基于安全隧道協議的VPN系統的設計與實現

摘要：基于安全隧道協議的VPN系統的安全設計可以實現遠程計算機用戶同企業內部網絡用戶之間的安全連接，并確保數據的安全傳輸。而且能夠大大的節省購買網絡設備的巨額資金，因此，構建VPN安全連接技術來實現企業網的安全訪問是十分可行的。

關鍵詞：安全隧道協議 VPN系統 安全訪問 網絡安全

Windows VPN系統可以跨專用網絡或公用網絡創建安全的點對點連接，極大地降低了企業用戶的費用，而且提供了很強的安全性和可用性。而隨著微軟公司正式發布Windows 2008，微軟操作系統出現了許多新的功能和特性，其中，安全套接字層隧道協議能讓企業用戶通過Windows Server 2008進行SSL VPN訪問。安全套接字層隧道協議是微軟提供的新一代的虛擬專用網技術，可以使企業防火墻管理員能更容易的配置VPN安全策略使SSTP數據包通過其防火墻。安全套接字層隧道協議提供了一種網絡安全訪問機制，將PPP數據包封裝在HTTPS的安全套接字層中，從而使PPP支持更加安全的身份驗證方法，因此安全套接字層隧道協議技術能夠確保各種數據在公用網絡中傳輸時不被非法用戶獲取，即便被竊取也無法讀取數據包中的有效信息。

1 基于安全套接字隧道協議路由和遠程訪問服務系統

1.1 安全套接字隧道協議下的VPN工作情況 PPTP協議或L2TP協議與安全套接字層隧道協議的VPN系統工作過程完全不同，當企業用戶在一臺正在運行Windows Server 2008計算機上建立基于安全套接字層隧道協議的VPN連接的時候，主要通過以下過程實現VPN訪問的。

①安全套接字層隧道協議：CLient與安全套接字層隧道協議 Server建立一個面向連接的鏈接，連接客戶端的TCP端口到SSTP服務器的傳輸控制協議端口；②安全套接字層隧道協議：CLient發送一個安全套接字協議的hello信息，與安全套接字層隧道協議 Server創建一個面向連接會話；③安全套接字層隧道協議：Server發送主機的相關證書到安全套接字層隧道協議CLient；④安全套接字層隧道協議進行host證書驗證，確定安全套接字層隧道協議會話的加密算法并生成一個SSL會話密鑰并使用SSTP服務器證書的公鑰進行加密， 并發送經過加密的安全套接字層隧道協議會話密鑰到安全套接字層隧道協議Server；⑤服務器使用host證書的私鑰解密這個被加密的安全套接字層隧道協議會話密鑰，CLient與Server之間的通信都是使用已經協商好的加密算法，如SHA算法和SSL會話密鑰進行加密；⑥Client 向SSTP Server發送HTTP的SSL請求并共同協商好一個SSTP隧道，包括證書與PPP的驗證方式；⑦Client開始發送IP數據與SSTP Server進行PPP連接。

1.2創建安全套接字隧道協議的證書服務 在Windows Server 2008中，路由和遠程訪問服務系統安裝方法和其它WINDOWS系統有所不同，它作為一項角色服務包含在“網絡策略和訪問服務”角色中。而“網絡策略和訪問服務”提供網絡策略服務器（NPS）、路由與遠程訪問、健康注冊頒發機構（HRA）和主機憑據授權協議（HCAP），這些都有助于企業網絡的可靠和安全。

Windows2008的證書服務為安全套接字層隧道協議VPN訪問提供了安全證書，在Windows Server 2008中的服務器管理器中，在“角色”中進行“添加角色”的配置，并在“添加角色向導”中進行“ACTIVE DIRECTORY 證書服務”的安裝，在“選擇角色服務”窗口中，選擇“證書頒發機構”以及“證書頒發機構WEB注冊”兩項，同時，在選擇“證書頒發機構WEB注冊”后彈出的窗口中，進行添加必要的角色服務，在“指定安裝類型”窗口中，進“企業”項的安裝，在“為CA配置加密”以及“配置CA名稱”兩個界面，設置加密方式SHA(Secure Hash Algorithm，安全散列算法），以及密鑰長度完成角色及角色服務安裝，因為SHA數字簽名等密碼學應用中重要的工具，被廣泛地應用于電子商務等信息安全領域。SHA是公認的安全加密算法，較之MD5更為安全，至此，在Windows2008下的證書服務安裝完成。

1.3 創建VPN服務器

1.3.1 添加服務器角色 在企業環境中，為了能訪問內部網絡的證書吊銷列表，證書吊銷列表是被CA所簽署的，可以使用與簽發證書相同的私鑰，也可以使用專門的CRL簽發私鑰。它需要通過一個防火墻來發布，此時不但要配置基于SSTP的VPN服務器成為一臺NAT服務器，還要通過NAT來發布，而NAT的功能就是起到轉發此流量至內部網絡的活動目錄證書服務器上，具體實施過程如下：

在服務器管理器中添加網絡策略與訪問服務角色，并添加相應的“路由和遠程訪問服務”角色，確保具有遠程訪問服務和路由的兩項功能。

1.3.2 配置VPN和NAT 在“路由和遠程訪問服務歡迎向導”中設置“虛擬專用網絡（VPN）和NAT”，給VPN連接的外網接口設置可分配的IP地址范圍，為VPN客戶端提供有效的IP地址，再進行必要的RADIUS服務器的配置至完成VPN服務器的完全安裝。

2 搭建基于安全套接字層隧道協議的VPN客戶端

虛擬專用網服務器創建成功后，接下來所面臨的問題就是要解決VPN客戶端安全連接到VPN服務器的一系列問題。在企業網絡遠程訪問過程中，網絡設備是建立點到點連接所使用端口的DTE或DCE設備，而端口是用來支持單個點對點連接的設備的信道，在路由和遠程訪問管理控制臺中可以監視和管理各種端口，而且可以更改各端口的配置，在WAN微型端口（SSTP）中，“遠程訪問連接中的僅入站配置”是為企業用戶啟用遠程訪問，“請求撥號路由選擇連接中的入站和出站功能”是為企業用戶啟用請求撥號路由功能。企業遠程訪問服務器同時也具備域控制器的功能，它是通過“Active Directory 用戶和計算機”來管理和連接企業遠程客戶的，而它所管理的用戶對象屬性中存在“撥入”選項卡，“撥入”屬性可以允許或禁止遠程企業用戶連接到企業內部服務器上，主要通過以下方法實施。

①為安全套接字層隧道協議VPN客戶端設置HOSTS文件，即為客戶端提供在ISP進行注冊；②使用PPTP協議連接安全套接字層隧道協議VPN服務器；③從企業CA下載證書，并在客戶端上安裝相應的證書服務；④設置VPN客戶端使用安全套接字層隧道協議技術連接到SSTP VPN服務器。

通過以上四個過程后，再進行SSTP的VPN撥號連接的設置。在“SSTP VPN”屬性對話框中，選定“網絡”，并在“VPN類型”下選定“安全套接字隧道協議（SSTP）”，配置成功后連接即可。

在VPN客戶端建立一個基于VPN 的WAN微型端口（SSTP）連接后，就可以通過此連接自動獲取一個SST VPN務器上分配的IP地址，從而實現客戶端與企業內部網絡構成同一個企業內部網。當遠程客戶端通過VPN連接自動獲取到一個和企業內網同一網段的IP地址后，就可以像在公司內部一樣安全、方便、快速、高效地與Intranet交換機密的商務信息，從而實現企業網絡用戶跨因特網的安全訪問，VPN客戶端連接并獲取IP地址實現連接建立的界面如下圖所示。

3結論

基于安全套接字層隧道協議SSTP的虛擬專用網系統在Windows中的實現解決了基于PPTP協議的一系列問題，其中證書服務在系統中起著非常重要的作用，通過其中的能夠最大程度的為網絡系統提供可靠的安全保障。

參考文獻：

[1]劉瑞新.Windows Sever 2008網絡管理與應用[M].北京：機械工業出版社，2009.

[2]許華杰，孫曉剛.Windows Server 2008應用程序基礎架構[M].北京：清華大學出版社，2006.

[3]科文.Windows網絡服務[M].北京：科學技術文獻出版社，2009.