IT168网络天下论坛问题:我们是一家会计师事务所,现在有些业务在外地,资料拿来拿去不方便,现在请教一下,可不可以在外地的人将外地收集的资料利用外地的计算直接发过事务所的电脑上进行审查和打印,而且外地的电脑也可以访问事务所的电脑,不知在操作系统里提供这种功能不?在这里先谢谢啦!
简要分析
【IT168网友解答】从这位网友提出的方案需求,我们可以隐约感觉到网友对异地网络通信有安全方面的需求,就是总部的“会计师事务所”和外地的“临时办事处”之间通过INTERNET进行安全网络通信,共享资源。上述企业部门跨INTERNET的通信可归结为两个局域网之间通过INTERNET进行安全通信,而实现这样的需求,我们都知道已经有了最好的技术——VPN。使用VPN加密之后,可以在公网(Internet)上传输业务数据,其安全性是有保证的。目前全球众多的电子商务、网上购物以及证券网上交易都已经证明:通过VPN在Internet上跑业务,在安全方面已经不存在问题。国外很多公司已将Internet作为构建公司私有网络的平台,而弃用传统专线。VPN更是目前中小企业跨INTERNET进行广域联网的经济解决方案,它具有安全可靠,成本低,易于实现,联网灵活,可移动等诸多优点。
解决方案
VPN是两个具有VPN发起连接能力的设备(如PC或防火墙)通过Internet形成的一条安全的隧道(专业称之为SA——安全关联)。在隧道的发起端,用户的私有数据通过封装和加密之后在Internet上传输,到了隧道的接收端,接收到的数据经过拆封和解密之后安全地到达用户端。从而能在非安全的互联网上安全地传送私有数据来实现在广域网上的联网。VPN技术的效果类似于传统的租用专线联网方式(如:DDN),而专线联网一般只运用于银行等行业用户。
目前常见的VPN隧道协议分三种:PPTP点到点隧道协议,L2TP第二层隧道协议,IPSec网络层隧道协议。
IPSec方式的VPN则是目前普遍采用的VPN方式,绝大多数VPN设备都支持这种协议。IPSec SA(安全关联——IKE)VPN 隧道协商的步骤:
1.通信请求发送到VPN网关
2.IKE 阶段I——鉴别,使用preshared keys(预先共享关键字)或数字认证来互相鉴别对方,协商创建一个通信信道,并对该信道进行认证。一个共享的主密码是在IKE框架下由Diffie-Hellman公共密码运算法则产生的,这个主密码并且驱动产生下面阶段二的IPSec 密码。
3.IKE 阶段 II——协商,双方协商在IPSec SA中使用的加密和鉴别运算法则,主密码被用来产生为建立安全关联所需要的IPSec密码。一旦这个密码被创建和交换,就可以在VPN上保护用户数据。
4.安全数据传输
5.IPSec隧道终止
常见的VPN组网方式分三种:
1. 远程访问(Client to Gateway客户端到网关): 一般用于个人远程用户、出差员工等对公司集中资源的访问。
2.Intranet VPN(Gateway to Gateway网关到网关): 一般用于企业不同分支机构之间的互连。
3.Extranet VPN(Gateway to Gateway网关到网关): 用于合作伙伴/客户等与企业之间的安全互连。
在网友的方案需求里我们可以看出在外地的那个局域网相对很小,也许有几台电脑,也许只有一台笔记本,通过合作客户的ADSL上网或者拨号上网。所以我们将采用第一种VPN组网方式,也就是最小规模的VPN。这种组网方式相对简单一些,只需在总部有VPN服务器(如:WIN2000)或VPN网关(如:VPN路由器、VPN防火墙),而在外派部门的电脑上安装VPN客户端就可以了。对于处在总部地位的“会计师事务所”就应建起一个功能强大的VPN接入服务,以应对派出机构或人员的VPN接入服务,并且不至于因为VPN的加解密工作而降低太多的通信速率,所以应采用硬件的VPN网关作为VPN服务端。所以本例的实现方案是:VPN网关+VPN客户端。虽然也可以用WIN2000里提供的PPTP拨号VPN连接方式来实现,但这样的方式会占用大量的电脑服务器的资源,通信性能也会受到影响。
VPN虽然可以在一般的公共互联网上搭建局域网之间的广域联网,但还得有一个非常关键的条件,就是两端的局域网必需有合法公网IP。而我们知道若申请“固定”的公网IP同样得付一笔可观的费用,因此对于我们一般的宽带用户来说,最好的选择还是申请PPoE的ADSL,这种方式的接入虽然没有静态的公网IP,但至少有动态的公网IP,也就可以在动态IP公网上架设VPN,这就是“动态VPN”。这是近两年来较新的网络技术,也是我们普通用户能以低成本组建广域联网的重要手段。
要实现动态VPN,有动态公网IP是一个条件,但还有一个关键技术与之配套,这就是动态域名解析(DDNS)。因为动态公网IP在每次拨号之后IP都要改变,所以我们要申请个动态域名来“固化”这种IP与局域网的关系,标志局域网,使VPN两端的局域网能互相找到对方。有了“动态VPN”我们就可以在VPN隧道的两端均采用动态ADSL接入,用支持动态 VPN的网关设备建立起以总部为中心连接多个分支机构的VPN网络,实现在公网上传输企业内部数据、语音、视频等业务,把整个企业的网络扩展到INTERNET上。
产品推荐:
本案将介绍“Pc/Client To Gateway 客户端到VPN网关”方案最有代表性的产品,那就是美国网件公司出品的NETGEAR FVS318VPN防火墙和NETGEAR ProSafe™ VPN 客户端软件。
•NETGEAR FVS318VPN防火墙 (见图1)
#$[*172582.jpg*#图1(点击看大图)*#0*#0*#center*]$#
硬件配置:
1.50MHz,ARM7;1Mb闪存,16Mb DRAM内存。
2.1个10/100BASE-T 以太网 RJ-45 端口广域网端口,8 个10/100 Mbps自适应RJ-45端口局域网端口。
基本性能:
1.防火墙: 它利用 SPI、URL 访问和内容过滤、日志记录、汇报及实时告警提供拒绝服务(DoS)攻击保护和入侵检测的最高安全性。
2.VPN 功能:8个专用 VPN 隧道、手动密钥和 IKE Security Association (SA) 分配、56 位 (DES) 或 168 位 (3DES) IPsec 加密算法、MD5 或 SHA-1 鉴别算法、预共享密钥、完全正向机密性(Diffie-Helman 和 Oakley 客户机支持)、密钥寿命和 IKE 寿命时间设置、防止重放攻击、远程接入 VPN(客户机到站点)、站点到站点 VPN、IPSec NAT 遍历(VPN 通道)。
3.工作模式:网络地址转换(NAT),最大支持253台客户机 。
4.路由:静态路由,动态路由RIP v1、RIPv2。
5.管理界面:Web 图形用户界面,用户名和口令保护。智能向导和安装助手。通过 IP 地址或 IP 地址范围和口令进行认证的远程管理支持。上载和下载配置设置,现场可升级的快闪内存和 DRAM。
•NETGEAR ProSafe™ VPN 客户端软件
ProSafe™ VPN 客户端是NETGEAR开发的具有强健的加密和验证功能的VPN 客户端软件, 可与NETGEAR VPN防火墙产品(FVS318 / FVL328 / FVS328 )配套成完整方案, 用于单机用户配置安全策略和管理证书的图形化配置。 它支持NAT穿透,冗余网关功能支持,能与其他厂家IPSec VPN设备广泛兼容操作。(见图2)
#$[*172584.GIF*#图2(客户端)*#0*#0*#center*]$#
配置实例
这一小节将介绍NETGEAR FVS328和NETGEAR ProSafe™ VPN客户端组网的配置实例。图3是我们假设的VPN拓朴。我们假设FVS318的局域网和广域网部的参数已经设置完毕,网络已通,下面介绍VPN部分的配置。
#$[*172585.jpg*#图3(点击看大图)*#0*#0*#center*]$#
在开始设置VPN之前,要做个准备工作:设置动态域名解析(Dynamic DNS)。登录FVS318,在主菜单的Advanced选项选择Dynamic DNS打开Dynamic DNS窗口,选中你所在DDNS服务提供商,如本例的选用网域科技(www.oray.net.)的服务,选中Oray.net前的单选钮。在Host and Domain Name填入申请的域名:lanshan.xicp.net。在User Name和Password分别输入动态域名解析服务的用户名和密码。(见图4)
#$[*172587.jpg*#图4(点击看大图)*#0*#0*#center*]$#
一.配置FVS318
1.登录NETGEAR FVS328(http://192.168.0.1)用户名:admin 密码:password
2.点击右边主菜单的VPN Settings(VPN设置)打开VPN设置窗口(见图5), 点击第一隧道的单选钮,点击Edit(编辑)按钮打开VPN Settings -Main Mode窗口。(见图6)
#$[*172589.jpg*#图5(点击看大图)*#0*#0*#center*]$#
#$[*172591.jpg*#图6(点击看大图)*#0*#0*#center*]$#
以下为设置VPN参数。
在Connection Name(连接名)输入一个唯一的VPN 隧道名,例如:VPNclient
在Local IPSec Identifier(本地IPSec标识符) 输入我们申请的动态域名,如:lanshan.xicp.net。
在Remote IPSec Identifier(远程IPSec标识符),我们输入VPNclient。
在Tunnel can be accessed from(隧道能被访问)选择 a subnet of local addresses。
在Local LAN start IP Address (本地局域网启始IP地址)输入公司总部的内网网络号:192.168.0.0 ,结束地址留空。
Local LAN IP Subnetmask(本地子网掩码):255.255.255.0
在Tunnel can access(隧道可访问)下拉菜单选择:A Single Remote Address(单一远程地址)。
在Remote LAN Start IP Address(本地局域网开始IP地址)输入远程客户机B的地址,此例为:0.0.0.0。表示FVS318可接受任何IP地址。有时旅行的用户不必知道他所处的IP。
让WAN IP or FQDN address 留空。
在Secure Association(安全关联)下拉菜单选择:Main Mode(主模式)。
在Perfect Forward Secrecy选择:Enabled 。
在Encryption Protocol (加密协议)选择: 3DES。
在PreShared Key (预先共享关键字)输入两边共享的字符串,本例取hr5xb84l6aa9r6作为FVS318 和VPN client的共享关键字。
在Key Life(关键字生命期)输入28800秒。
在IKE Life Time(IKE生命时间)输入86400秒。
选中NETBIOS Enable(NETBIOS协议允许),假如你希望隧道能通过NetBIOS流量,允许象Microsoft 的“网上邻居”能浏览。
点击Apply应用保存所有修改,并返回VPN Settings屏幕。当返回VPN Settings时,确认Enable 单选钮已被选中。
二.设置NETGEAR VPN Client 客户端
1.点击“开始>程序>NETGEAR ProSafe VPN Client>Security Policy Editor”打开安全策略编辑器
2.点击Options,指向Secure,点击 Specified Connections指定连接,也就是不是所有的INTERNET连都要发起VPN。(见图7)
#$[*172600.jpg*#图7(点击看大图)*#0*#0*#center*]$#
3.点击Edit>Add Connection ,出现一个新的 “New Connection”,把 “New Connection” 改名为FVS318(见图8)。Connection Security 选择Secure,ID Type选择IP Subnet,在 Subnet 输入公司局域网的子网号192.168.0.0,子网掩码 255.255.255.0 。Protocol 选择All ,Connect using选择Secure Gateway Tunnel ,ID Type 选择Domain Name和Gateway Hostname都输入FVS318 的动态域名lanshan.xicp.net。
#$[*172606.jpg*#图8(点击看大图)*#0*#0*#center*]$#
4.在Network Security Policy 列表,点击My Identity副标题。点击Pre-Shared Key
填入和 FVS318 一样的预先共享关键字hr5xb84l6aa9r6。点击 OK。(见图9)
#$[*172609.jpg*#图9(点击看大图)*#0*#0*#center*]$#
5.在Network Security Policy 列表,点击Security Policy副标题。在Select Phase 1 Negotiation Mode 菜单选Main Mode,选中Enable Perfect Forward Secrecy (PFS) 单选钮。在PFS Key Group下拉列表选中Diffie-Hellman Group 2,选中Enable Replay Detection 单选钮。(见图10)
#$[*172613.jpg*#图10(点击看大图)*#0*#0*#center*]$#
6.配置连接安全策略(见图11、12)。在这个步骤你要提供authentication (IKE Phase 1) 设置和key exchange (Phase 2) 设置。
配置Authentication (Phase 1)。Encrypt Alg 菜单选择Triple DES(3DES),在Hash Alg选择SHA-1,在SA Life选择Unspecified,在Key Group menu选择Diffie-Hellman Group 2。
配置Key Exchange (Phase 2)。在SA Life 选择Unspecified,在Compression选择None,选中ncapsulation Protocol (ESP) 单选钮,在Encrypt Alg选择iple DES,在Hash Alg选择SHA-1,在 Encapsulation 选择Tunnel。
#$[*172616.jpg*#图11(点击看大图)*#0*#0*#center*]$#
#$[*172619.jpg*#图12(点击看大图)*#0*#0*#center*]$#
7.在Options选择Global Policy Settings。(见图13)
增加重发间隔到45秒,选中Allow to Specify Internal Network Address单选钮,点击OK
#$[*172622.jpg*#图13(点击看大图)*#0*#0*#center*]$#
文章小结:
上述介绍的方案是小型企业广域联网的解决方案,特别适用于临时外派办事处的联网需求,特别的出差员工与总部的协同办公需要,也适合在家工作的员工。相似的产品还有NESCO BV-601和VIGOR2300等产品。它们共同的特点是集宽带路由器、防火墙、VPN于一身,在一个设备上就可以满足小型企业的接入,安全,联网需要。为出差员工与公司总部员工的协同工作创造了有利的条件。
![#$[*172582.jpg*#图1(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172583.GIF){kind=link}
![#$[*172585.jpg*#图3(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172586.GIF){kind=link}
![#$[*172587.jpg*#图4(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172588.GIF){kind=link}
![#$[*172589.jpg*#图5(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172590.GIF){kind=link}
![#$[*172591.jpg*#图6(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172592.GIF){kind=link}
![#$[*172600.jpg*#图7(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172603.GIF){kind=link}
![#$[*172606.jpg*#图8(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172608.GIF){kind=link}
![#$[*172609.jpg*#图9(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172611.GIF){kind=link}
![#$[*172613.jpg*#图10(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172615.GIF){kind=link}
![#$[*172616.jpg*#图11(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172618.GIF){kind=link}
![#$[*172619.jpg*#图12(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172620.GIF){kind=link}
![#$[*172622.jpg*#图13(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=172624.GIF){kind=link}