vpn技术论文范文

夜上海论坛前言：我们精心挑选了数篇优质vpn技术论文文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

关键词：虚拟专用网vpn远程访问网络安全

引言

随着信息时代的来临，企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升，信息管理范围不断扩大，不论是企业内部职能部门，还是企业外部的供应商、分支机构和外出人员，都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信，实现企业外部分支机构远程访问内部网络资源，成为当前很多企业在信息网络化建设方面亟待解决的问题。

一、VPN技术简介

VPN（VirtualPrivateNetwork）即虚拟专用网络，指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术，通过对网络数据的封装和加密传输，在公用网络上传输私有数据的专用网络。在隧道的发起端（即服务端），用户的私有数据经过封装和加密之后在Internet上传输，到了隧道的接收端（即客户端），接收到的数据经过拆封和解密之后安全地到达用户端。

VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境，是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能，具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问，通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来，构成一个扩展的公司企业网，此外它还提供了对移动用户和漫游用户的支持，使网络时代的移动办公成为现实。

夜上海论坛 随着互联网技术和电子商务的蓬勃发展，基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动，需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网，从而简化信息传递的路径，加快信息交换的速度，提高企业的市场响应速度和决策速度。同时，围绕企业自身的发展战略，企业的分支机构越来越多，企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题，VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接，并保证数据的安全传输，通过将数据流转移到低成本的网络上，大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间，降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中，这样就大大简化了网络的设计和管理，满足了不断增长的移动用户和Internet用户的接入，以实现安全快捷的网络连接。

二、基于Internet的VPN网络架构及安全性分析

VPN技术类型有很多种，在互联网技术高速发展的今天，可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用，基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点，能够很好的满足企业对VPN的常规需求。

夜上海论坛 2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端，用户的私有数据经过隧道协议和和数据加密之后在Internet上传输，通过虚拟隧道到达接收端，接收到的数据经过拆封和解密之后安全地传送给终端用户，最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。

2.2VPN技术安全性分析VPN技术主要由三个部分组成：隧道技术，数据加密和用户认证。隧道技术定义数据的封装形式，并利用IP协议以安全方式在Internet上传送；数据加密保证敏感数据不会被盗取；用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输，因此安全问题是VPN技术的核心问题，目前，VPN的安全保证主要是通过防火墙和路由器，配以隧道技术、加密协议和安全密钥来实现的，以此确保远程客户端能够安全地访问VPN服务器。

在运行性能方面，随着企业电子商务活动的激增，信息处理量日益增加，网络拥塞的现象经常发生，这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略，分配基于数据传输重要性的接口带宽，这样既能满足重要数据优先应用的原则，又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长，对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担，管理平台要有一个定义安全策略的简单方法，将安全策略进行合理分布，并能管理大量网络设备，确保整个运行环境的安全稳定。

夜上海论坛 三、Windows环境下VPN网络的设计与应用

企业利用Internet网络技术和Windows系统设计出VPN网络，无需铺设专用的网络通讯线路，即可实现远程终端对企业资源的访问和共享。在实际应用中，VPN服务端需要建立在Windows服务器的运行环境中，客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。

3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”，需要对此服务进行必要的配置使其生效。

夜上海论坛 3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”，打开“路由和远程访问”服务窗口；鼠标右键点击本地计算机名，选择“配置并启用路由和远程访问”；在出现的配置向导窗口点下一步，进入服务选择窗口；标准VPN配置需要两块网卡（分别对应内网和外网），选择“远程访问（拨号或VPN）”；外网使用的是Internet拨号上网，因此在弹出的窗口中选择“VPN”；下一步连接到Internet的网络接口，此时会看到服务器上配置的两块网卡及其IP地址，选择连接外网的网卡；在对远程客户端指派地址的时候，一般选择“来自一个指定的地址范围”，根据内网网段的IP地址，新建一个指定的起始IP地址和结束IP地址。最后，“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。

夜上海论坛 3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上，因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台；依次展开“本地用户和组”“用户”，选中用户并进入用户属性设置；转到“拨入”选项卡，在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”，即赋予了远端用户拨入VPN服务器的权限。

3.2VPN客户端配置VPN客户端适用范围更广，这里以Windows2003为例说明，其它的Windows操作系统配置步骤类似。

夜上海论坛 在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”；在网络连接方式窗口里选择“虚拟专用网络连接”；接着为此连接命名后点下一步；在“VPN服务器选择”窗口里，输入VPN服务端地址，可以是固定IP，也可以是服务器域名；点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码，即可连接上VPN服务器端。:

3.3连接后的共享操作当VPN客户端拨入连接以后，即可访问服务器所在局域网里的信息资源，就像并入局域网一样适用。远程用户既可以使用企业OA，ERP等信息管理系统，也可以使用文件共享和打印等共享资源。

四、小结

现代化企业在信息处理方面广泛地应用了计算机互联网络，在企业网络远程访问以及企业电子商务环境中，虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络，从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务，是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值，在未来的企业信息化建设中具有广阔的前景。

参考文献:

第2篇

夜上海论坛 一、现代金融网络系统典型架构及其安全现状

夜上海论坛 就金融业目前的大部分网络应用而言，典型的省内网络结构一般是由一个总部（省级网络中心）和若干个地市分支机构、以及数量不等的合作伙伴和移动远程（拨号）用户所组成。除远程用户外，其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心，为金融机构中心服务所在地，同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样，包括远程拨号、专线、Internet等。

从省级和地市金融机构的互联方式来看，可以分为以下三种模式：（1）移动用户和远程机构用户通过拨号访问网络，拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式；（2）各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接；（3）合作伙伴（客户、供应商）局域网通过专线或公共网络与总部局域网连接。

由于各类金融机构网络系统均有其特定的发展历史，其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中，主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。

夜上海论坛 就网络信息系统安全而言，目前金融机构的安全防范机制仍然是脆弱的，一般金融机构仅利用了一些常规的安全防护措施，这些措施包括利用操作系统、数据库系统自身的安全设施；购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中，也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的，也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件，这些软件通常仅具备一些基本的安全功能，而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性，如考虑不周很容易留下安全漏洞。此外，金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障，Internet服务提供商（ISP）采取的安全手段都是为了保护他们自身和他们核心服务的可靠性，而不是保护他们的客户不被攻击，他们对于你的安全问题的反应可能是提供建议，也可能是尽力帮助，或者只是关闭你的连接直到你恢复正常。因此，总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别，有的甚至对于一些常规的攻击手段也无法抵御，这些都是金融管理信息系统亟待解决的安全问题。

夜上海论坛 二、现代金融网络面临的威胁及安全需求

目前金融系统存在的网络安全威胁，就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类，而实施安全攻击的人员则可能是外部人员，也可能是机构内部人员。

针对信息的攻击是最常见的攻击行为，信息攻击是针对处于传输和存储形态的信息进行的，其攻击地点既可以在局域网内，也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性，攻击者可以不动声色地窃取并利用信息，而无虑被发现；犯罪者也可以在积聚足够的信息后骤起发难，进行敲诈勒索。此类案件见诸报端层出不穷，而未公开案例与之相比更是数以倍数。

利用系统（包括操作系统、支撑软件及应用系统）固有的或系统配置及管理过程中的安全漏洞，穿透或绕过安全设施的防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台，为了照顾使用的方便性而忽略了安全性，导致许多安全漏洞的产生，如果再考虑到某些软件供应商出于政治或经济的目的，可能在系统中预留“后门”，因此必须采用有效的技术手段加以预防。

夜上海论坛 针对使用者的攻击是一种看似困难却普遍存在的攻击途径，攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点，通过种种手段窃取系统权限，通过合法程序来达到非法目的，并可在事后嫁祸他人或毁灭证据，导致此类攻击难以取证。

针对资源的攻击是以各种手段耗尽系统某一资源，使之丧失继续提供服务的能力，因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击，即攻击者利用其所控制的成百上千个系统同时发起攻击，迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构，尤其是Internet以及TCP/IP协议的固有缺陷，因此在网络的基础设施没有得到大的改进前，难以彻底解决。

金融的安全需求安全包括五个基本要素：机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题，即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有：传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。

夜上海论坛 必须指出：网络信息系统是由人参与的信息环境，建立良好的安全组织和管理是首要的安全需求，也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。

夜上海论坛 三、网络安全基本技术与VPN技术

解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护，抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。

夜上海论坛 密码技术是实现网络安全的最有效的技术之一，实际上，数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下，数据加密是保证信息机密性的唯一方法。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法，这使得它能以较小的代价提供很强的安全保护，在现代金融的网络安全的应用上起着非常关键的作用。

夜上海论坛 虚拟专用网络（VPN：VirtualPrivateNetwork）技术就是在网络层通过数据包封装技术和密码技术，使数据包在公共网络中通过“加密管道”传播，从而在公共网络中建立起安全的“专用”网络。利用VPN技术，金融机构只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相安全的传递信息；另外，金融机构还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全的连接进入金融机构网络中，进行各类网络结算和汇兑。

夜上海论坛 综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术，并通过适当的密钥管理机制，在公共的网络基础设施上建立安全的虚拟专用网络系统，可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统，采用VPN技术可以在不影响现行业务系统正常运行的前提下，极大地提高系统的安全性能，是一种较为理想的基础解决方案。

当今VPN技术中对数据包的加解密一般应用在网络层（对于TCP/IP网络，发生在IP层），从而既克服了传统的链（线）路加密技术对通讯方式、传输介质、传输协议依赖性高，适应性差，无统一标准等缺陷，又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题，使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势，成为目前和今后金融安全网络发展的一个必然趋势。

从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络（VPDN）。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网；虚拟专用拨号网络是使用电话拨号（PPP拨号）上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议应该具备以下条件：保证数据的真实性，通讯主机必须是经过授权的，要有抵抗地址假冒（IPSpoofing）的能力。保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。保证通道的机密性，提供强有力的加密手段，必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。

第3篇

夜上海论坛 在南水北调自动化业务系统中的应用按照南水北调自动化业务系统业务网的高安全可靠性要求，结合南水北调中线工程需求，一方面在网络结构的设计上采用层次化结构，按照业务类别进行物理划分;另一方面，利用MPLSVPN技术将各应用系统在逻辑上划分为独立的网络。根据现有MPLSVPN计算机网络组网技术，整个网络配置成一个MPLS域，将核心层、骨干层路由器配置成P设备，区域层和接入层路由器设备全部配置成PE设备;P和PE设备之间运行MPLSLDP协议，所有PE路由器之间运行MP-iBGP协议。将接入层交换机作为CE，经二层链路采用静态路由连接到接入层PE设备;PE设备为每个接入的VPN用户建立并维护独立的VRF，根据CE设备接入端口的不同，控制其进入相应的VPN中，实现与其他VPN应用系统和网管类流量的隔离。总公司、分公司、管理处的各应用系统都通过专用的应用系统LAN交换机接入，局域网主干交换机作为CE，经二层链路采用静态路由连接到接入层PE设备;PE设备为每个应用系统建立并维护独立的VRF，根据CE设备接入端口的不同，控制其进入相应的应用系统VPN中，实现与其他应用系统和网管类流量的隔离。

夜上海论坛 2MPLSVPN互访策略

在南水北调自动化业务系统中的应用按照MPLSVPN划分的原则，不同MPLSVPN之间不能互相访问，这确保了VPN的安全可靠性。但是，南水北调中线干线工程自动化应用系统之间存在MPLSVPN子系统之间、用户至不同业务系统服务器之间的受控互访的需求。也就是说，网络需要方便地控制不同MPLSVPN之间的互访，而且要实现严格控制互访;同时，为保障各业务系统安全，需要对用户访问采取控制措施。

夜上海论坛 2.1MPLSVPN子系统之间互访

夜上海论坛 通过BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式，通过MP-BGP协议配置建立路由信息，来达到不同VPN之间的路由扩散;通过VPN内部的路由器(或防火墙)做地址过滤、报文过滤等方式控制访问的用户。上述两种方式结合使用，实现了子系统的灵活受控互访。

2.2应用终端交互访问不同MPLSVPN

2.2.1方案一

夜上海论坛 NAT方案此种方案是将多用途终端主机的业务流在CE进行分类，不同的业务流进行不同的静态NAT(映射不同的IP地址)。对每个业务系统的主机/服务器可以分配连续的地址空间，PE设备只需要维护较为简单的路由表，CE配置确定后一般不需要修改。

2.2.2方案二

PE节点作访问控制在PE设备上，通过多角色主机技术，将某个VRF中指定的路由(特殊终端的路由)，引入到另外一个VRF中，在PE的CE侧接口上配置策略路由，当流量匹配ACL，则重定向到VPN组，查找并转发，从而实现不同的MPLSVPN可以同时访问该特殊终端。

2.2.3方案三

夜上海论坛 802.1X强制认证+Windows域管理802.1X协议在利用IEEE802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，与VRF路由表的导入导出机制结合使用，从而达到接受合法用户接入、保护网络安全的目的。用户访问其他MPLSVPN，需要禁用、再启用网卡，重新输入不同MPLSVPN的不同身份信息实现。显然，基于PE节点作访问控制的方案配置简单，传输效率高，互通网络可靠性强，无论从网络实现、网络性能、网络安全以及网络管理各方面分析，更适用于南水北调中线干线工程自动化各系统应用终端交互访问不同的MPLSVPN。

3结语