VPN企業(yè)專網(wǎng)的安全性分析

任慶輝

【摘要】當(dāng)前，信息技術(shù)的發(fā)展日新月異，互聯(lián)網(wǎng)更是普及世界每一個(gè)角落，為便于隨時(shí)與客戶或者相關(guān)合作者聯(lián)系，許多企業(yè)職工需要時(shí)刻與企業(yè)網(wǎng)絡(luò)保持暢通，無(wú)形之中遠(yuǎn)程連接成本大為增加，也使得網(wǎng)絡(luò)更為復(fù)雜，在這種情況下，網(wǎng)絡(luò)管理和安全性成為亟待解決的首要問(wèn)題。本文所介紹的移動(dòng)VPN技術(shù)，是在某企業(yè)專網(wǎng)實(shí)踐基礎(chǔ)上，對(duì)該技術(shù)運(yùn)用于企業(yè)專網(wǎng)領(lǐng)域的常規(guī)安全性以及互聯(lián)網(wǎng)安全性等兩方面進(jìn)行了分析，介紹了VPN企業(yè)專網(wǎng)的安全性。

【關(guān)鍵詞】互聯(lián)網(wǎng);VPN;企業(yè)專網(wǎng);安全性

引言

目前，以移動(dòng)通訊技術(shù)及互聯(lián)網(wǎng)技術(shù)為支柱的信息產(chǎn)業(yè)蓬勃發(fā)展，逐步滲透于人們的工作和生活等各個(gè)方面。隨著移動(dòng)VPN技術(shù)的發(fā)展，不僅降低了企業(yè)專網(wǎng)資費(fèi)，而且也帶給企業(yè)用戶高質(zhì)量的、移動(dòng)的數(shù)據(jù)通道。隨之而來(lái)的VPN企業(yè)專網(wǎng)的安全性問(wèn)題，引起了業(yè)界的高度關(guān)注。

1.移動(dòng)VPN技術(shù)簡(jiǎn)介

所謂的VPN技術(shù)（viriualPrivateNetwork），

也就是虛擬專用網(wǎng)技術(shù)，是在隧道技術(shù)基礎(chǔ)上，采用加密以及身份認(rèn)證等方法，使私有數(shù)據(jù)在公網(wǎng)上通過(guò)“加密管道”得以安全傳輸，從而使網(wǎng)絡(luò)安全性達(dá)到私有網(wǎng)絡(luò)的級(jí)別，這樣一來(lái)，企業(yè)能夠利用公網(wǎng)構(gòu)建自身專網(wǎng)，從而介于公眾網(wǎng)與專用網(wǎng)之間，這樣不僅具備公眾網(wǎng)的方便快捷，也兼有專用網(wǎng)的安全性。

移動(dòng)VPN（虛擬專用網(wǎng)絡(luò)技術(shù)）利用移動(dòng)公網(wǎng)資源擴(kuò)展，改變了任意兩個(gè)節(jié)點(diǎn)之間的傳統(tǒng)的連接方式，使其不再是端到端的物理鏈接。該技術(shù)是一種新型異地網(wǎng)絡(luò)聯(lián)接方式，按照不同的業(yè)務(wù)應(yīng)用，我們把移動(dòng)VPN分為數(shù)據(jù)業(yè)務(wù)應(yīng)用以及基于智能網(wǎng)的話音業(yè)務(wù)應(yīng)用。

VPN技術(shù)的出現(xiàn)，解決了網(wǎng)絡(luò)互聯(lián)的安全問(wèn)題，不僅具有傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全性，也具備其服務(wù)質(zhì)量，并且共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單快捷，其成本也較低，所建立的數(shù)據(jù)通道安全可靠。VPN不僅降低了成本，也解決了用戶日益高漲的對(duì)網(wǎng)絡(luò)帶寬、接入服務(wù)的需求。VPN技術(shù)利用公共網(wǎng)絡(luò)資源，實(shí)現(xiàn)了通信技術(shù)的專用，其將分支機(jī)構(gòu)有效地連接，改變了各分支機(jī)構(gòu)物理上分散的狀態(tài)，從而使電子商務(wù)以及辦公一體化得以實(shí)現(xiàn)。當(dāng)前，VPN技術(shù)的實(shí)現(xiàn)基于hitemet，這種常見(jiàn)的VPN技術(shù)，存在用戶不能隨意漫游和移動(dòng)的缺陷。

2.VPN技術(shù)在企業(yè)專網(wǎng)中的應(yīng)用

VPN基于公共網(wǎng)絡(luò)建立的企業(yè)專網(wǎng)，其安全性和有效連通性，依賴于各種安全協(xié)議，它利用隧道、身份認(rèn)證和加密等技術(shù)，在公共網(wǎng)絡(luò)中構(gòu)建起安全隧道，從而實(shí)現(xiàn)了專用網(wǎng)絡(luò)的功能和作用。VPN的核心是隧道技術(shù)，作為一種規(guī)范，其以網(wǎng)絡(luò)層協(xié)議為基礎(chǔ)，該技術(shù)為建立和拆除兩點(diǎn)或兩端間的數(shù)據(jù)傳輸隧道提供了切實(shí)保障。

移動(dòng)VPN技術(shù)由于問(wèn)世時(shí)間不長(zhǎng)，相關(guān)研究剛剛起步，目前對(duì)于移動(dòng)VPN應(yīng)用的關(guān)注，多表現(xiàn)在其業(yè)務(wù)的解決方案上，而對(duì)其安全問(wèn)題還缺乏應(yīng)有的重視。基于此原因，針對(duì)VPN企業(yè)專網(wǎng)的安全性問(wèn)題，引起了業(yè)界的高度重視。

3.VPN應(yīng)用于企業(yè)專網(wǎng)的常規(guī)安全性分析

3.1 加密和解密技術(shù)

加密和解密技術(shù)的應(yīng)用，保障了VPN技術(shù)的安全。隧道技術(shù)構(gòu)建了兩點(diǎn)或者兩端間的數(shù)據(jù)傳輸?shù)膶Ｓ猛ǖ?，此外，還必須使兩邊的設(shè)備具有基于信任關(guān)系的加密和解密功能，當(dāng)前，VPN采用諸如IPSec協(xié)議等標(biāo)準(zhǔn)的Internet安全技術(shù)，通過(guò)加密、解密以及數(shù)字簽名等手段，規(guī)范了兩個(gè)IP工作站之間的連接，實(shí)現(xiàn)了點(diǎn)對(duì)點(diǎn)、端對(duì)端的有效連接，從而使VPN的安全性大為提高。

3.2 身份認(rèn)證和安全策略

由于公共網(wǎng)絡(luò)平臺(tái)的安全性并無(wú)保障，因此，VPN常受到冒名連接，或者收到一些未經(jīng)授權(quán)的隧道建立請(qǐng)求。基于此原因，對(duì)于合法用戶，VPN技術(shù)嚴(yán)格規(guī)范了其安全認(rèn)證體系，在VPN網(wǎng)絡(luò)中構(gòu)建了一個(gè)或者數(shù)個(gè)安全認(rèn)證服務(wù)器。

為保障VPN的安全，其增強(qiáng)了驗(yàn)證限制，包括請(qǐng)求訪問(wèn)、用戶被準(zhǔn)許的撥接地點(diǎn)、IP分配以及用戶最長(zhǎng)接入限制等驗(yàn)證手段。VPN身份認(rèn)證過(guò)程與用戶級(jí)別成正比，級(jí)別越高，認(rèn)證過(guò)程越嚴(yán)格。

3.3 IPSec VPN技術(shù)的使用

在IPSec協(xié)議基礎(chǔ)上構(gòu)建的IPSec VPN，是由IPSec協(xié)議來(lái)確保隧道安全。作為一種保障數(shù)據(jù)安全性的機(jī)制，IPSec由IETF設(shè)計(jì)，在IP通訊基礎(chǔ)上，確保了端到端之間的數(shù)據(jù)傳輸?shù)陌踩?，其不僅支持?jǐn)?shù)據(jù)加密，也保障了數(shù)據(jù)的完整性。在IPSec協(xié)議框架下，密鑰只由發(fā)送和接受雙方掌握。接收方之所以收到完整的數(shù)據(jù)，并且知道數(shù)據(jù)來(lái)自發(fā)送方，完全得益于有效的驗(yàn)證數(shù)據(jù)。

4.VPN應(yīng)用于企業(yè)專網(wǎng)的互聯(lián)網(wǎng)安全性分析

我們以某企業(yè)專網(wǎng)作為例子來(lái)講，隨著信息化程度的提高，其互聯(lián)網(wǎng)內(nèi)部的應(yīng)用軟件也隨之增多，如VOD、OA、文件閱讀、視頻會(huì)議以及軟件下載、網(wǎng)絡(luò)游戲等。通過(guò)運(yùn)用防火墻技術(shù)，互聯(lián)網(wǎng)可以將網(wǎng)絡(luò)分為內(nèi)外兩部，從而使上述應(yīng)用只能被連接在內(nèi)網(wǎng)的用戶使用，而其它駐外單位采用基于通過(guò)Internet接入的方式，因此不在內(nèi)網(wǎng)服務(wù)范圍之內(nèi)。以下兩種連接方式是針對(duì)企業(yè)駐外單位生產(chǎn)管理方式的差異，以及對(duì)網(wǎng)絡(luò)帶寬的不同需求而設(shè)計(jì)的。

（1）對(duì)于二級(jí)或者二級(jí)半的固定駐地的單位，因其地處大城市，具備網(wǎng)絡(luò)就地接入的良好條件，因此應(yīng)首先構(gòu)建內(nèi)部局域網(wǎng)絡(luò)，而后利用支持IPsec VPN功能的防火墻，將出口與長(zhǎng)慶互聯(lián)網(wǎng)相接。若無(wú)法構(gòu)建局域網(wǎng)，也可通過(guò)一臺(tái)或數(shù)臺(tái)單機(jī)，從而與局內(nèi)網(wǎng)絡(luò)連接。該連接方式如圖1所示。

圖1 某企業(yè)專網(wǎng)二級(jí)和二級(jí)半單位的連接方式

圖2 某企業(yè)專網(wǎng)臨時(shí)住址單位的連接方式

A單位在一臺(tái)單機(jī)內(nèi)安裝了VPN協(xié)議客戶端，從而連接了局內(nèi)網(wǎng)絡(luò)的VPN。而B(niǎo)單位則是將IPSec VPN協(xié)議安裝到防火墻上，并通過(guò)防火墻將內(nèi)部局域網(wǎng)絡(luò)的出口與局內(nèi)網(wǎng)絡(luò)相接。

（2）對(duì)于無(wú)固定駐址，或者短期固定住址的單位，因其駐地并不穩(wěn)定，工作區(qū)域一般距離城鎮(zhèn)較遠(yuǎn)，從而限制了通訊手段，基于此原因，網(wǎng)絡(luò)如何接入應(yīng)是亟待解決的問(wèn)題，其連接可利用無(wú)線電臺(tái)、租用衛(wèi)星電路，也可采用租用DDN專線、撥號(hào)上網(wǎng)，以及通過(guò)接入帶寬達(dá)11Mbps-72Mbps，且30KM范圍內(nèi)無(wú)阻擋的無(wú)線接入等方式。該連接方式設(shè)計(jì)如圖2所示。

上述連接方式的運(yùn)用，使得各駐外單位的網(wǎng)絡(luò)能夠有效與局內(nèi)網(wǎng)絡(luò)相接。相接后，使局內(nèi)單位和駐外單位能夠同步網(wǎng)上辦公、召開(kāi)視頻會(huì)議以及現(xiàn)場(chǎng)辦公，也使二者實(shí)現(xiàn)了文件收發(fā)、閱覽和財(cái)務(wù)結(jié)算的同步統(tǒng)一，提升了企業(yè)信息化的整體水平，提高了決策效率，促進(jìn)了企業(yè)管理水平的提高。

該連接方式安全可靠，速度極高，這依賴于采用加密通道與密碼驗(yàn)證二者相結(jié)合的方法，因此，避免了內(nèi)容遭到泄漏的危險(xiǎn)，對(duì)速度問(wèn)題也大可放心。該接入方式操作簡(jiǎn)單便捷，非專業(yè)人員即可擔(dān)任，且沒(méi)有必要投入更多的、復(fù)雜的專業(yè)設(shè)備。但在分析網(wǎng)絡(luò)接入規(guī)劃安全性問(wèn)題時(shí)，切記各自行事，而要統(tǒng)一進(jìn)行，應(yīng)從以下幾點(diǎn)著手：

（1）具體實(shí)施VPN之所以相對(duì)容易，控制軟件起著至關(guān)重要的作用，該軟件固化于網(wǎng)絡(luò)設(shè)備上，確保了VPN技術(shù)的實(shí)現(xiàn)。網(wǎng)絡(luò)設(shè)計(jì)伊始，應(yīng)充分考慮到可能需要的VPN功能，否則一旦網(wǎng)絡(luò)設(shè)計(jì)完成，雖然可以升級(jí)原有的路由、防火墻以及服務(wù)器，使之具備VPN功能，但是不僅增加了成本，而且也無(wú)法保證其性能。

（2）原有網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)量，隨著VPN技術(shù)的隧道通信，以及加密、解密的應(yīng)用而大為增加，30%左右的網(wǎng)絡(luò)硬件負(fù)載的增加，極有可能使原有網(wǎng)絡(luò)的性能受到影響。因此，為構(gòu)建隧道通信，更好地完成加密、解密等任務(wù)，在規(guī)劃網(wǎng)絡(luò)初期就應(yīng)考慮采用專用的VPN設(shè)備。

（3）VPN的實(shí)現(xiàn)，需要充分考慮原有網(wǎng)絡(luò)的現(xiàn)況。對(duì)于油田的各個(gè)單位，其網(wǎng)絡(luò)建設(shè)水平存在差異，有的處于起步階段，有的則達(dá)到一定規(guī)模。多種協(xié)議可以實(shí)現(xiàn)VPN，其也允許多種協(xié)議的共同存在，所以說(shuō)，在選擇VPN協(xié)議實(shí)施之際，應(yīng)充分考慮到既有網(wǎng)絡(luò)協(xié)議與所選VPN協(xié)議是否匹配的問(wèn)題。

（4）設(shè)計(jì)和規(guī)范認(rèn)證策略，是解決VPN安全問(wèn)題的切實(shí)保障，對(duì)于準(zhǔn)備構(gòu)建VPN的各個(gè)駐外單位，應(yīng)審慎進(jìn)行安全認(rèn)證策略的規(guī)劃，為確保網(wǎng)絡(luò)的安全和負(fù)載之間的平衡性，應(yīng)選擇合理的VPN技術(shù)所采用的密鑰技術(shù)，選取適用的加密方法和適當(dāng)?shù)拿荑€長(zhǎng)度。

（5）嚴(yán)格管理安全認(rèn)證體系，完整地劃定出部門互聯(lián)授權(quán)與否的界限 。

（6）目前，不同的網(wǎng)絡(luò)廠家在設(shè)計(jì)生產(chǎn)其VPN產(chǎn)品時(shí)，所選用的算法各異，且加入了一些特殊的性能，因而造成不同的廠商推出的VPN在進(jìn)行銜接時(shí)，出現(xiàn)了性能不佳的問(wèn)題，有的甚至根本無(wú)法銜接。

（7）有些廠商設(shè)計(jì)生產(chǎn)出VPN交換機(jī)，以提升VPN的交換能力。該產(chǎn)品通過(guò)隧道交換，實(shí)現(xiàn)了訪問(wèn)直接導(dǎo)向到對(duì)應(yīng)的隧道終端，這樣一來(lái)，從而使不同的網(wǎng)絡(luò)用戶能夠進(jìn)入不同的網(wǎng)段。

（8）構(gòu)建交換式的VPN，（下轉(zhuǎn)第85頁(yè)）（上接第83頁(yè)）VPN交換機(jī)至關(guān)重要，其為下一代局域網(wǎng)絡(luò)的發(fā)展打下了堅(jiān)實(shí)的基礎(chǔ)，奠定了遠(yuǎn)程訪問(wèn)的基石。當(dāng)前，各大網(wǎng)絡(luò)廠商紛紛推出交換機(jī)集成平臺(tái)，將路由、VPN和防火墻融為一個(gè)系統(tǒng)加以管理，其內(nèi)置的網(wǎng)絡(luò)地址翻譯功能，能夠在網(wǎng)絡(luò)之中的任意地點(diǎn)，隨意終止用戶的VPN連接，這樣一來(lái)，使得新一代的VPN能夠經(jīng)濟(jì)高效地接納原有遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)，同時(shí)接納辦公室和辦公室之間的路由型專用網(wǎng)絡(luò)?；诖嗽颍脩粼谶x擇VPN產(chǎn)品時(shí)，不必完全聽(tīng)信廠家出具的網(wǎng)絡(luò)評(píng)測(cè)結(jié)果的性能參數(shù)，而是應(yīng)結(jié)合自身需求，客觀分析產(chǎn)品性能。

5.結(jié)語(yǔ)

互聯(lián)網(wǎng)的高速發(fā)展，決定了VPN必將成為未來(lái)發(fā)展的趨勢(shì)，它不僅具有傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全性，也具備其服務(wù)質(zhì)量，并且共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單快捷，其成本也較低，所建立的數(shù)據(jù)通道安全可靠。VPN不僅能夠降低成本，也解決了用戶對(duì)網(wǎng)絡(luò)帶寬、接入服務(wù)的迫切需求，所以說(shuō)，未來(lái)網(wǎng)絡(luò)的發(fā)展必將以VPN為方向。

參考文獻(xiàn)

[1]朱江，李方偉，余艷英.基于GPRS網(wǎng)的VPN[J].重慶通信業(yè)，2004（2）.

[2]袁小樂(lè).基于移動(dòng)智能網(wǎng)的VPN業(yè)務(wù)[J].通信世界，2001（6）.

[3]蔣青泉.虛擬專用通信網(wǎng)的構(gòu)建[J].長(zhǎng)沙通信職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2002（1）.