论文部分内容阅读
【摘 要】以数字高校中数字化、电子化和网络化的信息资源为研究对象,提出应用VPN技术来实现校外教师和不同校区的师生能访问所有的数字高校的信息资源。同时基于的IPSec安全协议的VPN连接也能保证连接自身的安全,为数字高校的访问提供了安全保证。对实现多校区的数字高校的信息共享和安全具有很强的指导意义。
【关键词】数字高校 VPN IPSec 多校区
一、引言
随着高校信息资源的数字化,电子化和网络化的快速发展,数字高校已成为高校的新的信息平台。存在形式包括高校图书馆的数字资源库,学院的教学资源,无纸化办公等,她们都与数字高校进行了互联。然而,在高校访问这些资源还有很多的限制。首先,由于区域和城市规划等因素,许多高校并不是集中在一个地方。除了主校区还有若个分校区。这就导致了存在多个没有互联的校区网络。
二、VPN概念及优势
VPN即虚拟私有网,指建立在利用私有通道建立在公有网上的企业网络,它具有和专业网一样的安全、管理和功能特征[1]。VPN是远程用户和公司网络建立点对点连接的最划算的方式。VPN没有改变原来广域网如多协议支持,高可靠性和伸展性等特征,且以一种更划算的方式实现这些特征。VPN连接能以安全的数据通路连接多个分校区和校外师生到主校区。网络中的主机并能能意识到公有网的存在,好像所有的主机都在一个网络中。虽然公有挖过仅在网络中使用但事实并不如此,所以叫虚拟私有网。
三、IPSec概念及技术
因为网络中传输的IP包没有任何安全特征,容易被伪造IP地址,改变内容和替换包的格式,打断包的传输[2]。为了克服包封装的缺陷,IETF工作组制作了IPSec协议。IPSec主要包括AH、ESP、IKE171协议。
AH协议为新生产的包提供无连接的数据完整性和身份认证,也具有防止重放攻击的能力。ESP为IP包提供数据加密,无连接的数据完整,数据身份认证,避免重放攻击的能力。相比AH而言,ESP多了一项数据加密。AH和ESP可单独使用也可结合使用。通过组合,能够在两台主机间建立灵活的安全机制,可以是两个安全网关或者一个主机一个安全网关。
四、应用VPN访问数字高校
如何完成校外师生和分校区到数字高校的连接呢?可以分为两个部分:一是应用VPN技术完成数字高校的多校区连接,二是设置校外师生的访问功能。
(一)下面以Cisio的IOS为例说明第一部分的具体过程
1.启动IKE协商服务
Router (config) # crypto isakmap policy l
Router (config-isakmap) #hash md5
Router (config-isakmap) #authenti-cation pre-share
Router (config) #crypto isakmap key XXXXXX address 202.12.45.48
2.设置IPSec参数
Router (config) #crypto ipsec trans-form-set test ah-md5-hamc esp-des
Router (config) # acess-list 101 permit ip: 192.168.8.0, 0.0.255.255, 192.148.1.0, 0.0.255.255
3.设置密码映射
Router (config) #crypto map testmap 1 ipsec-isakmap
Router (config-crypto-map) #set peer 202.12.45.48
Router (config-crypto-map) #set transform-set test
Router (config-crypto-map) #match address 101
4.应用密码映射名到端口
Router (config) #inter s0/0
Router (config-if) #crypto map testmap
(二)第二部分是完成对校外的师生建立访问控制功能,具体过程如下:
1.安装外部和IPSec VPN设备的接口IP地址;
2.设置不进行NAT转换的地址;
3.安装通道分离;
4.安装IPSec VPN用户地址池;
5.为防火墙安装NAT地址转换;
6.安装IPSec流;
7.在防火墙上安装静态路由;
8.安装IPSec VPN组的相关参数,指定DNS的VPN用户地址池和配置VPN用户范围;
9.为IPSec客户端安装相关参数;
10.为IPSec VPN安装加密和解密策略;
11.为终端VPN用户安装isakmap,策略和密钥体制,在此基础上实现3DES加密,共享密钥和密钥产生。
五、结论
VPN是一个综合性的网络新技术,显示出了强大的生命力。即使在高度发展的美国,它也没有开发多久。但很多公司如CISCO,3Com等都开发了自己的产品。本文以CISCO为例采取VPN技术应用到多校区和有校外师生的数字高校中并对给出了如何建立校外师生的访问控制的过程。采用这些方案不仅提升了数字校园的适应范围也保证了安全,为建设生命力强劲的数字高校提供了现实指导。
参考文献:
[1] Guan Xin. “The Application of VPN Technology in University Library”,“Sci-Tech Information Development & Economy”2009.
[2] Yunwu Dai, "Analysis of Wireless Local Network Secuity,"Science Mosaic, 2008,12.
作者简介:
费雄伟(1980-),男,硕士,研究方向为信息安全与网络。
基金项目:
湖南省教育厅科研资助项目(11C0244),湖南城市学院科研资助项目(2010xj005)。
【关键词】数字高校 VPN IPSec 多校区
一、引言
随着高校信息资源的数字化,电子化和网络化的快速发展,数字高校已成为高校的新的信息平台。存在形式包括高校图书馆的数字资源库,学院的教学资源,无纸化办公等,她们都与数字高校进行了互联。然而,在高校访问这些资源还有很多的限制。首先,由于区域和城市规划等因素,许多高校并不是集中在一个地方。除了主校区还有若个分校区。这就导致了存在多个没有互联的校区网络。
二、VPN概念及优势
VPN即虚拟私有网,指建立在利用私有通道建立在公有网上的企业网络,它具有和专业网一样的安全、管理和功能特征[1]。VPN是远程用户和公司网络建立点对点连接的最划算的方式。VPN没有改变原来广域网如多协议支持,高可靠性和伸展性等特征,且以一种更划算的方式实现这些特征。VPN连接能以安全的数据通路连接多个分校区和校外师生到主校区。网络中的主机并能能意识到公有网的存在,好像所有的主机都在一个网络中。虽然公有挖过仅在网络中使用但事实并不如此,所以叫虚拟私有网。
三、IPSec概念及技术
因为网络中传输的IP包没有任何安全特征,容易被伪造IP地址,改变内容和替换包的格式,打断包的传输[2]。为了克服包封装的缺陷,IETF工作组制作了IPSec协议。IPSec主要包括AH、ESP、IKE171协议。
AH协议为新生产的包提供无连接的数据完整性和身份认证,也具有防止重放攻击的能力。ESP为IP包提供数据加密,无连接的数据完整,数据身份认证,避免重放攻击的能力。相比AH而言,ESP多了一项数据加密。AH和ESP可单独使用也可结合使用。通过组合,能够在两台主机间建立灵活的安全机制,可以是两个安全网关或者一个主机一个安全网关。
四、应用VPN访问数字高校
如何完成校外师生和分校区到数字高校的连接呢?可以分为两个部分:一是应用VPN技术完成数字高校的多校区连接,二是设置校外师生的访问功能。
(一)下面以Cisio的IOS为例说明第一部分的具体过程
1.启动IKE协商服务
Router (config) # crypto isakmap policy l
Router (config-isakmap) #hash md5
Router (config-isakmap) #authenti-cation pre-share
Router (config) #crypto isakmap key XXXXXX address 202.12.45.48
2.设置IPSec参数
Router (config) #crypto ipsec trans-form-set test ah-md5-hamc esp-des
Router (config) # acess-list 101 permit ip: 192.168.8.0, 0.0.255.255, 192.148.1.0, 0.0.255.255
3.设置密码映射
Router (config) #crypto map testmap 1 ipsec-isakmap
Router (config-crypto-map) #set peer 202.12.45.48
Router (config-crypto-map) #set transform-set test
Router (config-crypto-map) #match address 101
4.应用密码映射名到端口
Router (config) #inter s0/0
Router (config-if) #crypto map testmap
(二)第二部分是完成对校外的师生建立访问控制功能,具体过程如下:
1.安装外部和IPSec VPN设备的接口IP地址;
2.设置不进行NAT转换的地址;
3.安装通道分离;
4.安装IPSec VPN用户地址池;
5.为防火墙安装NAT地址转换;
6.安装IPSec流;
7.在防火墙上安装静态路由;
8.安装IPSec VPN组的相关参数,指定DNS的VPN用户地址池和配置VPN用户范围;
9.为IPSec客户端安装相关参数;
10.为IPSec VPN安装加密和解密策略;
11.为终端VPN用户安装isakmap,策略和密钥体制,在此基础上实现3DES加密,共享密钥和密钥产生。
五、结论
VPN是一个综合性的网络新技术,显示出了强大的生命力。即使在高度发展的美国,它也没有开发多久。但很多公司如CISCO,3Com等都开发了自己的产品。本文以CISCO为例采取VPN技术应用到多校区和有校外师生的数字高校中并对给出了如何建立校外师生的访问控制的过程。采用这些方案不仅提升了数字校园的适应范围也保证了安全,为建设生命力强劲的数字高校提供了现实指导。
参考文献:
[1] Guan Xin. “The Application of VPN Technology in University Library”,“Sci-Tech Information Development & Economy”2009.
[2] Yunwu Dai, "Analysis of Wireless Local Network Secuity,"Science Mosaic, 2008,12.
作者简介:
费雄伟(1980-),男,硕士,研究方向为信息安全与网络。
基金项目:
湖南省教育厅科研资助项目(11C0244),湖南城市学院科研资助项目(2010xj005)。