VPN技術在企業(yè)網絡安全中的運用

　　第一章 引言

　　現代意義上的計算機網絡是從1969年美國國防部高級研究計劃局建成的ARPAnet實驗網開始的 。當時只有4個結點，發(fā)展到現在的正如其名所言如蜘蛛網一般的復雜的萬聯(lián)網。威脅與安全一直都是并存著的。竊聽、假冒、重放、拒絕服務、病毒、誹謗等等的威脅無時無刻攻擊著網絡通信，威脅著我們的信息安全。然而提供這些威脅存在的原因正是由于操作系統(tǒng)、計算機網絡、數據庫管理系統(tǒng)存在著本身的漏洞，這就使得一些非法授權的行為可以“禍起蕭墻”。專家把這些可能使得一個網絡受到破壞的所有行為都認定為攻擊，它可以是主動攻擊、被動攻擊、物理臨近攻擊、內部人員攻擊和分發(fā)攻擊，所有的一切都威脅著網絡的安全。

　　所以Internet的安全話題一直以來都是發(fā)散而復雜的。從最初把Internet作為科學研究用途，到當今的電子商務炙手可熱之時，安全已然成為網絡發(fā)展的絆腳石。所以有更多的安全技術順勢而出，目前的安全措施有數據加密、數字簽名、身份認證、防火墻和內容檢查等。這些雖然不能阻止風險的出現，但可以把風險降到最低。

　　專用網絡指的是企業(yè)內部的局域和廣域網絡，是Internet等公共網絡上的延伸。在過去，大型企業(yè)為了網絡通訊的需求，往往必須投資人力、物力及財力，來建立企業(yè)專用的廣域網絡通訊管道，或采用長途電話甚至國際電話的昂貴撥接方式。在Internet蓬勃發(fā)展的現在，企業(yè)為了維持競爭力，又為了使公司總部和分支、合作伙伴之間信息的安全性受到保障，通常需要將專用網絡與Internet間適當地整合在一起，但是又必須花費一筆Internet連接的固定費用�；�本上Internet是建立在公眾網絡的基礎之上，如果企業(yè)可以將專用網絡中的廣域網絡連結與遠程撥號連接這兩部份，架構在Internet這一類的公眾網絡之上，同時又可以維持原有的功能與安全需求的話，則將可以節(jié)省下一筆不算小的通訊費用支出。這個問題的解決方法，就需要虛擬專用網。

　　第二章 VPN概述

　　第一節(jié) VPN的概念利用公共網絡來構建的私人專用網絡稱為虛擬專用網絡(VPN，Virtual Private Network)，用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在公共網絡上組建的VPN像企業(yè)現有的私有網絡一樣能提供安全性、可靠性和可管理性等。

　　“虛擬”的概念是相對于傳統(tǒng)專用網絡的構建方式而言的。對于廣域網連接，傳統(tǒng)的組網方式是通過遠程撥號連接來實現的，而VPN是利用服務提供商所提供的公共網絡來實現遠程的廣域網連接。通過VPN，企業(yè)可以以明顯的、更低的成本連接它們的遠地辦事機構、出差工作人員以及業(yè)務合作伙伴。

　　企業(yè)內部資源享用者只需連入本地ISP的POP(Point Of Presence，接入服務提供點)，即可相互通信;而利用傳統(tǒng)的WAN組建技術，彼此之間要有專線相連才可以達到同樣的目的。虛擬網組成后，出差員工和外地客戶只需擁有本地ISP的上網權限就可以訪問企業(yè)內部資源;如果接入服務器的用戶身份認證服務器支持漫游的話，甚至不必擁有本地ISP的上網權限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設VPN服務所需的設備很少，只需在資源共享處放置一臺VPN服務器就可以了。

　　VPN具有虛擬的特點：VPN并不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路，但是，VPN同時又具有專線的數據傳輸功能，因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。它通過安全的數據通道將遠程用戶，公司分支機構，公司業(yè)務伙伴等與公司企業(yè)網連接起來，構成一個擴展的公司企業(yè)網。在該網絡的主機似乎感覺所有主機都在同一個網絡內，而沒有察覺公共網絡的存在，同時感到公共網絡為本網絡獨自占用。然而，事實并非如此，所以稱之為虛擬專用網 。第二節(jié) VPN的組成無論是從VPN技術發(fā)展歷程還是應用模式看，VPN技術包含了多種當前新興的網絡技術，涉及到隧道技術、密碼技術、和身份認證技術，是多種技術的結合體。這決定了用戶在選擇VPN時必須以應用為導向，以解決方案為實施依據，方可事半功倍。

　　VPN是一個建立在現有共用網絡基礎上的專網，它由各種網絡節(jié)點、統(tǒng)一的運行機制和與物理接口構成，一般包括以下幾個關鍵組成部分：

　　一、VPN服務器

　　VPN服務器作為端點的計算機系統(tǒng)，可能是防火墻、路由器、專用網關，也可能是一臺運行VPN軟件的聯(lián)網計算機，或是一臺聯(lián)網手持設備。

　　二、算法體系

　　算法體系是VPN專用網絡的形成的關鍵，常見的有：摘要算法MD5或SHA1，對稱加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH，公用密鑰加密RSA、DSA等。不同類型的VPN根據應用特點在實現上使用對應的算法，有的還可以由用戶根據使用現場臨時更換。

　　三、認證系統(tǒng)

　　VPN是一個網絡，要為網絡節(jié)點提供可靠的連接。如同現實社會交往中強調的“誠信”原則一樣，當你通過一個網絡去訪問一個網絡資源時，你自然希望對方是像你要求的那樣是真實的，可以想象，對方也是這樣要求你的，如何認證對方和認證自己，同時還要防止認證信息泄露，這就是認證系統(tǒng)所要解決的問題，是開始VPN連接的基礎。一般使用的有口令、一次性密碼、RSA 、SecurID、雙因素令牌、LDAP、Windows AD、Radius、證書，一個系統(tǒng)中往往包括一種以上幾種方式來增加靈活性。

　　四、VPN協(xié)議

　　它規(guī)定了VPN產品的特征，主要包括安全程度和與上下層網絡系統(tǒng)的接口形式。安全不僅要靠算法，由于VPN強調的是網絡連接和傳輸，配套的密鑰交換和密鑰保護方法甚至比算法更重要，而接口決定了一個VPN產品的適用度。常見的有PPTP、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL。第三節(jié) VPN技術VPN采用的關鍵技術主要包括隧道技術、加密技術、用戶身份認證技術及訪問控制技術。

　　一、隧道技術

　　VPN的核心就是隧道技術。隧道是一種通過互聯(lián)網絡在網絡之間傳遞數據的一種方式。所傳遞的數據在傳送之前就被封裝在相應的隧道協(xié)議里，當到達另一端后才被解封。被封裝的數據在互聯(lián)網上傳遞時所經過的路徑是一條邏輯路徑。

　　在VPN中主要有兩種隧道。一種是端到端的隧道，主要實現個人與主機之間的連接，端設備必須完成隧道的建立，對端到端的數據進行加密及解密。另一種是節(jié)點到節(jié)點的隧道，主要是用于連接不同地點的LAN數據到達LAN邊緣VPN設備時被加密并傳送到隧道的另一端，在那里被解密并送入相連的LAN。它其實就是邊界路由器在起著關鍵作用，隧道的建立，數據的加密、解密都是在邊界路由器里完成的。

　　隧道技術相關的協(xié)議分為第二層隧道協(xié)議和第三層隧道協(xié)議。第二層隧道協(xié)議主要有PPTP、L2TP和LZF等，第三層隧道協(xié)議主要有GRE以及IPSec等。

　　二、加密技術

　　VPN的加密方法主要是發(fā)送者在發(fā)送數據之前對要發(fā)送的數據進行加密，當數據到達接收者時再由接收者對數據進行解密的處理過程。加密算法的種類包括:對稱密鑰算法，公共密鑰算法等。

　　三、用戶身份認證技術

　　用戶身份認證技術主要用于遠程訪問的情況。當一個撥號用戶要求建立一個會話時，就會對用戶的身份進行鑒定，以確定該用戶是否是合法用戶以及哪些資源可以被使用。

　　四、訪問控制技術

　　訪問控制技術就是確定合法用戶對特定資源的訪問權限，以實現對信息資源的最大限度的保護。

　　第四節(jié) VPN的用途一、遠程訪問VPN

　　最適用于用戶從離散的地

　　點訪問固定的網絡資源，如從住所訪問辦公室內的資源;出差員工從外地旅店存取企業(yè)網數據;技術支持人員從客戶網絡內訪問公司的數據庫查詢調試參數;納稅企業(yè)從本企業(yè)內接入互聯(lián)網并通過VPN進入當地稅務管理部門進行網上稅金繳納。遠程訪問VPN可以完全替代以往昂貴的遠程撥號接入，并加強了數據安全。

　　二、內聯(lián)網(分支機構聯(lián)網)VPN

　　最適用將異地的兩個或多個局域網或主機相連形成一個內網，主要用于將用戶的異地LAN通過互聯(lián)網上的VPN作為一條虛擬專線連接起來，或是將分支機構與總部連接起來。內聯(lián)網VPN可以替代目前市場上使用幀中繼和ATM等專線構成的專網，顯著降低網絡建設和運行成本，極大提高了部署和擴展靈活性。

　　三、安全平臺

　　將相同工作性質的，離散地理位置的終端設備、局域網內的主機或局域網連接形成一個專網，滿足協(xié)同工作的要求，如總公司銷售部門的LAN與下屬單位的銷售部門的PC，以及外出銷售人員的筆記本之間構成一個安全銷售網，共享CRM、文檔和IP電話，滿足用戶動態(tài)、業(yè)務導向化的組網要求，這是其他方案難以實現的。

　　四、替代專線

　　內聯(lián)網VPN的簡化版，簡單地將兩個主機相連實現聯(lián)機、遙控，或一個主機與一個LAN相連，或替代現有專網的某一條專線成為專網的一部分。

　　五、用戶認證

　　利用VPN用戶認證機制和VPN的安全性，強化用戶認證的安全，如上網計費系統(tǒng)，認證后的數據傳輸安全不是重點。

　　六、網絡資源訪問控制

　　將VPN用戶認證機制和VPN網關對網絡訪問的調度能力結合起來，根據預定的安全策略給與不同用戶不同的資源訪問權限，強化網絡資源的合理配置和安全性。

　　第三章 VPN在企業(yè)中的應運

        第一節(jié) 公司簡介杭州芝麻開門信息技術有限公司系專業(yè)行業(yè)性B2B和B2C平臺運營商，公司下設兩家分公司，運營兩個網站：www.cn-pen.com和www.zmkm.cn，現在公司主要是和中國制筆協(xié)會共同開發(fā)中國筆業(yè)貿易網www.cn-pen.com.公司匯聚了眾多IT界的精英，直接出擊日益擴張的全球市場。公司的目的是將傳統(tǒng)的國內、國際性采購及貿易活動轉變成一個高效率、高效益、低成本的新型電子商務模式，并根據企業(yè)的商務活動的實際狀況，推出一系列適合于供應商及采購商進行商業(yè)信息交流與溝通的平臺，促進并達到讓制筆行業(yè)的企業(yè)利用www.cn-pen.com得到更多的商業(yè)服務和最大限度的商業(yè)資訊。中國筆業(yè)貿易網的信息具有傳遞快、大容量、及時更換等特點，可以迅速發(fā)布行業(yè)內的供求、人才、新產品、新技術專利等信息。并建立了制筆行業(yè)進出口統(tǒng)計、行業(yè)標準、政策法規(guī)、技術知識、人才中心等信息數據庫，為廣大的制筆企業(yè)及全球采購商提供了真正實用的電子商務大平臺。第二節(jié) 公司現有的網絡狀況首先來了解一下關于杭州芝麻開門信息技術有限公司的網絡拓撲結構。如圖3-1所示。

　　圖3-1 杭州芝麻開門信息技術有限公司的網絡圖

　　從圖看出總公司和分公司、銀行、合作伙伴，分公司和銀行、合作伙伴，出差員工或者在家辦公人員和總公司、分公司之間，這三種關系的連接都是經過Internet的。

　　總公司是通過Cisco2600系列路由器作為邊界網關與外界Internet等公共網相連，并配置放火墻。內部則由兩臺Cisco Crystal2950系列交換機做為中心交換機把辦公大樓、營銷中心、FTP服務器、WWW服務器、E-mail服務器、數據庫服務器等聯(lián)系起來。網管站直接和交換機相連，并管理路由器、中心交換機、服務器等。如圖3-2所示。

　　圖3-2 總部內網

　　麗水分支和杭州分支是通過撥號上網，與總公司聯(lián)系。它們具體是先經ADSL Modem連到24接口阿爾法AFR-K24路由器(內配置防火墻)，再接24接口阿爾法AFS-3026交換機和個人電腦相連。

　　公司通過防火墻接入Internet。目前公司所有應用僅限于公司局域網內，出差員工不能訪問。

　　總部網絡內建設WWW、文件共享服務、Exchange、公司ERP系統(tǒng)，總部各部門局域網絡實現接入Internet,但沒有實現內部網絡互聯(lián)。

　　杭州分支公司：電腦接入Internet，實現了辦公網絡半自動化。

　　麗水分支公司：電腦接入Internet，實現了辦公網絡半自動化。第三節(jié) 需求分析杭州芝麻開門信息技術有限公司自1996年創(chuàng)建以來，所擁有的客戶群已越來越龐大。而作為以網站服務和維護為主的公司，其客戶需要頻繁地訪問公司內部網，訪問服務器。從安全性上講，通過Internet等公共網的連接，勢必會帶來一些危險：從客戶端帶來的威脅會有病毒、陷門和木馬、非授權訪問、假冒、重放、誹謗等。從服務器端的威脅就有數據完整性破壞、信息篡改等。

　　根據公司工程技術人員的深入了解和分析，杭州芝麻開門信息技術有限公司需要一種安全的接入機制來保障通信的安全，并達到以下要求：

　　一、企業(yè)必需要確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。Extranet VPN將企業(yè)網擴展到合作伙伴和客戶;

　　二、要求企業(yè)將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成，企業(yè)自己仍需要完成許多網絡管理任務;

　　三、構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬;

　　四、總部通過多條線路連接廣域網，保證分點財務核算數據的連接安全，也節(jié)約了寬帶接入成本;

　　五、支持從各種網絡條件下的安全接入;

　　六、通過隧道技術在網絡協(xié)議的越下層實現更高的數據安全性;

　　七、通過路由器對用戶實行統(tǒng)一的管理，對訪問權限實行分級管理等要求，實現流量控制、端口鏡象等要求，通過路由器的相關防火墻功能實現網絡的安全管理;

　　八、出差員工利用公司筆記公共電腦(如機場侯機廳的計算機)也能夠較安全地訪問公司內部網絡資源;

　　九、總部保證內網至少100臺電腦接入Internet，還要考慮到公司以后的發(fā)展接入點的增加，同時實現一級分部通過相關設備在連到總部網絡的同時還提供訪問公司FTP服務器，連接公司ERP系統(tǒng)提交與查詢相關信息等要求;

　　十、杭州、麗水分支機構2個辦事處電腦接入Internet，同時考慮到公司以后的發(fā)展接入點的增加，同時實現與總部實現互聯(lián)同時還提供訪問公司FTP服務器，連接公司ERP系統(tǒng)提交與查詢相關信息等要求;

　　十一、在各分支機構和總公司之間創(chuàng)造一個集成化的辦公環(huán)境，為工作人員提供多功能的桌面辦公環(huán)境，解決辦公人員處理不同事務需要使用不同工作環(huán)境的問題。

　　第四節(jié) 需求總結針對以上的需求，通過VPN的配置可以解決互聯(lián)問題，另外對VPN加以相應配置可以實現資料傳輸的安全性問題。

　　以現有技術來說，所謂最優(yōu)選擇其實必須根據遠程訪問的需求與目標而定。目前主流VPN方案有兩種：IPSec/IKE和SSL VPN。當前企業(yè)需要安全的點對點連接，或用單一裝置進行遠程訪問，并且讓企業(yè)擁有管理所有遠程訪問使用能力，IPSec/IKE是最適合的解決方案。

　　比較那種傳輸方法比較好更重要的問題是：那種安全技術最符合遠程接入方案的需求，IPSec可以保護任何IP流量，而SSL專注于應用層流量。IPSec適合長期的連接，即寬帶、持續(xù)和網絡層連接要求。SSL 僅適合于個別的，對應用層和資源的連接，而且支持的應用沒有IPSec 多。

　　實現外出出差員工通過PPTP撥號連接公司網絡完成相關工作。第五節(jié) 方案設計一、設備選擇

　　由于VPN的應用受到網管者的歡迎，因此技術也不斷演進。一般常見的VPN協(xié)定有PPTP、IPSec、SSL等。其中PPTP為微軟支持的協(xié)定，設定較方便，但保全性不夠;IPSec公認是最安全的協(xié)定，但是設定和配置復雜，一般的用戶不容易操作;SSL則需在服務器端進行介面轉換，并不是所有的應用程序都可支持。

　　在實際操作上，VPN的架設還面臨其他的問題：例如當互聯(lián)網聯(lián)機掉線時，再安全的VPN也沒有作用;中國由于IP資源有限，因此VPN聯(lián)機必須基于雙方為動態(tài)IP的基礎上建立;由于幅員廣大，網管人員要跑遍各個分公司的成本太高，VPN的設定最好簡單清楚，略有網絡知識者即可完成;每個ISP的IP分派方式都不同，IPSec并不一定都能穿透。

　　現在市場上的VPN產品繁多，而且功能各不相同，本著遵循著方便實用、高效低成本、安全可靠、網絡架構彈性大等相關原則，同時對杭州芝麻開門信息技術有限公司的需求分析，在選擇VPN連接設備上推薦市場上思科公司的Cisco2600系列VPN防火墻路由器產品。

　　Cisco2600系列VPN防火墻路由器產品支持 IPSec VPN連接，提供適用于各辦公室，事業(yè)伙伴及遠程使用者使用的安全便利的網絡加密方式，包括3DES， DES， 以及AH/ESP加密方式。 VPN 功能提供了各分支點間或大多數遠程使用者采VPN方式，將資料自動加密解密的通訊方式，支持Gateway To Gateway ，Client To Gateway與Group VPNs 等模式。具備PPTP服務器功能，具備聯(lián)機狀態(tài)顯示，可以滿足在外出差或想要連回總部或分公司的用戶也可使用PPTP或IPSec方式連回企業(yè)網絡，相對來說PPTP要比IPSec易配制，對移動辦公用戶比較適合。

　　Cisco2600系列VPN防火墻路由器產品內建進階型防火墻功能，能夠阻絕大多數的網絡攻擊行為， 使用了SPI封包主動偵測檢驗技術(Stateful Packet Inspection)，封包檢驗型防火墻主要運作在網絡層，執(zhí)行對每個連接的動態(tài)檢驗，也擁有應用程序的警示功能，讓封包檢驗型防火墻可以拒絕非標準的通訊協(xié)議所使用的連結， 預設自動偵測并阻擋。Cisco2600亦同時支持使用網絡地址轉換 Network Address Translation (NAT)功能以及Routing 路由模式，使網絡環(huán)境架構更為彈性，易于規(guī)劃管理。

　　總部網絡通過光纖連接外網，連接路由器交換機選擇三層千兆交換機，三層千兆交換機之間用光纖連接，以滿足內部網絡 VLAN的劃分，同時考慮到今后公司的發(fā)展，信息點擴充的需要。二、設計原則