网络安全毕业论文设计.doc

1、第 I 页（共 34 页）呼伦贝尔学院计算机科学与技术学院本科生毕业论文 (设计 )题 目： 学生姓名： 学 号： 专业班级： 指导教师： 完成时间： 第 1 页（共 34 页）目录摘要 3Abstract 4第 1 章 网络安全概述 51.1 网络安全的现状 .51.2 VPN 技术介绍 61.3 课题背景 .71.4 研究目标 .7第 2 章 VPN 技术及其应用 .82.1 VPN 概念 82.2 VPN 技术的工作原理 82.3 VPN 技术的应用领域 92.3.1 远程访问 102.3.2 组建内联网 102.3.3 组建外联网 10第 3 章 VPN 技术与相关协议 .113.1

2、PPTP 协议与 L2TP 协议 113.1.1 PPTP 协议 113.1.2 L2TP 协议 113.2 Ipsec 协议 .113.2.1 设计 Ipsec 的目的 .123.2.2 Ipsec 的组成部分 123.3 ESP 机制 .133.3.1 ESP 封装技术的隧道模式 133.3.2 ESP 封装技术的传输模式 143.4 AH 机制 153.4.1 AH 封装技术的隧道模式 .153.4.2 AH 封装技术的传输模式 .16第 4 章 方案设计 164.1 需求分析 .174.2 设计方案要达到的目的 .184.3 VPN 组建方案网络拓扑图 18第 5 章 各部分 VPN

3、设备的配置 195.1 公司总部到分支机构的 ISA VPN 配置 .195.1.1 总部 ISA VPN 配置 205.1.2 支部 ISA VPN 配置 .225.1.3 VPN 连接 .245.1.4 连接测试 25第 2 页（共 34 页）5.2 公司总部站点到移动用户端的 VPN 配置 .275.2.1 总部 ISA VPN 配置 285.2.2 动用户端 VPN 配置 295.2.3 连接测试 30总 结 31参考文献 32致 谢 33第 3 页（共 34 页）摘 要随着通信技术、微电子技术和计算机软件技术的迅猛发展，以计算机为基础的网络技术在开放系统互连模型和 TCP/IP 协议

4、簇的规约下，异型计算机之间、异构网络之间互连的技术屏障已被完全打破，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现出传统企业网的功能缺陷，于是企业便对于自身的网络建设提出了更高的需求，由此推进了信息技术的发展。如今从个人、家庭到企事业单位、政府以及军事部门都已离不开网络，迅速发展的网络不仅提高了工作效率还给人们带来了越来越多的利益，但网络给人们带来了方便的同时对每个用户的信息却受到了严重的威胁。针对这一问题计算机人员研发出VPN 的一种虚拟局域网，它的出现解决了安全传输信息的这一问题。本文首先介绍了 VPN 的概念

5、、应用前景、以及相关的技术与主要的安全协议，并通过一个小企业运用 VPN 的技术来构建自己的企业网和外联网的实例，来实现各个之间的信息通信，本文中包括各模块的工作原理、实现的思想、实现的细节以及最终的测试结果等，并对在实验中遇到的问题以及困难得到了解决。关键词 VPN；加密；PPTP；L2TP；Ipsec第 4 页（共 34 页）AbstractWith the development of communication technology, microelectronics technology and computer software technology development, co

6、mputer based network technology in Open System Interconnect Reference Model and TCP / IP protocols under the stipulations between computers, special-shaped, heterogeneous network interconnection between technological barrier has been broken completely, especially the development of network economy,

7、business expansion, customer increasing the distribution of a wide range of partners, increasing, this prompted the benefit of the enterprise is growing, but also increasingly protruding shows the traditional enterprise network functional defects, then the enterprise to its own network construction

8、raised taller requirement, thereby promoting the development of the information technology. Now from individuals, families to enterprises, governments and military departments have been inseparable from the network, the rapid development of the network not only improve work efficiency to bring peopl

9、e more and more interests, but the Internet brings people convenience to each users information has been a serious threat to. In view of the problems appeared in recent years a Vpn virtual local area network, it appears to solve the secure transmission of information to this problem.This paper first

10、 introduces the concept, application, prospect of VPN, and the related technology and the main security protocol, and through a small enterprises to use VPN technology to build their own intranet and extranet examples, to realize the information communication between, experiments including the worki

11、ng principles of each module, realize ideas the details of the implementation, as well as the final test result, and the experiment encountered problems and difficulties have been solved.第 1 章 网络安全概述1.1 网络安全的现状网络的诞生极大地方便了人们的沟通和交流，信息网络更已深入到政府、军事、企业生产管理等诸多领域,其中存储、传输和处理的信息有很多是政府的第 5 页（共 34 页）重要决策、军事秘密、

12、企业生产经营的商业信息等，然而自网络诞生之日起，网络安全就一直如影随形。1988 年 11 月 20 日上网蠕虫病毒，至今仍然让人们心有余悸，正是从那时刻起，internet 逐渐成为病毒肆虐的温床，滥用网络技术缺陷和漏洞的网络入侵更让人们防不胜防，具体的安全隐患主要表现为：（1）计算机系统受病毒感染和破坏的情况相当严重。（2）电脑黑客方法活动已形成重要威胁。（3）信息基础设施面临网络安全的挑战。（4）信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。（5）传输信息的完整性、可用性、保密性得不到保证。计算机网络的安全与我们自己的利益息息相关，网络是动态变化的，新的Internet 黑客

13、站点、病毒、盗取每日剧增，所以一个安全的计算机网络系统必须采取强有力的网络安全策略，认真研究网络安全发展方向掌握最先进的技术，这样才能保证计算机网络系统安全、可靠地正常运行，才能把握住计算机网络安全的大门。目前国内外有以下几种典型的网络安全技术：1. 防火墙系统防火墙系统能增强机构内部网络的安全性，加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问、外界的哪些人员可以访问内部的哪些服务、以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往因特网的信息都必须经过防火墙，接受

14、防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。2. 入侵检测系统入侵检测通过监控系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。它根据用户的历史行为，基于用户当前的操作，完成对攻击的决策并一一记录下攻击证据，为数据恢复与事故处理提供依据。目前主要有两类入侵检测系统：基于网络的和基于主机的。前者在连接过程中监视特定网段的数据流，查找每一数据包内隐藏的恶意入侵，并对发现的入侵做出及时的响应；后者是检查某台主机系统日志中记录的未经授权的可疑行为，并及时做出响应。3. 访问控制技术 访问控制也是网络安全防范和保护的主

15、要技术，它的主要任务是保证网络资源不被非法使用和非法访问。入网访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。4. 虚拟专用网 VPN 技术第 6 页（共 34 页）VPN 技术可以在远程用户、公司分支机构、商业合作伙伴与公司的内部网之间建立可靠的安全连接，并保护数据的安全传输。与实际的点到点连接电路一样，VPN 系统可被设计成通过 Internet，提供安

16、全的点到点(或端到端)的“隧道” 。一个 VPN 至少提供如下功能：（1）数据加密。（2）信息认证和身份认证。（3）访问权限控制。根据用户的需求，VPN 可以用多种不同的方法实现。通常情况下，有基于防火墙的 VPN、基于路由器的 VPN、基于服务器的 VPN 和专用的 VPN 设备等。企业经济的发展是推动社会发展的主要动力，所以企业之间的商业信息的安全就变得尤为重要，上述中 VPN 虚拟网络技术不仅解决了信息的安全传输还解决的企业与各个之间的通信，还可以为组织机构提供一个满足跨越公共通信网络建立安全、可靠和高效的网络平台的虚拟专网。1.2 VPN 技术介绍为适应全球经济一体化的格局与发展，利用

17、 IP 协议和现有的 Internet 来建立企业的安全的专有网络，成为主要 VPN 发展趋势， VPN 网络给用户所带来的好处主要表现在以下几个方面： 1.节约成本节约成本是 VPN 网络技术的最为重要的一个优势，也是它取胜传统的专线网络的关键所在。据行业调查公司的研究报告显示拥有 VPN 的企业相比起采用传统租用专线的远程接入服务器或 Modem 池和拨号线路的企业能够节省 30%到70%的开销。2.增强的安全性目前 VPN 主要采用四项技术来保证数据通信安全，这四项技术分别是隧道技术(Tunneling )、加解密技术(Encryption3）在网络通讯源页，点击添加，选择网络目录下的内

18、部，点击下一步； 4）在网络通讯目标页，点击添加，选择网络目录下的 Branch，点击下一步； 5）在网络关系页，选择路由，然后点击下一步； 6）在正在完成新建网络规则向导页，点击完成；如图 5-3 所示。图 5-3 总部网络规则图3、在总部上建立此远程站点的访问规则 现在，我们需要为远程站点和内部网络间的互访建立访问规则，1）右键点击防火墙策略，选择新建，点击访问规则； 2）在欢迎使用新建访问规则向导页，输入规则名称，在此命名为 main to branch，点击下一步； 3）在规则操作页，选择允许，点击下一步； 4）在协议页，选择所选的协议，然后添加 HTTP 和 Ping，(这里可以再根

19、据实际需要添加协议)点击下一步； 5）在访问规则源页，点击添加，选择网络目录下的 Branch 和内部，点击下一步； 6）在访问规则目标页，点击添加，选择网络目录下的 Branch 和内部，点击下一步；7）在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成； 8）最后，点击应用以保存修改和更新防火墙设置。 此时在警报里面有提示，需要重启 ISA 服务器，所以我们需要重启 ISA 计算机。如图 5-4 所示。第 22 页（共 34 页）图 5-4 总部访问控制图4、在总部上为远程站点的拨入建立用户 1）在重启总部 ISA 服务器后，以管理员身份登录，2）在我的电脑

20、上点击右键，选择管理，选择在本地用户和组里面，右击用户，选择新用户，这个 VPN 拨入用户的名字一定要和远程站点的名字一致，在此是 main，输入密码 main，选中用户不能修改密码和密码永不过期，取消勾选用户必须在下次登录时修改密码，点击创建； 3）击此用户，选择属性；在用户属性的拨入标签，选择允许访问，点击确定。如图 5-5图 5-5 总部用户创建图此时，远程客户端拨入总部的用户账号就建好了。5.1.2 支部 ISA VPN 配置1、在支部 ISA 服务器上添加远程站点1）打开 ISA Server 2004 控制台，点击虚拟专用网络，点击右边任务面板中的添加远程站点网络；第 23 页（共

21、 34 页）2）在欢迎使用网络创建向导页，输入远程站点的名字 Main，点击下一步； 3）在 VPN 协议页，选择 IPSec 上的第二层隧道协议（L2TP） ，点击下一步； 4）在远程站点网关页，输入远程 VPN 服务器的名称或 IP 地址，如果输入名称，需确保可以正确解析，在这里输入 192.168.1.1，点击下一步； 5）在远程身份验证页，输入用户名 main，输入密码 main，点击下一步继续；6）在网络地址页，点击添加输入与此网卡关联的 IP 地址范围，在此输入192.168.3.0 和 192.168.3.255，点击确定后，点击下一步继续； 7）在正在完成新建网络向导页，点击完

22、成。 如图 5-6图 5-6 支部建立的远程站点图2、建立此远程站点的网络规则 接下来，我们需要建立一条网络规则，为远程站点和内部网络间的访问定义路由关系。1）右击配置下的网络，然后点击新建，选择网络规则；2）在新建网络规则向导页，输入规则名字，在此我命名为内部-Main，点击下一步；3）在网络通讯源页，点击添加，选择网络目录下的内部，点击下一步；4）在网络通讯目标页，点击添加，选择网络目录下的 Main，点击下一步；5）在网络关系页，选择路由，然后点击下一步；6）在正在完成新建网络规则向导页，点击完成；如图 5-7图 5-7 支部的网络规则图3、建立此远程站点的访问规则 在创建完远程站点和远

23、程站点的网络规则之后，我们需要为远程站点和内部网络间的互访建立访问规则，1）右击防火墙策略，选择新建，点击访问规则；第 24 页（共 34 页）2）在欢迎使用新建访问规则向导页，输入规则名称，在此我命名为 branch to main ，点击下一步；3）在规则操作页，选择允许，点击下一步；4）在协议页，选择所选的协议，然后添加 HTTP 和 Ping，点击下一步；5）在访问规则源页，点击添加，选择网络目录下的 Main 和内部，点击下一步；6）在访问规则目标页，点击添加，选择网络目录下的 Main 和内部，点击下一步；7）在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页

24、，点击完成；8）最后，点击应用以保存修改和更新防火墙设置。如图 5-8图 5-8 支部的访问控制图此时在警报里面有提示，需要重启 ISA 服务器，所以，我们需要重启支部ISA 计算机。5.1.3 VPN 连接在支部的路由和远程访问控制台中，展开服务器，1）点击网络接口，这时就会出现我们创建的 main 网络拨号接口，右键点击属性，在安全页选择高级设置下的 IPSec 设置，在使用预共享的密钥作身份验证（U）的选框里打勾，并输入密钥 main04jsja, 点击两次确定，完成密钥设置。2）右键点击设置凭据，在接口凭据页，输入此接口连接到远程路由器使用的凭据，因为在远程 ISA 端我们设置为 ma

25、in 所以这里输入的用户密码为main，点击确定。如图 5-9第 25 页（共 34 页）图 5-9 连接验证图3）右键 main 点击连接 如图 5-10图 5-10 正在进行连接示意图如图 5-11图 5-11 已连接上示意图到此为止站点到站点的 VPN 已经构建好了，在上面的设置中，远程的支部不允许总部进行访问，如果要设成可以互相访问，支部的配置只要参照总部的配置就可以实现了。5.1.4 连接测试我们之前在静态地址池里设置了 VPN 连接后分配的 IP 地址，因此测试是否连接时只要查支部主机的 IP 地址就可以了，在测试的结果中，出现了210.34.212.2 这个 VPN 分配的 IP

26、 地址，说明 VPN 已成功连接上总部的 ISA VPN服务器。如图 5-12第 26 页（共 34 页）图 5-12 支部主机 VPN 连接后的 ipconfig 图在支部的主机上 ping 总部内部的某一主机，如下所示，虽然第一次连接时间超时，没有回应，但是接下来的三个连接都可以 ping 通，说明 VPN 已经成功连接，并可以访问到总部内网的其他主机。如图 5-13第 27 页（共 34 页）图 5-13 支部 PING 通总部内部网络图5.2 公司总部站点到移动用户端的 VPN 配置总部外部网络： IP：192.168.1.1DG：192.168.1.1内部网络： IP：172.16.

27、192.167DG：None 移动用户IP：192.168.1.3在总部和移动用户之间建立一个基于 IPSec 的 VPN 连接，具体步骤如下： 1)在总部 ISA 服务器上建立网络规则 第 28 页（共 34 页）2)建立此远程站点的访问规则； 3)在总部为远程站点的拨入建立用户；4)在客户端建立拨号连接5)测试 VPN 连接； 5.2.1 总部 ISA VPN 配置1、创建远程访问移动客户端1)打开 ISA Server 2004 控制台，点击虚拟专用网络，点击右边任务面板中常规 VPN 配置中的选择访问网络2）在虚拟专用网络（VPN）属性页 选择访问网络,选中外部和所有网络（和本地主机）

28、3）选择地址分配页，这里需要在静态地址池里面添加分给 VPN 拨入用户的 IP地址，因为在站点对站点的设置里已经配置过，所以这里直接点确定点击确定；4）点击 VPN 客户端任务里的配置 VPN 客户端访问选项，点击启用 VPN 客户端访问，设置允许的最大 VPN 客户端数量 20。5）点击协议选项，选择启用 PPTP（N）和启用 L2TP/IPSEC（E）点击确定。2、创建移动客户端的访问规则现在，我们需要为远程站点和内部网络间的互访建立访问规则，1）右键点击防火墙策略，在任务面板上选择创建新的访问规则；2）在欢迎使用新建访问规则向导页，输入规则名称 Allow move VPN，点击下一步；

29、3）在 规则操作页，选择允许，点击下一步；4）在协议页，选择所选的协议，然后添加 HTTP 和 PING，点击下一步；5）在访问规则源页，点击添加，选择网络目录下的外部，点击下一步；6）在访问规则目标页，点击添加，选择网络集目录下的所有网络（和本地主机） ，点击下一步；7）在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成；8）最后，点击应用以保存修改和更新防火墙设置。如图 5-14图 5-14 总部移动用户访问控制图第 29 页（共 34 页）3、在总部上为移动用户创建拨入建立帐号1）在重启总部 ISA 服务器后，以管理员身份登录，2)在我的电脑上点击右键，选

30、择管理，选择在本地用户和组里面，右击用户，选择新用户，输入用户名 movevpn，输入密码 movevpn，选择用户必须在下次登录时修改密码，点击创建； 3)右击此用户，选择属性；在用户属性的拨入标签，选择允许访问，点击确定。如图 5-15图 5-15 总部移动用户创建图5.2.2 移动用户端 VPN 配置1、VPN 客户端的配置1)点击 开始-所有程序-附件-通讯-新建连接向导2)在新建连接向导页，点击下一步3)在网络连接类型页，选择连接到我的工作场所的网络点击下一步4)在网络连接页，选择虚拟专用网连接点击下一步5)在连接名页面，输入连接的名称，如“XMUT” ，点击下一步6)在公用网络页，选择不拨初始连接，点击下一步7)在 VPN 服务器选择页，输入主机名或 IP 地址 192.168.1.1, 点击下一步8)在可用连接页，根据需要进行选择，然后单击下一步按钮继续。 9)在完成网络连接向导页，勾选中在我的桌面添加快捷方式复选框，然后单击完成按钮。2、设置 XUMT 的连接属性右键 XMUT 连接，点击属性，在安全页选择高级设置下的 IPSEC 设置，在使用预共享的密钥作身份验证（U）的选框里打勾，并输入密钥 main04jsja, 点击两次确定。到此为止，站点对站点的 VPN 和站点对客户端的 VPN 已经都建立好了，具体的访问控制和网络规则都可以随实际的应用而更改。