互联网安全技术.docx
《互联网安全技术.docx》由会员分享,可在线阅读,更多相关《互联网安全技术.docx(45页珍藏版)》请在冰点文库上搜索。
互联网安全技术
教学目标与要求:
þ掌握防火墙的体系结构与配置方法
þ掌握VPN中使用的关键技术
þ理解互联网安全的基本概念
þ理解放火墙、VPN、入侵检测的基本概念
þ理解VPN的实现策略和方法
þ了解放火墙的安全配置与访问控制技术的实现策略,以及放火墙的安全使用层面
þ了解放火墙的安全局限
þ学会VPN的配置方法
þ了解入侵检测系统的分类和相关技术。
教学重点难点:
☑防火墙的体系结构与配置方法
þVPN关键技术
学习指导:
本章介绍防火墙技术,包括不同类型防火墙的功能、防火墙的体系结构,以及如何配置网络的防火墙;IPSEC协议在网络层上对数据包进行高强度的安全处理,提供数据源验证,无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务;虚拟专用网VPN利用INTERNET为媒介实现与专用网络相类似的安全性能;实现WEB安全的SSL协议,通过服务器和客户机之间的相互认证,使客户机/服务器应用程序之间的通信不被攻击者窃听;PGP和S/SIME协议提供的服务用来确保电子邮件的安全;计算机病毒有多种类型,其防治技术也是多种多样的,目前常用的防毒杀毒工具有金山毒霸、瑞星杀毒软件等;网络的攻击手段有漏洞扫描、拒绝服务攻击等,针对不同的攻击主要有两种检测攻击的方法:
异常检测方法和滥用检测方法,它们分别用来发现新的攻击手段和识别已存在的攻击手段,有时也将两种检测方法混合使用,以达到更好的检测攻击的效果。
教学方法与思路:
本次课以案例讲授为主,结合电子商务系统的运作平台引入本节内容:
1、介绍确保INTERNET安全的技术、设施、策略和系统等安全手段;2、确保INTERNET安全的手段包括防火墙技术、IPSEC协议和虚拟专用网、安全套接字层SSL协议、安全邮件协议、计算机病毒检测与防治以及网络入侵检测系统等,它们针对INTERNET的不同应用提供相应的安全策略,从不同的方面确保INTERNET的安全。
教学步骤:
教学内容
课堂组织
第六章互联网安全技术
案例:
互联网安全状况令人担忧
2001年2月25日美国国防部副部长哈姆雷向新闻界公布了轰动整个美国的黑客袭击事件:
在过去的两周内,国防部五角大楼的军事情报网络接连遭受到黑客入侵,11个非机密军事网点(4个海军网点、7个空军网点)先后被光顾。
根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.7亿美元。
75%的公司报告财政损失是由于计算机系统的安全问题造成的。
超过50%的安全威胁来自内部;只有17%的公司愿意报告黑客入侵,其他的由于担心负面影响而未声张。
59%的损失可以定量估算。
平均每个组织损失$402000美元。
公安部官员估计,目前已发现的黑客攻击案约占总数的15%,多数事件由于没有造成严重危害或商家不愿透露而未被曝光。
有媒介报道,中国95%的与Internet相连的网络管理中心都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
在中国,针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元,针对其他行业的黑客犯罪案件也时有发生。
黑客的威胁见诸报道的已经屡见不鲜,像贵州省城热线、成都艺术节主页RSA安全公司等都报道有黑客入侵,他们在主页上发布反动口号,或将主页修改成黄色画面。
内部工作人员能较多地接触内部信息,工作中的任何不小心都可能给信息安全带来危险。
这类事件涉及的覆盖面越来越大、程度越来越深,以致于现在很多企业都不敢真正利用互联网进行电子商务建设。
6.1防火墙技术
防火墙(FireWall)是由软件和硬件(如计算机、路由器)组合而成的一个或一组系统,它处于企业或网络群体计算机与外界通道之间,用来加强Internet与Intranet之间的安全防范。
防火墙控制网络内外的信息交流,提供接入控制和审查跟踪,在外部网和内部网之间的界面构筑一个安全屏障。
(1)包过滤技术
包过滤技术在网络层对数据包进行选择,如图6.1所示。
图6.1包过滤防火墙
选择的依据是系统内设置的访问控制表AccessControlTable)中描述的过滤逻辑。
动态地检查TCP/IP数据流中每个数据包的报文类型、源IP地址、目的IP地址、所有TCP端口号、TCP链路状态等因素,或它们的组合,然后依据一组预定义的规则删除不合乎逻辑的数据包。
采用数据包过滤技术的防火墙通常安装在网络的路由器上。
几乎所有的商用路由器都提供此项功能。
这种基于路由器的防火墙比较简单易行,价格较低,对用户透明,对网络性能的影响很小。
包过滤技术的缺点是没有用户的使用记录,这样就不能从访问记录中发现黑客的攻击记录。
另外,它对IP欺骗式攻击无法防范,即无法防范黑客修改数据包头中的Internet协议地址,把IP地址改成可被接受的地址,以此骗取对企业内部网络的访问权限。
(2)网络地址转换
网络地址转换器是另一种类型的防火墙,其基本原理就像是电话网络中的总机,而内部网络的用户都拥有一部“分机”。
当内部用户要对外部网络进行访问时都使用同一个“总机”,而外部网络的用户要与内部网络中的某个用户通信时,也必须经过“总机”来转接。
当受保护的网络连接到Internet时,如果受保护网络的用户要访问Internet,那么他必须使用一个合法的IP地址。
但由于合法IP地址有限,并且受保护的网络往往有自己的一套IP地址规划(即非正式的IP地址),这时就需要网络地址转换器。
网络地址转换器就是在防火墙上装一个合法IP地址集。
当内部网络某一用户要访问Internet时,防火墙动态地从地址集中选一个未使用的地址分配给该用户,该用户就可以使用这个合法地址进行通信。
同时,对于内部的某些服务器和Web服务器,网络地址转换器允许为其分配一个固定的合法地址,外部网络用户就可以通过防火墙来访问内部服务器。
这种技术使得内部网络对外不透明,有利于内部网络的安全性。
同时也解决了内部网络的IP地址与外部地址发生冲突的问题。
网络地址转换包括内部网络到外部网络的转换和外部网络到内部网络的转换。
一般的地址转换方式为静态地址映射,就是将外部地址和内部地址一对一的映射,使得具有内部地址的主机既可以访问外部网络,又可以接受外部网络提供的服务。
此外,支持多对一的地址映射也是一种网络地址转换的方式,其原理是内部网络的多个主机可以通过一个有效地址访问外部网络。
当内部网络的主机通过安全网卡访问外部网络时,网络地址转换器产生一个映射记录,将该主机的源地址和源端口映射为一个伪装的地址和端口,并且使用伪装后的地址和端口,通过非安全网卡与外部网络建立连接,这样就对外隐藏了真实的内部网络地址。
当外部网络通过非安全网卡访问内部网络时,无法了解内部网络的连接情况,而只通过一个开放的IP地址和端口来请求服务。
(3)代理服务
在介绍代理服务防火墙之前,先介绍一下应用层网关防火墙。
应用层网关防火墙在网络应用层上建立协议过滤和转发功能,如图6.2所示。
它针对特定的网络应用服务协议,使用预先设定的数据过滤规则,并在过滤包的同时对数据包进行必要的分析、登记和统计,形成报告。
实际中的应用层网关防火墙通常安装在专用工作站系统上。
图6.2 应用网关防火墙
应用层网关防火墙和包过滤防火墙一样,仅仅依靠预定的规则来判定是否允许数据包通过,一旦数据包满足过滤规则,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户就有可能直接了解防火墙内部的网络结构和运行状态。
黑客们往往利用应用层网关防火墙这一特点,对其内部网络实施非法访问和攻击。
针对包过滤技术和应用层网关技术存在的缺点,一种解决办法是将代理服务技术应用于防火墙的设计中。
代理服务防火墙的特点是将所有跨越防火墙的网络通信链路分为两段,防火墙内外计算机系统间应用层的“链接”由两个代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用,如图6.3所示。
此外,代理服务防火墙也对流经它的数据包进行分析、注册登记,形成报告,同时一旦发现网络有被攻击迹象时,便通知网络管理员,并保留攻击痕迹。
图6.3代理服务
代理服务技术针对每一个特定应用都有一个程序,它试图在应用层实现防火墙的功能,这和在网络层拦截所有信息流的包过滤技术完全不同。
代理服务技术使得网络管理员能够实现比包过滤路由器更严格的安全策略:
应用层网关对Interner服务进行管理,它采用为每种所需服务在网关上安装特殊代理编码(代理服务)的方式来实现管理,而不像数据包过滤技术那样利用检查模块来管理Interner服务在防火墙系统中的进出。
这样,网络管理员就可以对服务进行全面的控制。
如果网络管理员没有为某种应用安装代理编码,那么该项服务就不支持,并且不能通过防火墙系统来转发。
此外,管理员也可以根据需要配置代理编码
双宿网关和堡垒主机都能够提供代理服务。
用户只允许访问代理服务,但不允许注册到应用层网关中。
这是因为如果允许用户注册到防火墙系统中,那么入侵者可能会在暗地里进行某些损害防火墙有效性的动作,防火墙系统的安全就会受到威胁。
例如,入侵者可能获取root权限,在系统中安装木马程序来截取口令后便能够修改防火墙的安全配置文件。
提供代理的应用层网关主要有以下优点:
①应用层网关有能力支持可靠的用户认证并提供详细的注册信息;
②用于应用层的过滤规则相对于包过滤路由器来说更容易配置和测试;
③代理工作在客户机和真实服务器之间完全控制会话,所以可以提供很详细的日志和安全审计功能;
④提供代理服务的防火墙可以被配置成惟一的可被外部看见的主机,这样可以隐藏内部网的IP地址,保护内部主机免受外部主机的攻击;
⑤通过代理访问Internet可以解决合法的IP地址不够用的问题,因为Internet所见到的只是代理服务器的地址,内部不合法的IP通过代理可以访问Internet。
然而,应用层代理也具有一些明显的缺点:
①代理服务器具有解释应用层命令的功能(如解释FTP命令、Telnet命令等),因此可能需要提供很多种不同的代理服务器(如FTP代理服务器、Telnet代理服务器),并且所能提供的服务和可伸缩性是有限的;
②应用层网关不能为RPC,TALK和其他一些基于通用协议的服务提供代理;
③应用层实现的防火墙会造成明显的性能下降;
④每个应用程序都必须有一个代理服务程序来进行安全控制,每一种应用升级时,代理服务程序一般也要升级;
⑤应用层网关要求用户改变自己的行为,或者在访问代理服务的每个系统上安装特殊的软件,比如,透过应用层网关的TelNet访问,要求用户通过两步而不是一步来建立连接。
不过,特殊的端系统软件可以让用户在TelNet命令中指定目标主机、而不是应用层网关来使得应用层网关透明。
从发展的观点来看,应用层代理网关适应Internet的通用用途和需要,但是Internet的环境在不断动态变化,目前新的协议、服务和应用不断出现,代理不再能处理Internet上的各种类型的传输,不能满足新的商业需求,不能胜任对网络高带宽和安全性的需要。
(4)状态检查
状态检查技术能在网络层实现所需要的防火墙能力。
状态检查防火墙采用了在网关上执行网络安全策略的、称之为状态检测模块的软件引擎。
检测模块在不影响网络正常工作的前提下,抽取相关数据来监测网络通信的各层,并将这些抽取的数据(称为状态信息)动态地保存起来,作为以后制定安全决策的参考。
检测模块能够对这些状态信息进行分析,更新状态数据和上下文信息,为跟踪无连接的协议提供虚拟的会话信息。
防火墙根据从传输过程和应用状态所获得的数据、网络设置和安全规则来产生一个合适的操作,要么拒绝,要么允许,或者加密传输。
任何安全规则没有明确允许的数据包将被丢弃,或者产生一个安全警告,并向系统管理员提供整个网络的状态。
状态检查防火墙是新一代的防火墙技术,它克服了包过滤和应用层代理两种方法的限制,通过不断开客户机/服务器的模式来提供一个完全的应用层感知。
这种防火墙监视每一个有效连接的状态,并根据这些信息决定网络数据包是否能够通过防火墙系统。
它在网络层截取数据包,然后分析这些数据包,并且将当前数据包及其状态信息,和前一时刻的数据包及其状态信息进行比较,从而得到该数据包的控制信息,以达到保护网络安全的目的;并从这些接收到的数据包中提取与安全策略相关的状态信息,将这些信息保存在一个动态状态表中,其目的是为了验证后续的链接请求。
这样就提供了一个高安全性的方案,系统的执行效率得以提高,并且具有很好的伸缩性和扩展性。
状态检查技术的另一个优点是,它能够监测RPC和UDP之类的端口信息。
状态检查防火墙具有以下优点:
①状态检查防火墙工作在数据链路层和网络层之间,它从这里截取数据包,确保防火墙能够截取和检查所有通过网络的原始数据包。
防火墙首先根据安全策略从数据包中提取有用信息,保存在内存中;然后将相关信息组合起来,进行判断,得到相应的操作(允许数据包通过、拒绝数据包、认证连接、加密数据等)。
状态检查防火墙虽然工作在协议栈较低层,但它监测所有应用层的数据包,从中提取IP地址、端口号、数据内容等有用信息,这样安全性就得到很大的提高。
②这种防火墙不需要协议栈的上层处理任何数据包,系统减少了处理高层协议栈的开销,执行效率提高很多;另外,在防火墙系统中一个连接一旦建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。
③防火墙系统不区分每个具体的应用,只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包,当有一个新的应用时,它能动态地产生新应用的新规则,而不用像应用代理防火墙那样另外编写代码,所以具有很好的伸缩性和扩展性。
6.1.2 防火墙体系结构
防火墙结构主要包括安全操作系统、过滤器、网关、域名服务和E-MAIL处理五个部分,如图6.4所示。
图6.4防火墙的组成
其中过滤器执行防火墙管理机构制定的一组策略规则,根据策略规则检验各数据组,决定是否放行。
这些规则按照IP地址、端口号,以及各类应用等参数来确定。
有的防火墙可能在网关两侧设置两个内、外过滤器,外过滤器保护网关不受攻击,网关提供中继服务、辅助过滤器控制业务流,而内过滤器在网关被攻破后提供对内部网络的保护。
防火墙本身必须建立在安全操作系统所提供的安全环境中,安全操作系统可以保护防火墙的代码和文件免遭入侵者攻击。
这些防火墙的代码只允许在给定主机系统上运行,这种限制可以减少非法穿越防火墙的可能性。
具有防火墙的主机在Internet界面上被称为堡垒主机。
(1)屏蔽路由器防火墙
屏蔽路由器防火墙也称为包过滤路由器防火墙,它可以由厂家生产专门的路由器来实现,也可以通过配置主机来实现。
这种防火墙被放置于Internet和内部网络之间,是连接内外网络的惟一通道,所有的数据包都必须通过它的检查,如图6.5所示。
在路由器上可以安装基于IP层的数据包过滤软件,实现数据包过滤的功能。
包过滤路由器在内外网络之间完成数据包的转发,并利用包过滤规则来判断接纳或拒绝数据包。
一般的过滤规则为:
内部网络上的主机可以直接访问Internet,但Internet上的主机对内部网络上的机器进行访问是有限制的。
从外部来看,这种类型的防火墙系统对没有特别允许的数据包都拒绝。
图6.5包过滤防火墙
屏蔽路由器防火墙价格低,并且易于使用;但如果配置不当,路由器可能容易受到攻击,这是因为它允许在内部网络和外部网络之间直接交换数据包,使得攻击可能会扩展到所有主机以及路由器所允许的全部服务器上。
因此,这就意味着可以从Internet上直接访问的主机要支持复杂的用户认证,并且要求网络管理员不断地检查网络,以确定网络是否受到攻击。
另外,若有一个包过滤路由器被渗透,则内部网络上所有系统都可能会受到损害。
单纯由屏蔽路由器构成的防火墙的危险地带,包括路由器本身以及路由器允许访问的主机。
(2)屏蔽主机网关防火墙
屏蔽主机网关防火墙由包过滤路由器和堡垒主机组成,如图6.6所示。
屏蔽主机网关防火墙实现了网络层安全(包过滤)和应用层安全(代理服务),入侵者在攻击内部网络之前,必须首先渗透两种不同的安全系统,所以它所提供的安全等级比包过滤防火墙要高。
图6.6屏蔽主机的防火墙
这种防火墙系统将堡垒主机配置在内部网络上,而包过滤路由器则放置在内部网络和Internet之间。
将过滤规则配置在路由器上,使得外部系统只能访问堡垒主机,而发给内部网络中其他主机的信息全部被阻塞。
堡垒主机成为从外部网络惟一可直接访问的主机,这样就确保了内部网络不受未被授权的外部用户的攻击。
由于内部主机与堡垒主机处于同一网络,所以内部网络中的主机是采取直接访问Internet,还是使用堡垒主机上代理服务的方式来访问Internet,需要由有关的安全策略来决定。
通过在路由器配置过滤规则,使得Internet只接受来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务。
(3)双宿主机网关防火墙
双宿主机网关防火墙采用了在一台堡垒主机上安装两块网卡的方法,对内部网络进行保护。
两块网卡分别与内部网络和外部网络相连,如图6.7所示。
在堡垒主机上安装并运行防火墙软件,可以转发应用程序和提供有关的服务。
对于双宿堡垒主机防火墙,堡垒主机是惟一能从Internet上直接访问的内部资源,因此内部系统中只有堡垒主机本身可能受到攻击。
如果允许用户注册到堡垒主机,那么整个内部网络上的主机都会受到攻击的威胁。
这是因为如果允许注册,入侵者侵入堡垒主机,并将其配置修改为只具有路由功能,那么外部网络上的任何用户均可以随便访问内部网络。
因此,保证堡垒主机的牢固可靠、避免被渗透和不允许用户注册是至关重要的。
图6.7双宿堡垒主机防火墙系统
(4)屏蔽子网防火墙
屏蔽子网防火墙是在内部网络和外部网络之间建立一个被隔离的子网,利用两台分组过滤路由器将这一子网分别与内部网络和外部网络隔开,在子网内构成一个“非军事区”dmz,网络管理员将堡垒主机、信息服务器以及其他公用服务器配置在这个子网中,如图6.8所示。
内部网络和外部网络都可以和被屏蔽的子网进行通信,但它们不能穿过被屏蔽子网直接通信。
屏蔽子网中惟一可访问的是堡垒主机,它能够支持终端交互,或作为应用网关代理。
图6.8屏蔽子网防火墙
(5)安全服务器网络防火墙
安全服务器网络防火墙采用分别保护的策略对内部网络实施保护。
在堡垒主机上安装3块网卡,防火墙系统把公共服务器设置为一个独立的网络,并与堡垒主机上的其中一块网卡相连,另外两块网卡分别与Internet和内部网络相连。
这时,公共服务器既是内部网络的一部分,但又与内部网关完全隔离,这就是安全服务器网络技术,如图6.9所示。
安全服务器网络防火墙提供的安全性要比屏蔽子网防火墙好。
这是因为安全服务器网络与外部网络和内部网络之间都有防火墙保护,一旦安全服务器网络受到破坏,内部网络仍会处于防火墙的保护之下。
而屏蔽子网防火墙一旦受到破坏,内部网络便暴露于攻击之下。
在实际应用中,究竟采用哪种防火墙,主要取决于网络向用户提供什么样的服务,以及网络能接受什么等级的风险,还要取决于经费、投资的大小或技术人员的技术、时间等因素。
图6.9安全服务器网络
6.2IPSec和虚拟专用网
6.2.1IPSec协议
IPSec是IETF于1998年11月公布的IP安全标准,其目标是为IPV4和IPV6提供具有较强的互操作能力、高质量和基于密码的安全。
IPSec在网络层上对数据包进行高强度的安全处理,提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。
IPSec协议对IPV4是可选的,对IPV6是强制性的。
IPSec规范中包含大量的文档。
其中最重要的是在1998年11月发布的:
①RFC2401:
安全体系结构概述;
②RFC2402:
包身份验证扩展到IPV4和IPV6的描述;
③RFC2406:
包加密扩展到IPV4和IPV6描述;
④RFC2408:
密钥管理能力规范。
(1)IPSEC体系结构
IPSEC的体系结构如图6.10所示。
IPSEC的体系结构各部分包括:
①安全体系结构:
包括一般的概念、安全需求、定义,以及定义IPSEC技术的机制;
②封装安全有效载荷ESP使用ESP进行包加密的报文包格式和一般性问题,以及可选的认证;
③验证头AH:
使用AH进行包认证的报文包格式和一般性问题;
④加密算法:
描述各种加密算法如何用于ESP中;
⑤认证算法:
描述各种身份验证算法如何用于AH中和ESP身份验证选项;
⑥密钥管理:
密钥管理的一组方案,其中Internet密钥交换协议IKE是默认的密钥自动交换协议;
⑦解释域:
彼此相关各部分的标识符及运作参数;
⑧策略:
决定两个实体之间能否通信,以及如何进行通信,策略的核心由安全
关联SA、安全关联库SAD、安全策略库SPD三部分组成,策略部分是惟一尚
未成为标准的组件。
图6.10IPsec体系结构
虚拟专用网VPN是利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术,实现与专用网络相类似的安全性能,从而实现对重要信息的安全传输的一种手段。
(1)VPN体系结构
VPN用户代理UA向安全隧道代理STA请求建立安全隧道,安全隧道代理接收到请求后,在VPN管理中心MC的控制和管理下,在公用互联网络上建立安全隧道,然后进行用户短信息的透明传输。
VPN用户代理又包括安全隧道终端功能STF、用户认证功能UAF和访问控制功能ACF3个部分,它们共同向用户高层应用提供完整的VPN服务。
安全隧道代理和VPN管理中心组成了VPN安全传输平面STP,在公用互联网络基础上实现信息的安全传输和系统的管理功能。
公共功能平面CFP是安全传输平面的辅助平面,由用户认证管理中心UAAC和VPN密钥分配中心KDC组成,其主要功能是向vpn用户代理提供相对独立的用户身份认证与管理,以及密钥的分配管理。
用户认证中心与VPN用户代理直接联系,向安全隧道代理提供VPN用户代理的身份认证,必要时也可以同时与安全隧道代理联系,向VPN用户代理和安全隧道代理提供双向的身份认证。
图6.10VPN系统结构
(2)VPN的实施方案
1)通过Internet实现远程访问
VPN支持以安全的方式通过公共互联网络远程访问企业资源。
与使用专线拨打长途或(1-800)电话连接企业的网络接入服务器不同,VPN用户首先拨通本地ISP的网络接入服务器,然后VPN软件利用与本地ISP建立的连接,在拨号用户和企业VPN服务器之间创建一个跨越Internet,或其他公共互联网络的虚拟专用网络,如图6.11所示。
图6.11通过Internet实现远程用户访问
2)通过Internet实现网络互连
可以采用以下两种方式使用VPN连接远程局域网络:
①使用专线连接分支机构和企业局域网。
不需要使用价格昂贵的长距离专用
线路,分支机构和企业端路由器可以使用各自本地的专用线路,通过本地ISP联通Internet,如图图6.12所示。
VPN软件使用与本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。
图6.12使用专线连接分支机构和企业局域网
②使用拨号线路连接分支机构和企业局域网。
不同于传统的使用连接分支机应当注意,在以上两种方式中,通过使用本地设备在分支机构和企业部门与构路由器的专线拨打长途或(1-800)电话连接企业网络接入服务器的方式,分支机构端的路由器可以通过拨号方式连接本地ISP。
VPN软件使用与本地ISP建立起的连接,在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。
Internet之间建立连接。
无论是在客户端还是服务器端,都是通过拨打本地接入电话建立连接,因此VPN可以大大节省连接的费用。
建议作为VPN服务器的企业端路由器使用专线连接本地ISP。
VPN服务器必须一天24小时对VPN数据流进行监听。
图6.13使用专线连接分支机构和企业局域网