IPSec VPN安全應用系統
1.系統概述
IPSec VPN安全應用系統結構如圖14-8所示。
在網路資訊保安領域,網路層是網路入侵者進攻資訊系統的渠道和通路,許多安全問題都集中體現在網路的安全方面。由於大型網路系統內執行的TPC/IP協議並非專為安全通訊而設計,所以網路系統存在大量安全隱患和威脅。網路入侵者一般採用預攻擊探測、竊聽等蒐集資訊,然後利用IP欺騙、重放或重演、拒絕服務攻擊(SYN FLOOD,PING FLOOD等)、分散式拒絕服務攻擊、篡改、堆疊溢位等手段進行攻擊。
通過對核心的網路裝置提供PKI支援,使用數字證書可以有效地保證網路資源的安全性。IPSec協議能夠利用驗證及加密用的裝置證書,將兩個網路層對等起來,如兩個路由器、或是終端使用者與遠端路由器之間,以便建立安全的通訊。按這種方式,IPSec可用來實現虛擬專用網(VPN)、安全的外部網及遠端使用者訪問等。裝置證書也是標準的X.509證書,也有與普通證書一樣的生命週期。
|
| 圖14-8 IPSec VPN安全應用系統結構 |
裝置證書用於網路裝置的身份鑑別,建立安全通道。有了裝置證書,組織可在開放的、不安全的Internet上構建安全虛擬專用網,實現企業辦公室、企業夥伴和遠端使用者之間的安全資料通訊。裝置證書可識別使用IPSec協議進行安全通訊的裝置。IPSec是一套支援IP包安全交換的協議,不像SSL那樣在應用層執行,IPSec在IP網路層中執行,對IP包進行加密。
CFCA國產化系統通過對IPSec協議的支援,可以對多種IPSec相容裝置、路由器及防火牆進行相應的裝置數字證書發放和管理。
CFCA國產化系統能夠處理VPN裝置的SCEP證書申請請求。
2.PKl證書在VPN中的應用例項
一般CA國產化系統所發放的VPN數字證書,能夠在許多VPN產品的客戶端及伺服器端進行相關設定,使用者使用有效的數字證書便可在客戶端與伺服器端建立VPN安全連線,進行日常的工作操作。
(1)簡要實現流程
一般VPN支援標準的數字證書及相關認證功能。通過對一般VPN的深入實踐,CA證書系統所發放的數字證書,可以應用於基於數字證書的VPN安全連線中。
為保證數字證書的安全,證書的儲存介質為USBKey。USBKey不但能夠保證使用者私鑰的安全需求,同時也提供了標準的CSP介面,能夠與標準客戶端系統實現無縫銜接。一般VPN客戶端支援CSP介面,能夠方便地呼叫儲存於USBKey中的使用者證書。通過簡單的設定,即可實現以基於數字證書(以USBKey為介質)認證的VPN安全連線應用。
VPN支援標準數字證書,使用者可直接將CA系統簽發的使用者數字證書應用於VPN安全連線中。
另外,如果需要,使用者則可以通過VPN客戶端以PKCS#10申請書格式產生證書請求,並提交至CA系統簽發,以獲取使用者數字證書。
(2)申請VPN客戶端證書(以Cisco Systems VPN為例)
① 啟動VPN客戶端證書管理程式(點選“開始”→“程式”→“Cisco Client”→“Certificate Manager”),如圖14-9所示。
② 為了生成證書申請書,單擊“New”按鈕,進入輸入口令介面,如圖14-10所示。
|
| (點選檢視大圖)圖14-9 啟動VPN客戶端證書管理程式 |
|
| (點選檢視大圖)圖14-10 輸入口令介面 |
③ 輸入新生成的金鑰保護口令並確認後,單擊“Next”按鈕,進入選擇檔案方式介面,如圖14-11所示。
④ 這裡我們選擇檔案方式“File”,單擊“Next”按鈕,進入儲存申請書及位置設定介面,如圖14-12所示。
|
| (點選檢視大圖)圖14-11 選擇檔案方式介面 |
|
| (點選檢視大圖)圖14-12 儲存申請書及位置設定介面 |
⑤ 選擇預設設定,單擊“Browse”按鈕進行申請書儲存名稱及位置設定,後臺的資料流程如圖14-13所示。
|
| (點選檢視大圖)圖14-13 後臺的資料流程 |
⑥ 單擊“Next”按鈕,進行證書申請資訊的填寫,如圖14-14所示。
⑦ 填寫相關資訊後,單擊“Next”按鈕,確定資訊無誤後,單擊“Finish”按鈕,如圖14-15所示。
|
| (點選檢視大圖)圖14-14 填寫證書申請資訊介面 |
|
| (點選檢視大圖)圖14-15 確認資訊介面 |
至此,申請過程完成,將生成的申請書拿到CA中心進行證書的簽發;簽發完畢後,直接將CA簽發好的證書使用該工具匯入客戶端即可。
VPN伺服器證書申請與此原理相同。具體操作流程請參看Cisco Systems VPN相關的介紹文件,在這裡就不再作詳細介紹了。
對於已經擁有合法數字證書的使用者,可直接通過配置來實現VPN連線。下面介紹直接利用有效數字證書進行VPN安全連線的配置過程。
3 VPN安全連線的配置
① 執行“開始”→“程式”→“Cisco Systems VPN Client”→“VPN Dialer”,建立一個新連線,如圖14-16所示。
② 此處表示該新建連線名和描述。輸入完畢後單擊“Next”按鈕,輸入VPN伺服器IP地址或主機名,如圖14-17所示。
|
| (點選檢視大圖)圖14-16 建立連線 |
|
| (點選檢視大圖)圖14-17 輸入VPN伺服器IP地址或主機名 |
③ 輸入完畢後,我們將安裝有數字證書的USBKey(本例中,我們使用的USBKey中已經頒發了使用者名稱為TestUser007的數字證書)與計算機相連。然後,單擊“Next”按鈕,選擇建立VPN時所用的使用者數字證書,這裡我們選擇“Certificate”選項。在所列的證書列表中,我們可以看到USBKey中存在的使用者數字證書並選擇,如圖14-18所示。
④ 選擇完畢後,單擊“Next”按鈕,至此,新連線嚮導配置結束。我們可以看到如圖14-19所示的配置完成介面:
|
| (點選檢視大圖)圖14-18 選擇使用者的數字證書 |
|
| (點選檢視大圖)圖14-19 配置完成介面 |
單擊“Finish”按鈕以結束整個新建過程。
4 VPN安全連線過程
配置完畢後,執行VPN Dialer程式,可以看到我們剛才新建的連線名稱。單擊“Connect”按鈕即可進行撥號動作。
① 輸入USBKey保護口令(由於使用USBKey中的數字證書,所以需要輸入USBKey的保護口令),如圖14-20所示。
|
| 圖14-20 輸入USBKey的保護口令 |
② 輸入正確的PIN碼(密碼),並單擊“校驗”按鈕。如果以上配置正確,並且輸入的PIN碼正確,則VPN客戶端程式會自動連線VPN伺服器,實現VPN安全連線。
由於數字證書存在於USBKey中,所以當USBKey從計算機中拔除後,VPN客戶端無法提供安全連線所需的數字證書,從而不能建立VPN連線,保證其他使用者不可能非法使用您的證書進行VPN連線。
相關文章
- IPsec在企業網中的應用!(vpn)
- IPSEC VPN閘道器構建高安全性的資料採集系統
- IPSEC VPN 與 SSL VPN 兩種VPN 風險比較
- 系統安全及應用
- 解析天翼雲IPsec VPN和SSL VPN的區別
- 記IPSec VPN對接故障的排查
- CentOS快速搭建IPsec/L2TP VPNCentOS
- IPsec_VPN實現技術【轉載】
- IPSec應用方案設計
- VPN隧道協議-GRE、L2TP、IPSEC協議
- 基於Linux和IPSec的VPN閘道器Linux
- H3C MSR 20-20 IPsec VPN 配置
- 郵件系統VPN搭建方案
- MPLS VPN典型應用場景——VecloudCloud
- 淺談OA系統在應用中安全性
- avast安全線vpn有什麼用如何關閉AST
- H3C和CISCO裝置之間的ipsec vpn 配置例項
- OpenVPN閘道器構建靈活安全的資料採集系統
- 網路安全協議之IPsec協議
- win7系統VPN設定方法Win7
- App應用安全防護體系APP
- 文件安全管理系統在軍工單位的應用案例
- SonicWALL Global VPN客戶端連線出現Failed to open the IPSec driver錯誤客戶端AI
- 網際網路協議安全IPSec協議
- 向日葵VPN搭建OA辦公系統
- 工業智慧閘道器利用VPN安全通訊打造PLC資料採集系統
- 詳細介紹PPTP、L2TP、IPSec、OpenVPN和SSTP的區別pptp
- 艾泰HiPER2620和H3C裝置建立IPSEC VPN
- 在ORACLE中利用角色增強應用系統安全性(轉)Oracle
- 應用安全
- SRM系統是什麼系統?如何應用SRM系統?
- 資訊系統的輔助應用系統
- 工控安全政策系列導讀:資訊保安技術工業控制系統安全控制應用指南
- [應用案例]商城系統,yershop
- PLM系統應用範圍
- 應用系統整合方案(一)
- 應用系統整合方案(二)
- 應用系統整合方案(三)