摘 要:隨著網(wǎng)絡(luò)規(guī)模的不斷擴大,網(wǎng)絡(luò)安全管理成為制約網(wǎng)絡(luò)應(yīng)用發(fā)展的阻礙之一,VPN技術(shù)就是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),進行加密通訊,在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。文章介紹了計算機網(wǎng)絡(luò)安全中虛擬網(wǎng)技術(shù),尤其重點對VPN技術(shù)進行了探討,并結(jié)合實際的案例對虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用進行了研究。
關(guān)鍵詞:VPN技術(shù);企業(yè)網(wǎng)絡(luò);應(yīng)用
1 概述
隨著通信技術(shù)及計算機網(wǎng)絡(luò)的快速發(fā)展,計算機網(wǎng)絡(luò)的應(yīng)用性越來越強,不同的行業(yè)、領(lǐng)域都在使用網(wǎng)絡(luò)技術(shù)。資料共享和計算機網(wǎng)絡(luò)安全一直作為一對矛盾體而存在著。Internet這個公共開放的網(wǎng)絡(luò),在為用戶傳輸信息的過程中如何保證企業(yè)及用戶的數(shù)據(jù)安全,如何創(chuàng)建一個安全、高效的網(wǎng)絡(luò)環(huán)境,更好地滿足企業(yè)需求,這是一個有必要研究和討論的問題。
2 VPN技術(shù)基礎(chǔ)
2.1 VPN技術(shù)優(yōu)勢及技術(shù)分類
虛擬專用網(wǎng)絡(luò)(Virtual Private Network,簡稱VPN)是Internet與Intranet之間的專用通道,是指在公共網(wǎng)絡(luò)(通常為Internet中)建立一個虛擬、專用的網(wǎng)絡(luò),為企業(yè)提供一個高安全、高性能、簡便易用的環(huán)境。其之所以稱為虛擬網(wǎng),主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接是架構(gòu)在網(wǎng)絡(luò)平臺上的邏輯的連接,并不是像傳統(tǒng)網(wǎng)絡(luò)所需的端到端的物理鏈路。
對于不移動用戶的全球因特網(wǎng)接入來講,VPN是通過Internet建立的一個邏輯的、安全、臨時的連接,是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道,可見,實現(xiàn)安全接入是VPN的主要目的。VPN可用于實現(xiàn)企業(yè)總部和分部之間安全通信的虛擬專用線路連接,VPN也可通過一個使用專用連接的共享基礎(chǔ)設(shè)施,將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。
VPN的優(yōu)勢:
(1)成本低:虛擬專用網(wǎng)同傳統(tǒng)的專用網(wǎng)絡(luò)相比,不需要租用價格昂貴的長途電話專線,也不需要投入大量的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)維護人員。直接利用廉價的Internet,比租用專線或鋪設(shè)專線要節(jié)省大量開支,而且當距離越遠時節(jié)省的越多。
(2)擴展容易:VPN設(shè)備配置較為簡單,無需增加太多的設(shè)備,節(jié)省投資。對于發(fā)展速度的企業(yè)而言,VPN的使用面更廣。如果企業(yè)要組建自己的企業(yè)專用網(wǎng),當企業(yè)需要擴展時,就必須考慮到網(wǎng)絡(luò)的容量,鏈路的更新和升級,增加互聯(lián)設(shè)備的投入等,而如果實現(xiàn)了VPN后就會便捷很多,用戶只需要連接到公共網(wǎng)絡(luò),對新加入的網(wǎng)絡(luò)設(shè)備在邏輯上進行配置,無需考慮公用網(wǎng)的容量問題和設(shè)備及安全問題等。
(3)完全控制主動權(quán):VPN的設(shè)施和服務(wù)完全由企業(yè)控制。例
如,企業(yè)自己負責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作,而把撥號訪問權(quán)等交給網(wǎng)絡(luò)服務(wù)協(xié)議去做,這樣大大節(jié)省了VPN服務(wù)器的負擔(dān)。
(4)安全保障:相對而言,VPN比傳統(tǒng)的專用網(wǎng)絡(luò)要更安全。為確保用戶網(wǎng)絡(luò)的安全和數(shù)據(jù)的安全,VPN使用了認證和加密等技術(shù)。首先,客戶端端設(shè)備要想加入到VPN網(wǎng)絡(luò),必須首先經(jīng)過網(wǎng)關(guān)的認證,只有通過網(wǎng)關(guān)認證的客戶端設(shè)備或移動用戶終端才能夠接入企業(yè)的VPN網(wǎng)絡(luò)。業(yè)務(wù)數(shù)據(jù)流通過IPSec加密,IPSEC能夠提供服務(wù)器及客戶端的雙向身份認證,并且為IP及其上層業(yè)務(wù)數(shù)據(jù)提供安全加密保護,充分保證業(yè)務(wù)數(shù)據(jù)的安全性。
2.2 VPN的安全技術(shù)
VPN采用的安全技術(shù)主要包括隧道技術(shù)、加密技術(shù)、用戶身份認證技術(shù)及密鑰管理技術(shù)。
2.2.1 隧道技術(shù)。VPN的安全首先是依靠隧道技術(shù),所謂隧道其實可以理解為OSI模型中兩個實體的信息傳輸,源主機的應(yīng)用層到物理層的協(xié)議頭部封裝,目標主機的物理層到應(yīng)用層的協(xié)議頭部解封裝。隧道技術(shù)主要由二、三層隧道協(xié)議來實現(xiàn)。二層隧道協(xié)議是指在隧道協(xié)議中封裝PPP,但在封裝PPP之前先將所需要的網(wǎng)絡(luò)協(xié)議封裝至PPP。二層隧道協(xié)議有L2F、PPTP、L2TP等。三層隧道協(xié)議是指在隧道協(xié)議中把各種網(wǎng)絡(luò)協(xié)議直接裝入,然后將數(shù)據(jù)包依靠三層協(xié)議進行傳輸。三層隧道協(xié)議有VTP、IPSec等。
2.2.2 加解密技術(shù)。數(shù)據(jù)的安全傳輸離不開加解密技術(shù)。目前常用的加密解密技術(shù)有對稱加密技術(shù)、非對稱加密技術(shù)等。對稱加密技術(shù)主要有DES和AES,但DES只使用56位密鑰,容易破解,現(xiàn)在基本不在使用,AES有128,192,256三種不同長度密鑰,安全性較高。非對稱加密技術(shù)主要使用RSA和DSA技術(shù),和對稱加密相比來說,加密/解密的時間差不多是對稱加密的1000倍,所以我們通常用其作為用戶認證,用對稱加密來實現(xiàn)數(shù)據(jù)加密/解密。
2.2.3 使用者與設(shè)備身份認證技術(shù)。網(wǎng)絡(luò)上的用戶與設(shè)備都需要確定性的身份認證。當一個用戶遠程訪問另外一個用戶的資源時,就會對用戶和接入設(shè)備進行身份認證,以確定該用戶是否能合法使用該設(shè)備,可以使用哪些資源。
2.2.4 密鑰管理技術(shù)。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。Internet密鑰交換協(xié)議(IKE)主要用于通信雙方協(xié)商和建立安全聯(lián)盟,交換密鑰。
3 VPN技術(shù)應(yīng)用案例
3.1 需求分析
某公司在發(fā)展期間,設(shè)有總公司和分公司,公司通過SDH專線和ADSL接入到Internet,總公司和分公司之間需要大量的數(shù)據(jù)傳輸,另外,總公司和分公司的出差人員需要通過移動網(wǎng)絡(luò)接入到公司內(nèi)部網(wǎng)絡(luò)。由于公司規(guī)模不斷擴大,能傳輸安全性的要求也越來越高,在現(xiàn)有狀態(tài)下,總公司和分公司之間的網(wǎng)絡(luò)連接使用租用專線的方式連接,通信成本較高。另外,由于采用公用IP網(wǎng)絡(luò)直接傳輸信息,導(dǎo)致數(shù)據(jù)的安全性得不到保證,特別是一些商業(yè)機密在公網(wǎng)上傳輸時容易遭到不法份子的遭到竊取、篡改以及監(jiān)聽,可能會給公司造成損失。
3.2 需求目標
根據(jù)以上需求分析及公司的實際業(yè)務(wù)開展情況,公司需要在總部和分部之間構(gòu)建安全、穩(wěn)定和高效的網(wǎng)絡(luò)辦公環(huán)境,出差人員和公司分部工作人員也需要通過移動客戶端高速、安全的接入企業(yè)網(wǎng)絡(luò),為了達到便捷、高效的接入,客戶端不需要通過第三方軟件,僅僅通過瀏覽器便可以實現(xiàn)VPN的訪問,同時保護關(guān)鍵的數(shù)據(jù)不被非法竊取、篡改或泄漏,使數(shù)據(jù)具有極高的可信性。
3.3 實施方案
考慮到公司現(xiàn)有網(wǎng)絡(luò)設(shè)施及對安全性要求,選擇SSLVPN技術(shù)來實現(xiàn)公司的網(wǎng)絡(luò)部署。具體實現(xiàn)方案為:首先,在公司總部中心機房,部署一臺SSLVPN服務(wù)器,即安全網(wǎng)關(guān),其作用是讓移動用戶、分支機構(gòu)與總部實現(xiàn)連接。考慮到目前公司網(wǎng)絡(luò)已經(jīng)在正常運行,為了對現(xiàn)有網(wǎng)絡(luò)改動最小,同時不影響現(xiàn)有網(wǎng)絡(luò)的不間斷運行,建議采用“單臂連接”方式部署VPN設(shè)備,采用“單臂連接”技術(shù)部署安達通VPN安全網(wǎng)關(guān),不用改動用戶原有的網(wǎng)絡(luò)拓撲,實施過程對用戶無任何影響;而且沒有在用戶主干線路上串接設(shè)備,不會造成額外的單點故障,而降低線路可靠性;也不會影響互聯(lián)網(wǎng)出口的性能。其次,各分支根據(jù)信息傳輸要求,通過安裝VPN客戶端增強軟件,建立安全隧道。最后,在分部分別安裝VPN網(wǎng)關(guān),授權(quán)后允許總部和移動客戶端撥號接入。
3.4 方案實施效果
使用VPN架構(gòu),可以現(xiàn)實總部與分部,分部與分部之間在VPN建立的隧道內(nèi)安全的通信,經(jīng)由先進的加密技術(shù)安全地互相傳送,不會被惡意第三者截取分析;不管是標準或者非標準TCP/IP的應(yīng)用,也可通過VPN專有隧道連通,就像在同一個局域網(wǎng)一樣;移動客戶端,只要可以連上Internet,即可通過VPN設(shè)定連接公司,能滿足不同的應(yīng)用要求。部署擴充性較好,管理成本低,辦公室間的傳輸,例如視頻會議、語音通訊,通過VPN即不受到網(wǎng)路運行商的管制,帶寬不會受到限制。
根據(jù)公司對信息傳輸?shù)男枰獞?yīng)用虛擬網(wǎng)絡(luò)技術(shù)組間VPN網(wǎng)絡(luò),滿足了公司總部與分公司間的信息傳輸需求,尤其在傳輸信息加密以及信息認證方面獲得了預(yù)期的目標,信息傳輸?shù)陌踩缘靡源蟠筇岣?。而且減少了在網(wǎng)絡(luò)自費方面的投入,為公司效益的增加奠定了堅實的基礎(chǔ)。
4 結(jié)束語
綜上所述,VPN技術(shù)作為網(wǎng)絡(luò)數(shù)據(jù)安全傳輸?shù)谋厝贿x擇,不僅能有效地節(jié)省投入成本和網(wǎng)絡(luò)資源,也可以最大限度地提高網(wǎng)絡(luò)的安全性和有效性,且部署方便,靈活,對工程技術(shù)人員的要求并不高。在網(wǎng)絡(luò)高速發(fā)展的今天,通過對VPN技術(shù)的深入研究,可幫助企業(yè)創(chuàng)造良好的經(jīng)濟效益和社會效益,為用戶追求低成本、高效益的需求提供了較好的解決方案。
參考文獻
[1]林永菁.VPN技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用探究[J].信息與電腦,
2015(22):14-16.
[2]周宇飛.計算機網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用[J].電子技術(shù)與軟件工程,2015(24):210-210.
[3]王亮.VPN技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用探討[J].科技展望,2016
(26):13-13.
作者簡介:邱文軍(1972,12-),男,湖北漢川人,碩士,講師,研究方向為通信網(wǎng)絡(luò)技術(shù)。