網(wǎng)絡安全畢業(yè)論文設計說明

.PAGE.呼倫貝爾學院計算機科學與技術學院本科生畢業(yè)論文<設計>題目：學生__學號：專業(yè)__指導完成時間：..目錄摘要3Abstract4第1章網(wǎng)絡安全概述51.1網(wǎng)絡安全的現(xiàn)狀51.2VPN技術介紹61.3課題背景71.4研究目標7第2章VPN技術及其應用82.1VPN概念82.2VPN技術的工作原理82.3VPN技術的應用領域92.3.1遠程訪問102.3.2組建內(nèi)聯(lián)網(wǎng)102.3.3組建外聯(lián)網(wǎng)10第3章VPN技術與相關協(xié)議113.1PPTP協(xié)議與L2TP協(xié)議11PPTP協(xié)議11L2TP協(xié)議113.2Ipsec協(xié)議11設計Ipsec的目的12Ipsec的組成部分123.3ESP機制13ESP封裝技術的隧道模式13ESP封裝技術的傳輸模式143.4AH機制15AH封裝技術的隧道模式15AH封裝技術的傳輸模式16第4章方案設計164.1需求分析174.2設計方案要達到的目的184.3VPN組建方案網(wǎng)絡拓撲圖18第5章各部分VPN設備的配置195.1公司總部到分支機構(gòu)的ISAVPN配置195.1.1總部ISAVPN配置205.1.2支部ISAVPN配置225.1.3VPN連接245.1.4連接測試255.2公司總部站點到移動用戶端的VPN配置27總部ISAVPN配置285.2.2動用戶端VPN配置295.2.3連接測試30總結(jié)31參考文獻32致謝33摘要隨著通信技術、微電子技術和計算機軟件技術的迅猛發(fā)展,以計算機為基礎的網(wǎng)絡技術在開放系統(tǒng)互連模型和TCP/IP協(xié)議簇的規(guī)約下,異型計算機之間、異構(gòu)網(wǎng)絡之間互連的技術屏障已被完全打破,尤其是網(wǎng)絡經(jīng)濟的發(fā)展,企業(yè)日益擴張,客戶分布日益廣泛,合作伙伴日益增多,這種情況促使了企業(yè)的效益日益增長,另一方面也越來越凸現(xiàn)出傳統(tǒng)企業(yè)網(wǎng)的功能缺陷,于是企業(yè)便對于自身的網(wǎng)絡建設提出了更高的需求,由此推進了信息技術的發(fā)展。如今從個人、家庭到企事業(yè)單位、政府以及軍事部門都已離不開網(wǎng)絡,迅速發(fā)展的網(wǎng)絡不僅提高了工作效率還給人們帶來了越來越多的利益,但網(wǎng)絡給人們帶來了方便的同時對每個用戶的信息卻受到了嚴重的威脅。針對這一問題計算機人員研發(fā)出VPN的一種虛擬局域網(wǎng),它的出現(xiàn)解決了安全傳輸信息的這一問題。本文首先介紹了VPN的概念、應用前景、以及相關的技術與主要的安全協(xié)議,并通過一個小企業(yè)運用VPN的技術來構(gòu)建自己的企業(yè)網(wǎng)和外聯(lián)網(wǎng)的實例,來實現(xiàn)各個之間的信息通信,本文中包括各模塊的工作原理、實現(xiàn)的思想、實現(xiàn)的細節(jié)以及最終的測試結(jié)果等,并對在實驗中遇到的問題以及困難得到了解決。關鍵詞VPN；加密；PPTP；L2TP；IpsecAbstractWiththedevelopmentofcommunicationtechnology,microelectronicstechnologyandcomputersoftwaretechnologydevelopment,computerbasednetworktechnologyinOpenSystemInterconnectReferenceModelandTCP/IPprotocolsunderthestipulationsbetweencomputers,special-shaped,heterogeneousnetworkinterconnectionbetweentechnologicalbarrierhasbeenbrokencompletely,especiallythedevelopmentofnetworkeconomy,businessexpansion,customerincreasingthedistributionofawiderangeofpartners,increasing,thispromptedthebenefitoftheenterpriseisgrowing,butalsoincreasinglyprotrudingshowsthetraditionalenterprisenetworkfunctionaldefects,thentheenterprisetoitsownnetworkconstructionraisedtallerrequirement,therebypromotingthedevelopmentoftheinformationtechnology.Nowfromindividuals,familiestoenterprises,governmentsandmilitarydepartmentshavebeeninseparablefromthenetwork,therapiddevelopmentofthenetworknotonlyimproveworkefficiencytobringpeoplemoreandmoreinterests,buttheInternetbringspeopleconveniencetoeachuser'sinformationhasbeenaseriousthreatto.InviewoftheproblemsappearedinrecentyearsaVpnvirtuallocalareanetwork,itappearstosolvethesecuretransmissionofinformationtothisproblem.Thispaperfirstintroducestheconcept,application,prospectofVPN,andtherelatedtechnologyandthemainsecurityprotocol,andthroughasmallenterprisestouseVPNtechnologytobuildtheirownintranetandextranetexamples,torealizetheinformationcommunicationbetween,experimentsincludingtheworkingprinciplesofeachmodule,realizeideasthedetailsoftheimplementation,aswellasthefinaltestresult,andtheexperimentencounteredproblemsanddifficultieshavebeensolved.第1章網(wǎng)絡安全概述1.1網(wǎng)絡安全的現(xiàn)狀網(wǎng)絡的誕生極大地方便了人們的溝通和交流,信息網(wǎng)絡更已深入到政府、軍事、企業(yè)生產(chǎn)管理等諸多領域,其中存儲、傳輸和處理的信息有很多是政府的重要決策、軍事秘密、企業(yè)生產(chǎn)經(jīng)營的商業(yè)信息等,然而自網(wǎng)絡誕生之日起,網(wǎng)絡安全就一直如影隨形。1988年11月〔1計算機系統(tǒng)受病毒感染和破壞的情況相當嚴重。〔2電腦黑客方法活動已形成重要威脅?！?信息基礎設施面臨網(wǎng)絡安全的挑戰(zhàn)?！?信息系統(tǒng)在預測、反應、防范和恢復能力方面存在許多薄弱環(huán)節(jié)?！?傳輸信息的完整性、可用性、保密性得不到保證。計算機網(wǎng)絡的安全與我們自己的利益息息相關,網(wǎng)絡是動態(tài)變化的,新的Internet黑客站點、病毒、盜取每日劇增,所以一個安全的計算機網(wǎng)絡系統(tǒng)必須采取強有力的網(wǎng)絡安全策略,認真研究網(wǎng)絡安全發(fā)展方向掌握最先進的技術,這樣才能保證計算機網(wǎng)絡系統(tǒng)安全、可靠地正常運行,才能把握住計算機網(wǎng)絡安全的大門。目前國內(nèi)外有以下幾種典型的網(wǎng)絡安全技術：1.防火墻系統(tǒng)防火墻系統(tǒng)能增強機構(gòu)內(nèi)部網(wǎng)絡的安全性,加強網(wǎng)絡間的訪問控制,防止外部用戶非法使用內(nèi)部網(wǎng)的資源,保護內(nèi)部網(wǎng)絡的設備不被破壞,防止內(nèi)部網(wǎng)絡的敏感數(shù)據(jù)被竊取。防火墻系統(tǒng)決定了哪些內(nèi)部服務可以被外界訪問、外界的哪些人員可以訪問內(nèi)部的哪些服務、以及哪些外部服務可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往因特網(wǎng)的信息都必須經(jīng)過防火墻,接受防火墻的檢查。防火墻必須只允許授權的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。2.入侵檢測系統(tǒng)入侵檢測通過監(jiān)控系統(tǒng)的使用情況,來檢測系統(tǒng)用戶的越權使用以及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖。它根據(jù)用戶的歷史行為,基于用戶當前的操作,完成對攻擊的決策并一一記錄下攻擊證據(jù),為數(shù)據(jù)恢復與事故處理提供依據(jù)。目前主要有兩類入侵檢測系統(tǒng)：基于網(wǎng)絡的和基于主機的。前者在連接過程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流,查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵,并對發(fā)現(xiàn)的入侵做出及時的響應；后者是檢查某臺主機系統(tǒng)日志中記錄的未經(jīng)授權的可疑行為,并及時做出響應。3.訪問控制技術訪問控制也是網(wǎng)絡安全防范和保護的主要技術,它的主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源,控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網(wǎng)絡。4.虛擬專用網(wǎng)VPN技術VPN技術可以在遠程用戶、公司分支機構(gòu)、商業(yè)合作伙伴與公司的內(nèi)部網(wǎng)之間建立可靠的安全連接,并保護數(shù)據(jù)的安全傳輸。與實際的點到點連接電路一樣,VPN系統(tǒng)可被設計成通過Internet,提供安全的點到點<或端到端>的"隧道"。一個VPN至少提供如下功能：〔1數(shù)據(jù)加密?！?信息認證和身份認證?！?訪問權限控制。根據(jù)用戶的需求,VPN可以用多種不同的方法實現(xiàn)。通常情況下,有基于防火墻的VPN、基于路由器的VPN、基于服務器的VPN和專用的VPN設備等。企業(yè)經(jīng)濟的發(fā)展是推動社會發(fā)展的主要動力,所以企業(yè)之間的商業(yè)信息的安全就變得尤為重要,上述中VPN虛擬網(wǎng)絡技術不僅解決了信息的安全傳輸還解決的企業(yè)與各個之間的通信,還可以為組織機構(gòu)提供一個滿足跨越公共通信網(wǎng)絡建立安全、可靠和高效的網(wǎng)絡平臺的虛擬專網(wǎng)。1.2VPN技術介紹為適應全球經(jīng)濟一體化的格局與發(fā)展,利用IP協(xié)議和現(xiàn)有的Internet來建立企業(yè)的安全的專有網(wǎng)絡,成為主要VPN發(fā)展趨勢,VPN網(wǎng)絡給用戶所帶來的好處主要表現(xiàn)在以下幾個方面：節(jié)約成本節(jié)約成本是VPN網(wǎng)絡技術的最為重要的一個優(yōu)勢,也是它取勝傳統(tǒng)的專線網(wǎng)絡的關鍵所在。據(jù)行業(yè)調(diào)查公司的研究報告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠程接入服務器或Modem池和撥號線路的企業(yè)能夠節(jié)省30%到70%的開銷。增強的安全性目前VPN主要采用四項技術來保證數(shù)據(jù)通信安全,這四項技術分別是隧道技術<Tunneling>、加解密技術<Encryption&Decryption>、密鑰管理技術<KeyManagement>、身份認證技術<Authentication>。網(wǎng)絡協(xié)議支持VPN支持最常用的網(wǎng)絡協(xié)議,這樣基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡中的客戶機都可以很容易地使用VPN,這意味著通過VPN連接可以遠程運行依賴于特殊網(wǎng)絡協(xié)議的應用程序。可隨意的與合作伙伴聯(lián)網(wǎng)在過去企業(yè)如果想與合作伙伴連網(wǎng),雙方的信息技術部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路,這樣相當麻煩,不便于企業(yè)自身的發(fā)展,有了VPN之后,這種協(xié)商也毫無必要,真正達到了要連就連要斷就斷,可以實現(xiàn)靈活自如的擴展和延伸。安全的IP地址,由于VPN是加密的,VPN數(shù)據(jù)包在因特網(wǎng)中傳輸時因特網(wǎng)上的用戶只看到公用的IP地址,看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡地址,因此遠程專用網(wǎng)絡上指定的地址是受到保護的。1.3課題背景隨著信息時代的來臨,企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。有人曾這樣比喻互聯(lián)網(wǎng),互聯(lián)網(wǎng)就像一片汪洋大海,接入互聯(lián)網(wǎng)的每個用戶就像是漂泊在這汪洋大海里的一葉孤舟,隨時都會有觸礁和遭遇風暴的危險,但網(wǎng)絡帶給人類的誘惑是無法抗拒的,VPN虛擬網(wǎng)絡的出現(xiàn)不僅解決了信息的安全傳輸還解決的企業(yè)與各個之間的通信。計算機網(wǎng)絡技術不斷提升,信息管理范圍不斷擴大,不論是企業(yè)內(nèi)部職能部門,還是企業(yè)外部的供應商、分支機構(gòu)和外出人員,都需要同企業(yè)總部之間建立起一個快速、安全、穩(wěn)定的網(wǎng)絡通信環(huán)境,計算機技術人員針對這一情況通過VPN技術為企業(yè)組建了以下三種網(wǎng)絡：〔1為解決企事業(yè)單位通過公共通信網(wǎng)絡將地域分散的分支機構(gòu)"連接在一起"提出了內(nèi)聯(lián)網(wǎng)〔intranet概念?！?為解決企事業(yè)單位通過公共通信網(wǎng)絡與合作伙伴和有共同利益的外部內(nèi)聯(lián)網(wǎng)實現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)〔Extranet概念?！?為解決企事業(yè)單位職員出差在外,通過公共通信網(wǎng)絡共享內(nèi)聯(lián)網(wǎng)資源而提出的遠程接入〔Remoteaccess概念。中小型企業(yè)如果自己購買VPN設備,財務成本會比較高,而且一般中小型企業(yè)的資金能力有限,但VPN技術最顯著的一個特點就是節(jié)約成本,這種網(wǎng)絡沒有自己所有權的網(wǎng)絡設備和通信線纜,是通過租入或臨時租用的公共通信設備設施中的某一部分供自己完成業(yè)務并保證了信息的安全性,所以發(fā)展中小型企業(yè)VPN技術是最好的選擇。1.4研究目標在本文的實例中呼和浩特的鴻駿電子在海拉爾開辦分公司來發(fā)展業(yè)務,公司希望總部與分公司、總部與合作伙伴可以隨時的進行安全的信息溝通,而外出辦公人員可以訪問到企業(yè)內(nèi)部關鍵數(shù)據(jù),隨時隨地共享商業(yè)信息提高工作效率。我們根據(jù)VPN的虛擬技術在企業(yè)與客戶、總部與分部以及外出人員之間建立了安全可靠的虛擬通道,并用運用密碼算法對數(shù)據(jù)進行加密處理來保證傳輸信息的安全性,對數(shù)據(jù)進行完整性校驗,為了保障信息在internet上傳輸?shù)陌踩?VPN采用了隧道、認證、存取控制、機密性、數(shù)據(jù)完整性等措施,解決了企業(yè)與客戶、總部與分部以及外出人員之間傳輸?shù)男畔⒉槐煌悼础⒋鄹?、復制。在?gòu)建VPN虛擬局域網(wǎng)的過程中,著實遵循著方便實用、高效低成本、安全可靠等相關原則合理地規(guī)劃出網(wǎng)絡安全架構(gòu),對企業(yè)使用ISAServerVPN安全方案提供一點小的見解。第2章VPN技術及其應用2.1VPN概念VPN是英文virtualprivatenetwork的縮寫,這里專指在公共通信基礎設施上構(gòu)建的虛擬專用或私有網(wǎng),可以被認為是一種公共網(wǎng)絡中隔離出來的網(wǎng)絡。VPN的隔離特性提供了某種的通信保密性和虛擬性。雖然VPN在本質(zhì)上并不是完全獨立的網(wǎng)絡,它與真正網(wǎng)絡的差別在于VPN以隔離方式通過共享公共通信基礎設施,我們從通信角度將VPN定義為："VPN是一種通信環(huán)境,在這一環(huán)境中,存取受到控制目的在于只許被確定為同一個共同體的內(nèi)部同層連接,而VPN的構(gòu)建則是通過對公共通信基礎設施的通信介質(zhì)進行某種邏輯分割來進行的,"同時我們從組網(wǎng)技術角度將VPN定義為："VPN通過共享通信基礎設施為用戶提供制定的網(wǎng)絡連接,這種定制的連接要求用戶共享相同的安全性、優(yōu)先級服務、可靠性和管理性策略,在共享的基礎通信設施上采用隧道技術和特殊配置技術措施,仿真點到點的連接。"VPN它不同于傳統(tǒng)的網(wǎng)絡,VPN網(wǎng)絡可以將邏輯上不能相通的網(wǎng)絡之間建立一個安全的通訊通道,使得這兩個網(wǎng)絡之間的能夠互相訪問。VPN通過對數(shù)據(jù)進行完整性校驗,運用密碼算法對數(shù)據(jù)進行加密處理來保證其安全性。為了保障信息在internet上傳輸?shù)陌踩?VPN技術采用了隧道、認證、存取控制、機密性、數(shù)據(jù)完整性等措施,保證信息在傳輸中不被偷看、篡改、復制。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。2.2VPN技術的工作原理由于VPN體系的復雜性和融合性,VPN服務的成長速度將超越VPN產(chǎn)品,成為VPN發(fā)展的新動力。目前大部分的VPN市場份額仍由VPN產(chǎn)品銷售體現(xiàn),在未來的若干年里,VPN服務所占的市場份額將超過VPN產(chǎn)品,這也體現(xiàn)了信息安全服務成為競爭焦點的趨勢。而VPN技術的原理是怎么樣的呢,下面簡單的介紹下。把因特網(wǎng)用作專用廣域網(wǎng),就要克服兩個主要障礙。首先,網(wǎng)絡經(jīng)常使用多種協(xié)議如IPX和NetBEUI進行通信,但因特網(wǎng)只能處理IP流量。所以,VPN就需要提供一種方法,將非IP的協(xié)議從一個網(wǎng)絡傳送到另一個網(wǎng)絡。其次,網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸,因而,只要看得到因特網(wǎng)的流量,就能讀取包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)機密信息,這顯然是一個問題。VPN克服這些障礙的辦法就是采用了隧道技術：數(shù)據(jù)包不是公開在網(wǎng)上傳輸,而是首先進行加密以確保安全,然后由VPN封裝成IP包的形式,通過隧道在網(wǎng)上傳輸,如圖1-1所示。圖SEQ圖\*ARABIC1-1工作原理源網(wǎng)絡的VPN隧道發(fā)起器與目標網(wǎng)絡上的VPN隧道發(fā)起器進行通信。兩者就加密方案達成一致,然后隧道發(fā)起器對包進行加密,確保安全〔為了加強安全,應采用驗證過程,以確保證方式。最后VPN發(fā)起器將整個加密包封裝成IP包。現(xiàn)在不管最初的傳輸是何種協(xié)議,它都能在純IP因特網(wǎng)上傳輸。又因為包進行了加密,所以誰也無法讀取原始數(shù)據(jù)。在目標網(wǎng)絡這頭,VPN隧道終結(jié)器收到包后去掉IP信息,然后根據(jù)達成一致的加密方案對包進行解密,將隨后獲得的包發(fā)給遠程接入服務器或本地路由器,他們在把隱藏的IPX包發(fā)到網(wǎng)絡,最終發(fā)往相應目的地。2.3VPN技術的應用領域利用VPN技術幾乎可以解決所有利用公共通信網(wǎng)絡進行通信的虛擬專用網(wǎng)絡連接的問題。歸納起來有以下幾種應用領域。遠程訪問為解決企事業(yè)單位職員出差在外,通過公共通信網(wǎng)絡共享內(nèi)聯(lián)網(wǎng)資源而提出的遠程接入〔Remoteaccess概念。遠程移動用戶通過VPN技術可以在任何時間、任何地點采用撥號、ISDN、DSL、移動IP和電纜技術與公司總部、公司內(nèi)聯(lián)網(wǎng)的VPN設備建立起隧道或密道信,實現(xiàn)訪問連接,此時的遠程用戶終端設備上必須加裝相應的VPN軟件。推而廣之,遠程用戶可與任何一臺主機或網(wǎng)絡在相同策略下利用公共通信網(wǎng)絡設施實現(xiàn)遠程VPN訪問。這種應用類型也叫AccessVPN<或訪問型VPN>,這是基本的VPN應用類型。不難證明,其他類型的VPN都是AccessVPN的組合、延伸和擴展。組建內(nèi)聯(lián)網(wǎng)為解決企事業(yè)單位通過公共通信網(wǎng)絡將地域分散的分支機構(gòu)"連接在一起"提出了內(nèi)聯(lián)網(wǎng)〔intranet概念。一個組織機構(gòu)的總部或中心網(wǎng)絡與跨地域的分支機構(gòu)網(wǎng)絡在公共通信基礎設施上采用的隧道技術等VPN技術構(gòu)成組織機構(gòu)"內(nèi)部"的虛擬專用網(wǎng)絡,當其將公司所有權的VPN設備配置在各個公司網(wǎng)絡與公共網(wǎng)絡之間〔即連接邊界處時,這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN組建的內(nèi)聯(lián)網(wǎng)也叫IntranetVPNIntranetVPN是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。組建外聯(lián)網(wǎng)為解決企事業(yè)單位通過公共通信網(wǎng)絡與合作伙伴和有共同利益的外部內(nèi)聯(lián)網(wǎng)實現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)〔Extranet概念。使用虛擬專用網(wǎng)絡技術在公共通信基礎設施上將合作伙伴和有共同利益的主機或網(wǎng)絡與內(nèi)聯(lián)網(wǎng)連接起來,根據(jù)安全策略、資源共享約定規(guī)則實施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機和網(wǎng)絡資源與外部特定的主機和網(wǎng)絡資源相互共享,這在業(yè)務機構(gòu)和具有相互協(xié)作關系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應用價值。這樣組建的外聯(lián)網(wǎng)也叫ExtranetVPN。ExtranetVPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術,必須解決其中的密碼分發(fā)、管理的一致性問題。第3章vpn技術相關協(xié)議3.1PPTP協(xié)議與L2TP協(xié)議PPTP協(xié)議1996年,Microsoft和Ascend等在PPP協(xié)議的基礎上開發(fā)了PPTP,它集成于WindowsNTServer4.0中,WindowsNTWorkstation和Windows9.X也提供相應的客戶端軟件。PPP支持多種網(wǎng)絡協(xié)議,可把IP、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中,再將整個報文封裝在PPTP隧道協(xié)議包中,最后,再嵌入IP報文或幀中繼或ATM中進行傳輸。PPTP提供流量控制,減少擁塞的可能性,避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點對點加密<MPPE:MicrosoftPoint-to-Point>算法,可以選用較弱的40位密鑰或強度較大的128位密鑰。1996年Cisco提出L2F<Layer2Forwarding>隧道協(xié)議,它也支持多協(xié)議,但其主要用于Cisco的路由器和撥號訪問服務器。3.1.2L2TP協(xié)議1997年底Microsoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點結(jié)合在一起,形成了L2TP協(xié)議。L2TP支持多協(xié)議,利用公共網(wǎng)絡封裝PPP幀可以實現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。這類服務不單支持已注冊的IP地址,也支持私有的IP地址,以及IPX、X2.5等多協(xié)議傳輸。這類新型的服務為撥號用戶和ISP都代來了極大的好處。因為這類服務支持已耗費了大量資金建成的傳統(tǒng)非IP網(wǎng),或允許共同因特網(wǎng)巨大的網(wǎng)絡基礎設施。L2TP正是這類服務中的典型代表。L2TP將PPP分組進行隧道封裝并在不同傳輸媒體上傳輸,使用PPP可靠性發(fā)送<RFC1663>實現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務器之間采用口令握手協(xié)議CHAP來驗證對方的身份,這使得現(xiàn)如今的異地辦公更加方便和安全。3.2Ipsec協(xié)議IPSec<IPSecurty>是IETFIPSec工作組為了在IP層提供通信安全而制定的一套協(xié)議族。它包括安全協(xié)議部分和密鑰協(xié)商部分。安全協(xié)議部分定義了對通信的各種保護方；密鑰協(xié)商部分定義了如何為安全協(xié)議商保護參數(shù)以及如何對通信實體的身份進行鑒別。IPSec安全協(xié)議給出了兩種通信保護機制：封裝安全載荷〔EncapsuationSecurityPayload,以下簡稱ESP和鑒別頭〔AuthenticationHeader,以下簡稱AH。其中ESP機制為通信提供機密性、完整性保護；AH機制為通信提供完整性保護。ESP和AH機制都能為通信提供抗重放<Anti-replay>攻擊。Ipsec協(xié)議使用IKE〔InternetKeyExchange協(xié)議實現(xiàn)安全協(xié)議自動安全參數(shù)協(xié)商。IKE協(xié)商的安全參數(shù)包括加密及鑒別密鑰、通信的保護模式〔隧道或傳輸模式、密鑰的生存期等。IKE將這些安全參數(shù)構(gòu)成的安全參數(shù)背景稱為安全關聯(lián)〔SecurityAssociation,以下簡稱SA。IKE還負責這些安全參數(shù)的刷新。設計Ipsec的目的以TCP/IP協(xié)議簇的設計初衷及其使用環(huán)境基本未考慮互連技術造成的安全隱患和固有的漏洞,這是因為TCP/IP協(xié)議族的主要協(xié)議以及因特網(wǎng)原始主干均源于美國國防部的研究計劃和項目應用,它運行于國防部內(nèi)部封閉的網(wǎng)絡。網(wǎng)絡內(nèi)的用戶和設備在嚴密的管理的管理制度約束和高強度的安全觀念培訓機制下,其運行環(huán)境是安全的。美國軍方將這一技術和主干網(wǎng)移交給社會使用時,已將原始主干網(wǎng)絡分成無物理連接的兩個部分。由于TCP/IP協(xié)議簇的運行環(huán)境發(fā)生了變化,再也沒有人們想象中的那么安全。如今因特網(wǎng)中的攻擊方式層出不窮,人們因為商業(yè)的、政治的或個人目的互相偷聽、攻擊和破壞。為了抵御這些攻擊,IETF設計了IPSec協(xié)議。IPSec協(xié)議利用預享密鑰、數(shù)字簽名或公鑰加密實現(xiàn)強的通信實體身份相互鑒別,并對通信提供基于預享密鑰的分組級源鑒別；IPSec協(xié)議通過ESP機制為通信提供機密性保護；IPSec協(xié)議通過AH和ESP機制能夠為通信提供完整性保護；IPSec協(xié)議通過AH和ESP機制能夠為通信提供抗重放攻擊。Ipsec的組成部分安全體系結(jié)構(gòu)ESPAH加密算法鑒別算法DOI密鑰管理協(xié)議在協(xié)議協(xié)議族里,給出了IPSec協(xié)議體系結(jié)構(gòu)。體系結(jié)構(gòu)定義了主機和網(wǎng)關應提供的各種保護功能。體系規(guī)定了IPSec協(xié)議提供的兩種安全保護機制：AH和ESP機制。ESP機制為通信提供機密性保護和完整性保護；AH機制對通信提供完整性保護。這兩種機制為IPSec協(xié)議族提供安全服務。通信雙方何時應實現(xiàn)ESP或AH保護、保護什么樣的通信、保護的強度如何以及何時應實現(xiàn)密鑰協(xié)商等,都受到實施IPSec的安全策略的控制。安全體系結(jié)構(gòu)ESPAH加密算法鑒別算法DOI密鑰管理協(xié)議圖3-1IPSec各組件的關系3.3ESP機制ESP機制主要是為通信提供機密性保護。依據(jù)建立安全關聯(lián)時的選擇,它也能為通信提供鑒別保護。因為ESP封裝的載荷內(nèi)容不同,可將ESP分為兩種模式：?隧道模式：將整個IP分組封裝到ESP載荷之中。?傳輸模式：將上層協(xié)議部分封裝到ESP載荷之中。ESP封裝技術的隧道模式ESP機制通過將整個IP分組或上層協(xié)議部分〔即傳輸層協(xié)議數(shù)據(jù),如TCP、UDP或ICMP協(xié)議數(shù)據(jù)>封裝到一個ESP載荷中,然后對此荷載進行相應的安全處理,如加密處理、鑒別處理等,實現(xiàn)對通信的機密性或完整性保護,對于隧道模式,有如下典型實現(xiàn)模型如圖3-2所示。安全網(wǎng)關1安全網(wǎng)關1安全網(wǎng)關2ESPESP0主機11ESP隧道主機21圖3-2ESP隧道模式即在ESP隧道的實施模型中,IPSec處理模塊安裝于安全網(wǎng)關1和安全網(wǎng)關2,由它們來實現(xiàn)ESP處理。位于安全網(wǎng)關1和安全網(wǎng)關2之后的子網(wǎng)被認為是內(nèi)部可信的,因此分別稱其為網(wǎng)關1和網(wǎng)關2的保護子網(wǎng)。保護子網(wǎng)內(nèi)的通信都是以文明方式進行。但當兩個子網(wǎng)之間的分組流經(jīng)網(wǎng)關1和網(wǎng)關2之間的公網(wǎng)時,將受到ESP機制的安全保護。這種模式有如下優(yōu)點：?保護子網(wǎng)中的所有用戶都可以透明地享受由安全網(wǎng)關提供的安全保護。?子網(wǎng)內(nèi)部可以使用私有IP地址,無須公有IP地址資源。?子網(wǎng)內(nèi)部的拓撲結(jié)構(gòu)被保護。這種模式的缺點則為：?增大了網(wǎng)關內(nèi)部的處理負荷,容易形成通信瓶頸。?對內(nèi)部的諸多安全問題將不可控。ESP封裝技術的傳輸模式對于傳輸模式,有如下典型實現(xiàn)模型：如圖3-3所示。ESPESP主機11ESP隧道主機2054圖3-3傳輸模式的ESP的實現(xiàn)其中,IPSec模塊被安裝于兩端主機。主機11發(fā)送到主機21的IP分組將受到ESP提供的安全保護。這種模式有如下優(yōu)點：?即使內(nèi)網(wǎng)中的其他用戶,也不能理解傳輸于主機11和主機21之間的數(shù)據(jù)內(nèi)容。?分擔了IPSec處理負荷,避免了IPSec處理的瓶頸問題。這種模式的缺點則為：?由于每一個希望實現(xiàn)傳輸模式的主機都必須安裝并實現(xiàn)ESP協(xié)議,因此不能實現(xiàn)端用戶的透明服務。?不能使用私有IP地址,必須使用公有地址資源。?暴露了子網(wǎng)內(nèi)部拓撲。事實上,IPSec的傳輸模式和隧道模式分別類似于其它隧道協(xié)議的自愿模式和強制模式,即一個基于用戶的實施,一個是基于網(wǎng)絡的實施。3.4AH機制AH機制主要用于為通信提供完整性服務。AH還能為通信提供抗重放攻擊等服務。按照AH協(xié)議的規(guī)定,可以按AH封裝的協(xié)議數(shù)據(jù)不同,將AH封裝劃分為兩種模式：隧道模式和傳輸模式。3.4.1AH封裝技術的隧道模式如果將AH頭插入原IP分組的IP頭之前,并在AH頭之前插入新的IP頭,則稱此模型的封裝為隧道封裝；對于隧道模式,有如下典型實現(xiàn)模型：如圖3-4所示。54.59AHAH主機11AH隧道主機21安全網(wǎng)關2安全網(wǎng)關1圖3-4隧道模式的AH實現(xiàn)即在AH隧道的實施模型中,IPSec處理模塊安裝于安全路由器1和安全路由器2,由它們來實現(xiàn)AH處理。位于安全網(wǎng)關1和安全網(wǎng)關2之后的子網(wǎng)被認為是內(nèi)部可信的,不會發(fā)生數(shù)據(jù)篡改等攻擊行為,因此分別稱其為路由器1和2的保護子網(wǎng)。這種模式有如下優(yōu)點：?子網(wǎng)內(nèi)部的各主機可以借助安全網(wǎng)關的IPSec處理,可以透明地享受安全服務。?子網(wǎng)內(nèi)部可以使用私有IP地址,無需申請公有地址資源。這種模式的缺點則為：?IPSec主要集中在安全網(wǎng)關,增大了路由器的處理負荷,容易形成通信瓶頸。?對內(nèi)部的諸多安全問題將不可控。3.4.2AH封裝技術的傳輸模式如將AH頭插入IP頭和路由擴展頭之后,上層協(xié)議數(shù)據(jù)的端到端擴展頭之前,則稱該模式的封裝為傳輸模式。對于傳輸模式的AH,有如下典型實現(xiàn)模型：如圖3-5所示。5454.59AHAH0主機11AH隧道主機21安全網(wǎng)關2安全網(wǎng)關1圖3-5傳輸模式的AH實現(xiàn)其中,IPSec模塊被安裝于兩端主機。主機11發(fā)送到主機21的IP分組將受到AH提供的安全保護。這種模式有如下優(yōu)點：?即使內(nèi)網(wǎng)中的其他用戶,也不能篡改傳輸于主機11和主機21之間的數(shù)據(jù)內(nèi)容。?分擔了IPSec處理負荷,避免了IPSec處理的瓶頸問題。這種模式的缺點則為：?由于每一個希望實現(xiàn)傳輸模式的主機都必須安裝并實現(xiàn)IPSec模塊,因此不能實現(xiàn)端用戶的透明服務。?不能使用私有IP地址,必須使用公有地址資源。第4章方案設計VPN的具體實現(xiàn)方案有很多,實際應用中應根據(jù)用戶的需求、用戶資源現(xiàn)狀下來具體實施。本文中就以一個中小型企業(yè)為例,在實際環(huán)境中建立一個基于ISA的企業(yè)VPN網(wǎng)絡以滿足企業(yè)與客戶、總部與分部以及公司與外出人員之間的訪問要求。4.1需求分析隨著公司的發(fā)展壯大,呼和浩特鴻駿電子在海拉爾開辦了分公司來進一步發(fā)展業(yè)務,公司希望總部和分公司、總部與合作伙伴可以隨時的進行安全的信息溝通,而外出辦公人員可以訪問到企業(yè)內(nèi)部關鍵數(shù)據(jù),隨時隨地共享商業(yè)信息,提高工作效率。一些大型跨國公司解決這個問題的方法,就是在各個公司之間租用運營商的專用線路。這個辦法雖然能解決問題,但是費用昂貴,對于中小企業(yè)來說是無法負擔的,而VPN技術最大的優(yōu)點就是節(jié)約成本,所以用VPN技術就解決了這個問題。根據(jù)該公司用戶的需求,遵循著方便實用、高效低成本、安全可靠、網(wǎng)絡架構(gòu)彈性大等相關原則決定采用ISAServerVPN安全方案,以ISA作為網(wǎng)絡訪問的安全控制。ISAServer集成了WindowsserverVPN服務,提供一個完善的防火墻和VPN解決方案。以ISAVPN作為連接Internet的安全網(wǎng)關,并使用雙網(wǎng)卡,隔開內(nèi)外網(wǎng),增加網(wǎng)絡安全性。ISA具備了基于策略的安全性,并且能夠加速和管理對Internet的訪問。防火墻能對數(shù)據(jù)包層、鏈路層和應用層進行數(shù)據(jù)過濾、對穿過防火墻的數(shù)據(jù)進行狀態(tài)檢查、對訪問策略進行控制并對網(wǎng)絡通信進行路由。對于各種規(guī)模的企業(yè)來說,ISAServer都可以增強網(wǎng)絡安全性、貫徹一致的Internet使用策略、加速Internet訪問并實現(xiàn)員工工作效率最大化。方案的設計在ISA中可以使用以下三種協(xié)議來建立VPN連接：?IPSEC隧道模式。?L2TPoverIPSec模式。?PPTP。下表比較了這三種協(xié)議：如表4-1所示。表4-1ISA中三種協(xié)議對比表協(xié)議何時使用安全等級備注IPSec隧道模式連接到第三方的VPN服務器高這是唯一一種可以連接到非微軟VPN服務器的方式L2TPoverIPSec連接到ISAServer2000、ISAServer2004或者WindowsVPN服務器高使用RRAS比IPSec隧道模式更容易理解,但是要求遠程VPN服務器是ISAServer或者WindowsVPN服務器。PPTP連接到ISAServer2000、ISAServer2004或者WindowsVPN高使用RRAS和L2TP具有同樣的限制但是更容易配置,因為使用IPSec加密L2TP更認為更安全。三個站點都采用ISAVPN作為安全網(wǎng)關,且L2TPoverIPSec結(jié)合了L2TP和IPSec的優(yōu)點,所以在這里采用L2TPoverIPSec作為VPN實施方案。4.2方案設計的目的〔1我們通過VPN技術可以使呼市總部和分公司之間以及呼市總部和合作伙伴之間透過VPN聯(lián)機采用IPSec協(xié)定,確保傳輸數(shù)據(jù)的安全。〔2在外出差或想要連回總部或分公司的用戶也可使用IPSec方式與企業(yè)聯(lián)網(wǎng)。〔3對總部內(nèi)網(wǎng)實施上網(wǎng)的訪問控制,通過VPN設備的訪問控制策略,對訪問的PC進行嚴格的訪問控制。〔4對外網(wǎng)可以抵御黑客的入侵,起到Firewall作用,具有控制和限制的安全機制和措施,具備防火墻和抗攻擊等功能。〔5部署靈活、維護方便、提供強大的管理功能,以減少系統(tǒng)的維護量以適應大規(guī)模組網(wǎng)需要。4.3方案網(wǎng)絡拓撲圖呼和浩特鴻駿電子在海拉爾開辦了分公司來發(fā)展業(yè)務,在通信的過程中,為了保證數(shù)據(jù)的安全性總部與分支機構(gòu)、總部與合作伙伴分別通過ISAVPN安全網(wǎng)關建立VPN隧道、外出辦公人員與總部建立VPN隧道可以訪問到企業(yè)內(nèi)部關鍵數(shù)據(jù),隨時隨地共享商業(yè)信息,提高工作效率。如圖4-2所示。圖4-2網(wǎng)絡拓撲圖第5章各部分VPN設備的配置公司總部與分支機構(gòu)之間和公司總部與合作伙伴之間的VPN通信,都是站點對站點的方式,只是權限設置不一樣,公司總部與分支機構(gòu)要實現(xiàn)的是公司的分支機構(gòu)可以共享總部的資源,公司總部與合作伙伴要實現(xiàn)的是資源共享和互訪。兩者之間的差別是合作伙伴的VPN在接入上設置了總部可以訪問的操作。因為三個站點都采用ISAVPN作為安全網(wǎng)關,所以以下站點對站點的VPN配置就以公司總部到分支機構(gòu)為例,說明在ISA上實現(xiàn)VPN的具體操作。如圖5-1所示。圖圖5-1實驗模擬網(wǎng)絡拓撲圖5.1公司總部到分支機構(gòu)的ISAVPN配置各主機的TCP/IP為：一、呼市總部外部網(wǎng)絡：IP：DG：內(nèi)部網(wǎng)絡：IP：DG：None二、分部外部網(wǎng)絡：IP：DG：192.內(nèi)部網(wǎng)絡：DG：None在總部和支部之間建立一個基于IPSec的站點到站點的VPN連接,由支部向總部進行請求撥號,具體步驟如下：〔1在總部ISA服務器上建立遠程站點?！?建立此遠程站點的網(wǎng)絡規(guī)則?！?建立此遠程站點的訪問規(guī)則?！?在總部為遠程站點的撥入建立用戶?！?在支部ISA服務器上建立遠程站點?！?建立此遠程站點的網(wǎng)絡規(guī)則?！?建立此遠程站點的訪問規(guī)則?！?測試VPN連接。如圖5-2所示。圖5-2總部建立的遠程站點圖總部ISAVPN配置1．在總部ISA服務器上建立遠程分支機構(gòu)站點〔1打開ISAServer2004控制臺,點擊虛擬專用網(wǎng)絡,點擊右邊任務面板中的添加遠程站點網(wǎng)絡；〔2在歡迎使用網(wǎng)絡創(chuàng)建向?qū)ы?輸入遠程站點的名字Branch,點擊下一步；〔3在VPN協(xié)議頁,選擇IPSec上的第二層隧道協(xié)議〔L2TP,點擊下一步；〔4在遠程站點網(wǎng)關頁,輸入遠程VPN服務器的名稱或IP地址,如果輸入名稱,需確?？梢哉_解析,在這里輸入點擊下一步；〔5在網(wǎng)絡地址頁點擊添加輸入與此網(wǎng)卡關聯(lián)IP地址范圍,在此輸入和,點擊確定后,點擊下一步繼續(xù)；〔6在正在完成新建網(wǎng)絡向?qū)ы?點擊完成?！?打開VPN客戶端,點擊配置VPN客戶端訪問,在常規(guī)頁中,選擇啟用VPN客戶端訪問,填入允許的最大VPN客戶端數(shù)量20,在協(xié)議頁,選擇啟用PPTP〔N和啟用L2TP/IPSEC〔E點擊確定?！?點擊選擇身份驗證方法,選擇Microsoft加密的身份驗證版本2〔MS-CHAPv2〔M和允許L2TP連接自定義IPSec策略〔L,輸入預共享的密鑰main04jsja?！?點擊定義地址分配,在地址分配頁,選擇靜態(tài)地址池,點擊添加,添加VPN連接后總部主機分配的給客戶端的IP地址段,在這里輸入-55,點擊確定完成設置。2．在總部上建立此遠程站點的網(wǎng)絡規(guī)則接下來,我們需要建立一條網(wǎng)絡規(guī)則,為遠程站點和內(nèi)部網(wǎng)絡間的訪問定義路由關系。1右鍵點擊配置下的網(wǎng)絡,然后點擊新建,選擇網(wǎng)絡規(guī)則；2在新建網(wǎng)絡規(guī)則向?qū)ы?輸入規(guī)則名字,在此命名為InternaltoBranch,點擊下一步;3在網(wǎng)絡通訊源頁,點擊添加,選擇網(wǎng)絡目錄下的內(nèi)部,點擊下一步；4在網(wǎng)絡通訊目標頁,點擊添加,選擇網(wǎng)絡目錄下的Branch,點擊下一步；5在網(wǎng)絡關系頁,選擇路由,然后點擊下一步；6在正在完成新建網(wǎng)絡規(guī)則向?qū)ы?點擊完成；如圖5-3所示。圖5-3總部網(wǎng)絡規(guī)則圖3、在總部上建立此遠程站點的訪問規(guī)則現(xiàn)在,我們需要為遠程站點和內(nèi)部網(wǎng)絡間的互訪建立訪問規(guī)則,1右鍵點擊防火墻策略,選擇新建,點擊訪問規(guī)則；2在歡迎使用新建訪問規(guī)則向?qū)ы?輸入規(guī)則名稱,在此命名為maintobranch,點擊下一步；3在規(guī)則操作頁,選擇允許,點擊下一步；4在協(xié)議頁,選擇所選的協(xié)議,然后添加HTTP和Ping,<這里可以再根據(jù)實際需要添加協(xié)議>點擊下一步；5在訪問規(guī)則源頁,點擊添加,選擇網(wǎng)絡目錄下的Branch和內(nèi)部,點擊下一步；6在訪問規(guī)則目標頁,點擊添加,選擇網(wǎng)絡目錄下的Branch和內(nèi)部,點擊下一步；7在用戶集頁,接受默認的所有用戶,點擊下一步；在正在完成新建訪問規(guī)則向?qū)ы?點擊完成；8最后,點擊應用以保存修改和更新防火墻設置。

此時在警報里面有提示,需要重啟ISA服務器,所以我們需要重啟ISA計算機。如圖5-4所示。圖5-4總部訪問控制圖4、在總部上為遠程站點的撥入建立用戶1在重啟總部ISA服務器后,以管理員身份登錄,2在我的電腦上點擊右鍵,選擇管理,選擇在本地用戶和組里面,右擊用戶,選擇新用戶,這個VPN撥入用戶的名字一定要和遠程站點的名字一致,在此是main,輸入密碼main,選中用戶不能修改密碼和密碼永不過期,取消勾選用戶必須在下次登錄時修改密碼,點擊創(chuàng)建；3擊此用戶,選擇屬性；在用戶屬性的撥入標簽,選擇允許訪問,點擊確定。如圖5-5圖5-5總部用戶創(chuàng)建圖此時,遠程客戶端撥入總部的用戶賬號就建好了。支部ISAVPN配置1、在支部ISA服務器上添加遠程站點1打開ISAServer2004控制臺,點擊虛擬專用網(wǎng)絡,點擊右邊任務面板中的添加遠程站點網(wǎng)絡；2在歡迎使用網(wǎng)絡創(chuàng)建向?qū)ы?輸入遠程站點的名字Main,點擊下一步；3在VPN協(xié)議頁,選擇IPSec上的第二層隧道協(xié)議〔L2TP,點擊下一步；4在遠程站點網(wǎng)關頁,輸入遠程VPN服務器的名稱或IP地址,如果輸入名稱,需確保可以正確解析,在這里輸入,點擊下一步；5在遠程身份驗證頁,輸入用戶名main,輸入密碼main,點擊下一步繼續(xù)；6在網(wǎng)絡地址頁,點擊添加輸入與此網(wǎng)卡關聯(lián)的IP地址范圍,在此輸入和55,點擊確定后,點擊下一步繼續(xù)；7在正在完成新建網(wǎng)絡向?qū)ы?點擊完成。如圖5-6圖5-6支部建立的遠程站點圖2、建立此遠程站點的網(wǎng)絡規(guī)則接下來,我們需要建立一條網(wǎng)絡規(guī)則,為遠程站點和內(nèi)部網(wǎng)絡間的訪問定義路由關系。1右擊配置下的網(wǎng)絡,然后點擊新建,選擇網(wǎng)絡規(guī)則；2在新建網(wǎng)絡規(guī)則向?qū)ы?輸入規(guī)則名字,在此我命名為內(nèi)部->Main,點擊下一步；3在網(wǎng)絡通訊源頁,點擊添加,選擇網(wǎng)絡目錄下的內(nèi)部,點擊下一步；4在網(wǎng)絡通訊目標頁,點擊添加,選擇網(wǎng)絡目錄下的Main,點擊下一步；5在網(wǎng)絡關系頁,選擇路由,然后點擊下一步；6在正在完成新建網(wǎng)絡規(guī)則向?qū)ы?點擊完成；如圖5-7圖5-7支部的網(wǎng)絡規(guī)則圖3、建立此遠程站點的訪問規(guī)則在創(chuàng)建完遠程站點和遠程站點的網(wǎng)絡規(guī)則之后,我們需要為遠程站點和內(nèi)部網(wǎng)絡間的互訪建立訪問規(guī)則,1右擊防火墻策略,選擇新建,點擊訪問規(guī)則；2在歡迎使用新建訪問規(guī)則向?qū)ы?輸入規(guī)則名稱,在此我命名為branchtomain,點擊下一步；3在規(guī)則操作頁,選擇允許,點擊下一步；4在協(xié)議頁,選擇所選的協(xié)議,然后添加HTTP和Ping,點擊下一步；5在訪問規(guī)則源頁,點擊添加,選擇網(wǎng)絡目錄下的Main和內(nèi)部,點擊下一步；6在訪問規(guī)則目標頁,點擊添加,選擇網(wǎng)絡目錄下的Main和內(nèi)部,點擊下一步；7在用戶集頁,接受默認的所有用戶,點擊下一步；在正在完成新建訪問規(guī)則向?qū)ы?點擊完成；8最后,點擊應用以保存修改和更新防火墻設置。如圖5-8圖5-8支部的訪問控制圖此時在警報里面有提示,需要重啟ISA服務器,所以,我們需要重啟支部ISA計算機。VPN連接在支部的路由和遠程訪問控制臺中,展開服務器,1點擊網(wǎng)絡接口,這時就會出現(xiàn)我們創(chuàng)建的main網(wǎng)絡撥號接口,右鍵點擊屬性,在安全頁選擇高級設置下的IPSec設置,在使用預共享的密鑰作身份驗證〔U的選框里打勾,并輸入密鑰main04jsja,點擊兩次確定,完成密鑰設置。2右鍵點擊設置憑據(jù),在接口憑據(jù)頁,輸入此接口連接到遠程路由器使用的憑據(jù),因為在遠程ISA端我們設置為main所以這里輸入的用戶密碼為main,點擊確定。如圖5-9圖5-9連接驗證圖3右鍵main點擊連接如圖5-10圖5-10正在進行連接示意圖如圖5-11圖5-11已連接上示意圖到此為止站點到站點的VPN已經(jīng)構(gòu)建好了,在上面的設置