-.z局域網(wǎng)組網(wǎng)技術實訓作業(yè)實訓目的：1、利用網(wǎng)絡平安設備〔防火墻系統(tǒng)、入侵檢測系統(tǒng)、VPN系統(tǒng)〕獨立組建具有網(wǎng)絡平安保護屏障的網(wǎng)絡。2、利用所學知識對防火墻的工作原理、入侵檢測系統(tǒng)的工作原理、VPN技術的工作原理進展分析，并根據(jù)不同的產(chǎn)品說明其優(yōu)缺點，學會利用各種平安產(chǎn)品對網(wǎng)絡進展管理。3、了解網(wǎng)絡不平安因素，網(wǎng)絡黑客的攻擊形式和方法。4、根據(jù)不同層次的網(wǎng)絡設計高效低耗的平安網(wǎng)絡。5、掌握網(wǎng)絡平安產(chǎn)品的開展方向。二、實訓要求和內容：1、設計一個基于屏蔽子網(wǎng)防火墻系統(tǒng)，畫出其拓樸構造，要求該系統(tǒng)設計成為包過濾和代理兩種不同機制防火墻系統(tǒng)，工作穩(wěn)定可靠，支持多種網(wǎng)絡效勞的深層過濾，還具有一定的可擴展性。2、設計一個基于DIDS入侵略檢測系統(tǒng)，畫出其拓撲構造，并說明其工作原理和將來的開展方向。3、設計基于SSLVPN技術的網(wǎng)絡平安系統(tǒng)，畫出其拓撲構造，并說明其工作原理和將來的開展方向。三、實訓步驟：a)(屏蔽子網(wǎng)的防火墻系統(tǒng))這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內構成一個“緩沖地帶〞〔如圖〕圖1基于屏蔽子網(wǎng)防火墻系統(tǒng)拓撲圖兩個路由器一個控制Intranet數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可屏蔽子網(wǎng)，但制止它們穿過屏蔽子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內部網(wǎng)絡和外部網(wǎng)絡的互相提供代理效勞，但是來自兩網(wǎng)絡的都必須通過兩個包過濾路由器的檢查。對于向Internet公開的效勞器，像、FTP、Mail等Internet效勞器也可安裝在屏蔽子網(wǎng)內，這樣無論是外部用戶，還是內部用戶都可。這種構造的防火墻平安性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。、屏蔽子網(wǎng)模型用了兩個包過濾路由器和一個堡壘主機.它是最平安的防火墻系統(tǒng)之一,因為在定義了"中立區(qū)"(DMZ,DemilitarizedZone)網(wǎng)絡后,它支持網(wǎng)絡層和應用層平安功能.網(wǎng)絡管理員將堡壘主機,信息效勞器,Modem組,以及其它公用效勞器放在DMZ網(wǎng)絡中.如果黑客想突破該防火墻則必須攻破以上三個單獨的設備。優(yōu)點：1、內聯(lián)網(wǎng)絡實現(xiàn)了與外聯(lián)網(wǎng)絡的隔離，內部構造無法探測，外聯(lián)網(wǎng)絡只能知道到外部路由器和非軍事區(qū)的存在，而不知道內部路由器的存在，也就無法探測到內部路由器后面的網(wǎng)絡了，這一點對于防止入侵者知道內聯(lián)網(wǎng)絡拓撲構造和主機地址分配情況及活動情況尤為重要；2、內聯(lián)網(wǎng)絡平安防護嚴密。入侵者必須攻破外部路由器、堡壘主機和內部路由器之后才能進入內聯(lián)網(wǎng)絡；3、由于使用了內部路由器和外部路由器，所以降低了堡壘主機的負載量，減輕了堡壘主機的壓力，增強了堡壘主機的可靠性與平安性；4、非軍事區(qū)的劃分將用戶網(wǎng)絡的信息流量明確地分成不同的等級，通過內部路由器的隔離作用，**信息流受到嚴密保護，減少了信息泄露現(xiàn)象的發(fā)生。當然，防火墻本身也有其局限性，如不能防*繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸；難以防止來自內部的攻擊等等?？傊?，防火墻只是一種整體平安防*策略的一局部，僅有防火墻是不夠的，平安策略還必須包括全面的平安準則，即網(wǎng)絡、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護等有關的平安策略。b)〔網(wǎng)絡入侵檢測系統(tǒng)〕網(wǎng)絡入侵檢測系統(tǒng)的核心局部是數(shù)據(jù)的分析與檢測，即通過對網(wǎng)絡主機、狀態(tài)信息的實時綜合分析與檢測，判斷網(wǎng)絡或系統(tǒng)是否受到攻擊。以往的檢測系統(tǒng)大都采用集中式數(shù)據(jù)處理，因為在早期的網(wǎng)絡環(huán)境中，網(wǎng)絡規(guī)模小、層次簡單、網(wǎng)絡通信量不大，因此這種集中式的方法可以完成大局部信息的實時分析和檢測。但是隨著網(wǎng)絡規(guī)模的不斷擴大和網(wǎng)絡構成的日益復雜化、，所以有必要將分布式檢測技術應用于入侵檢測分析過程。分布式入侵檢測系統(tǒng)構造中，是在網(wǎng)絡上多個檢測點部署具有簡單檢測功能的檢測代理和在網(wǎng)絡較平安的地方部署一個全局檢測代理。該系統(tǒng)的特點是將局部檢測功能由中心檢測器下防到局部檢測代理，局部檢測代理能夠完成大局部的本地事件簡單的檢測功能，而本地檢測代理無法完成檢測的可疑事件才上傳給全局檢測代理，所以大量的入侵事件不必在網(wǎng)絡上傳輸，這就降低了因局部檢測代理和全局檢測代理器之間相互通信而對網(wǎng)絡帶寬的大量占用，降低了因部署檢測系統(tǒng)而對網(wǎng)絡系統(tǒng)本身性能造成的影響。由于全局檢測器能夠收集到多個檢測代理報告的入侵可疑事件，所以全局檢測器能夠在更高層次上完成分布式、協(xié)同式的攻擊檢測。在系統(tǒng)本身平安方面，由于各檢測代理能夠獨立地進展本地檢測，任何一個檢測代理遭到攻擊都不會影響其他檢測代理的正常工作，增加了系統(tǒng)的強健性。綜上所述，未來的入侵檢測技術開展的方向是采用基于代理的分布式技術。圖2基于DIDS入侵檢測系統(tǒng)分析圖圖3基于DIDS入侵檢測系統(tǒng)摘要：隨著網(wǎng)絡技術的開展，網(wǎng)絡環(huán)境變得越來越復雜，對于網(wǎng)絡平安來說，單純的防火墻技術暴露出明顯的缺乏和弱點，一個有效的解決途徑就是入侵檢測系統(tǒng)IDS〔——IntrusionDetectionSystem〕。入侵檢測技術是一種主動保護自己免受攻擊的一種網(wǎng)絡平安技術。作為防火墻的合理補充，入侵檢測技術能夠幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的平安管理能力〔包括平安審計、監(jiān)視、攻擊識別和響應〕，提高了信息平安根底構造的完整性。它從計算機網(wǎng)絡系統(tǒng)中的假設干關鍵點收集信息，并分析這些信息。入侵檢測被認為是防火墻之后的第二道平安閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進展監(jiān)測。它可以防止或減輕上述的網(wǎng)絡威脅。入侵檢測技術的開展趨勢1、智能化入侵檢測。即使用智能化的方法與手段來進展入侵檢測。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡、遺傳算法、模糊技術、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。利用專家系統(tǒng)的地思想來構建IDS也是常用的方法之一。特別是具有自學習能力的專家系統(tǒng)，實現(xiàn)了知識庫的不斷升級語擴展，使設計的IDS防*能力不斷增強，應該具有更廣泛的應用前景。2、采用協(xié)議分析融合模式匹配的檢測方式。特征模式匹配雖然是主要技術，但存在速度慢，效率低等缺點，協(xié)議分析是新一代IDS探測攻擊手法的主要技術，它利用網(wǎng)絡協(xié)議的高度規(guī)則性快速探測攻擊的存在。協(xié)議分析技術優(yōu)勢在于能夠詳細解析各種協(xié)議。探測碎片攻擊和協(xié)議確認技術可以為系統(tǒng)在每一層上都沿著協(xié)議棧向上解碼，從而使用所有當前協(xié)議信息，來排除所有異常協(xié)議構造的攻擊，同時大大降低傳統(tǒng)模式匹配帶來的誤報問題和提高了效率，同時減少了系統(tǒng)資源消耗。3、分布式和負載均衡入侵檢測。分布式的第一層含義，即針對分布式網(wǎng)絡的攻擊的檢測方法；第二層含義即使用分布式的方法來實現(xiàn)分布式的攻擊的檢測，其中的關鍵技術為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。負載均衡是一項具備智能化的技術，通常是通過并行的幾臺設備，將處理流量盡量平均的分配到各個設備，使得總體的處理負荷能夠“分攤〞到各個設備中，從而使總體性能得到很大的提高。4、內容恢復和網(wǎng)絡審計功能的引入。入侵檢測的最高境界是行為分析。但行為分析前還不是很成熟，因此，個別優(yōu)秀的入侵檢測產(chǎn)品引入了內容恢復和網(wǎng)絡審計功能。

內容恢復即在協(xié)議分析的根底上，對網(wǎng)絡中發(fā)生的應為加以完整的重組和記錄，網(wǎng)絡中發(fā)生的任何行為都逃不過它的監(jiān)視。網(wǎng)絡審計即對網(wǎng)絡中所有的連接事件進展記錄。入侵檢測的接入方式?jīng)Q定IDS中的網(wǎng)絡審計不僅類似防火墻可以記錄網(wǎng)絡進出信息，還可以記錄網(wǎng)絡內部連接狀況，此功能對內容恢復無法恢復的加密連接尤其有用。管理員通過此功能的使用，很好的達成了行為分析的目的。但使用此功能的同時需注意對用戶隱私的保護。5、集成網(wǎng)絡分析和管理功能。入侵檢測不但對網(wǎng)絡攻擊是一個檢測。同時，侵檢測可以收到網(wǎng)絡中的所有數(shù)據(jù)，對網(wǎng)絡的故障分析和**管理也可起到重大作用。當管理員發(fā)現(xiàn)*臺主機有問題時，也希望能馬上對其進展管理。入侵檢測也不應只采用被動分析方法，最好能和主動分析結合。所以，入侵檢測產(chǎn)品集成網(wǎng)管功能，掃描器(Scanner)，嗅探器(Sniffer)等功能是以后開展的方向。6、改進網(wǎng)絡報文的捕獲方法。零拷貝方式的報文捕獲。隨著對大數(shù)據(jù)量處理的要求，入侵檢測的性能要求也逐步提高，出現(xiàn)了千兆入侵檢測等產(chǎn)品。改進的網(wǎng)絡包處理方式，通過重寫網(wǎng)卡驅動，使得網(wǎng)卡驅動與上層系統(tǒng)共享一塊內存區(qū)域，網(wǎng)卡從網(wǎng)絡上捕獲到的數(shù)據(jù)包直接傳遞給入侵檢測系統(tǒng)，這個過程防止了數(shù)據(jù)的內存拷貝，不需要占用CPU資源，最大程度的將有限的CPU資源讓給協(xié)議分析和模式匹配等進程去利用，提高了整體性能。

7、防火墻聯(lián)動功能。入侵檢測發(fā)現(xiàn)攻擊，自動發(fā)送給放火墻，防火墻加載動態(tài)規(guī)則攔截入侵，稱為防火墻聯(lián)動功能。目前此功能還沒有到完全實用的階段，主要是一種概念。隨便使用會導致很多問題。目前主要的應用對象是自動傳播的攻擊，如Nimda等，聯(lián)動只在這種場合有一定的作用。無限制的使用聯(lián)動，如未經(jīng)充分測試，對防火期的穩(wěn)定性和網(wǎng)絡應用會造成負面影響。

隨著用戶對網(wǎng)絡帶寬、高速流量等需求不斷增加，入侵檢測技術迫切需要進一步創(chuàng)新和性能改進以適應高速環(huán)境下的平安防護。同時目前入侵檢測隨著功能的增強角色也在悄悄變化，其本身獨特的技術優(yōu)勢也更多為平安審計，入侵管理平臺等提供支撐，因此融合多種功能、功能更強是IDS重要生命力。技術是保障IDS順利開展的核心。未來IDS的主要研究方向：解決誤報和漏報問題。在新技術的支撐下，IDS體系構造的研究、平安通信機制研究、入侵檢測技術的研究、響應策略與恢復的研究以及協(xié)作式入侵檢測技術的研究將是未來的研究方向。C)基于SSLVPN技術的網(wǎng)絡平安系統(tǒng)1、引言

當前，越來越多的企業(yè)正在通過Internet來滿足員工、客戶以及合作伙伴的各種通信需求，允許他們隨時隨地企業(yè)內部的資源，這勢必將企業(yè)的內部網(wǎng)絡暴露在可被攻擊的環(huán)境下，所以需要提供一種平安接入機制來保障通信以及敏感信息的平安。IETF組織提出了一組基于密碼學的平安的開放網(wǎng)絡平安協(xié)議，總稱為IP平安體系架構——IPSec,IPSecVPN建立在該體系架構之上，通過為通信雙方建立一個平安隧道來保障通信平安。但是IPSecVPN的設計初衷是用于可靠網(wǎng)絡之間的互聯(lián)(即提供一個虛擬的IP網(wǎng))，并不適用于大量分散移動用戶的遠程平安接入。相對于網(wǎng)絡層的IPSec，基于SSL(平安套接層)協(xié)議的SSLVPN可以提供基于應用層的控制，具有數(shù)據(jù)加密、完整性檢測和認證機制，而且客戶端無需特定軟件的安裝，更加容易配置和管理等特點，因而更適合于遠程用戶的平安接入。理解SSLVPN的關鍵是對SSL協(xié)議的理解，下面簡要概述SSL協(xié)議的根本原理。

2、SSL協(xié)議原理

SSL協(xié)議是網(wǎng)景公司設計的基于Web應用的平安協(xié)議，它指定了在應用程序協(xié)議(如HTTP，Telnet和FTP等)和TCP/IP協(xié)議之間進展數(shù)據(jù)交換的平安機制，為TCP/IP連接提供數(shù)據(jù)加密、效勞器認證以及可選的客戶機認證，其協(xié)議棧如圖1所示。

SSL協(xié)議棧SSL協(xié)議是由SSL記錄協(xié)議、握手協(xié)議、密鑰更改協(xié)議和告警協(xié)議組成，它們共同為應用連接提供認證、加密和防篡改功能。SSL握手協(xié)議主要是用于效勞器和客戶之間的相互認證，協(xié)商加密算法和MAC(MessageAuthenticationCode)算法，用于生成在SSL記錄中發(fā)送的加密密鑰。SSL記錄協(xié)議是為各種高層協(xié)議提供根本的平安效勞，其工作機制如下：應用程序消息被分割成可管理的數(shù)據(jù)塊(可以選擇壓縮數(shù)據(jù))，并產(chǎn)生一個MAC信息，加密，插入新的文件頭，最后在TCP中加以傳輸；接收端將收到的數(shù)據(jù)解密，做身份驗證、解壓縮、重組數(shù)據(jù)報然后交給高層應用進展處理。SSL密鑰更改協(xié)議是由一條消息組成，其作用是把未定狀態(tài)拷貝為當前狀態(tài)，更新用于當前連接的密鑰組。SSL警告協(xié)議主要是用于為對等實體傳遞與SSL相關的告警信息，包括警告、嚴重和重大等三類不同級別的告警信息。

作為應用層協(xié)議，SSL使用公開密鑰體制和*.509數(shù)字證書技術保護信息傳輸?shù)?*性和完整性。SSL平安功能組件包括三局部：認證(在連接兩端對效勞器或同時對效勞器和客戶端進展驗證)，加密(對通信進展加密，只有經(jīng)過加密的雙方才能交換信息并相互識別)，完整性檢驗(進展信息內容檢測，防止被篡改)。保證通信進程平安的關鍵步驟就是對通信雙方進展認證，SSL握手協(xié)議負責這一進程的處理.3、SSLVPN技術特點

IPSecVPN和SSLVPN是兩種不同的VPN架構，IPSecVPN是工作在網(wǎng)絡層的，提供所有在網(wǎng)絡層上的數(shù)據(jù)保護和透明的平安通信，而SSLVPN是工作在應用層(基于HTTP協(xié)議)和TCP層之間的，從整體的平安等級來看，兩者都能夠提供平安的遠程接入。但是，IPSecVPN技術是被設計用于連接和保護在信任網(wǎng)絡中的數(shù)據(jù)流，因此更適合為不同的網(wǎng)絡提供通信平安保障，而SSLVPN因為以下的技術特點則更適合應用于遠程分散移動用戶的平安接入。

(1)客戶端支撐維護簡單

對于大多數(shù)執(zhí)行基于SSL協(xié)議的遠程是不需要在遠程客戶端設備上安裝軟件，只需通過標準的Web瀏覽器連接因特網(wǎng)，即可以通過網(wǎng)頁到企業(yè)內部的網(wǎng)絡資源。而IPSecVPN需要在遠程終端用戶一方安裝特定軟件以建立平安隧道。

(2)提供增強的遠程平安接入功能

IPSecVPN通過在兩站點間創(chuàng)立平安隧道提供直接(非代理方式)接入，實現(xiàn)對整個網(wǎng)絡的透明；一旦隧道創(chuàng)立，用戶終端就如同物理地處于企業(yè)內部局域網(wǎng)中，這會帶來很多平安風險，尤其是在接入用戶權限過大的情況下。SSLVPN提供平安、可代理連接。通常SSLVPN的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理效勞器。如果用戶希望平安地連接到公司網(wǎng)絡上，則當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理效勞器取得，并驗證該用戶的身份，然后SSL代理效勞器將連接映射到不同的應用效勞器上。

(3)提供更細粒度的控制

SSLVPN能對加密隧道進展細分，使終端用戶能夠同時接入Internet和內部企業(yè)網(wǎng)資源。另外，SSLVPN還能細化接入控制功能，提供用戶級別的鑒權，依據(jù)平安策略確保只有授權的用戶才能夠特定的內部網(wǎng)絡資源，這種準確的接入控制功能對遠程接入IPSecVPN來說幾乎是不可能實現(xiàn)的。

(4)能夠穿越NAT和防火墻設備

SSLVPN工作在傳輸層之上，因而能夠遍歷所有NAT設備和防火墻設備，這使得用戶能夠從任何地方遠程接入到公司的內部網(wǎng)絡。而IPSecVPN工作在網(wǎng)絡層上，它很難實現(xiàn)防火墻和NAT設備的遍歷，并且無力解決IP地址沖突。

(5)能夠較好地抵御外部系統(tǒng)和病毒攻擊

SSL是一個平安協(xié)議，數(shù)據(jù)是全程加密傳輸?shù)摹Ａ硗?，由于SSL網(wǎng)關隔離了內網(wǎng)效勞器和客戶端，只留下一個Web瀏覽接口，客戶端的大多數(shù)木馬病毒感染不到內網(wǎng)效勞器。而傳統(tǒng)的IPSecVPN由于實現(xiàn)的是IP級別的，一旦隧道創(chuàng)立，用戶終端就如同物理地處于企業(yè)內部局域網(wǎng)中，內部網(wǎng)絡所連接的應用系統(tǒng)都是可以偵測得到，這就為黑客攻擊提供了時機，并且使得局域網(wǎng)能夠傳播的病毒，通過VPN一樣能夠傳播。

(6)網(wǎng)絡部署靈活方便

IPSecVPN在部署時一般放置在網(wǎng)絡網(wǎng)關處，因而需要考慮網(wǎng)絡的拓撲構造，如果增添新的設備，往往要改變網(wǎng)絡構造。而SSLVPN卻有所不同，它一般部署在內網(wǎng)中防火墻之后，可以隨時根據(jù)需要，添加需要VPN保護的效勞器，因此無需影響原有網(wǎng)絡構造。

然而SSLVPN技術也存在一些缺乏，如認證方式比較單一，只能夠采用證書，而且一般是單向認證，而IPSecVPN可以采取IKE(InternetKeyE*change)方式，使用數(shù)字憑證或是一組加密密鑰來做認證；SSLVPN用戶只能基于Web效勞器的應用，而IPSecVPN卻幾乎可以為所有的應用提供，包括B/S，C/S模式的應用；SSLVPN只對通信雙方的*個應用通道進展加密，而不是對在通信雙方的主機之間的整個通道進展加密；SSLVPN是應用層加密，性能相對來說可能會受到較大影響。此外，SSLVPN主要適用于點到點的信息加密傳輸，如果要實現(xiàn)網(wǎng)絡到網(wǎng)絡的平安互聯(lián)，只能考慮采用IPSecVPN。

4、SSLVPN的實際應用

SSLVPN在實際應用中就是要依據(jù)平安控制策略為分散移動用戶提供從外網(wǎng)企業(yè)內網(wǎng)資源的平安通道。通常企業(yè)內部的資源效勞器向外網(wǎng)用戶提供一個虛擬的URL地址，當用戶從外網(wǎng)企業(yè)內網(wǎng)資源時，發(fā)起的連接被SSLVPN網(wǎng)關取得，通過認證后映射到不同的應用效勞器，采用這種方式能夠屏蔽內部網(wǎng)絡的構造，不易遭受來自外部的攻擊。對于SSLVPN的網(wǎng)關設備應當從三個根本層面來滿足不同的應用需求：

(1)支持Web方式的應用。例如通過SSLVPN建立的平安通道基于Web的電子系統(tǒng)收發(fā)。

(2)支持非Web方式的應用。例如終端用戶想要實現(xiàn)非Web頁面的文件共享，則SSLVPN網(wǎng)關必須將與內網(wǎng)FTP效勞器的通信內容轉化為HTTPS協(xié)議和HTML格式發(fā)往客戶端，使終端用戶感覺這些應用就是一些基于Web的應用。

(3)支持基于客戶/效勞器應用的代理。這種應用需要在終端系統(tǒng)上運行一個非常小的Java或Active*程序作為端口轉發(fā)器，監(jiān)聽*個端口上的連接。當數(shù)據(jù)包進入這個端口時，它們通過SSL連接中的隧道被傳送到SSLVPN網(wǎng)關中，SSLVPN網(wǎng)關解**裝的數(shù)據(jù)包，將它們轉發(fā)給目的應用效勞器。圖3所示為一個根本的SSLVPN實際部署拓撲。

SSLVPN網(wǎng)絡部署拓撲對于一個企業(yè)來說不僅提供基于Web的應用，也同時提供大量不基于Web的應用，如OA、財務、銷售管理、ERP等應用。在現(xiàn)階段，SSLVPN只能基于Web的應用，而IPSecVPN卻幾乎可以為所有的應用提供，不過，IPSec不容易穿越防火墻和NAT設備，所以當用戶需要從外網(wǎng)接入企業(yè)內部網(wǎng)絡時就難以實現(xiàn)。對于用戶來說，理想的方式是將SSLVPN和IPSecVPN結合起來使用。一方面為數(shù)量有限的用戶提供IPSecVPN連接，使其能夠企業(yè)內網(wǎng)的所有資源；另一方面為多數(shù)用戶提供SSLVPN連接，使其可以基于Web的企業(yè)應用。

5、完畢語

伴隨企業(yè)信息化程度的加深，遠程平安、協(xié)同工作的需求會日益明顯，SSLVPN由于其自身的技術優(yōu)勢，勢必將成為企業(yè)用戶遠程平安接入的首選方式，并且將與IPSecVPN技術一同為企業(yè)提供一個平安的遠程接入平臺。圖4基于SSLVPN技術的網(wǎng)絡平安系統(tǒng)拓撲圖網(wǎng)絡平安產(chǎn)品技術開展趨勢-