網(wǎng)絡(luò)安全畢業(yè)論文設(shè)計說明

.PAGE.呼倫貝爾學(xué)院計算機(jī)科學(xué)與技術(shù)學(xué)院本科生畢業(yè)論文<設(shè)計>題目：學(xué)生__學(xué)號：專業(yè)__指導(dǎo)完成時間：..目錄摘要3Abstract4第1章網(wǎng)絡(luò)安全概述51.1網(wǎng)絡(luò)安全的現(xiàn)狀51.2VPN技術(shù)介紹61.3課題背景71.4研究目標(biāo)7第2章VPN技術(shù)及其應(yīng)用82.1VPN概念82.2VPN技術(shù)的工作原理82.3VPN技術(shù)的應(yīng)用領(lǐng)域92.3.1遠(yuǎn)程訪問102.3.2組建內(nèi)聯(lián)網(wǎng)102.3.3組建外聯(lián)網(wǎng)10第3章VPN技術(shù)與相關(guān)協(xié)議113.1PPTP協(xié)議與L2TP協(xié)議11PPTP協(xié)議11L2TP協(xié)議113.2Ipsec協(xié)議11設(shè)計Ipsec的目的12Ipsec的組成部分123.3ESP機(jī)制13ESP封裝技術(shù)的隧道模式13ESP封裝技術(shù)的傳輸模式143.4AH機(jī)制15AH封裝技術(shù)的隧道模式15AH封裝技術(shù)的傳輸模式16第4章方案設(shè)計164.1需求分析174.2設(shè)計方案要達(dá)到的目的184.3VPN組建方案網(wǎng)絡(luò)拓?fù)鋱D18第5章各部分VPN設(shè)備的配置195.1公司總部到分支機(jī)構(gòu)的ISAVPN配置195.1.1總部ISAVPN配置205.1.2支部ISAVPN配置225.1.3VPN連接245.1.4連接測試255.2公司總部站點到移動用戶端的VPN配置27總部ISAVPN配置285.2.2動用戶端VPN配置295.2.3連接測試30總結(jié)31參考文獻(xiàn)32致謝33摘要隨著通信技術(shù)、微電子技術(shù)和計算機(jī)軟件技術(shù)的迅猛發(fā)展,以計算機(jī)為基礎(chǔ)的網(wǎng)絡(luò)技術(shù)在開放系統(tǒng)互連模型和TCP/IP協(xié)議簇的規(guī)約下,異型計算機(jī)之間、異構(gòu)網(wǎng)絡(luò)之間互連的技術(shù)屏障已被完全打破,尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展,企業(yè)日益擴(kuò)張,客戶分布日益廣泛,合作伙伴日益增多,這種情況促使了企業(yè)的效益日益增長,另一方面也越來越凸現(xiàn)出傳統(tǒng)企業(yè)網(wǎng)的功能缺陷,于是企業(yè)便對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求,由此推進(jìn)了信息技術(shù)的發(fā)展。如今從個人、家庭到企事業(yè)單位、政府以及軍事部門都已離不開網(wǎng)絡(luò),迅速發(fā)展的網(wǎng)絡(luò)不僅提高了工作效率還給人們帶來了越來越多的利益,但網(wǎng)絡(luò)給人們帶來了方便的同時對每個用戶的信息卻受到了嚴(yán)重的威脅。針對這一問題計算機(jī)人員研發(fā)出VPN的一種虛擬局域網(wǎng),它的出現(xiàn)解決了安全傳輸信息的這一問題。本文首先介紹了VPN的概念、應(yīng)用前景、以及相關(guān)的技術(shù)與主要的安全協(xié)議,并通過一個小企業(yè)運用VPN的技術(shù)來構(gòu)建自己的企業(yè)網(wǎng)和外聯(lián)網(wǎng)的實例,來實現(xiàn)各個之間的信息通信,本文中包括各模塊的工作原理、實現(xiàn)的思想、實現(xiàn)的細(xì)節(jié)以及最終的測試結(jié)果等,并對在實驗中遇到的問題以及困難得到了解決。關(guān)鍵詞VPN；加密；PPTP；L2TP；IpsecAbstractWiththedevelopmentofcommunicationtechnology,microelectronicstechnologyandcomputersoftwaretechnologydevelopment,computerbasednetworktechnologyinOpenSystemInterconnectReferenceModelandTCP/IPprotocolsunderthestipulationsbetweencomputers,special-shaped,heterogeneousnetworkinterconnectionbetweentechnologicalbarrierhasbeenbrokencompletely,especiallythedevelopmentofnetworkeconomy,businessexpansion,customerincreasingthedistributionofawiderangeofpartners,increasing,thispromptedthebenefitoftheenterpriseisgrowing,butalsoincreasinglyprotrudingshowsthetraditionalenterprisenetworkfunctionaldefects,thentheenterprisetoitsownnetworkconstructionraisedtallerrequirement,therebypromotingthedevelopmentoftheinformationtechnology.Nowfromindividuals,familiestoenterprises,governmentsandmilitarydepartmentshavebeeninseparablefromthenetwork,therapiddevelopmentofthenetworknotonlyimproveworkefficiencytobringpeoplemoreandmoreinterests,buttheInternetbringspeopleconveniencetoeachuser'sinformationhasbeenaseriousthreatto.InviewoftheproblemsappearedinrecentyearsaVpnvirtuallocalareanetwork,itappearstosolvethesecuretransmissionofinformationtothisproblem.Thispaperfirstintroducestheconcept,application,prospectofVPN,andtherelatedtechnologyandthemainsecurityprotocol,andthroughasmallenterprisestouseVPNtechnologytobuildtheirownintranetandextranetexamples,torealizetheinformationcommunicationbetween,experimentsincludingtheworkingprinciplesofeachmodule,realizeideasthedetailsoftheimplementation,aswellasthefinaltestresult,andtheexperimentencounteredproblemsanddifficultieshavebeensolved.第1章網(wǎng)絡(luò)安全概述1.1網(wǎng)絡(luò)安全的現(xiàn)狀網(wǎng)絡(luò)的誕生極大地方便了人們的溝通和交流,信息網(wǎng)絡(luò)更已深入到政府、軍事、企業(yè)生產(chǎn)管理等諸多領(lǐng)域,其中存儲、傳輸和處理的信息有很多是政府的重要決策、軍事秘密、企業(yè)生產(chǎn)經(jīng)營的商業(yè)信息等,然而自網(wǎng)絡(luò)誕生之日起,網(wǎng)絡(luò)安全就一直如影隨形。1988年11月〔1計算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重?！?電腦黑客方法活動已形成重要威脅?！?信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)?！?信息系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)?！?傳輸信息的完整性、可用性、保密性得不到保證。計算機(jī)網(wǎng)絡(luò)的安全與我們自己的利益息息相關(guān),網(wǎng)絡(luò)是動態(tài)變化的,新的Internet黑客站點、病毒、盜取每日劇增,所以一個安全的計算機(jī)網(wǎng)絡(luò)系統(tǒng)必須采取強(qiáng)有力的網(wǎng)絡(luò)安全策略,認(rèn)真研究網(wǎng)絡(luò)安全發(fā)展方向掌握最先進(jìn)的技術(shù),這樣才能保證計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、可靠地正常運行,才能把握住計算機(jī)網(wǎng)絡(luò)安全的大門。目前國內(nèi)外有以下幾種典型的網(wǎng)絡(luò)安全技術(shù)：1.防火墻系統(tǒng)防火墻系統(tǒng)能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,加強(qiáng)網(wǎng)絡(luò)間的訪問控制,防止外部用戶非法使用內(nèi)部網(wǎng)的資源,保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞,防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問、外界的哪些人員可以訪問內(nèi)部的哪些服務(wù)、以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往因特網(wǎng)的信息都必須經(jīng)過防火墻,接受防火墻的檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。2.入侵檢測系統(tǒng)入侵檢測通過監(jiān)控系統(tǒng)的使用情況,來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進(jìn)行入侵的企圖。它根據(jù)用戶的歷史行為,基于用戶當(dāng)前的操作,完成對攻擊的決策并一一記錄下攻擊證據(jù),為數(shù)據(jù)恢復(fù)與事故處理提供依據(jù)。目前主要有兩類入侵檢測系統(tǒng)：基于網(wǎng)絡(luò)的和基于主機(jī)的。前者在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流,查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵,并對發(fā)現(xiàn)的入侵做出及時的響應(yīng)；后者是檢查某臺主機(jī)系統(tǒng)日志中記錄的未經(jīng)授權(quán)的可疑行為,并及時做出響應(yīng)。3.訪問控制技術(shù)訪問控制也是網(wǎng)絡(luò)安全防范和保護(hù)的主要技術(shù),它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制,它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過,該用戶便不能進(jìn)入該網(wǎng)絡(luò)。4.虛擬專用網(wǎng)VPN技術(shù)VPN技術(shù)可以在遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)合作伙伴與公司的內(nèi)部網(wǎng)之間建立可靠的安全連接,并保護(hù)數(shù)據(jù)的安全傳輸。與實際的點到點連接電路一樣,VPN系統(tǒng)可被設(shè)計成通過Internet,提供安全的點到點<或端到端>的"隧道"。一個VPN至少提供如下功能：〔1數(shù)據(jù)加密。〔2信息認(rèn)證和身份認(rèn)證?！?訪問權(quán)限控制。根據(jù)用戶的需求,VPN可以用多種不同的方法實現(xiàn)。通常情況下,有基于防火墻的VPN、基于路由器的VPN、基于服務(wù)器的VPN和專用的VPN設(shè)備等。企業(yè)經(jīng)濟(jì)的發(fā)展是推動社會發(fā)展的主要動力,所以企業(yè)之間的商業(yè)信息的安全就變得尤為重要,上述中VPN虛擬網(wǎng)絡(luò)技術(shù)不僅解決了信息的安全傳輸還解決的企業(yè)與各個之間的通信,還可以為組織機(jī)構(gòu)提供一個滿足跨越公共通信網(wǎng)絡(luò)建立安全、可靠和高效的網(wǎng)絡(luò)平臺的虛擬專網(wǎng)。1.2VPN技術(shù)介紹為適應(yīng)全球經(jīng)濟(jì)一體化的格局與發(fā)展,利用IP協(xié)議和現(xiàn)有的Internet來建立企業(yè)的安全的專有網(wǎng)絡(luò),成為主要VPN發(fā)展趨勢,VPN網(wǎng)絡(luò)給用戶所帶來的好處主要表現(xiàn)在以下幾個方面：節(jié)約成本節(jié)約成本是VPN網(wǎng)絡(luò)技術(shù)的最為重要的一個優(yōu)勢,也是它取勝傳統(tǒng)的專線網(wǎng)絡(luò)的關(guān)鍵所在。據(jù)行業(yè)調(diào)查公司的研究報告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠(yuǎn)程接入服務(wù)器或Modem池和撥號線路的企業(yè)能夠節(jié)省30%到70%的開銷。增強(qiáng)的安全性目前VPN主要采用四項技術(shù)來保證數(shù)據(jù)通信安全,這四項技術(shù)分別是隧道技術(shù)<Tunneling>、加解密技術(shù)<Encryption&Decryption>、密鑰管理技術(shù)<KeyManagement>、身份認(rèn)證技術(shù)<Authentication>。網(wǎng)絡(luò)協(xié)議支持VPN支持最常用的網(wǎng)絡(luò)協(xié)議,這樣基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機(jī)都可以很容易地使用VPN,這意味著通過VPN連接可以遠(yuǎn)程運行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。可隨意的與合作伙伴聯(lián)網(wǎng)在過去企業(yè)如果想與合作伙伴連網(wǎng),雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路,這樣相當(dāng)麻煩,不便于企業(yè)自身的發(fā)展,有了VPN之后,這種協(xié)商也毫無必要,真正達(dá)到了要連就連要斷就斷,可以實現(xiàn)靈活自如的擴(kuò)展和延伸。安全的IP地址,由于VPN是加密的,VPN數(shù)據(jù)包在因特網(wǎng)中傳輸時因特網(wǎng)上的用戶只看到公用的IP地址,看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址,因此遠(yuǎn)程專用網(wǎng)絡(luò)上指定的地址是受到保護(hù)的。1.3課題背景隨著信息時代的來臨,企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。有人曾這樣比喻互聯(lián)網(wǎng),互聯(lián)網(wǎng)就像一片汪洋大海,接入互聯(lián)網(wǎng)的每個用戶就像是漂泊在這汪洋大海里的一葉孤舟,隨時都會有觸礁和遭遇風(fēng)暴的危險,但網(wǎng)絡(luò)帶給人類的誘惑是無法抗拒的,VPN虛擬網(wǎng)絡(luò)的出現(xiàn)不僅解決了信息的安全傳輸還解決的企業(yè)與各個之間的通信。計算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升,信息管理范圍不斷擴(kuò)大,不論是企業(yè)內(nèi)部職能部門,還是企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員,都需要同企業(yè)總部之間建立起一個快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境,計算機(jī)技術(shù)人員針對這一情況通過VPN技術(shù)為企業(yè)組建了以下三種網(wǎng)絡(luò)：〔1為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)將地域分散的分支機(jī)構(gòu)"連接在一起"提出了內(nèi)聯(lián)網(wǎng)〔intranet概念。〔2為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)與合作伙伴和有共同利益的外部內(nèi)聯(lián)網(wǎng)實現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)〔Extranet概念。〔3為解決企事業(yè)單位職員出差在外,通過公共通信網(wǎng)絡(luò)共享內(nèi)聯(lián)網(wǎng)資源而提出的遠(yuǎn)程接入〔Remoteaccess概念。中小型企業(yè)如果自己購買VPN設(shè)備,財務(wù)成本會比較高,而且一般中小型企業(yè)的資金能力有限,但VPN技術(shù)最顯著的一個特點就是節(jié)約成本,這種網(wǎng)絡(luò)沒有自己所有權(quán)的網(wǎng)絡(luò)設(shè)備和通信線纜,是通過租入或臨時租用的公共通信設(shè)備設(shè)施中的某一部分供自己完成業(yè)務(wù)并保證了信息的安全性,所以發(fā)展中小型企業(yè)VPN技術(shù)是最好的選擇。1.4研究目標(biāo)在本文的實例中呼和浩特的鴻駿電子在海拉爾開辦分公司來發(fā)展業(yè)務(wù),公司希望總部與分公司、總部與合作伙伴可以隨時的進(jìn)行安全的信息溝通,而外出辦公人員可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù),隨時隨地共享商業(yè)信息提高工作效率。我們根據(jù)VPN的虛擬技術(shù)在企業(yè)與客戶、總部與分部以及外出人員之間建立了安全可靠的虛擬通道,并用運用密碼算法對數(shù)據(jù)進(jìn)行加密處理來保證傳輸信息的安全性,對數(shù)據(jù)進(jìn)行完整性校驗,為了保障信息在internet上傳輸?shù)陌踩?VPN采用了隧道、認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施,解決了企業(yè)與客戶、總部與分部以及外出人員之間傳輸?shù)男畔⒉槐煌悼?、篡改、?fù)制。在構(gòu)建VPN虛擬局域網(wǎng)的過程中,著實遵循著方便實用、高效低成本、安全可靠等相關(guān)原則合理地規(guī)劃出網(wǎng)絡(luò)安全架構(gòu),對企業(yè)使用ISAServerVPN安全方案提供一點小的見解。第2章VPN技術(shù)及其應(yīng)用2.1VPN概念VPN是英文virtualprivatenetwork的縮寫,這里專指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用或私有網(wǎng),可以被認(rèn)為是一種公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)。VPN的隔離特性提供了某種的通信保密性和虛擬性。雖然VPN在本質(zhì)上并不是完全獨立的網(wǎng)絡(luò),它與真正網(wǎng)絡(luò)的差別在于VPN以隔離方式通過共享公共通信基礎(chǔ)設(shè)施,我們從通信角度將VPN定義為："VPN是一種通信環(huán)境,在這一環(huán)境中,存取受到控制目的在于只許被確定為同一個共同體的內(nèi)部同層連接,而VPN的構(gòu)建則是通過對公共通信基礎(chǔ)設(shè)施的通信介質(zhì)進(jìn)行某種邏輯分割來進(jìn)行的,"同時我們從組網(wǎng)技術(shù)角度將VPN定義為："VPN通過共享通信基礎(chǔ)設(shè)施為用戶提供制定的網(wǎng)絡(luò)連接,這種定制的連接要求用戶共享相同的安全性、優(yōu)先級服務(wù)、可靠性和管理性策略,在共享的基礎(chǔ)通信設(shè)施上采用隧道技術(shù)和特殊配置技術(shù)措施,仿真點到點的連接。"VPN它不同于傳統(tǒng)的網(wǎng)絡(luò),VPN網(wǎng)絡(luò)可以將邏輯上不能相通的網(wǎng)絡(luò)之間建立一個安全的通訊通道,使得這兩個網(wǎng)絡(luò)之間的能夠互相訪問。VPN通過對數(shù)據(jù)進(jìn)行完整性校驗,運用密碼算法對數(shù)據(jù)進(jìn)行加密處理來保證其安全性。為了保障信息在internet上傳輸?shù)陌踩?VPN技術(shù)采用了隧道、認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施,保證信息在傳輸中不被偷看、篡改、復(fù)制。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。2.2VPN技術(shù)的工作原理由于VPN體系的復(fù)雜性和融合性,VPN服務(wù)的成長速度將超越VPN產(chǎn)品,成為VPN發(fā)展的新動力。目前大部分的VPN市場份額仍由VPN產(chǎn)品銷售體現(xiàn),在未來的若干年里,VPN服務(wù)所占的市場份額將超過VPN產(chǎn)品,這也體現(xiàn)了信息安全服務(wù)成為競爭焦點的趨勢。而VPN技術(shù)的原理是怎么樣的呢,下面簡單的介紹下。把因特網(wǎng)用作專用廣域網(wǎng),就要克服兩個主要障礙。首先,網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如IPX和NetBEUI進(jìn)行通信,但因特網(wǎng)只能處理IP流量。所以,VPN就需要提供一種方法,將非IP的協(xié)議從一個網(wǎng)絡(luò)傳送到另一個網(wǎng)絡(luò)。其次,網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸,因而,只要看得到因特網(wǎng)的流量,就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機(jī)密信息,這顯然是一個問題。VPN克服這些障礙的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸,而是首先進(jìn)行加密以確保安全,然后由VPN封裝成IP包的形式,通過隧道在網(wǎng)上傳輸,如圖1-1所示。圖SEQ圖\*ARABIC1-1工作原理源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的VPN隧道發(fā)起器進(jìn)行通信。兩者就加密方案達(dá)成一致,然后隧道發(fā)起器對包進(jìn)行加密,確保安全〔為了加強(qiáng)安全,應(yīng)采用驗證過程,以確保證方式。最后VPN發(fā)起器將整個加密包封裝成IP包?，F(xiàn)在不管最初的傳輸是何種協(xié)議,它都能在純IP因特網(wǎng)上傳輸。又因為包進(jìn)行了加密,所以誰也無法讀取原始數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)這頭,VPN隧道終結(jié)器收到包后去掉IP信息,然后根據(jù)達(dá)成一致的加密方案對包進(jìn)行解密,將隨后獲得的包發(fā)給遠(yuǎn)程接入服務(wù)器或本地路由器,他們在把隱藏的IPX包發(fā)到網(wǎng)絡(luò),最終發(fā)往相應(yīng)目的地。2.3VPN技術(shù)的應(yīng)用領(lǐng)域利用VPN技術(shù)幾乎可以解決所有利用公共通信網(wǎng)絡(luò)進(jìn)行通信的虛擬專用網(wǎng)絡(luò)連接的問題。歸納起來有以下幾種應(yīng)用領(lǐng)域。遠(yuǎn)程訪問為解決企事業(yè)單位職員出差在外,通過公共通信網(wǎng)絡(luò)共享內(nèi)聯(lián)網(wǎng)資源而提出的遠(yuǎn)程接入〔Remoteaccess概念。遠(yuǎn)程移動用戶通過VPN技術(shù)可以在任何時間、任何地點采用撥號、ISDN、DSL、移動IP和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設(shè)備建立起隧道或密道信,實現(xiàn)訪問連接,此時的遠(yuǎn)程用戶終端設(shè)備上必須加裝相應(yīng)的VPN軟件。推而廣之,遠(yuǎn)程用戶可與任何一臺主機(jī)或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實現(xiàn)遠(yuǎn)程VPN訪問。這種應(yīng)用類型也叫AccessVPN<或訪問型VPN>,這是基本的VPN應(yīng)用類型。不難證明,其他類型的VPN都是AccessVPN的組合、延伸和擴(kuò)展。組建內(nèi)聯(lián)網(wǎng)為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)將地域分散的分支機(jī)構(gòu)"連接在一起"提出了內(nèi)聯(lián)網(wǎng)〔intranet概念。一個組織機(jī)構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機(jī)構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施上采用的隧道技術(shù)等VPN技術(shù)構(gòu)成組織機(jī)構(gòu)"內(nèi)部"的虛擬專用網(wǎng)絡(luò),當(dāng)其將公司所有權(quán)的VPN設(shè)備配置在各個公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間〔即連接邊界處時,這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN組建的內(nèi)聯(lián)網(wǎng)也叫IntranetVPNIntranetVPN是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。組建外聯(lián)網(wǎng)為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)與合作伙伴和有共同利益的外部內(nèi)聯(lián)網(wǎng)實現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)〔Extranet概念。使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機(jī)或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來,根據(jù)安全策略、資源共享約定規(guī)則實施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定的主機(jī)和網(wǎng)絡(luò)資源相互共享,這在業(yè)務(wù)機(jī)構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價值。這樣組建的外聯(lián)網(wǎng)也叫ExtranetVPN。ExtranetVPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù),必須解決其中的密碼分發(fā)、管理的一致性問題。第3章vpn技術(shù)相關(guān)協(xié)議3.1PPTP協(xié)議與L2TP協(xié)議PPTP協(xié)議1996年,Microsoft和Ascend等在PPP協(xié)議的基礎(chǔ)上開發(fā)了PPTP,它集成于WindowsNTServer4.0中,WindowsNTWorkstation和Windows9.X也提供相應(yīng)的客戶端軟件。PPP支持多種網(wǎng)絡(luò)協(xié)議,可把IP、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中,再將整個報文封裝在PPTP隧道協(xié)議包中,最后,再嵌入IP報文或幀中繼或ATM中進(jìn)行傳輸。PPTP提供流量控制,減少擁塞的可能性,避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點對點加密<MPPE:MicrosoftPoint-to-Point>算法,可以選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。1996年Cisco提出L2F<Layer2Forwarding>隧道協(xié)議,它也支持多協(xié)議,但其主要用于Cisco的路由器和撥號訪問服務(wù)器。3.1.2L2TP協(xié)議1997年底Microsoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起,形成了L2TP協(xié)議。L2TP支持多協(xié)議,利用公共網(wǎng)絡(luò)封裝PPP幀可以實現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。這類服務(wù)不單支持已注冊的IP地址,也支持私有的IP地址,以及IPX、X2.5等多協(xié)議傳輸。這類新型的服務(wù)為撥號用戶和ISP都代來了極大的好處。因為這類服務(wù)支持已耗費了大量資金建成的傳統(tǒng)非IP網(wǎng),或允許共同因特網(wǎng)巨大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。L2TP正是這類服務(wù)中的典型代表。L2TP將PPP分組進(jìn)行隧道封裝并在不同傳輸媒體上傳輸,使用PPP可靠性發(fā)送<RFC1663>實現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務(wù)器之間采用口令握手協(xié)議CHAP來驗證對方的身份,這使得現(xiàn)如今的異地辦公更加方便和安全。3.2Ipsec協(xié)議IPSec<IPSecurty>是IETFIPSec工作組為了在IP層提供通信安全而制定的一套協(xié)議族。它包括安全協(xié)議部分和密鑰協(xié)商部分。安全協(xié)議部分定義了對通信的各種保護(hù)方；密鑰協(xié)商部分定義了如何為安全協(xié)議商保護(hù)參數(shù)以及如何對通信實體的身份進(jìn)行鑒別。IPSec安全協(xié)議給出了兩種通信保護(hù)機(jī)制：封裝安全載荷〔EncapsuationSecurityPayload,以下簡稱ESP和鑒別頭〔AuthenticationHeader,以下簡稱AH。其中ESP機(jī)制為通信提供機(jī)密性、完整性保護(hù)；AH機(jī)制為通信提供完整性保護(hù)。ESP和AH機(jī)制都能為通信提供抗重放<Anti-replay>攻擊。Ipsec協(xié)議使用IKE〔InternetKeyExchange協(xié)議實現(xiàn)安全協(xié)議自動安全參數(shù)協(xié)商。IKE協(xié)商的安全參數(shù)包括加密及鑒別密鑰、通信的保護(hù)模式〔隧道或傳輸模式、密鑰的生存期等。IKE將這些安全參數(shù)構(gòu)成的安全參數(shù)背景稱為安全關(guān)聯(lián)〔SecurityAssociation,以下簡稱SA。IKE還負(fù)責(zé)這些安全參數(shù)的刷新。設(shè)計Ipsec的目的以TCP/IP協(xié)議簇的設(shè)計初衷及其使用環(huán)境基本未考慮互連技術(shù)造成的安全隱患和固有的漏洞,這是因為TCP/IP協(xié)議族的主要協(xié)議以及因特網(wǎng)原始主干均源于美國國防部的研究計劃和項目應(yīng)用,它運行于國防部內(nèi)部封閉的網(wǎng)絡(luò)。網(wǎng)絡(luò)內(nèi)的用戶和設(shè)備在嚴(yán)密的管理的管理制度約束和高強(qiáng)度的安全觀念培訓(xùn)機(jī)制下,其運行環(huán)境是安全的。美國軍方將這一技術(shù)和主干網(wǎng)移交給社會使用時,已將原始主干網(wǎng)絡(luò)分成無物理連接的兩個部分。由于TCP/IP協(xié)議簇的運行環(huán)境發(fā)生了變化,再也沒有人們想象中的那么安全。如今因特網(wǎng)中的攻擊方式層出不窮,人們因為商業(yè)的、政治的或個人目的互相偷聽、攻擊和破壞。為了抵御這些攻擊,IETF設(shè)計了IPSec協(xié)議。IPSec協(xié)議利用預(yù)享密鑰、數(shù)字簽名或公鑰加密實現(xiàn)強(qiáng)的通信實體身份相互鑒別,并對通信提供基于預(yù)享密鑰的分組級源鑒別；IPSec協(xié)議通過ESP機(jī)制為通信提供機(jī)密性保護(hù)；IPSec協(xié)議通過AH和ESP機(jī)制能夠為通信提供完整性保護(hù)；IPSec協(xié)議通過AH和ESP機(jī)制能夠為通信提供抗重放攻擊。Ipsec的組成部分安全體系結(jié)構(gòu)ESPAH加密算法鑒別算法DOI密鑰管理協(xié)議在協(xié)議協(xié)議族里,給出了IPSec協(xié)議體系結(jié)構(gòu)。體系結(jié)構(gòu)定義了主機(jī)和網(wǎng)關(guān)應(yīng)提供的各種保護(hù)功能。體系規(guī)定了IPSec協(xié)議提供的兩種安全保護(hù)機(jī)制：AH和ESP機(jī)制。ESP機(jī)制為通信提供機(jī)密性保護(hù)和完整性保護(hù)；AH機(jī)制對通信提供完整性保護(hù)。這兩種機(jī)制為IPSec協(xié)議族提供安全服務(wù)。通信雙方何時應(yīng)實現(xiàn)ESP或AH保護(hù)、保護(hù)什么樣的通信、保護(hù)的強(qiáng)度如何以及何時應(yīng)實現(xiàn)密鑰協(xié)商等,都受到實施IPSec的安全策略的控制。安全體系結(jié)構(gòu)ESPAH加密算法鑒別算法DOI密鑰管理協(xié)議圖3-1IPSec各組件的關(guān)系3.3ESP機(jī)制ESP機(jī)制主要是為通信提供機(jī)密性保護(hù)。依據(jù)建立安全關(guān)聯(lián)時的選擇,它也能為通信提供鑒別保護(hù)。因為ESP封裝的載荷內(nèi)容不同,可將ESP分為兩種模式：?隧道模式：將整個IP分組封裝到ESP載荷之中。?傳輸模式：將上層協(xié)議部分封裝到ESP載荷之中。ESP封裝技術(shù)的隧道模式ESP機(jī)制通過將整個IP分組或上層協(xié)議部分〔即傳輸層協(xié)議數(shù)據(jù),如TCP、UDP或ICMP協(xié)議數(shù)據(jù)>封裝到一個ESP載荷中,然后對此荷載進(jìn)行相應(yīng)的安全處理,如加密處理、鑒別處理等,實現(xiàn)對通信的機(jī)密性或完整性保護(hù),對于隧道模式,有如下典型實現(xiàn)模型如圖3-2所示。安全網(wǎng)關(guān)1安全網(wǎng)關(guān)1安全網(wǎng)關(guān)2ESPESP0主機(jī)11ESP隧道主機(jī)21圖3-2ESP隧道模式即在ESP隧道的實施模型中,IPSec處理模塊安裝于安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2,由它們來實現(xiàn)ESP處理。位于安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2之后的子網(wǎng)被認(rèn)為是內(nèi)部可信的,因此分別稱其為網(wǎng)關(guān)1和網(wǎng)關(guān)2的保護(hù)子網(wǎng)。保護(hù)子網(wǎng)內(nèi)的通信都是以文明方式進(jìn)行。但當(dāng)兩個子網(wǎng)之間的分組流經(jīng)網(wǎng)關(guān)1和網(wǎng)關(guān)2之間的公網(wǎng)時,將受到ESP機(jī)制的安全保護(hù)。這種模式有如下優(yōu)點：?保護(hù)子網(wǎng)中的所有用戶都可以透明地享受由安全網(wǎng)關(guān)提供的安全保護(hù)。?子網(wǎng)內(nèi)部可以使用私有IP地址,無須公有IP地址資源。?子網(wǎng)內(nèi)部的拓?fù)浣Y(jié)構(gòu)被保護(hù)。這種模式的缺點則為：?增大了網(wǎng)關(guān)內(nèi)部的處理負(fù)荷,容易形成通信瓶頸。?對內(nèi)部的諸多安全問題將不可控。ESP封裝技術(shù)的傳輸模式對于傳輸模式,有如下典型實現(xiàn)模型：如圖3-3所示。ESPESP主機(jī)11ESP隧道主機(jī)2054圖3-3傳輸模式的ESP的實現(xiàn)其中,IPSec模塊被安裝于兩端主機(jī)。主機(jī)11發(fā)送到主機(jī)21的IP分組將受到ESP提供的安全保護(hù)。這種模式有如下優(yōu)點：?即使內(nèi)網(wǎng)中的其他用戶,也不能理解傳輸于主機(jī)11和主機(jī)21之間的數(shù)據(jù)內(nèi)容。?分擔(dān)了IPSec處理負(fù)荷,避免了IPSec處理的瓶頸問題。這種模式的缺點則為：?由于每一個希望實現(xiàn)傳輸模式的主機(jī)都必須安裝并實現(xiàn)ESP協(xié)議,因此不能實現(xiàn)端用戶的透明服務(wù)。?不能使用私有IP地址,必須使用公有地址資源。?暴露了子網(wǎng)內(nèi)部拓?fù)?。事實?IPSec的傳輸模式和隧道模式分別類似于其它隧道協(xié)議的自愿模式和強(qiáng)制模式,即一個基于用戶的實施,一個是基于網(wǎng)絡(luò)的實施。3.4AH機(jī)制AH機(jī)制主要用于為通信提供完整性服務(wù)。AH還能為通信提供抗重放攻擊等服務(wù)。按照AH協(xié)議的規(guī)定,可以按AH封裝的協(xié)議數(shù)據(jù)不同,將AH封裝劃分為兩種模式：隧道模式和傳輸模式。3.4.1AH封裝技術(shù)的隧道模式如果將AH頭插入原IP分組的IP頭之前,并在AH頭之前插入新的IP頭,則稱此模型的封裝為隧道封裝；對于隧道模式,有如下典型實現(xiàn)模型：如圖3-4所示。54.59AHAH主機(jī)11AH隧道主機(jī)21安全網(wǎng)關(guān)2安全網(wǎng)關(guān)1圖3-4隧道模式的AH實現(xiàn)即在AH隧道的實施模型中,IPSec處理模塊安裝于安全路由器1和安全路由器2,由它們來實現(xiàn)AH處理。位于安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2之后的子網(wǎng)被認(rèn)為是內(nèi)部可信的,不會發(fā)生數(shù)據(jù)篡改等攻擊行為,因此分別稱其為路由器1和2的保護(hù)子網(wǎng)。這種模式有如下優(yōu)點：?子網(wǎng)內(nèi)部的各主機(jī)可以借助安全網(wǎng)關(guān)的IPSec處理,可以透明地享受安全服務(wù)。?子網(wǎng)內(nèi)部可以使用私有IP地址,無需申請公有地址資源。這種模式的缺點則為：?IPSec主要集中在安全網(wǎng)關(guān),增大了路由器的處理負(fù)荷,容易形成通信瓶頸。?對內(nèi)部的諸多安全問題將不可控。3.4.2AH封裝技術(shù)的傳輸模式如將AH頭插入IP頭和路由擴(kuò)展頭之后,上層協(xié)議數(shù)據(jù)的端到端擴(kuò)展頭之前,則稱該模式的封裝為傳輸模式。對于傳輸模式的AH,有如下典型實現(xiàn)模型：如圖3-5所示。5454.59AHAH0主機(jī)11AH隧道主機(jī)21安全網(wǎng)關(guān)2安全網(wǎng)關(guān)1圖3-5傳輸模式的AH實現(xiàn)其中,IPSec模塊被安裝于兩端主機(jī)。主機(jī)11發(fā)送到主機(jī)21的IP分組將受到AH提供的安全保護(hù)。這種模式有如下優(yōu)點：?即使內(nèi)網(wǎng)中的其他用戶,也不能篡改傳輸于主機(jī)11和主機(jī)21之間的數(shù)據(jù)內(nèi)容。?分擔(dān)了IPSec處理負(fù)荷,避免了IPSec處理的瓶頸問題。這種模式的缺點則為：?由于每一個希望實現(xiàn)傳輸模式的主機(jī)都必須安裝并實現(xiàn)IPSec模塊,因此不能實現(xiàn)端用戶的透明服務(wù)。?不能使用私有IP地址,必須使用公有地址資源。第4章方案設(shè)計VPN的具體實現(xiàn)方案有很多,實際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀下來具體實施。本文中就以一個中小型企業(yè)為例,在實際環(huán)境中建立一個基于ISA的企業(yè)VPN網(wǎng)絡(luò)以滿足企業(yè)與客戶、總部與分部以及公司與外出人員之間的訪問要求。4.1需求分析隨著公司的發(fā)展壯大,呼和浩特鴻駿電子在海拉爾開辦了分公司來進(jìn)一步發(fā)展業(yè)務(wù),公司希望總部和分公司、總部與合作伙伴可以隨時的進(jìn)行安全的信息溝通,而外出辦公人員可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù),隨時隨地共享商業(yè)信息,提高工作效率。一些大型跨國公司解決這個問題的方法,就是在各個公司之間租用運營商的專用線路。這個辦法雖然能解決問題,但是費用昂貴,對于中小企業(yè)來說是無法負(fù)擔(dān)的,而VPN技術(shù)最大的優(yōu)點就是節(jié)約成本,所以用VPN技術(shù)就解決了這個問題。根據(jù)該公司用戶的需求,遵循著方便實用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用ISAServerVPN安全方案,以ISA作為網(wǎng)絡(luò)訪問的安全控制。ISAServer集成了WindowsserverVPN服務(wù),提供一個完善的防火墻和VPN解決方案。以ISAVPN作為連接Internet的安全網(wǎng)關(guān),并使用雙網(wǎng)卡,隔開內(nèi)外網(wǎng),增加網(wǎng)絡(luò)安全性。ISA具備了基于策略的安全性,并且能夠加速和管理對Internet的訪問。防火墻能對數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進(jìn)行狀態(tài)檢查、對訪問策略進(jìn)行控制并對網(wǎng)絡(luò)通信進(jìn)行路由。對于各種規(guī)模的企業(yè)來說,ISAServer都可以增強(qiáng)網(wǎng)絡(luò)安全性、貫徹一致的Internet使用策略、加速Internet訪問并實現(xiàn)員工工作效率最大化。方案的設(shè)計在ISA中可以使用以下三種協(xié)議來建立VPN連接：?IPSEC隧道模式。?L2TPoverIPSec模式。?PPTP。下表比較了這三種協(xié)議：如表4-1所示。表4-1ISA中三種協(xié)議對比表協(xié)議何時使用安全等級備注IPSec隧道模式連接到第三方的VPN服務(wù)器高這是唯一一種可以連接到非微軟VPN服務(wù)器的方式L2TPoverIPSec連接到ISAServer2000、ISAServer2004或者WindowsVPN服務(wù)器高使用RRAS比IPSec隧道模式更容易理解,但是要求遠(yuǎn)程VPN服務(wù)器是ISAServer或者WindowsVPN服務(wù)器。PPTP連接到ISAServer2000、ISAServer2004或者WindowsVPN高使用RRAS和L2TP具有同樣的限制但是更容易配置,因為使用IPSec加密L2TP更認(rèn)為更安全。三個站點都采用ISAVPN作為安全網(wǎng)關(guān),且L2TPoverIPSec結(jié)合了L2TP和IPSec的優(yōu)點,所以在這里采用L2TPoverIPSec作為VPN實施方案。4.2方案設(shè)計的目的〔1我們通過VPN技術(shù)可以使呼市總部和分公司之間以及呼市總部和合作伙伴之間透過VPN聯(lián)機(jī)采用IPSec協(xié)定,確保傳輸數(shù)據(jù)的安全。〔2在外出差或想要連回總部或分公司的用戶也可使用IPSec方式與企業(yè)聯(lián)網(wǎng)。〔3對總部內(nèi)網(wǎng)實施上網(wǎng)的訪問控制,通過VPN設(shè)備的訪問控制策略,對訪問的PC進(jìn)行嚴(yán)格的訪問控制。〔4對外網(wǎng)可以抵御黑客的入侵,起到Firewall作用,具有控制和限制的安全機(jī)制和措施,具備防火墻和抗攻擊等功能。〔5部署靈活、維護(hù)方便、提供強(qiáng)大的管理功能,以減少系統(tǒng)的維護(hù)量以適應(yīng)大規(guī)模組網(wǎng)需要。4.3方案網(wǎng)絡(luò)拓?fù)鋱D呼和浩特鴻駿電子在海拉爾開辦了分公司來發(fā)展業(yè)務(wù),在通信的過程中,為了保證數(shù)據(jù)的安全性總部與分支機(jī)構(gòu)、總部與合作伙伴分別通過ISAVPN安全網(wǎng)關(guān)建立VPN隧道、外出辦公人員與總部建立VPN隧道可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù),隨時隨地共享商業(yè)信息,提高工作效率。如圖4-2所示。圖4-2網(wǎng)絡(luò)拓?fù)鋱D第5章各部分VPN設(shè)備的配置公司總部與分支機(jī)構(gòu)之間和公司總部與合作伙伴之間的VPN通信,都是站點對站點的方式,只是權(quán)限設(shè)置不一樣,公司總部與分支機(jī)構(gòu)要實現(xiàn)的是公司的分支機(jī)構(gòu)可以共享總部的資源,公司總部與合作伙伴要實現(xiàn)的是資源共享和互訪。兩者之間的差別是合作伙伴的VPN在接入上設(shè)置了總部可以訪問的操作。因為三個站點都采用ISAVPN作為安全網(wǎng)關(guān),所以以下站點對站點的VPN配置就以公司總部到分支機(jī)構(gòu)為例,說明在ISA上實現(xiàn)VPN的具體操作。如圖5-1所示。圖圖5-1實驗?zāi)M網(wǎng)絡(luò)拓?fù)鋱D5.1公司總部到分支機(jī)構(gòu)的ISAVPN配置各主機(jī)的TCP/IP為：一、呼市總部外部網(wǎng)絡(luò)：IP：DG：內(nèi)部網(wǎng)絡(luò)：IP：DG：None二、分部外部網(wǎng)絡(luò)：IP：DG：192.內(nèi)部網(wǎng)絡(luò)：DG：None在總部和支部之間建立一個基于IPSec的站點到站點的VPN連接,由支部向總部進(jìn)行請求撥號,具體步驟如下：〔1在總部ISA服務(wù)器上建立遠(yuǎn)程站點?！?建立此遠(yuǎn)程站點的網(wǎng)絡(luò)規(guī)則?！?建立此遠(yuǎn)程站點的訪問規(guī)則?！?在總部為遠(yuǎn)程站點的撥入建立用戶?！?在支部ISA服務(wù)器上建立遠(yuǎn)程站點?！?建立此遠(yuǎn)程站點的網(wǎng)絡(luò)規(guī)則?！?建立此遠(yuǎn)程站點的訪問規(guī)則?！?測試VPN連接。如圖5-2所示。圖5-2總部建立的遠(yuǎn)程站點圖總部ISAVPN配置1．在總部ISA服務(wù)器上建立遠(yuǎn)程分支機(jī)構(gòu)站點〔1打開ISAServer2004控制臺,點擊虛擬專用網(wǎng)絡(luò),點擊右邊任務(wù)面板中的添加遠(yuǎn)程站點網(wǎng)絡(luò)；〔2在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы?輸入遠(yuǎn)程站點的名字Branch,點擊下一步；〔3在VPN協(xié)議頁,選擇IPSec上的第二層隧道協(xié)議〔L2TP,點擊下一步；〔4在遠(yuǎn)程站點網(wǎng)關(guān)頁,輸入遠(yuǎn)程VPN服務(wù)器的名稱或IP地址,如果輸入名稱,需確?？梢哉_解析,在這里輸入點擊下一步；〔5在網(wǎng)絡(luò)地址頁點擊添加輸入與此網(wǎng)卡關(guān)聯(lián)IP地址范圍,在此輸入和,點擊確定后,點擊下一步繼續(xù)；〔6在正在完成新建網(wǎng)絡(luò)向?qū)ы?點擊完成。〔7打開VPN客戶端,點擊配置VPN客戶端訪問,在常規(guī)頁中,選擇啟用VPN客戶端訪問,填入允許的最大VPN客戶端數(shù)量20,在協(xié)議頁,選擇啟用PPTP〔N和啟用L2TP/IPSEC〔E點擊確定。〔8點擊選擇身份驗證方法,選擇Microsoft加密的身份驗證版本2〔MS-CHAPv2〔M和允許L2TP連接自定義IPSec策略〔L,輸入預(yù)共享的密鑰main04jsja?！?點擊定義地址分配,在地址分配頁,選擇靜態(tài)地址池,點擊添加,添加VPN連接后總部主機(jī)分配的給客戶端的IP地址段,在這里輸入-55,點擊確定完成設(shè)置。2．在總部上建立此遠(yuǎn)程站點的網(wǎng)絡(luò)規(guī)則接下來,我們需要建立一條網(wǎng)絡(luò)規(guī)則,為遠(yuǎn)程站點和內(nèi)部網(wǎng)絡(luò)間的訪問定義路由關(guān)系。1右鍵點擊配置下的網(wǎng)絡(luò),然后點擊新建,選擇網(wǎng)絡(luò)規(guī)則；2在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?輸入規(guī)則名字,在此命名為InternaltoBranch,點擊下一步;3在網(wǎng)絡(luò)通訊源頁,點擊添加,選擇網(wǎng)絡(luò)目錄下的內(nèi)部,點擊下一步；4在網(wǎng)絡(luò)通訊目標(biāo)頁,點擊添加,選擇網(wǎng)絡(luò)目錄下的Branch,點擊下一步；5在網(wǎng)絡(luò)關(guān)系頁,選擇路由,然后點擊下一步；6在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?點擊完成；如圖5-3所示。圖5-3總部網(wǎng)絡(luò)規(guī)則圖3、在總部上建立此遠(yuǎn)程站點的訪問規(guī)則現(xiàn)在,我們需要為遠(yuǎn)程站點和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問規(guī)則,1右鍵點擊防火墻策略,選擇新建,點擊訪問規(guī)則；2在歡迎使用新建訪問規(guī)則向?qū)ы?輸入規(guī)則名稱,在此命名為maintobranch,點擊下一步；3在規(guī)則操作頁,選擇允許,點擊下一步；4在協(xié)議頁,選擇所選的協(xié)議,然后添加HTTP和Ping,<這里可以再根據(jù)實際需要添加協(xié)議>點擊下一步；5在訪問規(guī)則源頁,點擊添加,選擇網(wǎng)絡(luò)目錄下的Branch和內(nèi)部,點擊下一步；6在訪問規(guī)則目標(biāo)頁,點擊添加,選擇網(wǎng)絡(luò)目錄下的Branch和內(nèi)部,點擊下一步；7在用戶集頁,接受默認(rèn)的所有用戶,點擊下一步；在正在完成新建訪問規(guī)則向?qū)ы?點擊完成；8最后,點擊應(yīng)用以保存修改和更新防火墻設(shè)置。

此時在警報里面有提示,需要重啟ISA服務(wù)器,所以我們需要重啟ISA計算機(jī)。如圖5-4所示。圖5-4總部訪問控制圖4、在總部上為遠(yuǎn)程站點的撥入建立用戶1在重啟總部ISA服務(wù)器后,以管理員身份登錄,2在我的電腦上點擊右鍵,選擇管理,選擇在本地用戶和組里面,右擊用戶,選擇新用戶,這個VPN撥入用戶的名字一定要和遠(yuǎn)程站點的名字一致,在此是main,輸入密碼main,選中用戶不能修改密碼和密碼永不過期,取消勾選用戶必須在下次登錄時修改密碼,點擊創(chuàng)建；3擊此用戶,選擇屬性；在用戶屬性的撥入標(biāo)簽,選擇允許訪問,點擊確定。如圖5-5圖5-5總部用戶創(chuàng)建圖此時,遠(yuǎn)程客戶端撥入總部的用戶賬號就建好了。支部ISAVPN配置1、在支部ISA服務(wù)器上添加遠(yuǎn)程站點1打開ISAServer2004控制臺,點擊虛擬專用網(wǎng)絡(luò),點擊右邊任務(wù)面板中的添加遠(yuǎn)程站點網(wǎng)絡(luò)；2在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы?輸入遠(yuǎn)程站點的名字Main,點擊下一步；3在VPN協(xié)議頁,選擇IPSec上的第二層隧道協(xié)議〔L2TP,點擊下一步；4在遠(yuǎn)程站點網(wǎng)關(guān)頁,輸入遠(yuǎn)程VPN服務(wù)器的名稱或IP地址,如果輸入名稱,需確保可以正確解析,在這里輸入,點擊下一步；5在遠(yuǎn)程身份驗證頁,輸入用戶名main,輸入密碼main,點擊下一步繼續(xù)；6在網(wǎng)絡(luò)地址頁,點擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的IP地址范圍,在此輸入和55,點擊確定后,點擊下一步繼續(xù)；7在正在完成新建網(wǎng)絡(luò)向?qū)ы?點擊完成。如圖5-6圖5-6支部建立的遠(yuǎn)程站點圖2、建立此遠(yuǎn)程站點的網(wǎng)絡(luò)規(guī)則接下來,我們需要建立一條網(wǎng)絡(luò)規(guī)則,為遠(yuǎn)程站點和內(nèi)部網(wǎng)絡(luò)間的訪問定義路由關(guān)系。1右擊配置下的網(wǎng)絡(luò),然后點擊新建,選擇網(wǎng)絡(luò)規(guī)則；2在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?輸入規(guī)則名字,在此我命名為內(nèi)部->Main,點擊下一步；3在網(wǎng)絡(luò)通訊源頁,點擊添加,選擇網(wǎng)絡(luò)目錄下的內(nèi)部,點擊下一步；4在網(wǎng)絡(luò)通訊目標(biāo)頁,點擊添加,選擇網(wǎng)絡(luò)目錄下的Main,點擊下一步；5在網(wǎng)絡(luò)關(guān)系頁,選擇路由,然后點擊下一步；6在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?點擊完成；如圖5-7圖5-7支部的網(wǎng)絡(luò)規(guī)則圖3、建立此遠(yuǎn)程站點的訪問規(guī)則在創(chuàng)建完遠(yuǎn)程站點和遠(yuǎn)程站點的網(wǎng)絡(luò)規(guī)則之后,我們需要為遠(yuǎn)程站點和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問規(guī)則,1右擊防火墻策略,選擇新建,點擊訪問規(guī)則；2在歡迎使用新建訪問規(guī)則向?qū)ы?輸入規(guī)則名稱,在此我命名為branchtomain,點擊下一步；3在規(guī)則操作頁,選擇允許,點擊下一步；4在協(xié)議頁,選擇所選的協(xié)議,然后添加HTTP和Ping,點擊下一步；5在訪問規(guī)則源頁,點擊添加,選擇網(wǎng)絡(luò)目錄下的Main和內(nèi)部,點擊下一步；6在訪問規(guī)則目標(biāo)頁,點擊添加,選擇網(wǎng)絡(luò)目錄下的Main和內(nèi)部,點擊下一步；7在用戶集頁,接受默認(rèn)的所有用戶,點擊下一步；在正在完成新建訪問規(guī)則向?qū)ы?點擊完成；8最后,點擊應(yīng)用以保存修改和更新防火墻設(shè)置。如圖5-8圖5-8支部的訪問控制圖此時在警報里面有提示,需要重啟ISA服務(wù)器,所以,我們需要重啟支部ISA計算機(jī)。VPN連接在支部的路由和遠(yuǎn)程訪問控制臺中,展開服務(wù)器,1點擊網(wǎng)絡(luò)接口,這時就會出現(xiàn)我們創(chuàng)建的main網(wǎng)絡(luò)撥號接口,右鍵點擊屬性,在安全頁選擇高級設(shè)置下的IPSec設(shè)置,在使用預(yù)共享的密鑰作身份驗證〔U的選框里打勾,并輸入密鑰main04jsja,點擊兩次確定,完成密鑰設(shè)置。2右鍵點擊設(shè)置憑據(jù),在接口憑據(jù)頁,輸入此接口連接到遠(yuǎn)程路由器使用的憑據(jù),因為在遠(yuǎn)程ISA端我們設(shè)置為main所以這里輸入的用戶密碼為main,點擊確定。如圖5-9圖5-9連接驗證圖3右鍵main點擊連接如圖5-10圖5-10正在進(jìn)行連接示意圖如圖5-11圖5-11已連接上示意圖到此為止站點到站點的VPN已經(jīng)構(gòu)建好了,在上面的設(shè)置