毕业设计论文VPN虚拟网络的原理和实现模板.docx
- 文档编号:14107988
- 上传时间:2023-06-20
- 格式:DOCX
- 页数:42
- 大小:590.54KB
毕业设计论文VPN虚拟网络的原理和实现模板.docx
《毕业设计论文VPN虚拟网络的原理和实现模板.docx》由会员分享,可在线阅读,更多相关《毕业设计论文VPN虚拟网络的原理和实现模板.docx(42页珍藏版)》请在冰点文库上搜索。
毕业设计论文VPN虚拟网络的原理和实现模板
摘要
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。
顾名思义,虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。
VPN是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。
VPN具有虚拟特点:
VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。
VPN利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性可扩充性和灵活性:
VPN必须能够支持通过Intranet和Internet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
搭建系统,安装Centos系统,安装Ssl、Pam-devel、Pam_mysql等支持、Lzo压缩等。
在搭建好系统过程之中,为了实现用户的远程访问,要保证系统符合如下标准方案:
用户验证、地址管理、数据加密、密钥管理、多协议支持等。
关键字:
VPN,用户验证,证书,协议,加密
Abstract
VPNfullnameinEnglishis"VirtualPrivateNetwork",translatesto"VirtualPrivateNetwork."Asthenamesuggests,virtualprivatenetwork,itcanbeinterpretedasavirtualenterpriseoutofline.VPNistheuseofpublicnetworkinfrastructure,throughthe"tunnel"technology,andothermeanstoachieveasimilarprivatespecialnetworkdatasecuretransmission.VPNwithvirtualfeatures:
VPNisnotaclosedproprietaryorleasedlinenetworkserviceprovidertoaclosedcircuit,butalsohasdedicatedVPNdatatransmissioncapabilities,asgreenasthesameVPNtothepublicnetworkmanagetheircompanyinformation.
VPNtunnelthroughtheuseofencryptiontechnologytoencryptdatatransmissiontoensuredataisspecifiedonlythesenderandreceiverunderstand,toensurethedataprivateandsecurity,scalabilityandflexibility:
VPNmustbeabletosupporttheIntranetandtheInternetforanytypeofdataflow,easytoaddnewnodestosupportmultipletypesoftransmissionmedia,meetthesimultaneoustransmissionofvoice,videoanddataapplicationssuchasnewhigh-qualitytransmission,andbandwidthoftheincreaseddemand.
support,Lzocompression.Buildagoodsystemintheprocess,inordertoachievetheuser'sremoteaccesssystemtoensurethatprogramsmeetthefollowingcriteria:
userauthentication,addressmanagement,dataencryption,keymanagement,multi-protocolsupport.
Keywords:
VPN,UserAuthentication,Certificates,Protocols,Encryption
第一章引言
1.1课题的背景和意义
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。
同时,这将简化网络的设计和管理,加速连接新的用户和网站。
另外,虚拟专用网还可以保护现有的网络投资。
随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
目前很多单位都面临着这样的挑战:
分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:
公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。
现在很多公司通过使用IPSecVPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
针对不同的用户要求,VPN有三种解决方案:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
对于很多IPSecVPN用户来说,IPSecVPN的解决方案的高成本和复杂的结构是很头疼的。
存在如下事实:
在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。
由于受到以上IPSecVPN的限制,大量的企业都认为IPSecVPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。
为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。
1.2目前VPN系统研究的进展
目前国内外硬件VPN产品已经相对比较成熟了,这里列出几个国内外有一定历史的知名品牌:
国外品牌:
1.Cisco2.Juniper3.Array4.Netgear5.Watchguard6.Hillstone7.Qno。
国内品牌:
1.E地通2.深信服3.H3C4.迅博5.冰峰网络6.奥联7.卫士通8.赛蓝9.365VPN10.X-Y小语VPN11.天益随易联vpn12.易通VPN13.网一VPN14.513VPN15.517VPN16.Qno侠诺。
国内VPN标准制定:
VPN标准分为两类:
IPSecVPN、SSLVPN。
IPSecVPN国家标准制定单位:
华为、深信服、中兴、无锡江南信息安全工程技术中心。
SSLVPN国家标准制定单位:
华为技术有限公司、深圳市深信服电子科技有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份有限公司、深圳市奥联科技有限公司等十余家单位。
1.3VPN系统的主要特点
1.3.1安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
1.3.2服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
1.3.3可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
1.3.4可管理性
从用户角度和运营商角度应可方便地进行管理、维护。
VPN管理的目标为:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
1.4不同加密方式的VPN比较
首先从SSLVPN和IPSecVPN个阵营出发做一个比较。
1.4.1SSLVPN比IPSecVPN部署、管理成本低
首先认识一下IPSEC存在的不足之处:
在设计上,IPSecVPN是一种基础设施性质的安全技术。
这类VPN的真正价值在于,它们尽量提高IP环境的安全性。
可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。
好处就摆在那里,但管理成本很高。
IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。
在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。
IPSecVPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。
SSLVPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。
其次再看看SSL的优势特点:
SSLVPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSLVPN公认的三大好处是:
第一来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSLVPN则完全没有这样的麻烦。
综合分析可见:
1.SSLVPN强调的优势其实主要集中在VPN客户端的部署和管理上,SSLVPN一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;2.某些SSLVPN厂商如F5有类似IPSecVPN的“网络访问”方式,可以解决传统的C/S应用程序的问题,用户用浏览器登录SSLVPN设备后,拨通网络访问资源即可获得一个虚拟IP,即可以访问按照安全策略允许访问的内网地址和端口,和IPSecVPN不同的是,这种方式并非工作在网络层,所以不会有接入地点的限制。
1.4.2SSLVPN比IPSecVPN更安全
首先还是先认识一下IPSEC存在的不足之处:
1.在通路本身安全性上,传统的IPSecVPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。
说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。
比如总公司和子公司之间用IPsecVPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsecVPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。
2.比如黑客想要攻击应用系统,如果远程用户以IPSecVPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。
3.比如应对病毒入侵,一般企业在Internet联机入口,都是采取适当的防毒侦测措施。
采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。
4.不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。
以InternetEmail系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯协议采用25和110端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25和110端口,否则远程电脑是无法与SMTP和POP3主机沟通的。
IPSecVPN联机就会有这个困扰和安全顾虑。
在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。
其次再看看SSL的优势特点:
1.SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。
无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。
2.若是采取SSLVPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。
有的厂商如F5公司的产品,可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查,如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等,不符合条件的客户端可以不允许其登录,这样就大大增加了整个系统的安全性。
3.而对于SSLVPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。
因此通过SSLVPN连接,受外界病毒感染的可能性大大减小。
有的厂商如F5公司的产品,自身带有防病毒软件,更可以通过标准协议连接防病毒软件,加强对于病毒的防治。
4.SSLVPN就没有这方面的困扰。
因为在远程主机与SSLVPN之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为WebServer对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。
如果所有后台系统都通过SSLVPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。
1.4.3SSLVPN与IPSecVPN相比,具有更好的可扩展性
首先还是先认识一下IPSecVPN存在的不足之处:
IPSecVPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSecVPN就要重新部署,因此造成IPSecVPN的可扩展性比较差。
其次再看看SSLVPN的优势特点:
SSLVPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
1.4.4SSLVPN在访问控制方面比IPSecVPN具有更细粒度
为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。
首先还是先认识一下IPSEC存在的不足之处:
由于IPSecVPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSecVPN网关,他可以在内部为所欲为。
因此,IPSecVPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。
所以IPSecVPN又被称为网络安全设备。
其次再看看SSL的优势特点:
在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。
与IPSecVPN只搭建虚拟传输网络不同的是,SSLVPN重点在于保护具体的敏感数据,比如SSLVPN可以根据用户的不同身份,给予不同的访问权限。
就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。
而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
1.4.5使用SSLVPN相比IPSecVPN也具有更好的经济性
假设一个公司有1000个用户需要进行远程访问,那么如果购买IPSecVPN,那么就需要购买1000个客户端许可,而如果购买SSLVPN,因为这1000个用户并不同时进行远程访问,按照统计学原理,假定只有100个用户会同时进行远程访问,只需要购买100个客户端许可即可。
1.5本论文各部分的主要内容
Openvpn的路由模式,即通过证书认证建立连接,通过Iptables做路由实现VPN的模式。
Openvpn与Mysql协作工作的过程,VPN网络通过Mysql来存取认证数据,客户通过VPN拨号同VPN服务器端建立连接。
Openvpn的各种配置参数,及各种配置参数的设置方法和意义。
第二章搭建VPN网络的路由模式
2.1安装centos
目的:
搭建一台OpenVPNServer使出差的员工也可以方便的访问到公司局域网中的共享资料。
网络环境如图2-1所示:
图2-1网络环境示意图
首先,安装好系统Centos,具体过程根据安装向导来做,这里不多谈。
为了以后的Openvpn的运行,这里安装Centos5.2版本。
2.2安装Openvpn
2.2.1关闭SELinux
图2-2关闭SELinux
vi/etc/sysconfig/selinux
图2-3SELinux关闭
2.2.2检测Openssl是否已安装
[root@localhost~]#Whereisopenssl
图2-4检测程序录入
如果你的系统没有OpenSSL库,用系统自动的yum工具安装yuminstallopenssl,或者下载tar包安装。
Lzo主要用于实现VPN连接的压缩特性,下载地址如下所示:
解压到/root/Scripts目录中,后面所有的软件到存放到这个目录。
tarzxvflzo-2.0.3.tar.gz
cdlzo-2.0.3
./configure
Make
Makeinstall
2.2.3下载Openvpn-2.0.9.tar.gz并解压安装
Wget
然后解压tar包,如下命令。
tarzxvfopenvpn-2.0.9.tar.gz
cdopenvpn-2.0.9
配置编译属性,如下所示:
./configure--prefix=/usr/local/openvpn\
--with-lzo-headers=/usr/local/include/lzo\
--with-lzo-lib=/usr/local/lib\
--with-ssl-headers=/usr/include/openssl\
--with-ssl-lib=/usr/lib
Make
Makeinstall
完成安装,当用Locate命令查找Openvpn的时候,发现已经找到Lzo压缩了,如图2-5所示:
图2-5Lzo压缩
2.2.4安装配置TUN/TAP驱动
Centos5.2用的是2.6的内核,如图2-6所示:
图2-6Centos5.2内核
TUN/TAP驱动已经捆绑到内核上了,如果内核是如果你使用低于2.4.7的,那要自己升级编译内核。
通过如下命令确认tun是否已经绑定:
locateif_tun.h
此命令会产生类似这样的信息/usr/include/linux/if_tun.h。
如果自己用tar包安装的话,需要做下配置TUN/TAP设备节点
mknod/dev/net/tunc10200
配置/etc/rc.local文件,如下命令,使每次系统启动后需要执行一次的配置。
因为在Linux上使OpenVPN或任何用到TUN/TAP设备的程序前都需要载入。
TUN/TAPkernelmodule:
modprobetun
然后启用IP转发:
echo1>/proc/sys/net/ipv4/ip_forward
图2-7载入指令
为了保证万无一失,把这条指令也放在开机里面,也就是/etc/rc.local文件里面。
2.3配置Openvpn
2.3.1生成证书Key说明
在生成证书之前,首先需要首先配置一下环境变量,以便于生成证书过程中调用,环境变量的配置,一方面要让他跟相应用户绑定,如root,另一方面让它实时生效,开始进行证书的生成。
2.3.2设置环境变量
[root@openvpn~]#vi/root/.bash_profile
D=/root/Scripts/openvpn-2.0.9/easy-rsa
KEY_CONFIG=$D/f
KEY_DIR=$D/keys
KEY_SIZE=1024
KEY_COUNTRY=CN
KEY_PROVINCE=GD
KEY_CITY=DG
KEY_ORG="ld"
KEY_EMAIL="dongkuan@"
exportKEY_CONFIGKEY_DIRKEY_SIZEKEY_COUNTRYKEY_PROVINCEKEY_CITYKEY_ORGKEY_EMAILD
这样,环境变量便与Root用户进行了绑定,当然,现在开始要证书生成,因此要把环境变量实时生效,这样把上面的代码复制一份贴到系统里面,如图2-8所示:
图2-8复制代码粘贴
检查下证书是否生效:
echo$KEY_EMAIL
图2-9检查证书
2.3.3初始化PKI
Build:
代码:
./clean-all
./build-ca
Generatinga1024bitRSAprivatekey
....................................................++++++
...++++++
writingnewprivatekeyto'ca.key'
-----
Youareabouttobeaskedtoenterinform
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 毕业设计 论文 VPN 虚拟 网络 原理 实现 模板