利用ＶＰＮ技術(shù)提高企業(yè)局域網(wǎng)安全性能

禹　波

[摘要]隨著信息化時(shí)代的到來,以網(wǎng)絡(luò)技術(shù)為代表的電子信息技術(shù)日益影響到我們的生活。企業(yè)局域網(wǎng)作為企業(yè)發(fā)展的重要載體,其安全問題直接影響到企業(yè)參與市場(chǎng)競(jìng)爭(zhēng)和可持續(xù)發(fā)展的能力。通過對(duì)于企業(yè)局域網(wǎng)安全問題原因的分析以及對(duì)VPN技術(shù)的研究,得出VPN技術(shù)是解決企業(yè)局域網(wǎng)安全問題的有效手段。

[關(guān)鍵詞]企業(yè) 局域網(wǎng) 安全 VPN技術(shù)

中圖分類號(hào):TP-9文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0920080-01

當(dāng)前,我們已經(jīng)進(jìn)入了以電子計(jì)算機(jī)技術(shù)為主體的信息時(shí)代。網(wǎng)絡(luò)化作為電子計(jì)算機(jī)技術(shù)的重要特征,其安全問題日益引起用戶的關(guān)注。計(jì)算機(jī)網(wǎng)絡(luò)是當(dāng)今世界范圍內(nèi)一項(xiàng)戰(zhàn)略性資源,甚至一些企業(yè)內(nèi)部網(wǎng)絡(luò)中還保存著重要的商業(yè)信息及機(jī)密。如何使用合理的信息安全技術(shù),保護(hù)企業(yè)局域網(wǎng)絡(luò)安全,成為學(xué)術(shù)界熱議的話題。

一、企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全問題的成因

一般來說,企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全問題主要由以下幾方面引起。

(一)企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)自身存在漏洞。計(jì)算機(jī)系統(tǒng)理論認(rèn)為,系統(tǒng)漏洞是有惡意的人能夠利用的軟件或硬件的缺陷及配置錯(cuò)誤[1]。企業(yè)局域網(wǎng)是網(wǎng)絡(luò)程序設(shè)計(jì)公司開發(fā)出的網(wǎng)絡(luò)產(chǎn)品,都存在一定程度上的程序功能缺失,即程序漏洞。通過訂閱企業(yè)公共郵件列表,攻擊者可以直接獲取系統(tǒng)漏洞信息,并對(duì)系統(tǒng)實(shí)施攻擊。此外,企業(yè)局域網(wǎng)安全軟件安全級(jí)別及防范能力仍需提高。

同樣,支持企業(yè)局域網(wǎng)正常運(yùn)行的硬件資源也存在不穩(wěn)定因素。網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)主機(jī)、交換器、路由器等隨著運(yùn)行條件的變化,會(huì)出現(xiàn)老化等現(xiàn)象,嚴(yán)重的會(huì)導(dǎo)致企業(yè)局域網(wǎng)網(wǎng)絡(luò)癱瘓。

(二)企業(yè)局域網(wǎng)網(wǎng)絡(luò)傳輸機(jī)制存在問題。一般來說,企業(yè)局域網(wǎng)大都是通過局域網(wǎng)網(wǎng)關(guān)實(shí)現(xiàn)與國(guó)際互聯(lián)網(wǎng)的關(guān)聯(lián)。目前以因特網(wǎng)為主體的國(guó)際互聯(lián)網(wǎng)系統(tǒng)主要采取TCP/IP的數(shù)據(jù)傳輸方式。TCP/IP傳輸是基于網(wǎng)絡(luò)出現(xiàn)初期的一種數(shù)據(jù)傳輸方式,采取用戶主機(jī)的IP地址作為網(wǎng)絡(luò)結(jié)點(diǎn)。由于IP地址缺少相應(yīng)的保護(hù)性機(jī)制,攻擊者可以掌握并偽造任意IP地址,而TCP/IP傳輸機(jī)制所需的用戶名、密碼及數(shù)據(jù)包等信息可以被攻擊者破譯或截獲[2]。而諸如HTTP等運(yùn)用TCP/IP傳輸機(jī)制的網(wǎng)絡(luò)服務(wù)協(xié)議的安全性更加無法保證。攻擊者利用傳輸機(jī)制的漏洞,可以很輕易地突破交換機(jī)的限制,直接進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)獲取信息或?qū)嵤┢茐?。企業(yè)內(nèi)部網(wǎng)絡(luò)安全遭受攻擊者破壞后,可能導(dǎo)致網(wǎng)絡(luò)系統(tǒng)被破壞、用戶信息泄露、拒絕服務(wù)及訪問權(quán)限受限等等嚴(yán)重問題。因此說,數(shù)據(jù)傳輸機(jī)制的缺陷是企業(yè)內(nèi)部網(wǎng)絡(luò)安全最為嚴(yán)重的潛在性威脅。

二、VPN技術(shù)基本情況及其優(yōu)勢(shì)

正如上文所述,企業(yè)局域網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)傳輸機(jī)制是導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)安全問題的最直接因素,必須找到一種比較先進(jìn)合理的數(shù)據(jù)傳輸機(jī)制,克服傳統(tǒng)機(jī)制的不足,而VPN技術(shù)的出現(xiàn)無疑可以彌補(bǔ)這些不足。

(一)VPN技術(shù)簡(jiǎn)介。VPN(Virtual Private Network)虛擬專用網(wǎng),是指通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過非安全網(wǎng)絡(luò)的安全、穩(wěn)定的隧道,虛擬專用網(wǎng)是對(duì)企業(yè)局域網(wǎng)的擴(kuò)展[3]。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。

(二)VPN技術(shù)的兩種應(yīng)用形式。根據(jù)網(wǎng)絡(luò)設(shè)備連接方式,VPN主要有兩種應(yīng)用形式,即遠(yuǎn)程訪問VPN(遠(yuǎn)程訪問虛擬專網(wǎng))形式和網(wǎng)關(guān)到網(wǎng)關(guān)VPN形式。

1.遠(yuǎn)程訪問形式。這種形式主要用于本地企業(yè)用戶接入互聯(lián)網(wǎng)。通過遠(yuǎn)程訪問VPN,遠(yuǎn)端用戶不再如傳統(tǒng)的遠(yuǎn)程網(wǎng)絡(luò)訪問那樣,通過長(zhǎng)途電話撥號(hào)到公司遠(yuǎn)程接入端口,而是撥號(hào)接入用戶本地的ISP,利用VPN系統(tǒng)在公眾網(wǎng)上建立一個(gè)從客戶端到網(wǎng)關(guān)的安全傳輸隧道,遠(yuǎn)程主機(jī)通過在本機(jī)上運(yùn)行的VRC客戶端軟件,與公司內(nèi)部網(wǎng)網(wǎng)關(guān)建立VPN隧道,實(shí)現(xiàn)安全通信。

2.網(wǎng)關(guān)到網(wǎng)關(guān)VPN形式。還有一些企業(yè)建立了異地分支機(jī)構(gòu),需要通過網(wǎng)絡(luò)實(shí)現(xiàn)與總部局域網(wǎng)的互聯(lián)。網(wǎng)關(guān)到網(wǎng)關(guān)VPN可以實(shí)現(xiàn)異地分支機(jī)構(gòu)的局域網(wǎng)的安全互連。利用Internet的線路保證網(wǎng)絡(luò)的互連,并利用VPN的安全隧道、加密等特性可以保證信息在公司各機(jī)構(gòu)局域網(wǎng)的網(wǎng)關(guān)之間安全傳輸。網(wǎng)關(guān)到網(wǎng)關(guān)VPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施,連接企業(yè)單位總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。

(三)VPN技術(shù)的優(yōu)點(diǎn)

第一,VPN技術(shù)在信息隧道入口,即企業(yè)局域網(wǎng)網(wǎng)關(guān)認(rèn)證的起點(diǎn),設(shè)置了用戶身份準(zhǔn)入驗(yàn)證。另外,VPN還支持各種通用的安全和加密協(xié)議,如SecureIP(IPsec)和Microsoft點(diǎn)對(duì)點(diǎn)加密(MPPE)技術(shù)等等。

第二,降低成本。由于VPN設(shè)備自身帶有路由和訪問控制功能,在企業(yè)用戶訪問互聯(lián)網(wǎng)時(shí)能夠?qū)崿F(xiàn)路由配置及安全策略監(jiān)控,因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開銷,顯著地降低成本。

第三,節(jié)省網(wǎng)絡(luò)資源。企業(yè)可以使用VPN替代租用線路來實(shí)現(xiàn)分支機(jī)構(gòu)的連接,這樣就可以實(shí)現(xiàn)對(duì)遠(yuǎn)程線路進(jìn)行安裝、配置和管理,并且可以最大限度地降低局域網(wǎng)網(wǎng)絡(luò)功能設(shè)計(jì)所需的模塊。另外,VPN通過撥號(hào)訪問來自于ISP或NSP的外部服務(wù),減少了調(diào)制解調(diào)器數(shù)量,簡(jiǎn)化了所需的接口,同時(shí)簡(jiǎn)化了與遠(yuǎn)程用戶認(rèn)證、授權(quán)和記賬相關(guān)的設(shè)備和處理。

第四,可以隨意實(shí)現(xiàn)與戰(zhàn)略伙伴之間的聯(lián)網(wǎng)。以往企業(yè)因業(yè)務(wù)需要與其他單位實(shí)施聯(lián)網(wǎng),必須租用或安裝專線,并需要購(gòu)置昂貴的交換機(jī)等設(shè)備。使用VPN技術(shù)后,企業(yè)可以隨時(shí)通過設(shè)置虛擬遠(yuǎn)程網(wǎng)絡(luò),與戰(zhàn)略伙伴實(shí)施局域網(wǎng)互聯(lián),查看有關(guān)數(shù)據(jù)及業(yè)務(wù)資料。而業(yè)務(wù)活動(dòng)結(jié)束后,雙方也可以隨時(shí)切斷局域網(wǎng)互聯(lián),省卻相關(guān)費(fèi)用。

第五,功能拓展空間大。企業(yè)單位需要擴(kuò)大局域網(wǎng)服務(wù)范圍或提升服務(wù)功能,可以隨時(shí)與新的IPS代理機(jī)構(gòu)簽約,建立賬戶密碼等信息;也可以與原有的ISP重簽合約,擴(kuò)大服務(wù)范圍。利用VPN技術(shù),企業(yè)為遠(yuǎn)程機(jī)構(gòu)設(shè)置局域網(wǎng)相關(guān)服務(wù)也十分簡(jiǎn)單,使用簡(jiǎn)單的命令就可以使內(nèi)網(wǎng)路由器兼有Internet和VPN兼容能力。

第六,使用方完全掌握使用控制權(quán)。企業(yè)單位借助VPN技術(shù),通過ISP的設(shè)施和服務(wù),可以完全掌握局域網(wǎng)運(yùn)行及局域網(wǎng)用戶連接互聯(lián)網(wǎng)的情況。企業(yè)通過ISP設(shè)定用戶名及密碼后,網(wǎng)絡(luò)管理可以交由ISP負(fù)責(zé),企業(yè)則可以為部門設(shè)置相關(guān)口令信息,實(shí)現(xiàn)對(duì)局域網(wǎng)運(yùn)行狀況的監(jiān)測(cè)。

綜上所述,VPN技術(shù)擁有諸多優(yōu)勢(shì),應(yīng)當(dāng)成為未來解決企業(yè)互聯(lián)網(wǎng)安全問題的有效手段。但是不能否認(rèn)的是,作為一種新興的技術(shù),VPN本身仍具有許多的不足。企業(yè)局域網(wǎng)安全問題是一個(gè)復(fù)雜的矛盾綜合體,VPN技術(shù)只能作為防范風(fēng)險(xiǎn)的一種較為有效的手段,必須要調(diào)動(dòng)其他手段進(jìn)行輔助,才能確保企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全萬無一失。

參考文獻(xiàn):

[1]張建標(biāo)等譯,《網(wǎng)絡(luò)安全評(píng)估》,科學(xué)出版社,2009年1月.

[2]李濤編著,《網(wǎng)絡(luò)安全概論》,電子工業(yè)出版社,2004年11月.

[3]《什么是VPN》,http://baike.baidu.com/view/19735.htm.