基于网御防火墙的远程访问VPN实验教学

唐海涛, 张立明

(吉林大学 计算机科学与技术学院, 吉林 长春　130012)



基于网御防火墙的远程访问VPN实验教学

唐海涛, 张立明

(吉林大学 计算机科学与技术学院, 吉林 长春130012)

为满足网络用户对信息安全设备和安全产品越来越高的要求,吉林大学计算机科学与技术学院与联想网御科技有限公司合作,引进了UTM、防病毒网关、入侵防护IPS、防火墙、VPN、入侵检测IDS等6台设备,搭建了网御防火墙实验平台。介绍了远程访问VPN实验的网络拓扑结构和实验过程。该平台为信息安全专业的硕士研究生提供了硬件实验环境,培养出适应市场需要的高质量创新人才。

信息安全； 防火墙； 远程访问；VPN；IDS

互联网在社会生活的各个方面越来越普及,并成为推动社会发展的主要动力之一。对个人用户来说,互联网使人们的生活变得更加便捷和高效；而对于企业而言,传统的营销方式及内部管理机制也被互联网所改变。然而,网络安全问题已十分严峻[1-2]。黑客程序、木马、病毒已经结合起来进行网络入侵式攻击,严重威胁了网络信息的安全性,确保网络安全变得越来越重要[3-5]。为提高学生在网络信息安全方面的实践动手能力,国内高校陆续开展网络安全方面的实验教学课程建设[6-9]。吉林大学计算机学院开设了网络信息安全实验课程[10]和网御防火墙下虚拟专用网络(virtualprivatenetwork,VPN)实验课程,以提高学生在硬件网络防火墙下远程访问VPN方面的实践动手能力。

1　影响网络安全的主要因素

利用互联网进行犯罪活动所造成的经济损失令人震惊[11-12]。仅以信息化较发达的美国为例,每年因网络入侵犯罪造成的直接经济损失就高达100亿美元。在全球范围内,平均每隔20秒就会发生一起网络入侵事件。近几年,我国国内利用互联网进行违法犯罪的案件增加较快。来自公安部的统计资料显示,我国每年破获电脑黑客网络入侵犯罪案件数百起。黑客攻击方法与计算机病毒很相似,网络入侵方法一直在增加,现在已经达到近千种。

从网络入侵技术的角度来分析,影响网络安全的主要因素有以下几点。

(1) 黑客的攻击。如今,黑客的网络入侵技术已不再是一种高深莫测的技术,越来越多的人开始学习网络入侵技术。目前,全世界约有20多万个免费或是开源的黑客网站。这些黑客网站都针对系统的漏洞,向网络黑客介绍网络入侵攻击的方法以及各种各样网络入侵攻击软件,这就使信息用户系统和网络站点遭受攻击的风险大大增加。网络黑客的攻击具有隐蔽性较好、杀伤力强的特点,而现在还缺乏针对网络入侵攻击犯罪的有效的破获方法,使得黑客攻击成为网络信息安全的主要威胁。

(2) 网络的缺陷。因特网设计的初衷主要是对网络上信息的共享和开放,这也构成了影响信息化安全性的主要因素之一。因特网的TCP/IP信息传输协议在设计时主要考虑的是网络上信息的传输不会因局部故障而受影响,基本忽略了信息转输过程中的安全性问题,因而使得互联网在信息化安全性防护方面较差。互联网传输协议在控制非法链接和辨别用户身份真伪等方面有很大的缺陷,也因此为网络入侵留下了“后门”,对网络的安全性危害较大。

(3) 软件及系统的漏洞。随着信息化的高速发展,网络软件及系统的规模也在不断增大,其中的安全漏洞问题不可避免地增多。用户常用的操作系统和网络软件,例如Windows、Unix和Linux,几乎都不同程度地存在安全漏洞问题。同时,各种操作系统上运行的浏览器、桌面软件等也都被发现存在或多或少的安全漏洞问题。任何一款操作系统或软件都不可避免地存在漏洞问题,这大多数是因为程序员在设计软件时的疏忽或设计缺陷造成的,这也对网络信息的安全性构成了威胁。

2　基于网御防火墙的VPN

为避免因网络软件缺陷或系统漏洞而遭受黑客的入侵式攻击,网络信息安全的门户防火墙技术应运而生。基于此技术的典型代表是PowerV网御防火墙[13]硬件平台,其主要由安全网关设备、专用的操作系统、防火墙安全软件组成。根据用户使用操作系统环境的不同,防火墙硬件平台会选取相应的专用安全平台。一方面,会对不同用户的专用操作系统为其自主研发嵌入式安全性操作系统。另一方面,防火墙中的安全应用软件层主要是基于分层模块化技术进行设计的,可依据不同的操作系统和不同环境下的安全策略自动配置不同的安全性功能模块。

防火墙的功能主要是阻断作用,用来防止私有网络的外部用户的非法入侵。而VPN功能是建立一条虚拟专用网络,使外部用户利用这条加密后的网络访问内部的私有网络,即在防火墙技术或其他安全防护技术手段下,在内部私有网络和外部公共网络用户间建立的一条专用链接,通过这条专用链接,外网公共用户可在授权的情况下访问内部私有网络。

近几年,已经出现防火墙带有VPN功能、VPN带有防火墙功能或集防火墙和VPN于一体的硬件产品。在对国内外各种VPN产品充分分析基础上,联想公司根据企业用户需求建立了网御VPN产品[13]。此VPN系统与其他产品不同。首先,VPN系统采用的是网御VPN,使得企业用户下面的所有子分支用户、企业合作伙伴和移动企业用户都能连接上互联网。其次,VPN系统使互联网上不同级别的企业用户间的访问更加便捷,不同用户间可以像使用专线互联一样快捷、安全地共享和传输数据。网御VPN产品主要包括VPN安全网关、VPN客户端和系统管理平台3部分。其中,VPN安全网关主要是帮助实现用户网络到网络的安全访问；VPN客户端则主要是帮助用户监控远程网络上其他接入用户的安全访问；系统管理平台可以实现高效的管理,主要是可以管理多层次、多节点的复杂型网络。

3　远程访问VPN实验教学

远程访问VPN实验的目的是通过配置联想网御安全网关PowerV(VPN),从而了解远程主机使用PPTP和L2TP连接企业内部网络的工作过程。

3.1实验环境和网络拓扑结构

远程访问VPN实验的环境要求包括:(1)联想网御安全网关PowerV(VPN)1台,交换机1台,网线若干；(2)计算机2台(计算机A、计算机B),安装WindowsXP操作系统。

实验的网络拓扑结构为:

(1) 计算机A的IP地址为192.168.1.70(配置主机)；

(2) 计算机B的IP地址为192.168.1.60(实验用机)；

(3) 使用VPN的FE1口(IP地址为192.168.1.205),计算机A、计算机B的网线连接在同一台交换机上。

3.2实验过程

PPTP和L2TP是二层隧道的协议,为远程主机通过VPN网关访问企业内部网络提供链路。网御安全网关可以配置为PPTP/L2TPVPN网关,远程主机就可以通过MicrosoftWindows98/2000/XP/2003操作系统使用PPTP和L2TP连接企业内部网络。

连接好网络拓扑后,使用Web方式访问VPN,网址是https://192.168.1.205:8889。打开该网址,按提示加载证书,输入用户名和密码administrator,如图1所示。登录成功后,配置添加一个远程拨号用户,然后再配置PPTP/L2TP参数,如图2所示。

图1　登录后界面

图2　PPTP/L2TP参数配置界面

3.3客户端配置

Windows缺省将L2TP和IPSec捆绑使用,但Windows2000/XP配置使用IPSec非常复杂，而且各不相同。为了简化配置,需要修改注册表,将L2TP和IPSec拆分:在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters下添加DWORD项:ProhibitIpSec,修改其值为1(见图3)。

图3　注册表配置界面

在Windows的网络与拨号连接中新建网络连接,选择“连接到专用网络”,然后输入PPTP/L2TPVPN网关的地址,完成了一个VPN远程访问链接的创建。接下来验证链接是否正常工作(见图4)。

图4　监控显示VPN连接成功

在该实验中,在对PPTP(点对点隧道协议)建立VPN有了初步的了解之后,可以对VPN进行一些基本的设置,通过该协议可以使远程主机安全访问公司网络。

4　结语

吉林大学计算机科学与技术学院在网络信息安全的实验教学中,针对网络攻击和网络入侵形式的多样化问题,引进网御防火墙PowerV,通过搭建网络与信息安全实验平台,为信息安全专业的实验教学提供了基于硬件防火墙的VPN实验,提高了学生的实践动手能力。

References)

[1] 诸葛建伟.安全技术体系:网络攻防技术与实践[M].北京:电子工业出版社,2011.

[2] 张卫东,李晖,尹钰.网络安全实验教学方法的研究[J].实验室研究与探索,2007,26(12):286-289.

[3] 李玲俐.网络信息安全实践教学体系研究与探索[J].实验科学与技术,2015,13(2):86-88.

[4]GoncalvesM.防火墙技术指南[M].宋书民,译.北京:机械工业出版社,2000.

[5] 刘晓辉.网管天下:交换机-路由器-防火墙[M].北京:电子工业出版社,2011.

[6] 万伟.基于NDIS中间层驱动的DDoS防火墙的设计[J].实验科学与技术,2015,13(2):32-35.

[7] 张建忠.浅谈建立防火墙的主动性网络安全防护[J].实验室科学,2007,10(3):105-107.

[8] 吴海兵,刘萍,黎明曦,等.涉密环境下的实验教学网络安全研究[J].实验室研究与探索,2013,32(1):188-191.

[9] 李冬冬,毛明.网络安全实验演示系统的设计与实现[J].实验技术与管理,2008,25(3):47-51.

[10] 唐海涛,孟繁二,孙聪,等.网络与信息安全实验教学平台的构建[J].实验技术与管理,2010,27(9):118-120.

[11] 程庆梅,徐雪鹏.防火墙系统实训教程[M].北京:机械工业出版社,2012.

[12]TibbsR,OakesE.防火墙与VPN:原理与实践[M].李展,邢博特,译.北京:清华大学出版社,2008.

[13] 联想公司.网络安全防护系列[EB/OL].[2015-12-26].http://www.leadsec.com.cn.

ExperimentalteachingofremoteaccessVPNbasedonnetimperialfirewall

TangHaitao,ZhangLiming

(CollegeofComputerScienceandTechnology,JilinUniversity,Changchun130012,China)

Withtherapiddevelopmentofinformationtechnology,theinformationsecurityhasbecomeincreasinglywidespreadcontentusersofsafetyequipmentandsafetyproductsputforwardincreasinglyhighrequirementstoComputerScienceandTechnologyofJilinUniversity,incollaborationwithLeadSecTechnologyCo.,Ltd.TheintroductionofaUTM,gatewayanti-virus,intrusionpreventionIPS,firewall,VPN,intrusiondetectionIDSsixdevicesRoyalnetworkfirewallbuiltexperimentalplatform.Informationsecurityprofessionalgraduates’experimentalenvironmentprovideshardwareandpracticalability.Cultivatinghighqualityinnovativetalentscanmeetmarketneeds.

informationsecurity;firewall;remoteaccess;VPN;IDS

DOI:10.16791/j.cnki.sjg.2016.07.036

2016-01-06修改日期：2016-05-24

国家自然科学基金项目(61472159,61402196,61272208)；吉林省科技发展计划基金项目(20140520067JH);中国博士后科学基金项目(2013M541302)

唐海涛(1972—),男,吉林长春,硕士,工程师,主要从事网络安全方面实验教学

张立明(1980—),男,吉林长春,博士,高级工程师,主要从事网络安全和故障诊断研究.

G482

B

1002-4956(2016)7-0149-03