资源描述:
《安全vpn网关服务器的配置管理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第31卷第8期2003年8月同济大学学报JOURNALOFTONGJIUNIVERSITYVol.31No.8Aug.2003安全VPN网关服务器的配置管理汪海航,李琼,葛勤耕(同济大学计算机科学与工程系,上海200092)摘要:在分析VPN系统的基本框架和安全网关的网络模型基础上,对网关配置管理的特点、安全管理中心以及系统配置管理等进行了阐述,从系统的整体规划、人机界面、中间传输层以及底层通信层设计等四个方面,探讨了服务器和客户端配置模块的设计与实现方法.关键词:虚拟专用网;安全网关;服务器;配置管理中图分类号:TP393.08文献标识码:A文章编号:0253-374X(2003)08-
2、0959-05ConfigurationManagementforSecurityVPNGatewayandServerWANGHai2hang,LIQiong,GEQin2geng(DepartmentofComputerScienceandEngineering,TongjiUniversity,Shanghai200092)Abstract:BasedonanalyzingthebasicframeworkofVPNsystemandnetworkmodelofsecuritygateway,thecharacteristicofgatewayconfigurationmanagemen
3、t,securitymanagementcenterandsystemconfigurationmanagementareintroducedfirstly.Inaddition,thedesignandimplementationmethodsfortheconfigurationmodulesofserverandclient2endarediscussedfromfouraspectsofthedesignfortotalsystem,man2machineinterface,transmissionlayerandcommunicationlayer.Keywords:virtualp
4、rivatenetwork;securitygateway;server;configurationmanagement作为网络安全领域的一个研究热点,虚拟专用网(virtualprivatenetwork,VPN)技术提出了一种全新的解决网络层安全性问题的方案[1,2].基于IPSec协议的VPN被普遍重视,并成为VPN发展的主流[3,4].IPSec协议根据“请求评注”(requestforcomment,RFC)定义实现的模式可以有两种模式:主机模式(VPN起始点基于主机)和网关模式.为了对网络用户进行合适的管理,往往采用网关模式,构筑在企业和政府的骨干网络上,其优点是:①能对一些相同特
5、性的用户进行统一管理,便于安全策略的实施;②能对子网内的进出数据进行审核,防止非法行为.但安全的VPN系统仅有安全的网关系统是不够的,没有安全的配置管理系统,整个系统就没有安全性可言.因此,对VPN安全网关服务器的配置管理问题的研究就显得十分必要,并且意义重大.1VPN系统的基本框架图1表示VPN系统的基本框架.通过VPN服务器的配置管理模块设定系统的安全策略,服务器中的因特网密钥交换(internetkeyexchange,IKE)模块与对方的服务器进行协商,得到保护通讯的安全关联(securityassociation,SA),然后,与内核中的IPSec实现模块交互,操作安全策略数据库(s
6、ecuritypolicy收稿日期:2002-08-21基金项目:国家自然科学基金资助项目(70071022)作者简介:汪海航(1965-),男,浙江奉化人,副教授,博士后.E2mail:wanghh@public2.sta.net.cn960同济大学学报第31卷database,SPDB)和安全关联数据库(SAdatabase,SADB),为策略指定的通讯对象准备相应的处理方法和密钥.在对象进行的时候,当IP层的数据包到达网关时,按指定的策略建立安全通道,保证通讯的安全进行.为了响应IPSec模块的数据加密、解密请求,对数据进行高速的加解密处理,这里采用数字信号处理机(DSP)硬件实现.2安
7、全网关的网络模型图2表示安全网关的网络模型,主要由以下几部分组成:①生产中心.负责对密钥的分发,网关创建文件的建立.②IPSec安全网关.作为主要网络安全工具,负责对进出子网内的数据包的加密和认证.安全网关在公用网络上建立了私有的隧道来进行数据传输.③网关配置机.通过串口线VPN网关进行配置,包括用户添加、VPN通道建立、日志文件的管理、日志的审计以及VPN网关网络的配置等一系列网络安全功能的配置