1、DNS 

定义

　　DNS 是域名系统 (Domain Name System) 的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。　　在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0～255之间。因为，8个二进制数转化为十进制数的最大范围就是0～255。现在已开始试运行、将来必将代替IPv4的IPV6中，将以128位二进制数表示一个IP地址。　　大家都知道，当我们在上网的时候，通常输入的是如网址，其实这就是一个域名，而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。再如，我们去一WEB服务器中请求一WEB页面，我们可以在浏览器中输入网址或者是相应的IP地址，例如我们要上新浪网，我们可以在IE的地址栏中输入网址，也可输入IP地址，但是这样子的IP地址我们记不住或说是很难记住，所以有了域名的说法，这样的域名会让我们容易的记住。　　DNS：Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统叫做域名管理系统。　　DNS：Domain Name Server 域名服务器 域名虽然便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。　　申请了DNS后，客户可以自己为域名作解析,或增设子域名.客户申请DNS时，建议客户一次性申请两个。

历史

　　DNS最早于1983年由保罗·莫卡派乔斯（Paul Mockapetris）发明；原始的技术规范在882号因特网标准草案（RFC 882）中发布。1987年发布的第1034和1035号草案修正了DNS技术规范，并废除了之前的第882和883号草案。在此之后对因特网标准草案的修改基本上没有涉及到DNS技术规范部分的改动。　　早期的域名必须以英文句号“.”结尾 ，这样DNS才能够进行域名解析。如今DNS服务器已经可以自动补上结尾的句号。　　当前，对于域名长度的限制是63个字符，其中不包括www.和.com或者其他的扩展名。域名同时也仅限于ASCII字符的一个子集，这使得很多其他语言无法正确表示他们的名字和单词。基于Punycode码的IDNA系统，可以将Unicode字符串映射为有效的DNS字符集，这已经通过了验证并被一些注册机构作为一种变通的方法所采纳。

位置

　　提供DNS的是计算机，是安装了DNS服务器端软件的计算机。服务器端软件即可以是基于类Unix操作系统，也可以是基于Windows操作系统的。装好DNS服务器软件后，您就可以在您指定的位置创建区域文件了，所谓区域文件就是包含了此域中名字到IP地址解析记录的一个文件（如文件名可能是这个文件的内容是这样的：　　primary name server = dns2（主服务器的主机名是 ）　　serial = 2007042913 （当前序列号是2007042913。这个序列号的作用是当辅域名服务器来copy时候这个文件时，如果号码增加了就copy）　　refresh = 10800 (3 hours) （辅域名服务器每隔3小时查询一个主服务器）　　retry = 3600 (1 hour) （当辅域名服务试图在主服务器上查询更时，而连接失败了，辅域名服务器每隔1小时访问主域名服务器）　　expire = 604800 (7 days) （辅域名服务器在向主服务更新失败后，7天后删除中的记录。）　　default TTL = 3600 (1 hour) （缓存服务器保存记录的时间是1小时。也就是告诉202.96.209.5保存域的解析记录为1小时）

实现方法

　　无论您是通过linux还是windows搭建dns服务器，原理都是一致的。　　您可以把DNS服务器配置成以下3类之一：　　1、主DNS服务器。　　2、辅DNS服务器。　　3、缓存DNS服务器。　　目前国际域名的DNS必须在国际域名注册商处注册，国内域名的DNS必须在CNNIC注册，注册支持解析英文域名和中文域名的dns要分别注册：　　（1）步骤：选择做为DNS后缀的域名-创建dns服务器---选择是在国际注册还是国内注册－申请--交付费用　　（2）费用：约75元/个（一次性）　　（3）条件：如果注册国际DNS服务器的，dns服务器的名称必须是在具有条件的公司注册的国际英文域名才能注册，有独立IP地址，DNS服务器域名前的前缀最好是dns.、ns.等　　DNS服务器　　现在一般国内的域名注册商，提供DNS解析服务是免费的，但国外的注册商很多是DNS解析服务是收费的。　　在系统中提交注册DNS的申请，款到后注册的时间为2个工作日左右。　　修改DNS服务器　　（1）条件：要更改为的DNS为合法的DNS。　　如果要查询DNS是否为合法的DNS，请点击:DNS查询界面　　输入DNS服务器的名称或者IP地址，选中第三个选项Nameserver，查询如果查询出有DNS注册的信息，如注册商，名称对应的IP地址，则这个DNS是合法的。　　（2）修改方法：通过具有条件的公司注册的国际域名变更DNS：用户可通过和提供服务的该公司进行协商(大致步骤为:提出申请并提交相关材料后该业务公司会在48小时左右完成变更)。　　国际英文域名、国内英文域名可以修改DNS，这项服务是免费的。

使用免费的DNS

　　国内外有不少提供免费DNS服务的提供商，其中国内著名的有DNSPod

解析故障

　　　　在实际应用过程中可能会遇到DNS解析错误的问题，就是说当我们访问一个域名时无法完成将其解析到IP地址的工作，而直接输入网站IP却可以正常访问，这就是因为DNS解析出现故障造成的。这个现象发生的机率比较大，所以本文将从零起步教给各位读者一些基本的排除DNS解析故障的方法。　　　　什么是DNS解析故障？　　一般来说像我们访问的地址都叫做域名，而众所周知网络中的任何一个主机都是IP地址来标识的，也就是说只有知道了这个站点的IP地址才能够成功实现访问操作。　　不过由于IP地址信息不太好记忆，所以网络中出现了域名这个名字，在访问时我们这需要输入这个好记忆的域名即可，网络中会存在着自动将相应的域名解析成IP地址的服务器，这就是DNS服务器。能够实现DNS解析功能的机器可以是自己的计算机也可以是网络中的一台计算机，不过当DNS解析出现错误，例如把一个域名解析成一个错误的IP地址，或者根本不知道某个域名对应的IP地址是什么时，我们就无法通过域名访问相应的站点了，这就是DNS解析故障。　　出现DNS解析故障最大的症状就是访问站点对应的IP地址没有问题，然而访问他的域名就会出现错误。　　当我们的计算机出现了DNS解析故障后不要着急，解决的方法也很简单。　　（1）用nslookup来判断是否真的是DNS解析故障：　　要想百分之百判断是否为DNS解析故障就需要通过系统自带的NSLOOKUP来解决了。　　第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始->运行->输入CMD”后回车进入命令行模式。　　第二步：输入nslookup命令后回车，将进入DNS解析查询界面。　　第三步：命令行窗口中会显示出当前系统所使用的DNS服务器地址，例如笔者的DNS服务器IP为202.106.0.20。　　第四步：接下来输入你无法访问的站点对应的域名。假如不能访问的话，那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out，timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。　　小提示：如果DNS解析正常的话，会反馈回正确的IP地址。　　（2）查询DNS服务器工作是否正常：　　这时候我们就要看看自己计算机使用的DNS地址是多少了，并且查询他的运行情况。　　第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始->运行->输入CMD”后回车进入命令行模式。　　第二步：输入ipconfig /all命令来查询网络参数。　　第三步：在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS，这个就是我们的DNS服务器地址。例如笔者的是202.106.0.20和202.106.46.151。从这个地址可以看出是个外网地址，如果使用外网DNS出现解析错误时，我们可以更换一个其他的DNS服务器地址即可解决问题。　　第四步：如果在DNS服务器处显示的是自己公司的内部网络地址，那么说明你们公司的DNS解析工作是交给公司内部的DNS服务器来完成的，这时我们需要检查这个DNS服务器，在DNS服务器上进行nslookup操作看是否可以正常解析。解决DNS服务器上的DNS服务故障，一般来说问题也能够解决。　　（3）清除DNS缓存信息法：　　当计算机对域名访问时并不是每次访问都需要向DNS服务器寻求帮助的，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，如果这时DNS解析出现更改变动的话，由于DNS缓存列表信息没有改变，在计算机对该域名访问时仍然不会连接DNS服务器获取最新解析信息，会根据自己计算机上保存的缓存对应关系来解析，这样就会出现DNS解析故障。这时我们应该通过清除DNS缓存的命令来解决故障。　　第一步：通过“开始->运行->输入CMD”进入命令行模式。　　第二步：在命令行模式中我们可以看到在ipconfig /?中有一个名为/flushdns的参数，这个就是清除DNS缓存信息的命令。　　第三步：执行ipconfig /flushdns命令，当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被成功清除。　　第四步：接下来我们再访问域名时，就会到DNS服务器上获取最新解析地址，再也不会出现因为以前的缓存造成解析错误故障了。　　（4）修改HOSTS文件法：　　修改HOSTS法就是把HOSTS文件中的DNS解析对应关系进行修改，从而实现正确解析的目的。因为在本地计算机访问某域名时会首先查看本地系统中的HOSTS文件，HOSTS文件中的解析关系优先级大于DNS服务器上的解析关系。　　这样当我们希望把某个域名与某IP地址绑定的话，就可以通过在HOSTS文件中添加解析条目来实现。　　第一步：通过“开始->搜索”，然后查找名叫hosts的文件。　　第二步：当然对于已经知道他的路径的读者可以直接进入c:\windows\system32\drivers\etc目录中找到HOSTS文件。如果你的系统是windows 2000，那么应该到c:\winnt\system32\drivers\etc目录中寻找。　　第三步：双击HOSTS文件，然后选择用“记事本”程序将其打开。　　第四步：之后我们就会看到HOSTS文件的所有内容了，默认情况下只有一行内容“127.0.0.1 localhost”。（其他前面带有#的行都不是真正的内容，只是帮助信息而已）　　第五步：将你希望进行DNS解析的条目添加到HOSTS文件中，具体格式是先写该域名对应的IP地址，然后空格接域名信息。　　第六步：设置完毕后我们访问网址时就会自动根据是在内网还是外网来解析了。

DNS查询

　　DNS查询可以有两种解释，一种是指客户端查询指定DNS服务器上的资源记录（如A记录），另一种是指查询FQDN名的解析过程。　　一、查询DNS服务器上的资源记录　　您可以在Windows平台下，使用命令行工具，输入nslookup，返回的结果包括域名对应的IP地址（A记录）、别名（CNAME记录）等。除了以上方法外，还可以通过一些DNS查询站点如国外的国内的 查询域名的DNS信息。　　二、FQDN名的解析过程查询　　若想跟踪一个FQDN名的解析过程，在Linux Shell下输入dig www +trace，返回的结果包括从跟域开始的递归或迭代过程，一直到权威域名服务器。

推荐DNS

　　192.5.5.241 (香港)　　192.36.148.17 (香港)　　192.5.5.24 (DNS根)　　192.36.148.17 (DNS根)　　4.2.2.1 (美国)　　4.2.2.3 (美国)　　208.67.222.222 (OpenDNS)　　208.67.220.220 (OpenDNS)　　8.8.8.8 (GoogleDNS)　　8.8.4.4 (GoogleDNS)

DNS 资源记录

　　如前所述，每个 DNS 数据库都由资源记录构成。一般来说，资源记录包含与特定主机有关的信息，如 IP 地址、主机的所有者或者提供服务的类型。　　资源记录类型　　

dns

说明　　解释　　SOA　　起始授权机构　　此记录指定区域的起点。它所包含的信息有区域名、区域管理员电子邮件地址，以及指示辅 DNS 服务器如何更新区域数据文件的设置等。　　常用的资源记录类型　　A 地址 此记录列出特定主机名的 IP 地址。这是名称解析的重要记录。　　CNAME 标准名称 此记录指定标准主机名的别名。　　MX 邮件交换器 此记录列出了负责接收发到域中的电子邮件的主机。　　NS 名称服务器 此记录指定负责给定区域的名称服务器。

DNS 区域

　　通常，DNS 数据库可分成不同的相关资源记录集。其中的每个记录集称为区域。区域可以包含整个域、部分域或只是一个或几个子域的资源记录。　　管理某个区域（或记录集）的 DNS 服务器称为该区域的权威名称服务器。每个名称服务器可以是一个或多个区域的权威名称服务器。　　在域中划分多个区域的主要目的是为了简化 DNS 的管理任务，即委派一组权威名称服务器来管理每个区域。采用这样的分布式结构，当域名称空间不断扩展时，各个域的管理员可以有效地管理各自的子域。　　

dns漏洞

有时，区域和域是很难分辨的。　　区域是域的子集。可以将它看作域名称空间的某个分支（或子树）。例如，Microsoft 名称服务器可以同时是区域、区域和区域的权威名称服务器。但是，可以将子域的区域委派给其它专用名称服务器管理。如果设置的区域包含整个域的资源记录，那么该区域与该域的范围是相同的。　　对于 Windows 2000，区域信息或者以传统文本文件格式存储，或者集成到 Active Directory 数据库中。稍后，我们将详细阐述 DNS 与 Active Directory 如何协作。

主 DNS 服务器和辅 DNS 服务器

　　

dns

为保证服务的高可用性，DNS 要求使用多台名称服务器冗余支持每个区域。　　某个区域的资源记录通过手动或自动方式更新到单个主名称服务器（称为主 DNS 服务器）上。主 DNS 服务器可以是一个或几个区域的权威名称服务器。　　其它冗余名称服务器（称为辅 DNS 服务器）用作同一区域中主服务器的备份服务器，以防主服务器无法访问或宕机。辅 DNS 服务器定期与主 DNS 服务器通讯，确保它的区域信息保持最新。如果不是最新信息，辅 DNS 服务器就会从主服务器获取最新区域数据文件的副本。这种将区域文件复制到多台名称服务器的过程称为区域复制。　　Active Directory 和 DNS 的关系　　Active Directory 是 Windows 2000 中新增的目录服务。该服务存储所有网络资源的信息，如计算机、共享文件夹、用户等等。它还通过标准的 Internet 协议（轻量目录访问协议，LDAP）将此类信息提供给用户和应用程序。有关 Active Directory 的详细信息，请参阅 Technet 文章设置 Active Directory 域 。 2、VPN VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。 　虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可

VPN

信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

功能

　　VPN可以提供的功能： 防火墙功能、认证、加密、隧道化　　　VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Wind

VPN

ows 2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

安全保证技术

　　VPN主要采用的四项安全保证技术　　VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

网络协议

　　常用的虚拟私人网络协议有：　　IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。　　IPsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分：

VPN

加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。　　PPTP: Point to Point Tunneling Protocol -- 点到点隧道协议　　在因特网上建立IP虚拟专用网（VPN）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。　　L2F: Layer 2 Forwarding -- 第二层转发协议　　L2TP: Layer 2 Tunneling Protocol --第二层隧道协议　　GRE：VPN的第三层隧道协议

使用方法

一.便携网帐号申请开通

　　企业向运营商申请租用一批便携网使用帐号（即license，译：许可证）,由企业自行管理分配帐号。企业管理员可以将需要使用便携网的各个部门，成立不同的VCN域，即不同的工作组，比如可分为财务、人事、市场、外联部等等。同一工作组内的成员可以互相通讯，既加强了成员之间的联络，又保证了数据的安全。而各个工作组之间不能互相通讯，保证了企业内部数据的安全。

二．便携网客户端安装

　　1．系统需求　　表—列出了在装有Microsoft Windows操作系统的计算机上安装便

VPN

携网络客户端软件（yPND：your Portable Network Desktop）的最小系统要求。计算机必须符合或好于最小系统要求才能成功的安装和使用便携网络客户端软件　　2.预安装　　为成功安装 便携网络客户端 软件必须确保满足下列情况：　　• 计算机符合“系统需求”表所列的最小系统要求。　　安装程序时会检查系统是否符合要求，如果不满足就不能继续安装，必须使系统符合要求才能安装。　　· 必须有计算机的系统管理员权限才能安装。

特点

1.安全保障

　　虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

2.服务质量保证（QoS）

　　VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。

VPN

QoS通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3.可扩充性和灵活性

　　VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

　　从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

需求

　　虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。　　目前很多单位都面临着这样的挑战：分公司、经销商、合作伙伴、客户和外

VPN

地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。

解决方案

　　针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。　　对于很多IPSec VPN用户来说，IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实：在部署和使用软硬件客户端的时候，需要大量的评价、部署、培训、升级和支持，对于用户来说，这些无论是在经济上和技术上都是个很大的负担，将远程解决方案和昂贵的内部应用相集成，对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制，大量的企业都认为IPSec VPN是一个成本高、复杂程度高，甚至是一个无法实施的方案。为了保持竞争力，消除企业内部信息孤岛，很多公司需要在与企业相关的不同的组织和个人之间传递信息，所以很多公司需要找一种实施简便，不需改变现有网络结构，运营成本低的解决方案。　　---- 从概念上讲，IP-VPN是运营商(即服务提供者)支持企业用户应用的方案。一个通用的方法可以适用于由一个运营商来支持的、涉及其他运营商网络的情况（如运营商的运营商）。　　---- 图1给出了实现IP-VPN的一个通用方案。其中，CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。而PE路由器则是与用户CE路由器相连的、服务提供者的边缘路由器。　　---- 站点是指这样一组网络或子网，它们是用户网络的一部分，并且通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点，一个站点可以同时位于不同的几个VPN之中。　　---- 图2显示了一个服务提供者网络支持多个VPN的情况。如图2所示，一个站点可以同时属于多个VPN。依据一定的策略，属于多个VPN的站点既可以在两个VPN之间提供一定的转发能力，也可以不提供这种能力。当一个站点同时属于多个VPN时，它必须具有一个在所有VPN中唯一的地址空间。　　---- MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础，服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IP-VPN。所以，在MPLS/ATM网络中,有多种支持IP-VPN的方法，本文介绍其中两种方法。

方案一

　　---- 本节介绍一种在公共网中使用MPLS提供IPVPN业务的方法。该方法使用LDP的一般操作方式，即拓扑驱动方式来实现基本的LSP建立过程，同时使用两级LSP隧道(标记堆栈)来支持VPN的内部路由。　　---- 图3 给出了在MPLS/ATM核心网络中提供IPVPN业务的一种由LER和LSR构成的网络配置。　　---- LER (标记边缘路由器)　　---- LER是MPLS的边缘路由器，它位于MPLS/ATM服务提供者网络的边缘。 对于VPN用户的IP业务量，LER将是VPN隧道的出口与入口节点。如果一个LER同时为多个用户所共享，它还应当具有执行虚拟路由的能力。这就是说，它应当为自己服务的各个VPN分别建立一个转发表，这是因为不同VPN的IP地址空间可能是有所重叠的。　　---- LSR(标记交换路由器)　　---- MPLS/ATM核心网络是服务提供者的下层网络，它为用户的IP-VPN业务所共享。　　---- 建立IP-VPN区域的操作　　---- 希望提供IP-VPN的网络提供者必须首先对MPLS域进行配置。这里的MPLS域指的就是IPVPN区域。作为一种普通的LDP操作，基本的LSP 建立过程将使用拓扑驱动方法来进行，这一过程被定义为使用基本标记的、基本的或是单级LSP建立。而对于VPN内部路由，则将使用两级LSP隧道（标记堆栈）。　　---- VPN成员　　---- 每一个LER都有一个任务，即发现在VPN区域中为同一 IPVPN服务的其他所有LER。由于本方案最终目的是要建立第二级MPLS隧道，所以 LER发现对等实体的过程也就是LDP会话初始化的过程。每一个LER沿着能够到达其他 LER的每一条基本网络LSP，向下游发送一个LDP Hello消息。LDP Hello消息中会包含一个基本的MPLS标记，以方便这些消息能够最终到达目的LER。　　---- LDP Hello消息实际上是一种查询消息，通过这一消息，发送方可以获知在目的LER处是否存在与发送方LSR同属一个VPN的LER（对等实体）。新的Hello消息相邻实体注册完成之后，相关的两个LER之间将开始发起LDP会话。随后，其中一个LER将初始化与对方的TCP连接。当TCP连接建立完成而且必要的初始化消息交互也完成之后，对等LER之间的会话便建立起来了。此后，双方各自为对方到自己的LSP 隧道提供一个标记。如果LSP隧道是嵌套隧道，则该标记将被推入标记栈中，并被置于原有的标记之上。　　---- VPN成员资格和可到达性信息的传播　　---- 通过路由信息的交换，LER可以学习与之直接相连的、用户站点的IP地址前缀。LER需要找到对等LER，还需要找到在一个VPN中哪些LER 是为同一个VPN服务的。LER将与其所属的VPN区域中其他的LER建立直接的LDP会话。换言之，只有支持相同VPN的LER之间才能成功地建立LDP会话。　　---- VPN内的可到达性　　---- 最早在嵌套隧道中传送的数据流是LER之间的路由信息。当一个LER被配置成一个IPVPN的一员时，配置信息将包含它在VPN内部要使用的路由协议。在这一过程中，还可能会配置必要的安全保密特性，以便该LER能够成为其他LER的相邻路由器。在VPN内部路由方案中，每一次发现阶段结束之后，每一个LER 都将发布通过它可以到达的、VPN用户的地址前缀。　　---- IP分组转发　　---- LER之间的路由信息交互完成之后，各个LER都将建立起一个转发表，该转发表将把VPN用户的特定地址前缀(FEC转发等价类) 与下一跳联系起来。当收到的IP分组的下一跳是一个LER时，转发进程将首先把用于该LER的标记（嵌套隧道标记）推入标记栈，随后把能够到达该LER的基本网络LSP上下一跳的基本标记推入标记分组，接着带有两个标记的分组将被转发到基本网络LSP中的下一个LSR；当该分组到达目的LER时，最外层的标记可能已经发生许多次的改变，而嵌套在内部的标记始终保持不变；当标记栈弹出后，继续使用嵌套标记将分组发送至正确的LER。在LER上，每一个VPN使用的嵌套标记空间必须与该LER所支持的其他所有VPN使用的嵌套标记空间不同。

方案二

　　---- 本节将对一种在公共网中使用MPLS和多协议边界网关协议来提供IP-VPN业务的方法进行介绍，其技术细节可以参见RFC 2547。　　---- 图1 给出了在MPLS/ATM核心网络中提供IPVPN业务的、由LER和LSR构成的网络配置，图4则给出了使用RFC 2547的网络模型。　　---- 提供者边缘(PE)路由器　　---- PE路由器是与用户路由器相连的服务提供者边缘路由器。　　---- 实际上它就是一个边缘LSR（即MPLS网络与不使用 MPLS的用户或服务提供者之间的接口）。　　---- 用户边缘 (CE)路由器　　---- CE路由器是用于将一个用户站点接至PE路由器的用户边缘路由器。在这一方案中，CE路由器不使用MPLS，它只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。　　---- 提供者(P)路由器　　---- P路由器是指网络中的核心LSR。　　---- 站点（Site）　　---- 站点是指这样一组网络或子网：它们是用户网络的一部分，通过一条或多条PE/CE链路接至VPN。VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。　　---- 路径区别标志　　---- 服务提供者将为每一个VPN分配一个唯一的标志符，该标志符称为路径区别标志（RD）,它对应于服务提供者网络中的每一个Intranet或Extranet 都是不同的。PE路由器中的转发表里将包含一系列唯一的地址，这些地址称为VPNIP 地址，它们是由RD与用户的IP地址连接而成的。VPNIP地址对于服务提供者网络中的每一个端点都是唯一的，对于VPN中的每一个节点（即VPN中的每一个PE路由器），转发表中都将存储有一个条目。　　---- 连接模型　　---- 图4给出了MPLS/BGP VPN的连接模型。　　---- 从图4中可以看出，P路由器位于MPLS网络的核心。 PE路由器将使用MPLS与核心MPLS网络通信，同时使用IP路由技术来与CE路由器通信。 P与PE路由器将使用IP路由协议（内部网关协议）来建立MPLS核心网络中的路径，并且使用LDP实现路由器之间的标记分发。　　---- PE路由器使用多协议BGP4来实现彼此之间的通信，完成标记交换和每一个VPN策略。除非使用了路径映射标志（route reflector），否则PE 之间是BGP全网状连接。特别地，图4中的PE处于同一自治域中，它们之间使用内部BGP （iBGP）协议。　　---- P路由器不使用BGP协议而且对VPN一无所知，它们使用普通的MPLS协议与进程。　　---- PE路由器可以通过IP路由协议与CE路由器交换IP路径，也可以使用静态路径。在CE与PE路由器之间使用普通的路由进程。CE路由器不必实现MPLS或对VPN有任何特别了解。　　---- PE路由器通过iBGP将用户路径分发到其他的PE路由器。为了实现路径分发，BGP使用VPN-IP地址（由RD和IPv4地址构成）。这样，不同的VPN可以使用重叠的IPv4地址空间而不会发生VPN-IP地址重复的情况。　　---- PE路由器将BGP计算得到的路径映射到它们的路由表中，以便把从CE路由器收到的分组转发到正确的LSP上。　　---- 这一方案使用两级标记：内部标记用于PE路由器对于各个VPN的识别，外部标记则为MPLS网络中的LSR所用——它们将使用这些标记把分组转发给正确的PE。　　---- 建立IP-VPN区域的操作　　---- 希望提供IP-VPN业务的网络提供者必须按照连接需求对网络进行设计与配置，这包括：PE必须为其支持的VPN以及与之相连的CE所属的VPN 进行配置；MPLS网络或者是一个路径映射标志中的PE路由器之间必须进行对等关系的配置；为了与CE进行通信，还必须进行普通的路由协议配置；为了与MPLS核心网络进行通信，还必须进行普通的MPLS配置（如LDP、IGP）。另外，P路由器除了要求能够支持MPLS之外，还要能够支持VPN。　　>---- VPN成员资格和可到达性信息的传播　　---- PE路由器使用IP路由协议或者是静态路径的配置来交换路由信息，并且通过这一过程获得与之直接相连的用户网站IP地址前缀。　　---- PE路由器通过与其BGP对等实体交换VPN-IP地址前缀来获得到达目的VPN站点的路径。另外，PE路由器还要通过BGP与其PE路由器对等实体交换标记，以此确定PE路由器间连接所使用的LSP。这些标记用作第二级标记，P 路由器看不到这些标记。　　---- PE路由器将为其支持的每一个VPN分别建立路由表和转发表，与一个PE路由器相连的CE路由器则根据该连接所使用的接口选择合适的路由表。　　---- IP分组转发　　---- PE之间的路由信息交换完成之后，每一个PE都将为每一个VPN建立一个转发表，该转发表将把VPN用户的特定地址前缀与下一跳PE路由器联系起来。　　---- 当收到发自CE路由器的IP分组时，PE路由器将在转发表中查询该分组对应的VPN。　　---- 如果找到匹配的条目，路由器将执行以下操作：　　---- 如果下一跳是一个PE路由器，转发进程将首先把从路由表中得到的、该PE路由器所对应的标记（嵌套隧道标记）推入标记栈；PE路由器把基本的标记推入分组，该标记用于把分组转发到到达目的PE路由器的、基本网络LSP上的第一跳；带有两级标记的分组将被转发到基本网络LSP上的下一个LSR。　　---- P路由器（LSR）使用顶层标记及其路由表对分组继续进行转发。当该分组到达目的LER时，最外层的标记可能已发生多次改变，而嵌套在内部的标记保持不变。　　---- 当PE收到分组时，它使用内部标记来识别VPN。此后， PE将检查与该VPN相关的路由表，以便决定对分组进行转发所要使用的接口。　　---- 如果在VPN路由表中找不到匹配的条目，PE路由器将检查Internet路由表（如果网络提供者具备这一能力）。如果找不到路由，相应分组将被丢弃。　　---- VPNIP转发表中包含VPNIP地址所对应的标记，这些标记可以把业务流路由至VPN中的每一个站点。这一过程由于使用的是标记而不是IP 地址，所以在企业网中，用户可以使用自己的地址体系，这些地址在通过服务提供者网络进行业务传输时无需网络地址翻译（NAT）。通过为每一个VPN使用不同的逻辑转发表，不同的VPN业务将可以被分开。使用BGP协议，交换机可以根据入口选择一个特定的转发表，该转发表可以只列出一个VPN有效目的地址。　　---- 为了建立企业的Extranet，服务提供者需要对VPN之间的可到达性进行明确指定(可能还需要进行NAT配置)。　　---- 安全　　---- 在服务提供者网络中，PE所使用的每一个分组都将与一个RD相关联，这样，用户无法将其业务流或者是分组偷偷送入另一个用户的VPN。要注意的是，在用户数据分组中没有携带RD，只有当用户位于正确的物理端口上或拥有PE路由器中已经配置的、适当的RD时，用户才能加入一个Intranet或 Extranet。这一建立过程可以保证非法用户无法进入VPN，从而为用户提供与帧中继、租用线或ATM业务相同的安全等级。　　还有如下的说明：　　VPN是Virtual Private Network的缩写,中文译为虚拟专用网。Virtual Network的含义有两个，一是VPN是建立在现有物理网络之上，与物理网络具体的网络结构无关，用户一般无需关心物理网络和设备；二是VPN用户使用VPN时看到的是一个可预先设定义的动态的网络。Private Network的含义也有两个，一是表明VPN建立在所有用户能到达的公共网络上，特别是Internet，也包括PSTN、帧中继、ATM等，当在一个由专线组成的专网内构建VPN时，相对VPN这也是一个“公网”；二是VPN将建立专用网络或者称为私有网络，确保提供安全的网络连接，它必须具备几个关键功能：认证、访问控制、加密和数据完整。　　一个网络连接一般由三个部分组成：客户机、传输介质和服务器。VPN也一样，不同的是VPN连接使用隧道作为传输通道，靠的是对数据包的封装和加密。　　VPN是一种快速建立广域联接的互联和访问工具，也是一种强化网络安全和管理的工具。　　VPN建立在用户的物理网络之上、融入在用户的网络应用系统之中。VPN技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。　　VPN技术仍在快速发展中。

SSL VPN

　　从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。　　一般而言，SSL VPN必须满足最基本的两个要求：　　1. 使用SSL 协议进行认证和加密；没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证。　　2. 直接使用浏览器完成操作，无需安装独立的客户端；即使使用了SSL 协议，但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN，否则就失去了SSL VPN易于部署，免维护的优点了。

分类比较

　　socks5 VPN与IPSec VPN、ssl vpn特点比较　　首先让我们从SSL VPN和IPSec VPN个阵营出发做一个比较。　　1 SSL VPN相对于IPSec VPN的优势

1.1 SSL VPN比IPSec VPN部署、管理成本低

　　首先我们先认识一下IPSEC存在的不足之处:　　在设计上，IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于，它们尽量提高IP环境的安全性。可问题在于，部署IPSec需要对基础设施进行重大改造，以便远程访问。好处就摆在那里，但管理成本很高。IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。　　IPSec VPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。SSL VPN则正好相反，客户端不需要安装任何软件或硬件，使用标准的浏览器，就可通过简单的SSL安全加密协议，安全地访问网络中的信息。　　其次我们再看看SSL的优势特点:　　SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁，目前对SSL VPN公认的三大好处是:　　第一来自于它的简单性，它不需要配置，可以立即安装、立即生效;　　第二个好处是客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行;　　第三个好处是兼容性好，传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSL VPN则完全没有这样的麻烦。　　综合分析可见:　　1. SSL VPN强调的优势其实主要集中在VPN客户端的部署和管理上，我们知道SSL VPN一再强调无需安装客户端，主要是由于浏览器内嵌了SSL协议，也就是说是基于B/S结构的业务时，可以直接使用浏览器完成SSL的VPN建立;　　2. 某些SSL VPN厂商如F5有类似IPSec VPN的“网络访问”方式，可以解决传统的C/S应用程序的问题，用户用浏览器登录SSL VPN设备后，拨通网络访问资源即可获得一个虚拟IP，即可以访问按照安全策略允许访问的内网地址和端口，和IPSec VPN不同的是，这种方式并非工作在网络层，所以不会有接入地点的限制;

1.2 SSL VPN比IPSec VPN更安全

　　首先我们还是先认识一下IPSEC存在的不足之处:　　1. 在通路本身安全性上，传统的IPSec VPN还是非常安全的，比如在公网中建立的通道，很难被人篡改。说其不安全，是从另一方面考虑的，就是在安全的通路两端，存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了，总公司的安全措施很严密，但子公司可能存在很多安全隐患，这种隐患会通过IPsec VPN传递给总公司，这时，公司间的安全性就由安全性低的分公司来决定了。　　2. 比如黑客想要攻击应用系统，如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，黑客都是可以侦测得到，这就提供了黑客攻击的机会。　　3. 比如应对病毒入侵，一般企业在Internet联机入口，都是采取适当的防毒侦测措施。采用IPSec联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。　　4. 不同的通讯协议，并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说，发信和收信一般都是采取SMTP和POP3通讯协议，而且两种通讯协议采用25和110端口，若是从远程电脑来联机Email服务器，就必须在防火墙上开放25和110端口，否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。　　其次我们再看看SSL的优势特点:　　1. SSL安全通道是在客户到所访问的资源之间建立的，确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的，客户对资源的每一次操作都需要经过安全的身份验证和加密。　　2. 若是采取SSL VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络设置，同时黑客攻击的也只是VPN服务器，无法攻击到后台的应用服务器，攻击机会相对就减少。有的厂商如F5公司的产品，可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查，如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等，不符合条件的客户端可以不允许其登录，这样就大大增加了整个系统的安全性。　　3. 而对于SSL VPN的联机，病毒传播会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接，受外界病毒感染的可能性大大减小。有的厂商如F5公司的产品，自身带有防病毒软件，更可以通过标准协议连接防病毒软件，加强对于病毒的防治。　　4. SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN 之间，采用SSL通讯端口443来作为传输通道，这个通讯端口，一般是作为Web Server对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护，那么在日常办公中防火墙只开启一个443端口就可以，因此大大增强内部网络受外部黑客攻击的可能性。

1.3 SSL VPN相比IPSec VPN有更好可扩展性

　　首先我们还是先认识一下IPSec VPN存在的不足之处:　　IPSec VPN在部署时一般放置在网络网关处，因而要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可扩展性比较差。　　其次我们再看看SSL VPN的优势特点:　　SSL VPN就有所不同，它一般部署在内网中任一节点处即可，可以随时根据需要，添加需要VPN保护的服务器，因此无需影响原有网络结构。

1.4 在访问控制方面比IPSec VPN有更细粒度

　　为什么最终用户要部署VPN，究其根本原因，还是要保护网络中重要数据的安全，比如财务部门的财务数据，人事部门的人事数据，销售部门的项目信息，生产部门的产品配方等等。　　首先我们还是先认识一下IPSEC存在的不足之处:　　由于IPSec VPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSec VPN网关，他可以在内部为所欲为。因此，IPSec VPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。　　其次我们再看看SSL的优势特点:　　在电子商务和电子政务日益发展的今天，各种应用日益复杂，需要访问内部网络人员的身份也多种多样，比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是，SSL VPN重点在于保护具体的敏感数据，比如SSL VPN可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问，做的每笔交易、每个操作进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。

1.5 SSL VPN比IPSec VPN也具有更好的经济性

　　假设一个公司有1000个用户需要进行远程访问，那么如果购买IPSec VPN，那么就需要购买1000个客户端许可，而如果购买SSL VPN，因为这1000个用户并不同时进行远程访问，按照统计学原理，假定只有100个用户会同时进行远程访问，只需要购买100个客户端许可即可。　　2 产品的特色　　现在市场上充斥了各式各样的SSL VPN产品，相对于IPSec VPN产品之间的区别，SSL VPN产品之间的区别大的惊人，从“玩具”形态只实现了简单反向SSL代理的SSL VPN到提供了众多功能的“工具”级的成熟SSL VPN产品，是完全不同的，下面从F5的FirePass的特点出发再与IP Sec VPN产品做一个对比。　　2.1 产品的多样化　　FirePass在同一硬件里集成了IP Sec VPN与SSL VPN功能，为企业节省了投资。　　2.2 丰富的功能　　FirePass的SSL VPN包括网络访问、web 应用程序、Windows文件共享、移动电子邮件、针对C/S应用的应用访问等功能，提供了远比IPSec VPN丰富的功能。　　2.3 高可用性　　对于远程访问非常重要的企业来说，远程访问设备的高可用性非常重要，而IPSec VPN无法提供高可用性，往往成为系统的单点故障。而F5 FirePass可以多台以集群方式对外提供服务，也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能。　　2.4 与企业原有AAA服务器集成　　企业在部署远程访问设备之前，一般都部署了各种形式的AAA服务器，一般有Active Directory、LDAP、Raduis、企业自行开发的SSO等等，客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与这样AAA服务器集成，对于IT管理员来说，可以轻易将一台FirePass加入企业网，用户管理仍然由原来的 AAA服务器去做。　　2.5 详细的日志功能　　IPSec VPN的日志功能非常薄弱，而FirePass可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计。　　2.6 更高的安全性　　IPSec VPN的安全性一直是一个弱点，由于IPSec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，而F5 FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻击问题。　　FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。　　FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。　　FirePass可以配置成在退出时自动清除高速缓存。　　以上这些功能都大大增强了系统的安全性。　　2.7 接入设备的多样性　　FirePass可以使用多种客户端接入，包括Mac、Linux、Solaris、Windows CE等等，大大扩展了客户端的使用便利性。　　2.8 更高的性能　　对于SSL VPN的性能，一向是IPSec VPN阵营攻击SSL VPN的有力武器。确实，SSL VPN单台的性能是无法与最高端的IPSec VPN相抗衡的，但是由于F5的FirePass可以通过自由堆叠来扩展，反而可以提供更高的性能。　　Socks5 VPN功能是对传统的IPSec VPN和SSL VPN的革新，是在总结了IPSec VPN和SSL VPN的优缺点以后，提出的一种全新的解决方案。　　3.Socks5 VPN运行在会话层，并且提供了对应用数据和应用协议的可见性，使网络管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5 VPN的核心是会话层代理，通过代理可以将用户实际的网络请求转发给应用服务器，从而实现远程访问的能力。　　在实现上，通过在用户机器上安装Socks5 VPN瘦客户端，由瘦客户端监控用户的远程访问请求，并将这些请求转化成代理协议可以识别的请求并发送给Socks5 VPN服务器进行处理，Socks5 VPN服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上，Socks5 VPN客户端和Socks5 VPN服务器扮演了中间代理的角色，可以在用户访问远程资源之前执行相应的身份认证和访问控制，只有通过检查的合法数据才允许流进应用服务器，从而有力保护了组织的内部专用网络。

VPN上管理带宽

　　在网络中，服务质量(QoS)是指所能提供的带宽级别。将QoS融入一个VPN，使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法：　　信息包分类　　信息包分类按重要性将数据分组。数据越重要，它的级别越高，当然，它的操作也会优先于同网络中相对次要的数据。　　带宽管理　　通过带宽管理，一个VPN管理员可以监控网络中所有输入输出的数据流，可以允许不同的数据包类获得不同的带宽。　　其他的带宽控制形式还有：　　通信量管理　　通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过，这使得带宽没有得到合理使用。　　公平带宽　　公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽，当应用程序需要用更大的数据流，例如MP3时，它将减少所用带宽以便给其他人访问的机会。　　传输保证　　传输保证为网络中特殊的服务预留出一部分带宽，例如视频会议，IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。　　^[1]网络管理员必须管理虚拟个人网络以及使一个组织正常运作所需的资源。因为远程办公还有待发展，VPN管理员在维护带宽上还有许多问题。然而，新技术对QoS的补充将会帮助网络管理员解决这个问题。

VPN市场介绍

　　权威市场研究机构IDC发布《中国IT安全市场2009年下半年度分析》，2009年下半年，VPN硬件市场的市场规模为 US$ 22.9M，同比增长 6.2%。能够提供 VPN 硬件的厂商不在少数，从数量对比上来看，仍然以国际厂商居多。但是从市场份额来看，国内厂商深信服一枝独秀，以 30.5%的市场占比排在第一位，位列二、三是思科和 Arrary Networks，市场份额分别是 12.1%和 11.6%。

国内外知名硬件VPN品牌

　　目前国内外硬件VPN产品已经相对比较成熟了，这里列出几个国内外有一定历史的知名品牌：　　国外品牌：1.Cisco 2.Juniper 3.Array 4.Netgear 5.Watchguard 6.Hillstone 7.Qno.8.迅鲨VPN 9.遨游VPN.　　国内品牌：1. 深信服 2.H3C 3.e地通 4.迅博 5.冰峰网络 6.奥联 7.卫士通 8.赛蓝 9.365VPN 10.X-Y小语vpn11.天益随易联vpn12.易通VPN 13.网一VPN 14.513VPN15.517VPN 14.Qno侠诺 15.蓝帝代理 16.LAVA VPN　　国内VPN标准制定：　　VPN标准分为三类：IPSec VPN、SSL VPN Socks5 vpn　　IPSec VPN国家标准制定单位：华为、深信服、中兴、无锡江南信息安全工程技术中心。　　SSL VPN国家标准制定单位：华为技术有限公司、深圳市深信服电子科技有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份有限公司、深圳市奥联科技有限公司等十余家单位。　　国内免费的VPN　　A8VPN：A8VPN是一个提供免费试用的VPN服务网站，支持PPTP/L2TP协议，安全、可靠、速度稳定。　　LAVA VPN：LAVA VPN是一个提供7天免费试用的VPN,支持PPTP/L2TP协议，安全、可靠、速度快且稳定。　　　91vpn: 91vpn是由91wangyou提供的一种永久免费VPN服务，简单易用。　　55dns加速器：55dns加速器是一种加速软件，自带客户端，目前免费的VPN，优点：使用简单、加速稳定　　OpenVPN，这是目前最佳的开源VPN软件，配置简单，特色众多，支持多平台。　　517VPN：给你新感觉! 自带客户端 使用简单 方便 加速稳定　　最简单也是最方便的方法：去各大网站找测试免费VPN或者免费VPN代理，也有一些免费vpn公布器，差不多每天都会有人发，有些速度还不错。　　优点：速度还行，随到随拿。　　缺点：使用期限较短，而且有些使用人数一多VPN就容易被封。　　Winsows2003 vpn设置 如下：　　一般在中小企业都喜欢用NAT来实现网络共享，通常又不会装其他NAT软件，在原来Win 2000的基础上Win 2003又增加了对VPN的支持，无需第三方软件或硬件就能完成连接……　　硬件：双网卡，一块接ADSL modem，一块接局域网。　　首先右击“我的电脑”，选择“管理”，在“本地用户和组”中，添加一个VPN连接的用户名，并允许远程连接。再打开“控制面板/管理工具”，双击其中的“管理服务器”，选择“添加删除角色”，添加“远程访问/VPN”。　　添加VPN服务　　设置NAT转发　　如果你还没有设置连接到ADSL的连接，在选择了“创建一个新的到Internet的请求拨号接口”后，会弹出ADSL拨号连接的设置窗口，按照通常的ADSL拨号连接设置进行设置即可。　　设置连接到Internet的网卡　　设置连接内网的网卡　　还是打开“管理服务器”，进入"远程/VPN”管理，如图所示：　　管理VPN连接　　右击ADSL连接，选择“属性”，在里面可以修改拨号连接的方式和属性。　　此处还可修改拨号连接的属性　　接下来设置VPN连接与防火墙对VPN端口的开启，右击“端口”，选择“属性”，默认VPN连接数为“PPTP"5个，L2TP 5个”，可以在属性中修改。　　修改VPN的属性　　右击你建立的服务器，选择“属性”，接下来设置VPN拨入时候的IP地址，如果有DHCP服务器的话也可以使用。　　设置拨入IP地址　　接着设置防火墙规则，不然外面进不来，右击你的ADSL连接，选择“属性”，双击“VPN网关（PPTP）”，在里边设置即可，当然,你也可以不用默认的防火墙，装个ISA2004效果更好。　　设置拨入防火墙　　再在服务器上装个动态域名解析，应该更方便连接VPN，呵呵。

VPN发展趋势

　　在国外，Internet已成为全社会的信息基础设施，企业端应用也大都基于IP，在Internet上构筑应用系统已成为必然趋势，因此基于IP的VPN业务获得了极大的增长空间。Infornetics Research公司预言，在2001年，全球VPN市场将达到120亿美元。据预测，到2004年，北美的VPN业务收入将增至88亿美元。　　在中国，制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。　　1.客观因素包括因特网带宽和服务质量QoS问题。　　在过去无论因特网的远程接入还是专线接入，以及骨干传输的带宽都很小，QoS更是无法保障，造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广，上述问题将得到根本改善和解决。譬如，过去专线接入速率最高才2Mbps，而从今年开始，中国的企业用户可以享受到10Mbps，乃至100Mbps的Internet专线接入，而骨干网现在最高已达到40Gbps，并且今后几年内将发展到上百乃至上千个Gbps，这已不是技术问题而是时间问题。随着互联网技术的发展，可以说VPN在未来几年内将会得到迅猛发展。　　2.主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。　　其实前面介绍的VPN技术已经能够提供足够安全的保障，可以使用户数据不被查看、修改。主观因素之二，也是VPN应用最大的障碍，是客户自身的应用跟不上，只有企业将自己的业务完全和网络联系上，VPN才会有了真正的用武之地。　　可以想象，当我们消除了所有这些障碍因素后，VPN将会成为我们网络生活的主要组成部分。在不远的将来，VPN技术将成为广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性。同时，VPN会加快企业网的建设步伐，使得集团公司不仅仅只是建设内部局域网，而且能够很快地把全国各地分公司的局域网连起来，从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。

VPN的分类

　　根据不同的划分标准，VPN可以按几个标准进行分类划分　　1. 按VPN的协议分类　　VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。　　2. 按VPN的应用分类　　1) Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量　　2) Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源　　3) Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接　　3. 按所用的设备类型进行分类　　网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙　　1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可　　2）交换机式VPN：主要应用于连接用户较少的VPN网络　　3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型

VPN的实现技术

1。 隧道技术

　　实现VPN的最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户;第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。

2。 隧道协议

　　隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。　　1) PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。　　2) L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术　　3) IPSec协议：是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录，电子邮件，文件传输及WEB访问在内多种应用程序的安全。　　4) SSL VPN（安全套接层协议）是网景公司提出的基于Web应用的在两台机器之间提供安全通道的协议。它具有保护传输数据积极识别通信机器的功能。SSL主要采用公开密钥体制和X509数字证书技术在Internet上提供服务器认证，客户认证，SSL链路上的数据的保密性的安全性保证。被广泛用于Web浏览器与服务器之间的身份认证和加密传输。　　SSL和IPSec各实现在哪一层的优劣　　SSL协议是高层协议，实现在第四层。IPSec实现在第三层。　　许多TCP/IP协议栈是这样实现的： TCP、IP 以及IP以下的协议实现在操作系统中，而TCP之上的协议实现在用户进程中（应用程序）。SSL协议的设计思想是在不改变操作系统的情况下部署实现，因此实现在TCP之上，SSL协议要求与应用程序接口（安全套结字API）而不是与TCP接口，也就不与操作系统接口。与SSL协议的设计思想不同，IPSec是在操作系统内部实现安全功能，从而自动地对应用系统实现保护。　　SSL实现在TCP之上的安全协议存在一个问题，因为TCP协议本身没有密码的保护，所以只要恶意的代码插入数据包并通过TCP的校验，TCP数据包就不能够觉察到恶意代码的存在，TCP会将这些数据包转发给 SSL，而SSL会接受这些数据包，然后进行完整性验证，最后丢弃这些数据包；但是当真实的数据包到达时，TCP会以为这是重复的数据包，从而丢弃，因为丢弃的包和前一个包有着相同的序列号。SSL别无选择，只好关闭。　　同样，IPSec不能对应用程序进行修改就可以运行也有安全问题，因为IPSec可以对源IP地址进行认证，但却无法告诉应用程序真正用户的身份。许多情况下，通信实体往往从不同的地址登录，并被允许访问网络。大多数应用程序需要区分不同的用户，如果IPSec已经认证了用户的身份，那么理论上它应该把用户的身份告诉给应用程序，但这样就要修改API和应用程序。最大可能就是基于公钥的认证方法，并建立IP地址与用户名的关联方法。

二层VPN模版

　　二层与中心节点通信　　榆林 VPN 专网　　interface Vlanif2304　　description YIBAO-ZHUANWANG-L2-VPN　　mpls vpls encapsulation vlan mtu 1548　　mpls vpls vc local 10024 encapsulation vlan mtu 1548　　mpls vpls vc local 10025 encapsulation vlan mtu 1548　　mpls vpls vc local 10026 encapsulation vlan mtu 1548　　mpls vpls vc local 10027 encapsulation vlan mtu 1548　　mpls vpls vc local 10028 encapsulation vlan mtu 1548　　mpls vpls vc local 10029 encapsulation vlan mtu 1548　　mpls vpls vc local 10030 encapsulation vlan mtu 1548　　interface Vlanif 2305　　description YIBAO-shieryuan　　mpls vpls encapsulation vlan mtu 1548　　mpls vpls vc local 10024 encapsulation vlan mtu 1548　　interface Vlanif 2306　　description YIBAO-zhongyiyuan　　mpls vpls encapsulation vlan mtu 1548　　mpls vpls vc local 10025 encapsulation vlan mtu 1548　　mpls vpls encapsulation vlan mtu 1548　　mpls vpls vc local 10057 encapsulation vlan mtu 1548　　interface Vlanif 2339　　description YIBAO-putaihe　　mpls vpls encapsulation vlan mtu 1548　　mpls vpls vc local 10058 encapsulation vlan mtu 1548　　interface Vlanif 2340　　description YIBAO-baiweiyaofang　　mpls vpls encapsulation vlan mtu 1548　　mpls vpls vc local 10059 encapsulation vlan mtu 1548　　interface Vlanif 2341　　description YIBAO-baicaotang　　mpls vpls encapsulation vlan mtu 1548　　mpls vpls vc local 10060 encapsulation vlan mtu 1548

SOCKS 5 VPN

　　Socks5 VPN的特点　　Socks5 VPN功能是对传统的IPSec VPN和SSL VPN的革新，是在总结了IPSec VPN和SSL VPN的优缺点以后，提出的一种全新的解决方案。　　Socks5 VPN运行在会话层，并且提供了对应用数据和应用协议的可见性，使网络管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5 VPN的核心是会话层代理，通过代理可以将用户实际的网络请求转发给应用服务器，从而实现远程访问的能力。　　在实现上，通过在用户机器上安装Socks5 VPN瘦客户端，由瘦客户端监控用户的远程访问请求，并将这些请求转化成代理协议可以识别的请求并发送给Socks5 VPN服务器进行处理，Socks5 VPN服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上，Socks5 VPN客户端和Socks5 VPN服务器扮演了中间代理的角色，可以在用户访问远程资源之前执行相应的身份认证和访问控制，只有通过检查的合法数据才允许流进应用服务器，从而有力保护了组织的内部专用网络。　　Socks5 VPN与传统的L2TP、IPSec 等VPN相比：　　有效地避免了黑客和病毒通过VPN隧道传播的风险，而这些风险是防火墙和防病毒难以克服的，因为他们已经把VPN来访作为安全的授信用户。　　基于会话层实现的VPN优化了访问应用和资源提供细粒度的访问控制　　基于代理模式的会话层数据转发减少了隧道传输过程中的数据冗余，从而取得了传统VPN无法媲美的传输效率　　Socks5 VPN同时又保证了对应用的兼容性，避免SSL VPN的以下三大难题：　　因为运行在会话层，非应用层，支持传输层以上的所有网络应用程序的访问请求，支持所有TCP应用，无须如SSL VPN那样通过复杂的协议转换来支持各种不同应用所导致的效率损失和很多应用不兼容的两大难题。　　还克服了SSL VPN只能组建单向星状网络的尴尬局面，满足了双向互访、多向网状、星状访问的复杂网络环境。　　目前国内唯一一家做socks5 vpn的品牌是-- "e地通" 3、DDos和Dos 

DDOS

DDOSDDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模.
　　 DDoS攻击概念　　DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。 　　DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。 　　这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。 　　高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

DDOS的产生

　　DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。近几年由于宽带的普及，很多网站开始盈利，其中很多非法网站利润巨大,造成同行之间互相攻击，还有一部分人利用网络攻击来敲诈钱财。同时windows 平台的漏洞大量的被公布， 流氓软件，病毒，木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。攻击已经成为互联网上的一种最直接的竞争方式，而且收入非常高，利益的驱使下，攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就成了所谓的肉鸡，每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售，因为利益需要攻击的人就会购买，然后遥控这些肉鸡攻击服务器。

被DDoS攻击时的现象

　　被攻击主机上有大量等待的TCP连接 　　网络中充斥着大量的无用的数据包，源地址为假 　　制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 　　利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 　　严重时会造成系统死机 　　 　　大级别攻击运行原理 　　一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 　　有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。 　　但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。

黑客是如何组织一次DDoS攻击的？

　　这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤： 　　1. 搜集了解目标的情况 　　下列情况是黑客非常关心的情报： 　　被攻击目标主机数目、地址情况 　　目标主机的配置、性能 　　目标的带宽 　　对于DDoS攻击者来说，攻击互联网上的某个站点，如http://www.mytarget.com，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供http://www.yahoo.com 服务的： 　　66.218.71.87 　　66.218.71.88 　　66.218.71.89 　　66.218.71.80 　　66.218.71.81 　　66.218.71.83 　　66.218.71.84 　　66.218.71.86 　　如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到http://www.yahoo.com 的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。 　　所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。 　　但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。 　　2. 占领傀儡机 　　黑客最感兴趣的是有下列情况的主机： 　　链路状态好的主机 　　性能好的主机 　　安全管理水平差的主机 　　这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。 　　首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，像程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。 　　总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。 　　3. 实际攻击 　　经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。 　　老道的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 　　防范DDOS攻击的工具软件：CC v2.0 　　防范DDOS比较出色的防火墙：硬件有Cisco的Guard、Radware的DefensePro，绿盟的黑洞，傲盾硬件的KFW系列，傲盾软件的傲盾防火墙。软件有冰盾DDOS防火墙、8Signs Firewall等。

DDOS的主要几个攻击

　　1.SYN变种攻击 　　发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。 　　2.TCP混乱数据包攻击 　　发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。 　　3.针对用UDP协议的攻击 　　很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截， 　　4.针对WEB Server的多连接攻击 　　通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封， 　　5.针对WEB Server的变种攻击 　　通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护，后面给大家介绍防火墙的解决方案 　　6. 针对WEB Server的变种攻击 　　通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案 　　7.针对游戏服务器的攻击 　　因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。 　　以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp，udp协议，和针对应用层的协议,比如http,游戏协议，软件视频音频协议，现在的新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好的防护新型的攻击。 　　SYN攻击解析 　　SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。 　　第一次握手：建立连接时，客户端发送syn包到服务器，并进入SYN_SEND状态，等待服务器确认；　 　　第二次握手：服务器收到syn包，必须确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包，此时服务器进入SYN_RECV状态； 　　第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。 　　SYN攻击利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃, 每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢，答案是不能，每种操作系统都有方法来调整TCP模块的半连接队列最大数，例如Win2000操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen，TcpMaxHalfOpenRetried ，Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存，操作系统的核心内存是专门提供给系统内核使用的内存不能进行虚拟内存转换是非常紧缺的资源windows2000 系统当物理内存是4g的时候 核心内存只有不到300M，系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。Windows 2003 默认安装情况下，WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ，如此小的带宽就可以让服务器的端口瘫痪，由于攻击包的源IP是伪造的很难追查到攻击源,，所以这种攻击非常多。

如何防止和减少DDOS攻击的危害

　　 　　一、拒绝服务攻击的发展 　　从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢？DoS是一种利用单台计算机的攻击方式。而DdoS（Distributed Denial of Service，分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢？下面我们从两个方面进行介绍。 　　二、预防为主保证安全 　　DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。 　　（1）定期扫描 　　要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。 　　（2）在骨干节点配置防火墙 　　防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。 　　（3）用足够的机器承受黑客攻击 　　这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。 　　（4）充分利用网络设备保护网络资源 　　所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。 　　（5）过滤不必要的服务和端口 　　过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。 　　（6）检查访问者的来源 　　使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。 　　（7）过滤所有RFC1918 IP地址 　　RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。 　　（8）限制SYN/ICMP流量 　　用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。 　　三、寻找机会应对攻击 　　如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。 　　（1）检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。 　　（2）找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。 　　（3）最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。^[1][2][3] 　　不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击（DDOS攻击）都瘫痪的情况呢？就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。 　　总结： 　　目前网络安全界对于DdoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，Ddos攻击只能被减弱，无法被彻底消除。不过如果我们按照本文的方法和思路去防范DdoS的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小。 

dos攻击

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。 

dos攻击概念

　　带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。如：　　* 试图FLOOD服务器，阻止合法的网络通讯　　* 破坏两个机器间的连接，阻止访问服务　　* 阻止特殊用户访问服务　　* 破坏服务器的服务或者导致服务器死机　　不过，只有那些比较阴险的攻击者才单独使用DOS攻击，破坏服务器。通常，DOS攻击会被作为一次入侵的一部分，比如，绕过入侵检测系统的时候，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。　　DoS 攻 击 (Denial of Service，简称DOS)即拒绝服务攻击，是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或DNS信息，使被攻击目标不能正常工作。实施DoS攻击的工具易得易用，而且效果明显。仅在美国，每周的DoS攻击就超过4 000次，攻击每年造成的损失达上千万美元{irl。一般的DoS攻击是指一台主机向目的主机发送攻击分组(1:1)，它的威力对于带宽较宽的站点几乎没有影响;而分布式拒绝服务攻击(Distributed Denial of Service，简称DDoS)同时发动分布于全球的几千台主机对目的主机攻击(m:n ),即使对于带宽较宽的站点也会产生致命的效果。随着电子商业在电子经济中扮演越来越重要的角色，随着信息战在军事领域应用的日益广泛，持续的DoS攻击既可能使某些机构破产，也可能使我们在信息战中不战而败。可以毫不夸张地说，电子恐怖活动的时代已经来临。　　DoS 攻 击 中，由于攻击者不需要接收来自受害主机或网络的回应，它的IP包的源地址就常常是伪造的。特别是对DDoS攻击，最后实施攻击的若干攻击器本身就是受害者。若在防火墙中对这些攻击器地址进行IP包过滤，则事实上造成了新的DDS攻击。为有效地打击攻击者，必须设法追踪到攻击者的真实地址和身份。

DoS攻击原理

　　实施DoS攻击，首先要搜集了解被攻击目标的情况：被攻击目标的主机数目、地址及端口信息，目标主机的配置、性能和目标的带宽等情况。对于DoS攻击者来说，攻击互联网上的某个站点，确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的WWW服务。如果要进行攻击的话，要所有这些主机都瘫掉才行，在实际的应用中，一个IP地址往往还代表着数台机器，如果网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去，这对于攻击者来说所需面对的可能是让几十台主机的服务都不正常，所以说事先搜集被攻击目标的情况对攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题，其次是取得傀儡机的控制权，成为傀儡机的主机一般具有性能好、网络状态好、安全性差等特点，攻击者入侵这些主机并植入程序取得对这些机器的控制权。　　对于一个攻击者来说，准备好一定数量的傀儡机是一个必要的条件，一般是通过端口扫描技术实现，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，如程序的溢出漏洞、CGI、ftp、数据库漏洞等等，占领了一台傀儡机后一般是利用ftp把攻击用的程序上载过去，在攻击主机上会有一个发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。　　攻击的最后一步是实际攻击，前面的准备做得好的话，实际攻击过程反而是比较简单的，黑客登录到作为控制台的傀儡机，向所有的攻击机发出命令，潜伏在傀儡机中的攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。^[1]

硬件防火墙

　　硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。　　系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。　　一般来说，硬件防火墙的例行检查主要针对以下内容：　　1.硬件防火墙的配置文件　　2.硬件防火墙的磁盘使用情况　　3.硬件防火墙的CPU负载　　4.硬件防火墙系统的精灵程序　　5.系统文件　　6.异常日志　　现在市场上针对这些攻击的有很多知名的硬防，如：金盾硬防集（专业做硬防技术的单位，非常不错的），傲盾硬防集（开始不错，后来自己也做了机房了，做硬防的公司转型做机房了，印像不好！我觉得人还是做好自己的工作好些，做专！）其外的还有冰盾，黑洞，黑盾，绿盾，威盾，等等。　　目前全国有些不错的机房，主要是网通和电信两个机房线路：　　网通大硬防机房：大连网通（8G硬防集），辽宁网通（10G硬防集），河南网通（硬防集10G）　　电信大硬防机房：江苏电信（20G硬防集），浙江电信（8G），金华（10G）

DoS攻击方法

包洪水

　　包洪水是通过向目标主机发送大量的请求，使目标主机忙于处理这些信息，资源被大量消耗，从而不能处理正常事物。如Synflood，在使用TCP/IP协议建立连接时，当客户端向服务器发起连接请求并初始化时，服务器一端的协议栈会留一块缓冲区来处理“握手”过程中的信息交换，请求建立连接时发送的数据包的包头SYN位就表明了数据包的顺序，攻击者可以利用在短时间内快速发起大量连接请求，以致服务器来不及响应，同时攻击者还可以伪造源IP地址，也就是说攻击者发起大量连接请求，然后挂起在半连接状态，以此来占用大量服务器资源直到拒绝服务，虽然缓冲区中的数据在一段时间内（通常是三分钟）都没有回应的话，就会被丢弃，但在这段时间内，大量半连接足以耗尽服务器资源而不能向正常请求提供服务，所有基于TCP/IP协议的服务都有这个弱点。　　要防御包洪水攻击，可从以下几方面入手，关闭不必要的TCP/IP服务；配置防火墙以阻断来自Internet的UDP请求；在防火墙上过滤来自同一主机的后续连接。

Smurf

　　Smurf攻击是向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机的网络带宽下降。　　防止Smurf攻击可采用三种方法：一是切断Smurf攻击源，通过对路由器的设置，保证内网中发出的所有传输信息都具有合法的源地址；二是配置路由器，将不是内网生成的数据包过滤出去；三是将本网中所有路由器IP的广播功能禁止。

Land

　　Land攻击是将一个包的源地址和目的地址都设置为同一个目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度的降低了系统性能。　　可通过为操作系统安装补丁和配置防火墙，过滤那些在外部接口上入站的含有内部源地址的包来防御Land攻击。

Ping of Death

　　Ping of Death：根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。　　这种攻击主要针对Windows 9X，而后续的Windows产品都有一定的防御能力。

其它

　　Teardrop：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。　　PingSweep：使用ICMP Echo轮询多个主机。　　Pingflood: 该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。 其他待更新。谢谢