網(wǎng)絡(luò)安全畢業(yè)論文設(shè)計

1、呼倫貝爾學(xué)院計算機科學(xué)與技術(shù)學(xué)院本科生畢業(yè)論文(設(shè)計)題 目： 學(xué)生姓名： 學(xué) 號： 專業(yè)班級： 指導(dǎo)教師： 完成時間： 目錄摘要3abstract4第1章 網(wǎng)絡(luò)安全概述51.1 網(wǎng)絡(luò)安全的現(xiàn)狀51.2 vpn技術(shù)介紹61.3 課題背景71.4 研究目標(biāo)7第2章 vpn技術(shù)及其應(yīng)用82.1 vpn概念82.2 vpn技術(shù)的工作原理82.3 vpn技術(shù)的應(yīng)用領(lǐng)域92.3.1 遠(yuǎn)程訪問102.3.2 組建內(nèi)聯(lián)網(wǎng)102.3.3 組建外聯(lián)網(wǎng)10第3章 vpn技術(shù)與相關(guān)協(xié)議113.1 pptp協(xié)議與l2tp協(xié)議113.1.1 pptp協(xié)議113.1.2 l2tp協(xié)議113.2 ipsec協(xié)議113.2.

2、1 設(shè)計ipsec的目的123.2.2 ipsec的組成部分123.3 esp機制133.3.1 esp封裝技術(shù)的隧道模式133.3.2 esp封裝技術(shù)的傳輸模式143.4 ah機制153.4.1 ah封裝技術(shù)的隧道模式153.4.2 ah封裝技術(shù)的傳輸模式16第4章 方案設(shè)計164.1 需求分析174.2 設(shè)計方案要達到的目的184.3 vpn組建方案網(wǎng)絡(luò)拓?fù)鋱D18第5章 各部分vpn設(shè)備的配置195.1 公司總部到分支機構(gòu)的isa vpn配置195.1.1 總部isa vpn配置205.1.2 支部 isa vpn配置225.1.3 vpn連接245.1.4 連接測試255.2 公司總部站

3、點到移動用戶端的vpn配置275.2.1 總部isa vpn配置285.2.2 動用戶端vpn配置295.2.3 連接測試30總 結(jié)31參考文獻32致 謝33 摘 要隨著通信技術(shù)、微電子技術(shù)和計算機軟件技術(shù)的迅猛發(fā)展，以計算機為基礎(chǔ)的網(wǎng)絡(luò)技術(shù)在開放系統(tǒng)互連模型和tcp/ip協(xié)議簇的規(guī)約下，異型計算機之間、異構(gòu)網(wǎng)絡(luò)之間互連的技術(shù)屏障已被完全打破，尤其是網(wǎng)絡(luò)經(jīng)濟的發(fā)展，企業(yè)日益擴張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益日益增長，另一方面也越來越凸現(xiàn)出傳統(tǒng)企業(yè)網(wǎng)的功能缺陷，于是企業(yè)便對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，由此推進了信息技術(shù)的發(fā)展。如今從個人、家庭到企事業(yè)單位、政

4、府以及軍事部門都已離不開網(wǎng)絡(luò)，迅速發(fā)展的網(wǎng)絡(luò)不僅提高了工作效率還給人們帶來了越來越多的利益，但網(wǎng)絡(luò)給人們帶來了方便的同時對每個用戶的信息卻受到了嚴(yán)重的威脅。針對這一問題計算機人員研發(fā)出vpn的一種虛擬局域網(wǎng)，它的出現(xiàn)解決了安全傳輸信息的這一問題。本文首先介紹了vpn的概念、應(yīng)用前景、以及相關(guān)的技術(shù)與主要的安全協(xié)議，并通過一個小企業(yè)運用vpn的技術(shù)來構(gòu)建自己的企業(yè)網(wǎng)和外聯(lián)網(wǎng)的實例，來實現(xiàn)各個之間的信息通信，本文中包括各模塊的工作原理、實現(xiàn)的思想、實現(xiàn)的細(xì)節(jié)以及最終的測試結(jié)果等，并對在實驗中遇到的問題以及困難得到了解決。關(guān)鍵詞 vpn；加密；pptp；l2tp；ipsec abstractwith

5、 the development of communication technology, microelectronics technology and computer software technology development, computer based network technology in open system interconnect reference model and tcp / ip protocols under the stipulations between computers, special-shaped, heterogeneous network

6、 interconnection between technological barrier has been broken completely, especially the development of network economy, business expansion, customer increasing the distribution of a wide range of partners, increasing, this prompted the benefit of the enterprise is growing, but also increasingly pr

7、otruding shows the traditional enterprise network functional defects, then the enterprise to its own network construction raised taller requirement, thereby promoting the development of the information technology. now from individuals, families to enterprises, governments and military departments ha

8、ve been inseparable from the network, the rapid development of the network not only improve work efficiency to bring people more and more interests, but the internet brings people convenience to each users information has been a serious threat to. in view of the problems appeared in recent years a v

9、pn virtual local area network, it appears to solve the secure transmission of information to this problem.this paper first introduces the concept, application, prospect of vpn, and the related technology and the main security protocol, and through a small enterprises to use vpn technology to build t

10、heir own intranet and extranet examples, to realize the information communication between, experiments including the working principles of each module, realize ideas the details of the implementation, as well as the final test result, and the experiment encountered problems and difficulties have bee

11、n solved.翻譯結(jié)果重試抱歉，系統(tǒng)響應(yīng)超時，請稍后再試 支持中英、中日在線互譯 支持網(wǎng)頁翻譯，在輸入框輸入網(wǎng)頁地址即可 提供一鍵清空、復(fù)制功能、支持雙語對照查看，使您體驗更加流暢第1章 網(wǎng)絡(luò)安全概述1.1 網(wǎng)絡(luò)安全的現(xiàn)狀 網(wǎng)絡(luò)的誕生極大地方便了人們的溝通和交流，信息網(wǎng)絡(luò)更已深入到政府、軍事、企業(yè)生產(chǎn)管理等諸多領(lǐng)域,其中存儲、傳輸和處理的信息有很多是政府的重要決策、軍事秘密、企業(yè)生產(chǎn)經(jīng)營的商業(yè)信息等，然而自網(wǎng)絡(luò)誕生之日起，網(wǎng)絡(luò)安全就一直如影隨形。1988年11月20日上網(wǎng)蠕蟲病毒，至今仍然讓人們心有余悸，正是從那時刻起，internet逐漸成為病毒肆虐的溫床，濫用網(wǎng)絡(luò)技術(shù)缺陷和漏洞的網(wǎng)絡(luò)入

12、侵更讓人們防不勝防，具體的安全隱患主要表現(xiàn)為：（1）計算機系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重。（2）電腦黑客方法活動已形成重要威脅。（3）信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)。（4）信息系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。（5）傳輸信息的完整性、可用性、保密性得不到保證。 計算機網(wǎng)絡(luò)的安全與我們自己的利益息息相關(guān)，網(wǎng)絡(luò)是動態(tài)變化的，新的internet黑客站點、病毒、盜取每日劇增，所以一個安全的計算機網(wǎng)絡(luò)系統(tǒng)必須采取強有力的網(wǎng)絡(luò)安全策略，認(rèn)真研究網(wǎng)絡(luò)安全發(fā)展方向掌握最先進的技術(shù)，這樣才能保證計算機網(wǎng)絡(luò)系統(tǒng)安全、可靠地正常運行，才能把握住計算機網(wǎng)絡(luò)安全的大門。目前國內(nèi)外有以下幾種典型

13、的網(wǎng)絡(luò)安全技術(shù)：1. 防火墻系統(tǒng)防火墻系統(tǒng)能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問、外界的哪些人員可以訪問內(nèi)部的哪些服務(wù)、以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往因特網(wǎng)的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。2. 入侵檢測系統(tǒng)入侵檢測通過監(jiān)控系統(tǒng)的使用情況，來檢測系統(tǒng)用戶的越權(quán)使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。它根據(jù)用戶的歷史

14、行為，基于用戶當(dāng)前的操作，完成對攻擊的決策并一一記錄下攻擊證據(jù)，為數(shù)據(jù)恢復(fù)與事故處理提供依據(jù)。目前主要有兩類入侵檢測系統(tǒng)：基于網(wǎng)絡(luò)的和基于主機的。前者在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流，查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵，并對發(fā)現(xiàn)的入侵做出及時的響應(yīng)；后者是檢查某臺主機系統(tǒng)日志中記錄的未經(jīng)授權(quán)的可疑行為，并及時做出響應(yīng)。3. 訪問控制技術(shù) 訪問控制也是網(wǎng)絡(luò)安全防范和保護的主要技術(shù)，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟

15、：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。4. 虛擬專用網(wǎng)vpn技術(shù)vpn技術(shù)可以在遠(yuǎn)程用戶、公司分支機構(gòu)、商業(yè)合作伙伴與公司的內(nèi)部網(wǎng)之間建立可靠的安全連接，并保護數(shù)據(jù)的安全傳輸。與實際的點到點連接電路一樣，vpn系統(tǒng)可被設(shè)計成通過internet，提供安全的點到點(或端到端)的“隧道”。一個vpn至少提供如下功能： （1）數(shù)據(jù)加密。 （2）信息認(rèn)證和身份認(rèn)證。 （3）訪問權(quán)限控制。根據(jù)用戶的需求，vpn可以用多種不同的方法實現(xiàn)。通常情況下，有基于防火墻的vpn、基于路由器的vpn、基于服務(wù)器的vpn和專用的vpn設(shè)

16、備等。企業(yè)經(jīng)濟的發(fā)展是推動社會發(fā)展的主要動力，所以企業(yè)之間的商業(yè)信息的安全就變得尤為重要，上述中vpn虛擬網(wǎng)絡(luò)技術(shù)不僅解決了信息的安全傳輸還解決的企業(yè)與各個之間的通信，還可以為組織機構(gòu)提供一個滿足跨越公共通信網(wǎng)絡(luò)建立安全、可靠和高效的網(wǎng)絡(luò)平臺的虛擬專網(wǎng)。1.2 vpn技術(shù)介紹為適應(yīng)全球經(jīng)濟一體化的格局與發(fā)展，利用ip協(xié)議和現(xiàn)有的internet來建立企業(yè)的安全的專有網(wǎng)絡(luò)，成為主要vpn發(fā)展趨勢，vpn網(wǎng)絡(luò)給用戶所帶來的好處主要表現(xiàn)在以下幾個方面： 1. 節(jié)約成本節(jié)約成本是vpn網(wǎng)絡(luò)技術(shù)的最為重要的一個優(yōu)勢，也是它取勝傳統(tǒng)的專線網(wǎng)絡(luò)的關(guān)鍵所在。據(jù)行業(yè)調(diào)查公司的研究報告顯示擁有vpn的企業(yè)相比起采

17、用傳統(tǒng)租用專線的遠(yuǎn)程接入服務(wù)器或modem池和撥號線路的企業(yè)能夠節(jié)省30%到70%的開銷。2. 增強的安全性目前vpn主要采用四項技術(shù)來保證數(shù)據(jù)通信安全，這四項技術(shù)分別是隧道技術(shù)(tunneling)、加解密技術(shù)(encryption&decryption)、密鑰管理技術(shù)(key management)、身份認(rèn)證技術(shù)(authentication)。3. 網(wǎng)絡(luò)協(xié)議支持vpn支持最常用的網(wǎng)絡(luò)協(xié)議，這樣基于ip、ipx和netbeui協(xié)議網(wǎng)絡(luò)中的客戶機都可以很容易地使用vpn，這意味著通過vpn連接可以遠(yuǎn)程運行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。4. 可隨意的與合作伙伴聯(lián)網(wǎng)在過去企業(yè)如果想與合作伙伴連網(wǎng)

18、，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，這樣相當(dāng)麻煩，不便于企業(yè)自身的發(fā)展，有了vpn之后，這種協(xié)商也毫無必要，真正達到了要連就連要斷就斷，可以實現(xiàn)靈活自如的擴展和延伸。 5. 安全的ip地址，由于vpn是加密的，vpn數(shù)據(jù)包在因特網(wǎng)中傳輸時因特網(wǎng)上的用戶只看到公用的ip地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址，因此遠(yuǎn)程專用網(wǎng)絡(luò)上指定的地址是受到保護的。1.3 課題背景隨著信息時代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。有人曾這樣比喻互聯(lián)網(wǎng)，互聯(lián)網(wǎng)就像一片汪洋大海，接入互聯(lián)網(wǎng)的每個用戶就像是漂泊在這汪洋大海里的一葉孤舟，隨時都會有觸礁

19、和遭遇風(fēng)暴的危險，但網(wǎng)絡(luò)帶給人類的誘惑是無法抗拒的，vpn虛擬網(wǎng)絡(luò)的出現(xiàn)不僅解決了信息的安全傳輸還解決的企業(yè)與各個之間的通信。計算機網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴大，不論是企業(yè)內(nèi)部職能部門，還是企業(yè)外部的供應(yīng)商、分支機構(gòu)和外出人員，都需要同企業(yè)總部之間建立起一個快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信環(huán)境，計算機技術(shù)人員針對這一情況通過vpn技術(shù)為企業(yè)組建了以下三種網(wǎng)絡(luò)：（1）為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)將地域分散的分支機構(gòu)“連接在一起”提出了內(nèi)聯(lián)網(wǎng)（intranet）概念。（2）為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)與合作伙伴和有共同利益的外部內(nèi)聯(lián)網(wǎng)實現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)（extrane

20、t）概念。（3）為解決企事業(yè)單位職員出差在外，通過公共通信網(wǎng)絡(luò)共享內(nèi)聯(lián)網(wǎng)資源而提出的遠(yuǎn)程接入（remote access）概念。中小型企業(yè)如果自己購買vpn設(shè)備，財務(wù)成本會比較高，而且一般中小型企業(yè)的資金能力有限，但vpn技術(shù)最顯著的一個特點就是節(jié)約成本，這種網(wǎng)絡(luò)沒有自己所有權(quán)的網(wǎng)絡(luò)設(shè)備和通信線纜，是通過租入或臨時租用的公共通信設(shè)備設(shè)施中的某一部分供自己完成業(yè)務(wù)并保證了信息的安全性，所以發(fā)展中小型企業(yè)vpn技術(shù)是最好的選擇。1.4研究目標(biāo)在本文的實例中呼和浩特的鴻駿電子有限公司在海拉爾開辦分公司來發(fā)展業(yè)務(wù)，公司希望總部與分公司、總部與合作伙伴可以隨時的進行安全的信息溝通，而外出辦公人員可以訪問

21、到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時隨地共享商業(yè)信息提高工作效率。我們根據(jù)vpn的虛擬技術(shù)在企業(yè)與客戶、總部與分部以及外出人員之間建立了安全可靠的虛擬通道，并用運用密碼算法對數(shù)據(jù)進行加密處理來保證傳輸信息的安全性，對數(shù)據(jù)進行完整性校驗，為了保障信息在internet上傳輸?shù)陌踩?，vpn采用了隧道、認(rèn)證、存取控制、機密性、數(shù)據(jù)完整性等措施，解決了企業(yè)與客戶、總部與分部以及外出人員之間傳輸?shù)男畔⒉槐煌悼?、篡改、?fù)制。在構(gòu)建vpn虛擬局域網(wǎng)的過程中，著實遵循著方便實用、高效低成本、安全可靠等相關(guān)原則合理地規(guī)劃出網(wǎng)絡(luò)安全架構(gòu)，對企業(yè)使用isa server vpn 安全方案提供一點小的見解。第2章 vpn技術(shù)及

22、其應(yīng)用2.1 vpn概念vpn是英文virtual private network的縮寫，這里專指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用或私有網(wǎng)，可以被認(rèn)為是一種公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)。vpn的隔離特性提供了某種的通信保密性和虛擬性。雖然vpn在本質(zhì)上并不是完全獨立的網(wǎng)絡(luò)，它與真正網(wǎng)絡(luò)的差別在于vpn以隔離方式通過共享公共通信基礎(chǔ)設(shè)施，我們從通信角度將vpn定義為：“vpn是一種通信環(huán)境，在這一環(huán)境中，存取受到控制目的在于只許被確定為同一個共同體的內(nèi)部同層連接，而vpn的構(gòu)建則是通過對公共通信基礎(chǔ)設(shè)施的通信介質(zhì)進行某種邏輯分割來進行的，”同時我們從組網(wǎng)技術(shù)角度將vpn定義為：“vpn通過共享通信

23、基礎(chǔ)設(shè)施為用戶提供制定的網(wǎng)絡(luò)連接，這種定制的連接要求用戶共享相同的安全性、優(yōu)先級服務(wù)、可靠性和管理性策略，在共享的基礎(chǔ)通信設(shè)施上采用隧道技術(shù)和特殊配置技術(shù)措施，仿真點到點的連接。”vpn它不同于傳統(tǒng)的網(wǎng)絡(luò)，vpn網(wǎng)絡(luò)可以將邏輯上不能相通的網(wǎng)絡(luò)之間建立一個安全的通訊通道，使得這兩個網(wǎng)絡(luò)之間的能夠互相訪問。vpn通過對數(shù)據(jù)進行完整性校驗，運用密碼算法對數(shù)據(jù)進行加密處理來保證其安全性。為了保障信息在internet上傳輸?shù)陌踩?，vpn技術(shù)采用了隧道、認(rèn)證、存取控制、機密性、數(shù)據(jù)完整性等措施，保證信息在傳輸中不被偷看、篡改、復(fù)制。vpn可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于

24、實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。2.2 vpn技術(shù)的工作原理由于vpn體系的復(fù)雜性和融合性，vpn服務(wù)的成長速度將超越vpn產(chǎn)品，成為vpn發(fā)展的新動力。目前大部分的vpn市場份額仍由vpn產(chǎn)品銷售體現(xiàn)，在未來的若干年里，vpn服務(wù)所占的市場份額將超過vpn產(chǎn)品，這也體現(xiàn)了信息安全服務(wù)成為競爭焦點的趨勢。而vpn技術(shù)的原理是怎么樣的呢，下面簡單的介紹下。把因特網(wǎng)用作專用廣域網(wǎng)，就要克服兩個主要障礙。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如ipx和netbeui進行通信，但因特網(wǎng)只能處理ip流量。所以，vpn就需要提供一種方法，將非ip的協(xié)議

25、從一個網(wǎng)絡(luò)傳送到另一個網(wǎng)絡(luò)。其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機密信息，這顯然是一個問題。v pn克服這些障礙的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進行加密以確保安全，然后由vpn封裝成ip包的形式，通過隧道在網(wǎng)上傳輸，如圖1-1所示。 圖 1-1工作原理源網(wǎng)絡(luò)的vpn隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的vpn隧道發(fā)起器進行通信。兩者就加密方案達成一致，然后隧道發(fā)起器對包進行加密，確保安全（為了加強安全，應(yīng)采用驗證過程，以確保證方式）。最后vpn發(fā)起器將整個加密包封裝成ip包?，F(xiàn)在不管最初的

26、傳輸是何種協(xié)議，它都能在純ip因特網(wǎng)上傳輸。又因為包進行了加密，所以誰也無法讀取原始數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)這頭，vpn隧道終結(jié)器收到包后去掉ip信息，然后根據(jù)達成一致的加密方案對包進行解密，將隨后獲得的包發(fā)給遠(yuǎn)程接入服務(wù)器或本地路由器，他們在把隱藏的ipx包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。2.3 vpn技術(shù)的應(yīng)用領(lǐng)域利用vpn技術(shù)幾乎可以解決所有利用公共通信網(wǎng)絡(luò)進行通信的虛擬專用網(wǎng)絡(luò)連接的問題。歸納起來有以下幾種應(yīng)用領(lǐng)域。2.3.1 遠(yuǎn)程訪問為解決企事業(yè)單位職員出差在外，通過公共通信網(wǎng)絡(luò)共享內(nèi)聯(lián)網(wǎng)資源而提出的遠(yuǎn)程接入（remote access）概念。遠(yuǎn)程移動用戶通過vpn技術(shù)可以在任何時間、任何地點

27、采用撥號、isdn、dsl、移動ip和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的vpn設(shè)備建立起隧道或密道信，實現(xiàn)訪問連接，此時的遠(yuǎn)程用戶終端設(shè)備上必須加裝相應(yīng)的vpn軟件。推而廣之，遠(yuǎn)程用戶可與任何一臺主機或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實現(xiàn)遠(yuǎn)程vpn訪問。這種應(yīng)用類型也叫access vpn(或訪問型vpn)，這是基本的vpn應(yīng)用類型。不難證明，其他類型的vpn都是access vpn的組合、延伸和擴展。2.3.2組建內(nèi)聯(lián)網(wǎng)為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)將地域分散的分支機構(gòu)“連接在一起”提出了內(nèi)聯(lián)網(wǎng)（intranet）概念。一個組織機構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機構(gòu)網(wǎng)絡(luò)在公共通信基礎(chǔ)設(shè)施

28、上采用的隧道技術(shù)等vpn技術(shù)構(gòu)成組織機構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡(luò)，當(dāng)其將公司所有權(quán)的vpn設(shè)備配置在各個公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時，這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用vpn組建的內(nèi)聯(lián)網(wǎng)也叫intranet vpnintranet vpn是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。2.3.3組建外聯(lián)網(wǎng) 為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)與合作伙伴和有共同利益的外部內(nèi)聯(lián)網(wǎng)實現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)（extranet）概念。使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來，根據(jù)安全策略

29、、資源共享約定規(guī)則實施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機和網(wǎng)絡(luò)資源與外部特定的主機和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價值。這樣組建的外聯(lián)網(wǎng)也叫extranet vpn。extranet vpn是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。若外聯(lián)網(wǎng)vpn的連接和傳輸中使用了加密技術(shù)，必須解決其中的密碼分發(fā)、管理的一致性問題。第3章 vpn技術(shù)相關(guān)協(xié)議3.1 pptp協(xié)議與l2tp 協(xié)議3.1.1 pptp協(xié)議1996年，microsoft和ascend等在ppp 協(xié)議的基礎(chǔ)上開發(fā)了pptp ，它集成于windows nt server4.0中，windows nt

30、 workstation 和windows 9.x也提供相應(yīng)的客戶端軟件。ppp支持多種網(wǎng)絡(luò)協(xié)議，可把ip 、ipx、appletalk或netbeui的數(shù)據(jù)包封裝在ppp包中，再將整個報文封裝在pptp隧道協(xié)議包中，最后，再嵌入ip報文或幀中繼或atm中進行傳輸。pptp提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。pptp的加密方法采用microsoft點對點加密(mppe: microsoft point-to- point) 算法，可以選用較弱的40位密鑰或強度較大的128位密鑰。1996年cisco提出l2f(layer 2 forwarding)隧道協(xié)議，它也支

31、持多協(xié)議，但其主要用于cisco的路由器和撥號訪問服務(wù)器。3.1.2 l2tp 協(xié)議1997年底microsoft 和cisco公司把pptp 協(xié)議和l2f協(xié)議的優(yōu)點結(jié)合在一起，形成了l2tp協(xié)議。l2tp支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝ppp幀可以實現(xiàn)和企業(yè)原有非ip網(wǎng)的兼容。這類服務(wù)不單支持已注冊的ip地址，也支持私有的ip地址，以及ipx、x2.5等多協(xié)議傳輸。這類新型的服務(wù)為撥號用戶和isp都代來了極大的好處。因為這類服務(wù)支持已耗費了大量資金建成的傳統(tǒng)非ip網(wǎng)，或允許共同因特網(wǎng)巨大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。l2tp正是這類服務(wù)中的典型代表。l2tp將ppp分組進行隧道封裝并在不同傳輸媒體上傳輸，使用

32、ppp可靠性發(fā)送(rfc 1663)實現(xiàn)數(shù)據(jù)包的可靠發(fā)送。l2tp隧道在兩端的vpn服務(wù)器之間采用口令握手協(xié)議chap來驗證對方的身份，這使得現(xiàn)如今的異地辦公更加方便和安全。3.2 ipsec協(xié)議ipsec(ip securty)是ietf ipsec 工作組為了在ip層提供通信安全而制定的一套協(xié)議族。它包括安全協(xié)議部分和密鑰協(xié)商部分。安全協(xié)議部分定義了對通信的各種保護方；密鑰協(xié)商部分定義了如何為安全協(xié)議商保護參數(shù)以及如何對通信實體的身份進行鑒別。ipsec安全協(xié)議給出了兩種通信保護機制：封裝安全載荷（encapsuation security payload,以下簡稱esp）和鑒別頭（aut

33、hentication header，以下簡稱ah）。其中esp機制為通信提供機密性、完整性保護；ah機制為通信提供完整性保護。esp和ah機制都能為通信提供抗重放(anti-replay)攻擊。ipsec協(xié)議使用ike（internet key exchange）協(xié)議實現(xiàn)安全協(xié)議自動安全參數(shù)協(xié)商。ike協(xié)商的安全參數(shù)包括加密及鑒別密鑰、通信的保護模式（隧道或傳輸模式）、密鑰的生存期等。ike將這些安全參數(shù)構(gòu)成的安全參數(shù)背景稱為安全關(guān)聯(lián)（security association,以下簡稱sa）。ike還負(fù)責(zé)這些安全參數(shù)的刷新。3.2.1 設(shè)計ipsec的目的 以tcp/ip協(xié)議簇的設(shè)計初衷及其

34、使用環(huán)境基本未考慮互連技術(shù)造成的安全隱患和固有的漏洞，這是因為tcp/ip協(xié)議族的主要協(xié)議以及因特網(wǎng)原始主干均源于美國國防部的研究計劃和項目應(yīng)用，它運行于國防部內(nèi)部封閉的網(wǎng)絡(luò)。網(wǎng)絡(luò)內(nèi)的用戶和設(shè)備在嚴(yán)密的管理的管理制度約束和高強度的安全觀念培訓(xùn)機制下，其運行環(huán)境是安全的。美國軍方將這一技術(shù)和主干網(wǎng)移交給社會使用時，已將原始主干網(wǎng)絡(luò)分成無物理連接的兩個部分。由于tcp/ip協(xié)議簇的運行環(huán)境發(fā)生了變化，再也沒有人們想象中的那么安全。如今因特網(wǎng)中的攻擊方式層出不窮，人們因為商業(yè)的、政治的或個人目的互相偷聽、攻擊和破壞。為了抵御這些攻擊，ietf設(shè)計了ipsec 協(xié)議。ipsec 協(xié)議利用預(yù)享密鑰、數(shù)字

35、簽名或公鑰加密實現(xiàn)強的通信實體身份相互鑒別，并對通信提供基于預(yù)享密鑰的分組級源鑒別；ipsec 協(xié)議通過esp機制為通信提供機密性保護；ipsec 協(xié)議通過ah和esp機制能夠為通信提供完整性保護；ipsec 協(xié)議通過ah和esp機制能夠為通信提供抗重放攻擊。3.2.2 ipsec的組成部分 安全體系結(jié)構(gòu) espa h 加密算法鑒別算法doi 密鑰管理協(xié)議 在協(xié)議協(xié)議族里，給出了ipsec 協(xié)議體系結(jié)構(gòu)。體系結(jié)構(gòu)定義了主機和網(wǎng)關(guān)應(yīng)提供的各種保護功能。體系規(guī)定了ipsec 協(xié)議提供的兩種安全保護機制：ah和esp機制。esp機制為通信提供機密性保護和完整性保護；ah機制對通信提供完整性保護。這兩

36、種機制為ipsec協(xié)議族提供安全服務(wù)。通信雙方何時應(yīng)實現(xiàn)esp或ah保護、保護什么樣的通信、保護的強度如何以及何時應(yīng)實現(xiàn)密鑰協(xié)商等，都受到實施ipsec的安全策略的控制。ipsec協(xié)議通過安全策略的配置和實施表達用戶對通信的保護意圖，因此表示ipsec各組件的關(guān)系如圖3-1所示。 圖3-1 ipsec各組件的關(guān)系3.3 esp機制 esp機制主要是為通信提供機密性保護。依據(jù)建立安全關(guān)聯(lián)時的選擇，它也能為通信提供鑒別保護。因為esp封裝的載荷內(nèi)容不同，可將esp分為兩種模式： 隧道模式：將整個ip分組封裝到esp載荷之中。傳輸模式：將上層協(xié)議部分封裝到esp載荷之中。3.3.1 esp 封裝技術(shù)

37、的隧道模式esp機制通過將整個ip分組或上層協(xié)議部分（即傳輸層協(xié)議數(shù)據(jù)，如tcp、udp或icmp協(xié)議數(shù)據(jù))封裝到一個esp載荷中，然后對此荷載進行相應(yīng)的安全處理，如加密處理、鑒別處理等，實現(xiàn)對通信的機密性或完整性保護，對于隧道模式，有如下典型實現(xiàn)模型如圖3-2所示。安全網(wǎng)關(guān)1安全網(wǎng)關(guān)254 59espesp0 54192.168.1/24192.168.2/24主機11esp隧道主機21.圖3-2 esp隧道模式即在esp隧道的實施模型中，ipsec處理模塊安裝于

38、安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2，由它們來實現(xiàn)esp處理。位于安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2之后的子網(wǎng)被認(rèn)為是內(nèi)部可信的，因此分別稱其為網(wǎng)關(guān)1和網(wǎng)關(guān)2的保護子網(wǎng)。保護子網(wǎng)內(nèi)的通信都是以文明方式進行。但當(dāng)兩個子網(wǎng)之間的分組流經(jīng)網(wǎng)關(guān)1和網(wǎng)關(guān)2之間的公網(wǎng)時，將受到esp機制的安全保護。這種模式有如下優(yōu)點：保護子網(wǎng)中的所有用戶都可以透明地享受由安全網(wǎng)關(guān)提供的安全保護。子網(wǎng)內(nèi)部可以使用私有ip地址，無須公有ip地址資源。子網(wǎng)內(nèi)部的拓?fù)浣Y(jié)構(gòu)被保護。這種模式的缺點則為：增大了網(wǎng)關(guān)內(nèi)部的處理負(fù)荷，容易形成通信瓶頸。對內(nèi)部的諸多安全問題將不可控。3.3.2 esp 封裝技術(shù)的傳輸模式對于傳輸模式，有如下典型實現(xiàn)模型：如圖3-3所

39、示。.54 9espesp11.143.1/24163.168.2/24主機11esp隧道主機20 54圖3-3傳輸模式的esp的實現(xiàn)其中，ipsec模塊被安裝于兩端主機。主機11發(fā)送到主機21的ip分組將受到esp提供的安全保護。這種模式有如下優(yōu)點：即使內(nèi)網(wǎng)中的其他用戶，也不能理解傳輸于主機11和主機21之間的數(shù)據(jù)內(nèi)容。分擔(dān)了ipsec處理負(fù)荷，避免了ipsec處理的瓶頸問題。這種模式的缺點則為：由于每一個希望實現(xiàn)傳輸模式的主機都必須安裝并實現(xiàn)esp協(xié)議，因此不能實現(xiàn)端用

40、戶的透明服務(wù)。不能使用私有ip地址，必須使用公有地址資源。暴露了子網(wǎng)內(nèi)部拓?fù)洹?事實上，ipsec的傳輸模式和隧道模式分別類似于其它隧道協(xié)議的自愿模式和強制模式，即一個基于用戶的實施，一個是基于網(wǎng)絡(luò)的實施。3.4 ah 機制ah機制主要用于為通信提供完整性服務(wù)。ah還能為通信提供抗重放攻擊等服務(wù)。按照ah協(xié)議的規(guī)定，可以按ah封裝的協(xié)議數(shù)據(jù)不同，將ah封裝劃分為兩種模式：隧道模式和傳輸模式。3.4.1 ah 封裝技術(shù)的隧道模式如果將ah頭插入原ip分組的ip頭之前，并在ah頭之前插入新的ip頭，則稱此模型的封裝為隧道封裝；對于隧道模式，有如下典型實現(xiàn)模型：如圖3-4所示。.192.168.1.

41、154 9ahah0 5192.168.1/24192.168.2/24主機11ah隧道主機21安全網(wǎng)關(guān)2安全網(wǎng)關(guān)1 圖 3-4 隧道模式的ah實現(xiàn)即在ah隧道的實施模型中，ipsec處理模塊安裝于安全路由器1和安全路由器2，由它們來實現(xiàn)ah處理。位于安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2之后的子網(wǎng)被認(rèn)為是內(nèi)部可信的，不會發(fā)生數(shù)據(jù)篡改等攻擊行為，因此分別稱其為路由器1和2的保護子網(wǎng)。這種模式有如下優(yōu)點：子網(wǎng)內(nèi)部的各主機可以借助安全網(wǎng)關(guān)的ipsec處理，可以透明地享受安全服務(wù)。子網(wǎng)內(nèi)部可以使用私有ip地址，無

42、需申請公有地址資源。這種模式的缺點則為：ipsec主要集中在安全網(wǎng)關(guān)，增大了路由器的處理負(fù)荷，容易形成通信瓶頸。對內(nèi)部的諸多安全問題將不可控。3.4.2 ah 封裝技術(shù)的傳輸模式如將ah頭插入ip頭和路由擴展頭之后，上層協(xié)議數(shù)據(jù)的端到端擴展頭之前，則稱該模式的封裝為傳輸模式。對于傳輸模式的ah，有如下典型實現(xiàn)模型：如圖 3-5所示。54 9ahah0 5192.168.1/24192.168.2/24主機11ah隧道主機21安全網(wǎng)關(guān)2安全網(wǎng)關(guān)1.圖3-5傳輸模式的ah實

43、現(xiàn)其中，ipsec模塊被安裝于兩端主機。主機11發(fā)送到主機21的ip分組將受到ah提供的安全保護。這種模式有如下優(yōu)點：即使內(nèi)網(wǎng)中的其他用戶，也不能篡改傳輸于主機11和主機21之間的數(shù)據(jù)內(nèi)容。分擔(dān)了ipsec處理負(fù)荷，避免了ipsec處理的瓶頸問題。這種模式的缺點則為：由于每一個希望實現(xiàn)傳輸模式的主機都必須安裝并實現(xiàn)ipsec模塊，因此不能實現(xiàn)端用戶的透明服務(wù)。不能使用私有ip地址，必須使用公有地址資源。第4章 方案設(shè)計vpn的具體實現(xiàn)方案有很多，實際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀下來具體實施。本文中就以一個中小型企業(yè)為例，在實際環(huán)境中建立一個基于isa的企業(yè)vpn網(wǎng)絡(luò)以滿足企業(yè)與客戶、總

44、部與分部以及公司與外出人員之間的訪問要求。4.1 需求分析隨著公司的發(fā)展壯大，呼和浩特鴻駿電子有限公司在海拉爾開辦了分公司來進一步發(fā)展業(yè)務(wù)，公司希望總部和分公司、總部與合作伙伴可以隨時的進行安全的信息溝通，而外出辦公人員可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時隨地共享商業(yè)信息，提高工作效率。一些大型跨國公司解決這個問題的方法，就是在各個公司之間租用運營商的專用線路。這個辦法雖然能解決問題，但是費用昂貴，對于中小企業(yè)來說是無法負(fù)擔(dān)的，而vpn技術(shù)最大的優(yōu)點就是節(jié)約成本，所以用vpn技術(shù)就解決了這個問題。根據(jù)該公司用戶的需求，遵循著方便實用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用isa s

45、erver vpn安全方案，以isa作為網(wǎng)絡(luò)訪問的安全控制。isa server集成了windows server vpn服務(wù)，提供一個完善的防火墻和vpn解決方案。以isa vpn作為連接internet的安全網(wǎng)關(guān)，并使用雙網(wǎng)卡，隔開內(nèi)外網(wǎng)，增加網(wǎng)絡(luò)安全性。isa具備了基于策略的安全性，并且能夠加速和管理對internet的訪問。防火墻能對數(shù)據(jù)包層、鏈路層和應(yīng)用層進行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進行狀態(tài)檢查、對訪問策略進行控制并對網(wǎng)絡(luò)通信進行路由。對于各種規(guī)模的企業(yè)來說，isa server 都可以增強網(wǎng)絡(luò)安全性、貫徹一致的internet使用策略、加速internet 訪問并實現(xiàn)員工工作效

46、率最大化。方案的設(shè)計在isa中可以使用以下三種協(xié)議來建立vpn連接： ipsec隧道模式。 l2tp over ipsec模式。 pptp。下表比較了這三種協(xié)議：如表4-1所示。 表4-1 isa中三種協(xié)議對比表協(xié)議何時使用安全等級備注ipsec隧道模式連接到第三方的vpn服務(wù)器高這是唯一一種可以連接到非微軟vpn服務(wù)器的方式l2tp over ipsec連接到isa server2000、isa server 2004或者windows vpn服務(wù)器高使用rras比ipsec隧道模式更容易理解，但是要求遠(yuǎn)程vpn服務(wù)器是isa server或者windows vpn服務(wù)器。pptp連接到is

47、a server 2000、isa server 2004或者windows vpn高使用rras和l2tp具有同樣的限制但是更容易配置，因為使用ipsec加密l2tp更認(rèn)為更安全。三個站點都采用isa vpn作為安全網(wǎng)關(guān)，且l2tp over ipsec結(jié)合了l2tp 和 ipsec的優(yōu)點，所以在這里采用l2tp over ipsec作為vpn實施方案。4.2方案設(shè)計的目的（1）我們通過vpn技術(shù)可以使呼市總部和分公司之間以及呼市總部和合作伙伴之間透過vpn聯(lián)機采用ipsec協(xié)定，確保傳輸數(shù)據(jù)的安全。（2）在外出差或想要連回總部或分公司的用戶也可使用ipsec方式與企業(yè)聯(lián)網(wǎng)。（3）對總部內(nèi)網(wǎng)

48、實施上網(wǎng)的訪問控制，通過vpn設(shè)備的訪問控制策略，對訪問的pc進行嚴(yán)格的訪問控制。（4）對外網(wǎng)可以抵御黑客的入侵，起到firewall作用，具有控制和限制的安全機制和措施，具備防火墻和抗攻擊等功能。（5）部署靈活、維護方便、提供強大的管理功能，以減少系統(tǒng)的維護量以適應(yīng)大規(guī)模組網(wǎng)需要。4.3方案網(wǎng)絡(luò)拓?fù)鋱D呼和浩特鴻駿電子有限公司在海拉爾開辦了分公司來發(fā)展業(yè)務(wù)，在通信的過程中，為了保證數(shù)據(jù)的安全性總部與分支機構(gòu)、總部與合作伙伴分別通過isa vpn 安全網(wǎng)關(guān)建立vpn隧道、外出辦公人員與總部建立vpn隧道可以訪問到企業(yè)內(nèi)部關(guān)鍵數(shù)據(jù)，隨時隨地共享商業(yè)信息，提高工作效率。如圖4-2所示。圖4-2 網(wǎng)絡(luò)

49、拓?fù)鋱D第5章 各部分vpn設(shè)備的配置公司總部與分支機構(gòu)之間和公司總部與合作伙伴之間的vpn通信，都是站點對站點的方式，只是權(quán)限設(shè)置不一樣，公司總部與分支機構(gòu)要實現(xiàn)的是公司的分支機構(gòu)可以共享總部的資源，公司總部與合作伙伴要實現(xiàn)的是資源共享和互訪。兩者之間的差別是合作伙伴的vpn在接入上設(shè)置了總部可以訪問的操作。因為三個站點都采用isa vpn作為安全網(wǎng)關(guān)，所以以下站點對站點的vpn配置就以公司總部到分支機構(gòu)為例，說明在isa上實現(xiàn)vpn的具體操作。如圖5-1所示。圖5-1 實驗?zāi)M網(wǎng)絡(luò)拓?fù)鋱D 5.1公司總部到分支機構(gòu)的isa vpn配置各主機的tcp/ip為： 一、呼市總部外部網(wǎng)絡(luò)： ip： 1

50、dg：內(nèi)部網(wǎng)絡(luò)： ip：67dg：none 二、分部外部網(wǎng)絡(luò)： ip：dg：內(nèi)部網(wǎng)絡(luò)： ip:dg：none 在總部和支部之間建立一個基于ipsec的站點到站點的vpn連接，由支部向總部進行請求撥號，具體步驟如下： （1）在總部isa服務(wù)器上建立遠(yuǎn)程站點。（2）建立此遠(yuǎn)程站點的網(wǎng)絡(luò)規(guī)則。（3）建立此遠(yuǎn)程站點的訪問規(guī)則。 （4）在總部為遠(yuǎn)程站點的撥入建立用戶。（5）在支部isa服務(wù)器上建立遠(yuǎn)程站點。 （6）建立此遠(yuǎn)程站點的網(wǎng)絡(luò)規(guī)則。 （7）建立此遠(yuǎn)程站點的訪問規(guī)則。

51、 （8）測試vpn連接。如圖5-2所示。 圖 5-2總部建立的遠(yuǎn)程站點圖5.1.1總部isa vpn配置1在總部isa服務(wù)器上建立遠(yuǎn)程分支機構(gòu)站點 （1）打開isa server 2004控制臺，點擊虛擬專用網(wǎng)絡(luò)，點擊右邊任務(wù)面板中的添加遠(yuǎn)程站點網(wǎng)絡(luò)； （2）在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы?，輸入遠(yuǎn)程站點的名字branch，點擊下一步； （3）在vpn協(xié)議頁，選擇ipsec上的第二層隧道協(xié)議（l2tp），點擊下一步； （4）在遠(yuǎn)程站點網(wǎng)關(guān)頁，輸入遠(yuǎn)程vpn服務(wù)器的名稱或ip地址，如果輸入名稱，需確?？梢哉_解析，在這里輸入點擊下一步； （5）在網(wǎng)絡(luò)地址頁點擊添加輸入與此網(wǎng)卡關(guān)聯(lián)i

52、p地址范圍，在此輸入和55，點擊確定后，點擊下一步繼續(xù)； （6）在正在完成新建網(wǎng)絡(luò)向?qū)ы?，點擊完成。 （7）打開vpn客戶端，點擊配置vpn客戶端訪問，在常規(guī)頁中，選擇啟用vpn客戶端訪問，填入允許的最大vpn客戶端數(shù)量20，在協(xié)議頁，選擇啟用pptp（n）和啟用l2tp/ipsec（e）點擊確定。 （8）點擊選擇身份驗證方法，選擇microsoft加密的身份驗證版本2（ms-chapv2）（m）和允許l2tp連接自定義ipsec策略（l）,輸入預(yù)共享的密鑰main04jsja。 （9）點擊定義地址分配，在地址分配頁，選擇靜態(tài)地址池，點擊添加，添加v

53、pn連接后總部主機分配的給客戶端的ip地址段，在這里輸入-55，點擊確定完成設(shè)置。2在總部上建立此遠(yuǎn)程站點的網(wǎng)絡(luò)規(guī)則 接下來，我們需要建立一條網(wǎng)絡(luò)規(guī)則，為遠(yuǎn)程站點和內(nèi)部網(wǎng)絡(luò)間的訪問定義路由關(guān)系。1）右鍵點擊配置下的網(wǎng)絡(luò)，然后點擊新建，選擇網(wǎng)絡(luò)規(guī)則； 2）在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?，輸入?guī)則名字，在此命名為internal to branch，點擊下一步;3）在網(wǎng)絡(luò)通訊源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的內(nèi)部，點擊下一步； 4）在網(wǎng)絡(luò)通訊目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的branch，點擊下一步； 5）在網(wǎng)絡(luò)關(guān)系頁，選擇路由，然后點擊下一步； 6）在正在完成

54、新建網(wǎng)絡(luò)規(guī)則向?qū)ы摚c擊完成；如圖5-3 所示。 圖5-3 總部網(wǎng)絡(luò)規(guī)則圖3、在總部上建立此遠(yuǎn)程站點的訪問規(guī)則 現(xiàn)在，我們需要為遠(yuǎn)程站點和內(nèi)部網(wǎng)絡(luò)間的互訪建立訪問規(guī)則，1）右鍵點擊防火墻策略，選擇新建，點擊訪問規(guī)則； 2）在歡迎使用新建訪問規(guī)則向?qū)ы?，輸入?guī)則名稱，在此命名為main to branch，點擊下一步； 3）在規(guī)則操作頁，選擇允許，點擊下一步； 4）在協(xié)議頁，選擇所選的協(xié)議，然后添加http和ping，(這里可以再根據(jù)實際需要添加協(xié)議)點擊下一步； 5）在訪問規(guī)則源頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的branch和內(nèi)部，點擊下一步； 6）在訪問規(guī)則目標(biāo)頁，點擊添加，選擇網(wǎng)絡(luò)目錄下的branch和內(nèi)部，點擊下一步；7）在用戶集頁，接受默認(rèn)的所有用戶，點擊下一步；在正在完成新建訪問規(guī)則向?qū)ы摚c擊完成； 8）最后，點擊應(yīng)用以保存修改和更新防火墻設(shè)置。 此時在警報里面有提示，需要重啟isa服務(wù)器，所以我們需要重啟isa計算機。如圖5-4所示。 圖5-4 總部訪問控制圖4、在總部上為遠(yuǎn)程站點的撥入建立用戶