1、基于 WINDOWS 的虚拟专用网构建摘 要:虚拟专用网系统可以跨越公用网络创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性及可靠性。虚拟专用网技术实现远程计算机用户同企业内部网络用户之间的安全连接并确保数据的安全传输,因此,基于 WINDOWS 系统的虚拟专用网构建是十分可行。 关键词:虚拟专用网;安全访问;网络安全 中图分类号: TN711 文献标识码: A 文章编号: 基于 Windows 的虚拟专用网技术简称 VPN 技术,可以实现远程计算机用户同企业内部网络用户之间的安全连接,并确保数据的安全传输。而且能够大大的节省购买网络设备的巨额资金,基于 Win
2、dows 的 VPN 可以跨专用网络或公用网络创建安全的点对点连接,极大地降低了企业用户的费用,而且提供了很强的安全性和可用性。虚拟专用网中采用了一些网络安全机制,这些网络安全技术能够确保各种数据在公用网络中传输时不被非法用户获取,即便被窃取也无法读取数据包中的有效信息。 一、路由环境的构建 Windows 路由环境是虚拟专用网技术实现的基础,通过将路由和远程访问配置为充当远程访问服务器,可以将企业的远程工作人员或流动工作人员连接到企业内部网络上,远程用户可以像其计算机物理连接到企业内部网络上一样进行资源共享和数据交换。虽然现在很多企业网络组建都采用了 VPN 技术,但是基本上是基于网络硬件设
3、备的,比如锐捷硬件 VPN、路由器等,而利用内置的 RRAS 组建 VPN 网络价格低廉、管理方便、性能良好,而且容易维护。 利用路由和远程访问连接的用户可以使用企业内网的所有服务,其中包括文件服务的共享、企业打印机共享、企业 Web 服务的访问和邮件服务及数据库服务的访问。例如,在运行路由和远程访问的服务器上,客户端可以使用资源管理器来建立驱动器连接和连接到打印机。由于远程访问完全支持驱动器号和统一资源定位器名称,因此连接到企业内网的外部用户的大多数应用程序不必进行修改即可直接使用。路由环境是通过 RRAS 来实现,它是默认组件,其初始状态为停用,因此在构建 RRAS之前必须将其激活,只有在
4、管理控制台中服务器上的箭头变为绿色的向上箭头,才表明此服务已经被激活。 二、证书服务的构建 路由和远程访问服务系统安装方法和其它系统有所不同,它作为一项角色服务包含在网络策略和访问服务角色中。而网络策略和访问服务提供网络策略服务器、路由与远程访问、健康注册颁发机构和主机凭据授权协议,这些都有助于企业网络的可靠和安全。 证书服务为安全套接字层隧道协议 VPN 访问提供了安全证书,在服务器管理器中,在角色中进行添加角色的配置,并在添加角色向导中进行证书服务的安装, 在选择角色服务窗口中,选择证书颁发机构以及证书颁发机构 WEB 注册两项,同时,在选择企业内部证书颁发机构 WEB 注册后弹出的窗口中
5、,进行添加必要的企业内部角色服务,在指定安装类型窗口中,进企业项的安装,在为 CA 配置加密以及配置 CA 名称两个界面,设置加密方式安全散列算法,以及密钥长度完成角色及角色服务安装,因为 SHA 数字签名等密码学应用中重要的工具,被广泛地应用于企业内部电子商务等信息安全领域。SHA 是公认的安全加密算法,较之 MD5更为安全,至此,在 Windows 下的证书服务安装完成。 三、虚拟专用网服务端构建 VPN 始终是通过公用网络在 VPN 客户端与服务器之间建立的逻辑连接。为了确保隐私安全,必须对通过该连接发送的数据进行加密。RRAS 中的安全信息包括身份验证方法和记帐提供程序。身份验证方法包
6、括默认的身份验证和 RADIUS 身份验证,服务器通过一系列的验证方法对远程系统进行身份验证。 在企业环境中,为了能访问内部网络的证书吊销列表,证书吊销列表是被 CA 所签署的,可以使用与签发证书相同的私钥,也可以使用专门的签发私钥。它需要通过一个企业内部防火墙来发布,此时不但要配置基于 SSTP 的 VPN 服务器成为一台 NAT 服务器,还要通过 NAT 来发布,而NAT 的功能就是起到转发此流量至内部网络的活动目录证书服务器上,通过在服务器管理器中添加网络策略与访问服务角色,并添加相应的路由和远程访问服务角色,确保具有远程访问服务和路由的两项功能。 在企业网络远程访问过程中,网络设备是建
7、立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,例如对 WAN 微型端口的数量的更改。在 WAN 微型端口中,远程访问连接仅入站是为企业用户启用远程访问,请求拨号路由选择连接入站和出站是为企业用户启用请求拨号路由。 (1)添加服务器角色 添加服务器角色主要在企业环境中,为了能访问内部网络的CRL,CRL 需要通过一个防火墙来发布,此时不但要配置基于 SSTP 的 VPN服务器成为一台 NAT 服务器,还要通过 NAT 来发布,而 NAT 的功能就是起到转发此流量至内部网络的活动目录证书
8、服务器上,具体实施过程如下: 在服务器管理器中添加网络策略与访问服务角色,并添加相应的路由和远程访问服务角色,确保具有远程访问服务和路由的两项功能。 (2)配置虚拟专用网和网络地址转换 配置虚拟专用网和网络地址转换主要在路由和远程访问服务欢迎向导中设置虚拟专用网络和 NAT,给 VPN 连接的外网接口设置可分配的 IP地址范围,为 VPN 客户端提供有效的 IP 地址,再进行必要的 RADIUS 服务器的配置至完成 VPN 服务器的完全安装。 四、虚拟专用网客户端构建 虚拟专用网络客户端能使用点对点隧道协议、第二层隧道协议和 IP安全协议来创建一个通往 VPN 服务器的安全隧道。通过这种方法,
9、客户端就变成了专用网络上的一个远程节点。PPTP 是一种常用的 VPN 协议,它使用增强加密方式,因此非常安全,而且易于进行配置和维护。在纯环境和混合环境中,基于 PPTP 的 VPN 客户端部署方便,而且可以通过使用远程访问策略的规则进行 PPTP 连接的允许或拒绝,使远程客户机能够在规定的时间访问公司局域网,并且可以实现各种安全的身份验证方式和加密方式。 VPN 服务器创建成功后,就要解决 VPN 客户端的安全连接问题。安全连接问题是虚拟专用网的最重要的问题,在企业网络远程访问过程中,网络设备是建立点到点连接所使用端口的硬件或软件,而端口是用来支持单个点对点连接的设备的信道,在路由和远程访
10、问管理控制台中可以监视和管理各种端口,而且可以更改各端口的配置,在 WAN 微型端口中,远程访问连接仅入站是为企业用户启用远程访问,请求拨号路由选择连接入站和出站是为企业用户启用请求拨号路由。企业远程访问服务器同时也具备域控制器的功能,它是通过用户和计算机来管理和连接企业远程客户的,拨入属性可以允许或禁止远程企业用户连接到企业内部服务器上。 在客户端建立一个基于 VPN 的 WAN 微型端口连接后,就可以通过此连接自动获取一个 VPN 务器上分配的 IP 地址,从而实现客户端与企业内部网络构成同一个局域网。当远程客户端通过 VPN 连接自动获取到一个和企业内网同一网段的 IP 地址后,就可以像在公司内部一样安全、方便、快速、高效地与企业内部网交换机密的商务信息,从而实现企业网络用户跨因特网的安全、可靠的访问。 五、结论 虚拟专用网 VPN 技术提供了一种网络安全访问机制,将数据包封装在安全套接字层中,从而使 PPP 支持更加安全的身份验证方法,因此,虚拟专用网技术能够确保各种数据在公用网络中传输时不被非法用户获取,即便被窃取也无法读取数据包中的有效信息。 参考文献: 1刘伟琴.第二层 VPN 体系结构.北京:人民邮电出版社,2006.
