中小企业ipsec的vpn的应用设计与分析毕业论文
目录
一、前言
当前,在人们各种商业行为里,网络作为业务载体的作用越来越显著,企业本身、企业之间出于商业利益的考虑,对资源的有限共享的行为也越来越多,这就使得企业通过公共网络共享数据和企业通过私有网络共享数据具有同样的重要性。私有网络由于其物理上的隔离性,其安全问题可在内部解决,而公共网络中,数据安全性受到挑战,对于一些敏感数据,企业无法完全信任来自ISP安全性,因此使用虚拟专用网络——即VPN进行企业异地连接,成为企业数据共享的重要手段。
VPN是一项较为成熟的网络技术,依据协议会有IPSec VPN、SSL VPN、PPTP VPN等不同技术分类,在这些技术中,IPSec VPN则是安全性较高而成本较低的一项技术。本课题,主要针对中小企业运营成本不高,资金不足的特点,选择IPSec VPN作为实现VPN连接的主要技术,展开分析讨论,为中小企业设计最合理最适合他们的VPN技术。
二、中小企业IPSec VPN应用分析
(一)现阶段企业数据在公共网络中传输需要解决的问题
现在的大部分中小企业发展速度加快,网络上的交流也越来越深,而大量的企业内部数据在公网上传输。这就要求建立的VPN网络必须能够解决以下问题:
访问控制
---通过运用使用者与设备身份认证技术,分组过滤,密钥协商等技术确保对内网访问来源的控制,阻止不法分子对内网的非法访问,非法连接,保护内网的安全。
传输数据保密
---使用加密技术即使用某个固定算法对原数据进行加工处理,让其不能被读取。我们把这种代码叫做密文。只有通过对应的密钥进行解密才能变成可读的明文。通过这样的手段起到保护数据的目的。
数据来源鉴别
---因为现在对于发送方的目标IP不 *好棒文|www.hbsrm.com +Q: *351916072*
容易做到精准的访问控制,所以会被一些不法分子很简单的伪造一个新的发送方IP来传输IP报文。而正因为这种设备之间对IP地址的不设防,被很多不法分子用来伪造IP。但是IPSec却不是利用发送方IP地址来验证数据的来源,而是利用了一种比源IP地址更可靠的方式来验证。而这种更安全可靠的验证方式叫做原始认证。并且同时也可以阻止防重放攻击。
数据完整性鉴别
---因为数据在公网传输的过程中很容易被篡改。所以验证完数据的源IP地址之后,还要保证数据在传送的过程没有发生变动。通过一些加密手段可以很容易鉴别哪些数据被篡改。
所有这些问题,企业可以利用VPN解决,因为VPN能够满足企业保密性、可控性、数据完整性灯方面的要求。
(二)VPN的性能需求
尽管企业对于VPN搭建的需求很多但是可以归结为两个方面:
1、安全保障
不论你使用哪有方法实现VPN的接入,首要保证的是你的数据在公网中的安全性和私有性。因为VPN是直接公共网络上建立,虽然建立简单、便捷,但是它的安全保障也更加的重要。使用者都想保证他在VPN上传输的数据,不被他的竞争者截获和修改,而且需要能够避免自己的网络资源被侵占并保证自己的个人信息不会被泄漏。而要想保证数据安全最为有效的便是建立一个可以对经过的数据进行加密处理的一个对点的隧道。对这个隧道里经过的所有数据进行加密,除了具有密钥的收发方所有人都不能获取原数据,这样数据的安全就能得到保证。
2、服务质量保证(QoS)
VPN网络应该为传输的数据实行等级不同的服务质量保障。不同的使用者和业务对服务质量的需求差异比较大。如移动工作人员,对提供遍及的连接和服务的覆盖性要求较大;而有很多分支部门的公司对于其专属VPN网络的稳定性需求较高;而一些类似动画,视频制作传输的公司则在某些方面具有更高要求如传输的延迟和数据误码率等等。所以面对不同的服务对象要给予他们不同等级的服务质量保证。在网络利用效率方面,人们对VPN的另一个要求则是要高效地利用现有的广域网资源,为数据传输保证稳定牢靠的带宽。因为网络流量具有不稳定性所以它的带宽使用率比较低,在使用效率较高时很容易造成网络阻塞,让一些需要立即被发送的数据不能及时被几首;但是在使用效率低谷时又容易形成大批带宽的浪费。通过对于网络流量的预测和控制,可以合理分配带宽,实现带宽的高效使用,让一些实时性要求高的数据可以被优先收发,而要求低的数据可以延迟发送,这样可以有效防止数据阻塞的发生。
(三)VPN设计原则
1、遵照国家标准
因为企业VPN的设计主要是为了解决总公司,分公司和移动人员的互联。而各个公司之间的各种设备大多是不同厂家的,只有按照国家规定标准设计的才能保证更好的连接。
快捷性
因为当前的文件大小越来越大,所以大家对于传输的速度还是有比较高的要求。传输的效率也会影响到公司的运行效率。
安全性
因为互联网是设计VPN的基础,所有数据还是在公网上传输,要确保公司内部数据不能被其他人员获取,所以安全才是设计方案的最重要的要求。而安全性又可以分为5个方面:数据传输过程的安全,用户身份的安全,接入终端的安全,内部网络权限的安全和审计的安全。
易操作性
由于VPN的架设主要就是保证公司所有人员的连接问题。不能保证每个员工都对IT有一定了解。所以方案的运作,以及整体VPN网络的管理维护等都要求便于实现。
2、适应企业实际应用需求
中小企业由于运营成本、资金、专业人员等多方面问题,在搭建VPN时会选择价格较低,维护便利的方式完成。
在连接方式方式上,会有企业和合作伙伴、企业和分支及企业和远程用户三种方式连接。综上几种原因,选择IPSec VPN进行搭建较为合适。
(四)IPSec VPN简介及其工作模式
IPSec又被称为互联网安全协议,工作在IP层。经过这几年的迅速发展,IPSec已经成为了一个被广泛运用的开放式安全协议。通过隧道加密技术对所有建立在TCP/IP协议上的VPN进行一个全方面的安全保护。而这些的协议还可以兼容许多加密算法。通过对数据包完整性的检测可以判断在传输过程中数据包有没有被他人获取和篡改。同时还可以达到数据源认证的功能。
IPSec采用AH和ESP两个安全协议。使用者可以根据自己的要求使用不同的软硬件加密算法,不会对其他方面产生影响。而且不会对网络或者主机产生任何影响 。
IPSec还具有如下安全功能:
私有性:在数据传输之前对数据进行加密,确保数据的私有性不被破坏;
完整性:接收方可以通过认证数据包来达到验证数据在传输过程中有没有被篡改的目的;
真实性:任何被IPSec服务保护的数据都会接受客户端的验证;
防重放:为了预防在传输过程中数据包被非法捕捉后重新传输,接收方通过对报文序列号来判断数据包是不是被多次发送的数据包并对重复的数据包进行拒绝或者丢弃处理。
传输模式
IPSec 的传输模式就是默认模式,可以实现端对端的通信(如服务器和客户端的通信)。在这种模式中,唯一的加密对象就是IP负载。使用AH 和ESP报头对IP负载进行保护。主要操作过程如下图1:
R2(config-if)#ip add 10.10.33.254 255.255.255.0
一、前言
当前,在人们各种商业行为里,网络作为业务载体的作用越来越显著,企业本身、企业之间出于商业利益的考虑,对资源的有限共享的行为也越来越多,这就使得企业通过公共网络共享数据和企业通过私有网络共享数据具有同样的重要性。私有网络由于其物理上的隔离性,其安全问题可在内部解决,而公共网络中,数据安全性受到挑战,对于一些敏感数据,企业无法完全信任来自ISP安全性,因此使用虚拟专用网络——即VPN进行企业异地连接,成为企业数据共享的重要手段。
VPN是一项较为成熟的网络技术,依据协议会有IPSec VPN、SSL VPN、PPTP VPN等不同技术分类,在这些技术中,IPSec VPN则是安全性较高而成本较低的一项技术。本课题,主要针对中小企业运营成本不高,资金不足的特点,选择IPSec VPN作为实现VPN连接的主要技术,展开分析讨论,为中小企业设计最合理最适合他们的VPN技术。
二、中小企业IPSec VPN应用分析
(一)现阶段企业数据在公共网络中传输需要解决的问题
现在的大部分中小企业发展速度加快,网络上的交流也越来越深,而大量的企业内部数据在公网上传输。这就要求建立的VPN网络必须能够解决以下问题:
访问控制
---通过运用使用者与设备身份认证技术,分组过滤,密钥协商等技术确保对内网访问来源的控制,阻止不法分子对内网的非法访问,非法连接,保护内网的安全。
传输数据保密
---使用加密技术即使用某个固定算法对原数据进行加工处理,让其不能被读取。我们把这种代码叫做密文。只有通过对应的密钥进行解密才能变成可读的明文。通过这样的手段起到保护数据的目的。
数据来源鉴别
---因为现在对于发送方的目标IP不 *好棒文|www.hbsrm.com +Q: *351916072*
容易做到精准的访问控制,所以会被一些不法分子很简单的伪造一个新的发送方IP来传输IP报文。而正因为这种设备之间对IP地址的不设防,被很多不法分子用来伪造IP。但是IPSec却不是利用发送方IP地址来验证数据的来源,而是利用了一种比源IP地址更可靠的方式来验证。而这种更安全可靠的验证方式叫做原始认证。并且同时也可以阻止防重放攻击。
数据完整性鉴别
---因为数据在公网传输的过程中很容易被篡改。所以验证完数据的源IP地址之后,还要保证数据在传送的过程没有发生变动。通过一些加密手段可以很容易鉴别哪些数据被篡改。
所有这些问题,企业可以利用VPN解决,因为VPN能够满足企业保密性、可控性、数据完整性灯方面的要求。
(二)VPN的性能需求
尽管企业对于VPN搭建的需求很多但是可以归结为两个方面:
1、安全保障
不论你使用哪有方法实现VPN的接入,首要保证的是你的数据在公网中的安全性和私有性。因为VPN是直接公共网络上建立,虽然建立简单、便捷,但是它的安全保障也更加的重要。使用者都想保证他在VPN上传输的数据,不被他的竞争者截获和修改,而且需要能够避免自己的网络资源被侵占并保证自己的个人信息不会被泄漏。而要想保证数据安全最为有效的便是建立一个可以对经过的数据进行加密处理的一个对点的隧道。对这个隧道里经过的所有数据进行加密,除了具有密钥的收发方所有人都不能获取原数据,这样数据的安全就能得到保证。
2、服务质量保证(QoS)
VPN网络应该为传输的数据实行等级不同的服务质量保障。不同的使用者和业务对服务质量的需求差异比较大。如移动工作人员,对提供遍及的连接和服务的覆盖性要求较大;而有很多分支部门的公司对于其专属VPN网络的稳定性需求较高;而一些类似动画,视频制作传输的公司则在某些方面具有更高要求如传输的延迟和数据误码率等等。所以面对不同的服务对象要给予他们不同等级的服务质量保证。在网络利用效率方面,人们对VPN的另一个要求则是要高效地利用现有的广域网资源,为数据传输保证稳定牢靠的带宽。因为网络流量具有不稳定性所以它的带宽使用率比较低,在使用效率较高时很容易造成网络阻塞,让一些需要立即被发送的数据不能及时被几首;但是在使用效率低谷时又容易形成大批带宽的浪费。通过对于网络流量的预测和控制,可以合理分配带宽,实现带宽的高效使用,让一些实时性要求高的数据可以被优先收发,而要求低的数据可以延迟发送,这样可以有效防止数据阻塞的发生。
(三)VPN设计原则
1、遵照国家标准
因为企业VPN的设计主要是为了解决总公司,分公司和移动人员的互联。而各个公司之间的各种设备大多是不同厂家的,只有按照国家规定标准设计的才能保证更好的连接。
快捷性
因为当前的文件大小越来越大,所以大家对于传输的速度还是有比较高的要求。传输的效率也会影响到公司的运行效率。
安全性
因为互联网是设计VPN的基础,所有数据还是在公网上传输,要确保公司内部数据不能被其他人员获取,所以安全才是设计方案的最重要的要求。而安全性又可以分为5个方面:数据传输过程的安全,用户身份的安全,接入终端的安全,内部网络权限的安全和审计的安全。
易操作性
由于VPN的架设主要就是保证公司所有人员的连接问题。不能保证每个员工都对IT有一定了解。所以方案的运作,以及整体VPN网络的管理维护等都要求便于实现。
2、适应企业实际应用需求
中小企业由于运营成本、资金、专业人员等多方面问题,在搭建VPN时会选择价格较低,维护便利的方式完成。
在连接方式方式上,会有企业和合作伙伴、企业和分支及企业和远程用户三种方式连接。综上几种原因,选择IPSec VPN进行搭建较为合适。
(四)IPSec VPN简介及其工作模式
IPSec又被称为互联网安全协议,工作在IP层。经过这几年的迅速发展,IPSec已经成为了一个被广泛运用的开放式安全协议。通过隧道加密技术对所有建立在TCP/IP协议上的VPN进行一个全方面的安全保护。而这些的协议还可以兼容许多加密算法。通过对数据包完整性的检测可以判断在传输过程中数据包有没有被他人获取和篡改。同时还可以达到数据源认证的功能。
IPSec采用AH和ESP两个安全协议。使用者可以根据自己的要求使用不同的软硬件加密算法,不会对其他方面产生影响。而且不会对网络或者主机产生任何影响 。
IPSec还具有如下安全功能:
私有性:在数据传输之前对数据进行加密,确保数据的私有性不被破坏;
完整性:接收方可以通过认证数据包来达到验证数据在传输过程中有没有被篡改的目的;
真实性:任何被IPSec服务保护的数据都会接受客户端的验证;
防重放:为了预防在传输过程中数据包被非法捕捉后重新传输,接收方通过对报文序列号来判断数据包是不是被多次发送的数据包并对重复的数据包进行拒绝或者丢弃处理。
传输模式
IPSec 的传输模式就是默认模式,可以实现端对端的通信(如服务器和客户端的通信)。在这种模式中,唯一的加密对象就是IP负载。使用AH 和ESP报头对IP负载进行保护。主要操作过程如下图1:
R2(config-if)#ip add 10.10.33.254 255.255.255.0
版权保护: 本文由 hbsrm.com编辑,转载请保留链接: www.hbsrm.com/jsj/wljs/758.html
