第一篇：vpn學(xué)習(xí)小結(jié)

VPN學(xué)習(xí)小結(jié)

1.VPN概述

隨著通信基礎(chǔ)設(shè)施建設(shè)和互聯(lián)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，各行各業(yè)紛紛借助互聯(lián)網(wǎng)絡(luò)技術(shù)來加快信息的流動速度，提升企業(yè)的綜合競爭力。VPN 技術(shù)，就是一種目前業(yè)界主流的解決異地網(wǎng)絡(luò)安全互連的加密通信協(xié)議。

VPN是Virtual Private Network（虛擬專用網(wǎng)絡(luò)）的簡稱，指綜合利用封裝技術(shù)、加密技術(shù)，密鑰交換技術(shù)、PKI技術(shù)，可以在公用的互聯(lián)網(wǎng)絡(luò)上，建立安全虛擬專用網(wǎng)絡(luò)。

VPN 是一個被加密或封裝的通信過程，該過程把數(shù)據(jù)安全地從一端傳送到另一端，這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來保障，而數(shù)據(jù)是在一個開放的、有安全保障的互聯(lián)網(wǎng)上傳輸?shù)?。VPN 技術(shù)能夠有效保證信息安全傳輸中的性”、“完整性”和“不可抵賴性”。

實際上，VPN是一種依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在VPN服務(wù)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。用戶不再需要擁有成本極高的長途數(shù)據(jù)線路，用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路，為自己制定一個最符合自己需求的網(wǎng)絡(luò)，從而實現(xiàn)企業(yè)內(nèi)部多個分支機(jī)構(gòu)之間的數(shù)據(jù)通信、Voip電話、視頻會議等多種業(yè)務(wù)。

包沒“機(jī)密而是使

2.VPN主要技術(shù)

目前市場上多種 VPN技術(shù)并存，主要有以下幾種：

PPTP/L2TP：屬于上世紀(jì)末的技術(shù)，實現(xiàn)比較便捷，集成在 Windows 操作系統(tǒng)之中，使用方便。但技術(shù)過于簡單，加密算法和協(xié)議的安全性以及性能吞吐率都很低，并發(fā)接入數(shù)目較低，屬于非主流的VPN 技術(shù)，基本已被淘汰。

MPLS VPN：在IP路由和控制協(xié)議的基礎(chǔ)上提供面向連接（基于標(biāo)記）的交換。MPLS VPN需要公共IP網(wǎng)內(nèi)部的所有相關(guān)路由器都能夠支持 MPLS，所以這種技術(shù)對網(wǎng)絡(luò)有較為特殊的要求。特別需要強(qiáng)調(diào)的是MPLS VPN的實施必須由運(yùn)營商進(jìn)行。MPLS VPN適用于對于網(wǎng)絡(luò)資源的利用率、網(wǎng)絡(luò)的可靠性有較高要求的VPN業(yè)務(wù)。MPLS VPN的用戶，需要通過光纖或者以太網(wǎng)接口FR（EDSL）專線接入電信骨干網(wǎng)絡(luò)，MPLS VPN服務(wù)給企業(yè)提供高帶寬的二層透明通路，企業(yè)可以自定義規(guī)劃其網(wǎng)絡(luò)結(jié)構(gòu)和地址。

IPSec VPN：目前市場主流 VPN技術(shù)，由于 IPSec是在 IP 層進(jìn)行加密和封裝，所以在性能表現(xiàn)強(qiáng)勁的同時，又能支持各種基于 IP 協(xié)議的網(wǎng)絡(luò)應(yīng)用，是國際上公認(rèn)的 IP 層 VPN技術(shù)標(biāo)準(zhǔn)。IPSec VPN 安全性好，對 IP 應(yīng)用透明，性能高，靈活穩(wěn)定，易于擴(kuò)展，互通性強(qiáng)；適合網(wǎng)間互連（Site To Site）和客戶端接入互連（Client To Site）。但是，局限性主要在于在Client To Site的通訊模式下，移動用戶需要安裝專門的VPN客戶端軟件，增添了使用和維護(hù)的復(fù)雜程度。

SSL VPN：專用于解決客戶端接入互連（Client To Site）的傳輸層VPN技術(shù)。移動用戶不需要安裝VPN客戶端軟件，而使用WEB瀏覽器作為登陸方式。SSL VPN安全性好，使用靈活，不受網(wǎng)絡(luò)接入環(huán)境的限制，對應(yīng)用的控制粒度更細(xì)。但其局限性是：對許多 C/S應(yīng)用的支持能力較差，性能相對較低；并且不能滿足網(wǎng)間互連（Site To Site）的VPN連接需求，設(shè)備價格高昂，且SSL VPN 網(wǎng)關(guān)自身抗攻擊能力差，需要額外的防火墻或安全網(wǎng)關(guān)等防護(hù)設(shè)備的保護(hù)。

3.VPN產(chǎn)品分類

根據(jù)產(chǎn)品應(yīng)用對象，VPN產(chǎn)品分為：

? 中小型企業(yè)VPN：百兆接口、嵌入式處理器 ? 大中型企業(yè)VPN：百兆接口、嵌入式處理器

? 大型企業(yè)VPN：千兆接口、X86架構(gòu)處理器、集成加密卡

? 面向骨干網(wǎng)絡(luò)和超大型企業(yè)VPN：千兆+光纖接口、至強(qiáng)處理器、集成加密卡

根據(jù)產(chǎn)品采用的技術(shù)，VPN產(chǎn)品分為： ? MPLS VPN ? IPSec VPN ? SSL VPN ? IPSec/SSL VPN

4.VPN產(chǎn)品主要功能

4.1.VPN產(chǎn)品通用功能

SSL VPN的關(guān)鍵技術(shù)包括：Web代理、端口轉(zhuǎn)發(fā)、應(yīng)用轉(zhuǎn)換、網(wǎng)絡(luò)連接(Network Connection, NC)，目前大部分的SSL VPN產(chǎn)品，都是以這幾項技術(shù)的一項或幾項為基礎(chǔ)研發(fā)實現(xiàn)的。那么，對國產(chǎn)SSL VPN產(chǎn)品而言，哪些技術(shù)尤其重要呢? 首先是Web代理技術(shù)。由于用戶需要訪問內(nèi)網(wǎng)的Web應(yīng)用，而且希望訪問方式盡量簡便，而只有具備Web代理技術(shù)，SSL VPN產(chǎn)品才能做到100%零客戶端，才能為用戶提供最簡便的接入方式，因此，Web代理技術(shù)對國產(chǎn)SSL VPN產(chǎn)品而言是一項必須技術(shù)，也是SSL VPN產(chǎn)品是否專業(yè)的重要標(biāo)準(zhǔn)之一。

除了Web代理技術(shù)，端口轉(zhuǎn)發(fā)技術(shù)的重要性也不容小覷。除了要訪問除Web應(yīng)用外，用戶還需要經(jīng)常訪問組織內(nèi)部的C/S架構(gòu)應(yīng)用，例如郵件、FTP、文件共享、數(shù)據(jù)庫、ERP等，這時，SSL VPN產(chǎn)品采用端口轉(zhuǎn)發(fā)技術(shù)實現(xiàn)對C/S應(yīng)用的處理，是再合適不過的了。

至于應(yīng)用轉(zhuǎn)換技術(shù)，目前國內(nèi)用戶需求并不迫切。由于SSL VPN產(chǎn)品需要把FTP、Email，SSH等應(yīng)用以Web的形式重新實現(xiàn)，實現(xiàn)起來比較復(fù)雜，還可能存在提供的功能不夠完整，界面不夠友好，不太符合用戶的操作習(xí)慣以及控件引用是不合法等一系列問題。從另一個角度來看，用戶在沒有使用SSL VPN之前，都已經(jīng)習(xí)慣通過相應(yīng)的客戶端軟件對C/S應(yīng)用進(jìn)行訪問，在使用SSL VPN后，仍然希望通過使用原來的客戶端軟件訪問內(nèi)部的各種C/S應(yīng)用。由此看來，應(yīng)用轉(zhuǎn)換技術(shù)并不十分適應(yīng)于國內(nèi)的用戶，也并非是國產(chǎn)SSL VPN產(chǎn)品的必須功能。

最后再看NC技術(shù)，由于NC技術(shù)可以實現(xiàn)SSL VPN與應(yīng)用無關(guān)的特性，因此客戶端通過SSL VPN訪問內(nèi)部整個子網(wǎng)的需求仍然存在。然而，在使用該功能時，需要給客戶端配置虛擬IP地址，這樣一來，就會遇到地址規(guī)劃上的一些問題，在配置和使用上也比較復(fù)雜。目前，國內(nèi)已經(jīng)有SSL VPN廠商注意到這個問題，為了更好地滿足用戶對易用性的要求，采用了一種“網(wǎng)絡(luò)層代理”技術(shù)，客戶端通過SSL VPN產(chǎn)品訪問內(nèi)部整個子網(wǎng)時，不需要借助虛擬IP地址，也不需要改變內(nèi)網(wǎng)服務(wù)器網(wǎng)關(guān)指向，有效地解決了NC功能配置和使用復(fù)雜的難題。但目前，“網(wǎng)絡(luò)層代理”技術(shù)還存在一個問題，即無法處理TCP連接由內(nèi)向外發(fā)起的應(yīng)用，無法做到“與應(yīng)用無關(guān)”。如果有SSL VPN產(chǎn)品能夠同時具備NC和網(wǎng)絡(luò)代理功能，將會受到更多國內(nèi)用戶的青睞。

以上列舉的只是SSL VPN產(chǎn)品的幾項主要技術(shù)，為了更好地滿足國內(nèi)用戶的需求，SSL VPN產(chǎn)品還必須在功能上進(jìn)一步貼近需求，不斷豐富，主要包括：

豐富的認(rèn)證方式：國內(nèi)用戶類型眾多，對認(rèn)證方式和安全性要求也不盡相同。除了基本的本地口令外，動態(tài)口令、短信口令、口令+動態(tài)附加密、證書+USBKEY、口令+證書+USBKEY等多因素認(rèn)證方式也越來越常見，成為對SSL VPN產(chǎn)品的基本要求。此外，隨著CA體系在中國不斷健全，越來越多的用戶從專業(yè)的CA企業(yè)購買服務(wù)，因此國產(chǎn)SSL VPN產(chǎn)品能否很好地與標(biāo)準(zhǔn)第三方CA系統(tǒng)兼容，能否提供標(biāo)準(zhǔn)OSCP、CRL等證書校驗接口，在一定程度上決定了該產(chǎn)品能否應(yīng)用到用戶現(xiàn)有環(huán)境中。

線路優(yōu)化：國內(nèi)用戶常常向不同的ISP申請了多個公網(wǎng)IP提供服務(wù)。如果SSL VPN產(chǎn)品能夠利用多個網(wǎng)口通過多個公網(wǎng)IP對外提供接入訪問，并可以根據(jù)接入客戶端的ISP來源選擇最佳路徑，那么將可以大大提高訪問效率，更好地適應(yīng)國內(nèi)的網(wǎng)絡(luò)環(huán)境。

單點登錄：在用戶的內(nèi)網(wǎng)中，OA系統(tǒng)通常都帶認(rèn)證功能，使用者需要提交用戶名及口令才可登錄。加上SSL VPN后，用戶就首先要登錄SSL VPN，然后再次提交認(rèn)證信息登錄OA，導(dǎo)致重復(fù)認(rèn)證過程。為了簡化登陸程序，SSL VPN產(chǎn)品應(yīng)該能記錄用戶登錄SSL VPN時的認(rèn)證信息，在用戶訪問OA時，代替用戶提交認(rèn)證，用戶不需要再次輸入用戶名和口令就可打開登錄成功后的頁面。

端點安全：安裝SSL VPN產(chǎn)品后，端點安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN，在連接SSL VPN隧道后是否允許訪問互聯(lián)網(wǎng)，在SSL VPN客戶端注銷后，訪問痕跡是否應(yīng)該清理，都是SSL VPN需要重點考慮的幾個安全問題。目前，國內(nèi)很多SSL VPN產(chǎn)品也都有應(yīng)對措施。在客戶端主機(jī)接入之前，先檢測終端主機(jī)上是否具備管理員要求的某些特征，如操作系統(tǒng)版本、IE瀏覽器版本、是否運(yùn)行了殺毒軟件等等，如果不滿足安全策略，則拒絕連接。在建立隧道后，SSL VPN產(chǎn)品還可以禁止客戶端主機(jī)訪問隧道以外的網(wǎng)絡(luò)以確保隧道安全;在終端用戶注銷后，還會自動清除此次的訪問痕跡，確保信息不被泄漏。此外，如果產(chǎn)品能實現(xiàn)帳號和客戶端主機(jī)特征綁定以及防偽造功能等，將可以進(jìn)一步提高客戶端的端點安全性。

應(yīng)用層防御：SSL VPN產(chǎn)品是以應(yīng)用為核心的安全接入產(chǎn)品，因此應(yīng)用層的安全防御必不可少。目前，防SQL注入，防跨站腳本和防非法URL訪問等功能已經(jīng)出現(xiàn)在一些國內(nèi)品牌發(fā)上限控制功能，保障了應(yīng)用服務(wù)系統(tǒng)。安全審計：而言，SSL VPN哪個用戶、在什么時間，在什么地理位置通過哪個什么服務(wù)，訪問了哪些條件(如時間范圍、瀏覽和下載。4.2.安達(dá)通4.2.1.特色功能? IPSec over HTTPS/HTTP ? 隧道接力技術(shù)? 虛地址互聯(lián)技術(shù)? 自動路由技術(shù)? 多播隧道技術(shù)? 準(zhǔn)入控制技術(shù)? 動態(tài)口令短信認(rèn)證技術(shù)4.2.2.負(fù)載均衡功能? 智能均衡上網(wǎng)技術(shù)SSL VPN產(chǎn)品上。甚至有廠商還提供了基于賬號的最大并有效防止了一個賬號惡意產(chǎn)生大量連接的DoS攻擊行為，有效

SSL VPN產(chǎn)品相對傳統(tǒng)VPN的優(yōu)勢之一就是審計更加詳細(xì)。相比IP地址。在日志中應(yīng)該可以記錄ISP登錄了SSL VPN，訪問了Web頁面等等。另外，SSL VPN產(chǎn)品還應(yīng)該提供基于各種關(guān)鍵字等)的查詢功能，甚至可以根據(jù)時間范圍生成報表提供VPN產(chǎn)品主要功能

技術(shù)

產(chǎn)品更關(guān)注賬號而不僅僅只是 ? VPN多點接入和均衡技術(shù) ? VPN鏈路備份技術(shù)

4.2.3.VPN 移動接入加速系統(tǒng)功能 4.2.4.防火墻功能

? 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù) ? 狀態(tài)檢測防火墻技術(shù) ? HTTP 檢測技術(shù) ? IP-MAC地址綁定技術(shù) ? 內(nèi)網(wǎng)用戶認(rèn)證技術(shù) ? IDS聯(lián)動技術(shù)

4.2.5.其他功能

? 雙機(jī)熱備 ? 流量控制 ? 路由支持 ? 配置和升級管理 ? 日志管理

5.VPN典型應(yīng)用

5.1.單臂連接模式

“單臂連接”模式是用戶已有防火墻等設(shè)備時安達(dá)通首推的部署方式?！皢伪圻B接”模式指的是安全網(wǎng)關(guān)只接一個口到內(nèi)網(wǎng)交換機(jī)中，另外一個口不接線，即把安全網(wǎng)關(guān)設(shè)備當(dāng)作一臺服務(wù)器或主機(jī)，專門處理 VPN 報文的加解密。從實現(xiàn)技術(shù)上而言，單臂連接結(jié)合了串行連接和并行連接兩者的優(yōu)勢，實現(xiàn)了部署和性能的最優(yōu)化。在實施時，需要在防火墻（路由器）上為安全網(wǎng)關(guān)做靜態(tài)端口映射（靜態(tài) NAPT），同時也需要在防火墻（路由器）上添加靜態(tài)路由來解決要通過VPN的數(shù)據(jù)包正確流向的問題。

結(jié)合”自動路由”技術(shù)，單臂連接方式能在對用戶環(huán)境最小改動的前提下部署 VPN，大大增加了VPN設(shè)備對網(wǎng)絡(luò)環(huán)境的適應(yīng)能力。

單臂連接實際案例配置示意圖如下所示：

上圖示例中總部局域網(wǎng)利用一臺防火墻通過光纖接入互聯(lián)網(wǎng)，防火墻外口 IP 地址為218.1.1.1，內(nèi)口IP 地址為192.168.1.1，現(xiàn)僅將安全網(wǎng)關(guān)的LAN 口接到內(nèi)網(wǎng)交換機(jī)。安全網(wǎng)關(guān)工作在路由模式下，LAN口IP 地址 192.168.1.254，WAN口任意設(shè)置一個 IP 地址，比如為 1.1.1.1，總部內(nèi)網(wǎng)只有一個子網(wǎng) 192.168.1.0/24。該單位有一異地分部，采用 ADSL 接入互聯(lián)網(wǎng)，并使用 SJW74A 安全網(wǎng)關(guān)作為接入設(shè)備，內(nèi)網(wǎng)也只有一個子網(wǎng)為 192.168.2.0/24。通過這樣的部署，可實現(xiàn)該分部與總部子網(wǎng)的 VPN 互連。同時還可實現(xiàn)移動客戶端的遠(yuǎn)程接入（如上圖），客戶端的私有 IP 地址為172.16.1.1-10。

5.2.路由模式

“路由模式”是指VPN網(wǎng)關(guān)內(nèi)外網(wǎng)接口路由不同，網(wǎng)關(guān)本身要作為路由器或NAT 轉(zhuǎn)換設(shè)備，實現(xiàn)路由轉(zhuǎn)發(fā)以及對內(nèi)提供上網(wǎng)和對外提供服務(wù)等工作。一般用于新建的網(wǎng)絡(luò)中或者用戶準(zhǔn)備用VPN網(wǎng)關(guān)替代原有路由器/防火墻的地方。通過使用安達(dá)通自帶的初始化向?qū)Чぞ呖梢苑浅：啽愕牟渴稹奥酚赡Ｊ健本W(wǎng)關(guān)，典型部署示意如下圖：

上圖示例中，VPN 安全網(wǎng)關(guān)作為總部局域網(wǎng)的出口，對內(nèi)提供上網(wǎng)服務(wù)，對外提供 VPN接入服務(wù)。內(nèi)部 192.168.1.X 的 PC 用戶默認(rèn)網(wǎng)關(guān)指向 VPN 內(nèi)網(wǎng)口 192.168.1.1，通過 NAT 映射訪問公網(wǎng)和其他VPN子網(wǎng)。

5.3.透明模式

“透明模式”又稱為“網(wǎng)橋模式”，是指安全網(wǎng)關(guān)接入在防火墻（路由器）與內(nèi)網(wǎng)之間，透明轉(zhuǎn)發(fā)除VPN報文之外所有數(shù)據(jù)的一種連接方式。

安達(dá)通 VPN 安全網(wǎng)關(guān)的“透明模式”主要分成鏈路層協(xié)議的學(xué)習(xí)功能，報文的接收和轉(zhuǎn)發(fā)功能。對于透明模式下收到的報文，根據(jù)其目的 MAC地址可以分為,發(fā)往網(wǎng)關(guān)自身的報文、廣播報文和發(fā)往其他的報文，由于透明模式僅僅對 VPN 報文進(jìn)行加密，其他報文在出入端口上進(jìn)行完整復(fù)制，所以保證了鏈路的透明性和 VPN的安全性。

以某商業(yè)銀行網(wǎng)絡(luò)的 VPN安全網(wǎng)關(guān)部署為例。所有的安達(dá)通安全網(wǎng)關(guān)均部署在防火墻/路由器之后，工作在“透明”模式下。安裝這些安全網(wǎng)關(guān)設(shè)備的前后，原有網(wǎng)絡(luò)系統(tǒng)：路由器、PC、Server 等沒有調(diào)整過任何配置，就實現(xiàn)了各分行和總行之間數(shù)據(jù)傳輸加密?！巴该髂Ｊ健辈渴鸬陌策_(dá)通 VPN 安全網(wǎng)關(guān)的 WAN 和 LAN 口 IP 是和本地內(nèi)網(wǎng)同一網(wǎng)段的未被使用的IP 地址。如下圖示意： 6.VPN與TPN是，可信專用網(wǎng)防護(hù)、VPN接入、全網(wǎng)行為管理、主機(jī)安全管理等組成?？尚艑Ｓ镁W(wǎng)威脅”、“邊界威脅”、“主機(jī)威脅”和“接入威脅”的統(tǒng)一管理。企業(yè)對VPN分布在異地的局域網(wǎng)絡(luò)進(jìn)行互聯(lián)。隨著網(wǎng)絡(luò)互聯(lián)的進(jìn)行，的基礎(chǔ)設(shè)施。

這些基礎(chǔ)設(shè)施，安全可信是最重要的?？尚牌脚_建設(shè)包括了邊界、內(nèi)網(wǎng)、主機(jī)、接入等部分。目前來看，企業(yè)可以用各種技術(shù)來確保這四部分成為有機(jī)整體。網(wǎng)技術(shù)TPN.TPN互聯(lián)以后全網(wǎng)的可信任安全平臺。目前來看，能：包括虛擬專網(wǎng)、防火墻、入侵檢測、漏洞掃描、病毒防護(hù)、網(wǎng)絡(luò)審計、身份認(rèn)證、桌面安全等。網(wǎng)絡(luò)邊界防護(hù)力度不夠、分支機(jī)構(gòu)的統(tǒng)一、垃圾郵件和病毒、越權(quán)訪問密、非法接入TPN（Trusted 系統(tǒng)通過對“用戶—角色—資源”的集中描述，因為信息的共享有網(wǎng)絡(luò)互聯(lián)的需求，整個網(wǎng)絡(luò)平臺已經(jīng)越來越成為企業(yè)以及政府單位運(yùn)行VPN的主要區(qū)別，TPN模型需要實現(xiàn)所有傳統(tǒng)安全設(shè)備所提供的安全功而TPN應(yīng)對的問題則包括了：實現(xiàn)“內(nèi)網(wǎng)

客觀上需要將從而產(chǎn)生/盜取機(jī)

TPN

Private Network）系統(tǒng)的簡稱，由邊界

TPN都不會陌生，而安達(dá)通在其中提供的就是可信專用與就在于融合了可信任的內(nèi)網(wǎng)技術(shù)，一套完整的遠(yuǎn)程接入用戶帶進(jìn)木馬和病毒、/非法外聯(lián)、補(bǔ)丁和病毒庫的統(tǒng)一升級、以及聊天、游戲、下載等網(wǎng)絡(luò)濫用。

第二篇：VPN技術(shù)的學(xué)習(xí)總結(jié)

VPN技術(shù)的學(xué)習(xí)總結(jié)

在網(wǎng)絡(luò)安全課程的學(xué)習(xí)過程中，我對網(wǎng)絡(luò)安全有了一些了解和認(rèn)識。特別是它的基礎(chǔ)概念，網(wǎng)絡(luò)安全的具體要求，安全通信模型以及目前廣泛使用的安全技術(shù)等知識。其中VPN技術(shù)是目前安全通信中既能保證一定的安全性又具有經(jīng)濟(jì)性的一項技術(shù)，因此它目前的市場應(yīng)用十分廣泛。所以在學(xué)習(xí)完這門課程后，我想對所有學(xué)過的知識做一個梳理，然后把我比較感興趣的VPN技術(shù)做深入一些的學(xué)習(xí)和整理。

1.網(wǎng)絡(luò)安全的基本概念

網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及網(wǎng)絡(luò)上存儲和傳輸?shù)男畔①Y源的安全性。而其安全性包括計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。

網(wǎng)絡(luò)安全的威脅包括：計算機(jī)病毒，蠕蟲，木馬，拒絕服務(wù)攻擊，邏輯炸彈，后門和隱蔽通道等。

在網(wǎng)絡(luò)信息傳輸?shù)倪^程中，信息的安全特性包括：機(jī)密性，完整性，可用性，不可否認(rèn)性，可控性，可審查性，可恢復(fù)性。只有在滿足了以上特性的信息傳輸才被認(rèn)為是安全的。因此相對應(yīng)于各個安全特性，網(wǎng)絡(luò)安全服務(wù)需要做到的有：認(rèn)證服務(wù)，訪問控制服務(wù)，數(shù)據(jù)機(jī)密性服務(wù)，數(shù)據(jù)完整性服務(wù)，不可否認(rèn)服務(wù)。在認(rèn)證服務(wù)中，需要提供某個實體（人或系統(tǒng)）的身份保證，確保通信實體就是它們所聲稱的實體。使用口令是一種提供認(rèn)證的熟知方法，數(shù)字證書和簽名也可以提供信息發(fā)送方的身份認(rèn)證。認(rèn)證是對付假冒攻擊的有效方法；

訪問控制服務(wù)中，要能夠防止對系統(tǒng)資源（如計算資源、通信資源或信息資源）的非授權(quán)訪問和非授權(quán)使用，確保只有授權(quán)的實體才能訪問授權(quán)的資源。訪問控制直接支持機(jī)密性、完整性、可用性以及合法使用等安全目標(biāo)。訪問控制系統(tǒng)的關(guān)鍵是制定訪問控制策略。它是系統(tǒng)安全防范中應(yīng)用最普遍和最重要的安全機(jī)制,可提供機(jī)密性和完整性服務(wù)。訪問控制采用最小特權(quán)原則：即在給用戶分配權(quán)限時，根據(jù)每個用戶的任務(wù)特點使其獲得完成自身任務(wù)的最低權(quán)限，不給用戶賦予其工作范圍之外的任何權(quán)力。

數(shù)據(jù)機(jī)密性服務(wù)，能夠保護(hù)信息不泄漏或不暴露給那些未授權(quán)掌握這一信息的實體（人或組織），確保授權(quán)實體才能理解受保護(hù)的信息，防止傳輸?shù)臄?shù)據(jù)遭到竊聽、流量分析等被動攻擊。機(jī)密性服務(wù)是通過加密機(jī)制來實現(xiàn)的，目前已有多種加密算法來保護(hù)數(shù)據(jù)的安全，可以根據(jù)不同的需求在網(wǎng)絡(luò)結(jié)構(gòu)的不同層次來實現(xiàn)。比如：若需保護(hù)全部通信業(yè)務(wù)流的機(jī)密性，可在物理層加密；若希望對端系統(tǒng)到端系統(tǒng)之間的通信進(jìn)行保護(hù)，可在網(wǎng)絡(luò)層加密。有時也可根據(jù)多個需求，在多個層次上提供加密。

數(shù)據(jù)完整性服務(wù)，是用來維護(hù)信息的一致性防止對信息的非授權(quán)篡改和破壞，使消息的接受者能判斷消息是否被修改或被攻擊者用假消息替換。數(shù)據(jù)完整性可以通過安全協(xié)議中的認(rèn)證頭AH協(xié)議，ESP協(xié)議，MAC算法等來保證。

不可否認(rèn)服務(wù)，其目的是保護(hù)通信用戶免遭來自系統(tǒng)中其他合法用戶的威脅，而不是來自未知攻擊者的威脅。通過公證機(jī)制的數(shù)字證書和時間戳可以保證信息發(fā)送方對發(fā)出的消息不能抵賴。

2.虛擬專用網(wǎng)VPN技術(shù)

虛擬專用網(wǎng)VPN（Virtual Private Network）技術(shù)是在公共傳輸網(wǎng)絡(luò)中采用隧道技術(shù)，形成邏輯私有的通訊網(wǎng)絡(luò)的技術(shù)。這樣對通信安全要求高的用戶就不需要向網(wǎng)絡(luò)運(yùn)營商要求單獨牽一條專線，可以節(jié)省不少成本。VPN可實現(xiàn)數(shù)據(jù)公網(wǎng)傳輸?shù)臋C(jī)密性、完整性，對通信雙方的身份進(jìn)行認(rèn)證，并可解決異構(gòu)網(wǎng)傳輸問題等。VPN可工作在很多層次，如工作在鏈路層的鏈路密碼技術(shù)，工作在IP層的IPSEC VPN，GRE封裝，工作在傳輸層的SSL VPN等。2.1.VPN系統(tǒng)的組成

VPN系統(tǒng)由以下七個部分組成，VPN服務(wù)器：接受來自VPN客戶機(jī)的連接請求。VPN客戶機(jī)：終端計算機(jī)或者路由器。隧道：數(shù)據(jù)傳輸通道，其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過封裝。隧道協(xié)議：封裝數(shù)據(jù)、管理隧道的通信標(biāo)準(zhǔn)。VPN連接：在VPN連接中，數(shù)據(jù)必須經(jīng)過加密。傳輸數(shù)據(jù)：經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò)：如Internet，也可以是其他共享型網(wǎng)絡(luò)。下圖一直觀的顯示了VPN系統(tǒng)的組成。

圖一 VPN系統(tǒng)的組成

2.2.VPN系統(tǒng)通信流程與功能

首先，需要保護(hù)的主機(jī)發(fā)送明文信息到其VPN設(shè)備，其VPN設(shè)備根據(jù)管理員設(shè)置的規(guī)則,確定是對數(shù)據(jù)加密還是直接傳送。如果是需要加密的數(shù)據(jù),VPN 設(shè)備將其整個數(shù)據(jù)包進(jìn)行加密和簽名,加上新的數(shù)據(jù)報頭(包括目的地VPN設(shè)備需要的安全信息和初始化參數(shù))重新封裝;封裝后的數(shù)據(jù)包通過隧道在公網(wǎng)上傳輸;然后數(shù)據(jù)包到達(dá)目的VPN設(shè)備,收端VPN設(shè)備將數(shù)據(jù)包解封,核對簽名后,將數(shù)據(jù)包解密。

實現(xiàn)的基本功能有五項，分別是身份鑒別：包括驗證用戶的身份，限制非授權(quán)用戶的時候訪問了什么資源。不同的用戶對不同的資源應(yīng)有不同的訪問權(quán)限；地址管理：為每個客戶分配一個地址，并保證地址對虛擬專用網(wǎng)外的不可見性；數(shù)據(jù)加密：保證通過公共網(wǎng)絡(luò)傳送的信息即使被他人截獲也不會泄密；密鑰管理：能夠為VPN的客戶和服務(wù)器生成和更新加密密鑰；多協(xié)議支持：VPN必需能夠處理公共網(wǎng)絡(luò)常用的各種協(xié)議，包括IP、IPX等等； 2.3.VPN系統(tǒng)的分類

Intranet VPN：用于集團(tuán)的總部和多個分支機(jī)構(gòu)之間；分支機(jī)構(gòu)網(wǎng)絡(luò)是集團(tuán)總部網(wǎng)絡(luò)的可靠延伸；

Extranet VPN：為集團(tuán)的供貨商、重要客戶和消費(fèi)者等商業(yè)伙伴提供訪問權(quán)限；電子商務(wù)是Extranet VPN的一種特殊形式；

Access VPN：為移動用戶遠(yuǎn)程訪問集團(tuán)總部網(wǎng)絡(luò)提供服務(wù)； 2.4.關(guān)鍵技術(shù)

隧道技術(shù)：VPN的核心技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道由隧道協(xié)議形成，常用的有2、3層隧道協(xié)議。

密碼技術(shù)（由下面三項技術(shù)組成）

加解密技術(shù)：將認(rèn)證信息、通信數(shù)據(jù)等轉(zhuǎn)換為密文的相關(guān)技術(shù)，其可靠性主要取決于加解密的算法及強(qiáng)度。

密鑰管理技術(shù)：如何在公用網(wǎng)上安全地傳遞密鑰而不被竊取。身份認(rèn)證技術(shù)：在正式的隧道連接開始之前需要確認(rèn)用戶的身份，以便系統(tǒng)進(jìn)一步實施資源訪問控制或用戶授權(quán)。2.5.身份認(rèn)證方法

PAP（Password Authentication Protocol）：是一種簡單的明文用戶名/口令認(rèn)證方式。

CHAP（Challenge Handshake Authentication Protocol詢問握手身份驗證協(xié)議）：是一種挑戰(zhàn)響應(yīng)式協(xié)議。它是PPP(MODEM或ADSL撥號)中普遍使用的認(rèn)證協(xié)議。MS-CHAP：是微軟針對Windows系統(tǒng)設(shè)計的，采用MPPE加密用戶密碼和數(shù)據(jù)。

RADIUS（Remote Authentication Dial In User Service，遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)）：最初是由Livingston公司提出的，原先的目的是為撥號用戶進(jìn)行認(rèn)證和計費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一項通用的認(rèn)證計費(fèi)協(xié)議。

2.6.具體通信協(xié)議與方法 2.6.1.點對點隧道協(xié)議（PPTP）

PPTP（point – to – point Tunneling Protocol）是1996年Microsoft 和Ascend等在PPP協(xié)議上開發(fā)的支持Client-to-LAN類型的VPN連接。PPTP 使用 PPP 撥號連接，通過對PPP 分組的封裝傳輸，將PPP 鏈接邏輯地延伸到遠(yuǎn)程用戶與企業(yè)總部的PPTP服務(wù)器之間，從而借用PPP 協(xié)議成熟的機(jī)制對用戶進(jìn)行身份鑒別、訪問授權(quán)以及網(wǎng)絡(luò)配置，同時，通過PPTP封裝傳輸，也使得使用企業(yè)內(nèi)部地址的分組，能成功地穿越IP 異構(gòu)網(wǎng)絡(luò)，到達(dá)企業(yè)總部，以此達(dá)到資源共享。PPTP只能在兩端點間建立單一隧道。

PPTP工作模式分為被動和主動兩種模式。被動模式中，PPTP會話通過一個一般位于ISP 處的前端處理器發(fā)起，客戶端不需安裝任何PPTP軟件，ISP 為用戶提供相應(yīng)的服務(wù)，這種方式降低了對客戶的要求，但限制了客戶對Internet 其他部分的訪問。主動模式中，客戶與網(wǎng)絡(luò)另一端的服務(wù)器直接建立PPTP隧道，不需ISP 的參與，不需位于ISP 處的前端處理器，ISP 只提供透明的傳輸通道。這種方式的優(yōu)點是客戶對PPTP有絕對的控制。

PPTP隧道機(jī)制的特點有，PPTP不提供數(shù)據(jù)安全性保證，它必須借助PPP 的加密機(jī)制，如MPPE（Window自帶），或者與其它安全協(xié)議如IPsec）結(jié)合使用，才能為隧道通信提供安全保護(hù)；由于PPP協(xié)議本身支持多協(xié)議傳輸，PPTP因此支持多協(xié)議傳輸； PPTP不支持多隧道復(fù)用，但通過呼叫ID 能支持對隧道的會話復(fù)用； PPTP通過GRE頭中的序列號支持有限的分組排序功能； PPTP協(xié)議的系統(tǒng)開銷適中；除了有限的流量控制功能，PPTP也基本不能提供QoS 保障。2.6.2.第2層轉(zhuǎn)發(fā)L2F（Layer 2 Forward）協(xié)議

L2F（Layer 2 Forward）協(xié)議由Cisco公司提出，通過對PPP或SLIP分組的封裝傳輸，能使PPP/SLIP分組在多種網(wǎng)絡(luò)（如ATM、幀中繼和IP網(wǎng)絡(luò)）中傳輸。其標(biāo)準(zhǔn)于1998年提交IETF，發(fā)布在RFC 2341。L2F協(xié)議設(shè)計了L2F封裝頭, 形成L2F分組。L2F分組可在任何能提供點到點鏈接的底層媒體上發(fā)送。當(dāng)L2F分組在IP網(wǎng)絡(luò)上發(fā)送時，L2F分組將作為UDP協(xié)議的上層協(xié)議數(shù)據(jù)單元被封裝成為UDP報文，經(jīng)過IP協(xié)議發(fā)送。

以下是一個典型的L2F協(xié)議的實現(xiàn)：

圖二 L2F協(xié)議的典型實現(xiàn)

遠(yuǎn)程用戶通過ISDN/PSTN 網(wǎng)與NAS建立PPP 連接。VPN客戶機(jī)通過VPN撥號向NAS服務(wù)器發(fā)送請求，希望建立與遠(yuǎn)程HGW的VPN連接。NAS根據(jù)用戶名稱等信息向HGW發(fā)送隧道建立連接請求，實現(xiàn)與HGW之間通過IP 網(wǎng)、幀中繼或其它網(wǎng)絡(luò)建立L2F 隧道，總部局域網(wǎng)通過HGW與外界連接。即遠(yuǎn)程用戶與NAS之間建立一條PPP 鏈接。這條鏈接被NAS與HGW之間的L2F 隧道邏輯地延伸到HGW。2.6.3.第2層隧道協(xié)議（L2TP）

因特網(wǎng)工程任務(wù)組（IETF）希望統(tǒng)一虛擬撥號的標(biāo)準(zhǔn)，由此產(chǎn)生了L2TP（Layer 2 Tunneling Protocol）協(xié)議。它由微軟、Ascend、Cisco、3COM等公司參予制定，結(jié)合了PPTP和L2F兩種協(xié)議的優(yōu)點，成為IETF標(biāo)準(zhǔn)RFC 2661。L2TP是典型的被動式隧道協(xié)議，可讓用戶從客戶機(jī)或接入服務(wù)器發(fā)起VPN連接。L2TP協(xié)議設(shè)計了L2TP封裝頭，設(shè)計思想類似于L2F頭。封裝形成的L2TP分組可在任何能提供點到點鏈接的媒體上發(fā)送，如IP網(wǎng)、ATM和幀中繼。當(dāng)L2TP分組在IP網(wǎng)上進(jìn)行發(fā)送時，L2TP分組被封裝入UDP報文，再遞交給IP協(xié)議進(jìn)行發(fā)送。

而L2TP協(xié)議的工作流程如下：遠(yuǎn)程用戶通過PSTN或ISDN網(wǎng)，向ISP發(fā)起PPP鏈接請求。在ISP的呈現(xiàn)點 POP處，LAC接受此連接，建立遠(yuǎn)程用戶到LAC的PPP鏈接。遠(yuǎn)程用戶與LAC互換LCP配置信息，并可能實現(xiàn)如CHAP身份鑒別信息的局部交換；

ISP的LAC依據(jù)CHAP應(yīng)答中的名字信息，確定是否對此遠(yuǎn)程用戶提供虛擬的撥號訪問服務(wù)。若需要，則由名字信息確定該用戶的總部所在地，即目的LNS；

如果LAC與該LNS之間沒有建立隧道，或者因為保證QoS服務(wù)的需要，由LAC向LNS發(fā)起隧道的建立，并為該隧道分配一個隧道號，即Tunnel ID；并在隧道中為該用戶呼叫分配一個ID號，稱Call ID。LAC隨后向LNS發(fā)出入站呼叫請求。該請求中可能包括LAC對遠(yuǎn)程用戶收集的鑒別信息以及其它配置信息；如果LNS接受此入站呼叫，則在LNS為此呼叫產(chǎn)生一個“虛擬接口”，該虛擬接口為L2TP隧道的終點，其另一終點是建立于LAC上的一個L2TP虛擬接口；

LNS為遠(yuǎn)程用戶分配IP地址。LNS分配給遠(yuǎn)程用戶的IP地址由管理員設(shè)置，一般使用私有地址，但LAC和LNS需使用公共IP地址。從遠(yuǎn)程用戶發(fā)送的PPP幀到達(dá)LAC后，LAC上的L2TP虛擬接口將PPP幀封裝為L2TP分組之中，在特定的傳輸媒體上發(fā)送。當(dāng)L2TP分組到達(dá)LNS端后，L2TP頭被剝?nèi)?，剩余的PPP或SLIP分組將與正常進(jìn)入的分組一樣被送入相應(yīng)的接口進(jìn)行處理。

從LNS發(fā)送到遠(yuǎn)程用戶的數(shù)據(jù)的處理過程與此完全相似。2.6.4.IP安全協(xié)議（IPSec）與SSL VPN VPN技術(shù)雖然種類眾多，但I(xiàn)ETF下的IPSec工作組推出的IPSec協(xié)議是目前工業(yè)界IP VPN標(biāo)準(zhǔn)，安全性明顯優(yōu)于其它隧道協(xié)議,以IPSec協(xié)議構(gòu)建虛擬專用網(wǎng)已成為主流。

基于IPSec構(gòu)建IP VPN是指利用實現(xiàn)IPsec協(xié)議的安全網(wǎng)關(guān)（Security Gateway）充當(dāng)邊界路由器，完成安全的遠(yuǎn)程接入和在廣域網(wǎng)上內(nèi)部網(wǎng)絡(luò)的“虛擬”專線互聯(lián)等。

IPSec VPN的建立方式包括：Host 對Host，Host 對VPN 網(wǎng)關(guān)，VPN 對VPN 網(wǎng)關(guān)，Remote User 對VPN 網(wǎng)關(guān)，Host 對Host，Host 對VPN 網(wǎng)關(guān)，VPN 對VPN 網(wǎng)關(guān)，Remote User 對VPN 網(wǎng)關(guān)。SSL VPN主要供遠(yuǎn)程用戶訪問內(nèi)部網(wǎng)絡(luò)資源時使用，包括Web服務(wù)、文件服務(wù)（包括FTP 服務(wù)、Windows網(wǎng)上鄰居服務(wù)）、可轉(zhuǎn)化為Web方式的應(yīng)用（如Webmail)以及基于C/S的各類應(yīng)用等。SSL 應(yīng)用模式基本分為三類：Web瀏覽器模式、專門的SSL VPN客戶端模式和LAN 到LAN 模式。

在Web瀏覽器模式中，SSL VPN服務(wù)器使用https和socks 協(xié)議（實現(xiàn)代理功能，負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)）。SSL VPN客戶端與SSL VPN服務(wù)器間使用https協(xié)議；而SSL VPN服務(wù)器與單位內(nèi)部服務(wù)器間使用http 協(xié)議。當(dāng)客戶端需要訪問內(nèi)部網(wǎng)絡(luò)中的C/S應(yīng)用時，它從SSL VPN服務(wù)器下載控件。該控件是一個服務(wù)監(jiān)聽程序，用于將客戶端的C/S數(shù)據(jù)包轉(zhuǎn)換為Http 協(xié)議支持的連接方法，并通知SSL VPN服務(wù)器它所采用的通信協(xié)議（TCP/UDP）及訪問的目的服務(wù)地址和端口?？蛻舳丝丶cSSL VPN服務(wù)器建立安全通道后，在本機(jī)接收客戶端數(shù)據(jù)包后，通過SSL 通道轉(zhuǎn)發(fā)給SSL VPN服務(wù)器。SSL VPN服務(wù)器解密數(shù)據(jù)后轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)的目的服務(wù)器。SSL VPN服務(wù)器接收到內(nèi)部網(wǎng)絡(luò)的服務(wù)器的響應(yīng)數(shù)據(jù)包后，通過SSL 通道發(fā)給客戶端控件?？蛻舳丝丶饷芎筠D(zhuǎn)發(fā)給客戶端應(yīng)用程序。

3.學(xué)習(xí)總結(jié)

網(wǎng)絡(luò)安全技術(shù)是保證網(wǎng)絡(luò)通信過程中，傳遞信息的機(jī)密性，完整性，可用性，不可否認(rèn)性等。硬件層面的設(shè)備，線纜等安全性可以通過加強(qiáng)設(shè)計和提高生產(chǎn)技術(shù)來保證。軟件層面的通信安全就需要靠安全通信協(xié)議和對明文內(nèi)容的加密算法來實現(xiàn)。在通信網(wǎng)絡(luò)的OSI分層中，軟件層面的通信安全主要體現(xiàn)在網(wǎng)絡(luò)層，傳輸層，會話層，表示層。在每個層中，根據(jù)網(wǎng)絡(luò)通信類型和服務(wù)不同，使用的安全協(xié)議也有區(qū)別。密鑰技術(shù)，數(shù)字證書技術(shù)等保證信息機(jī)密性，完整性，可用性，不可否認(rèn)性的技術(shù)主要工作在表示層。而VPN技術(shù)是從鏈路層到表示層都有一整套協(xié)議和通信方式的技術(shù)，在各個層都能夠保證信息不被篡改，閱讀，抵賴。所以幾乎能夠相當(dāng)于在用戶之間建立了一條專線進(jìn)行通信。

第三篇：VPN定義

VPN

開放分類： 互聯(lián)網(wǎng)、網(wǎng)絡(luò)、電腦、技術(shù)

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專用網(wǎng)（VPN）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。下面我們結(jié)合本站有關(guān)思科及微軟關(guān)于VPN方面的文章為大家介紹這方面的資訊，更多更豐富的相關(guān)方面內(nèi)容我們將在以后日子里進(jìn)行補(bǔ)充。

針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對應(yīng)。

======

虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。

虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的壓網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時，這將簡化網(wǎng)絡(luò)的設(shè)計和管理，加速連接新的用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

目前很多單位都面臨著這樣的挑戰(zhàn)：分公司、經(jīng)銷商、合作伙伴、客戶和外地出差人員要求隨時經(jīng)過公用網(wǎng)訪問公司的資源,這些資源包括:公司的內(nèi)部資料、辦公OA、ERP系統(tǒng)、CRM系統(tǒng)、項目管理系統(tǒng)等?，F(xiàn)在很多公司通過使用IPSec VPN來保證公司總部和分支機(jī)構(gòu)以及移動工作人員之間安全連接。

對于很多IPSec VPN用戶來說，IPSec VPN的解決方案的高成本和復(fù)雜的結(jié)構(gòu)是很頭疼的。存在如下事實：在部署和使用軟硬件客戶端的時候，需要大量的評價、部署、培訓(xùn)、升級和支持，對于用戶來說，這些無論是在經(jīng)濟(jì)上和技術(shù)上都是個很大的負(fù)擔(dān)，將遠(yuǎn)程解決方案和昂貴的內(nèi)部應(yīng)用相集成，對任何IT專業(yè)人員來說都是嚴(yán)峻的挑戰(zhàn)。由于受到以上IPSec VPN的限制，大量的企業(yè)都認(rèn)為IPSec VPN是一個成本高、復(fù)雜程度高，甚至是一個無法實施的方案。為了保持競爭力，消除企業(yè)內(nèi)部信息孤島，很多公司需要在與企業(yè)相關(guān)的不同的組織和個人之間傳遞信息，所以很多公司需要找一種實施簡便，不需改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，運(yùn)營成本低的解決方案。

----從概念上講，IP-VPN是運(yùn)營商(即服務(wù)提供者)支持企業(yè)用戶應(yīng)用的方案。一個通用的方法可以適用于由一個運(yùn)營商來支持的、涉及其他運(yùn)營商網(wǎng)絡(luò)的情況（如運(yùn)營商的運(yùn)營商）。

----圖1給出了實現(xiàn)IP-VPN的一個通用方案。其中，CE路由器是用于將一個用戶站點接入服務(wù)提供者網(wǎng)絡(luò)的用戶邊緣路由器。而PE路由器則是與用戶CE路由器相連的、服務(wù)提供者的邊緣路由器。

----站點是指這樣一組網(wǎng)絡(luò)或子網(wǎng)，它們是用戶網(wǎng)絡(luò)的一部分，并且通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點，一個站點可以同時位于不同的幾個VPN之中。

----圖2顯示了一個服務(wù)提供者網(wǎng)絡(luò)支持多個VPN的情況。如圖2所示，一個站點可以同時屬于多個VPN。依據(jù)一定的策略，屬于多個VPN的站點既可以在兩個VPN之間提供一定的轉(zhuǎn)發(fā)能力，也可以不提供這種能力。當(dāng)一個站點同時屬于多個VPN時，它必須具有一個在所有VPN中唯一的地址空間。

----MPLS為實現(xiàn)IP-VPN提供了一種靈活的、具有可擴(kuò)展性的技術(shù)基礎(chǔ)，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來決定自己的網(wǎng)絡(luò)如何支持IP-VPN。所以，在MPLS/ATM網(wǎng)絡(luò)中,有多種支持IP-VPN的方法，本文介紹其中兩種方法。

方案一

----本節(jié)介紹一種在公共網(wǎng)中使用MPLS提供IPVPN業(yè)務(wù)的方法。該方法使用LDP的一般操作方式，即拓?fù)潋?qū)動方式來實現(xiàn)基本的LSP建立過程，同時使用兩級LSP隧道(標(biāo)記堆棧)來支持VPN的內(nèi)部路由。

----圖3 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的一種由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置。

----LER(標(biāo)記邊緣路由器)

----LER是MPLS的邊緣路由器，它位于MPLS/ATM服務(wù)提供者網(wǎng)絡(luò)的邊緣。對于VPN用戶的IP業(yè)務(wù)量，LER將是VPN隧道的出口與入口節(jié)點。如果一個LER同時為多個用戶所共享，它還應(yīng)當(dāng)具有執(zhí)行虛擬路由的能力。這就是說，它應(yīng)當(dāng)為自己服務(wù)的各個VPN分別建立一個轉(zhuǎn)發(fā)表，這是因為不同VPN的IP地址空間可能是有所重疊的。

----LSR(標(biāo)記交換路由器)

----MPLS/ATM核心網(wǎng)絡(luò)是服務(wù)提供者的下層網(wǎng)絡(luò)，它為用戶的IP-VPN業(yè)務(wù)所共享。

----建立IP-VPN區(qū)域的操作

----希望提供IP-VPN的網(wǎng)絡(luò)提供者必須首先對MPLS域進(jìn)行配置。這里的MPLS域指的就是IPVPN區(qū)域。作為一種普通的LDP操作，基本的LSP 建立過程將使用拓?fù)潋?qū)動方法來進(jìn)行，這一過程被定義為使用基本標(biāo)記的、基本的或是單級LSP建立。而對于VPN內(nèi)部路由，則將使用兩級LSP隧道（標(biāo)記堆棧）。

----VPN成員

----每一個LER都有一個任務(wù)，即發(fā)現(xiàn)在VPN區(qū)域中為同一 IPVPN服務(wù)的其他所有LER。由于本方案最終目的是要建立第二級MPLS隧道，所以 LER發(fā)現(xiàn)對等實體的過程也就是LDP會話初始化的過程。每一個LER沿著能夠到達(dá)其他 LER的每一條基本網(wǎng)絡(luò)LSP，向下游發(fā)送一個LDP Hello消息。LDP Hello消息中會包含一個基本的MPLS標(biāo)記，以方便這些消息能夠最終到達(dá)目的LER。

----LDP Hello消息實際上是一種查詢消息，通過這一消息，發(fā)送方可以獲知在目的LER處是否存在與發(fā)送方LSR同屬一個VPN的LER（對等實體）。新的Hello消息相鄰實體注冊完成之后，相關(guān)的兩個LER之間將開始發(fā)起LDP會話。隨后，其中一個LER將初始化與對方的TCP連接。當(dāng)TCP連接建立完成而且必要的初始化消息交互也完成之后，對等LER之間的會話便建立起來了。此后，雙方各自為對方到自己的LSP 隧道提供一個標(biāo)記。如果LSP隧道是嵌套隧道，則該標(biāo)記將被推入標(biāo)記棧中，并被置于原有的標(biāo)記之上。

----VPN成員資格和可到達(dá)性信息的傳播

----通過路由信息的交換，LER可以學(xué)習(xí)與之直接相連的、用戶站點的IP地址前綴。LER需要找到對等LER，還需要找到在一個VPN中哪些LER 是為同一個VPN服務(wù)的。LER將與其所屬的VPN區(qū)域中其他的LER建立直接的LDP會話。換言之，只有支持相同VPN的LER之間才能成功地建立LDP會話。

----VPN內(nèi)的可到達(dá)性

----最早在嵌套隧道中傳送的數(shù)據(jù)流是LER之間的路由信息。當(dāng)一個LER被配置成一個IPVPN的一員時，配置信息將包含它在VPN內(nèi)部要使用的路由協(xié)議。在這一過程中，還可能會配置必要的安全保密特性，以便該LER能夠成為其他LER的相鄰路由器。在VPN內(nèi)部路由方案中，每一次發(fā)現(xiàn)階段結(jié)束之后，每一個LER 都將發(fā)布通過它可以到達(dá)的、VPN用戶的地址前綴。

----IP分組轉(zhuǎn)發(fā)

----LER之間的路由信息交互完成之后，各個LER都將建立起一個轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴(FEC轉(zhuǎn)發(fā)等價類)與下一跳聯(lián)系起來。當(dāng)收到的IP分組的下一跳是一個LER時，轉(zhuǎn)發(fā)進(jìn)程將首先把用于該LER的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧，隨后把能夠到達(dá)該LER的基本網(wǎng)絡(luò)LSP上下一跳的基本標(biāo)記推入標(biāo)記分組，接著帶有兩個標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP中的下一個LSR；當(dāng)該分組到達(dá)目的LER時，最外層的標(biāo)記可能已經(jīng)發(fā)生許多次的改變，而嵌套在內(nèi)部的標(biāo)記始終保持不變；當(dāng)標(biāo)記棧彈出后，繼續(xù)使用嵌套標(biāo)記將分組發(fā)送至正確的LER。在LER上，每一個VPN使用的嵌套標(biāo)記空間必須與該LER所支持的其他所有VPN使用的嵌套標(biāo)記空間不同。

方案二

----本節(jié)將對一種在公共網(wǎng)中使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來提供IP-VPN業(yè)務(wù)的方法進(jìn)行介紹，其技術(shù)細(xì)節(jié)可以參見RFC 2547。

----圖1 給出了在MPLS/ATM核心網(wǎng)絡(luò)中提供IPVPN業(yè)務(wù)的、由LER和LSR構(gòu)成的網(wǎng)絡(luò)配置，圖4則給出了使用RFC 2547的網(wǎng)絡(luò)模型。

----提供者邊緣(PE)路由器

----PE路由器是與用戶路由器相連的服務(wù)提供者邊緣路由器。

----實際上，它就是一個邊緣LSR（即MPLS網(wǎng)絡(luò)與不使用 MPLS的用戶或服務(wù)提供者之間的接口）。

----用戶邊緣(CE)路由器

----CE路由器是用于將一個用戶站點接至PE路由器的用戶邊緣路由器。在這一方案中，CE路由器不使用MPLS，它只是一臺IP路由器。CE不必支持任何VPN的特定路由協(xié)議或信令。

----提供者(P)路由器

----P路由器是指網(wǎng)絡(luò)中的核心LSR。

----站點（Site）

----站點是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過一條或多條PE/CE鏈路接至VPN。VPN是指一組共享相同路由信息的站點。一個站點可以同時位于不同的幾個VPN之中。

----路徑區(qū)別標(biāo)志

----服務(wù)提供者將為每一個VPN分配一個唯一的標(biāo)志符，該標(biāo)志符稱為路徑區(qū)別標(biāo)志（RD）,它對應(yīng)于服務(wù)提供者網(wǎng)絡(luò)中的每一個Intranet或Extranet 都是不同的。PE路由器中的轉(zhuǎn)發(fā)表里將包含一系列唯一的地址，這些地址稱為VPNIP 地址，它們是由RD與用戶的IP地址連接而成的。VPNIP地址對于服務(wù)提供者網(wǎng)絡(luò)中的每一個端點都是唯一的，對于VPN中的每一個節(jié)點（即VPN中的每一個PE路由器），轉(zhuǎn)發(fā)表中都將存儲有一個條目。

----連接模型

----圖4給出了MPLS/BGP VPN的連接模型。

----從圖4中可以看出，P路由器位于MPLS網(wǎng)絡(luò)的核心。PE路由器將使用MPLS與核心MPLS網(wǎng)絡(luò)通信，同時使用IP路由技術(shù)來與CE路由器通信。P與PE路由器將使用IP路由協(xié)議（內(nèi)部網(wǎng)關(guān)協(xié)議）來建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實現(xiàn)路由器之間的標(biāo)記分發(fā)。

----PE路由器使用多協(xié)議BGP4來實現(xiàn)彼此之間的通信，完成標(biāo)記交換和每一個VPN策略。除非使用了路徑映射標(biāo)志（route reflector），否則PE 之間是BGP全網(wǎng)狀連接。特別地，圖4中的PE處于同一自治域中，它們之間使用內(nèi)部BGP（iBGP）協(xié)議。

----P路由器不使用BGP協(xié)議而且對VPN一無所知，它們使用普通的MPLS協(xié)議與進(jìn)程。

----PE路由器可以通過IP路由協(xié)議與CE路由器交換IP路徑，也可以使用靜態(tài)路徑。在CE與PE路由器之間使用普通的路由進(jìn)程。CE路由器不必實現(xiàn)MPLS或?qū)PN有任何特別了解。

----PE路由器通過iBGP將用戶路徑分發(fā)到其他的PE路由器。為了實現(xiàn)路徑分發(fā)，BGP使用VPN-IP地址（由RD和IPv4地址構(gòu)成）。這樣，不同的VPN可以使用重疊的IPv4地址空間而不會發(fā)生VPN-IP地址重復(fù)的情況。

----PE路由器將BGP計算得到的路徑映射到它們的路由表中，以便把從CE路由器收到的分組轉(zhuǎn)發(fā)到正確的LSP上。

----這一方案使用兩級標(biāo)記：內(nèi)部標(biāo)記用于PE路由器對于各個VPN的識別，外部標(biāo)記則為MPLS網(wǎng)絡(luò)中的LSR所用——它們將使用這些標(biāo)記把分組轉(zhuǎn)發(fā)給正確的PE。

----建立IP-VPN區(qū)域的操作

----希望提供IP-VPN業(yè)務(wù)的網(wǎng)絡(luò)提供者必須按照連接需求對網(wǎng)絡(luò)進(jìn)行設(shè)計與配置，這包括：PE必須為其支持的VPN以及與之相連的CE所屬的VPN 進(jìn)行配置；MPLS網(wǎng)絡(luò)或者是一個路徑映射標(biāo)志中的PE路由器之間必須進(jìn)行對等關(guān)系的配置；為了與CE進(jìn)行通信，還必須進(jìn)行普通的路由協(xié)議配置；為了與MPLS核心網(wǎng)絡(luò)進(jìn)行通信，還必須進(jìn)行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能夠支持MPLS之外，還要能夠支持VPN。

>----VPN成員資格和可到達(dá)性信息的傳播

----PE路由器使用IP路由協(xié)議或者是靜態(tài)路徑的配置來交換路由信息，并且通過這一過程獲得與之直接相連的用戶網(wǎng)站IP地址前綴。

----PE路由器通過與其BGP對等實體交換VPN-IP地址前綴來獲得到達(dá)目的VPN站點的路徑。另外，PE路由器還要通過BGP與其PE路由器對等實體交換標(biāo)記，以此確定PE路由器間連接所使用的LSP。這些標(biāo)記用作第二級標(biāo)記，P 路由器看不到這些標(biāo)記。

----PE路由器將為其支持的每一個VPN分別建立路由表和轉(zhuǎn)發(fā)表，與一個PE路由器相連的CE路由器則根據(jù)該連接所使用的接口選擇合適的路由表。

----IP分組轉(zhuǎn)發(fā)

----PE之間的路由信息交換完成之后，每一個PE都將為每一個VPN建立一個轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表將把VPN用戶的特定地址前綴與下一跳PE路由器聯(lián)系起來。

----當(dāng)收到發(fā)自CE路由器的IP分組時，PE路由器將在轉(zhuǎn)發(fā)表中查詢該分組對應(yīng)的VPN。

----如果找到匹配的條目，路由器將執(zhí)行以下操作：

----如果下一跳是一個PE路由器，轉(zhuǎn)發(fā)進(jìn)程將首先把從路由表中得到的、該P(yáng)E路由器所對應(yīng)的標(biāo)記（嵌套隧道標(biāo)記）推入標(biāo)記棧；PE路由器把基本的標(biāo)記推入分組，該標(biāo)記用于把分組轉(zhuǎn)發(fā)到到達(dá)目的PE路由器的、基本網(wǎng)絡(luò)LSP上的第一跳；帶有兩級標(biāo)記的分組將被轉(zhuǎn)發(fā)到基本網(wǎng)絡(luò)LSP上的下一個LSR。

----P路由器（LSR）使用頂層標(biāo)記及其路由表對分組繼續(xù)進(jìn)行轉(zhuǎn)發(fā)。當(dāng)該分組到達(dá)目的LER時，最外層的標(biāo)記可能已發(fā)生多次改變，而嵌套在內(nèi)部的標(biāo)記保持不變。

----當(dāng)PE收到分組時，它使用內(nèi)部標(biāo)記來識別VPN。此后，PE將檢查與該VPN相關(guān)的路由表，以便決定對分組進(jìn)行轉(zhuǎn)發(fā)所要使用的接口。

----如果在VPN路由表中找不到匹配的條目，PE路由器將檢查Internet路由表（如果網(wǎng)絡(luò)提供者具備這一能力）。如果找不到路由，相應(yīng)分組將被丟棄。

----VPNIP轉(zhuǎn)發(fā)表中包含VPNIP地址所對應(yīng)的標(biāo)記，這些標(biāo)記可以把業(yè)務(wù)流路由至VPN中的每一個站點。這一過程由于使用的是標(biāo)記而不是IP 地址，所以在企業(yè)網(wǎng)中，用戶可以使用自己的地址體系，這些地址在通過服務(wù)提供者網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)傳輸時無需網(wǎng)絡(luò)地址翻譯（NAT）。通過為每一個VPN使用不同的邏輯轉(zhuǎn)發(fā)表，不同的VPN業(yè)務(wù)將可以被分開。使用BGP協(xié)議，交換機(jī)可以根據(jù)入口選擇一個特定的轉(zhuǎn)發(fā)表，該轉(zhuǎn)發(fā)表可以只列出一個VPN有效目的地址。

----為了建立企業(yè)的Extranet，服務(wù)提供者需要對VPN之間的可到達(dá)性進(jìn)行明確指定(可能還需要進(jìn)行NAT配置)。

----安全

----在服務(wù)提供者網(wǎng)絡(luò)中，PE所使用的每一個分組都將與一個RD相關(guān)聯(lián)，這樣，用戶無法將其業(yè)務(wù)流或者是分組偷偷送入另一個用戶的VPN。要注意的是，在用戶數(shù)據(jù)分組中沒有攜帶RD，只有當(dāng)用戶位于正確的物理端口上或擁有PE路由器中已經(jīng)配置的、適當(dāng)?shù)腞D時，用戶才能加入一個Intranet或 Extranet。這一建立過程可以保證非法用戶無法進(jìn)入VPN，從而為用戶提供與幀中繼、租用線或ATM業(yè)務(wù)相同的安全等級。

第四篇：VPN研究報告

一、前言

互聯(lián)網(wǎng)的普及、移動通信技術(shù)的進(jìn)步、信息化程度的提高，使全世界的數(shù)字信息高度共

享成為可能。中國高校也越來越重視數(shù)字化校園的開發(fā)，依托先進(jìn)的網(wǎng)絡(luò)技術(shù)開展電化教學(xué)、電子教學(xué)資源的建設(shè)。而作為電子教學(xué)資源的重點之一，電子圖書館的建設(shè)已經(jīng)成為當(dāng)今數(shù)字化校園建設(shè)的新亮點。國內(nèi)很多高校近幾年都從網(wǎng)上購置了大量的電子數(shù)據(jù)供廣大師生開展教學(xué)研究。這些資源對于學(xué)校學(xué)科建設(shè)和科學(xué)研究工作有很重要的意義，數(shù)字圖書館的建設(shè)和應(yīng)用已經(jīng)成為高校信息化建設(shè)和現(xiàn)代教育技術(shù)改革工作的一大重點。

二、選題背景

隨著教育信息化的深入，很多學(xué)校都建立了校園網(wǎng)，為了實現(xiàn)校內(nèi)資源優(yōu)化整合，讓師

生們更好的進(jìn)行工作和學(xué)習(xí)，他們需要在校園網(wǎng)內(nèi)部或在校外的遠(yuǎn)程節(jié)點上，隨時享受校園網(wǎng)內(nèi)部的各項服務(wù)，然而由于互聯(lián)網(wǎng)黑客對各高校的資源虎視眈眈，在沒有經(jīng)過任何允許的情況下，黑客們很容易就潛入校園網(wǎng)內(nèi)部進(jìn)行搗亂，為此，多數(shù)校園網(wǎng)都不會將自己的各種應(yīng)用系統(tǒng)和所有信息資源完全開放，因為這樣讓整個校園網(wǎng)面臨無以估量的破壞性損失，為了網(wǎng)絡(luò)安全考慮，將vpn技術(shù)應(yīng)用于基于公共互聯(lián)網(wǎng)構(gòu)架的校園網(wǎng)，可以較好的解決校園網(wǎng)多校區(qū)、遠(yuǎn)程訪問、遠(yuǎn)程管理等問題。

三、vpn簡介

虛擬專用網(wǎng)（vpn）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安

全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

四、vpn功能

vpn可以提供的功能： 防火墻功能、認(rèn)證、加密、隧道化。

vpn可以通過特殊的加密的通訊協(xié)議在連接在internet上的位于不同地方的兩個或多個

企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。vpn技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或windows 2000等軟件里也都支持vpn功能，一句話，vpn的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

五、vpn常用的網(wǎng)絡(luò)協(xié)議

常用的虛擬私人網(wǎng)絡(luò)協(xié)議有：

ipsec : ipsec(縮寫ip security)是保護(hù)ip協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對ip協(xié)議分組進(jìn)行加密和認(rèn)證。ipsec作為一個協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護(hù)分組流的協(xié)議；(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個部分： vpn加密分組流的封裝安全載荷（esp）及較少使用的認(rèn)證頭（ah），認(rèn)證頭提供了對分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，ike協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。

pptp: point to point tunneling protocol--點到點隧道協(xié)議。在因特網(wǎng)上建立ip虛擬專用網(wǎng)

（vpn）隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)的通信方式。l2f: layer 2 forwarding--第二層轉(zhuǎn)發(fā)協(xié)議

l2tp: layer 2 tunneling protocol--第二層隧道協(xié)議 gre：vpn的第三層隧道協(xié)議

六、vpn研究問題

? vpn如何解決校園網(wǎng)安全風(fēng)險

對于校園網(wǎng)而言，它雖然給師生帶來了資源共享的便捷，但同時也意味著具有安全風(fēng)險，比如非授權(quán)訪問，沒有預(yù)先經(jīng)過授權(quán)，就使用校園網(wǎng)絡(luò)或計算機(jī)資源；信息泄漏或丟失，重要數(shù)據(jù)在有意或無意中被泄漏出去或丟失；以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息；不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓；利用網(wǎng)絡(luò)傳播計算機(jī)病毒等。那么，校園網(wǎng)利用vpn技術(shù)方案，是否能避免校園網(wǎng)的潛在安全隱患，杜絕上述情況的發(fā)生呢？

vpn即虛擬私有網(wǎng)絡(luò)技術(shù)，它的安全功能包括：通道協(xié)議、身份驗證和數(shù)據(jù)加密，實際工作時，遠(yuǎn)程外網(wǎng)客戶機(jī)向校園網(wǎng)內(nèi)的vpn服務(wù)器發(fā)出請求，vpn服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到vpn服務(wù)端，vpn服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，vpn服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問的權(quán)限，如果該用戶擁有遠(yuǎn)程訪問的權(quán)限，vpn服務(wù)器接受此連接。在身份驗證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密。簡單來說，vpn可以通過對校園網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行封包和加密傳輸，在互聯(lián)網(wǎng)公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級別。? 選擇ipsec vpn還是ssl vpn 校園網(wǎng)vpn方案可以通過公眾ip網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來，減輕了校園網(wǎng)的遠(yuǎn)程訪問費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開支，不過對于端到端的安全數(shù)據(jù)通訊，還需要根據(jù)實際情況采取不同的架構(gòu)。一般而言，ipsec vpn和ssl vpn是目前校園網(wǎng)vpn方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，總體來說，ipsec vpn是提供站點與站點之間的連接，比較適合校園網(wǎng)內(nèi)分校與分校的連接；而ssl vpn則提供遠(yuǎn)程接入校園網(wǎng)服務(wù)，比如適合校園網(wǎng)與外網(wǎng)的連接。

從vpn技術(shù)架構(gòu)來看，ipsec vpn是比較理想的校園網(wǎng)接入方案，由于它工作在網(wǎng)絡(luò)層，可以對終端站點間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，可以實現(xiàn)internet多專用網(wǎng)安全連接，而不管是哪類網(wǎng)絡(luò)應(yīng)用，它將遠(yuǎn)程客戶端置于校園內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。ipsec vpn還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置ipsec客戶端軟件和接入設(shè)備，這大大提高了安全級別，因為訪問受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的限制。而且這些ipsec客戶端軟件能實現(xiàn)自動安裝，不需要用戶參與，因而無論對網(wǎng)管還是終端用戶，都可以減輕安裝和維護(hù)上的負(fù)擔(dān)。? vpn為校園網(wǎng)帶來哪些應(yīng)用

在校園網(wǎng)中，通過vpn給校外住戶、分校區(qū)用戶、出差遠(yuǎn)程辦公用戶、遠(yuǎn)程工作者等提供一種直接連接到校園局域網(wǎng)的服務(wù)。那么，vpn能為校園網(wǎng)帶來哪些具體應(yīng)用優(yōu)勢呢？首先就是辦公自動化，比如校園辦公樓共有40個信息點，此時可以通過校園網(wǎng)連至internet用戶，實現(xiàn)100m甚至1000m到桌面的帶寬，并對財務(wù)科、人事科等科室進(jìn)行單獨子網(wǎng)管理。還可以利用vpn在校園網(wǎng)內(nèi)建立考試監(jiān)控系統(tǒng)、綜合多媒體教室等，比如學(xué)校具有兩個多媒體教室，每個教室60臺pc，通過校園網(wǎng)上連至internet，實現(xiàn)遠(yuǎn)程多媒體教學(xué)的目的。也可以將學(xué)生、教職工宿舍區(qū)的pc通過校園網(wǎng)上連至internet，而不進(jìn)行任何布置。

校園網(wǎng)采用vpn技術(shù)可以降低使用費(fèi)，遠(yuǎn)程用戶可以通過向當(dāng)?shù)氐膇sp申請賬戶登錄到internet，以internet作為通道與企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連，通信費(fèi)用大幅度降低；學(xué)校可以節(jié)省購買和維護(hù)通信設(shè)備的費(fèi)用?，F(xiàn)在很多大學(xué)都有多個分校，各個分校和培訓(xùn)場所網(wǎng)絡(luò)整合使學(xué)校的信息化管理成本必然的增加，比如學(xué)校的數(shù)據(jù)存儲，許多學(xué)校都采用了分布式存儲方式，其具有較低的投資花費(fèi)和軟件部署的靈活性，然而其管理難度高，后期維護(hù)成本高，如果采取vpn服務(wù)器，可以對各分校進(jìn)行web通訊控制，同時又可以實現(xiàn)分校訪問互通。為了讓師生共享圖書資源，與國外高校合作交換圖書館數(shù)據(jù)，以及向國外商業(yè)圖書館交納版權(quán)費(fèi)，獲得更多電子文獻(xiàn)資料的瀏覽權(quán)，很多高校都建立了數(shù)字圖書館，但在應(yīng)用上也會產(chǎn)生相應(yīng)的約束性，比如說為了保證數(shù)據(jù)信息的知識產(chǎn)權(quán)，瀏覽者必須是已繳納版權(quán)費(fèi)的本校內(nèi)網(wǎng)地址，或則被校方授權(quán)過的內(nèi)部合法師生，此時采用vpn加密技術(shù)，數(shù)據(jù)在internet中傳輸時，internet上的用戶只看到公共的ip地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。不僅可以實現(xiàn)將校園網(wǎng)的連續(xù)性擴(kuò)展到校外；在校外可以訪問校內(nèi)未向互聯(lián)網(wǎng)開放的資源。同時又確保了校園數(shù)字圖書館的易用性和安全性。? vpn支持哪種校園網(wǎng)接入方式

在教育機(jī)構(gòu)的校園網(wǎng)，由于不同地區(qū)、不同學(xué)校的條件不同，它們選擇的網(wǎng)絡(luò)接入方式也有差異，比如條件不大好的中小學(xué)校，可能還在采取模擬電話、isdn、adsl撥號上網(wǎng)，而對于條件好的高校，則采取了光纖或ddn、幀中繼等專線連接，那么，vpn方案到底支持哪種接入方式呢？實際上，vpn可以支持最常用的網(wǎng)絡(luò)協(xié)議，因為在internet上組建vpn，用戶計算機(jī)或網(wǎng)絡(luò)需要建立到isp連接，與用戶上網(wǎng)接入方式相似，比如基于ip、ipx和netbui協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)都能使用vpn方案。

七、vpn在校園圖書館系統(tǒng)中的調(diào)查分析

數(shù)字圖書館的版權(quán)問題不容忽視，不管什么類型的圖書，都要遵循數(shù)字版權(quán)保護(hù)(digital rights management，drm)的規(guī)定，通過安全和加密技術(shù)控制數(shù)字內(nèi)容及其分發(fā)途徑，從而防止對數(shù)字產(chǎn)品非授權(quán)使用。

正是在這樣一種保護(hù)知識產(chǎn)權(quán)的背景下，高校圖書館所購買的電子資源大部分都有限制訪問的ip地址范圍。即:

1、采購的這些數(shù)據(jù)庫不是存放在圖書館服務(wù)器上，而是存儲在提供商的服務(wù)器上，圖書館支付費(fèi)用以后，數(shù)據(jù)庫服務(wù)商是根據(jù)訪問者的ip地址來判斷是否是經(jīng)過授權(quán)的用戶。

2、只要是從校園網(wǎng)出去的ip地址都是認(rèn)可的，因為校園網(wǎng)出口ip和部分公網(wǎng)ip地址是屬于這個有限范圍的，所以校園網(wǎng)上的所有上網(wǎng)計算機(jī)都可以使用。

3、如果教師、學(xué)生在家里上網(wǎng)或者一個老師到外地出差需要訪問這些電子資源，無論采用pstn撥號、adsl、小區(qū)寬帶，使用的都是社會網(wǎng)絡(luò)運(yùn)營商提供的ip地址，不是校園網(wǎng)的ip地址范圍，因此數(shù)據(jù)庫服務(wù)商認(rèn)為是非授權(quán)用戶，拒絕訪問。當(dāng)然，我們也可以要求服務(wù)商進(jìn)一步開放更多的ip地址為合法用戶，但是這要求訪問者的ip地址是固定的、靜態(tài)的，而實際上，絕大多數(shù)校外用戶使用的都是動態(tài)ip地址，是不確定的，所以數(shù)據(jù)庫服務(wù)商無法確定訪問者的合法身份，因而自動屏蔽。

因此，就需要一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問電子圖書館的解決方案，將校園網(wǎng)當(dāng)作校外用戶的中轉(zhuǎn)站，使校外用戶通過鑒權(quán)后擁有校內(nèi)地址再訪問資源數(shù)據(jù)庫。到底有沒有這樣一種方案呢?虛擬專用網(wǎng)即vpn技術(shù)，給了我們很好的答案。vpn是虛擬專用網(wǎng)的簡稱，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠isp(internet service provider 服務(wù)提供商)和其它nsp(networkservice provider網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的物理鏈路資源動態(tài)組成的。

實際上，目前國內(nèi)已經(jīng)有不少高校采用了或者正常嘗試使用vpn技術(shù)來解決這個問題，而且大多是采用的ipsec vpn技術(shù)。利用ipsec技術(shù)，校外用戶在本機(jī)安裝一個vpn客戶端軟件后經(jīng)過配置連入圖書館網(wǎng)絡(luò)，ipsec vpn中心端會給每個遠(yuǎn)程用戶分配一個校園網(wǎng)ip地址，從而實現(xiàn)遠(yuǎn)程用戶以校園網(wǎng)用戶身份訪問電子資源。

雖說ipsec vpn是目前vpn的主流技術(shù)之一，但ipsec協(xié)議最初是為了解決site to site的安全問題而制定的，因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案在面臨越來越多的end to site應(yīng)用情況下已經(jīng)力不從心。

首先是客戶端配置問題:在每個遠(yuǎn)程接入的終端都需要安裝相應(yīng)的ipsec客戶端，并且需要做復(fù)雜的配置，隨著這種遠(yuǎn)程接入客戶端安裝數(shù)量的增多將給網(wǎng)絡(luò)管理員帶來巨大的挑戰(zhàn)。雖然一些領(lǐng)先的公司已經(jīng)解決了ipsec 客戶端難以配置和維護(hù)的問題，但是還是無法避免在每個終端上安裝客戶端的麻煩，而且即使這些客戶端很少出問題，但隨著用戶數(shù)量的增多，每天需要維護(hù)的客戶端絕對數(shù)量也不少。

其次是ipsec vpn自身安全問題:往往傳統(tǒng)的ipsec 解決方案都沒有很好的解決移動用戶接入到私有網(wǎng)絡(luò)的安全控制問題，這樣就為病毒傳播和黑客入侵提供了很多可能的途徑，并且在如何針對不同用戶身份設(shè)定對不同資源的訪問權(quán)限上也存在不少缺陷(隨著技術(shù)的發(fā)展，新興的vpn廠商已經(jīng)著手改進(jìn)這些問題并取得了相應(yīng)的成績)。

然后是對網(wǎng)絡(luò)的支持問題:傳統(tǒng)的ipsec vpn在網(wǎng)絡(luò)適應(yīng)性上都存在一些問題，雖然一些領(lǐng)導(dǎo)廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問題，但由于ipsec vpn對防火墻的安全策略的配置較為復(fù)雜(往往要開放一些非常用端口)，因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能做到百分之百完美。

最后是移動設(shè)備支持問題:隨著未來通訊技術(shù)的發(fā)展，移動終端的種類將會越來越多，ipsec 客戶端需要有更多的版本來適應(yīng)這些終端，但隨著終端種類的爆炸性增長，這幾乎是不可能的。

因此，ssl vpn技術(shù)應(yīng)運(yùn)而生。ssl vpn的突出優(yōu)勢在于web安全和移動接入，它可以提供遠(yuǎn)程的安全接入，而無需安裝或設(shè)定客戶端軟件。ssl在web的易用性和安全性方面架起了一座橋梁。目前，對ssl vpn公認(rèn)的三大好處是:首先來自于它的簡單性，它不需要配置，可以立即安裝、立即生效;第二個好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的ssl協(xié)議就行;第三個好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的校外用戶只需要打開ie瀏覽器訪問圖書館的internet ip即可成功接入圖書館，ssl vpn技術(shù)采用了一種類似代理性質(zhì)的技術(shù)，所有的訪問都是以ssl vpn設(shè)備的lan口的名義發(fā)起的，所以只要ssl vpn設(shè)備的lan口ip是一個合法的校園網(wǎng)ip，所有成功接入ssl的校外用戶都可以成功訪問這個ssl vpn設(shè)備lan口所能訪問的資源。

但ssl vpn并不能取代ipsec vpn。因為，這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。ssl vpn考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在web的遠(yuǎn)程安全接入方面;而ipsec vpn是在兩個局域網(wǎng)之間通過internet建立的安全連接，保護(hù)的是點對點之間的通信，并且，ipsec工作于網(wǎng)絡(luò)層，不局限于web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對終端站點間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴(kuò)展性更強(qiáng)。從高校應(yīng)用來看，由于ssl接入方式下所有用戶的訪問請求都是從ssl vpn設(shè)備的lan口發(fā)起的，對于那些對單個用戶流量有嚴(yán)格限制的資源商來說，這些ssl用戶的訪問會被當(dāng)成一個用戶對待，很快就會因為達(dá)到資源商的流量限制而造成該ip被禁用，也就導(dǎo)致所有ssl用戶無法繼續(xù)訪問圖書館資源。

那么，高校圖書館應(yīng)該選擇何種vpn技術(shù)以解決目前校外用戶合理訪問圖書館各類資源的需求呢?從目前圖書館使用的情況來看，比較合理的應(yīng)用方式應(yīng)該是ipsec和ssl共同使用。

正如我們前面所分析的，上游資源商對于資源的應(yīng)用是有限制的，除了限制發(fā)起請求的ip地址外，還會限制單個ip地址所產(chǎn)生的流量，因此在圖書館大量的校外用戶群中，我們將用戶分為兩個類型，一類是使用圖書館資源較為頻繁、訪問數(shù)據(jù)量較大的用戶(以教師為主，數(shù)量較少)，另一類則是使用次數(shù)較少、訪問數(shù)據(jù)不多的用戶(以學(xué)生為主，數(shù)量較多)，通過用戶劃分，我們給訪問量大但數(shù)量少的教師用戶分配ipsec接入方式，這樣就可以把大量的用戶流量分配到不同的ip地址上，避免單個ip流量過大造成的問題，而那些數(shù)量眾多但訪問量小的學(xué)生用戶分配ssl接入方式，利用ssl vpn無需部署客戶端的特性大大降低客戶端的維護(hù)工作量，從而實現(xiàn)vpn在圖書館應(yīng)用的快速部署。經(jīng)過長時間的測試，華師圖書館選擇使用國內(nèi)專業(yè)vpn廠商深信服科技推出了ipsec/ssl 一體化vpn平臺:sinfor m5100-s。該產(chǎn)品在一臺網(wǎng)關(guān)上同時集成了ipsec和ssl vpn功能，利用兩種技術(shù)的集成很好解決了圖書館應(yīng)用的需求，同時一體化的設(shè)計能夠大幅度的降低整個vpn產(chǎn)品的投入，滿足教育行業(yè)低成本高效率it建設(shè)的需求。

八、結(jié)論

vpn技術(shù)代表了當(dāng)今網(wǎng)絡(luò)發(fā)展的最新趨勢,它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)性能的優(yōu)點(安全和qos)和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(簡單和低成本),能夠提供遠(yuǎn)程訪問,外部網(wǎng)和內(nèi)部網(wǎng)的安全連接,建設(shè)與維護(hù)費(fèi)用比專線網(wǎng)絡(luò)要低得多.而且,vpn在降低成本的同時滿足了對網(wǎng)絡(luò)帶寬,接入和服務(wù)不斷增加的需求.根據(jù)調(diào)查數(shù)據(jù)表明,用vpn替代租用線路來連接遠(yuǎn)程站點可節(jié)約20%～47%的開支,這么一種經(jīng)濟(jì),安全和靈活的技術(shù),在國外圖書館已經(jīng)逐步普及.在國內(nèi),一些高校圖書館也開始應(yīng)用vpn技術(shù)實現(xiàn)多校區(qū)圖書館互聯(lián)和開展一些遠(yuǎn)程文獻(xiàn)信息服務(wù).vpn技術(shù)在高校圖書館的應(yīng)用,必將提高圖書館利用效率,為圖書館的遠(yuǎn)程文獻(xiàn)信息服務(wù)打開新局面,尤其為多校區(qū)圖書館之間資源的共享提供安全,高效,經(jīng)濟(jì)的網(wǎng)絡(luò)傳輸和數(shù)據(jù)訪問途徑.隨著vpn技術(shù)的日益成熟,它將在圖書館得到更為廣泛的應(yīng)用。

第五篇：VPN說明書.

VPN 使用說明書 申請/重置賬號密碼：http://self.cczu.edu.cn/index/addvpnwlan（無賬號或忘記密碼時，進(jìn)行申請或重置密碼）用戶自助修改密碼：http://219.230.159.60:8080/selfservice(有密碼時，進(jìn)行修改)中國移動、中國電信、聯(lián)通、和教育網(wǎng)用戶請分別點擊上面的圖標(biāo)進(jìn)行訪問； 在您首次使用的時候，系統(tǒng)將自動下載安裝插件至所在計算機(jī)，請您留意頁面提示并安裝； 當(dāng)插件安裝完畢之后，正常進(jìn)入登錄窗口，使用用戶名和密碼進(jìn)行登錄； 6 登錄成功后，即進(jìn)入用戶使用頁面，此時即可訪問校內(nèi)和校外指定資源。7 訪問校內(nèi)資源時請不要關(guān)閉本頁；訪問結(jié)束后請及時退出。vista系統(tǒng)使用需進(jìn)行以下操作：通過把“控制面板”--“用戶帳戶”--“打開或關(guān)閉?用戶帳戶控制?”中的選項去掉即可，即不要選中“使用用戶帳戶控制（UAC）幫助保護(hù)您的計算機(jī)”，點“確定”，從新啟動計算機(jī)。9 使用GHOST安裝操作系統(tǒng)的用戶，可能會無法使用sslvpn。

注意事項：

一、若成功登錄后，不能正常下載及瀏覽文件，請首先確認(rèn)您的計算機(jī)上是否已經(jīng)安裝相應(yīng)的文件瀏覽器或閱讀器；

二、若不能正常安裝請查看以下說明：

1、瀏覽器安全級別太高，請到中或默認(rèn)級別，或調(diào)整以下設(shè)置: A、瀏覽器禁止下載ActiveX控件，設(shè)設(shè)置允許下載控件；

B、瀏覽器禁止運(yùn)行ActiveX控件，設(shè)設(shè)置允許運(yùn)行控件；

C、瀏覽器禁止ActiveX控件執(zhí)行腳本，設(shè)設(shè)置允許執(zhí)行腳本；

2、瀏覽器插件攔截控件下載，如上網(wǎng)安全助手等，請設(shè)置允許下載

3、可瀏覽器安全中將本頁為信任站點

4、瀏覽器要求使用IE5以上版本

5、本系統(tǒng)支持windows98/windowsXP/windows2000/windows2003/Windows VISTA/Windows7系統(tǒng)

四、因帶寬不足，為提高速度，提高訪問效率，請不要在校內(nèi)使用；不使用時請及時退出系統(tǒng)；10分鐘內(nèi)如不使用本系統(tǒng)，系統(tǒng)將自動斷線。

五、如果長時間不能建立隧道，或者不能獲取ip地址，請將防火墻和殺毒軟件先行關(guān)閉或者卸載，成功連接后，再次把防火墻和殺毒軟件打開或安裝。

六、如有疑問請撥打：86330350