vpn技术论文范文
前言:我们精心挑选了数篇优质vpn技术论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
第1篇
关键词:虚拟专用网vpn远程访问网络安全
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、VPN技术简介
VPN(VirtualPrivateNetwork)即虚拟专用网络,指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和Internet用户的接入,以实现安全快捷的网络连接。
二、基于Internet的VPN网络架构及安全性分析
VPN技术类型有很多种,在互联网技术高速发展的今天,可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用,基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对VPN的常规需求。
2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。
2.2VPN技术安全性分析VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、Windows环境下VPN网络的设计与应用
企业利用Internet网络技术和Windows系统设计出VPN网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,VPN服务端需要建立在Windows服务器的运行环境中,客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。
3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或VPN)”;外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,即赋予了远端用户拨入VPN服务器的权限。
3.2VPN客户端配置VPN客户端适用范围更广,这里以Windows2003为例说明,其它的Windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“VPN服务器选择”窗口里,输入VPN服务端地址,可以是固定IP,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。:
3.3连接后的共享操作当VPN客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业OA,ERP等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
参考文献:
第2篇
一、现代金融网络系统典型架构及其安全现状
就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。
从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。
由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。
就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御,这些都是金融管理信息系统亟待解决的安全问题。
二、现代金融网络面临的威胁及安全需求
目前金融系统存在的网络安全威胁,就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,而实施安全攻击的人员则可能是外部人员,也可能是机构内部人员。
针对信息的攻击是最常见的攻击行为,信息攻击是针对处于传输和存储形态的信息进行的,其攻击地点既可以在局域网内,也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;犯罪者也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端层出不穷,而未公开案例与之相比更是数以倍数。
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,为了照顾使用的方便性而忽略了安全性,导致许多安全漏洞的产生,如果再考虑到某些软件供应商出于政治或经济的目的,可能在系统中预留“后门”,因此必须采用有效的技术手段加以预防。
针对使用者的攻击是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并可在事后嫁祸他人或毁灭证据,导致此类攻击难以取证。
针对资源的攻击是以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击,即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。
金融的安全需求安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。
必须指出:网络信息系统是由人参与的信息环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。
三、网络安全基本技术与VPN技术
解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护,在现代金融的网络安全的应用上起着非常关键的作用。
虚拟专用网络(VPN:VirtualPrivateNetwork)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,金融机构只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全的传递信息;另外,金融机构还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全的连接进入金融机构网络中,进行各类网络结算和汇兑。
综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公共的网络基础设施上建立安全的虚拟专用网络系统,可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。
当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高,适应性差,无统一标准等缺陷,又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势,成为目前和今后金融安全网络发展的一个必然趋势。
从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网;虚拟专用拨号网络是使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件:保证数据的真实性,通讯主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
第3篇
在南水北调自动化业务系统中的应用按照南水北调自动化业务系统业务网的高安全可靠性要求,结合南水北调中线工程需求,一方面在网络结构的设计上采用层次化结构,按照业务类别进行物理划分;另一方面,利用MPLSVPN技术将各应用系统在逻辑上划分为独立的网络。根据现有MPLSVPN计算机网络组网技术,整个网络配置成一个MPLS域,将核心层、骨干层路由器配置成P设备,区域层和接入层路由器设备全部配置成PE设备;P和PE设备之间运行MPLSLDP协议,所有PE路由器之间运行MP-iBGP协议。将接入层交换机作为CE,经二层链路采用静态路由连接到接入层PE设备;PE设备为每个接入的VPN用户建立并维护独立的VRF,根据CE设备接入端口的不同,控制其进入相应的VPN中,实现与其他VPN应用系统和网管类流量的隔离。总公司、分公司、管理处的各应用系统都通过专用的应用系统LAN交换机接入,局域网主干交换机作为CE,经二层链路采用静态路由连接到接入层PE设备;PE设备为每个应用系统建立并维护独立的VRF,根据CE设备接入端口的不同,控制其进入相应的应用系统VPN中,实现与其他应用系统和网管类流量的隔离。
2MPLSVPN互访策略
在南水北调自动化业务系统中的应用按照MPLSVPN划分的原则,不同MPLSVPN之间不能互相访问,这确保了VPN的安全可靠性。但是,南水北调中线干线工程自动化应用系统之间存在MPLSVPN子系统之间、用户至不同业务系统服务器之间的受控互访的需求。也就是说,网络需要方便地控制不同MPLSVPN之间的互访,而且要实现严格控制互访;同时,为保障各业务系统安全,需要对用户访问采取控制措施。
2.1MPLSVPN子系统之间互访
通过BGPMPLSVPN提供了ExtranetVPN和Hub-spoke的方式,通过MP-BGP协议配置建立路由信息,来达到不同VPN之间的路由扩散;通过VPN内部的路由器(或防火墙)做地址过滤、报文过滤等方式控制访问的用户。上述两种方式结合使用,实现了子系统的灵活受控互访。
2.2应用终端交互访问不同MPLSVPN
2.2.1方案一
NAT方案此种方案是将多用途终端主机的业务流在CE进行分类,不同的业务流进行不同的静态NAT(映射不同的IP地址)。对每个业务系统的主机/服务器可以分配连续的地址空间,PE设备只需要维护较为简单的路由表,CE配置确定后一般不需要修改。
2.2.2方案二
PE节点作访问控制在PE设备上,通过多角色主机技术,将某个VRF中指定的路由(特殊终端的路由),引入到另外一个VRF中,在PE的CE侧接口上配置策略路由,当流量匹配ACL,则重定向到VPN组,查找并转发,从而实现不同的MPLSVPN可以同时访问该特殊终端。
2.2.3方案三
802.1X强制认证+Windows域管理802.1X协议在利用IEEE802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,与VRF路由表的导入导出机制结合使用,从而达到接受合法用户接入、保护网络安全的目的。用户访问其他MPLSVPN,需要禁用、再启用网卡,重新输入不同MPLSVPN的不同身份信息实现。显然,基于PE节点作访问控制的方案配置简单,传输效率高,互通网络可靠性强,无论从网络实现、网络性能、网络安全以及网络管理各方面分析,更适用于南水北调中线干线工程自动化各系统应用终端交互访问不同的MPLSVPN。
3结语
第4篇
本篇校园网论文介绍加强对新技术在校园网中的应用理论研究,对实际的发展有着重要的指导性。
1 MPLS技术原理及体系结构分析
1.1 MPLS技术原理分析
从实际来看,在传统以IP分组转发的技术方面,主要是在IP分组报头基础上,通过IP地址在路由表当中实施的最长匹配查找。MPLS技术将网络层灵活的路由选择功能及数据链路层高速交换性能特点进行的完美结合,这样就对以往的以IP分组技术为主的局限性得到了优化。另外在这一技术上同时也引进了标签概念,这是比较短并方便处置以及对拓扑信息没有包含的信息内容。这一原理是对标签交换机制进行的引入,也就是将路由控制以及数据转发等进行单独化的处理,从而就为每个IP数据包提供了固定长度标签,就决定了数据包路径及优先级。 1.2 MPLS体系结构分析
MPLS这一体系结构当中,MPLS所使用的短而定长标签封装分组在数据平面实现了快速转发功能,并在这一平面有着IP网络的强大灵活路由功能,对实际所需要的网络需求能够得以有效满足。其体系结构图示如下图1所示,针对核心的LSR主要是在平面进行标签的分组并转发,在LER方面主要是转发平面所进行实施的工作任务,同时也包含了对传统IP分组的转发。
通过上图就能够看出,对这一体系结构起到支持的主要就是显示路由以及逐跳路由,在对MPLS进行实际应用的过程中,实行标记分发过程中也需要对显示路由进行规定,但这一路由并不会对每个IP分组进行规定,这样就会使得MPLS显示路由会比传统IP源点路由在作业额效率上得到很大程度的提升。不仅如此,在对MPLS LSP进行构建的过程中,能够通过有序LSP以及独立LSP进行控制。
2 MPLS VPN技术在校园网中的规划设计及应用
2.1 MPLS VPN技术在校园网中的规划设计分析
通过对相关的技术加以借鉴对校园网要进行详细的规划设计,通过实践之后主要是采取了MPLS/BGP VPN技术作为是实现MPLS VPN业务技术路线所构建的各业务系统虚拟独立网络,而后在各业务系统部门间的可控互通访问。另外就是在MPLS VPN技术支持下通过对IP VPN部署来进行提供安全保证,构建能够实现全网电子信息资源库,以及通过H3C网管平台技术进行实现网管中心对全网MPLS VPN业务的统一管理。具体的规划设计能够通过分校区规划以及主校区规划、共享数据VPN规划的方式进行实现。
2.2 MPLS VPN技术在校园网中的实际应用
通过对MPLS VPN技术在校园网中的简单规划设计的分析,主要是能够在实际中得到应用。在具体应用中主要是将局域网交换技术作为重要的基础,并对虚拟局域网技术进行有机的结合,在校园网当中来实现单纯的在OR基础上第二层优先级服务。由于所需服务的差异性,例如音视频传输自身的要求。故此要能够紧密的和服务机制进行结合,来为校园网当中一些关键通信数据帧设置较高的用户优先级。
另外就是要结合实际进行差别服务结合资源预留协议,虽然在综合服务所提供的更高QOS保证,而对于校园网这类非运营性网络来说,过高的实现现代价以及复杂度并非是合适的。在具体的应用过程中要能够对DS域设置问题以及DSCP分类实现问题进行有效的解决。MPLS VPN实现了VPN间的路由隔离,在每个PE路由器方面为每个所连接的VPN都进行维护了独立虚拟路由转发实例,而每个VF驻留都是来自于同一VPN路由配置,穿越MPLS核心到其它的PE路由器过程中,这一隔离是过多协议,并增加了唯一VPN标识符进行实现。
网络通信的大部分信息不再来自工作组内部,主要是来自于外部对因特网的访问,倘若是对第三层QOS问题得到有效解决,那么在校园网中所有第三层网络设备就会成为校园网QOS的发展瓶颈。从当前的大型复杂网络建设过程中能够发现,通过对MPLS VPN技术的有效应用,能够将信息受控访问及安全隔离等问题得到有效的解决,这一技术能够保证各业务系统逻辑网络相对独立性,并对各种类型的业务系统安全性有着很强的保护作用,所以在校园网的应用上有着比较广阔的前景。
第5篇
关键词:VPN网络,视频监控系统
背景需求分析
近年来,数字视频监控系统以其控制灵活、信息容量大、存储和检索便利等优点逐步取代了传统的模拟视频监控系统,被广泛应用于监控、安防、质检等方面。随着计算机及网络技术的发展、普及和网络带宽的迅速扩大,视频监控已经发展到了网络多媒体监控系统,即将数字视频监控技术与网络技术相结合,在现场监控主机无人职守情况下,实现局域网或Internet远程监控的功能。如此一来,将监控信息从监控中心释放出来,从而提高了治理水平和效率。但假如远程访问视频监控服务技术功能不足,则无法保证监控信息所需的保密性和速度性,这该怎样解决呢?VPN?(VirtualPrivate Networking)技术的出现,正好解决了该问题,实现了远程视频监控信息安全便利的传输。
经调查发现,实现VPN远程视频监控系统较重视的需求为:
虚拟私有网络VPN安全传输:完整的VPN网络视频监控系统,最重要的需求是要让各分支外点及本地局域网的监控视频能安全、实时的传送到总公司监控中心的治理服务器,统一作企业安全防护及报警。视频监控信息若不作加密处理就直接通过公众互联网进行传送,可能会造成企业内部机密外露等问题。因此,需要建置完善的VPN传输,不仅可节约高昂的专线成本,还能得到安全稳定的传输质量。
稳定良好的宽带接入服务:将视频监控信息集成到VPN中,虽然可以确保得到安全稳定的联机,但VPN线路还是建立在公众互联网上,一但接入的宽带线路不稳定轻易掉线,也连带影响到VPN的联机质量。稳定良好的的宽带接入服务或于运营商掉线断网时可以实时提供备援的支持是必要的。
带宽增级同时也能节省成本:多媒体视频监控系统包括视频、音频及相关数据的传送,若要得到实时、顺畅的传送质量,需要相当大的带宽才可达成,因此首先就面临到带宽的增级。如此就会导致线路成本的增加及可能的线路添加,带来成本及治理上的诸多问题。这时,兼顾成本的考虑下,适当的线路集成整合成为企业的需求。
网络安全防攻击防火墙:越来越多的攻击及病毒,造成企业网络安全的潜危机。一旦宽带接入受到恶意攻击影响网络正常运作,轻则让监控信息传输效率大减,严重时发生整个网络断网,造成视频监控系统停摆的窘境。若是多购置防火墙,等于是增加成本,因此路由器中需要有适当的防火墙功能,以进行网络安全的防护。
内部上网行为管控避免影响重要传输:多数员工在上班时间通过BT等下载音乐电影,或是聊QQ、MSN等实时交流工具,不仅影响工作效率,也很大可能会造成带宽被占用、影响监控信息传送速度降低影响监控实时反应,更严重是可能随之而来的病毒、蠕虫和木马的威胁。有效而可靠的管制内网用户使用特定软件是很必要的。
方便的配置及治理:当今讲求效率的时代,路由器也需要提供简易配置好治理的配置接口设计,让网管由繁复工作中解放。另外VPN客户端大多不配备专业的网管,很多指令行的路由器给设置带来了困扰,而想要对路由器进行任一个操作,都必须找来专业的人员,这又为实时反应带来了变量。因此路由器的配置,最好使用直观的配置接口及简化的配置设计,即使不是是专门的网管人员经简单的培训后也可轻易上手,节省不必要的时间浪费。
VPN远程视频监控应用
依据企业远程VPN视频监控系统服务需求及以上组网分析,具有高度性价比优势的多WAN VPN防火墙厂商侠诺科技,为远程VPN视频监控系统提出一完整的组网方案。
方案功能特点
多WAN端口接入汇聚带宽:Qno侠诺多WAN产品支持带宽汇聚、自动线路备援等功能,多WAN口接入方式,让企业有更大和弹性配置空间。可支持多线路多ISP接入,不仅可以汇聚带宽以节省成本,而且还可以实现线路备援、数据分流、负载均衡等效果。当一条线路掉线,会自动改用另一个WAN连接端口的线路连接,确保VPN联机不掉线,避免掉线时造成无形的损失与伤害。
强效防火墙有效防病毒攻击:VPN防火墙,具备主动式封包检测功能,只需单向启动各式黑客攻击、蠕虫病毒防护功能,即可简易完成配置,有效防止内外网恶意攻击,确保企业网络安全,降低网络受攻击带来的损失。具有内建的防制ARP功能,凭借自动检视封包的机制,侦测过滤可疑的封包,做为防制ARP攻击的第一道防线。可搭配IP /MAC双向绑定,在路由器端以内网PC端进行IP/MAC绑定,即可达到防堵ARP无漏洞的效果。论文参考网。
QoS带宽治理优化带宽使用:视频监控多媒体传输需要有稳定的带宽,而少数BT下载等恶意占用带宽造成网络卡,经常会造成客户抱怨。让人宽慰的是侠诺二代多元QoS带宽治理功能,支持一周七天、一天三个时段采取不同的带宽治理政策,依据不同的网络应用环境、时段,自由选择管控方式,达到带宽利用率最佳化的目的。该功能包含有传统QoS带宽管控及智能SmartQoS治理,可依据联机数、要害字、最大或最小带宽等方式进行管控,也可启动动态智能治理,对于非凡的应用或用户进行非凡限制。这个功能并不禁止特定的应用,只是加以限制,从而更弹性的提供带宽服务。
轻松实现了中心管控:同时治理外点多条VPN接入联机,对于大部分网管来说,是非常棘手的问题,尤其是必须反复留心查询各点联机状况、带宽使用率、视频监控等信息,更是耗费许多时间。而Qno侠诺多WAN VPN防火墙则轻松解决了上述问题,其所具备的中心控管功能,可一次看清全部VPN联机的情况,再也不必一一地检查联机的状况。若需进一步协助设定或排解问题,网管也可直接进入分点的治理接口查看或进行设定治理,安全又有效率。
简易又方便的系统治理:Qno侠诺多WAN VPN防火墙具有全中文化配置及治理界面,所有设定参数与组态清楚明确、简单易懂,轻松完成网络设置。还支持强大的系统日志功能,可通过对日志治理和查找,即时监控系统状态及内外流量,进而作对应的配置,确保内网运作无误。
支持多VPN协议外点灵活选择:Qno侠诺高阶产品系列,可支持PPTP、IPSec VPN、SmartLinkVPN、QnoKey IPSec客户端密钥等多种连机方式,可满足外点多种VPN弹性配置需求,实现总部中心端与各分点建构实时、稳定、安全的互连VPN网络系统。由此可见,多通道多协议的特点完全能胜任企业扩展及网络视频布点,而且外点可根据实际规划与应用,灵活选择适用的方式接入中心端。
SmartLink VPN快速设定:侠诺SmartLinkVPN快速联机,简化20多复杂设置步骤,将大部份的设定参数的工作交由VPN网关自动完成,用户只需要输中心端服务器IP地址、用户名、密码三个参数,即可完成超快速VPN连机设定。
策略路由解决VPN跨网瓶颈:由于国内长期存在电信、网通互连不互通的问题,许多企业建立VPN时会发生跨ISP网络时带宽不足,导致VPN不稳定或易于掉线。侠诺多WAN口的设计,可搭配策略路由的设定,让不同ISP外点可直接连到对应VPN服务器入口,实现“电信走电信、网通走网通”,从而有效解决跨网受限问题。
指定路由强化网络稳定性:另外一方面,多WAN口的设计,也提供了访问网络快速稳定的途径。支持指定路由功能,可通过协议绑定,将特定的服务或应用绑定在指定的端口,如WEB走WAN1,MAIL走WAN2等等,加速访问速度,进一步保障网络的稳定性。也可将VPN绑定特定端口,保证VPN通道的稳定流畅。
总结
通过以上介绍,可以看出,Qno侠诺多WAN VPN防火墙产品多项功能,都体现了侠诺简单、安全、快速的“3S”研发理念和贴近用户需求的专心,帮助企业以较少的成本、时间与精力,达成高效、快速、安全的运营效能。非凡对于远程VPN视频监控服务来说,在带宽、安全性稳定性等多方面都有较高要求,VPN远程视频监控解决方案,可有效保持企业总部和分支机构间的隧道畅通,进而保证其服务的稳定性和可靠度,提高安全监控的视频质量,当异常事件发生时,可以在第一时间进行处理。论文参考网。可谓是最省成本、且最方便的解决途径。
春节假期,偶然在街上碰到大学同学小张。多年不见话题就多了,在了解到本人现在所从事的是网络安全技术方面的工作后,他像是碰到了大救星,一个劲儿要请客吃饭。原来,他利用这几年打工的储蓄独立创业,加盟了一家全国闻名的服装连锁店,连锁总店要求必须部署VPN信息网络。年前,他便按照要求进行了统一购买了VPN设备,但是由于其设置和应用过于复杂,对于作为网络“外行”的人来说,实在是有点难以应付。此外,因为金融危机的影响,为了压缩人力资源成本,他暂时还没有聘请专业网管的计划,正为这事上火。论文参考网。
其实,这种问题在国内数万家中小连锁企业的经营治理过程中绝不是首例。产生这种矛盾的原因有两点:专业化的高端设备满足了企业的应用需求,但是一般的兼职网管无法应付其治理和维护;平民化的低端设备,使用和治理倒是比较简单,却达不到企业信息化治理的全面需求。VPN网络是未来企业发展的大势所趋,但当务之急是为企业提供最为合适的设备,即要能兼具安全与简便的基本特性。安全无须多说,简便性就成了体现产品技术水平的最大差异化,也同样彰显了企业客户在应用上的突出需求之一。事实证实,其简便的应用特性非常贴近中小企业的需求现状,得到了较好的市场效果。
作为在SMB宽带接入和VPN应用领域耕耘多年的专业厂商,侠诺科技每年都会其创新的产品及应用功能。但是无论怎样创新变化,简单、安全、快速的“3S”研发理念都始终贯穿于其系列产品线。其中,简便(即Simple)被放在首位——“侠诺极简风,治理一键通”。 侠诺的极简风格,是要求专心体察用户的细致需求,将最复杂的技术以最简单的方式呈现给用户,让企业的网管员用最少的时间与精力,达到较为复杂的配置与治理需求,帮助企业有效的增进运营效能。事实证实,其简便的应用特性非常贴近中小企业的需求现状,得到了较好的市场效果。
第6篇
关键词:网络安全,网络管理,多级安全
1 引言网络技术,特别是Internet的兴起,正在从根本上改变传统的信息技术(IT)产业,随着网络技术和Internet的普及,信息交流变得更加快捷和便利,然而这也给信息保密和安全提出了更高的要求。近年来,研究人员在信息加密,如公开密钥、对称加密算法,网络访问控制,如防火墙,以及计算机系统安全管理、网络安全管理等方面做了许多研究工作,并取得了很多究成果。
本论文主要针对网络安全,从实现网络信息安全的技术角度展开探讨,以期找到能够实现网络信息安全的构建方案或者技术应用,并和广大同行分享。
2 网络安全风险分析影响局域网网络安全的因素很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来,主要有六个方面构成对网络的威胁:
(1) 人为失误:一些无意的行为,如:丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网等,都会对网络系统造成极大的破坏。
(2) 病毒感染:从“蠕虫”病毒开始到CIH、爱虫病毒,病毒一直是计算机系统安全最直接的威胁,网络更是为病毒提供了迅速传播的途径,病毒很容易地通过服务器以软件下载、邮件接收等方式进入网络,然后对网络进行攻击,造成很大的损失。
(3) 来自网络外部的攻击:这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(4) 来自网络内部的攻击:在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后,查看机密信息,修改信息内容及破坏应用系统的运行。
(5) 系统的漏洞及“后门”:操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。科技论文。另外,编程人员为自便而在软件中留有“后门”,一旦“漏洞”及“后门”为外人所知,就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。
3 网络安全技术管理探讨3.1 传统网络安全技术目前国内外维护网络安全的机制主要有以下几类:
Ø访问控制机制;
Ø身份鉴别;
Ø加密机制;
Ø病毒防护。
针对以上机制的网络安全技术措施主要有:
(1) 防火墙技术
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它用来控制内部网和外部网的访问。
(2) 基于主机的安全措施
通常利用主机操作系统提供的访问权限,对主机资源进行保护,这种安全措施往往只局限于主机本身的安全,而不能对整个网络提供安全保证。
(3) 加密技术
面向网络的加密技术是指通信协议加密,它是在通信过程中对包中的数据进行加密,包括完整性检测、数字签名等,这些安全协议大多采用了诸如RAS公钥密码算法、DES分组密码、MD系列Hash函数及其它一些序列密码算法实现信息安全功能,用于防止黑客对信息进行伪造、冒充和篡改,从而保证网络的连通性和可用性不受损害。
(4) 其它安全措施
包括鉴别技术、数字签名技术、入侵检测技术、审计监控、防病毒技术、备份和恢复技术等。鉴别技术是指只有经过网络系统授权和登记的合法用户才能进入网络。审计监控是指随时监视用户在网络中的活动,记录用户对敏感的数据资源的访问,以便随时调查和分析是否遭到黑客的攻击。这些都是保障网络安全的重要手段。
3.2 构建多级网络安全管理多级安全作为一项计算机安全技术,在军事和商业上有广泛的需求。科技论文。“多级”包括数据、进程和人员的安全等级和分类,在用户访问数据时依据这些等级和分类进行不同的处理。人员和信息的安全标识一般由两部分组成,一部分是用“密级”表示数据分类具有等级性,例如绝密、秘密、机密和无密级;另一部分是用“类别”表示信息类别的不同,“类别”并不需要等级关系。在具体的网络安全实现上,可以从以下几个方面来构建多级网络安全管理:
(1) 可信终端
可信终端是指经过系统软硬件认证通过、被系统允许接入到系统的终端设备。网络安全架构中的终端具有一个最高安全等级和一个当前安全等级,最高安全等级表示可以使用该终端的用户的最高安全等级,当前安全等级表示当前使用该终端用户的安全等级。
(2) 多级安全服务器
多级安全服务器上需要部署具有强制访问控制能力的操作系统,该操作系统能够为不同安全等级的用户提供访问控制功能。该操作系统必须具备很高的可信性,一般而言要具备TCSEC标准下B1以上的评级。
(3) 单安全等级服务器和访问控制网关
单安全等级服务器本身并不能为多个安全等级的用户提供访问,但结合访问控制网关就可以为多安全等级用户提供访问服务。对于本网的用户,访问控制网关旁路许可访问,而对于外网的用户则必须经过访问控制网关的裁决。访问控制网关的作用主要是识别用户安全等级,控制用户和服务器之间的信息流。科技论文。如果用户的安全等级高于单级服务器安全等级,则只允许信息从服务器流向用户;如果用户的安全等级等于服务器安全等级,则允许用户和服务器间信息的双向流动;如果用户的安全等级低于服务器安全等级,则只允许信息从用户流向服务器。
(4) VPN网关
VPN网关主要用来保护跨网传输数据的保密安全,用来抵御来自外部的攻击。VPN网关还被用来扩展网络。应用外接硬件加密设备连接网络的方式,如果有n个网络相互连接,那么就必须使用n×(n-1)个硬件加密设备,而每增加一个网络,就需要增加2n个设备,这对于网络的扩展很不利。引入VPN网关后,n个网络只需要n个VPN网关,每增加一个网络,也只需要增加一个VPN网关。
4 结语在网络技术十分发达的今天,任何一台计算机都不可能孤立于网络之外,因此对于网络中的信息的安全防范就显得十分重要。针对现在网络规模越来越大的今天,网络由于信息传输应用范围的不断扩大,其信息安全性日益凸显,本论文正是在这样的背景下,重点对网络的信息安全管理系统展开了分析讨论,相信通过不断发展的网络硬件安全技术和软件加密技术,再加上政府对信息安全的重视,计算机网络的信息安全是完全可以实现的。
参考文献:
[1] 胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.
[2] 黄国言.WEB方式下基于SNMP的网络管理软件的设计和实现[J].计算机应用与软件,2003,20(9):92-94.
[3] 李木金,王光兴.一种被用于网络管理的性能分析模型和实现[J].软件学报,2000,22(12): 251-255.
第7篇
【关键词】L2 VPNIPSec隧道虚拟化The Research and Design of IPSec-based L2 VPN
ZHU Yufeng(School of Electronics Engineering and Computer Science, Peking University, Beijing, 100871, China)
Abstract: L2 VPN is working at layer 2 of OSI network model, which can hide the geographical limitations and provide virtual private network service.
This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.
Key Words:L2 VPN, IPSec Tunnel, Virtualization
一、引言
随着虚拟化及云计算的兴起和应用,VPN隧道成为一个连接不同地区虚拟数据中心或者云计算中心的必备技术,其中L2 VPN工作在OSI网络模型的第二层,它可以隐藏地域限制,提供虚拟专有网络服务,能够更好的满足虚拟化及云计算的需求。
二、方法研究
L2 VPN基本的概念是将L2网桥和IPSec VPN网关结合,利用VPN隧道模拟物理网线,将2台或者多台跨越因特网的网桥连接起来。
如图所示:
为了实现以上L2 VPN的功能,我们需要考虑以下因素:
(1)如何将L2数据包导向VPN隧道;
(2)如何封装以太网帧;
(3)数据包的flow设计;
(4)如何支持VLAN;
(5)如何支持多站点多用户(例如,星型拓扑)。
2.1重定向数据包到VPN隧道
为了很好的连接L2网桥和VPN网关,我们定义一个虚拟的隧道端口,用来解耦合网桥和VPN的功能。对于网桥来说,虚拟隧道端口就像是一个物理端口一样,用来收发以太网数据包。对于VPN网关来说,虚拟隧道端口就是一个明文数据包进入加密隧道的入口,所有到达虚拟隧道端口的数据包,都将会被加密从隧道发出去。
虚拟隧道端口模拟物理以太网端口,它的功能如下:
(1)在内核中创建一个虚拟网络端口;
(2)发送以太网数据包。而驱动程序的发送功能,就是VPN隧道加密。
(3)接收以太网数据包。VPN加密后,会把明文放到虚拟端口的接收队列。
(4)支持网桥MAC反向学习。
(5)支持VLAN tag。
所有对于L2网桥看来,虚拟隧道端口和物理网桥端口没有任何区别,收到和发送的都是以太网数据包。网桥也不知道VPN网关的存在。同样,VPN网关也知道网桥的存在,到达VPN网关也只是以太网数据包。
2.2以太网数据包封装
IPSec隧道工作在三层,用来设计封装IP数据包,所以我们需要将以太网帧封装成IP数据包,再将该IP数据包封装成IPSec数据包。
我们可以考虑以下方式:
(1)EtherIP over IPSec;
(2)非标准的IPSec封装;
(3)混合模式。
(8)VPN1收到ARP应答密文包,解密去EtherIP和IPSec包头,查询MAC地址表,得知出口是eth1,然后将报文发往PC1。此时,VPN1并且更新MAC地址表。
VPN2网桥的MAC表:
(9)PC1收到ARP应答明文包,学到PC2的MAC地址。然后发送ICMP请求到PC2。数据包的目的MAC是PC2-MAC,源MAC是PC1-MAC。
(10)VPN1收到ICMP请求,查询MAC地址表得到出口是tun1,将数据包送到VPN隧道加密,然后发往VPN2网关。
(11)VPN2收到ICMP请求,查询MAC地址表,得到出口是eth1,将数据包发送到PC2。
(12)PC2收到ICMP请求并发送ICMP应答,该应答数据包被发发送到VPN2。
(13)VPN2收到ICMP应答,查询MAC地址表,得到出口是tun1,将数据包通过隧道发送到VPN1。
(14)VPN1收到ICMP应答,查询MAC地址表,得到出口是eth1,将数据包发送到PC1。
3.1VLAN支持
二层网桥可能连接很多VLAN,隧道端口需要工作在TRUNK模式,这样可以允许VLAN数据包通过VPN隧道。
拓扑如下:
EtherIP over IPSec可以封装VLAN tag,但是overhead会比较大。一种优化的方法是分配每个tunnel端口和tunnel一个VALN tag,这样就不需要封装VLAN tag,提高有效载荷。
3.2星型拓扑支持
要支持Hub & Spoke星型拓扑,我们只需要再增加一个tunnel端口,并且把该端口绑定到一个到Spoke的VPN隧道。该设计非常灵活,易于扩展。
拓扑如下:
四、结束语
本文通过引入虚拟隧道端口,巧妙的将L2网桥和IPSec VPN网关结合在一起,简单并且有效的将数据包重定向到VPN隧道。
另外,本文通过结合EtherIP over IPSec封装发送多播和广播数据包,IPSec封装发送单播数据包,有效提高了VPN隧道的有效载荷和传输性能。
参考文献
[1] RFC3378: EtherIP: Tunneling Ethernet Frames in IP Datagrams
[2] RFC2784: Generic Routing Encapsulation
[3] RFC3438: Layer Two Tunneling Protocol
[4] RFC4664: Framework for Layer 2 Virtual Private Networks
[5] RFC4665: Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks
[6] RFC4026; Provider Provisioned Virtual Private Network (VPN) Terminology
[7] RFC4301: Security Architecture for the Internet Protocol
第8篇
论文摘 要:对于图书馆服务而言,VPN正在得到广泛的推广与应用,既能够为图书馆之间的资源共享提供网络传输途径,又可以为远程异地用户提供资源服务,本文在介绍虚拟专用网技术的基础上,给出了基于VPN的图书馆资源远程访问解决方案。
图书馆在使用过程中由于涉及到版权保护,容易导致异地用户或者外网用户无法对其资源进行访问。为了解决此问题,一个典型的远程访问技术VPN(虚拟专用网)正在被越来越广泛的使用。本文在介绍虚拟专用网技术的基础上,给出了基于VPN的图书馆资源远程访问解决方案。
1 VPN技术简介
VPN即虚拟专用网,SSL VPN是VPN的一种。其实现软件既可以安装在现有服务器上也可以固化在专业的硬件上。基于虚拟专用网的图书馆数字资源访问技术优势集中体现在以下几个方面:
虚拟专用网的简单性。SSL VPN是最简单的一种解决远程用户访问图书馆的形式。原因在于SSL协议是内嵌于用户浏览器中的,因此就舍去了客户端上安装软件的步骤,用户只需连接Internet,就能通过网页访问图书馆资源。因此,通过VPN就可以在外网用户和图书馆之间的建立一条专用的数据传输通道,客户对资源的任何访问均需进行安全的身份验证。
虚拟专用网的安全性。采取SSL VPN,攻击者难以侦测出系统网络设置,攻击机会就会降低许多。通过SSL VPN进行连接,还能够在很大程度上低于病毒的侵害,保证了图书馆信息系统的安全运行。
保护敏感的数据。结合不同用户的身份,赋予其相应的访问权限。通过用户划分,降低客户端的维护工作量,保护了敏感数据,同时也实现虚拟专用网在图书馆应用的快速部署。
扩展性强。随着网络的扩张,虚拟专用网可以实现灵活的扩展。如果图书馆需要添加新的用户或新的子网,只需在VPN服务器上对已有网络软件配置进行相应的修改即可。
2 基于VPN的远程访问模式设计
2.1 SSL VPN 的具体部署方案
图书馆的SSL VPN所部署的位置是内网的防火墙后面,结合具体的安全控制策略,为那些位置分散的用户架设从公网进入图书馆内网信息资源的访问途径。通常采取的方式为:对图书馆内网的信息资源服务器进行设置,使之为位于外部网络的用户提供虚拟地址,当位于外网的用户根据所提供的虚拟URL对图书馆内网资源进行访问时,由SSL VPN网关获取来自用户发起的连接,同时为远程客户与服务器之间建立加密、解密的隧道,同时采取一定的访问控制策略,通过对用户信息进行认证后,向不同的应用服务器进行映射。
结合图书馆用户的实际情况,(大部分图书馆用户均属于公网用户),在本文的设计中,以思科公司的产品应用为例,选择CiscoASA5510设备,利用其SSL VPN功能,布署于公网和策略分流交换机之间。具体的做法是:以思科CiscoASA 5510服务器实现Web VPN功能,用户身份的验证由Radius Server服务器实现,处于外网的用户通过所在的网络服务商接入互联网,之后向WebVPN服务器发出身份验证的请求,身份验证通过以后,就可以对图书馆内网的图书资源进行访问。思科CiscoASA 5510服务器的外网接口与因特网相连,为此接口配置公网的IP地址,位于图书馆外网的用户可以通过公网地址对其进行访问,服务器的内网接口连接策略分流交换机,为此接口配置图书馆内网IP地址,使之可以和 Radius Server服务器进行通讯,实现用户身份的验证,用户通过验证之后,就会被分配一个图书馆内网的IP地址,就可以对图书馆资源服务器群进行访问了。
2.2 SSL VPN的主要配置过程
以思科ASA5510内置的SSL VPN功能构建基于网络的虚拟专用网服务器,需要设置的内容包括DNS、网关和SSL VPN的接口地址等,在初始化设置之后,为共享图书资源,还需要配置SSL VPN设备,下面对几个关键的配置进行介绍。 转贴于
2.2.1 用户认证服务器的添加
因为只能允许一些特定的注册用户作为合法的外网用户,所以,为了对用户进行身份的确认,必须提供用户名和密码。图书馆远程访问的权限包括SSL VPN的使用期限和用户的并发数。本文所选取的思科ASA5510服务器能够兼容多种身份认证协议,系统的管理员可以结合单位内部的认证服务器进行认证,也可以使用SSL VPN 内部的自建帐号进行认证,本文推荐采用的认证协议是Radius, 进行如下配置:
#启用radius协议认证
#配置radius服务器的使用的key和IP 地址
#应用于内网口,配置VPN组使用radius协议
2.2.2 增设内网资源和访问资源
在系统的资源管理中增设Web资源或APP资源。例如,在”姓名”一栏中写入用户专属的名字,例如”图书馆资源网”;在”描述”一栏中写入描述内容;在”地址”一栏中写入访问网站的主机域名或是IP地址。然后执行”Everything under this Url”和“Auto-allow Bookmark”,执行完毕后,对学术期刊网的远程访问设置进行保存。
2.2.3 用户角色管理的设置
这一步骤的主要内容是为用户建立不同访问权限的角色,并将这些角色与图书资源进行关联。这样,就能让不同角色的用户在成功登陆SSL之后,能够对相应角色所具有权限的图书馆资源进行访问。因为本文所选择的身份认证是Radius协议,所以由radius服务器来完成用户的建立和管理,此时思科ASA5510并不需要对本地用户进行建立,用户管理的工作量显著降低了。
2.2.4 外网用户的访问
因为图书馆内网的ASA5510服务器与公网相连,所以对外提供Web VPN的地址就是外网口的 IP 地址。具有用户身份的外网用户在连接到因特网之后,输入图书馆内网地址就会接收到图书馆 SSL VPN的界面,用户根据提示输入ID和密码,结果服务器认证后,就能够得到图书馆内网的 IP地址以对图书馆资源进行访问。
3 结语
虚拟专用网是目前网络应用发展的趋势,随着信息技术的发展和宽带应用的普及,人们对网络依赖的日益增强,虚拟专用网应用也将变得更加广泛。对于图书馆服务而言,VPN正在得到广泛的推广与应用,既能够为图书馆之间的资源共享提供网络传输途径,又可以为远程异地用户提供资源服务,提高了图书馆资源利用效率,必将成为未来图书馆的发展方向。
参考文献
[1] 张颖.利用VPN技术实现图书馆信息资源远程访问[J].情报探索,2008(7)69~70.
[2] 徐忻.利用开源软件实现基于SSLVPN的图书馆远程访问[J].现代情报,2009(4)160-163.
第9篇
论文摘要:随着信息技术的不断发展,学校如何更好的利用内部网络服务成为摆在学校面前的重要课题。本文通过对学校网络建设现状及vpn技术的分析介绍,在如何利用vpn技术为学校搭建网络应用安全通道进行了探索。
随着信息化时代的到来,以网络技术为代表的信息技术已经成为社会发展的重要推动力。网络技术以其信息海量性、交互性、便捷性等优势,正在日益深人人们的生活。同样,由于信息技术的巨大作用,它也被广泛应用于学校的各种活动之中。当然,网络技术同时也存在很多缺点,比如网络安全问题,就成为影响学校信息安全的潜在威胁。因此,学校在利用网络技术的同时,
一定要注意研究和防范其缺点和不足。
i、我国学校网络建设的基本情况和特点
应该说,我国学校网络建设起步时间较晚,但是发展速度十分迅速,笔者总结出我国学校网络建设的基本情况和特点如下:
1.1建设的普遍性
据一项不完全调查显示,目前我国具备独立的学校网络系统的学校约占全体注册学校数量的90%以上。这里所说的学校网络建设,不仅仅指学校的门户网站或者学校主页,而是涵盖学校内部行政办公网、教学网络以及学生网络等网络系统。可以说,随着网络技术的进一步普及,学校已经意识到建立自身独立的网络系统的巨大意义,能够主动投人人力物力,聘请专业机构针对本学校特点研发、部署网络系统。
1.2应用的广泛性
目前我国学校在创建独立网络体系的同时,非常注意对于网络功能的再开发。目前国内学校利用网络系统可以进行内部管理、办公自动化处理、视频会议、网络教学、ip电话、学校推广等等,极大地丰富了校园网络的应用手段,拓展了应用领域。
1.3安全意识提高
从国内市场主流网络安全技术销售情况可以看出,全社会网络安全意识正在逐步提高,一些造价不菲的学校版专业软件销售情况也十分可观。学校加强对网络安全的防范,一方面体现出学校的观念正在逐步改进,另一方面可以看出,我国国内的网络安全市场仍然具备较大的拓展空间。
1.4交流的多样性
学校网络大都由外部网络和内部网络构成。外部网络就是通常意义上的互联网,而内部网络是学校独立的网络系统,俗称内网。随着交流的不断增多和办公形式的多样化,越来越多的用户希望能随时通过互联网接人校园网,实现远程办公。而在当今日益繁多的网络技术中,vpn技术由于具备自身独特的优势,可以很好地满足建立学校网络安全通道的需求。
2,vpn技术
2.1基本情况
vpn仅irtualprivatenetwork),即虚拟专用网,被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。vpn主要技术包括隧道技术与安全技术。简言之,通过利用vpn技术,可以在学校内部网络与外网之间建立一个虚拟的安全通道,实现学校充分利用校内网络系统的要求。
2.2独特优势
vpn技术是比较新的网络技术,具有许多以往网络虚拟技术所不具备的优势,具体说来,主要体现如下:
第一,可以最大限度地保证学校网络系统的安全运行。在前文中,笔者谈到学校关心网络安全问题,能否保证学校网络系统运行的稳定和安全,将是这项技术能否被大范围推广和使用的关键。在vpn技术中,学校可以在内部服务器上实现对用户资格的认证,同时,在网络运作过程中。 vpn技术还可以支持点对点加密及各种网络安全加密协议,如ipsecarity,这可以最大程度上保证学校网络系统的安全运行。
第二,可以降低学校网络运行维护的成本。由于vpn设备本身带有路由功能,可以有效地减少学校内部网络与互联网连接时需要的网络配置设备,对一些传统设备,vpn技术也可以很好地实现兼容。在虚拟网络运行过程中,由于其稳定性良好,不需要学校付出大量成本进行维护,因此可以极大地降低学校网络成本。
第三,可以实现学校网络系统功能的提升。学校网络系统应用vpn技术,可以将学校内部的网络设备与外网实现安全互联,同时也可以将学校分支机构的网络设备进行有效连接,主要部门通过对于vpn权限的控制,可以有效地掌控学校网络系统的运行情况,并依托学校网络进行各项活动,从而实现对学校网络功能的进一步扩展。
3、学校如何利用vpn技术
既然vpn技术具有许多优势,非常适合运用于学校网络建设,那么学校应该着手对这项技术的应用进行研究。笔者认为,我国学校运用vpn技术没有固定的模式和套路,应该依据学校自身的情况和特点,制定出相应的使用方案。但是,学校在使用vpn技术的过程中,还是可以找到一些共性的原则。
第10篇
关键词:文山学院 虚拟专用网 VPN
一、现状及需求
文山学院坐落于祖国西南边陲云南省文山州州府所在地文山市,学校占地948亩,有教职工594人,学校设有10个二级学院共43个本专科专业,全日制在校生9183人。从学校建设角度,可以把文山学院分为老校区和新校区。学校校园网覆盖到办公楼、教学楼、教职工宿舍楼及老校区部分学生宿舍,由于校园网出口带宽不高,整体网速慢以及很多学生宿舍没有校园网布线,使得很多学生都是自己向网络供应商申请接入互联网。由于我校的教务管理系统只能在校园网内部访问,教师查询教学信息以及考试成绩等的录入只能局限在校园网内部,另外广大教师在获取学校图书馆提供的电子图书、科研论文等信息资源时,也只能在校园网访问。因此,迫切需要一种方法能让学校的师生无论是在学校内还是校外,都能顺利地访问校园网里的资源。这对提高教学效率和教师的科研水平都是很有益的。因此,提出建设我校的VPN解决方案,能够兼顾性能和价格,实现真正意义的优质低价的网络VPN互联。
二、VPN技术分析
虚拟专用网(Virtual Private NetWork,VPN)是指利用Internet等公共网络创建远程的计算机到局域网以及局域网到局域网的连接,而建立的一种可以跨跃更大的物理范围的局域网应用。
1.隧道技术
隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。
VPN采用隧道(Tunneling)技术,利用PPTP与L2TP等协议对数据包进行封装和加密,所以保证了在Internet等公共网络上传输的数据的安全性。
2.VPN分类
VPN按照它的应用可以分为两种:单机到局域网的连接(point to LAN)(如图1所示)和局域网到局域网的连接(LAN to LAN)[1](如图2所示)。
单机到局域网的连接适用于单个用户连接到企业局域网。只要用户个人计算机能够访问Internet,用户就能通过VPN方式跟企业局域网建立连接,从而访问企业局域网提供的资源。
局域网到局域网的连接适用于企业分支机构(可以是多个分支机构)连接到企业总部局域网。企业分支机构和企业总部既可以通过Internet互联也可以通过专线连接,达到分支机构局域网和总部局域网逻辑上属于一个更大的局域网,实现资源的相互共享。
图1单机到局域网的连接
图2 局域网到局域网的连接
根据我校的实际情况,提供VPN服务可以方便广大师生员工通过外网访问校园网登陆教务管理系统数字图书馆等操作,选择单机到局域网的连接。
一个完整的VPN系统一般由VPN服务器、VPN数据通道和VPN客户端三个单元构成。
三、VPN服务器及客户机的安装配置
1.VPN服务器的安装与配置
方案以安装有Windows Server 2008操作系统作为VPN服务器。
①单击“开始”“程序”“管理工具”“管理您的服务器”命令,添加“远程访问/VPN服务器”角色,启动“路由和远程访问服务器向导”
②在向导的配置界面中,选择“虚拟专用网络(VPN)访问和NAT”单选按钮,配置该服务器为VPN服务器,同时具有NAT功能,然后单击“下一步”按钮
③选择“VPN”和拨号复选框,然后单击“下一步”按钮
④使用VPN,在VPN服务器上必须有两个网络接口,一个连接到Internet,一个接到校园网网络。选择“本地连接”为VPN服务器到Internet的网络接口,“本地连接2”连接到校园局域网。单击“下一步”按钮
⑤选择“自动”单选按钮,因为校园网内专门有DHCP服务器进行IP地址的指派。单击“下一步”按钮
⑥提示是否选择此服务器与RADIUS服务器一起工作,选择“否”,单击“下一步”按钮
⑦最后单击“完成”按钮,结束“远程访问/VPN服务器”的配置。
为用户配置远程访问权限
用户可以通过VPN服务器上的本地用户账户和局域网中的域用户账户通过VPN访问局域网。要使用户通过VPN访问局域网,账户都应该具有“拨入权限”。
2.VPN客户端计算机安装与配置
远程客户首要条件是已经连接到Internet。远程客户机接入Internet可以是通过宽带拨号,也可以是局域网到Internet的网络连接。
方案以安装有windows 7 SP1操作系统作为VPN客户端。
①打开控制面板进入“网络和共享中心”。
②点击进入“设置新的连接和网络”,选择“连接到工作区”并点击“下一步”。
③点击“使用我的Internet连接(VPN)”
④在“Internet地址”栏输入企业网络地址,并“下一步”。
⑤输入企业网络管理员提供的用户名和密码,点击“连接”便可以连接到企业网络。
⑥连接成功后,VPN客户端逻辑上已经和企业网络处在同一局域网内,此时VPN客户端便可以使用远程局域网提供的各种资源。
四、结论
建立校园VPN,可以利用现有的公共网络资源,在普通用户和校区之间建立安全、可靠、经济和高效的传输链路,利用Internet的传输线路保证了网络的互联性,采用隧道、加密等VPN技术保证了信息传输的安全性,从而极大地提高了办公效率,节省了学校资源,为校园信息化建设奠定了基础。
参考文献:
[1]郝兴伟.计算机网络技术及应用[M].中国水利水电出版社,2009年:196-212.
[2]高博,赵映红.虚拟专用网络(VPN)技术应用与实践[J].水科学与工程技术,2014(3):93-96.
第11篇
论文摘要:重点分析了VPN的实现技术。
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、网络安全性、数据传输可靠性上来,看VPN技术无疑是一种不错的选择。下面就VPN技术的实现做一下粗浅的分析:
1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork, VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。
VPN可分为三大类:(1)企业各部门与远程分支之间的In-tranet VPN;(2)企业网与远程(移动)雇员之间的远程访问(Re-mote Access)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPNo
在ExtranetVPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPoint Tunneling Protocol,PPTP)、第二层隧道协议(layer2 Tunneling Protocol,I,2TP)等。
2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
2.1 VPN访问点模型
首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。
2.2隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generi-cRoutingEncapsulation, GRE )I,2TP和PPTPo
(1)GRE
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol , NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。
GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。
(2)L2TP和PPTP
L2TP是L2F( Layer2Forwarding)和PPT’I〕的结合。但是由于PC机的桌面操作系统包含着PPTP,因此PPT’I〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过Modem与NAS建立连接;b.用户通过NAS的L2TP接入服务器身份认证;;c.在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道;d.用户与L2TP接入服务器之间建立一条点到点协议(PointtoPointProtocol, PPP)访问服务隧道;e.用户通过该隧道获得VPN服务。
与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务;b.用户通过路由信息定位PPTP接入服务器;c.用户形成一个PPTP虚拟接口;d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道;e.用户通过该隧道获得VPN服务。
在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。砚TP比PPTP更安全,因为砚TP接入服务器能够确定用户从哪里来的。砚TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。
2.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DESo RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
2.4 QoS技术
第12篇
在深圳举办的第二届中国互联网展览会,向人们展示了网络业向理性、成熟和务实回归的可喜趋势。展会上,源动力Unihub公司作为一家新崛起的专业网络服务提供商引起了人们的注意。成立将近一年,Unihub在为金融证券业服务的领域中取得令人瞩目的业绩。怀着对“务实之星”的兴趣与关注,记者在网展期间采访了Unihub公司副总裁邓航先生
记者:今年以来,Unihub公司在业界频频出动,大有推动证券互联之势。请您给我们介绍一下Unihub公司作为一家专业的网络服务提供商的优势是什么?
邓航:首先是我们已有的成功案例和客户群,如长城证券,大鹏证券、PA18。我们在为客户服务的过程中不但努力追求客户最大的满意度,而且不断的改造和完善我们的服务体系和服务水准。这种服务市场经验值的产生和积累很重要。它需要时间,不象通常卖产品,想做马上就能做到
二是我们与国内许多企业有良好的业务合作关系,如中国电信等骨干网络公司,还拥有金融、证券、保险、物流等各行业的优良资源,随着Unihub公司的市场拓展,这些合作贸易与资源不断地在超越与发展着
三是我们有完备的网络管理体系,通过北京的中心机房辐射到分布在华东、华中、华南、西南等区域各层次的网络,实行统一管理
四是人才优势,Unihub公司网罗了一批IT业优秀的人才,他们有的原本就是.com公司的技术骨干。可以为客户提供及时、细致、到位的技术支持,帮客户解决网络营运中的各种问题。如我们的主要机房24小时对客户的数据流量进行监控,一旦发现异常,即时报警和提醒,并帮客户作出分析处理方案
五是我们有雄厚的资金投入。计划三年内投入20亿元资金,在2002年中建成由数据中心为基础的全国性基础运营设施,并通过战略合作伙伴在国外提供基础运营设施和相关服务。有效地利用其资金优势,实现自己的目标。
记者:现在为金融证券业提供IDC以及网络服务的公司很多,Unihub的独到之处在哪里?
Unihub的增值服务包括CDN(内容分发服务),如全局负载均衡、全局高速缓存、流媒体分发等。还通过高效廉价的互联服务提供真正的7*24*365监控维护,系统的设计优化,进行数据容灾和备份以及网络安全管理
与高速公路塞车一样,互联网上的瓶颈永远无法完全解决。Unihub在基于电信资源的基础上建立了自己的专有宽带网络,将CDN技术成功地应用于金融证券业的客户服务中,较好地解决了接入、骨干网、互联互动和最后一公里等各种瓶颈问题,从而有效地优化客户网络的工作状态指标
VPN(虚拟专用网)服务市场需求目前在全球具有明显的上升趋势,它可以使客户克服传统连接Extrannet和Intranet价格高和缺乏灵活性等问题。如当用户的专线、FR、卫星等方式连接分公司时,就会产生昂贵的接入费用,而且线路不支持突发大数据量,一旦超负荷工作,没有可扩展性,维护困难,数据易丢失。VPN的应用可使上述问题迎刃而解。UnihubMPLSVPN具有四大优点:VPN连接配置简单,对现有骨干网没有压力;对现有用户的技术要求为零,不需作任何改动。用户加入VPN的配置也很简单,可以延伸原有的路由地址,在骨干网络采用VPN-ID,可以保持全网的唯一性,网络可扩展性很强
由于Unihub对市场的信心和定位准确,投入决心大,拥有众多国外知名公司的合作伙伴,如CA、Cisco、NETSREEN等,采用高质量设备构建了强大的安生设施,能为用户提供有效的安全手段
总而言之,Unihub通过提供专业的网络技术服务,可以使企业级用户在节省投入,提高效益的情况享受电信级的技术服务,从而克服本身IT人才短缺的矛盾,专注于自身的核心业务,赢得快速进入市场的宝贵时间
记者:Unihub为何首先选择金融证券行业,这个行业的需求特点如何?Unihub做金融证券行业过程中感触最深的地方是什么?
邓航:当初我们也做过.com梦,由于在进入市场前对.com公司的状况作了透彻的分析,得出结论;我们并非互联网业界先进技术设备的制造商,而只是此类技术设备的应用服务商。金融证券业对先进技术的应用是最有需求和承接力的行业,所以我们就定位做金融证券业。现在回过头来看,当初不做.com的决策是正确的。在条件成熟的情况下,我们也会定时的介入如保险,物流等行业,PA18就是一例。
我们在做金融证券业服务中感触最深的地方是Unihub的技术人员与用户的技术人员在工作的配合非常融洽,就象原来就是一个整体
记者:请谈谈Unihub在金融证券业的发展战略和金融证券行业在线业务市场发展的观点
邓航:Unihub决心以现有规模的网络资源和专业化服务帮助用户开源节流,提高服务质量,避免行业用户各自为战的重复建设
第13篇
关键词:访问型VPN;L2TP;IPSec;PPP;隧道
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)31-pppp-0c
Research of Access VPN Solution Based on L2TP and IPSEC
JIANG Ying1, MIAO Chang-yun2
(1.Tianjin Polytechnic University,Tianjin 300000,China;2.HeBei University of Technology LangFang Department,LangFang 065000,China)
Abstract: Tunneling is the key technology for constructing Virtual Private Network(VPN). As the noticeable tunnel protocols,Layer Two Tunneling Protocol (L2TP) and IP Security Protocol (IPSec) are firstly introduced in this paper. we analyze the latent security trouble of Access VPN based on L2TP, and the cause, which restricts the secure creation of IP-VPN with IPSec. Finally we provide the Access VPN solution based on L2TP and IPSEC.
Key words: Access VPN; L2TP; IPSec; PPP; Tunnel
虚拟专用网络(VPN,Virtual Private Network),是利用各种安全协议,在公众网络中建立安全隧道,将远程的分支机构、商业伙伴、移动办公人员等与总部连接起来,并且提供安全的端到端的数据通信的一种网络技术。最初VPN是以LAN间互连型VPN为主要目的开发的,但随着公司职工异地办工和移动用户远程通信的迫切需要,访问型VPN日益受到重视。访问型VPN即处于公司内部网外部的终端通过在Internet网上构建的VPN与公司内部网相连,使外部终端能够像内部网中的用户一样使用内部网资源。
目前VPN主要采用四项技术来保证通信安全[1]:隧道技术、加解密技术、密钥交换与管理技术、身份认证技术。隧道技术是VPN的核心技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),使数据包通过这条隧道安全传输。隧道由隧道协议形成,隧道协议规定了隧道的建立,维护和删除规则以及怎样将用户数据封装在隧道中进行传输。到现在为止,比较成熟的隧道协议有:1) 链路层隧道协议,主要有点对点隧道协议PPTP、第二层转发协议L2F以及第二层隧道协议L2TP;2) 网络层隧道协议,主要有通用路由封装协议GRE和IP安全协议IPSec。
L2TP是对端到端协议(PPP)的一种扩展,它结合了L2F和PPTP的优点,成为IETF有关二层隧道协议的工业标准。像PPTP一样,L2TP支持多种传输协议,它将用户的数据封装在PPP帧中,然后通过IP骨干网进行传输。与PPTP不同的是,L2TP对隧道维护和用户数据都使用UDP作为封装方法。尽管许多人相信L2TP是安全的协议,但是它除了提供方便的用户和连接的认证外,自身对传输的用户数据并不执行任何加密,因此,它不能提供安全的隧道;IPSec则不然,它工作在OSI参考模型的网络层(第三层)。其最大的优点是提供了非常强大的安全功能,包括数据的机密性、数据完整性和验证、抗回放检测等服务。
L2TP是一种访问型VPN解决方案,它不能提供安全的隧道,并不能满足用户对数据传输安全性的需求。如果需要安全的VPN,则需要IPSec和L2TP结合使用。本文对L2TP和IPSec分别进行讨论,分析其优缺点,并给出利用L2TP与IPSec结合实现访问型VPN的解决方案。
1 L2TP和IPSEC协议分析
1.1 第二层隧道协议 L2TP
L2TP协议是将PPP分组进行隧道封装并在不同的传输媒体上传输,所以L2TP可看作虚拟PPP连续,并且它利用PPP NCP来协商IP的分配。使用L2TP,有两种隧道模式:自愿隧道模式和强制隧道模式。在自愿隧道中,远程访问用户运行L2TP,并且建立到服务器的VPN连接;在强制隧道中,另外一台设备代表用户,负责建立隧道。如图1所示,L2TP主要由访问集中器LAC (L2TP Access Concentrator)和网络服务器LNS (L2TP Network Server)构成。LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道。LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS。L2TP解决了多个PPP链路的捆绑问题,使物理上连接到不同NAS的PPP链路,在逻辑上的终结点为同一个物理设备。
作为PPP的扩展,L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。L2TP定义了控制包的加密传输,每个被建立的隧道生成一个独一无二的随机钥匙,以便抵抗欺骗性的攻击,但是它对传输中的用户数据并不加密。因此,L2TP并不能满足用户对安全性的需求,L2TP封装存在以下安全隐患[2]:
1)L2TP分组在网上传输时,攻击者可以通过窃取数据分组而知晓用户身份;
2)攻击者可以修改L2TP控制数据和L2TP数据分组;
3)攻击者可以劫持L2TP隧道或隧道中的PPP连接;
4)攻击者可以通过终止PPP连接或L2TP隧道,而进行拒绝服务攻击;
5)攻击者可以修改PPP ECP或CCP协议,以削弱或去除对PPP连接的机密性保护;也可通过破坏PPP LCP鉴别协议而削弱PPP鉴别过程的强度或获取用户口令。
1.2 IP安全协议IPSec
IPSec是IETF IPSec工作组制订的一组基于密码学的开放网络安全协议,用以保证IP网络上数据通信的安全性。IPSec利用密码技术从三个方面来保证数据的安全:通过认证,对主机和端点进行身份鉴别;利用完整性检查来保证数据在传输过程中没有被修改;加密IP地址和数据以保证数据私有性。
IPSec的安全结构由三个主要的协议组成:封装安全负载(Encapsulating Security Payload, ESP) 定义了为通信提供机密性、完整性保护和抗重播服务的具体实现方法。认证头(Authentication Header, AH) 定义了为通信提供完整性和抗重放服务的具体实现方法。ESP和AH协议都有一个确定特定的算法和可选功能的支持文献集。
Internet安全协会和密钥管理协议(ISAKMP)是IPSec的另一个主要组件。ISADMP提供了用于应用层服务的通用格式,它支持IPSec协议和密钥管理需求。IETF设计了Oakley密钥确定协议(Key Determination Protocol)来实施ISAKMP功能。这个协议在通信系统之间建立一个安全联系,它是一个产生和交换IPSec密钥材料并且协调IPSec参数的框架。
IPSec提供了网络层IP的安全机制,能够对IP数据流完整性、机密性、防重放等进行保护,也能提供灵活的连接级、数据分组级的源鉴别。目前,通常利用IPSec在INTERNET网上构建LAN间的VPN,但不被用于独立构建远程访问型VPN,主要原因如下:
1)IPSec虽然提供了很强的主机级的身份鉴别,但它只能支持有限的用户级身份鉴别。而在远程访问型VPN中远程终端用户要进入企业内部网必须进行严格的身份鉴别。目前IPSec协议还不能方便、有效地实现这项功能。
2)在IPSec安全协议中,总是假设封装的分组是IP分组,目前尚不能支持多协议封装。
3)目前的IPSec只支持以固定的IP地址查找对应的预享密钥、证书等鉴别信息,尚不支持动态分配的IP地址。而出差在外的公司员工通常使用电话拨号方式接入INTERNET网,此时用户使用的是动态分配的IP地址,因此无法通过身份鉴别,接入内部网。
通过以上对L2TP和IPSec协议各自优缺点的分析,可以考虑构建一种更加安全、经济的远程访问VPN的解决方案:将L2TP协议和IPSec协议综合起来使用,利用IPSec弥补L2TP的安全方面的不足,同时又利用L2TP弥补IPSec在用户级鉴别、授权等方面的不足。
2 基于L2TP/IPSec构建访问型VPN
2.1 L2TP/IPSec方案的原理分析
通过分析可知:L2TP 其实就是IP 封装协议的另一个变种,L2TP通道的IP 封装结构为(IP 报头(UDP 报头(L2TP报 头(PPP报头(PPP 负载)))))。创建一个L2TP 通道就是将L2TP帧封装在UDP 报头中,再将该UDP保文封装在以通道端点作为源地址和目的地址的IP 报文中。因为外部封装使用的是IP协议,所以IPSec可以用于保护上述合成的IP数据报文,也就是保护L2TP通道中流动的数据。
假设所有的隧道和链路都已经建立成功,远程用户使用该VPN进行通信的过程如下[3]:
1)首先远程用户端产生一个终止于LNS的、封装了一个内部IP包的PPP包,内部IP包的源地址是LNS分配给用户的VPN内网地址,目的地址是VPN内网服务器,这个PPP包通过用户和LAC间的PPP物理链路传送到LAC。
2)LAC根据PPP包中的用户名找到对应的L2TP隧道和IPSec隧道并对其进行L2TP封装和IPSec处理,生成L2TP/IPSec包。
3)LAC从自己的动态IP池里分配一个随机IP地址,为L2TP/IPSec包封装外部IP头并传送给LNS。
4)LNS收到这个包后,首先进行IPSec的解密和认证处理,然后依次去除L2TP头和PPP头,最后根据内部IP头的目的地址发往VPN内网服务器。
在L2TP/IPSec 方案实现时,L2TP运行在IP 之上,而IP层已经部署了IPSec软件,所以在LAC和LNS之间所有的数据包在传递给L2TP软件处理前都要进行IPSec的相应处理。假设IPSec软件提供了ESP和AH两种安全协议,那么IPSec便可以首先使用ESP 完成对L2TP包加密的工作,对整个高层报文进行保护,然后利用AH对加密数据和外部头进行认证,生成的L2TP/IPSec包格式如图2所示。其中IP2是内部的IP头部,包含有数据的真正的源和目的地址选项(一般考虑为私有地址)。IP1利用公网的传输特性(如公共网的传输地址、带宽等)传送内部数据。
本实现方案中,由L2TP提供隧道服务,而IPSec提供安全服务,这样可以提供一个更安全的VPN实现方案。通过将L2TP的基于点到点协议(PPP)的特点和IPSec的安全特点结合在一起,不仅利用了L2TP的封装机制,而且对数据分组提供了安全性保护,可以防止非法用户对VPN的攻击,能够满足远程用户接入VPN的要求。
2.2 L2TP/IPSec方案的应用模式
2.2.1 基于L2TP和IPSec的自愿隧道模式
这种模式下,L2TP和IPSec均安装于远程用户主机上。此时用户主机充当了LAC,用户自主对L2TP进行配置和管理。如图3所示,LAC将L2TP分组发送到ISP,再经过Internet到LNS,通过一个访问连接将L2TP依次封装在PPP和IP包中,这样LAC可以取
(下转第8654页)
(上接第8646页)
得它与LNS端的SA属性。如果LAC取得SA,它能获得LAC和LNS的安全服务[4]。由于LAC和LNS之间有安全服务,则可以利用IPSec而取消PPP的加密和压缩。
2.2.2 基于IPSec和L2TP的强制隧道的模式
此种模式将IPSec安装于远程访问主机,而L2TP集成于LAC。PPP Client发送PPP帧给LAC,在LNS端收到的数据包是封装了PPP的L2TP包,如图4所示。在这种模式下,Client和LNS拥有安全服务的不同的信息,PPP加密和压缩是否执行,要依靠Client的策略。由于Client没有任何LAC和LNS之间的服务,而Client不信任LAC以及它和LAC之间的线路,Client 一般要求它到LNS的端到端的IPSec加密或者PPP的加密/压缩[5]。
3 结束语
以L2TP协议与IPSec协议的结合使用来实现访问型V PN时,L2TP利用IPSec强大的安全功能,以弥补自身安全方面的不足,提供了具有多种协议封装和完备的安全功能的V PN,提高了应用方案的安全性、完善了方案的鉴别和授权机制,具有一定的使用价值,但同时也产生了因重复封装引起的额外开销。随着对访问型V PN研究的不断深入,协议进一步完善,存在的问题会逐步得到解决。
参考文献:
[1] 高德昊.VPN技术在组网中的研究与应用[D].中国优秀硕士学位论文全文数据库,2007,(5).
[2] 戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.
[3] 季超,楚艳萍.基于L2TP/IPSEC的安全隧道技术方案[J].河南大学学报(自然科学版),2004,(34)1:94-96.
第14篇
[论文区域图书馆图书馆集群建网模式组网技术资源共享
[论文摘要网络基础和现代通信技术的运用是构建区域图书馆的必然要求。本文分析区域图书馆必须具备的网络架构、管理模式、技术手段和发展趋向,指出区域图书馆的网络建设从更高层次上体现了图书馆长久以来“一切为了读者”的服务宗旨。
区域圈书馆是通过区域或城域网络,连接地理位置相近或橱邻的各类型图书馆(包括学校图书馆、公共图书馆科技图书馆等)形成的一个区域化、集群化、数字化、网络化.可以通过一个统一的门户对读者提供服务的文献信息共享空间。这种传统和现代交融,虚拟和现实结合的模式,使得它已不再局限于各图书馆之间传统意义上的合作共享,它实现的是本地区文献信息资源真正意义上的共享和利用。区域图书馆概念的提出,无疑是文献资源共建共享建设过程中的一个里程碑。其核心在于网络的建设,其实质在于资源的整合,其目的在于全方位的共享,这是一种历史发展的必然和趋向。
1传统和现代的冲突
传统意义上的图书馆曾经给予人们的学习和工作巨大帮助,对社会的发展作出了不可估量的重大贡献。但是在传统的图书馆管理方式下,各图书馆只是作为一个独立运作的实体,各自为政、极少沟通。从区域的角度看,其弊端是显而易见的:首先是无法达成最大效能整合资源、避免浪费实现文献资源一体化的良好愿望;其次是削弱了读者和图书馆之间的信息交互,图书馆之间的通借通还只能是流于形式;第三是缺乏便捷的沟通渠道,存在着阻碍各图书馆之间进行资源共建共享的无形壁垒。陈旧的模式,独立的发展,结果是使各图书馆成为一座座信息的孤岛,建设重复、浪费重复,单一的服务模式给读者造成了不便。每个图书馆的读者只能享受本馆的资源服务,而不能享受其他其它图书馆的服务。即使最普通的服务如A馆的读者需要借阅B馆的图书也需要重新办证,结果导致区域内整体文献信息资源得不到协调有效的利用。
图书馆发展到今天,工作重心业已从内部业务工作为主转变为以读者服务为中心,如何最大化的利用现有资源为读者服务,已成为各图书馆追求的工作重点。整合各图书馆的数字、非数字化资源信息,共建共享、集中管理,才能达到更好地为读者服务的目的。利用网络将同一区域内的图书馆,如公共图书馆、高校图书馆、专业图书馆、社区图书馆等同置于网络环境下。将它们联系起来,实现资源共建共享,正是图书馆利用有限的资源最大限度地为社会服务的一种有效途径,并且也是现代图书馆发展的必然趋向。
区域内图书馆在网络基础上,通过Intemet/城域网连接在一起,各图书馆将不再是孤立的、离散的点,而是互相之间形成网状结构,对外表现为一个独具特色的整体,对内则是相互联的独立实体,读者享受的服务可以是全区域范围的。
2网络模式和管理模式的选择
区域图书馆网的建立,其根本新问题在于组建区域内各图书馆之间,图书馆和读者之间的联系和沟通途径。而网络,无疑是实现这种跨区域跨时空沟通最有效最迅速最低成本的途径。区域图书馆究竟采取何种建网模式?纵观图书馆自动化系统发展历程,主要有终端/主机模式,局域网下客户机/服务器(c/s)模式和广域网下浏览器/服务器模式(B/S)模式。终端/主机模式主要流行于上世纪80年代,其应用范围仅限于单个馆,目前已极少采用。C/s模式在是基于局域网技术发展起来的,上世纪9o年代中期曾作为图书馆自动化系统架构的主流,一直到今天,将图书馆自动化的发展带入了新境界。在Intemet技术发展到今天的地步,C/s模式在伸缩性、可管理、资源共享、联合服务等方面有技术上先天的缺陷,难以实现数字资源和传统业务紧密结合以及海量数字资源的分布处理。随着文献资源共建共享要求的日益提高,B/S模式应运而生。B/s模式全称Brower/Server或浏览器/服务器模式,是对C/S模式的一种改进,在这种结构下,用户工作界面是通过WWW浏览器在前端(Browser)实现,主要的事务逻辑则在服务器端(Server),这样的结构可以做到一次性到位的开发,能实现不同的人员,从不同的地点,以不同的接入方式(比如LKN、WAN、Intemet/Intranet等)访问和操作共同的数据库,同时比c/s结构更有利于数据同步、数据实时更新、数据的溯源和及时服务响应…。从目前区域图书馆网的理论探究到已建成的区域图书馆网,这种基于B/S或是以B/S为主C/S为辅的结构模式已得到越来越多人们地认可
区域图书馆不仅需要通过ntemet网络或城域网络将区域内各图书馆联合起来,同时,还需要建立一个区域内各图书馆之间实现文献资源共享,馆际间文献采购整合、分类编目,流通等常规工作一体化的集群综合管理平台,如书目数据统一检索、书刊阅览“通借通还”等,实现基于Intemet的对传统业务和海量数字资源的综合管理。同时辐射整个区域内各图书馆的资源、人才、技术和服务优势,提升区域内图书馆的文化形象和服务层次,增强区域内各图书馆的业务管理和信息传递能力L2J。这是区域图书馆网络建设中的必然要求,决定其是否能够组成一个真正的区域性的虚拟图书馆群,建立一个完整的电子化、数字化、网络化的立体信息空间,同时达到和国内外其它图书馆的资源共享和协作,实现真正意义上的图书馆资源共享和业务协作。区域图书馆的管理模式有多种,其中集群管理模式无疑是最具有生命力的。
所谓图书馆集群就是指集中于一定区域内的众多具有分工合作关系的不同规模等级的图书馆(包括公共图书馆、学校图书馆、科研图书馆等)和和其发展有关的各种机构、组织等行为主体通过纵横交错的网络关系紧密联系在一起的空间集聚体。这是一种介于部门所有和条块分割之间的一种全新的图书馆组织形式,其本质属性是内部行为主体的结网和互动。这种模式涵盖在线采购、联合编目、馆际互借、网上阅览、参考咨询、统一结算等各方面的功能,着力于构建一个分布式的数字化信息资源管理系统,使得分散于不同载体、不同地理位置的信息资源能够以数字化方式贮存、以网络化方式互连,提供即时利用,实现资源共享。
简言之,区域图书馆的网络建设应包含区域网络平台(广域网、城域网、VPN网)构建和专门针对图书馆间实现文献信息共享而开发的综合管理系统构建两部分,这种集设传统图书馆和现代图书馆技术为一身,在管理手段和服务方式方面发生的重大变革,将使图书馆冲破传统物理围墙的限制,成为集文献信息资源共享服务及区域文化建设于一体的图书馆发展新模式。
3区域图书馆组网技术
区域图书馆网络建立的基本目的是构建本区域内各图书馆之间、区域图书馆和读者之间的联系和沟通桥梁,实现整个区域内图书馆的互联和资源的共享共建。因此在网络拓扑结构的设计上要考虑到各图书馆之间数据传输的效率性、平安性等方面的技术需求。而高速稳定的互联接入技术则是其中的关键。综合目前多种接人技术,比较可行的主要有以下3种:
3.1直接光缆专线接入
技术相当成熟,速率和管理自我控制,效果最好。但光缆线路的铺设要求具备诸多条件,施工不易。假如租用光缆线路,费用可观。
3.2基于用户设备的CE—VPN技术
VPN即虚拟专用网(VirtalPrivateNetwork),是一条穿过混乱的公用网络的平安、稳定的隧道。CE—VPN技术主要采用IPSec(IPSecurityProtoco1)方式,在各图书馆之间建立可信的平安连接,并保证数据的平安传输。通过在用户端安装和设置VPN路由器、防火墙,在公众网如Intemet中建立一条图书馆专用的虚拟数据通信网络。由于VPN隧道的起始点和终止点都位于图书馆的VPN用户端,图书馆通过私有隧道仿真一条点到点的专线来访问,这样就实现了各图书馆网站之间的平安通信。由于CE—VPN隧道的建立、管理、维护由用户负责,运营商只提供网络通信线路,平安性高、综合成本较低。
3.3基于网络的NB~VPN技术
同样属于VPN(VirtualPrivateNetwork虚拟专用网),但NB—VPN具备更多优点,它采用多项新技术,不仅包括IPSec,还包括虚拟路由、MPLS、和GRE通道等,非凡是在划分通信服务等级方面具有明显优势,图书馆能够实现各种级别的通信服务。而其采用的MPLS(MuhiprotocolI五belSwitching多协议标记交换)技术,是新一代的高速骨干网络交换标准,数据包通过虚拟电路来传送,使数据包传送的延迟时间减短,增加网络传输的速度,极具发展潜力。
利用MPLSVPN技术还可以在一个统一的物理网络上实现多个逻辑上相互独立的VPN专网。在区域图书馆网络中,不同的图书馆有着不同的业务系统,有的系统既要求相互隔离,又存在着互访的的需求,而MPLSVPN技术正是适应了这一隔离及互访的需求。此外大多数NB—VPN为所有网络站点提供直接连接,这尤如一个完整的网状WAN,对图书馆来说,既适应了简化网络拓扑结构设计的要求,又消除了网络抖动、减少时延和数据包丢失。NB—VPN技术这种种特性使得NB—VPN非常适合于构建区域图书馆的支撑网。在网络运行方面,其隧道的建立、管理、维护由运营商负责,MPLS用户只要交付运营商一定使用费,即可直接接入网络。
组建区域图书馆网络,选择何种组网技术,主要根据需求和应用而定。直接光缆接入性能最优.但相应的代价也高,只适应区域内大型公共图书馆和高校图书馆之间的互联。NB—VPN是近几年才发展起来的,很多乡镇、边远地区还没有被MPLS运营商的网络所覆盖,普遍运用尚待时日。应此,在解决基层图书馆互联方面,首先可采用基于用户的CE—VPN组网。具备条件后再逐步发展到基于网络的NB—VPN,这应成为区域图书馆组网和接人的主要方向(如图5所示)。
4区域图书馆展望
第15篇
一、判断题(每题2分)
1.信息安全保护等级划分为四级。
正确
错误
2.信息安全保护能力技术要求分类中,业务信息安全类记为A。
正确
错误
3.互联网安全管理法律法规的适用范围是互联网服务提供者、提供互联网数据中心服务的单位和联网使用单位。
正确
错误
4.在网络安全技术中,防火墙是第二道防御屏障。
正确
错误
5.入侵检测技术能够识别来自外部用户的入侵行为和内部用户的未经授权活动。正确
错误
6.VPN与防火墙的部署关系通常分为串联和并联两种模式。
正确
错误
7.电子商务是成长潜力大,综合效益好的产业。
正确
错误
8.电子商务的网络零售不包括B2C和2C。
正确
错误
9.电子商务促进了企业基础架构的变革和变化。
正确
错误
10.在企业推进信息化的过程中应认真防范风险。
正确
错误
11.物流是电子商务市场发展的基础。
正确
错误
12.科学研究是继承与创新的过程,是从产品到原理的过程,是从基础理论研究到应用研究、开发研究的过程。
正确
错误
13.科研课题/项目是科学研究的主要内容,也是科学研究的主要实践形式,更是科研方法的应有实践范畴,是科研管理的主要抓手。
正确
错误
14.科研方法注重的是研究方法的指导意义和学术价值。
正确
错误
15.西方的“方法”一词来源于英文。
正确
错误
16.论文是记录人类科技进步的历史性文件和研究成果的具体体现形式,是科技发展的重要信息源。
正确
错误
17.科研成果是衡量科学研究任务完成与否、质量优劣以及科研人员贡献大小的重要标志。
正确
错误
18.著作权人仅仅指作者。
正确
错误
19.著作权由人身性权利和物质性权利构成。
正确
错误
20.知识产权保护的工程和科技创新的工程是一个系统的工程,不是由某一个方法单独努力就能做到的,需要国家、单位和科研工作者共同努力。正确
错误
二、单项选择(每题2分)
21.信息安全策略的基本原则是()。
A、确定性、完整性、有效性
B、确定性、完整性、可靠性
C、完整性、可靠性、保密性
D、可靠性、有用性、完整性
22.()是实现安全管理的前提。
A、信息安全等级保护
B、风险评估
C、信息安全策略
D、信息安全管理体系
23.风险评估的相关标准不包括()。
A、GB/T 20984-2007
B、GB/T 9361-2005
C、GB/T 9361-2000
D、GB/T 22081-2008
24.()是密码学发展史上唯一一次真正的革命。
A、公钥密码体制
B、对称密码体制
C、非对称密码体制
D、加密密码体制
25.在进行网络部署时,()在网络层上实现加密和认证。
A、防火墙
B、VPN
C、IPSec
D、入侵检测
26.以下关于国际信息安全总体形势说法不正确的是()
A、网络无处不在,安全不可或缺
B、漏洞隐患埋藏,安全风险调整
C、漏洞隐患显现,安全风险调整
D、优化顶层设计,注重结构保障
27.美国()政府提出来网络空间的安全战略
A、布什切尼
B、克林顿格尔
C、奥巴马克林顿
D、肯尼迪
28.下列选项中属于按照电子商务商业活动的运作方式分类的是()
A、本地电子商务
B、直接电子商务
C、完全电子商务
D、商业机构对商业机构的电子商务
29.以下不属于社会科学的是()
A、政治学 B、经济学
C、医药学
C、医药学
D、法学
30.()是从未知到已知,从全局到局部的逻辑方法。
A、分析
B、综合
C、抽象
D、具体
31.()主要是应用已有的理论来解决设计、技术、工艺、设备、材料等具体技术问题而取得的。
A、科技论文
B、学术论文
C、会议论文
D、学位论文
32.()是通过查阅相关的纸质或电子文献资料或者通过其他途径获得的行业内部资料或信息等。
A、直接材料
B、间接材料
C、加工整理的材料c
D、实验材料
33.()是整个文章的整体设计,不仅能指导和完善文章的具体写作,还能使文章所表达的内容条理化、系统化、周密化。
A、摘要
B、引言
C、写作提纲
D、结论
34.期刊论文的发表载体是()。
A、娱乐杂志
B、生活杂志
C、学术期刊
D、新闻报纸
35.()是指科研课题的执行人在科研过程中要向科研主管部门或课题委托方汇报研究工作的进度情况以及提交阶段性成果的书面材料。
A、开题报告
B、中期报告
C、结项报告
D、课题报告
36.我国于()年实施了《专利法》。
A、1985
B、1986
C、1987
D、1988
37.知识产权具有专有性,不包括以下哪项()。
A、排他性
B、独占性
C、可售性
D、国别性
38.知识产权的时间起点就是从科研成果正式发表和公布的时间,但有期限,就是当事人去世()周年以内权利是保全的。
A、30
B、40
C、50
D、60
39.知识产权保护中需要多方协作,但()除外。
A、普通老百姓
B、国家
C、单位
D、科研人员
40.关于稿费支付的方式说法不正确的是()。
A、一次版付一次稿费
B、再版再次付稿费
C、一次买断以后再版就不必再给作者支付稿费
D、刊登他人文章就要付稿费
三、多项选择(每题2分)
41.信息安全人员的素质主要涉及以下()方面。
A、技术水平
B、道德品质
C、法律意识
D、政治觉悟
E、安全意识
42.信息安全刑事犯罪类型主要有()
A、非法侵入计算机信息系统罪
B、破坏计算机信息系统罪
C、利用计算机作为工作实施的犯罪
D、盗窃计算机硬件与软件罪
E、非法复制受保护
43.信息系统安全的总体要求是()的总和。
A、物理安全
B、系统安全
C、网络安全
D、应用安全
E、基础安全
44.对信息的()的特性称为完整性保护。
A、防篡改
B、防复制
C、防删除
D、防转移
E、防插入
45.国家“十二五”电子商务规划是由()共同编制。
A、国家发改委
B、商务部
C、科技部
D、工商行政管理总局
E、工信部
46.发展电子商务的指导思想是()
A、强化宣传
B、统筹安排
C、构建完整市场体系
D、营造良好环境
E、优化资源配置
47.逻辑方法包括()
A、分析与综合
B、抽象与具体
C、归纳与演绎
D、统计与测量
E、观察与实验
48.理论创新的原则是()
A、理论联系实际原则
B、科学性原则
C、先进性原则
D、实践性原则
E、系统性原则
49.科研论文按发表形式分,可以分为()
A、期刊论文
B、学术论文
C、实验论文
D、应用论文
E、会议论文
50.知识产权是由()构成的。
A、工业产权
B、著作权
C、发表权