資源描述:
《校園網(wǎng)sslvpn設(shè)計及實現(xiàn)》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1���、校園網(wǎng)SSLVPN設(shè)計及實現(xiàn)摘要:隨著高校規(guī)模的不斷擴大����,很多高校都擁有跨地域的多個校區(qū),校園網(wǎng)的數(shù)據(jù)資源和網(wǎng)絡(luò)資源主要集中在校本部的網(wǎng)絡(luò)中��,用戶遠程訪問校園網(wǎng)就成為急需解決的問題��。SSLVPN采用標(biāo)準(zhǔn)的安全套接層對傳輸中的數(shù)據(jù)進行加密���,在應(yīng)用層實現(xiàn)了數(shù)據(jù)的安全性和完整性��。關(guān)鍵詞:校園網(wǎng)���;SSLVPN;遠程訪問中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1007-9599(2012)21-0000-021引言虛擬專用網(wǎng)(VPN)[1]技術(shù)研究始于20世紀(jì)60年代����,第一個專用網(wǎng)絡(luò)是通過租用AT&T專線來實現(xiàn)的。90年代初,Internet開始應(yīng)
2�、用VPN技術(shù)。1997年��,VPN被InfoWorld評選為四項重要技術(shù)之一[2]���。VPN從誕生起��,就被人們普遍關(guān)注��。它利用現(xiàn)有的Internet資源��,可以完成異地分支機構(gòu)���、合作伙伴和移動用戶互聯(lián)��,并具有低成本、數(shù)據(jù)安全性��、便于擴充和管理等優(yōu)點���,因而成為網(wǎng)絡(luò)技術(shù)研究的熱點����。2SSLVPNSSLVPN提供一個無縫連接的�����、無客戶端的遠程訪問方式遠程用戶使用瀏覽器就可以以某種粒度訪問公司的特定資源�����,而不再需要安裝客戶端[3]。2.1訪問粒度的支持SSLVPNT作在傳輸層和應(yīng)用層之間���,為企業(yè)提供粒度級訪問控制的能力���。特定的身份驗證和訪問應(yīng)用程序的授權(quán)方案
3、可以被限定在一個特定的用戶群���。內(nèi)置的日志記錄和審核能力能處理各種合法要求�����。2.2易用性SSLVPN適合用戶遠程訪問���,并支持大多數(shù)的終端、操作系統(tǒng)和瀏覽器等�,方便人們使用。采用動態(tài)接入技術(shù)�,用戶可以在任何地點發(fā)起連接,請求接入���。對應(yīng)用了NAT和防火墻的網(wǎng)絡(luò)提供良好的支持�����。2.3網(wǎng)絡(luò)防御能力SSLVPN在連接建立之前對客戶端進行身份驗證��,確保接入者身份的合法性�;數(shù)據(jù)通信全程加密,保證數(shù)據(jù)傳輸?shù)臋C密性和完整性��;另外�����,SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端,使客戶端的大多數(shù)病毒木馬感染不到內(nèi)部服務(wù)器��。因此���,SSLVPN具有高強度的網(wǎng)絡(luò)防御能力。2.4對網(wǎng)絡(luò)
4�、升級支持當(dāng)前,由于Ipv4地址資源的匱乏����,邛v6即將應(yīng)用到網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)中。由于SSLVPN使用的是SSL協(xié)議在網(wǎng)絡(luò)層之上,因此受到的影響也較小��,只需要略作修改即可正常使用���。3SSLVPN的設(shè)計與實現(xiàn)3.1校園網(wǎng)VPN的體系結(jié)構(gòu)依據(jù)某高校校園網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀及訪問需求�,本設(shè)計在校本部搭建VPN服務(wù)器,分校區(qū)搭建VPN客戶端服務(wù)器���,移動客戶端使用客戶端軟件實現(xiàn)VPN系統(tǒng)構(gòu)建�。分校區(qū)與校本部建立點到點的InternetVPN,使用數(shù)字證書實現(xiàn)身份認(rèn)證��,移動用戶與校本部建立AccessVPN,使用密碼口令實現(xiàn)身份認(rèn)證���。3.2VPN系統(tǒng)設(shè)計針對分校區(qū)子網(wǎng)訪問和
5�����、校外節(jié)點移動訪問�,本系統(tǒng)實現(xiàn)了兩種類型的VPN:1?校本部與分校區(qū)之間建立點到點VPN�。校本部的VPN服務(wù)器部署在防火墻之后,做路由轉(zhuǎn)發(fā)和NAT設(shè)置��。分校區(qū)VPN客戶端申請客戶端數(shù)字證書client,crt,客戶端服務(wù)器作為子網(wǎng)網(wǎng)關(guān)���,做防火墻和NAT設(shè)置��。2.校外節(jié)點與校本部之間建立AccessVPNoVPN服務(wù)器通過用戶名和密碼驗證校外節(jié)點用戶身份����,校外節(jié)點通過CA證書驗證服務(wù)器端身份。校本部VPN服務(wù)器從CA申請數(shù)字證書和密鑰����,在VPN服務(wù)器中為校外節(jié)點訪問用戶建立用戶數(shù)據(jù)庫,存放用戶名和密碼�。遠程用戶下載CA證書和客戶端軟件。3.3校園網(wǎng)
6���、VPN的實現(xiàn)本文利用OpenVPN軟件來建立校園網(wǎng)VPN系統(tǒng)oOpenVPN是一款開源軟件���,支持多種身份驗證方法包括:預(yù)共享私鑰,第三方證書以及用戶名/密碼組合�。它大量使用了OpenSSL加密庫,以及SSLv3/TLSvl協(xié)議����,支持遠程訪問�、點到點和WiFi等多種VPN接入方案[4]。這里使用OpenVPN為分校區(qū)和校本部建立了使用數(shù)字證書驗證的點到點VPN,為校外節(jié)點與校本部建立了使用用戶名+密碼驗證的遠程訪問VPN���。1.點到點VPN的配置���。學(xué)院本部配置VPN的服務(wù)器為分校區(qū)子網(wǎng)提供點到點的VPN訪問����。分校區(qū)的一臺計算機上安裝VPN的客戶端�,
7、該機器兼為內(nèi)網(wǎng)機器提供NAT轉(zhuǎn)換���,防火墻和VPN服務(wù)����?��?蛻舳税惭b的操作系統(tǒng)為Windows2003Servero本方案中采用OpenVPN的IP路由隧道(RoutedIPtunnels)建立點到點的通信隧道�����,使用RSA證書和密鑰的公鑰體系進行身份驗證����。點到點VPN主校區(qū)服務(wù)器端實現(xiàn):網(wǎng)絡(luò)環(huán)境部署:該步驟主要完成網(wǎng)絡(luò)連接和路由轉(zhuǎn)發(fā)設(shè)置�����。系統(tǒng)環(huán)境部署:完成OPENVPN系統(tǒng)環(huán)境的搭建,主要任務(wù)有:(1)準(zhǔn)備好TUN/TAP驅(qū)動文件和OpenSSL庫(LINUX內(nèi)核自帶)����。(2)安裝LZO庫。(3)編譯安裝OPENVPN服務(wù)�。設(shè)置證書和密鑰:本系統(tǒng)建
8、立證書server,key,server,crt,client,key和client,crt至'J/easy-rsa/keys/目錄下����。另外,創(chuàng)建tl
