杭师院vpn方案.docx
- 文档编号:27458325
- 上传时间:2023-07-01
- 格式:DOCX
- 页数:34
- 大小:389.25KB
杭师院vpn方案.docx
《杭师院vpn方案.docx》由会员分享,可在线阅读,更多相关《杭师院vpn方案.docx(34页珍藏版)》请在冰豆网上搜索。
杭师院vpn方案
冠华诚欣VPN技术白皮书
引言
随着我国社会主义市场经济环境的不断完善,经济领域的竞争日趋激烈,建立跨地域、跨行业、能沟通供应链上下游环节的企业级战略性信息系统已成为企业在市场中获取竞争优势的重要手段。
目前,国内企业内部的信息化程度越来越高,很多企业都建有自己的局域网、财务系统、ERP系统等等,但建设和维护一个远程基础通讯设施所需的昂贵费用却使绝大多数企业望而却步,它们只能通过远程拨号访问、简单的FTP传输等手段来维系不同地域信息系统之间数据交换的最低要求,严重制约了信息系统整体效能的发挥。
在这样的背景下,企业迫切需要一种低成本的网络互联解决方案,以实现异地分支机构、合作伙伴或移动用户与企业总部之间畅通、安全地交换或共享业务数据。
Internet技术的不断发展和日趋成熟为这种需求的实现提供了现实的可能性。
Internet所具备的高带宽、低费用以及无限的连接特性对企业具有极大的诱惑性,但与此同时,Internet的高度开放性和松散管理结构也使得企业面临的网络安全问题益发尖锐,成了Internet作为商务网络必须跨越的重大障碍。
为此,各种网络安全技术和产品应运而生,其中虚拟专用网(VPN)及其相关技术经过多年的实践、发展和完善,以其方便性、安全性、标准化等优势脱颖而出,逐步成为实现企业网络跨地域安全互联的主要技术手段,是目前和今后一段时间内企业构建广域网络的发展趋势。
企业实际构建虚拟专用网络需要对一系列与互通和安全相关的问题作出决策,如VPN技术和产品的选用、安全策略的制定、用户认证、私有IP地址的分配和传送、NAT、流量控制、以及和其它安全产品的配合等等。
杭州冠华科技有限公司作为一个专业化的VPN产品研制、生产和服务提供商,对VPN的技术内涵和国内企业的需求特点有着深刻的理解,并具有丰富的VPN工程实施经验。
冠华诚欣VPN就是我公司在总结国内外各种VPN产品的特点和国内用户实际需求的基础上,推出的拥有完全知识产权的系列VPN产品,能满足各种不同类型企业的构网要求。
第一章VPN技术概述
虚拟专用网(VPN)是一种以公用网络,尤其是Internet为基础,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术,包括和该技术相关的多种安全管理机制。
VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段,以替代传统的长途专线连接和远程拨号连接,但同时VPN也是一种实现企业内部网安全隔离的有效方式。
VPN技术需要解决的主要问题概括起来就是:
实现低成本的互通和安全。
1.1企业网络互联的基本安全要素
企业通过公网实现跨地域的系统互联必然面临安全问题。
使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素
●保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。
●保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
●保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
●提供动态密钥交换功能和集中安全管理服务。
●提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
需要强调指出的是:
网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。
企业需要的是集组织、管理和技术为一体的完整的安全解决方案。
1.2VPN技术基础
实现一个完整的VPN的主要基础技术包括隧道技术、密码技术和网络访问控制技术。
隧道技术使得各种内部数据包可以通过公网进行传输;密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等,网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。
1.2.1隧道技术
原数据包
由于受到Internet网络中IP地址资源短缺的影响,各企业内部网络使用的多为私有IP地址,从这些地址发出的数据包是不能直接通过Internet传输的,而必须代之以合法的IP地址。
有多种方法可以完成这种地址转换,如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等,对于VPN而言,数据包封装(隧道)是最常用的技术。
数据包封装发生在VPN的发送节点,此时需将原数据包打包,添加合法的外层IP包头,这个包可通过公网被传送到接收端的VPN节点,该节点接收后进行拆包处理,还原出原报文后传述给目标主机。
几乎所有的VPN技术均采用了数据包封装技术,下图为IPSecVPN隧道模式下对数据包的封装过程:
隧道封装后的数据包
1.2.2密码技术
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。
在多数情况下,数据加密是保证信息机密性的唯一方法。
一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护。
数据加密过程是由各种加密算法来具体实施,按照收发双方密钥是否相同来分类,可以将这些加密算法分为对称密码算法和非对称密码算法(公钥算法)。
对称密钥密码算法的收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。
最著名的对称密码算法为美国的DES算法及其各种变形。
对称密码算法的优点是有很强的保密强度和较快的运算速度,但其密钥必须通过安全的途径传送。
因此,其密钥管理成为系统安全的重要因素。
非对称密钥(公钥)密码算法的收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥,这些特性使其成为实现数字签名的最佳选择。
由于非对称密码算法加密速度慢,不适宜直接对实时的和大量的数据加密。
在IPSec实现中,非对称算法(证书)用于自动协商隧道密钥(对称密钥),从而可大大简化密钥的管理工作。
在IP最著名也是应用最为广泛的公钥密码算法是RSA算法。
1.2.3网络访问控制技术
网络访问控制技术对出入广域网的数据包进行过滤,即传统的防火墙功能。
由于防火墙和VPN均处于公网出口处,在网络中的位置基本相同,而其功能具有很强的互补性,因此一个完整的VPN产品应同时提供完善的网络访问控制功能,这可以在系统的安全性、性能及统一管理上带来一系列的好处。
1.3IPSecVPN网络安全体系
目前建造虚拟专用网依据的主要国际标准有IPSec、L2TP、PPTP、L2F、SOCKS等。
各种标准的侧重点有所不同,其中IPSec是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础。
实际上,IPV6版本就将IPSec作为其组成部分,而L2TP协议草案中也规定它(L2TP标准)必须以IPSec为安全基础。
目前,采用IPSec标准的VPN技术已经基本成熟,得到国际上几乎所有主流网络和安全供应商的鼎力支持,并且正在不断丰富完善。
可以断定,IPSec将成为未来相当一段时间内企业构筑VPN的主流标准,因此企业在构造VPN基础设施时应该首先考虑IPSec标准。
1.3.1IPSec的优势
IPSec(IPSecurity)是IETFIPSec工作组为了在IP层提供通信安全而制订的一整套协议标准,IPSec的结构文档RFC2401定义了IPSec的基本结构,所有具体的实施方案均建立在它的基础之上。
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。
尽管现在发行的许多Internet应用软件中已包含了安全特征。
例如,NetscapeNavigator和MicrosoftInternetExplorer支持保护互联网通信的安全套层协议(SSL),还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议(SET)。
然而,VPN需要的是网络级的安全功能,这也正是IPSec所提供的。
下面为IPSec的一些优点:
●IPSec在传输层之下,对于应用程序来说是透明的。
当在广域网出口处安装IPSec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。
●IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。
●如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。
1.3.2IPSec的原理
IPSec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;密钥协商部分则定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。
IETF的IPSec工作组已经制定了12个RFC,对IPSec的方方面面都进行了定义,但其核心由其中的三个最基本的协议组成。
即:
认证协议头(AH)、安全载荷封装(ESP)和互联网密钥管理协议(IKMP)。
认证协议头(AH)协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。
AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
安全载荷封装(ESP)协议通过对数据包的全部数据和加载内容进行全加密,来提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。
和AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。
在IPSec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。
大部分的应用实例中都采用了ESP或同时使用ESP和AH,但对于某些仅需要保证完整性的应用(如股市行情的发送),也可仅使用AH。
IPSec支持手工密钥设置和自动协商两种密钥管理方式。
手工密钥管理方式是指管理员使用自己的密钥手工设置每个系统。
这种方法在小型网络环境和有限的安全需要时可以工作得很好。
自动协商管理方式则能满足其它所有的应用要求。
使用自动协商管理方式,通讯双方在建立安全连接(SA)时可以动态地协商本次会话所需的加密密钥和其它各种安全参数,无须用户的介入。
IPSec使用Internet密钥交换(IKE)协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等,这些安全参数的总体称之为安全关联(SA)。
IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商。
IKE通过两个阶段的协商来完成安全关联(SA)的建立,第一阶段,由IKE交换的发起方发起一个主模式交换或野蛮模式交换,交换的结果是建立一个名为ISAKMPSA的安全关联;第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列,完成用于保护通信数据的IPSecSA的协商。
设计IPSec是为了给IP数据报提供高质量的、可互操作的、基于密码学的安全性。
因此,IPSec协议中涉及各种密码算法,具体的加密和认证算法的选择因IPSec的实现不同而不同,但为了保证互操作性,IPSec中规定了每个IPSec实现要强制实现的算法。
IPSec规范中要求强制实现的加密算法是CBC模式的DES和NULL算法,而认证算法是HMAC-MD5、HMAC-SHA-1和NULL认证算法。
必须强调指出的是,高强度的密码算法是国家专控商品,至今美国仍实行对加密长度超过128位的加密算法的出口限制。
我国颁布的《中华人民共和国商用密码管理条例》中规定,“商用密码技术属于国家秘密。
国家对商用密码产品的科研、生产、销售和使用实行专控管理。
”,“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”,因此在选择VPN产品时,应采用经过国家密码管理机构认可的产品。
1.3.3IPSec的实现方式
IPSec的一个最基本的优势是它可以在各种网络访问设备、主机服务器和工作站上完全实现,从而使其构成的安全通道几乎可以延伸至网络的任意位置。
在网络端,可以在路由器、防火墙、代理网关等设备中实现VPN网关;在客户端,IPSec架构允许使用基于纯软件方式使用普通Modem的PC机和工作站。
IPSec通过两种模式在应用上提供更多的弹性:
传输模式和隧道模式。
传送模式通常当通讯发生在主机(客户机或服务器)之间时使用。
传输模式使用原始明文IP头,AH或ESP被插在IP头之后但在所有的传输层协议之前。
由于没有对原始IP头进行加密,因此传输模式不能抗数据流量分析。
隧道模式通常当通讯双方中有任一方是关联到多台主机的网络访问接入装置时使用。
在隧道模式下,AH或ESP被插在原始IP头之前,同时生成一个新的IP头,并用自己的地址作为源地址加入到新的IP头。
当隧道模式用于用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
1.3.4IPSec与NAT协同工作
网络地址转换(NAT)是IETF为了解决IPv4协议定义的IP地址不足问题而提出的一种解决方案。
它的主要工作原理是:
在内部网络中使用IPv4保留的私有地址对主机进行地址分配,同时在NAT网关处将所有的内部网络地址以某种方式动态映射为一个或多个因特网合法IP地址(通常为NAT网关的外网口地址)。
目前NAT技术以其简单实用的特点在国内得到了非常广泛的应用,比如:
企业局域网通过代理或防火墙共享上网,小区和智能大厦提供的宽带接入,宽带城域网接入业务等等;而且在很多地方用户访问因特网的数据往往通过了多层NAT网关的转换。
在多数情况下NAT的处理对用户使用是完全透明的,但是当希望使用IPSec技术组建VPN网络时,NAT却带来了很大的麻烦。
由于NAT处理过程是需要修改IP数据报文的IP头数据、传输层报文头数据甚至传输数据的内容(如FTP应用),而在IPSec协议中是对整个IP报文数据进行了加密和完整性认证处理的,所以一旦经过IPSec处理的IP包穿过NAT网关时,包内容被网关所改动,改数据包到达目的主机后其解密或完整性认证处理就会失败,于是这个报文被认为是非法数据而被丢弃。
这就是组建VPN网关最常见的“IPSec与NAT协调工作”的问题。
为了解决这个问题IETF专门为IPSec制定的“NAT穿越(NATT)”的协议草案,目前该草案的最新版本为v0.3,是2002年刚刚提出的。
协议中解决NAT穿越问题的基本思路是在IPSec封装好的数据包外再进行一次UDP的数据封装,这样当此数据包穿过NAT网关时,被修改的只是最外层的IP/UDP数据,而对其内部真正的IPSec数据没有进行改动;在目的主机处再把外层的IP/UDP封装去掉,就可以获得完整的IPSec数据包。
由于NATT协议标准制定的时间还比较短,而且还没有最终形成RFC的标准,所以目前国内VPN厂商真正支持这个标准的产品几乎没有,国外的VPN厂商也只有象NetScreen这样的大型的VPN设备供应商才支持NATT标准。
冠华诚欣VPN的全系列产品(从网关到移动客户端软件)都支持最新的NATT标准。
由于NAT技术在国内的广泛应用,所以用户在选用VPN设备时应该将这一功能作为一个重要的考核指标。
第二章冠华诚欣VPN产品介绍
冠华诚欣VPN产品是杭州冠华科技有限公司在总结国内外各种VPN产品的特点和国内用户实际需求的基础上,面向企业用户推出的拥有完全知识产权的系列VPN产品。
冠华诚欣VPN要达到的目标是:
采用冠华诚欣VPN,企业的所有分支机构、合作伙伴和移动用户只要连接上因特网(无论采取什么样的接入方式),就能够像是用专线互联一样方便安全地交换和共享数据。
2.1冠华诚欣VPN产品的主要特点
2.1.1符合国家密码管理政策
冠华诚欣公司所有安全产品采用加密协议均符合国密办管理条例。
2.1.2全面支持IPSec协议标准
IPSec作为一个全球性的安全标准,要求所有IPSec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。
冠华诚欣VPN产品经过严格的互通性测试,和CISCO、NetScreen、MicroSoft等著名厂家的VPN产品可以实现互通(采用标准算法)。
2.1.3支持最新的NAT穿越(NATT)协议
NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术;NAT与IPSec协议存在着原理上的矛盾(具体参考上一章的相关描述);所以在应用IPSec技术组建VPN网络时,一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。
冠华诚欣VPN的全系列产品均支持最新的NATTV0.3协议标准,具有非常好的网络适应性。
2.1.4集成完善的防火墙功能
冠华诚欣VPN网关中集成开发了功能强大的防火墙,并进行了友好易用的用户界面封装,提供专用防火墙产品绝大部分的功能:
完备的动态包过滤功能;
双向NAT功能;
MAC地址绑定功能;
ARP代理功能;
透明应用代理功能;
防止半连接、拒绝服务、IP碎片等常见攻击功能;
2.1.5支持双动态IP地址间建立VPN隧道
目前国内常用的因特网接入方案(包括电话拨号、ISDN拨号、ADSL宽带接入等等)都是由ISP为接入用户动态分配临时IP地址。
如果企业的两个分支机构均采用动态IP地址方式接入因特网,那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整,这一过程对目前市场大部分的VPN产品(包括国内产品和国外产品)都无法自动完成,这为企业VPN网络的广泛应用和管理人员的维护工作带来很大麻烦。
冠华诚欣VPN网关产品通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。
网关接入因特网之后首先向企业总部部署的“安全策略服务器(SPS)”进行注册和身份认证,然后从SPS下载自己的VPN策略;同时SPS负责当策略参数发生改变时,实时通知在线的网关产品更新策略。
从而确保所有的网关都能够获得最新的策略参数变化情况。
2.1.6支持动态域名解析(DDNS)
冠华诚欣VPN产品支持企业总部及各个分支机构以全静态IP地址、单静态IP地址+动态IP地址以及全动态IP地址的方式接入因特网。
对于企业内部全动态IP地址接入的情况,部署在企业总部的冠华诚欣VPN网关(内置安全策略服务器)可以启动内置的动态域名解析功能(DDNS),从而使各个分支网关能够通过中心网关的域名来下载安全策略。
对于国内大量没有条件申请专线和静态IP地址的企业用户,冠华诚欣VPN产品无疑是一个最佳的选择。
2.1.7完善的VPN网络集中管理功能
企业内部网络上一般都会运行OA和业务数据传输系统,系统中的数据直接关系到企业的商业秘密和经济利益,具有较高的安全性要求,因此对接入企业VPN网络的部门及个人必须进行集中严格的身份认证,控制非授权人员进入企业内部网络,对业务系统的安全运行造成威胁;其次,多数大型企业的业务数据具有比较强的实时性要求,一旦某个分公司或者营业网点的VPN网络发生故障,业务数据不能及时上传,就可能对企业用户造成时间或经济上的损失,从而直接影响公司的声誉形象和经济利益,所以需要对整个VPN网络的运行情况进行集中监控和远程管理,及时发现网络故障并排除,保证业务系统的顺利运行;同时,对于分支机构、营业网点遍布全国的大型企业来讲,其业务网络系统具有分布地域广泛、接入网点较多、网络结构复杂等特点,如果全部的管理工作都集中在公司总部完成,必然会给总部的网络管理人员带来繁重的日常维护管理工作,降低对接入、连通需求的反映速度,因此对VPN网络的管理在统一认证、集中监控的前提下,还应该充分发挥各个分公司网络管理人员的作用,将日常的管理维护工作分级化,提高整个网络的运行效率。
综合以上分析的企业VPN网络管理需求,冠华诚欣VPN系列产品采用了“统一认证、集中监控、分级管理”的VPN网络管理方案:
●统一认证:
冠华诚欣VPN全系列产品(包括网关和软件包)均支持目前最安全的身份认证方式――数字电子证书认证,采用1024bits密钥的RSA算法进行数字证书签名,数字证书的发放、认证过程由“冠华诚欣安全管理中心(SMC)”软件完成;在企业的总部部署“冠华诚欣安全管理中心”,负责对全国VPN网络的入网设备发放数字证书,只有拥有合法数字证书并通过中心SMC认证的网关或安全包才能接入企业的VPN网络。
●集中监控:
通过“冠华诚欣安全管理中心(SMC)”软件,可以对整个VPN网络中部署的冠华诚欣VPN产品(包括网关和软件包)完成实时在线状态监控,可以及时、清楚的获取当前在线VPN设备的各种状态参数;同时冠华诚欣VPN网关产品均具有安全的远程管理的功能,无论该设备以何种方式接入企业虚拟网,都可以对其进行远程配置,因此当通过状态查看发现某个网关设备工作不正常时,中心管理员可以及时远程修改该设备的各种配置参数,以保证整个VPN系统的运转正常。
●分级管理:
通过“证书托管中心(CMC)”和“安全管理控制台”等软件,分公司的网络管理员可以在总部中心授权的前提下,负责对其所管辖的企业部门进行VPN隧道信息配置;在这种管理模式下,大大减轻了总部网络管理人员的工作强度,提高整个VPN网络的可伸缩性。
2.1.8支持动态带宽管理功能
VPN网关设备作为企业内部网络与因特网的互联设备,通常需要完成两个主要功能:
●代理内部网络用户访问因特网;
●隧道封装内部网络用户访问远端企业内部网主机的数据流。
因此合理分配有限的因特网接入带宽资源,确保企业内部的业务数据流快速实时地进行传输是VPN网关设备必不可少的一项功能。
冠华诚欣VPN网关系列产品均提供精确的动态带宽管理功能。
其可根据因特网接入的总带宽,定量的控制因特网浏览和企业VPN数据流所占用的带宽比例;而且可以对上述两种类型的数据流进行更为细致的划分,例如:
可以控制VPN数据流中流向总部与流向下属分公司的数据所占用的带宽比例;另外冠华诚欣VPN网关对带宽控制采用了自适应的动态管理策略,例如:
当VPN数据流不大时,因特网浏览数据可以自动借用剩余的VPN数据带宽,动VPN数据流加大时,因特网浏览数据又会自动让出占用的VPN数据带宽,从而即可以确保VPN数据的通讯质量,又不会造成不必要的带宽资源浪费。
2.1.9提供丰富的冗余备份方案
冠华诚欣VPN网关提供两种冗余备份解决方案,为保证企业VPN网络的稳定性提供了强有力的工具。
具体方案如下:
a、双机单线路主从备份
图1双机单线路主从备份
在这种方案中,正常情况下仅有工作机进行工作,备份机处于热等待状态,并使用心跳信号实时侦听工作机的运转状态;当工作机出现故障时,备份机自动接替工作机的工作,完成VPN隧道的加解密和数据隧道封装工作;当工作机恢复正常后,备份重新进入热等待状态。
b、双机双线路镜像备份
图2双机双线路镜像备份
在这种方案中两台VPN设备均为工作状态,而且各种配置信息完全自动镜像,数据流选择主线路还是备份线路是由路由器的HSRP备份协议自动协商完成的。
2.1.10提供功能强大的VPN软件包
作为完整的企业VPN解决方案,提供支持移动办公用户远程访问VPN系统的客户端软件包是必不可少的。
冠华诚欣VPN软件包不但提供完整的IPSec协议实现,支持移动用户的VPN接入需求,而且内置完善的软件防火墙功能、支持PPPoE拨号协议、支持动态VPN策略下载、支持同时激活多条VPN隧道、支持内部主机共享上网连接和VPN隧道等强大的安全功能,所以其可以作为软件VPN
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 师院 vpn 方案