ＶＰＮ在企業(yè)組網(wǎng)中的應(yīng)用

摘要：利用VPN技術(shù)組建安全的擴展網(wǎng)絡(luò)Extranet，可以實現(xiàn)對客戶的信息服務(wù)。探討VPN的解決方案、應(yīng)用以及發(fā)展有重要的現(xiàn)實意義。

關(guān)鍵詞：VPN；解決方案;安全

隨著信息時代的到來，各個企業(yè)越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過各種方式了解客戶的需要，同時各個企業(yè)之間的合作關(guān)系也越來越多，信息交換日益頻繁。Internet為這樣的一種發(fā)展趨勢提供了良好的基礎(chǔ)，而如何利用Internet進行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個關(guān)鍵問題。利用VPN技術(shù)可以組建安全的擴展網(wǎng)絡(luò)Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。

1 VPN的概念

VPN又稱虛擬專網(wǎng)，指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。IETF草案理解基于IP的VPN為：\"使用IP機制仿真出一個私有的廣域網(wǎng)\"是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。

2 VPN解決方案

2.1 遠程訪問虛擬網(wǎng)（AccessVPN）

如果企業(yè)的內(nèi)部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務(wù)，就可以考慮使用AccessVPN。

AccessVPN簡述

AccessVPN通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。AccessVPN包括模擬、撥號、ISDN、數(shù)字用戶線路(xDSL)、移動IP和電纜技術(shù)，能夠安全地連接移動用戶、遠程工作者或分支機構(gòu)。

2.2 企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）

如果要進行企業(yè)內(nèi)部各分支機構(gòu)的互聯(lián)，使用IntranetVPN是很好的方式。

IntranetVPN簡述。越來越多的企業(yè)需要在全國乃至世界范圍內(nèi)建立各種辦事機構(gòu)、分公司、研究所等，各個分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然，在分公司增多、業(yè)務(wù)開展越來越廣泛時，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的IntranetVPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IntranetVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。

2.3企業(yè)擴展虛擬網(wǎng)（ExtranetVPN）

企業(yè)如果是提供B2B之間的安全訪問服務(wù)，則可以考慮ExtranetVPN。

2.3.1ExtranetVPN結(jié)構(gòu)

ExtranetVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。

2.3.2ExtranetVPN優(yōu)點

ExtranetVPN對用戶的吸引力在于：能容易地對外部網(wǎng)進行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠端訪問VPN相同的架構(gòu)和協(xié)議進行部署。主要的不同是接入許可，外部網(wǎng)的用戶被許可只有一次機會連接到其合作人的網(wǎng)絡(luò)。

3 VPN的實現(xiàn)途徑

3.1大型企業(yè)自建VPN

大型企業(yè)用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設(shè)備安裝在其總部和分支機構(gòu)中，將各個機構(gòu)低成本且安全地連接在一起。企業(yè)建立自己的VPN，最大的優(yōu)勢在于高控制性，尤其是基于安全基礎(chǔ)之上的控制。一個內(nèi)部VPN能使企業(yè)對所有的安全認證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問情況進行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。

雖然VPN外包能避免技術(shù)過時，但并不意味著企業(yè)可以節(jié)省開支。因為，企業(yè)最終還要為高額產(chǎn)品支付費用，以作為使用新技術(shù)的代價。雖然VPN外包可以簡化企業(yè)網(wǎng)絡(luò)部署，但這同樣降低了企業(yè)對公司網(wǎng)的控制等級。網(wǎng)絡(luò)越大，企業(yè)就越依賴于外包VPN供應(yīng)商。因此，自建VPN是大型企業(yè)的最好選擇。

3.2中小型企業(yè)外包VPN

外包VPN比企業(yè)自己動手建立VPN要快得多，也更為容易。

外包VPN的可擴展性很強，易于企業(yè)管理。有統(tǒng)計表明，使用外包VPN方式的企業(yè)，可以支持多于2300名用戶，而內(nèi)部VPN平均只能支持大約150名用戶。而且，隨著用戶數(shù)目的增長，對用于監(jiān)控、管理、提供IT資源和人力資源的要求也將呈指數(shù)增長。

企業(yè)VPN必須將安全和性能結(jié)合在一起，然而，實際情況中兩者不能兼顧。例如，對安全加密級別的配置經(jīng)常降低VPN的整體性能。而通過提供VPN外包業(yè)務(wù)的專業(yè)ISP的統(tǒng)一管理，可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業(yè)進行VPN決策。

ISP對服務(wù)水平協(xié)議（SLA）的改進和服務(wù)質(zhì)量（QoS）保證，為企業(yè)外包VPN方式提供了進一步的保證。

4 VPN在使用中的安全

由于傳輸?shù)氖撬接行畔?，VPN用戶對數(shù)據(jù)的安全性都比較關(guān)心。目前VPN主要采用安全技術(shù)來保證信息的安全，在實際使用中還需要采取遠程訪問的安全措施。

4.1VPN安全技術(shù)

VPN安全技術(shù)包括隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認證技術(shù)（Authentication）。

隧道技術(shù)是VPN的基本技術(shù)，類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標準，由IETF融合PPTP與L2F而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VTP、IPSec等。

加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。

4.2 遠程訪問的安全措施

目前企業(yè)對遠距離工作的安全性不夠重視。大多數(shù)公司認為，公司網(wǎng)絡(luò)處于一道網(wǎng)絡(luò)防火墻之后是安全的，防火墻會將一切非法請求拒之其外；還有一些網(wǎng)絡(luò)管理員認為，為網(wǎng)絡(luò)建立防火墻并為員工提供VPN，使他們可以通過一個加密的隧道撥號進入公司網(wǎng)絡(luò)就是安全的。這些看法都是不對的。

因為，公司使用的大多數(shù)安全軟件并沒有為遠程接入計算機提供保護。一些員工所做的僅僅是進入一臺家用計算機，跟隨它通過一條授權(quán)的連接進入公司網(wǎng)絡(luò)系統(tǒng)，這些對公司網(wǎng)直接或始終在線的連接將會是黑客攻擊的主要目標，一旦黑客侵入了家用計算機，他便能夠遠程運行員工的VPN客戶端軟件。雖然，公司的防火墻可以將侵入者隔離在外，并保證主要辦公室和家庭辦公室之間VPN的信息安全。但問題在于，侵入者可以通過一個被信任的用戶進入網(wǎng)絡(luò)。因此，加密的隧道是安全的，連接也是正確的，但這并不意味著遠程計算機是安全的。

因此，必須有相應(yīng)的解決方案堵住遠程訪問VPN的安全漏洞，使員工與網(wǎng)絡(luò)的連接既能充分體現(xiàn)VPN的優(yōu)點，又不會成為安全的威脅。在個人計算機上安裝個人防火墻是極為有效的解決方法，使非法侵入者不能進入公司網(wǎng)絡(luò)。此外，還有如下的安全措施：所有遠程工作人員必須被批準使用VPN；所有的遠程工作人員應(yīng)具有入侵檢測系統(tǒng)，提供對黑客攻擊信息的記錄；管理人員監(jiān)控安裝在遠端系統(tǒng)中的軟件，并將其限制只能在工作中使用；需要對這些系統(tǒng)進行與辦公室系統(tǒng)同樣的定期性檢查；強制要求外出工作人員對敏感文件進行加密；安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯誤，則通過Modem向系統(tǒng)管理員發(fā)出警報。

5 應(yīng)用案例

某市公安網(wǎng)分為一、二、三、四、五級網(wǎng)，其中一、二、三級網(wǎng)采用專網(wǎng)方式進行投資建設(shè)。在搭建四級網(wǎng)時，發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點分散，如果構(gòu)建專網(wǎng)投資將增大，因此將需求轉(zhuǎn)到網(wǎng)通公司運營商。針對客戶網(wǎng)絡(luò)各項要求，目前可以實現(xiàn)的物理連接方式只能是ADSL方式接入，但是由于ADSL方式搭建在共網(wǎng)基礎(chǔ)上，就需要考慮公安專網(wǎng)與外網(wǎng)的分離問題，因此需要搭建一個專有的VPN網(wǎng)絡(luò)。VPN技術(shù)確保了公安行業(yè)的業(yè)務(wù)實現(xiàn)和安全隔離。具體四級網(wǎng)組網(wǎng)如圖1-1：

圖1-1 公安四級組網(wǎng)圖

6 結(jié)束語

由于VPN低廉的使用成本和良好的安全性，許多大型企業(yè)及其分布在各地的辦事處或分支機構(gòu)成了VPN順理成章的用戶群。對于那些最需要VPN業(yè)務(wù)的中小企業(yè)來說，一樣有適合的VPN策略。當(dāng)然，不論何種VPN策略，它們都有一個基本目標：在提供與現(xiàn)有專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施相當(dāng)或更高的可管理性、可擴展性以及簡單性的基礎(chǔ)之上，進一步擴展公司的網(wǎng)絡(luò)連接。隨著新技術(shù)不斷涌現(xiàn)，VPN的研究和建設(shè)也在不斷加快發(fā)展，我們相信VPN的應(yīng)用前景將更加美好，市場將更加廣闊。