec-timeout 0 0 speed 115200 line aux 0 line vty 0 4 login ! end
说明:
(1)采用rsa encrypted方式加密传输数据,默认key长度为512字节,最高可设为2048字节。安全性能较高。
(2)100M双工交换网络中,在双向同时ping 15000字节的大包进行测试时,1720的cpu使用率一度高达90%左右,3662的使用率约为25%,两台路由器内存使用率则变化不大。可见用rsa encrypted方式加密,对低端路由器的cpu性能影响很大。 常用调试命令: show cry ip sa show cry isa sa deb cry isa deb cry ip clear cry isa clear cry sa
第11篇:VPN故障解决办法
Q:VPDN拨号时提示619错误,指定端口没有连接?
A:如果是通过局域网或者通过路由器上网的用户,请网管在服务器上打开一个端口(1723,1701,7001,8001,以上端口任选一个)。
Q:VPDN拨号时提示678错误,远程计算机没响应?
A:(1)VPN服务器IP地址出错,IP地址应为61.177.114.38
(2)打开“网上邻居”,在新建立的虚拟连接(国税网上申报)图标上右键点击,选择“属性”,在“网络”选项中的VPN类型选择“L2TP”。
Q:VPDN拨号时提示691错误,因为用户名和/或密码在此域上无效,所以访问被拒绝? A:检查拨号连接时的用户名和密码输入是否正确。如果正确,要确认是否已经开通VPDN或帐号已到期。用户名为税号,密码为“报税E通”业务客户登记表上填写的密码(一般为税号后6位数字)。
Q:VPDN拨号时提示733错误?
A:打开“网上邻居”,右键点击“本地连接”,选择“属性”,以下四项:“Microsoft网络客户端”,“Microsoft网络的文件和打印机共享”,“Internet协议(Tcp/Ip)”,“PPPOE”前面打勾,其它的项目前面如果有勾,全部都去除。
Q:VPDN拨号时提示741错误,本地计算机不支持所要求的加密类型?
A:在新建立的虚拟连接(国税网上申报)图标上右键点击,选择“属性”,在“安全”选项中,把“要求数据加密(没有就断开)”前面的勾去掉。
Q:VPDN拨号时提示800错误,不能建立连接?
A:(1) 关闭或退出防火墙和杀毒软件。
(2) 2000,20003和XP系统,请登录国税局网站,下载安装“无锡国税VPDN网上申报系统客户端软件for 2000 xp 2003”,具体的安装步骤请见以下使用说明。
第12篇:vpn学习小结
VPN学习小结
1.VPN概述
随着通信基础设施建设和互联网络技术的飞速发展,各行各业纷纷借助互联网络技术来加快信息的流动速度,提升企业的综合竞争力。VPN 技术,就是一种目前业界主流的解决异地网络安全互连的加密通信协议。
VPN是Virtual Private Network (虚拟专用网络)的简称,指综合利用封装技术、加密技术,密钥交换技术、PKI技术,可以在公用的互联网络上,建立安全虚拟专用网络。
VPN 是一个被加密或封装的通信过程,该过程把数据安全地从一端传送到另一端,这里数据的安全性由可靠的加密技术来保障,而数据是在一个开放的、有安全保障的互联网上传输的。VPN 技术能够有效保证信息安全传输中的性”、“完整性”和“不可抵赖性”。
实际上,VPN是一种依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在VPN服务中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。用户不再需要拥有成本极高的长途数据线路,用Internet公众数据网络的长途数据线路,为自己制定一个最符合自己需求的网络,从而实现企业内部多个分支机构之间的数据通信、Voip电话、视频会议等多种业务。
包没“机密而是使
2.VPN主要技术
目前市场上多种 VPN技术并存,主要有以下几种:
PPTP/L2TP:属于上世纪末的技术,实现比较便捷,集成在 Windows 操作系统之中,使用方便。但技术过于简单,加密算法和协议的安全性以及性能吞吐率都很低,并发接入数目较低,属于非主流的VPN 技术,基本已被淘汰。
MPLS VPN:在IP路由和控制协议的基础上提供面向连接(基于标记)的交换。MPLS VPN需要公共IP网内部的所有相关路由器都能够支持 MPLS,所以这种技术对网络有较为特殊的要求。特别需要强调的是MPLS VPN的实施必须由运营商进行。MPLS VPN适用于对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。MPLS VPN的用户,需要通过光纤或者以太网接口FR(EDSL)专线接入电信骨干网络,MPLS VPN服务给企业提供高带宽的二层透明通路,企业可以自定义规划其网络结构和地址。
IPSec VPN:目前市场主流 VPN技术,由于 IPSec是在 IP 层进行加密和封装,所以在性能表现强劲的同时,又能支持各种基于 IP 协议的网络应用,是国际上公认的 IP 层 VPN技术标准。IPSec VPN 安全性好,对 IP 应用透明,性能高,灵活稳定,易于扩展,互通性强;适合网间互连(Site To Site)和客户端接入互连(Client To Site)。但是,局限性主要在于在Client To Site的通讯模式下,移动用户需要安装专门的VPN客户端软件,增添了使用和维护的复杂程度。
SSL VPN:专用于解决客户端接入互连(Client To Site)的传输层VPN技术。移动用户不需要安装VPN客户端软件,而使用WEB浏览器作为登陆方式。SSL VPN安全性好,使用灵活,不受网络接入环境的限制,对应用的控制粒度更细。但其局限性是:对许多 C/S应用的支持能力较差,性能相对较低;并且不能满足网间互连(Site To Site)的VPN连接需求,设备价格高昂,且SSL VPN 网关自身抗攻击能力差,需要额外的防火墙或安全网关等防护设备的保护。
3.VPN产品分类
根据产品应用对象,VPN产品分为:
中小型企业VPN:百兆接口、嵌入式处理器 大中型企业VPN:百兆接口、嵌入式处理器
大型企业VPN:千兆接口、X86架构处理器、集成加密卡
面向骨干网络和超大型企业VPN:千兆+光纤接口、至强处理器、集成加密卡
根据产品采用的技术,VPN产品分为: MPLS VPN IPSec VPN SSL VPN IPSec/SSL VPN
4.VPN产品主要功能
4.1.VPN产品通用功能
SSL VPN的关键技术包括:Web代理、端口转发、应用转换、网络连接(Network Connection, NC),目前大部分的SSL VPN产品,都是以这几项技术的一项或几项为基础研发实现的。那么,对国产SSL VPN产品而言,哪些技术尤其重要呢? 首先是Web代理技术。由于用户需要访问内网的Web应用,而且希望访问方式尽量简便,而只有具备Web代理技术,SSL VPN产品才能做到100%零客户端,才能为用户提供最简便的接入方式,因此, Web代理技术对国产SSL VPN产品而言是一项必须技术,也是SSL VPN产品是否专业的重要标准之一。
除了Web代理技术,端口转发技术的重要性也不容小觑。除了要访问除Web应用外,用户还需要经常访问组织内部的C/S架构应用,例如邮件、FTP、文件共享、数据库、ERP等,这时,SSL VPN产品采用端口转发技术实现对C/S应用的处理,是再合适不过的了。
至于应用转换技术,目前国内用户需求并不迫切。由于SSL VPN产品需要把FTP、Email,SSH等应用以Web的形式重新实现,实现起来比较复杂,还可能存在提供的功能不够完整,界面不够友好,不太符合用户的操作习惯以及控件引用是不合法等一系列问题。从另一个角度来看,用户在没有使用SSL VPN之前,都已经习惯通过相应的客户端软件对C/S应用进行访问,在使用SSL VPN后,仍然希望通过使用原来的客户端软件访问内部的各种C/S应用。由此看来,应用转换技术并不十分适应于国内的用户,也并非是国产SSL VPN产品的必须功能。
最后再看NC技术,由于NC技术可以实现SSL VPN与应用无关的特性,因此客户端通过SSL VPN访问内部整个子网的需求仍然存在。然而,在使用该功能时,需要给客户端配置虚拟IP地址,这样一来,就会遇到地址规划上的一些问题,在配置和使用上也比较复杂。目前,国内已经有SSL VPN厂商注意到这个问题,为了更好地满足用户对易用性的要求,采用了一种“网络层代理”技术,客户端通过SSL VPN产品访问内部整个子网时,不需要借助虚拟IP地址,也不需要改变内网服务器网关指向,有效地解决了NC功能配置和使用复杂的难题。但目前,“网络层代理”技术还存在一个问题,即无法处理TCP连接由内向外发起的应用,无法做到“与应用无关”。如果有SSL VPN产品能够同时具备NC和网络代理功能,将会受到更多国内用户的青睐。
以上列举的只是SSL VPN产品的几项主要技术,为了更好地满足国内用户的需求,SSL VPN产品还必须在功能上进一步贴近需求,不断丰富,主要包括:
丰富的认证方式:国内用户类型众多,对认证方式和安全性要求也不尽相同。除了基本的本地口令外,动态口令、短信口令、口令+动态附加密、证书+USBKEY、口令+证书+USBKEY等多因素认证方式也越来越常见,成为对SSL VPN产品的基本要求。此外,随着CA体系在中国不断健全,越来越多的用户从专业的CA企业购买服务,因此国产SSL VPN产品能否很好地与标准第三方CA系统兼容,能否提供标准OSCP、CRL等证书校验接口,在一定程度上决定了该产品能否应用到用户现有环境中。
线路优化:国内用户常常向不同的ISP申请了多个公网IP提供服务。如果SSL VPN产品能够利用多个网口通过多个公网IP对外提供接入访问,并可以根据接入客户端的ISP来源选择最佳路径,那么将可以大大提高访问效率,更好地适应国内的网络环境。
单点登录:在用户的内网中,OA系统通常都带认证功能,使用者需要提交用户名及口令才可登录。加上SSL VPN后,用户就首先要登录SSL VPN,然后再次提交认证信息登录OA,导致重复认证过程。为了简化登陆程序,SSL VPN产品应该能记录用户登录SSL VPN时的认证信息,在用户访问OA时,代替用户提交认证,用户不需要再次输入用户名和口令就可打开登录成功后的页面。
端点安全:安装SSL VPN产品后,端点安全也是不得不考虑的重要方面。是否允许所有PC都接入SSL VPN,在连接SSL VPN隧道后是否允许访问互联网,在SSL VPN客户端注销后,访问痕迹是否应该清理,都是SSL VPN需要重点考虑的几个安全问题。目前,国内很多SSL VPN产品也都有应对措施。在客户端主机接入之前,先检测终端主机上是否具备管理员要求的某些特征,如操作系统版本、IE浏览器版本、是否运行了杀毒软件等等,如果不满足安全策略,则拒绝连接。在建立隧道后,SSL VPN产品还可以禁止客户端主机访问隧道以外的网络以确保隧道安全;在终端用户注销后,还会自动清除此次的访问痕迹,确保信息不被泄漏。此外,如果产品能实现帐号和客户端主机特征绑定以及防伪造功能等,将可以进一步提高客户端的端点安全性。
应用层防御:SSL VPN产品是以应用为核心的安全接入产品,因此应用层的安全防御必不可少。目前,防SQL注入,防跨站脚本和防非法URL访问等功能已经出现在一些国内品牌发上限控制功能,保障了应用服务系统。安全审计:而言,SSL VPN哪个用户、在什么时间,在什么地理位置通过哪个什么服务,访问了哪些条件(如时间范围、浏览和下载。4.2.安达通4.2.1.特色功能 IPSec over HTTPS/HTTP 隧道接力技术 虚地址互联技术 自动路由技术 多播隧道技术 准入控制技术 动态口令短信认证技术4.2.2.负载均衡功能 智能均衡上网技术SSL VPN产品上。甚至有厂商还提供了基于账号的最大并有效防止了一个账号恶意产生大量连接的DoS攻击行为,有效
SSL VPN产品相对传统VPN的优势之一就是审计更加详细。相比IP地址。在日志中应该可以记录ISP登录了SSL VPN,访问了Web页面等等。另外,SSL VPN产品还应该提供基于各种关键字等)的查询功能,甚至可以根据时间范围生成报表提供VPN产品主要功能
技术
产品更关注账号而不仅仅只是 VPN多点接入和均衡技术 VPN链路备份技术
4.2.3.VPN 移动接入加速系统功能 4.2.4.防火墙功能
网络地址转换(NAT)技术 状态检测防火墙技术 HTTP 检测技术 IP-MAC地址绑定技术 内网用户认证技术 IDS联动技术
4.2.5.其他功能
双机热备 流量控制 路由支持 配置和升级管理 日志管理
5.VPN典型应用
5.1.单臂连接模式
“单臂连接”模式是用户已有防火墙等设备时安达通首推的部署方式。“单臂连接”模式指的是安全网关只接一个口到内网交换机中,另外一个口不接线,即把安全网关设备当作一台服务器或主机,专门处理 VPN 报文的加解密。从实现技术上而言,单臂连接结合了串行连接和并行连接两者的优势,实现了部署和性能的最优化。 在实施时,需要在防火墙(路由器)上为安全网关做静态端口映射(静态 NAPT),同时也需要在防火墙(路由器)上添加静态路由来解决要通过VPN的数据包正确流向的问题。
结合”自动路由”技术,单臂连接方式能在对用户环境最小改动的前提下部署 VPN,大大增加了VPN设备对网络环境的适应能力 。
单臂连接实际案例配置示意图如下所示:
上图示例中总部局域网利用一台防火墙通过光纤接入互联网,防火墙外口 IP 地址为218.1.1.1,内口IP 地址为192.168.1.1,现仅将安全网关的LAN 口接到内网交换机。安全网关工作在路由模式下,LAN口IP 地址 192.168.1.254,WAN口任意设置一个 IP 地址,比如为 1.1.1.1,总部内网只有一个子网 192.168.1.0/24。该单位有一异地分部,采用 ADSL 接入互联网,并使用 SJW74A 安全网关作为接入设备,内网也只有一个子网为 192.168.2.0/24。通过这样的部署,可实现该分部与总部子网的 VPN 互连。同时还可实现移动客户端的远程接入(如上图),客户端的私有 IP 地址为172.16.1.1-10。
5.2.路由模式
“路由模式”是指VPN网关内外网接口路由不同,网关本身要作为路由器或NAT 转换设备,实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。 通过使用安达通自带的初始化向导工具可以非常简便的部署“路由模式”网关,典型部署示意如下图:
上图示例中,VPN 安全网关作为总部局域网的出口,对内提供上网服务,对外提供 VPN接入服务。内部 192.168.1.X 的 PC 用户默认网关指向 VPN 内网口 192.168.1.1,通过 NAT 映射访问公网和其他VPN子网。
5.3.透明模式
“透明模式”又称为“网桥模式”,是指安全网关接入在防火墙(路由器)与内网之间,透明转发除VPN报文之外所有数据的一种连接方式。
安达通 VPN 安全网关的“透明模式”主要分成链路层协议的学习功能,报文的接收和转发功能。对于透明模式下收到的报文,根据其目的 MAC地址可以分为,发往网关自身的报文、广播报文和发往其他的报文,由于透明模式仅仅对 VPN 报文进行加密,其他报文在出入端口上进行完整复制,所以保证了链路的透明性和 VPN的安全性。
以某商业银行网络的 VPN安全网关部署为例。所有的安达通安全网关均部署在防火墙/路由器之后,工作在“透明”模式下。安装这些安全网关设备的前后,原有网络系统:路由器、PC、Server 等没有调整过任何配置,就实现了各分行和总行之间数据传输加密 。“透明模式”部署的安达通 VPN 安全网关的 WAN 和 LAN 口 IP 是和本地内网同一网段的未被使用的IP 地址。如下图示意: 6.VPN与TPN是,可信专用网防护、VPN接入、全网行为管理、主机安全管理等组成。可信专用网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。企业对VPN分布在异地的局域网络进行互联。随着网络互联的进行,的基础设施。
这些基础设施,安全可信是最重要的。可信平台建设包括了边界、内网、主机、接入等部分。目前来看,企业可以用各种技术来确保这四部分成为有机整体。网技术TPN.TPN互联以后全网的可信任安全平台。目前来看,能:包括虚拟专网、防火墙、入侵检测、漏洞扫描、病毒防护、网络审计、身份认证、桌面安全等。网络边界防护力度不够、分支机构的统
一、垃圾邮件和病毒、越权访问密、非法接入TPN(Trusted 系统通过对“用户—角色—资源”的集中描述,因为信息的共享有网络互联的需求,
整个网络平台已经越来越成为企业以及政府单位运行VPN的主要区别,
TPN模型需要实现所有传统安全设备所提供的安全功而TPN应对的问题则包括了:实现“内网
客观上需要将从而产生/盗取机
TPN
Private Network)系统的简称,由边界
TPN都不会陌生,
而安达通在其中提供的就是可信专用与就在于融合了可信任的内网技术,一套完整的远程接入用户带进木马和病毒、/非法外联、补丁和病毒库的统一升级、以及聊天、游戏、下载等网络滥用。
第13篇:VPN 实验心得
VPN 实验心得
(一)vpn acce server的配置
实验网络拓扑:
pc(vpn client 4.01)---switch---router1720
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
步骤:
1、配置isakmp policy:
crypto isakmp policy 1
encr 3des
authen pre-share
group 2
2、配置vpn client地址池
cry isa client conf addre-pool local pool192
ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
vpn acce server)(
cry isa client conf group vclient-group
####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。
key vclient-key
####vclient-key就是在vpn client的连接配置中需要输入的group authentication paword。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set
cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1
set transform-set vclient-tfs ####和第四步对应
6、配置vpnmap
cry map vpnmap 1 ipsec-isakmp dynamic template-map
#### 使用第?*脚渲玫?map 模板
cry map vpnmap isakmp author list vclient-group ####使用第三步配置的参数authorization
cry map vpnmap client conf addre respond ####响应client分配地址的请求
7、配置静态路由
ip route 192.168.1.0 255.255.255.0 fastethernet0
说明几点:
(1)因为1720只有一个fastethernet口,所以用router1720上的lo0地址来模拟router内部网络。
(2)vpn client使用的ip pool地址不能与router内部网络ip地址重叠。
(3)10.130.23.0网段模拟公网地址,172.16.1.0网段用于1720内部地址,192.168.1.0网段用于vpn通道。
(4)没有找到设置vpn client获取的子网掩码的办法。看来是ios还不支持这个功能。
(5)关于split tunnel。配置方法:首先,设置acce 133 permit ip 172.16.1.0 0.0.0.255 any,允许1720本地网络数据通过tunnel,然后在第三步骤中添加一个参数:acl 133。
1720的完整配置:
VPN1720#sh run
Building configuration...
Current configuration : 1321 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service paword-encryption
!
hostname VPN1720
!
enable secret 5 $1$aNmA$b0AqzlCr3MfM5XU0IAmED.
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
!
no ip domain-lookup
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration addre-pool local pool192
!
crypto isakmp client configuration group vclient-group
key vclient-key
domain test.com
pool pool192
!
!
crypto ipsec transform-set vclient-tfs esp-3des esp-sha-hmac
!
crypto dynamic-map template-map 1
set transform-set vclient-tfs
!
!
crypto map vpnmap isakmp authorization list vclient-group
crypto map vpnmap client configuration addre respond
crypto map vpnmap 1 ipsec-isakmp dynamic template-map
!
!
!
!
interface Loopback0
ip addre 172.16.1.1 255.255.255.240
!
interface FastEthernet0
ip addre 10.130.23.246 255.255.255.240
speed auto
crypto map vpnmap
!
interface Serial0
no ip addre
shutdown
!
ip local pool pool192 192.168.1.1 192.168.1.254
ip clale
ip route 192.168.1.0 255.255.255.0 FastEthernet0
no ip http server
ip pim bidir-enable
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
no scheduler allocate
end
VPN Client 4.01的配置:
新建一个connection entry,参数中name任意起一个,host填入vpn acce server的f0地址10.130.23.246,
group auahentication中name填vclient-group,paword填vclient-key.
测试:
(1)在pc上运行VPN client,连接vpn acce server。
(2)ipconfig/all,查看获取到的ip地址与其他参数。
(3)在router,show cry isa sa,看连接是否成功。
(4)从router,ping client已经获取到的ip地址,通过。
(5)从client,ping router的lo0配置的地址172.16.1.1,通过。
(6)查看vpn client软件的status--statistics,可以看到加密与解密的数据量。
(7)1720上show cry ip sa, 也可以查看加密与解密的数据量。
常用调试睿?
show cry isakmp sa
show cry ipsec sa
clear cry sa
clear cry isakmp
debug cry isakmp #####这是最常用的debug命令,vpn连接的基本错误都可以用它来找到
debug cry ipsec
(二)easy vpn client的配置(network-extension mode)
实验网络拓扑:
router3662(vpn client)---switch---router1720 (vpn acce server)
pc (vpn client 4.01)------|
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
1、配置1720路由器,参照实验一,设置为vpn server。
2、配置3662路由器,设置vpn client参数
cry ip client ezvpn vclient ####定义crypto-ezvpn name
mode network-extension ####设置为网络扩展模式
group vclient-group key vclient-key ####设置登录vpn server的组名与组口令
peer 10.130.23.246 ####设置vpn server的ip地址,如果启用dns,则可以用hostname
connect auto ####设置为自动连接。如果设为手动,则必须使用cry ip client ezvpn connect vclient命令来启动vpn通道。
local-addre F0/0 ####设置vpn通道本地地址,选用f0/0,可以保证vpn server找到它
3、定义加密数据入口,这里为f0/1
inter f0/1
cry ip client ezvpn vclient inside
4、定义加密数据出口,这里为连接vpn server的f0/0
inter f0/0
cry ip client ezvpn vclient outside
5、在1720上设置静态路由,地址范围为3662路由本地网络的地址
ip route 172.16.2.0 255.255.255.0 f0
6、设置ip dhcp服务 ####cisco推荐使用dhcp来进行本地网络ip的分配。此步骤可选。
service dhcp ####启动dhcp 服务
ip dhcp pool dhcppool ####定义dhcp pool name
network 172.16.2.0 /24 ####定义可分配的IP地址段
default-router 172.16.2.1 ####定义dhcp client的默认网关
lease 1 0 0 ####设置ip保留时间
import all ####如果配置了上级dhcp,server,则接受其所有参数
ip dhcp excluded-addre 172.16.2.1 ####将router上的地址排除
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据没有进行加密。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。查看show cry ip sa,可以发现数据不通过加密。
(6)启动pc vpn client,ping 172.16.1.1,通过。在1720上查看show cry ip sa,可以看到数据通过加密进行传输。
(7)在pc vpn client,ping 172.16.2.1,通过。在1720和3662上查看show cry ip sa,可以看到数据通过加密进行传输。在1720上show cry isa sa,可以看到两个vpn连接。
(8)在3660上扩展ping,source 172.16.2.1 destination 192.168.1.10(pc vpn client获得的ip),通过。查看show cry ip sa,可以发现数据通过加密进行传输。
说明:
(1)不同平台,不同ios版本,easy vpn client的配置有所不同。特别是加密数据入出接口的配置,配置接口前后,用show cry ip client ezvpn来查看与验证。
(2)network-extension模式,vpn server和vpn client两端的内部网络之间可以通过ip地址互相访问。
(3)以上配置均没有启用split tunnel。设置split tunnel的方法:首先参考实验
(一),设置acl 133和cry isa client conf group中的参数,完成后,可以实现测试(1)-(5)。要实现Pc vpn client和3662 vpn client 互通,即测试(6)-(8),还要在1720 的acl 133中添加两条,分别是acce 133 permit ip 192.168.1.0 0.0.0.255 any、acce 133 permit ip 172.16.2.0 0.0.0.255 any。
(4)修改1720配置后,需要复位vpn通道,才可以起作用。在pc端,是通过disconnect再connect来实现;在3662上,通过clear cry ip client ezvpn来复位。
常用调试命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
(三)easy vpn client的配置(client mode)
实验网络拓扑同实验
(二)
实验步骤参考实验
(二),其中第二步,将mode network-extension改为mode client。
测试:
(1)配置好3662上的vpn client后,自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。
(2)在1720上扩展ping,source 10.130.23.246 destination 172.16.2.1,不通。
(3)在1720上扩展ping,source 172.16.1.1 destination 172.16.2.1,不通。这是因为3662端ip数据流是通过nat进行传输。
(4)在3660上扩展ping,source 172.16.2.1 destination 172.16.1.1,通过。查看show cry ip sa,可以发现数据通过加密进行传输。在1720上打开deb ip icmp,可以看到echo reply信息的dst地址为192.168.1.19(vpn client 从vpn server获取的ip地址)。
(5)在3660上扩展ping,source 10.130.23.244 destination 172.16.1.1,不通。
说明:
(1)client 模式,vpn client端内部网络采用nat方式与vpn server进行通信,vpn client端网络可以访问server端网络资源,server端网络不能访问client端内部网络资源。
(2)client与network-extension两种模式,show cry ip sa,可以看到local ident是不同的。
(3)client模式下,用show ip nat statistics,可以看到nat的配置与数据流量。
(4)关于split tunnel,client模式的easy vpn client,与pc的vpn client类似,配置split tunnel的方法也相同。
常用调试命令:
show cry ip client ezvpn
clear cry ip client ezvpn
deb cry ip client ezvpn
show cry ip sa
deb cry isa
show cry isa sa
show ip nat statistics
(四)site to site vpn的配置(采用pre-share)
实验网络拓扑:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定义加密数据的acl
acce 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)定义isakmp policy
cry isa policy 1
authentication pre-share ####采用pre-share key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
(4)定义pre-share key
cry isa key pre-share-key addre 10.130.23.244
####其中pre-share-key 为key,两个路由器上要一样
####其中10.130.23.244为peer路由器的ip地址。
(5)定义transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs为transform-set name,后面两项为加密传输的算法
mode transport/tunnel #####tunnel为默认值,此配置可选
(6)定义crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match addre 144 ####定义进行加密传输的数据,与第二步对应
set peer 10.130.23.244 ####定义peer路由器的ip
set transform-set vpn-tfs ####与第?*蕉杂?br />####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer
(7)将crypto map应用到接谏?br />inter f0 #####vpn通道入口
cry map vpn-map
(8)同样方法配置3662路由器。
1720的完整配置:
VPN1720#sh run
Building configuration...
Current configuration : 1217 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service paword-encryption
!
hostname VPN1720
!
logging buffered 4096 debugging
no logging rate-limit
enable paword CISCO
!
username vclient1 paword 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
!
ip domain-name fjbf.com
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key pre-share-key addre 10.130.23.244
!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match addre 144
!
!
!
!
interface Loopback0
ip addre 172.16.1.1 255.255.255.0
!
interface FastEthernet0
ip addre 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map
!
interface Serial0
no ip addre
encapsulation ppp
no keepalive
no fair-queue
!
ip clale
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable
!
!
acce-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login
!
end
测试:
(1)未将map应用到接口之前,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。
(2)map应用到接口之后,在1720,扩展ping,source 10.130.23.246 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据没有通过vpn 通道进行传输,因为不符合acl 144。
(3)map应用到接口之后,在1720,扩展ping,source 172.16.1.1 destination 172.16.2.1,通过。查看show cry ip sa,可以看到数据通过vpn 通道进行传输。
(4)在3662上同样进行测试。
说明:
(1)采用pre-share方式加密数据,配置简单,数据传输效率较高,但是安全性不高。
(2)加密数据前后,通过ping大包的方式测试,可以发现这种利用软件进行数据加密的方式,延时较大。如果需要开展voip、ip 视讯会议等业务,建议选配vpn模块进行硬件加密。
常用调试命令:
show cry isa sa
show cry ip sa
show cry engine configuration
show cry engine connections active
show cry engine connections flow
deb cry isa
deb cry ip
(五)site to site vpn的配置(采用rsa-encrypted)
实验网络拓扑:
router3662---switch---router1720
3662接口ip:
f0/0:10.130.23.244/28
f0/1:172.16.2.1/2
41720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
3662的ios为c3660-jk9o3s-mz.123-1a.bin
步骤:
以1720为例进行配置
(1)配置静态路由 ####在配置vpn之前,需要保证两方的网络可以互相访问。
ip route 172.16.2.0 255.255.255.0 10.130.23.244
(2)定义加密数据的acl
acce 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(3)生成rsa key
cry key generate rsa general-keys ####生成General Purpose rsa Key
或者 cry key generate rsa usage-keys ####分别生成rsa signing key和rsa encryption key
这里 统一用general purpose key
(4)复制peer router的public key到本地router中
(A)在3662上生成general purpose key
(B)在3662上show cry key mypubkey rsa,复制其中的General Purpose Key
(C)在1720上,cry key pubkey-chain rsa ####设置public key
addreed-key 10.130.23.244 ####设置关联10.130.23.244ip地址的key
key-string ####定义key串
粘贴从3662上复制的General Purpose Key
#####如果第三步生成了两种key,则这里复制粘贴的,应该是Encryption Key(三个key中的第二个)
(5)定义isakmp policy
cry isa policy 1
authentication rsa-encr ####采用rsa Encryption key进行验证
####authentication参数必须配置,其他参数如group、hash、encr、lifetime等,如果进行配置,需要注意两个路由器上的对应参数配置必须相同。
(6)定义transform-set
cry ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
####其中vpn-tfs为transform-set name,后面两项为加密传输的算法
mode transport/tunnel #####tunnel为默认值,此配置可选
(7)定义crypto map entry
cry map vpn-map 10 ipsec-isakmp
####其中vpn-map为map name,10 是entry 号码,ipsec-isakmp表示采用isakmp进行密钥管理
match addre 144 ####定义进行加密传输的数据,与第二步对应
set peer 10.130.23.244 ####定义peer路由器的ip
set transform-set vpn-tfs ####与第?*蕉杂?br />####如果一个接口上要对应多个vpn peer,可以定义多个entry,每个entry对应一个peer;同样,pubkey也要对应进行设置。
(7)将crypto map应用到接口上
inter f0 #####vpn通道入口
cry map vpn-map
(8)同样方法配置3662路由器。
1720完整配置:
VPN1720#sh run
Building configuration...
Current configuration : 1490 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service paword-encryption
!
hostname VPN1720
!
logging buffered 4096 debugging
no logging rate-limit
enable paword CISCO
!
username vclient1 paword 0 vclient1
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
!
ip domain-name fjbf.com
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1
encr 3des
authentication rsa-encr
group 2
!
!
crypto ipsec transform-set vpn-tfs esp-3des esp-sha-hmac
!
crypto key pubkey-chain rsa
addreed-key 10.130.23.244
addre 10.130.23.244
key-string
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00BF3672 CB4D69EF
D131C023 C93EA4C5 7E09FBDB 23E9F910 EF04344A 2A4D1956 4E49DADC 5FAAE102
DBEDE13D 7911B1AD 23545B13 8EBB4791 E527B259 F87E605F 2D020301 0001
quit
!
crypto map vpn-map 10 ipsec-isakmp
set peer 10.130.23.244
set transform-set vpn-tfs
match addre 144
!
!
!
!
interface Loopback0
ip addre 172.16.1.1 255.255.255.0
!
interface FastEthernet0
ip addre 10.130.23.246 255.255.255.240
speed auto
crypto map vpn-map
!
interface Serial0
no ip addre
encapsulation ppp
no keepalive
no fair-queue
!
ip clale
ip route 172.16.2.0 255.255.255.0 10.130.23.244
no ip http server
ip pim bidir-enable
!
!
acce-list 144 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
!
line con 0
exec-timeout 0 0
speed 115200
line aux 0
line vty 0 4
login
!
end
说明:
(1)采用rsa encrypted方式加密传输数据,默认key长度为512字节,最高可设为2048字节。安全性能较高。
(2)100M双工交换网络中,在双向同时ping 15000字节的大包进行测试时,1720的cpu使用率一度高达90%左右,3662的使用率约为25%,两台路由器内存使用率则变化不大。可见用rsa encrypted方式加密,对低端路由器的cpu性能影响很大。
常用调试命令:
show cry ip sa
show cry isa sa
deb cry isa
deb cry ip
clear cry isa
clear cry sa
第14篇:路由器设置vpn穿透
路由设置VPN穿透
由于很多客户使用路由器代理上网,这一原理就导致路由上必须设置穿透才能成功连接V.P.N,还好目前大多数路由器都已经支持了穿透功能,下面我就简要讲一下如何设置路由器的穿透功能。
1、首先登录您的路由器(在浏览器中输入其IP),其IP地址一般是192.168.0.1或者192.168.1.1
2、登录的时候会要求你输入用户名和密码,一般默认用户名和密码都是 admin,如果不是就被改动过,请找帮你设置的朋友要相关账号
3、这里以TP-Link路由器为例讲一下设置位置,依次是 路由器界面---->安全功能---->安全设置---->虚拟专用网络
4、其他路由器的设置位置一般都位于 安全功能处,您自己可以找一下
--------------------------- 如果您的路由器不是上面这种,参考这里:
南北网桥采用VPN的PPP协议连接方式,大部分情况下可以在路由器下直接工作。 但部分路由默认设置了严格的防火墙规则,需要对其进行解除限制。 首先登陆路由器,在浏览器里输入路由IP,一般路由的IP地址为192.168.1.1 账号和密码根据说明书介绍输入,一般账号和密码都是admin或者guest
登陆以后,根据路由的型号不同,可以在安全、防火墙、系统服务、转发规则等找到针对 VPN的设置选项。下面列举几个典型路由特例:
图1:D-LINK路由。在防火墙设置里,进阶设定,VPN穿透勾上PPTP、L2TP、IPSEC保存
后就可以直接使用网桥的公网内网模式。
图2:金浪路由。在系统服务里,穿透防火墙勾上PPTP、IPSEC保存后就可以直接使用网桥 的公网模式。
图3:磊科路由。安全管理里,VPN透传,勾上启用PPTP、L2TO、IPSEC并保存生效。
图4:TP-LINK路由。所有路由都可以做端口映射。VPN协议使用的是1701和1723端口, IP地
址。在开始-运行里运行cmd后,输入命令ipconfig/all就可以看到自身IP地址,比如 192.168.1.101
在转发规则里输入这两个端口和对应的自身IP,启用后即可。
第15篇:电信行业VPN解决方案
SSLVPN
电信行业VPN解决方案
时间:2004-7-4 14:40:27 来自: 点击:185
随着国内电信市场的高速发展,各大运营商如电信、网通、联通等等都在大力推广内部的信息化应用,利用先进的信息化管理系统来改善内部的管理。同时,为了更好的给用户提供服务,也逐步的将营业网点和业务代办点建到了众多的场所。
虽然运营商自身有着丰富的网络资源,骨干网络完全可以通过自有的DDN甚至光纤等其他专用线路来构建,但如何实现各移动用户随时安全的接入内部网络、如何将广大的代理商也能接入网络访问必要的数据,成为了运营商构建自身信息平台的重要问题之一。
随着近期各种宽带上网方式(如ADSL)的普及,新型的移动接入方式也层出不穷,众多的运营商开始采用Internet作为网络传输的补充平台、在此基础上构建安全方便的VPN虚拟网络。
远程办公,远程营业
各个服务中心开展现场营销活动时,客户经理在现场通过VPN连接总部获得营业信息,使用内部运营管理系统。在临时需要与总部联网时,不必架设繁琐的专用线路。只需要以任意方式接入Internet即可。
领导在外出差或在家办公时,只要能上网、安装VPN客户端软件,就可以登陆内部办公系统,及时审批公文和处理业务。
员工休假或出差时,也能及时通过VPN客户端、连接到内部办公系统获取公司信息。
实现效果:
原来各营业厅的客户经理在进行现场销售活动时,开通业务必须要到营业
1 厅内、很不方便,使用iGate SSL VPN,可以在户外现场直接开通业务,大大提高效率并提升了运营商的形象。
原来领导和员工外出办公,只能通过Modem拨号接入到办公网,速度很慢,使用iGate SSL VPN后,可以通过宽带接入办公网,速度大大提高,提高了工作效率。通过对接入授权的配置,提供给不同用户不同的权限,加强了办公网的内部安全。
连接合作伙伴、远程维护
替代原来的Modem接入方式或专线接入方式,将代理商接入到计费网络,使代理商可以在授权范围内自行开通和查询所代理的业务。
电信机房维护人员通过VPN,远程维护电信设备。
原来领导和员工外出办公,无法连接到办公网办公,使用iGate SSL VPN后,无论何时,何地,采用任何设备均可访问内部资源,提高了工作效率。
工程人员和运维人员可以远程维护机房设备,大大提高工作效率。在 iGate 上有严格的接入限制和授权,保证远程用户接入的安全性。
安全性充分满足了运营商的需要:
VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。一般来说,所有的VPN产品都会通过数据加密技术来保障数据传输的安全,也会通过用户名密码或其他的证书认证方式等等,来保证用户接入的安全。但对内网资源的访问安全,则很多VPN产品都没有妥善的考虑。
运营商的内部网络资源繁多,也极其重要。所以首先必须保证合法的用户才能接入到网络中来,其次、对每个接入的用户,都必须设置相应的访问权限,只允许访问授权范围内的网络资源。
iGate SSL VPN采用了基于硬件的身份认证技术来解决用户的接入认证问题,即ikey身份验证令牌。只有在客户端插入ikey,输入PIN码,通过认证,才可访问被授权的资源。
2 另外,iGate SSL VPN还增强了对内网的安全设置,保障了第三个层次――内网资源访问的安全。尤其是接入的VPN用户并非是内部工作人员(如供应商、客户、合作伙伴等)时,对VPN用户访问权限需要更严格的设定。iGate提供了对内网访问权限的基于角色的设定,可以对不同的用户分配不同的权限规则,避免内部出现的安全隐患,一个合法的VPN用户接入总部后,他对总部资源的访问权限能够被限定在一个很小的范围内,例如总部有多个应用系统(如OA、财务、HR、CRM等等),一个普通的业务人员在联入VPN后只能访问OA或CRM,而公司领导则可以同时访问所有的应用系统,所有的这些权限都可以通过简单的配置迅速完成,极大的方便了IT安全部门的管理工作。
对移动用户的支持非常方便易用:
移动用户不可能带着硬件设备来接入公司VPN网络,有些低端的VPN产品解决移动用户的方式是直接调用操作系统自带的VPN功能,采用PPTP虚拟拨号的方式接入总部,只有基本的用户名密码验证,安全级别非常低;另外不能同时访问内网和Internet,也造成了极大的不便。
iGate SSL VPN对移动用户提供了强大的支持,并且支持“移动IP”。移动用户不但能够接入企业VPN网络,而且能够获取与在局域网内时相同的内网IP地址,并能够通过该IP地址与内部网络相互通信。这就使得移动用户不但可以访问企业网络,同时在外出时、也能够被局域网所找到,完全象在同一个局域网内一样。
ikey身份验证令牌可以将移动用户的安全策略存储在类似U盘的USB Key中,这样移动用户随身携带标识自己身份和存储了对应安全策略配置信息的ikey,可以在任何一台电脑安全的接入到总部。用户只需要插入ikey,输入PIN码就可以完成接入,做到了VPN客户端零配置,和使用银行取款机一样安全方便。简单易用性达到极点。
第16篇:94203515_全面认识VPN
全面认识VPN
在国外,VPN已经迅速发展起来,2001年全球VPN市场将达到120亿美元。在中国,虽然人们对VPN的定义还有些模糊不清,对VPN的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的VPN市场将逐渐热起来。
对国内的用户来说,VPN(虚拟专用网,Virtual Private Network)最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%。
为什么VPN可以节约这么多的成本?这就先要从VPN的概念谈起。
认识VPN
现在有很多连接都被称作VPN,用户经常分不清楚,那么一般所说的VPN到底是什么呢?顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:\"使用 IP机制仿真出一个私有的广域网\"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
用户现在在电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像 Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上,VPN使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。
所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame Relay或ATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN。
由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。
越来越多的用户认识到,随着Internet和电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于 TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。
还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。
用户的需求正是虚拟专用网技术诞生的直接原因。
用户需要的VPN
一.VPN的特点
在实际应用中,用户需要的是什么样的VPN呢?一般情况下,一个高效、成功的VPN应具备以下几个特点:
1.安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证 VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN 管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
二.自建还是外包
由于VPN低廉的使用成本和良好的安全性,许多大型企业及其分布在各地的办事处或分支机构成了VPN顺理成章的用户群。对于那些最需要VPN业务的中小企业来说,一样有适合的VPN策略。当然,不论何种VPN策略,它们都有一个基本目标:在提供与现有专用网络基础设施相当或更高的可管理性、可扩展性以及简单性的基础之上,进一步扩展公司的网络连接。
1.大型企业自建VPN
大型企业用户由于有雄厚的资金投入做保证,可以自己建立VPN,将VPN设备安装在其总部和分支机构中,将各个机构低成本且安全地连接在一起。企业建立自己的VPN,最大的优势在于高控制性,尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。
企业还可以确保得到业内最好的技术以满足自身的特殊需要,这要优于ISP所提供的普通服务。而且,建立内部VPN能使企业有效节省VPN的运作费用。企业可以节省用于外包管理设备的额外费用,并且能将现有的远程访问和端到端的网络集成起来,以获取最佳性价比的VPN。
虽然VPN外包能避免技术过时,但并不意味着企业可以节省开支。因为,企业最终还要为高额产品支付费用,以作为使用新技术的代价。虽然VPN外包可以简化企业网络部署,但这同样降低了企业对公司网的控制等级。网络越大,企业就越依赖于外包VPN供应商。因此,自建VPN是大型企业的最好选择。
2.中小型企业外包VPN
虽然每个中小型企业都是相对集中和固定的,但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通,在这种情况下就用得上 VPN。电信企业、IDC目前提供的VPN服务,更多的是面向中小企业,因为可以整合现有资源,包括网络优势、托管和技术力量来为中小企业提供整体的服务。中小型企业如果自己购买VPN设备,则财务成本较高,而且一般中小型企业的IT人员短缺、技能水平不足、资金能力有限,不足以支持VPN,所以,外包 VPN是较好的选择。
* 外包VPN比企业自己动手建立VPN要快得多,也更为容易。
* 外包VPN的可扩展性很强,易于企业管理。有统计表明,使用外包VPN方式的企业,可以支持多于2300名用户,而内部VPN平均只能支持大约150名用户。而且,随着用户数目的增长,对用于监控、管理、提供IT资源和人力资源的要求也将呈指数增长。
* 企业VPN必须将安全和性能结合在一起,然而,实际情况中两者不能兼顾。例如,对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理,可大大提高VPN的性能和安全。ISP的VPN专家还可帮助企业进行VPN决策。
* 对服务水平协议(SLA)的改进和服务质量(QoS)保证,为企业外包VPN方式提供了进一步的保证。
三.VPN安全技术
由于传输的是私有信息,VPN用户对数据的安全性都比较关心。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
1.隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第
二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP 主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
四.堵住安全漏洞
安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。
但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。
但是,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。
在家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。但问题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。
黑客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条诸如 DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。因此,必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入公司网络。当然,还有一些提供给远程工作人员的实际解决方法:
* 所有远程工作人员必须被批准使用VPN;
* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;
* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;
* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;
* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;
* 外出工作人员应对敏感文件进行加密;
* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;
* 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。
第17篇:VPN的典型隧道协议
VPN的典型隧道协议
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据(或负载)可以是不同协议的数据桢(此字不正确)或包。 隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。
新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。 被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。 一旦到达网络终点,数据将被解包并转发到最终目的地。
注意隧道技术是指包括数据封装,传输和解包在内的全过程。
1、点对点隧道协议(PPTP)
点对点隧道协议(PPTP,Point-to-point Tunneling Protocol)是一种用于让远程用户拨号连接到本地ISP,通过因特网安全远程访问公司网络资源的新型技术。PPTP对PPP协议本身并没有做任何修改,只是使用PPP拨号连接,然后获取这些PPP包,并把它们封装进GRE头中。PPTP使用PPP协议的PAP或CHAP(MS-CHAP)进行认证,另外也支持Microsoft公司的点到点加密技术(MPPE)。PPTP支持的是一种客户-LAN型隧道的VPN实现。
传统网络接入服务器(NAS) 执行以下功能:它是PSTN或ISDN的本地接口,控制着外部的MODEM或终端适配器:它是PPP链路控制协议会话的逻辑终点;它是PPP认证协议的执行者;它为PPP多链路由协议进行信道汇聚管理;它是各种PPP网络控制协议的逻辑终点。PPTP协议将上述功能分解成由两部分即PAC(PPTP接入集中器)和PNS(PPTP网络服务器)来分别执行。这样一来,拨号PPP链路的终点就延伸至PNS。
PPTP协议正是利用了“NAS功能的分解”这样的机制支持在因特网上的VPN实现。ISP的NAS将执行PPTP协议中指定的PAC的功能。而企业VPN中心服务器将执行PNS的功能,通过PPTP,远程拥护首先拨号到本地ISP的NAS,访问企业的网络和应用,而不再需要直接拨号至企业的网络,这样,由GRE将PPP报文封装成IP报文就可以在PAC-PNS之间经由因特网传递,即在PAC和PNS之间为用户的PPP会话建立一条PPTP隧道。
建立PPTP连接,首先需要建立客户端与本地ISP的PPP连接。一旦成功的接入因特网,下一步就是建立PPTP连接。从最顶端PPP客户端、PAC 和PNS服务器之间开始,由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中,所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道,因此PAC只起着通过PPP连接进因特网的入口点的作用。从技术上讲,PPP包从PPTP隧道的一端传输到另一端,这种隧道对用户是完全透明的。
PPTP具有两种不同的工作模式,即被动模式和主动模式。被动模式的PPTP会话通过一个一般是位于ISP处的前端处理器发起,在客户端不需要安装任何与PPTP有关的软件。在拨号连接到ISP的过程中,ISP为用户提供所有的相应服务和帮助。被动方式的好处是降低了对客户的要求,缺点是限制了客户对因特网其他部分的访问。
主动方式是由客户建立一个与网络另外一端服务器直接连接的PPTP隧道,这种方式不需要ISP的参与,不再需要位于ISP处的前端处理器,ISP只提供透明的传输通道。这种方式的优点是客户拥有对PPTP的绝对控制,缺点是对用户的要求较高,并需要在客户端安装支持PPTP的相应软件。
通过PPTP,远程用户经由因特网访问企业的网络和应用,而不再需要直接拨号至企业的网络。这样大大的减少了建立和维护专用远程线路的费用。且为企业提供了充分的安全保证。另外,PPTP还在IP网络中支持IP协议。PPTP“隧道”将IP、IPX、APPLE-TALK等协议封装在IP包中,使用户能够运行基于特定网络协议的应用程序。同时,“隧道”采用现
1 有的安全检测和认证策略,还允许管理员和用户对数据进行加密,使数据更加安全。PPTP还提供了灵活的IP地址管理。如果企业专用的网络使用未经注册的IP地址,那么PNS将把此地址和企业专用地址联系起来。
PPTP协议是一个为中小企业提供的VPN解决方案,但PPTP协议在实现上存在着重大安全隐患。有研究表明其安全性甚至比PPP还要弱,因此不适用于需要一定安全保证的通信。如果条件允许,用户最好选择完全能够替代PPTP的下一代二层协议L2TP。
2、第二层转发(L2F)
L2F由Cisco公司在1998年5月提交给IETF,RFC2341对L2F有详细的阐述。L2F可以在多种介质(如AMT、帧中继、IP网)上建立多协议的安全虚拟专用网。它将链路层的协议(如HDLC,PPP,ASYNC等)封装起来传送。因此,网络的链路层完全独立于用户的链路层协议。L2F远端用户能够通过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接:NAS根据用户名等信息,发起第二重连接,呼叫用户网络的服务器。在这种方式下隧道的建立和配置对用户是完全透明的。L2F允许拨号接入服务器发送PPP帧传输并通过WAN连接到达L2F服务器。L2F服务器将包去封装后把它们接入到公司自己的网络中。
3、二层隧道协议(L2TP)
L2TP协议的前身是Microsoft公司的点到点隧道协议(PPTP)和Cisco公司的二层转发协议(L2F)。PPTP协议是一个为中小企业提供的VPN解决方案。但PPTP协议在实现上存在着重大安全隐患,有研究表明其安全性甚至比PPP还要弱,因此不适用于需要一定安全保证的通信。L2F协议是一种安全通信隧道协议,但它的主要缺陷是没有把标准加密方法包括在内,因此它也已经成为一个过时的隧道协议。IETF的开放标准L2TP协议结合了PPTP协议和L2F的优点,特别适合组建远程接入方式的VPN,已经成为事实上的工业标准。
远程拨号的用户通过本地PSTN、ISDN或PLMN拨号,利用ISP提供的VPDN特服号,接入ISP在当地的接入服务器(NAS)。NAS通过当地的VPDN的管理系统(如认证系统),对用户身份进行认证,并获得用户对应的企业安全网关(CPE)的隧道属性(如企业网关的IP地址等)。NAS根据获得的这些信息,采用适当的隧道协议封装上层协,议建立一个位于NAS和LNS(本地网络服务器)之间的虚拟转网。
4、多协议标记交换(MPLS)
MPLS为每个IP包加上一个固定长度的标签,并根据标签值转发数据包。 MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道是十分容易的。 同时,MPLS是一种完备的网络技术,可以用它来建立起VPN成员之间简单而高效的VPN。MPLS VPN适用于实现对服务质量、服务等级的划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。
CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。CE路由器不使用MPLS,它可以只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。 PE路由器是与用户CE路由器相连的服务提供者边缘路由器。PE实际上就是MPLS中的边缘标记交换路由器(LER),它需要能够支持BGP协议,一种或几种IGP路由协议以及MPLS协议,需要能够执行IP包检查、协议转换等功能。
用户站点是指这样一组网络或子网,它们是用户网络的一部分并且通过一条或多条PE/CE链路接至VPN。一组共享相同路由信息的站点就构成了VPN。一个站点可以同时位于不同的几个VPN之中。
从MPLS VPN网络的结构可以看到,与前几种VPN技术不同,MPLS VPN网络中的主角虽然仍然是边缘路由器(此时是MPLS网络的边缘LSR),但是它需要公共IP网内部的所有相关路由都能够支持MPLS,所以这种技术对网络有较为特殊的要求。
2
5、IP安全(IPSec)
IPSec是专门为IP设计提供安全服务的一种协议(其实是一种协议族)。IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等。
IPSec主要由AH(认证头)、ESP(封装安全载荷)、IKE(因特网密钥交换)三个协议组成,各协议之间的关系如下图所示
①AH为IP数据包提供无连接的数据完整性和数据源身份认证,同时具有防重放攻击的能力。数据完整性校验通过消息认证码(如MD5)产生的校验来保证;数据源身份认证通过在待认证数据中加入一个共享密钥来实现;AH报头中的序列号可以防止重放攻击。
②ESP为IP数据包提供数据的保密性 (加密)、无连接的数据完整性、数据源身份认证以及防重放攻击保护。其中的数据保密性是ESP的基本功能,而数据源身份证、数据完整性检验以及重放保护都是可选的。
③AH和ESP可以单独使用,也可以结合使用,甚至嵌套使用。通过这些组合方式,可以在两台主机、两台安全网关(防火墙和路由器),或者主机与安全网关之间使用。
④解释域(DOI)将所有的IPSec协议捆绑在一起,是IPSec安全参数的主要数据库。
⑤密钥管理包括IKE协议和安全联盟(SA)等部分。IKE提供密钥确定、密钥管理。它在通信系统之间建立安全联盟,是一个产生和交换密钥材料并协调IPSec参数框架。
IPSec可以在主机、路由器/防火墙(创建一个安全网关)或两者中同时实施和部署。用户可以根据对安全服务的要求决定究竟在什么地方实施。、为实现在专用或公共IP网络上的安全传输,IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。
6、通用路由封装(GRE)
通用路由协议封装(GRE)是由Cisco和NetSmiths等公司1994年提交给IETF的,标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GER隧道协议。
GER规定了如何用一种网络协议去封装另一种网络协议的方法。GER的隧道由两端的
3 源IP和目的IP来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP
2、OSPF等)。通过GER,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。GER只提供了数据包的封装,并没有加密功能来防止网络侦听和攻击,所以在实际环境中经常与IPSec在一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。GER的实施策略以及网络结构与IPSec非常相似,只需要网络边缘的接入设备支持GER协议即可。GER封装的格式如下图。
第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于实现专线VPN业务,L2TP主要用于实现拨号VPN业务(但也可以用于实现专线VPN业务),当然这些协议之间本身不是冲突的,而是可以结合使用的。
隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用桢作为数据交换单位。PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)桢中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
4
第18篇:VPN是什么意思,VPN有什么用?
VPN是什么意思,VPN有什么用?
VPN是什么意思?
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”.顾名思义,虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.----
这一个VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”.顾名思义,虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.他可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或者是多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是他并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止 Arp病毒)等硬件设备.VPN技术原是(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)具有的重要技术之一,目前在交换机,防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)设备或者是WINDOWS2000等软件(soft)里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网.虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的,安全的连接,是一条穿过混乱的公用网络的安全,稳定的隧道.虚拟专用网是对企业内部网的扩展.虚拟专用网可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入,以实现安全连接;可以用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充.针对不相同的用户要求,VPN有三种解决方案:远程访问虚拟网(Acce VPN),企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络,企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应.
VPN有什么用?
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
第19篇:典型应用之VPN篇
花生壳典型应用之--VPN篇
VPN技术简介
1.1 概述
VPN的全称是Virtual Private Network,翻译过来一般称为虚拟专用网络。其主要作用就是利用公用网络(主要是互联网)将多个私有网络或网络节点连接起来。通过公用网络进行连接可以大大降低通信的成本。
一般来说两台连接上互联网的计算机只要知道对方的IP地址,是可以直接同通信的。不过位于这两台计算机之后的网络是不能直接互联的,原因是这些私有的网络 和公用网络使用了不同的地址空间或协议,即私有网络和公用网络之间是不兼容的。VPN的原理就是在这两台直接和公用连接的计算机之间建立一个条专用通道。 连个私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输,然后在对端解包,还原成私有网络的通信内容转发到私有网络中。这 样对于两个私有网络来说公用网络就像普通的通信电缆,而接在公用网络上的两台计算机或设备则相当于两个特殊的线路接头。
由于VPN连接的特点,私有网络的通信内容会在公用网络上传输,出于安全和效率的考虑一般通信内容需要加密或压缩。而通信过程的打包和解包工作则必须通过 一个双方协商好的协议进行,这样在两个私有网络之间建立VPN通道是需要一个专门的过程,依赖于一系列不同的协议。这些设备和相关的设备和协议组成了一个 VPN系统。一个完整的VPN系统一般包括以下几个单元:
VPN服务器,一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。 VPN客户端,一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。 VPN数据通道,一条建立在公用网络上的数据连接。
注意所谓的服务器和客户端在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。这个概念在两个网络之间的连接尤其明显。
1.2 应用情景
我们可以设想一下的情景:公司的总部在广州,有两个办事处分别在香港和上海,两个办事处的网络需要和总部连接,同时办事处之间也需要相互连接。解决这种问题以前只有一种办法就是分别申请两条专线连接总部和两个办事处,两个办事处之前的通信通过总部转发。长途专线的费用是非常昂贵的,在以前也只有银行、证券 公司以及大象企业才有能力负担。
有了互联网和VPN技术之后解决办法可以变成这样,总部通过一条专线和互联网连接,两个办事处分别在本地申请互联网的拨号连接。然后通过在互联网上建立两条VPN通道将三个网络连接起来。这样可以省去长途专线费用。不过互联网的专线连接也不便宜,这种解决方案暂时也只有大中型公司可以负担得起。
那么为什么总部必须使用互联网专线呢,这里牵涉到一个VPN的技术细节,在建立VPN通道的时候,连接的发起者必须知道接受连接的服务器的IP地址,就像我们打电话之前必须知道对方的号码一样。而普通的拨号连接每次上网的IP地址都不相同。不过现在有一个很好的解决方案,通过花生壳动态域名服务可以让一个拨号连接获得的IP地址与一个固定的域名绑定在一起,当建立VPN连接的时候,连接建立者只需要输入连接接受方的域名就可以了。不过接受方的IP地址怎么改变,这个域名都可以解释到接受方当前的Ip地址上。这样就可以省去一条互联网的专线连接,大大降低了通信的费用,这样VPN的解决方案中小型企业也可以负担得起了。
二、规划VPN接入环境
VPN不但可以用于上述网络对网络的连接,也可以用于单台计算机到网络的连接。在使用VPN的时候我们需要规划一下我们应用环境。
首先我们需要列出需要连接的节点以及节点的类型,以及之间的访问关系,即由谁发起连接和向谁发起连接的问题。这样我们可以确认在我们环境中确定哪些地方需要安装VPN服务器,哪些地方仅仅是配置客户端就可以了。
对于需要安装VPN服务器的地方我们需要一条比较高速的互联网线路,一个固定的IP地址,或者使用花生壳配置一个固定的域名。
下面的介绍时基于微软间操作系统进行的。微软的操作系统中提供VPN服务器功能的有Window 2000 Server和Advance Server,以及比较久的NT Server 4.0,当然这些操作系统也可以作为VPN的客户端。其他的则全部都可以作为VPN客户端。(Window95必须安装Dialup Network 1.3组件)。
确定了服务器和客户端之后,我们还需要规划个节点的IP地址。每个私有网络必须使用不同的地址段,在各自的地址段中必须划分出一部分用于VPN的接入。
以下的介绍我们都是围绕着Window2000的配置进行的。
三、配置VPN接入服务器
3.1 安装花生壳
只有VPN服务器才需要安装花生壳服务,在规划环境的时候必须为每台VPN服务器申请一个Oray护照。这样每台服务器就会有一个不同的域名。在客户端拨号的时候可以通过域名控制连接不同的网络。
一般建议花生壳直接安装在VPN服务器上,并配置为自动启动。这样只要服务器在线域名一定有效。当然如果VPN服务器也提供互联网共享的话也可以将花生壳安装在内部网络的任何一台计算机上,不过必须保证这台计算机不会在服务器在线的时候关机,以免域名失效。
3.2 网络连接准备
作为VPN服务器实际上就是一台路由器,一般需要安装两块或以上的网卡,其中一块网卡负责和互联网连接。另一块网卡则连接内部网络。在进行下面的配置之前首先必须检测服务器和互联网的连接是否正常。
另外很重要的一点就是必须保证服务器和互联网连接的网卡获得的是一个公网地址,即接入的ISP不是使用地址转换技术。检测的办法如下:
在命令行输入ipconfig,检查和互联网连接的网卡的IP地址,如果其地址在下列范围之一则不是公网地址,ISP使用了地址转换技术提供接入服务。这样就必须更换ISP。 10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
3.3 配置路由和远程访问服务
激活路由和远程访问服务
在安装Window 2000 服务器或高级服务器的时候路由和远程服务是默认安装好的,不过没有激活罢了,因此我们需要首先激活路由和远程访问服务。步骤如下:
在程序/管理工具中,点击“路由和远程访问”。打开路由和远程访问服务管理界面,见图3-1
图3-1
当前的管理界面中尚未添加服务器,所接下来需要将本机添加进去,方法是在服务器状态上按鼠标右键,选择添加服务器,打开添加服务器的对话框,选择“这台计算机”,见图3-2
图3-2
按确定之后管理界面出现本机,并且处于停止状态,见图3-3
图3-3
接下来需要激活本机的路由和远程访问服务,在本级服务器上按鼠标右键,选择配置和激活路由和远程访问服务。系统打开路由和远程访问服务安装向导。按下一步出现想到的功用设置页面,见图3-4。
图3-4 选择手动配置服务器,实际上这是最简单的配置方法,我们暂时撇开复杂的概念,这个选择实际上已经将大部分我们需要的功能完成了。按下一步然后完成,系统会询问是否启动路由和远程访问服务,回答是。然后我们又回到管理界面。见图3-5
图3-5
接下来我们所需要改动的地方只有一个就是配置VPN接入是分配的IP地址。
配置接入的IP地址
VPN服务在接受了VPN客户端的接入之后就会为客户端分配一个IP地址,客户端就是用这个地址和服务器或服务器连接的内部网络通信。这个地址需要实现分配好,这个地址可以有两种配置方法:
1、使用和内部网络相同的地址段,这样远程接入的VPN客户就和直接连接在内部网络的计算机一样,其网络配置和在公司内部的计算机没有什么区别。这种方式适合于单机拨入的情况,但不太适合网络对网络的VPN互联。
2、使用和内部网络不同的地址段,这时候VPN服务器相当于一台路由器,比较和与网络对网络的互联。对于单机就比较麻烦,对于接入移动式办公的电脑最好还是选用第一种方式。
配置接入地址段的方法也有两种方法,一种是利用DHCP服务器,另一种就是直接在接入服务器上配置。前一种方法需要介绍DHCP服务器的使用,这里就暂不介绍了。以下是配置接入服务器自己的地址段的方法。
在接入服务器上按鼠标右键,点击属性,打开服务器的属性对话框,选择IP页面,如图3-6
图3-6 选择“静态地址”,按添加打开静态地址配置对话框,如图3-7
图3-7
输入其实抵制和结束地质,注意地址数量必须比最大的接入数量多一个,因为服务总是占用地址段的第一个地址。
3.4 配置访问权限
用户必须有相应的权限才能使用接入服务,这个权限是在用户管理工具中配置的。如果使用活动目录则必须使用活动目录的拥护和计算机进行管理,如果使用本机的账号则使用计算机管理中的用户和组的功能。
远程拨入的权限是一个个用户配置的,默认情况下所有用户都没有拨入权限。我们在用户管理中选择需要拨入的用户,打开属性对话框,选择拨入页面。在远程访问权限中选择“允许访问”即可,见图3-8
图3-8
四、配置客户端
这里介绍的客户端指的是单台PC连接VPN服务器的情况,即单机和网络的连接。关于网络到网络的连接我将在后续的文章介绍。
单机连接2000Server做的VPN服务器非常简单,和平时Modem拨号上网差不多。区别在于原来填写电话号码的地方现在必须填写VPN服务器的 Ip地址或域名。另外我们需要记住VPN是一种建立在已有的网络连接上的一种专用连接,即人和VPN都需要一个底层的网络连接,我们可以在建立VPN拨号 连接的时候指定底层连接(如连接互联网的拨号连接),这样在拨VPN的时候计算机会自动拨互联网的连接。当然你如果使用多种互联网连接或直接使用局域网类 型的连接。可以不指定这个底层连接,在拨VPN之前自己手工拨号上互联网。 建立VPN拨号连接的方法如下:
首先打开控制面板里面的网络和拨号连接,点击新建连接。系统会打开拨号连接向导,按下一步,进入网络连接类型的选择,如图4-1
图4-1
选择通过Internet连接到专用网络,按下一步,进入公用网络配置,见图4-2
图4-2
如果你使用的局域网形式的接入选择,不拨初始连接,如果你使用一个固定的拨号网络连接互联网,则选择自动拨此初始连接,并选择对应的拨号连接名称。按下一步,进入目标地址配置,见图4-3
图4-3
输入VPN服务器的IP地址或域名,如果你的VPN服务器采用的是动态连接,这时花生壳就显示出其威力了,只需要输入了VPN服务器的动态域名,我们就可以省去大笔固定线路的租用费用了。按下一步,输入新建VPN连接的名称,见图4-4
图4-4
至此VPN客户端配置完毕。如果你有多个VPN服务器可以重复上述步骤,为每个VPN接入服务器建立相应的连接。
第20篇:某证券VPN组网解决方案
XX证券VPN组网解决方案
第一章 前言
以Internet为基础的信息高速公路的迅猛发展,正以前所未有的速度和能力改变着人们的生活和工作方式,我们真正处于一个“信息爆炸”的时代。
一方面,Internet使得人们能够跨越时空的限制,为学习、生活和工作带来空前的便利;许多企事业单位不仅仅充分利用Internet的丰富资源,同时,为了企事业单位内部的资源共享和信息传输,也纷纷建起了企事业单位内部Intranet,达到企事业单位内部资源的高度共享。甚至一些信息化建设程度较高的企事业单位已经建起了Extranet,与其他政府机构、合作伙伴也进行了资源共享。
另一方面,面对信息的汪洋大海,人们往往感到无所适从,出现“信息迷向”的现象。更严重的是Internet是一个无国界的虚拟信息社会,现实社会中的各种问题都会在Internet上通过电子手段予以重现,信息犯罪愈演愈烈。网络的开放性,互连性,共享性程度的扩大,使网络的重要性和对社会的影响也越来越大,信息安全问题变得越来越重要。信息安全问题不仅仅涉及到国家的经济安全、金融安全,还涉及到国家的国防安全、政治安全和文化安全。对于企事业单位的重要信息和资源,也构成了巨大威胁,致使一些企事业单位单位不敢联网,把网络互联的优势完全抛弃,形成了一个一个信息孤岛。
政府信息化的发展已经成为当代信息化的最重要的领域之一。据联合国教科文组织在2000年的调查,89%的国家都在不同程度地推进政府信息化的发展,并将其列为国家级的重要工作。
江泽民总书记明确指出:“四个现代化,那一化也离不开信息化。”我国的政务现代化也离不开信息化。
“两会”前,朱总理提出:“电子政务的发展正在成为当代信息化的最重要的领域之一。为了适应国际形势和我国经济建设与社会发展的需要,我国必须加快电子政务的发展。”在今年的《政府工作报告》中,朱总理更明确指出,要“加快政府管理信息化建设,推广电子政务,提高工作效率和监管有效性。”
如何有效地利用网络互联的优势,提升XX证券系统信息化建设的速度,同时保证网络和信息的安全共享,是摆在我们面前的迫切问题。虚拟私有网络(Virtual Private Network,VPN)的出现,为我们提供了一个安全、经济、快捷、灵活的网络安全互联组网方案。结合的XX证券实际需求和现状网络,通过对必要性和可行性,实施效果、成本和风险,硬件和网络方案等进行了充分的调研和论证,提出了《XX证券VPN组网解决方案》。
根据项目计划,将在XX证券中心机房和全国各营业点部署VPN安全网关,实施安全访问控制和各点之间的加密通信。
第二章 项目情况介绍
2.1 目前网络的现状
目前,XX证券总部在电信申请了2个互联网线路,一条线路用于同其他各营业点(在全国共27个)进行OA系统的信息传输,另外一条线路用户内部员工访问互联网。其他各营业点均在本地电信申请ADSL线路。
目前的网络示意图如下:
图2-1 XX证券网络示意图 2.2 目前网络系统存在的需求
1、应用需求 目前,XX证券全国各营业点需要实时访问XX证券总部(武汉)应用服务器(OA服务器、mail服务器等)。利用传统的公网是无法快捷、安全地访问内部服务器。因为所有数据在传输过程中都是以明文的,如果别有用心的人利用Sniffer等网络监听分析工具,极易篡改、窃取甚至破坏关键数据,给造成不可估量的损失。针对的相关应用需求,我们建议采用VPN的组网方式,可以安全、方便地在XX证券和全国27各营业点之间的“虚拟专用网络”。
2、安全需求
目前XX证券应用系统和重要数据都以明文在网络进行直接传输,因应用系统的网络传输数据体现了XX证券的重要情况和保密敏感信息,属于高度机密,以明文在公共网络上直接传输存在着很大的隐患,黑客或网络运营商中的某些有不良居心的人员可以利用专用软件在网络结点设备或线路上截获应用系统或重要数据,如果这些数据被公布或透露给外界,对于来说,后果是非常严重的。
另一方面,各营业点网络直接和internet相连,这样就存在极大的安全隐患,外部网络可以随意访问内部网络,甚至控制内部服务器,然后已内部主机作为跳板,转而攻击网络总部的服务器,那么整个系统将无安全性可言。
综上所述,如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题。使整个网络的安全达到一个全面加强,使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。
第三章 设计原则和设计思想
系统的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则: 3.1 安全性原则
在网络运行的各个环节中,都应该严格注意安全的问题,防止其中的任一过程存在着安全的漏洞,从而影响整个区政府正常办公的大局。
随着计算机网络技术的提高,网络的安全性也越来越值得人们注意和防范,在该方案中,安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全,对相关的网络设备、主机系统、应用数据库提供严密的保护。同时,采用国际上最新的主流VPN技术,确保用户能充分利用网络的互通性和易用性,同时可以为用户尽可能地降低系统投入成本,实现高效益。 网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品,好的安全策略;另一方面,更为重要的是要有完善的安全管理制度。 3.2 实用性原则
系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。
尤其是采用了目前国际上领先的“安全网关”技术,将“Firewall+VPN+IDS”技术的充分糅合,较单纯的Firewall技术具有不可比拟的优势,体现在:不仅具有FireWall的保护内网、提供服务的功能,而且利用VPN技术,可以解决Firewall所不能解决的外网用户的安全接入问题(在本方案中,导致可以直接省略“拨号服务器”),同时可以不受接入数量限制,这使整个网络系统的可用性大幅度提高。利用IDS技术,不仅强化了本身的抗攻击能力,而且可以与IDS系统互动。
实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。
3.3 可靠性原则
这套网络安全系统是网络的门户。它的稳定可靠关系重大,特别是WEB网上服务等具体业务项目,随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响政府的形象,也将给为政府带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。
我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。 3.4 可扩展性原则
网络安全建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性,在实现基本的网络被动防护系统(安装防火墙、VPN安全网关及其管理平台)以及信息传输加密的前提下,为以后进一步实现网络的主动防护系统,主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口,便于以后的扩展以及与IDS等设备实现互动。 3.5 易管理性原则
网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。另外,通过网管平台,可以实现远程安全管理和本地管理等多种管理手段。 第四章 XX证券VPN组网建设方案
4.1 VPN技术简介
VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道(即隧道),将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在,仿佛所有的主机都处于一个网络之中。对企业而言, VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的,隧道机制是VPN实施的关键。数据通过安全的\"加密管道\"在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
在众多的VPN解决方案中,IP-VPN脱颖而出,成为众多企业组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。世界上最大的IP网络就是Internet。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安全问题,因此无法为用户解决他们所担心的数据安全保密性。IP-VPN在使用了一些额外的安全技术后,解决了这一难题。
目前,国际主流的大多是基于Ipsec的VPN技术,该技术正在迅速走向成熟,而且它正处于兴盛期。
图4-1 VPN组网示意图
虚拟专网的重点在于建立安全的数据传输通道,构造这条安全通道的协议必须具备以下条件:
保证数据的真实性:通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。
保证数据的完整性:接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能:提供密匙中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安全防护措施和访问控制:要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Acce Control)。
虚拟专用网VPN可以使在Internet中的信息交换有安全保障,大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式,后来它很快被公认为是一种远端的接入技术,例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。目前,VPN技术正在迅速走向成熟,而且它正处于兴盛期。
安达通公司作为国内领先的专业VPN厂商,投入了很大的人力、财力,经过一段时间的研究和攻关,提出了国内领先的全动态地址VPN的解决方案。安达通公司的解决方案不但真正解决了全动态VPN的组网问题,还融入了PKI技术,采用基于数字证书的身份认证机制,解决了大规模VPN应用中的设备管理和网络管理的难题。 4.2 产品选型
上海安达通信息安全技术有限公司(简称ADT)是一家专业致力于解决企业互联网和内联网的网络信息传输和管理的公司。公司将自己定位为:基于PKI的网络安全传输平台供应商。目前已经拥有“PKI安全网关SGW系列、安全网关客户端软件、PKI网管平台、单/双密钥体系的企业CA系统、数字证书载体SureID系列、证书中间件”等产品。形成了一个以CA为核心,证书为灵魂,网络类安全设备和桌面安全软件/设备相互联动、密切配合的构建在PKI平台上的网络安全系统。
安全网关是一种结合防火墙、VPN技术的综合的网络边界安全设备,并且具有和入侵检测系统(IDS)互动的功能;随着系统的升级,ADT安全网关SGW系列产品,还将整合防病毒网关的功能以及基本的入侵检测功能来增强“安全网关”自身的稳定性、安全性和抗攻击性。作为网络的边界安全设备,安全网关将具有综合的安全作用,使网络的安全和投入,获得最佳的安全和效益。
另外,安达通公司的“安全网关”具有一个很明显的技术优势――解决了目前国际上的VPN技术的难题――非固定IP间的VPN通讯连接(如:通讯双方均采用ADSL进行连接)。
故此,我们建议目前的各XX证券组网方式改为VPN组网方案。
VPN组网除了以太网络联网方式外,还可以用于专用线路、帧中继/ATM链路或普通的旧式电话网(PSTN)提供的服务:如Modem拨号方式、ISDN、ADSL等。利用专线、帧中继/ATM或以太网方式,从经济上和功能上不太适合的组网需求,利用电话线路的组网方式中,由于Modem拨号方式从技术上、管理上、安全上不太适合目前业务发展的需要。ADSL是电信力推的企事业单位上网模式,不但速度快、性能好、实时性好,针对的应用特点和联网规模,从经济上也是前几种组网方式所不能比拟的。
针对的实际需求和具体应用,我们推荐此方案采用安达通公司的SGW25C、SGW25B、SGW25A等型号的硬件产品。 4.3 网络规划与产品部署
1、总部设计方案
考虑到目前总部服务器的高安全性、高载荷和将来的发展,建议在总部业务线路(100M线路上)放置两台安达通SGW25C型VPN安全网关。为了避免出现单点故障,两网关作双机热备。
利用安达通安全网关的VPN技术建立总部和下面各营业点的“安全隧道”,实现总部和营业点之间安全的VPN“虚拟专用通道”。
利用安达通安全网关的防火墙功能实现基本的访问控制和安全隔离。普通数据包通过防火墙模块到达XX证券内部网络,实现包状态检测和访问控制功能。只有需要加密的数据和信息才可以通过安达通VPN网关到总部内部网络,对于非法的数据包则可以利用VPN安全策略将其进行过滤和处理。
另外,作为VPN备份线路,建议在总部的另外一个出口(10M线路,用于内部访问互联网)处步署一台安达通SGW25B安全网关,当业务线路出现故障(如路由器出现故障,被攻击,或者电信部门调整线路)时,下面各营业点可以同该网关(SGW25B)建立VPN通道,从而连接到内部网络。
2、全国各营业点网络设计方案
目前各营业点的使用adsl接入互联网,鉴于其网络流量不是很大的特点,建议在各营业点步署安达通公司SGW25A安全网关,利用其VPN功能,可以通总部建立VPN通道,从而安全的连接到总部内部网络;另外,利用其强大的防火墙功能,可以保护营业点内部网络。 VPN组网结构如下: 图4-2 XX证券VPN组网结构示意图
