计算机网络课程设计
题 目
院 系 信息工程学院
专 业 班 级 12计算机科学与技术2班
学 生 姓 名 汪恭凡、苏苗、单乃东、朱天池
王宏成、马广涛、丁浩
学 号 1242157230、28、08、53、33、21、09
设 计 地 点 信息工程学院13#404
起止时间: 年 月 日至 年 月 日
指 导 教 师 鹿建银
摘 要
随着经济全球化的发展,企业间的竞争日趋激烈。企业能否有效实现信息化管理从而在困难与机遇中抢得先机,将是决定企业成败的关键。企业信息化是建立在企业内部网的基础平台上的,而 VPN 技术则是目前使用最为广泛及有效的运行模式。 本文通过分析目前企业信息化网络现状的难题和需求,探讨了用 VPN 技术构建企业内部网的优势所在,并详细地研究了 IPSec VPN、SSL VPN、MPLS VPN 三种不同组网技术的原理以及各自优缺点。在通过对这三种主流组网技术研究后,本文给出了一个针对有高安全需求的高端用户使用的改进型的 VPN 部署方案,该方案以 BGP/MPLS VPN 为原型,结合 IPSec VPN 的优点,针对原模型中 VPN 数据及路由松散的安全保护缺陷,通过对 VPN 数据采用 IP 数据加密及采用基于 PKI 的访问组加密认证,大幅提高了该模型的安全性,同时又保证了通信能力的最大化。
关键词:企业信息化;IPSec VPN;SSL VPN;MPLS VPN
Abstract
Along with the development of economic globalization,competition between enterprises is becoming fierce. Can companies realize the management of informationization will determine the success or failure of enterprise.Enterprise informationization is built on Intranet platform, and VPN technology are the most widely used and the effective operating mode. This paper analyzed the current status of the enterprise informationization network problems and needs, and probes into the advantage of constructing enterprise Intranet using VPN technology.
This paper analyzed IPSec VPN, SSL VPN, MPLS VPN these three different networking technology principle and their respective advantages and disadvantages.Through the analyzes of these three mainstream networking technology, this article gives a modified VPN deployment scheme aimed at a high security needs of high-end users which the BGP/MPLS VPN is to be the prototype combining with the advantages of IPSec VPN. This new model will not only improve the model of security but also guarantee its maximization of communication capability.
Keywords:Information of enterprise ; IPSec VPN ; SSL VPN; MPLS VPN
1
第一章 绪论
1.1 论文的研究背景
随着经济全球化的发展,企业间的竞争日趋激烈。企业能否有效实现信息化管理从而在困难与机遇中抢得先机,将是决定企业成败的关键。企业信息化是建立在企业内部网的基础平台上的,而 VPN 技术则是目前使用最为广泛及有效的运行模式。 随着互联网技术的飞速发展,国内外在基于 IP 网络的 VPN 技术的探索中也得到了非常广泛的开展。目前,在虚拟专用网 VPN 体系下主要发展出了 IPSec VPN、SSL VPN、MPLS VPN 三个主流技术。其中,MPLS VPN 主要在运营商网络部署,IPSec VPN 应用在高安全性的企业内部网,而 SSL VPN 则在公司远程接入方面有着无可替代的优势。虽然各项技术都有着很好的发展,但是都始终有着各自无法克服的局限性。VPN 技术的出路必然是相互融合,取长补短。
1.2 论文的研究意义和内容
1.2.1 论文的研究意义
通过对企业的特点、信息化现状以及自身需求的分析,得出了 VPN 技术在各行各业、各不同规模的企业以及复杂的网络环境和需求下都能给出与实际相适应的网络规划。本文对 VPN 技术在企业应用中进行研究并加以升华,从而在实际应用中,为企业信息化在稳定性、安全性、成本投入以及管理维护等方面提供了合适的解决方案,为企业铺设高效、安全的信息化道路,对企业信息化推进具有重大的现实意义,对企业的信息化建设有巨大的实用价值。 1.2.2 论文的内容
本文通过分析目前企业信息化网络现状的难题和需求,探讨了用 VPN 技术构建企业内部网的优势所在,并详细地研究了 IPSec VPN、SSL VPN、MPLS VPN 三种不同组网技术的原理以及各自优缺点。在通过对这三种主流组网技术研究后,本文给出了一个针对有高安全需求的高端用户使用的改进型的 VPN 部署方案,该方案以 BGP/MPLS VPN 为原型,结合 IPSec VPN 的优点,针对原模型中 VPN 数据及路由松散的安全保护缺陷,通过对 VPN 数据采用 IP 数据加密及采用基于 PKI 的访问组加密认证,大幅提高了该模型的安全性,同时又保证了通信能力的最大化。
2
第二章 VPN实现企业内部网的优势分析
2.1 企业信息化需求分析
企业在实际经营生产活动中,为了更有效地提高生产效率,对信息化的要求都有着极高的标准。因此,企业信息化的建设重点就放在了诸如集中管理功能、安全标准、高效兼容性、扩展空间以及建设成本等方面。 2.1.1 集中管理功能
伴随着企业发展的步伐,企业的生产规模将不断地扩大,渐渐建立起数量庞大的驻点、分公司等分支机构。企业内部形成了多个由多地点、多业务类型及组织架构所形成的业务体系,而每个业务体系既需要保持相对的运作独立又要在总公司的统一领导下进行资源调配等一系列复杂的业务调整,管理起来是非常麻烦的。而信息化建设中对于集中管理功能的要求正是解决这一企业发展难题的有效手段。例如:把数据中心建立在企业总部,企业所有经营活动所产生的数据都集中存储在总部的数据中心,当有使用需求产生时,各分支机构可以通过企业内部网连接到企业总部的数据中心进行调取,如此一来,不仅降低了整个公司进行系统建设维护的成本,更实现了企业整体的数据共享。 信息的集中管理强调了业务流程的一体化以及信息数据的统一集中管理,但是,集中管理功能并不只是信息数据管理的集中,更是在管理集中的基础上对企业所需资源和业务的一种监控,从而分析企业运营的风险,避免危机的出现,这就需要构建一个覆盖各分支机构的跨地域网络为企业提供一个信息数据传输的平台,利用数据库和应用软件等系统来提供动态、实时的信息。 信息集中管理的好处:
⑴ 为企业决策层提供实时、动态的业务信息,为决策者做出正确判断提供可靠依据。 ⑵ 整合企业的各项资源,实现信息数据的集中监控和调度。 ⑶ 提高企业内部各业务体系间的沟通和工作效率。 ⑷ 信息数据的集中管理,降低了企业信息建设的综合成本。 2.1.2 安全需求
企业信息的安全是企业进行信息化建设的核心部分,只有保证信息的有效安全传输,才能使信息系统其他部件有效运作。对于一个企业的内部网 Intranet 来说,网络攻击既可以来自网络内部,亦可以来自外部网络 internet,从形式类型上区分,既会受到例如非法侦听
3
等被动型攻击,同时网络和数据也会受到如恶意篡改破坏等主动型攻击。因此,如果没有合格的安全措施和访问控制方法,单靠口令访问控制不足以保证数据在网络传输过程中的安全。下面举例说明几种常见的网络攻击方法及其危害: ⑴ 非法侦听
大多数网络通信在不外加安全设备的前提下都是以一种及其不安全的明文形式对数据进行传送,破坏者只要获得数据通信的路径就可以很轻易的截取并解读明文数据流。虽然这种被动型的非法侦听不能破坏和篡改数据,但破坏者可以轻易的截获企业信息进行过滤,造成企业信息外泄,带来不可估量的损失[1]。 ⑵ 地址欺骗
大多数的网络系统都是用 IP 地址来标识网络主机的,使用地址欺骗的外部入侵者将会用一台计算机上网而借用另外一台主机的 IP 地址,从而冒充另外一台计算机来与服务器打交道,在服务器上下载关键信息或进行一系列的非法操作。 ⑶ 数据篡改
网络黑客在顺利侦听和读取企业的目标数据后,就会对数据进行篡改,而这种具有很高隐蔽性的篡改难以被数据的发送方与接收方所察觉。黑客一旦成功对目标数据进行篡改后,对企业的生存发展将会带来毁灭性的破坏。 ⑷ 盗用口令攻击
所谓盗用口令攻击是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获取合法账户密码的手段有很多,常见的有放置特洛伊木马程序、www 欺骗技术等等。当入侵者顺利以合法身份进入系统后,就可以随心所欲的对合法用户的信息数据进行读取和修改。 ⑸ 拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接[2]。
4