《计算机科学与技术》专业毕业论文.docx

1、计算机科学与技术专业毕业论文计算机科学与技术专业毕业论文江南大学网络学院毕 业 论 文 (设 计) 姓 名学习中心学 号W2140115证 件 号批 次层 次高起本专 业计算机科学与技术指导教师课题名称利用防火墙构建VPN设计和应用（终稿）指导教师评 语刘老师，因为我希望能拿到学士学位，所以想请教您，我的这篇论文能不能达到拿学位的分数要求，论文的不足之处还望刘老师指正。谢谢！指导教师签名：年 月 日 江南大学网络学院2005年4月内容摘要目前，越来越多的企业正在寻求灵活安全的广域通信方式。在Internet连接和基于IP网络错综复杂的环境下，这些新的通信需求已经超出了传统网络解决方案的处理能力

2、。基于IP的虚拟专用网(VPN)解决方案成为希望在全球连通的公司的自然之选。VPN定义为“采用加密和认证技术，在公共网络上建立安全专用隧道的网络”。随着IP安全标准的问世和无所不在的IP网，VPN现在已经成为大多数企业可行的备选方案VPN的好处：省钱（减少网络费用3060）：消除长途电话费用，减少专线网络费用；增加业务扩展的速度和灵活性：internet能通过很多技术在任何地方连接，internet带宽可按照需要而申请得到； 提高竞争能力：分支机构和合作伙伴可以以很低的费用共享和分发信息，个人可以在世界的任何一个角落以本地电话费用访问其公司的局域网； 改善了安全性：强大的身份认证，数据的私密性

3、和完整性得到了保证； 使用现存的应用、平台和用户环境：不必改变路由器和防火墙，现存的应用继续使用，最终用户感觉不到任何不同。本论文以利用防火墙构建VPN设计和应用为题，从构建和通过研究VPN基本算法方面进行了对VPN技术的简要分析，并通过构建实例和实际应用中遇到的问题及问题的解决加以必要的阐述。在第一章中简述了VPN技术及防火墙技术的基本概念及其主要的功能；第二章中通过对各项技术的分析进行了利用Check Point Firewall-1构建VPN的体系结构设计；第三章中列举了利用Check Point Firewall-1构建VPN实例的步骤；第四章中对在构建和实际应用中用到的主要技术进行了

4、详细的分析和比较各项技术的优缺点，从而对现有实例进行改进完善；第五章从VPN技术在实际应用中所遇到的问题进行分析，重点从NAT不能和IPSec VPN 很好的配合方面进行论述，并从中寻找出解决的方案；第六章是对VPN技术发展的看法。由于我的知识浅薄，经验不足及阅历颇浅，因此，算法分析方面还有很多不足，我会在以后的使用过程中，根据实际的情况不断完善，对该技术的分析和运用慢慢趋向完美。【关键词】：虚拟专用网、隧道技术、数据加密、防火墙、IPSec、安全性、协议第一章 绪 论31.1 VPN技术以及防火墙技术概述31.1.1 VPN技术概述.41.1.2 防火墙技术概述.61.1.2.1什么是防火墙

5、?.61.1.1.2 防火墙能做什么?.61.1.3 利用防火墙构建VPN技术概述.7第二章 利用防火墙构建VPN设计.72.1 体系结构设计72.1.1 安全传输平面（STP）.82.1.1.1 安全隧道代理（STA）.82.1.1.2 VPN管理中心（MC）82.1.2 公共功能平面（CFP）.82.1.2.1 认证管理中心（UAAC）.92.1.2.2 密钥分配中心（KDC）.92.2 设计环境介绍.92.3 运行环境介绍.92.4 利用的软件的介绍.9第三章实现利用防火墙构建VPN实例步骤.93.1 定义Check Point FireWall-1 VPN网络对象93.2 为Check

6、 Point FireWall-1VPN定义一个加密域103.3 定义远程网关和配置身份验证103.4 创建VPN规则.10第四章实例模型实现技术分析.114.1 建立VPN通道的协议：IPSEC.114.2 有效数据加密技术134.3 认证技术14第五章实际使用的VPN中的遇到的问题NAT不能和IPSec VPN 很好的配合.155.1 NAT技术155.2 NAT 与IPSec VPN 的裂痕.165.3 如何解决16第六章VPN技术实际应用及发展前景.17第七章 结论.17第八章 致谢.18参考文献.18 利用防火墙构建VPN设计和应用第一章绪论1.1VPN技术以及防火墙技术概述 Int

7、ernet的发展给政府结构、企事业单位、个人用户带来了革命性的改革和开放。他们正努力通过利用Internet来提高办事效率和反应速度，以便更具竞争力。通过Internet，用户可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险：通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的“隧道”使客户、销售商、移动用户、远程用户和内部用户的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的“战壕”和“隧道”，而这个战壕就是防火墙，“隧道”就是VPN（虚拟专用网）。根据国际著名的网络安全研究公司Hurwitz

8、 Group的结论，在考虑网络安全问题的过程中 ，有五个方面的问题：网络的安全问题，操作系统的安全问题，用户的安全问题，应用程序的安全问题，以及数据的安全问题。 网络层的安全性（Network Integrity） 网络层的安全性问题即对网络的控制，即对进入网络的用户的地址进行检查和控制。每一个用户都会通过一个独立的IP地址对网络进行访问，这一IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析，便能够初步判断来自这一IP的数据是否安全。 防火墙产品和VPN虚拟专用网就是用于解决网络层安全性问题的。防火墙的主要目的在于判断来源IP，阻止危险或XX的IP的访问和交换数据

9、。 VPN主要解决的是数据传输的安全问题，其目的在于内部的敏感关键数据能够安全地借助公共网络进行频繁地交换。后面将对VPN作具体的介绍。 操作系统的安全性（System Integrity） 在系统安全性问题中，主要防止：一、病毒的威胁；二、黑客的破坏和侵入。 用户的安全性（User Integrity） 对于用户的安全性问题，考虑的是用户的合法性。认证和密码就是用于这个问题的。通常根据不同的安全等级对用户进行分组管理。不同等级的用户只能访问与其等级相对应的系统资源和数据。然后采用强有力的身份认证，并确保密码难以被他人猜测到。 应用程序的安全性（Application Integrity） 即

10、只有合法的用户才能够对特定的数据进行合法的操作。包括应用程序对数据的合法权限和应用程序对用户的合法权限。 数据的安全性（Application Confidentiality） 既用加密的方法保护机密数据。在数据的保存过程中，机密的数据即使处于安全的空间，也要对其进行加密处理，以保证万一数据失窃，他人也读不懂其中的内容。这是一种比较被动的安全手段，但往往能够收到最好的效果。 上述的五层安全体系并非孤立分散，它们是互相影响，互有关联的。尤其是加密和认证技术，在各个层次都有所应用，是网络安全的基础之一。下面就应用了许多这些技术的网络层的安全技术VNP虚拟专用网络及防火墙技术做具体的讨论。 1.1.

11、1VPN技术概述以前，要想实现两个远地网络的互联，主要是采用专线连接方式。这种方式虽然安全性 高，也有一定的效率，成本太高。随着Internet的兴起，产生了利用Internet网络模拟安全性较好的局域网的技术虚拟专用网技术。这种技术具有成本低的优势，还克服了 Internet 不安全的弱点。其实，简单来说就是在数据传送过程中加上了加密和认证的网络安全技术。 在VPN网络中，位于Internet两端的网络在Internet上传输信息时，其信息都是经过RSA 非对称加密算法的Private/Public Key加密处理的，它的密钥（Key）则是通过Diffie-Hellman算法计算得出。如，假

12、设、在Internet网络的两端，在端得到一个随机数，由VPN通过Diffie-Hellman算法算出一组密钥值，将这组密钥值存储在硬盘上，并发送随机数到B端，B端收到后，向A端确认，如果验证无误则在B端再由此产生一组密钥值，并将这组值送回A端，注册到Novell的目录服务中。这样，双方在传递信息时便会依据约定的密钥随机数产生的密钥来加密数据。 确切来说，虚拟专用网络(Virtual Private Network ,VPN)是利用不可靠的公用互联网络 作为信息传输媒介，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络 相类似的安全性能，从而实现对重要信息的安全传输。根据技术应用环境

13、的特点，VPN大致包括三种典型的应用环境，即Intranet VPN， Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提供虚拟子 网和用户管理认证功能；Remote Access VPN侧重远程用户接入访问过程中对信息资源的保护；而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。这三种方式中 Extranet VPN应用的功能最完善，而其他两种均可在它的基础上生成，这里主要是针对Extranet VPN来谈。 VPN技术的优点主要有： (1) 信息的安全性。虚拟专用网络采用安全隧道(Secure Tunnel

14、)技术安全的端到端的连接服务，确保信息资源的安全。 (2) 方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(Private Network)，实现异地业务人员的远程接入。 (3) 方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现，从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性，也便于用户进行网络管理。 (4) 显著的成本效益。利用现有互联网络发达的网络构架组建企业内部专用网络，从而 节省了大量的投资成本及后续的运营维护成本。 实现VPN的关键技术有： (1) 安全隧道技术(Se

15、cure Tunneling Technology)。通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输.经过这样的处理，只有源端和目标端的用户对隧道中的嵌套信息能进行解释和处理，而对于其他用户而言只是无意义的信息。 隧道技术的基本过程是在源局域网与 公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。

16、目前VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5，它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次，无所谓谁更有优势。但我们应该注意，不同的网络环境适合不同的协议，在选择VPN产品时，应该注意选择。1点到点隧道协议PPTPPPTP协议将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE V2协议中。目前，PPTP协议基本已被淘汰，不再使用在VPN产品中。2第二层隧道协议L2TP L2TP是国际标准隧道协议，它结合了PPTP协议以及第二层转发L2

17、F协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。3IPSec协议IPSec协议是一个范围广泛、开放的VPN安全协议，工作在OSI模型中的第三层网络层。它提供所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，不会隐藏路由信息。1999年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上了ISAKMP协议，其

18、中还包括密钥分配协议IKE和Oakley。 一种趋势是将L2TP和IPSec结合起来: 用L2TP作为隧道协议，用IPSec协议保护数据。目前，市场上大部分VPN采用这类技术。 优点：它定义了一套用于保护私有性和完整性的标准协议，可确保运行在TCP/IP协议上的VPN之间的互操作性。 缺点：除了包过滤外，它没有指定其他访问控制方法，对于采用NAT方式访问公共网络的情况难以处理。 适用场合：最适合可信LAN到LAN之间的VPN。4SOCKS v5协议 SOCKS v5工作在OSI模型中的第五层会话层，可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制，因此适用于安全性较高的V

19、PN。 SOCKS v5现在被IETF建议作为建立VPN的标准。优点：非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过，在会话层控制手段更多一些；由于工作在会话层，能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服务器可隐藏网络地址结构；能为认证、加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术。SOCKS v5可根据规则过滤数据流，包括Java Applet和Actives控制。缺点：其性能比低层次协议差，必须制定更复杂的安全管理策略。适用场合：最适合用于客户机到服务器的连接模式，适用于外部网VPN和远程访问VPN。(2

20、) 用户认证技术(User Authentication Technology)。在正式的隧道连接开始之前需 要确认用户的身份，以便系统进一步实施资源访问控制或用户授权。 (3) 访问控制技术(Access Control Technology)。由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，以此实现基于用户的访问 控制，以实现对信息资源的最大限度的保护。1.1.2防火墙技术概述 Internet 的发展给政府结构、企事业单位带来了革命性的改革和开放。他们正努力通过利用 Internet 来提高办事效率和市场反应速度，以便更具竞争力。通过 Intern

21、et ，企业可以从异地取回重要数据，同时又要面对 Internet 开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加筑安全的 战壕 ，而这个 战壕 就是防火墙。 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入 Internet 网络为最甚。 1.1.2.1什么是防火墙？ 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯

22、一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 Internet 之间的任何活动，保证了内部网络的安全。 1.1.2.2 防火墙能做什么？ 防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络，这样外部的攻

23、击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访

24、问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄： 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而

25、暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 Finger ， DNS 等服务。 Finger 显示了主机的所有用户的注册名、真名，最后登录时间和使用 shell 类型等。但是 Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的 DNS 信息，这样一台主机的域名和 IP 地址就不会被外界所了解。除了安全作用，防火墙还支持具有 Internet 服务特性的企业内部网络技术体系 VPN 。通过 VPN ，将企事业单位在地域上分布在全世界各

26、地的 LAN 或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。 1.1.3利用防火墙构建VPN技术概述VPN连接两个独立的局域网，加密技术是VPN的一个集成部分用来完成两种任务：a)加密能够让防火墙确定试图连接到VPN网络的用户是不是确实被授予了相关的权限。b)加密可以用来加密信息中的有效负载，从而保证其隐密性。VPN是防火墙的一类复杂而重要的功能。第二章利用防火墙构建VPN设计2.1 体系结构设计VPN系统的结构如下： VPN用户代理(User Agent, UA)向安全隧道代理(Secure Tunnel Agent, STA)请求建立安全隧道，安全隧

27、道代理接受后，在VPN管理中心(Management Center ,MC)的控制和管理下在公用互联网络上建立安全隧道，然后进行用户端信息的透明传输。用户认证管理中心和VPN密钥分配中心向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理，VPN用户代理又包括安全隧道终端功能(Secure Tunnel Function ,STF)、用户认证功能(User Authentication Function ,UAF)和访问控制功能(Access Control Function ,ACF)三个部分，它们共同向用户高层应用提供完整的VPN服务. 安全隧道代理(Secure Tunnel

28、 Agent, STA)和VPN管理中心(Management Center ,MC)组成 了VPN安全传输平面(Secure Transmission Plane , STP)，实现在公用互联网络基础上实现信息的安全传输和系统的管理功能。公共功能平面(Common Function Plane ,CFP)是安全传输平面的辅助平面，由用户认证管 理中心(User Authentication & Administration Center ,UAAC)和VPN密钥分配中心(Key Distribution Center ,KDC)组成。其主要功能是向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理。 用户认证管理中心（UAAC）与VPN用户代理直接联系，向安全隧道代理提供VPN用户代理的身份认证，必要时也可以同时与安全隧道代理（STA）联系，向VP