网络安全VPN和流量控制篇.docx
- 文档编号:11639083
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:12
- 大小:102.76KB
网络安全VPN和流量控制篇.docx
《网络安全VPN和流量控制篇.docx》由会员分享,可在线阅读,更多相关《网络安全VPN和流量控制篇.docx(12页珍藏版)》请在冰点文库上搜索。
网络安全VPN和流量控制篇
网络安全——VPN和流量控制篇
——VPN和流量控制篇
姓名:
学号:
080102060066
学院:
工学院
一.VPN篇
〔一〕VPN的必要性
传统远程通讯衔接的方式是经过租用公用线路,它使得用户在没有隔离感的环境下远程访问。
网络专线就是网络效劳提供商给用户提供公用的信道,让用户的数据传输变得牢靠可信,专线的优点就是平安性好,QoS可以失掉保证。
但是它也存本钱太高不经济,超出预算不理想等无法克制的弊端。
另外,管理也需求专业人员。
当然用户也可以采用公共软件停止通讯,例如,电子邮件、MSN、QQ等等,但是应用这些软件停止普通性的通讯还可以,倘假定停止秘密性的、触及到企业利害关系的通讯,那么有能够招致企业外部秘密外泄,给竞争对手有隙可乘,给企业带来庞大的经济损失等。
综上所述,可以看出,如今用户对通讯的需求主要集中在平安牢靠性和本钱造价低这两方面。
随着技术的开展,VPN的开展满足了用户的需求。
就这样,VPN仰仗其优势,运用户对通讯数据的秘密性高和增加对租用线路的依赖性的需求迅速失掉了开展。
VPN作为一种虚拟公用网络技术,其全名为virtualprivatenetwork〔虚拟公用网〕,应用此技术可以在公用IP网络上树立一个点对点的私有公用网络,传输数据经过加密后,即停止单线式传送与衔接,最大水平上摆脱不同网络对接形成的网络数据流量限制,完成企业外部数据异地同步传送,并可以与客户之间停止直接沟通、上传下载。
另外运用VPN存在着不可比拟的优势:
Ø高平安性:
为了保证信息在Internet上平安传输,VPN采用了隧道技术、数据加密技术、密钥管理技术和身份认证技术,以保证信息在传输进程中不被偷看、窜改和复制,防止数据在公网传输中被窃听;
Ø本钱昂贵:
经过VPN技术,在公共的IP网络上开拓一条公用的〝隧道〞,其效果相似于租用专线树立的公用拨号网络,但却不用支付租用长途专线的昂贵费用,并且人员和设备投入少;
Ø容易扩展:
运用灵敏、可扩展性好。
假设需求扩展VPN的容量和掩盖范围无需投入太多的设备,网络设备配置也复杂,借助VPN可以应用公共设备和效劳;
Ø平安控制自动权:
可以验证数据的真实来源。
比如,企业可以把拨号访问交给ISP去做,二自己担任用户的查验、访问权、网络地址、平安性和网络变化管理等重要任务;
Ø支持丰厚的运用:
VPN可以支持IP语音、IP、视频等一些带宽需求较高的多媒体协作交互运用。
〔二〕VPN的可行性
1.技术可行性
VPN开展已有20年的历史,它承袭了网络平安技术,并结合了下一代Ipv6的特性,经过隧道、认证、接入控制、数据加密技术应用公网树立互联虚拟公用通道,完成网络互联的平安,确保了通讯的平安牢靠性。
VPN能提供高水平的平安,运用初级的加密和身份识别协议维护数据防止遭到窥探,阻止数据窃贼和其他非授权用户接触这种数据。
经过了这20年的历史,VPN的技术也在不段提高,如今VPN技术在国际外曾经相当成熟,出现了少量可供选择的产品。
下面从VPN的体系与复杂分类说明其技术的可行性:
1〕VPN有很多可供选择体系结构:
Ø基于黑匣的VPN:
独立于操作系统,产商只提供一个黑匣。
硬件的加密设备比软件类型的加密设备速度更快,可以树立所需求的减速隧道。
Ø基于防火墙的VPN:
想要在防火墙上树立VPN首先必需确保底层的操作系统的平安性。
Ø网络效劳商提供VPN:
网络效劳商在公司现场放置一个设备来创立VPN隧道。
目前国际最盛行的也就是这类基于路由器或网关的VPN方案。
它的优点是操作简便和便于维护管理。
2〕VPN的分类:
Ø按接入方式划分
这是用户和运营商最关心的VPN划分方式。
普通状况下,用户能够是专线上网的,也能够是拨号上网的,这要依据用户的详细状况而定。
树立在IP网上的VPN也就对应的有两种接入方式:
专线接入方式和拨号接入方式。
〔1〕专线VPN:
它是为曾经经过专线接入ISP边缘路由器的用户提供的VPN处置方案。
这是一种〝永远在线〞的VPN,可以节省传统的长途专线费用。
〔2〕拨号VPN〔又称VPDN〕:
它是向应用拨号PSTN或ISDN接入ISP的用户提供的VPN业务。
这是一种〝按需衔接〞的VPN,可以节省用户的长途费用。
需求指出的是,由于用户普通是遨游用户,是〝按需衔接的,因此VPDN通常需求做身份认证〔比如应用CHAP和RADIUS〕
Ø按协议完成类型划分
这是VPN厂商和ISP最为关心的划分方式。
依据分层模型,VPN可以在第二层树立,也可以在第三层树立。
〔1〕第二层隧道协议:
这包括点到点隧道协议〔PPTP〕、第二层转发协议〔L2F〕,第二层隧道协议〔L2TP〕、多协议标志交流〔MPLS〕等。
〔2〕第三层隧道协议:
这包括通用路由封装协议〔GRE〕、IP平安〔IPSec〕,这是目前最盛行的两种三层协议。
第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于完成专线VPN业务,L2TP主要用于完成拨号VPN业务〔但也可以用于完成专线VPN业务〕,当然这些协议之间自身不是抵触的,而是可以结合运用的。
Ø按VPN的发起方式划分
这是客户和IPS最为关心的VPN分类。
VPN业务可以是客户独立自主完成的,也可以是由ISP提供的。
〔1〕发起〔基于客户〕:
VPN效劳提供的其始点和终止点是面向客户的,其外部技术构成、实施和管理对VPN客户可见。
需求客户和隧道效劳器〔或网关〕方装置隧道软件。
客户方的软件发起隧道,在公司隧道效劳器处终止隧道。
此时ISP不需求做支持树立隧道的任何任务。
经过对用户身份符〔ID〕和口令的验证,客户方和隧道效劳器极易树立隧道。
双方也可以用加密的方式通讯。
隧道一经树立,用户就会觉失掉ISP不在参与通讯。
〔2〕效劳器发起〔客户透明方式或基于网络〕:
在公司中心部门或ISP处〔POP、Pointofpresence〕装置VPN软件,客户无须装置任何特殊软件。
主要为ISP提供片面管理的VPN效劳,效劳提供的起始点和终止点是ISP的POP,其外部构成、实施和管理对VPN客户完全透明。
在下面引见的隧道协议中,目前MPLS只能用于效劳器发起的VPN方式。
Ø按VPN的效劳类型划分
依据效劳类型,VPN业务大致分为三类:
接入VPN〔AccessVPN〕、内联网VPN(IntranetVPN)和外联网VPN〔ExtranetVPN〕。
通常状况下内联网VPN是专线VPN。
〔1〕接入VPN:
这是企业员工或企业的小分支机构经过公网远程访问企业外部网络的VPN方式。
远程用户普通是一台计算机,而不是网络,因此组成的VPN是一种主机到网络的拓扑模型。
需求指出的是接入VPN不同于前面的拨号VPN,这是一个容易发作混杂的中央,由于远程接入可以是专线方式接入的,也可以是拨号方式接入的。
〔2〕内联网VPN:
这是企业的总部与分支机构之间经过公网构筑的虚拟网,这是一种网络到网络以对等的方式衔接起来所组成的VPN。
〔3〕外联网VPN:
这是企业在发作收买、兼并或企业间树立战略联盟后,使不同企业间经过公网来构筑的虚拟网。
这是一种网络到网络以不对等的方式衔接起来所组成的VPN〔主要在平安战略上有所不同〕。
Ø按承载主体划分
营运VPN业务的企业;既可以自行树立他们的VPN网络,也可以把此业务外包给VPN商。
这是客户和ISP最关心的效果。
(1)自建VPN:
这是一种客户发起的VPN。
企业在驻地装置VPN的客户端软件,在企业网边缘装置VPN网关软件,完全独立于营运商树立自己的VPN网络,运营商不需求做任何对VPN的支持任务。
企业自建VPN的益处是它可以直接控制VPN网络,与运营商独立,并且VPN接入设备也是独立的。
但缺陷是VPN技术十分复杂,这样组建的VPN本钱很高,QoS也很难保证
(2)〔2〕外包VPN:
企业把VPN效劳外包给运营商,运营商依据企业的要求规划、设计、实施和运维客户的VPN业务。
企业可以因此降低组建和运维VPN的费用,而运营商也可以因此开拓新的IP业务增值效劳市场,取得更高的收益,并提高客户的坚持力和忠实度。
笔者将目前的外包VPN划分为两种:
基于网络的VPN和基于CE〔用户边缘设备〕的管理型VPN〔ManagedVPN〕。
基于网络的VPN通常在运营商网络的出现点〔POP〕装置电信级VPN交流设备。
基于CE的管理型VPN业务是一种受信的第三方担任设计企业所希望的VPN处置方案,并代表企业停止管理,所运用的平安网关〔防火墙、路由器等〕位于用户一侧。
Ø按VPN业务层次模型划分
这是依据ISP向用户提供的VPN效劳任务在第几层来划分的〔留意不是依据隧道协议任务在哪一层划分的〕。
〔1〕拨号VPN业务〔VPDN〕:
这是第一种划分方式中的VPDN〔理想上是按接入方式划分的,由于很难明白VPDN终究属于哪一层〕。
〔2〕虚拟租用线〔VLL〕:
这是对传统的租用线业务的仿真,用IP网络对租用线停止模拟,而从两端的用户看来这样一条虚拟租用线等价于过去的租用线。
〔3〕虚拟公用路由网〔VPRN〕业务:
这是对第三层IP路由网络的一种仿真。
可以把VPRN了解成第三层VPN技术。
〔4〕虚拟公用局域网段〔VPLS〕:
这是在IP广域网上仿真LAN的技术。
可以把VPLS了解成一种第二层VPN技术。
2.经济可行性
与任何传统的广域网相比,VPN的运营本钱和衔接远程用户的本钱更低。
由于相比专线的租用费用,采用VPN的费用比起租用专线〔DDN〕来要低40%-60%,而无论是在功用和可管理性和可控性方面两者都没有太大的差异。
此外,VPN技术可以节省用户的通讯费用并且VPN的固定通讯本钱有助于企业了解其运营开支。
一个VPN线路还可以提供低本钱的全球网络时机。
VPN可以让移发开工、远程员工、商务协作同伴和其他人应用本地可用的高速宽带网衔接(如DSL、有线电视或许WiFi网络)衔接到企业网络。
此外,高速宽带网衔接提供一种低本钱效率高的衔接远程办公室的方法。
经过向虚拟专网中参与语音或是多媒体流量来完成进一步本钱的降低。
3.社会可行性
VPN技术的完成是经过智能设备完成的,既有树立在软件技术上的完成也有树立在硬件技术上的完成。
用户可以依据自己业务需求直接购置设备也可以经过操作系统完成。
设计良好的VPN是模块化的和可晋级的。
这种技术可以让运用者运用一种很容易设置的互联网基础设备,让新的用户迅速和轻松地添加到这个网络。
这种才干意味着企业不用添加额外的基础设备就可以提供少量的容量和运用。
即:
VPN技术的完成操作复杂,对用户的要求比拟的低。
〔三〕VPN的技术方案
1.现状需求:
随着运营管理的不时提高,格林连锁超市超市现已跨县区开展。
目前本超市总共有15家分店,5家大型库房。
各个分店与与总部的数据交流大局部依然采用拨号衔接的方式,每天定时传输数据,总部对各个连锁店的数据并不可以实时获取。
随着越来越多的商家参与这个行业,行业竞争越来越剧烈,要在剧烈的行业竞争中取得抢先位置,管理人员需求可以随时随地及时准确地获取所需求的数据,以便及时调整各项战略。
这就要求各连锁店能和总部实时共享传输营业数据。
目前仅仅依托Modem拨号、ADSL以及专线的组网形式曾经越来越不顺应公司对信息传输平台的要求了。
为了保证超市逻辑和管理上的同一性要求,招致了不同地域的超市网络信息交流出现出了信息流量大、交流频率高和信息涉密水平大等特点,这就要求超市的网络体系必需满足散布式、高效性和平安性。
网络既要保证高效运转又要保证数据的相对平安。
此外,由于经费限制,还要保证树立和运转的低本钱等,处置这些效果的关键在于如何完成不同区域间的子网互联。
超市为了对每天销售点系统的同步及财务结帐,拟采用VPN路由器将不同营业点与总部实时联机,每个门店可链接总店效劳器端的营销系统,而总店每天可查询不同营业点的库存,作帐务的同步等业务需求,结合关于以上VPN主要技术优点的剖析,应用VPN技术运用于连锁超市的构建,可以方便的提供各个店的互联、移动办公及分店间的交流效劳。
Ø各店互联:
在不同地域的分店与总部或许分店与分店之间,应用照应的VPN设备,可以树立VPN网络。
一方面,是的各分店与总部间方便、平安的共享资源和停止数据交流;另一方面,VPN技术还提供了一种虚拟的公用网环境,使得原本在地域上相对分散的各店的网络连成一体,在逻辑上坚持了分歧性。
此外,还可以节省少量的树立公用网而必需支付的用于租用通讯线路的费用。
Ø移动办公:
关于出差在外的或是因故在家的管理人员还是普通员工,应用相应的VPN客户软件,采用拨号方式或本地ISP,接入超市的VPN网络,可以完成传统物理公用网所不能完成的移动办公等功用,从而提高任务效率。
Ø办公交流:
由于超市供应商的天文散布招致公司经常委派业务员去异地洽谈协作业务,这样就给双方形成了方便与资金开支。
当树立VPN后,彼此间可以经过视频会议洽谈业务。
另外,同业者有时也需求相互自创,停止一些资源共享和信息交流。
而这一点假设运用公用网络完成其投入和本钱都是不可接受的。
2.VPN网络衔接结构
图1VPN衔接网络结构图
3.技术方案
1)VPN的技术原理
VPN系统使散布在不同中央的公用网络在不可信任的公用网络上平安的通讯。
它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
其处置进程如下:
Ø要维护的主机发送明文信息到衔接公共网络的VPN设备;
ØVPN设备依据网管设置的规那么,明白能否要对数据停止加密或让数据直接经过;
Ø对需求加密的数据,VPN设备对整个数据包停止加密和附上数字签名;
ØVPN设备加上新的数据包头,其中包括目的地、VPN设备需求的平安心爱和一些初始化参数;
ØVPN设备对加密后的数据包停止封装,重重新封装后的数据包经过虚拟的通道在公网上停止传输;
Ø当数据包抵达目的VPN设备时,数据包被解封,数字签名被核对无误后,数据包被解码。
2)VPN的完成方案
经过对网络现状的剖析,经VPN技术运用于超市网络需求和超市现有的两种网络结构相结合:
远程访问网络〔超市网用户在超市外远程访问超市的网络〕和超市外部的网络,所以在现有网络的基础上树立VPN。
依据总部和分部的网络运用要求和经济性等多方面思索。
选用硬件完成。
在总部装置一台欣联NR4600+作为宽领路由器兼VPN效劳端网关,总部用户透过欣联NR4600+的WAN1联机,以2M的ADSL上网;而分店那么采用NR3200作为上网路由器兼VPN客户端网关。
移动办公,那么可以笔记本、计算机内建的VPN拨号PPTPVPN方式,衔接到总公司的效劳器。
不论是在外出差还是在家中都可以经过PPTPVPN方式快速访问总部效劳器端,为企业在外出差人员很好的处置了时势需求。
本配置采用IPSecVPN协议,IPSecVPN协议为公认最平安的协议。
许多市面上的网络设备都支持,所以日后扩展不是效果。
而IPSec提供的保密功用那么可确保传输数据不会被中途阻拦,遭受有心人士应用。
〔四〕VPN造价
超市现有15家分店和5家大型库房。
设备类型
数量(台)
单价/元
备注
欣联NR4600+
1
3500
适用于150台/250以内的网络规模
欣联NR3200
20
980
适用于50台以内的网络规模
费用:
工程费:
(3500+980*20)*20=3640元
人工费:
3640*30%=1092元
总造价:
3640+1092=4732元
营业税:
4732*7%=331.24元
工期:
两天
二.流量控制篇
〔一〕必要性
Ø流量控制可以协助网络管理者对网络资源和业务资源停止带宽控制和资源调度,如对、FTP、SMTP以及P2P等运用停止管理,尤其是对P2P流量停止抑制来提升传统数据业务的用户体验度。
Ø具有流量控制才干的网络流量管理还可以对严重影响业务运营者支出的未经容许的其他业务停止抑制。
还可以经过综合运用网络层、传输层和运用层检测技术,对未经容许的宽带私接用户采取中缀衔接、自动告警、分时控制等多种管理举措。
Ø流量控制还可以协助网络流量管理完成业务资源的调度,并可以取得业务资源运用、业务形状的实时状况。
当某一网络运用业务效劳器负载较大时,可以停止全局的业务资源负载平衡,以平均地承当业务央求;同时也可以对用户的业务央求停止调度,决议能否继续响运用户新的业务央求,并依据用户的优先级优先照应高优先级用户的业务央求,以提升业务运营效率。
〔二〕可行性
1.技术可行性
流量控制技术运用范围普遍,技术成熟。
而且它的完成方法和途径很多,有基于交流机的、路由器还有基于设备的,技术完成很容易。
2.经济可行性
目前流量控制技术开展的成熟使得其价钱相对来说比拟的廉价。
企业在投资量很少的状况下就可以对企业网的流量停止直观的控制。
目前曾经出现了一些收费的流量控制产品。
3.社会可行性
流量控制是对网络流量停止检测与控制的一种技术。
普通的大型网络都会采取一些网络平安措施〔如装置防火墙、入侵检测等〕,所以企业可以在对平安知识停止培训的同时特地对流量控制技术停止捎带的培训。
而且目前曾经完成智能化调理,一旦制定好规那么系统可自动停止分配,不存在任何操作上的技术难度。
〔三〕方案
1.流量控制规那么
超市营业时间是早8:
00到晚9:
00,而且超市每天的营业中早9:
00左右和早晨7:
00~8:
00这段时间,超市客流量处于饱和形状。
另外超市每天早晨9:
00后财务部停止一天的资金结算业务、理货部停止货物的调度布置等。
这使得超市一整天的网络流量散布不平均。
鉴于此,超市采取流量控制方案以防止局部时段超市的网络发作阻塞甚至死锁。
超市每天的营业中早9:
00左右和早晨7:
00~8:
00这段时间给财务部和物流局部超市网络1/2的流量。
2.方案
在总部装置一台深信服M5400-BM(SINFORM5400-BM)的流量管理设备。
此设备支持多样化流量管理战略;支持对内网关键业务的带宽保证;支持针对单个用户/IP的流量控制。
有效区分〝正常流量〞与〝异常流量〞。
在识别发现各种网络运用的基础上,使网络流量得以区分并被量化之后,识别哪些是异常的流量或是渣滓流量、哪些是正常的流量、哪些是企业关键运用流量以及这些运用能否依照业务的需求在网络上正常运营。
3.效果
Ø合理应用网络资源。
防止由于网络带宽运用不当带来网络运用效率的低下以及带宽资源的糜费,维护用户投资。
Ø维护关键运用,发扬网络最大价值。
完成运用流量的带宽管理,保证对运用访问的必需带宽。
当各种网络运用同时停止时,就要保证关键性运用的运用效能,限制其它有关运用的带宽运用率。
Ø平安的增值。
检测并控制网络扫描、蠕虫和DDoS攻击;增强对员工的上网行为管理;维护企业关键资产,防止企业重要信息的合法泄露。
Ø减速网络运用,片面提高IT运营效率。
保证用户在有限的带宽下运作,支持更多的网络运用,提高网络运用的照应时间。
〔四〕资金预算
设备类型:
深信服M5400-BM(SINFORM5400-BM)
设备费元/台
工程费/元
人工费/元
总造价/元
营业税/元
工期
140000元/台
140000*20%=
28000
28000*30%=
8400
140000+8400=148400
148400*7%=
10388
1天
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 VPN 流量 控制