《计算机科学与技术》专业毕业论文

利用防火墙构建VPN设计和应用 许琛捷

重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如 Finger ， DNS 等服务。 Finger 显示了主机的所有用户的注册名、真名，最后登录时间和使用 shell 类型等。但是 Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的 DNS 信息，这样一台主机的域名和 IP 地址就不会被外界所了解。

除了安全作用，防火墙还支持具有 Internet 服务特性的企业内部网络技术体系 VPN 。通过 VPN ，将企事业单位在地域上分布在全世界各地的 LAN 或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

1.1.3 利用防火墙构建VPN技术概述

VPN连接两个独立的局域网，加密技术是VPN的一个集成部分用来完成两种任务： a) 加密能够让防火墙确定试图连接到VPN网络的用户是不是确实被授予了相关的权

限。

b) 加密可以用来加密信息中的有效负载，从而保证其隐密性。 VPN是防火墙的一类复杂而重要的功能。

第二章利用防火墙构建VPN设计

2.1 体系结构设计

VPN系统的结构如下：

VPN用户代理(User Agent, UA)向安全隧道代理(Secure Tunnel Agent, STA)请求建立安全隧道，安全隧道代理接受后，在VPN管理中心(Management Center ,MC)的控制和管理下在公用互联网络上建立安全隧道，然后进行用户端信息的透明传输。用户认证管理中心和VPN密钥分配中心向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理，VPN用户代理又包括安全隧道终端功能(Secure Tunnel Function ,STF)、用户认证功能(User Authentication Function ,UAF)和访问控制功能(Access Control Function ,ACF)三个部分，它们共同向用户高层应用提供完整的VPN服务.

安全隧道代理(Secure Tunnel Agent, STA)和VPN管理中心(Management Center ,MC)组成 了VPN安全传输平面(Secure Transmission Plane , STP)，实现在公用互联网络基础上实现信息的安全传输和系统的管理功能。

公共功能平面(Common Function Plane ,CFP)是安全传输平面的辅助平面，由用户认证管 理中心(User Authentication & Administration Center ,UAAC)和VPN密钥分配中心(Key Distribution Center ,KDC)组成。其主要功能是向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理。

用户认证管理中心（UAAC）与VPN用户代理直接联系，向安全隧道代理提供VPN用户代理的身份认证，必要时也可以同时与安全隧道代理（STA）联系，向VPN用户代理和安全隧道代理提供双向的身份认证。

第7页

利用防火墙构建VPN设计和应用 许琛捷

下面分别对安全传输平面STP和公共功能平面CFP作详细的讨论：

2.1.1 安全传输平面（STP）

2.1.1.1 安全隧道代理（STA）

安全隧道代理在管理中心组织下将多段点到点的安全通路连接成端到端的安全隧道，是 VPN的主体，它主要的作用是：

(1) 安全隧道的建立与释放(Secure Tunnel Connection & Release)。按照用户代理（UA）的的请求，在UA与STA之间建立点到点的安全通道(Secure Channel)，然后在此安全通道中进行用户身份验证和服务等级协商的必要交互，然后在管理中心（MC）的控制下建立发送端到目的端之间由若干点到点的安全通道依次连接组成的端到端的安全隧道。将初始化过程置于安全通道中进行，可以保护用户身份验证等重要信息的安全。在信息传输结束之后，由通信双方的任一方代理提出释放隧道连接请求. (2) 用户身份的验证(User Authentication)。在安全隧道建立的初始化过程中，STA要求UA提交用户认证中心提供的证书，通过证书验证以确认用户代理身份。必要时还可进行UA对STA的反向认证以进一步提高系统的安全性。

(3) 服务等级的协商(Service Level Negotiation)。用户身份验证通过之后，安全隧道代理与VPN用户代理进行服务等级的协商，根据其要求与VPN系统的资源现状确定可能提供的服务等级并报告至VPN管理中心。

(4) 信息的透明传输(Transparent Information Transmission)。安全隧道建立之后，安全隧道代理负责通信双方之间信息的透明传输，并根据商定的服务参数进行相应的控制. (5) 远程拨号接入(Remote & Dial Access)。为了实现异地接入功能，STA还需要与远程、拨号用户的用户代理进行必要的接口适配工作，进行协议的转换等处理。这是远程接入VPN所特有的功能。

(6) 安全隧道的控制与管理(Secure Tunnel Control & Management)。在安全隧道连接维持期间，安全隧道代理还要按照管理中心（MC）发出的VPN网络性能及服务等级有关的管理命令并对已经建立的安全隧道进行管理。

2.1.1.2 VPN管理中心（MC）

VPN管理中心只与安全隧道代理（STA）直接联系，负责协调安全传输平面上的各STA之间的工作，是整个VPN的核心部分。其主要功能包括：

(1) 安全隧道的管理与控制。 确定最佳路由，并向该路由上包含的所有STA发出命令，建立连接。隧道建立以后，VPN管理中心继续监视各隧道连接的工作状态，对出错的安全通道，VPN管理中心负责重新选择路由并将该连接更换到替代路由。在信息传输过程中用户要求改变服务等级或者为了对整个网络性能优化的需要对已建立的隧道服务等级进行变更时，VPN管理中心向相应隧道连接上的STA发出更改服务等级命令。

(2) 网络性能的监视与管理(VPN Performance Supervision & Administration)。VPN管理中心不断监视各STA的工作状态，收集各种VPN性能参数，并根据收集到的信息对VPN网络进行故障排除、性能优化的工作。同时，VPN管理中心还负责完成对各种VPN网络事件进行日志记录、用户计费、追踪审计、故障报告等常用的网络管理功能.

2.1.2 公共功能平面（CFP）

公共功能平面(Common Function Plane ,CFP)作为安全传输平面的辅助平面，向VPN用户代理提供相对独立的用户身份认证与管理及密钥的分配管理，分别由用户认证管理中心 ( UAAC)和VPN密钥分配中心( KDC)完成。

第8页

利用防火墙构建VPN设计和应用 许琛捷

2.1.2.1 认证管理中心（UAAC）

这里的功能是提供用户认证和用户管理。 用户认证(User Authentication)。就是以第三者的客观身份向VPN用户代理和安全隧道 代理（STA）之中的一方或双方提供用户身份的认证，以便服务使用者和服务提供者之间能够确认对方的身份.

用户管理(User Administration)。这是与用户身份认证功能直接相联系的用户管理部分，即对各用户(包括VPN用户代理、安全隧道代理（STA）及认证管理中心（UAAC）)的信用程度和认证情况进行日志记录，并可在VPN管理层向建立安全隧道双方进行服务等级的协商时参考。这里的管理是面向服务的(Service－Oriented)，有关用户权限与访问控制等方面的用户管理功能则不在这里实现

2.1.2.2 密钥分配中心（KDC）

VPN密钥分配中心向需要进行身份验证和信息加密的双方提供使用密钥的分配、回收与管理. 在VPN系统里，VPN用户代理(UA)、安全隧道代理(STA)、认证管理中心(UAAC)) 都是密钥分配中心的用户。

2.2 设计环境介绍 Windows2000 server

2.3 运行环境介绍 Windows2000 server

2.4 利用的软件的介绍

Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墙，是市场上老资格的软件防火墙产品。

Check Point Firewall-1可以基于Unix、WinNT、Win2K等系统平台上工作，属状态检测型，综合性能比较优秀。兼容的平台较多是它的优点

第三章实现利用防火墙构建VPN实例步骤

3.1 定义Check Point FireWall-1 VPN网络对象 1．单击“开始”，指向“程序”，再指向Check Point Management Clients，然后单击Policy Editor NG FP2来打开Check Point Policy Editor窗口，输入口令，单击OK。

2．单击Manage，然后单击Network Objects来打开Network Object对话框。 3．单击New，然后单击Network，打开Network Properties对话框。

4．在General属性页的Name文本框中输入名字Local_Network，以创建自己的网络对象。 5．在Network Address文本框中，输入网络中的恶第一个IP地址（我的地址为范围为192.168.18.00/254，则我输入192.168.18.0。）

6．单击Net Mask文本框中，输入自己的子网掩码：如255.255.255.0 7．单击OK。 8．重复第3步。

9．为VPN中的远程网络输入名称Remote_Network。

10．重复5~7步，但输入域远程网络相关的信息，因为是在为它定义网络对象。

第9页

利用防火墙构建VPN设计和应用 许琛捷

11．完成后，单击Close关闭Network Object对话框

3.2 为Check Point FireWall-1VPN定义一个加密域

FireWall-1使用术语加密域来描述位于网关之后受加密保护的区域，在VPN中。两个网关使用加密来保护两个网络，我们已经定义了两个网络对象Local_Network和Remote_Network那么接下来：

1．单击“开始”，指向“程序”，再指向Check Point Management Clients，然后单击Policy Editor NG FP2来打开Check Point Policy Editor窗口，输入口令，单击OK。

2．单击Network Object旁边的+。 3．双击Local_Network。

4．在Check Point Gateway左侧categories(General Properties—Topology—NAT—VPN)列表中，单击VPN。

5．选中IKE复选框，然后单击Edit，显示IKE Properties对话框出现。

6．确保DES和3DES复选框被选中，另外还需确认MD5和SHA1复选框选中。 7．选中Pre-Shared Secret复选框。

8．单击OK关闭IKE Properties对话框。

9．在Workstation Properties左侧的categories列表中单击Topology。 10．单击VPN Domain下面的Manually Defined。 11．从下拉列表中单击All_Intranet_Gateway。

12．单击OK关闭Check Point Gateway对话框，然后再单击OK关闭Network Object对话框。

3.3 定义远程网关和配置身份验证

在定义了 site-to-site型VPN的本地网关后，还需要定义远程网关 1．单击“开始”，指向“程序”，再指向Check Point Management Clients，然后单击Policy Editor NG FP2来打开Check Point Policy Editor窗口，输入口令，单击OK。

2．单击Network Object旁边的+ 3．双击Remote_Network

4．在IKE Properties对话框中，单击Pre-Shared Secret。 5．单击Edit Secrets

6．在Shared Secret对话框中，在Peer Name列下单击Local_Gateway。

7．如果出现对话框，单击ok，在Edit Secret对话框中的文本框中如入口令、状态、代码。

8．单击Set

9．单击OK关闭Shared Secret对话框，再次单击OK。 10．单击Topology

11．单击Manually Defined，在下拉列表中单击All_Intranet_Gateway。

12．单击OK关闭Check Point Gateway对话框，然后再单击OK关闭Network Object对话框。若出现一个对话框说还没有配置anti-spoofing,单击OK

3.4 创建VPN规则

在FireWall-1中，可以将规则加入到Policy Editor的规则集中，以覆盖所有的VPN操作。只需要加入两条规则就能启用密钥的交换，以便在两个网络之间建立加密通信。还需要即将Encrypt加入规则集的Action列。

1．单击“开始”，指向“程序”，再指向Check Point Management Clients，然后单击Policy

第10页