基于網御防火墻的遠程訪問VPN實驗教學

唐海濤, 張立明

(吉林大學 計算機科學與技術學院, 吉林 長春　130012)

?

基于網御防火墻的遠程訪問VPN實驗教學

唐海濤, 張立明

(吉林大學 計算機科學與技術學院, 吉林 長春130012)

為滿足網絡用戶對信息安全設備和安全產品越來越高的要求,吉林大學計算機科學與技術學院與聯想網御科技有限公司合作,引進了UTM、防病毒網關、入侵防護IPS、防火墻、VPN、入侵檢測IDS等6臺設備,搭建了網御防火墻實驗平臺。介紹了遠程訪問VPN實驗的網絡拓撲結構和實驗過程。該平臺為信息安全專業的碩士研究生提供了硬件實驗環境,培養出適應市場需要的高質量創新人才。

信息安全； 防火墻； 遠程訪問；VPN；IDS

互聯網在社會生活的各個方面越來越普及,并成為推動社會發展的主要動力之一。對個人用戶來說,互聯網使人們的生活變得更加便捷和高效；而對于企業而言,傳統的營銷方式及內部管理機制也被互聯網所改變。然而,網絡安全問題已十分嚴峻[1-2]。黑客程序、木馬、病毒已經結合起來進行網絡入侵式攻擊,嚴重威脅了網絡信息的安全性,確保網絡安全變得越來越重要[3-5]。為提高學生在網絡信息安全方面的實踐動手能力,國內高校陸續開展網絡安全方面的實驗教學課程建設[6-9]。吉林大學計算機學院開設了網絡信息安全實驗課程[10]和網御防火墻下虛擬專用網絡(virtualprivatenetwork,VPN)實驗課程,以提高學生在硬件網絡防火墻下遠程訪問VPN方面的實踐動手能力。

1　影響網絡安全的主要因素

利用互聯網進行犯罪活動所造成的經濟損失令人震驚[11-12]。僅以信息化較發達的美國為例,每年因網絡入侵犯罪造成的直接經濟損失就高達100億美元。在全球范圍內,平均每隔20秒就會發生一起網絡入侵事件。近幾年,我國國內利用互聯網進行違法犯罪的案件增加較快。來自公安部的統計資料顯示,我國每年破獲電腦黑客網絡入侵犯罪案件數百起。黑客攻擊方法與計算機病毒很相似,網絡入侵方法一直在增加,現在已經達到近千種。

從網絡入侵技術的角度來分析,影響網絡安全的主要因素有以下幾點。

(1) 黑客的攻擊。如今,黑客的網絡入侵技術已不再是一種高深莫測的技術,越來越多的人開始學習網絡入侵技術。目前,全世界約有20多萬個免費或是開源的黑客網站。這些黑客網站都針對系統的漏洞,向網絡黑客介紹網絡入侵攻擊的方法以及各種各樣網絡入侵攻擊軟件,這就使信息用戶系統和網絡站點遭受攻擊的風險大大增加。網絡黑客的攻擊具有隱蔽性較好、殺傷力強的特點,而現在還缺乏針對網絡入侵攻擊犯罪的有效的破獲方法,使得黑客攻擊成為網絡信息安全的主要威脅。

(2) 網絡的缺陷。因特網設計的初衷主要是對網絡上信息的共享和開放,這也構成了影響信息化安全性的主要因素之一。因特網的TCP/IP信息傳輸協議在設計時主要考慮的是網絡上信息的傳輸不會因局部故障而受影響,基本忽略了信息轉輸過程中的安全性問題,因而使得互聯網在信息化安全性防護方面較差。互聯網傳輸協議在控制非法鏈接和辨別用戶身份真偽等方面有很大的缺陷,也因此為網絡入侵留下了“后門”,對網絡的安全性危害較大。

(3) 軟件及系統的漏洞。隨著信息化的高速發展,網絡軟件及系統的規模也在不斷增大,其中的安全漏洞問題不可避免地增多。用戶常用的操作系統和網絡軟件,例如Windows、Unix和Linux,幾乎都不同程度地存在安全漏洞問題。同時,各種操作系統上運行的瀏覽器、桌面軟件等也都被發現存在或多或少的安全漏洞問題。任何一款操作系統或軟件都不可避免地存在漏洞問題,這大多數是因為程序員在設計軟件時的疏忽或設計缺陷造成的,這也對網絡信息的安全性構成了威脅。

2　基于網御防火墻的VPN

為避免因網絡軟件缺陷或系統漏洞而遭受黑客的入侵式攻擊,網絡信息安全的門戶防火墻技術應運而生。基于此技術的典型代表是PowerV網御防火墻[13]硬件平臺,其主要由安全網關設備、專用的操作系統、防火墻安全軟件組成。根據用戶使用操作系統環境的不同,防火墻硬件平臺會選取相應的專用安全平臺。一方面,會對不同用戶的專用操作系統為其自主研發嵌入式安全性操作系統。另一方面,防火墻中的安全應用軟件層主要是基于分層模塊化技術進行設計的,可依據不同的操作系統和不同環境下的安全策略自動配置不同的安全性功能模塊。

防火墻的功能主要是阻斷作用,用來防止私有網絡的外部用戶的非法入侵。而VPN功能是建立一條虛擬專用網絡,使外部用戶利用這條加密后的網絡訪問內部的私有網絡,即在防火墻技術或其他安全防護技術手段下,在內部私有網絡和外部公共網絡用戶間建立的一條專用鏈接,通過這條專用鏈接,外網公共用戶可在授權的情況下訪問內部私有網絡。

近幾年,已經出現防火墻帶有VPN功能、VPN帶有防火墻功能或集防火墻和VPN于一體的硬件產品。在對國內外各種VPN產品充分分析基礎上,聯想公司根據企業用戶需求建立了網御VPN產品[13]。此VPN系統與其他產品不同。首先,VPN系統采用的是網御VPN,使得企業用戶下面的所有子分支用戶、企業合作伙伴和移動企業用戶都能連接上互聯網。其次,VPN系統使互聯網上不同級別的企業用戶間的訪問更加便捷,不同用戶間可以像使用專線互聯一樣快捷、安全地共享和傳輸數據。網御VPN產品主要包括VPN安全網關、VPN客戶端和系統管理平臺3部分。其中,VPN安全網關主要是幫助實現用戶網絡到網絡的安全訪問；VPN客戶端則主要是幫助用戶監控遠程網絡上其他接入用戶的安全訪問；系統管理平臺可以實現高效的管理,主要是可以管理多層次、多節點的復雜型網絡。

3　遠程訪問VPN實驗教學

遠程訪問VPN實驗的目的是通過配置聯想網御安全網關PowerV(VPN),從而了解遠程主機使用PPTP和L2TP連接企業內部網絡的工作過程。

3.1實驗環境和網絡拓撲結構

遠程訪問VPN實驗的環境要求包括:(1)聯想網御安全網關PowerV(VPN)1臺,交換機1臺,網線若干；(2)計算機2臺(計算機A、計算機B),安裝WindowsXP操作系統。

實驗的網絡拓撲結構為:

(1) 計算機A的IP地址為192.168.1.70(配置主機)；

(2) 計算機B的IP地址為192.168.1.60(實驗用機)；

(3) 使用VPN的FE1口(IP地址為192.168.1.205),計算機A、計算機B的網線連接在同一臺交換機上。

3.2實驗過程

PPTP和L2TP是二層隧道的協議,為遠程主機通過VPN網關訪問企業內部網絡提供鏈路。網御安全網關可以配置為PPTP/L2TPVPN網關,遠程主機就可以通過MicrosoftWindows98/2000/XP/2003操作系統使用PPTP和L2TP連接企業內部網絡。

連接好網絡拓撲后,使用Web方式訪問VPN,網址是https://192.168.1.205:8889。打開該網址,按提示加載證書,輸入用戶名和密碼administrator,如圖1所示。登錄成功后,配置添加一個遠程撥號用戶,然后再配置PPTP/L2TP參數,如圖2所示。

圖1　登錄后界面

圖2　PPTP/L2TP參數配置界面

3.3客戶端配置

Windows缺省將L2TP和IPSec捆綁使用,但Windows2000/XP配置使用IPSec非常復雜，而且各不相同。為了簡化配置,需要修改注冊表,將L2TP和IPSec拆分:在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters下添加DWORD項:ProhibitIpSec,修改其值為1(見圖3)。

圖3　注冊表配置界面

在Windows的網絡與撥號連接中新建網絡連接,選擇“連接到專用網絡”,然后輸入PPTP/L2TPVPN網關的地址,完成了一個VPN遠程訪問鏈接的創建。接下來驗證鏈接是否正常工作(見圖4)。

圖4　監控顯示VPN連接成功

在該實驗中,在對PPTP(點對點隧道協議)建立VPN有了初步的了解之后,可以對VPN進行一些基本的設置,通過該協議可以使遠程主機安全訪問公司網絡。

4　結語

吉林大學計算機科學與技術學院在網絡信息安全的實驗教學中,針對網絡攻擊和網絡入侵形式的多樣化問題,引進網御防火墻PowerV,通過搭建網絡與信息安全實驗平臺,為信息安全專業的實驗教學提供了基于硬件防火墻的VPN實驗,提高了學生的實踐動手能力。

References)

[1] 諸葛建偉.安全技術體系:網絡攻防技術與實踐[M].北京:電子工業出版社,2011.

[2] 張衛東,李暉,尹鈺.網絡安全實驗教學方法的研究[J].實驗室研究與探索,2007,26(12):286-289.

[3] 李玲俐.網絡信息安全實踐教學體系研究與探索[J].實驗科學與技術,2015,13(2):86-88.

[4]GoncalvesM.防火墻技術指南[M].宋書民,譯.北京:機械工業出版社,2000.

[5] 劉曉輝.網管天下:交換機-路由器-防火墻[M].北京:電子工業出版社,2011.

[6] 萬偉.基于NDIS中間層驅動的DDoS防火墻的設計[J].實驗科學與技術,2015,13(2):32-35.

[7] 張建忠.淺談建立防火墻的主動性網絡安全防護[J].實驗室科學,2007,10(3):105-107.

[8] 吳海兵,劉萍,黎明曦,等.涉密環境下的實驗教學網絡安全研究[J].實驗室研究與探索,2013,32(1):188-191.

[9] 李冬冬,毛明.網絡安全實驗演示系統的設計與實現[J].實驗技術與管理,2008,25(3):47-51.

[10] 唐海濤,孟繁二,孫聰,等.網絡與信息安全實驗教學平臺的構建[J].實驗技術與管理,2010,27(9):118-120.

[11] 程慶梅,徐雪鵬.防火墻系統實訓教程[M].北京:機械工業出版社,2012.

[12]TibbsR,OakesE.防火墻與VPN:原理與實踐[M].李展,邢博特,譯.北京:清華大學出版社,2008.

[13] 聯想公司.網絡安全防護系列[EB/OL].[2015-12-26].http://www.leadsec.com.cn.

ExperimentalteachingofremoteaccessVPNbasedonnetimperialfirewall

TangHaitao,ZhangLiming

(CollegeofComputerScienceandTechnology,JilinUniversity,Changchun130012,China)

Withtherapiddevelopmentofinformationtechnology,theinformationsecurityhasbecomeincreasinglywidespreadcontentusersofsafetyequipmentandsafetyproductsputforwardincreasinglyhighrequirementstoComputerScienceandTechnologyofJilinUniversity,incollaborationwithLeadSecTechnologyCo.,Ltd.TheintroductionofaUTM,gatewayanti-virus,intrusionpreventionIPS,firewall,VPN,intrusiondetectionIDSsixdevicesRoyalnetworkfirewallbuiltexperimentalplatform.Informationsecurityprofessionalgraduates’experimentalenvironmentprovideshardwareandpracticalability.Cultivatinghighqualityinnovativetalentscanmeetmarketneeds.

informationsecurity;firewall;remoteaccess;VPN;IDS

DOI:10.16791/j.cnki.sjg.2016.07.036

2016-01-06修改日期：2016-05-24

國家自然科學基金項目(61472159,61402196,61272208)；吉林省科技發展計劃基金項目(20140520067JH);中國博士后科學基金項目(2013M541302)

唐海濤(1972—),男,吉林長春,碩士,工程師,主要從事網絡安全方面實驗教學

張立明(1980—),男,吉林長春,博士,高級工程師,主要從事網絡安全和故障診斷研究.

G482

B

1002-4956(2016)7-0149-03