張 輝，李菊萍

（西安鐵路局寶雞工務(wù)段網(wǎng)絡(luò)室，寶雞721000 ）

寶雞工務(wù)段是西安鐵路局工務(wù)系統(tǒng)內(nèi)最大的站段之一，管轄西寶線、寶中線、寶成線及寶天線。除機(jī)關(guān)辦公使用的計(jì)算機(jī)外，其余計(jì)算機(jī)安裝在沿線各車間和班組，分布范圍較散，且相隔距離較遠(yuǎn)。

目前段機(jī)關(guān)通過(guò)網(wǎng)橋接入方式接入車站機(jī)房。車間班組通過(guò)鐵通的綜合信息平臺(tái)與段機(jī)關(guān)聯(lián)通，車間班組需要實(shí)時(shí)將信息傳送到段機(jī)關(guān)及鐵路局，段機(jī)關(guān)及鐵路局也需要將反饋的信息實(shí)時(shí)向車間班組下發(fā)。但段機(jī)關(guān)作為連接的中心點(diǎn)，所有的數(shù)據(jù)都經(jīng)過(guò)段服務(wù)器進(jìn)行分發(fā)。

1 VPN需求分析

隨著鐵路的迅速發(fā)展，工務(wù)段管轄的車間班組相繼多了起來(lái)，信息交互也越來(lái)越頻繁，隨著各種業(yè)務(wù)應(yīng)用系統(tǒng)的實(shí)施，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中傳輸也越來(lái)越多，安全性要求也越來(lái)越高，目前僅僅依靠綜合信息平臺(tái)接入，段服務(wù)器轉(zhuǎn)發(fā)的組網(wǎng)模式已經(jīng)越來(lái)越不適應(yīng)工務(wù)段對(duì)信息傳輸平臺(tái)的要求了。

從安全方面考慮，鐵通提供的綜合信息平臺(tái)沒(méi)有經(jīng)過(guò)加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽(tīng)分析工具，極易篡改、竊取甚至破壞企業(yè)數(shù)據(jù)，給企業(yè)造成不可估量的損失；由于傳輸平臺(tái)沒(méi)有認(rèn)證功能，企業(yè)內(nèi)部員工的越權(quán)訪問(wèn)、誤操作、有意或無(wú)意的泄密、甚至是少數(shù)員工惡意的破壞，都會(huì)對(duì)企業(yè)的信息和數(shù)據(jù)造成很大的威脅；由于傳輸平臺(tái)沒(méi)有訪問(wèn)控制和安全隔離的功能，給外部非法人員提供了入侵的機(jī)會(huì)，非法人員可以通過(guò)專用的黑客程序（此類工具在Internet上可以任意下載），或者盜取授權(quán)員工的訪問(wèn)權(quán)限，很容易進(jìn)入企業(yè)系統(tǒng)內(nèi)部。由于工務(wù)段車間班組聯(lián)網(wǎng)網(wǎng)點(diǎn)數(shù)目眾多，相應(yīng)的受攻擊的幾率較大，一旦通過(guò)計(jì)算機(jī)終端進(jìn)入總部服務(wù)器，后果將不堪設(shè)想。

從管理方面考慮，工務(wù)段處于高速發(fā)展階段，擁有的聯(lián)網(wǎng)網(wǎng)點(diǎn)和計(jì)算機(jī)終端較多，最緊迫的問(wèn)題就是信息的匯總、聯(lián)網(wǎng)網(wǎng)點(diǎn)的信息交互以及計(jì)算機(jī)終端的集中管理?，F(xiàn)有組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強(qiáng)大的管理平臺(tái)，也不可能解決大規(guī)模的應(yīng)用和管理問(wèn)題。

從經(jīng)營(yíng)角度考慮，工務(wù)段需要一個(gè)實(shí)時(shí)、安全、高速、快捷和穩(wěn)定的信息交互平臺(tái)，以滿足信息頻繁傳輸?shù)男枰?，以便增加工作效率，提高服?wù)質(zhì)量，加快信息化建設(shè)，適應(yīng)快速發(fā)展，提升良好形象。

綜上所述，如何快捷地解決工務(wù)段的聯(lián)網(wǎng)問(wèn)題，如何很好地解決“信息的共享和信息的安全問(wèn)題”是本方案重點(diǎn)討論的問(wèn)題，使整個(gè)網(wǎng)絡(luò)的互聯(lián)性得到極大提高，安全性達(dá)到全面加強(qiáng)，是本系統(tǒng)方案要實(shí)現(xiàn)的目標(biāo)。

2 VPN技術(shù)特點(diǎn)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展及Internet接入方式的多樣化，為VPN應(yīng)用提供了條件，不同地區(qū)的遠(yuǎn)程遙測(cè)點(diǎn)可通過(guò)ADSL、小區(qū)寬帶、GPRS、CDMA 1X或窄帶撥號(hào)等各種網(wǎng)絡(luò)連接方式連入Internet，無(wú)需固定公網(wǎng)IP地址，由中心的VPN網(wǎng)關(guān)為認(rèn)證用戶分配一個(gè)內(nèi)部私網(wǎng)地址，通過(guò)遠(yuǎn)程認(rèn)證，實(shí)現(xiàn)與監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)的互連，從而組成一個(gè)高效統(tǒng)一的虛擬專用網(wǎng)絡(luò)。

目前VPN技術(shù)相當(dāng)成熟，應(yīng)用相當(dāng)廣泛，主要采用4種技術(shù)：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

2.1 隧道技術(shù)

當(dāng)VPN客戶機(jī)訪問(wèn)VPN服務(wù)器時(shí)，并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，它們是通過(guò)一個(gè)虛擬的隧道進(jìn)行訪問(wèn)。一個(gè)隧道實(shí)際上就是在公網(wǎng)上建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過(guò)這條隧道傳輸，完成數(shù)據(jù)封裝、傳輸和解包。為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議，隧道技術(shù)主要有3種協(xié)議支持：PPTP，L2TP和IPsec。

（1）點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）。

PPTP協(xié)議工作在OSI/RM開(kāi)放模型中的第2層，允許對(duì)IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或互聯(lián)網(wǎng)發(fā)送。通過(guò)PPTP，遠(yuǎn)程用戶首先撥號(hào)到本地因特網(wǎng)服務(wù)提供商ISP的網(wǎng)絡(luò)服務(wù)器NAS去訪問(wèn)總部的內(nèi)部網(wǎng)絡(luò)，并不需要直接撥號(hào)至總部的網(wǎng)絡(luò)，這樣大大減少了建立和維護(hù)專用遠(yuǎn)程線路的費(fèi)用。PPTP協(xié)議通過(guò)身份驗(yàn)證后開(kāi)始加密，身份驗(yàn)證的過(guò)程沒(méi)有加密，安全性稍低，配置簡(jiǎn)單，在實(shí)現(xiàn)上存在著重大安全隱患。

（2）第2層隧道協(xié)議（L2TP）。

L2TP協(xié)議是L2FP與PPTP的結(jié)合，專門(mén)用來(lái)進(jìn)行第2層數(shù)據(jù)的通道傳送，允許對(duì)IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過(guò)支持點(diǎn)對(duì)點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP、X.25、楨中繼或ATM。遠(yuǎn)程用戶通過(guò)本地PSTN、ISDN或PLMN撥號(hào)，利用ISP提供的VPDN特服號(hào)，接入ISP在當(dāng)?shù)氐腘AS，通過(guò)當(dāng)?shù)氐腣PDN認(rèn)證系統(tǒng)對(duì)用戶身份進(jìn)行認(rèn)證，建立一個(gè)位于NAS和LNS（本地網(wǎng)絡(luò)服務(wù)器）之間的虛擬專網(wǎng)來(lái)訪問(wèn)總部的內(nèi)部網(wǎng)絡(luò)。L2TP需要證書(shū)服務(wù)來(lái)驗(yàn)證計(jì)算機(jī)身份，身份驗(yàn)證過(guò)程是加密的，安全性較高，配置稍微復(fù)雜，但也不能完全保證數(shù)據(jù)傳輸過(guò)程中的安全。

（3）安全I(xiàn)P（IPSec）隧道模式。

IPSEC協(xié)議工作在OSI/RM開(kāi)放模型中的第3層，允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或互聯(lián)網(wǎng)發(fā)送，具有認(rèn)證包頭AH和數(shù)據(jù)加密格式ESP。IPSEC采取數(shù)據(jù)源驗(yàn)證、無(wú)連接數(shù)據(jù)的完整性驗(yàn)證、數(shù)據(jù)內(nèi)容的機(jī)密性保護(hù)、抗重播保護(hù)等形式，有效保護(hù)IP數(shù)據(jù)報(bào)的安全。在傳輸數(shù)據(jù)包之前將其加密，接收端根據(jù)AH和ESP對(duì)所有受IPSec保護(hù)的數(shù)據(jù)包進(jìn)行認(rèn)證和解密，防止數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，安全性高，從而保證了數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性。

2.2 加解密技術(shù)

加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，可直接利用。

2.3 密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取,密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

2.4 身份認(rèn)證技術(shù)

當(dāng)VPN客戶端連接VPN服務(wù)器時(shí)，就涉及到身份驗(yàn)證的問(wèn)題，身份驗(yàn)證可以采用Windows的身份驗(yàn)證或者RADIUS（遠(yuǎn)程撥號(hào)用戶確認(rèn)服務(wù)）身份驗(yàn)證。

Windows的身份驗(yàn)證主要通過(guò)用戶名和密碼來(lái)提供認(rèn)證，認(rèn)證協(xié)議采用Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議MS－CHAP來(lái)加強(qiáng)對(duì)用戶身份的查驗(yàn)。

RADIUS身份驗(yàn)證是通過(guò)Windows安裝Internet驗(yàn)證服務(wù)IAS來(lái)實(shí)現(xiàn)。這種撥號(hào)方式建立的VPN連接，可以實(shí)現(xiàn)雙重?cái)?shù)據(jù)加密，使網(wǎng)絡(luò)數(shù)據(jù)傳輸更安全。

VPN的加密方式使得網(wǎng)絡(luò)信息傳輸安全性大大提高，數(shù)據(jù)驗(yàn)證使得接收方可識(shí)別數(shù)據(jù)包是否被非法篡改，保證了數(shù)據(jù)的完整性。

3 關(guān)于VPN專網(wǎng)的安全管理

使用VPN傳輸私有數(shù)據(jù)，面臨潛在的安全風(fēng)險(xiǎn)，這需要提供安全保障。雖然VPN有單獨(dú)的網(wǎng)關(guān)，對(duì)IPSec數(shù)據(jù)包進(jìn)行加密/解密處理和身份認(rèn)證，但它沒(méi)有很強(qiáng)的訪問(wèn)控制功能，如狀態(tài)包過(guò)濾、網(wǎng)絡(luò)內(nèi)容過(guò)濾、防DoS攻擊等。要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)，網(wǎng)絡(luò)管理員必須對(duì)通過(guò)VPN連接到網(wǎng)絡(luò)的計(jì)算機(jī)和直接連接到LAN的計(jì)算機(jī)實(shí)行同樣的安全標(biāo)準(zhǔn)。

為保證VPN的安全性，必須將所有設(shè)備放在防火墻之后，防火墻必須封鎖任何沒(méi)有使用的端口，由防火墻打開(kāi)允許的隧道信息包通過(guò)，才能與內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸。可以通過(guò)安全檢測(cè)設(shè)置來(lái)限制有權(quán)限的訪問(wèn)者，如果不再符合安全法則時(shí)，根本不允許接入，從而為私有數(shù)據(jù)在公用網(wǎng)絡(luò)上的傳輸提供了安全和保密。

在監(jiān)測(cè)網(wǎng)絡(luò)上建立防火墻，能夠保證內(nèi)部網(wǎng)絡(luò)免受安全威脅及攻擊，強(qiáng)大的網(wǎng)絡(luò)地址轉(zhuǎn)換功能使服務(wù)器對(duì)外偽裝服務(wù)身份，保護(hù)局域網(wǎng)內(nèi)部的服務(wù)器安全運(yùn)行，同時(shí)支持對(duì)特殊網(wǎng)絡(luò)服務(wù)及ARP欺騙病毒的屏蔽功能。對(duì)于連接VPN的用戶也必須在個(gè)人計(jì)算機(jī)上安裝個(gè)人防火墻，它可以使非法侵入者不能進(jìn)入局域網(wǎng)。

4 站段網(wǎng)絡(luò)平臺(tái)結(jié)構(gòu)

綜合VPN技術(shù)特點(diǎn)，在段內(nèi)辦公網(wǎng)上采用了IPSec隧道模式組建VPN專網(wǎng)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

VPN專網(wǎng)的實(shí)現(xiàn)，需在內(nèi)部網(wǎng)絡(luò)中配置一臺(tái)VPN服務(wù)器與內(nèi)部網(wǎng)絡(luò)連接，在中心將VPN硬件網(wǎng)關(guān)、監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備及內(nèi)部辦公設(shè)備放在防火墻后面，經(jīng)過(guò)防火墻再由一條專用光纖連接到綜合信息平臺(tái)，VPN硬件網(wǎng)關(guān)的LAN（局域網(wǎng)）口連接到內(nèi)網(wǎng)的交換機(jī)上，WAN（廣域網(wǎng)）口連接到與綜合信息平臺(tái)相連的光纖。

當(dāng)遠(yuǎn)程終端通過(guò)VPN連接與辦公網(wǎng)中的計(jì)算機(jī)進(jìn)行通信時(shí)，先由綜合信息平臺(tái)將所有的數(shù)據(jù)傳送到VPN服務(wù)器，再由VPN服務(wù)器將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。

網(wǎng)絡(luò)管理員通過(guò)配置VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問(wèn)內(nèi)部信息的權(quán)利，沒(méi)有訪問(wèn)權(quán)利的用戶無(wú)法獲得辦公網(wǎng)信息。

VPN服務(wù)器相當(dāng)于執(zhí)行路由和遠(yuǎn)程訪問(wèn)服務(wù)任務(wù)的一個(gè)增強(qiáng)的Windows Server服務(wù)器，一旦一個(gè)進(jìn)入VPN網(wǎng)絡(luò)的請(qǐng)求被批準(zhǔn)，這個(gè)VPN服務(wù)器就簡(jiǎn)單地充當(dāng)一臺(tái)路由器向這個(gè)VPN客戶機(jī)提供專用網(wǎng)絡(luò)的接入。

當(dāng)遠(yuǎn)程終端訪問(wèn)辦公網(wǎng)網(wǎng)內(nèi)部資源時(shí)，有可能將間諜軟件，病毒隨著客戶端對(duì)辦公網(wǎng)的訪問(wèn)而進(jìn)入內(nèi)網(wǎng)，導(dǎo)致服務(wù)器遭受間諜軟件、病毒的風(fēng)險(xiǎn)。利用域管理模式和架設(shè)CA服務(wù)器來(lái)創(chuàng)建網(wǎng)絡(luò)訪問(wèn)準(zhǔn)入規(guī)則，預(yù)先定制好遠(yuǎn)程終端計(jì)算機(jī)的安全策略。當(dāng)遠(yuǎn)程終端計(jì)算機(jī)通過(guò)VPN服務(wù)器連接辦公網(wǎng)時(shí)，檢查用戶的計(jì)算機(jī)是否具備了相應(yīng)的安全策略。

只有符合相應(yīng)的安全策略的用戶才允許登陸，不具備相應(yīng)安全條件的用戶，不允許登陸到VPN服務(wù)器，也連不通VPN通道。這樣從根本上提高了遠(yuǎn)程終端計(jì)算機(jī)的安全性，減少了遠(yuǎn)程終端遭受蠕蟲(chóng)、病毒、木馬以及間諜軟件而導(dǎo)致服務(wù)器遭受破壞的風(fēng)險(xiǎn)。

這種方案充分利用了綜合信息平臺(tái)，遠(yuǎn)程終端通過(guò)ADSL方式接入綜合信息平臺(tái)，再由和綜合信息平臺(tái)相連（段機(jī)關(guān)采用了一條10 M光纖）的VPN服務(wù)器，來(lái)訪問(wèn)位于VPN服務(wù)器后面的內(nèi)部網(wǎng)絡(luò)。一旦接入VPN服務(wù)器，就在遠(yuǎn)程終端與VPN服務(wù)器之間建立一條專用隧道連接。這樣，遠(yuǎn)程終端到綜合信息平臺(tái)的連接和VPN服務(wù)器到綜合信息平臺(tái)的連接都是本地網(wǎng)內(nèi)通信，由于采用加密技術(shù)，遠(yuǎn)程終端到VPN服務(wù)器之間的連接是安全的。

5 VPN技術(shù)實(shí)施的優(yōu)勢(shì)

（1）迅速擁有高效穩(wěn)定的VPN平臺(tái)，廣泛的兼容性使其可以很方便的部署于網(wǎng)絡(luò)的任何位置。而簡(jiǎn)單明了又兼?zhèn)渫暾壿嬎悸返牟僮髂Ｊ娇梢宰尮芾韱T迅速掌握，從而方便地配置出滿足自身需求的個(gè)性化配置方案。在客戶端不需要安裝任何應(yīng)用軟件，不需做任何配置，同時(shí)也減輕了網(wǎng)絡(luò)管理員的工作。

（2）接入后的用戶受控于更細(xì)致的訪問(wèn)控制粒度。根據(jù)組織的構(gòu)架，用戶可以分組管理，而授權(quán)粒度則可以按照角色進(jìn)行管理，為每個(gè)用戶或每個(gè)組分配一個(gè)或多個(gè)角色。比如可以為某用戶分配辦公收發(fā)文和財(cái)務(wù)查詢的雙重角色，這樣他即可以訪問(wèn)辦公OA的進(jìn)行收發(fā)文又可以訪問(wèn)財(cái)務(wù)系統(tǒng)進(jìn)行財(cái)務(wù)查詢。

（3）實(shí)現(xiàn)了整體的互聯(lián)，使分散的部門(mén)連到統(tǒng)一的VPN網(wǎng)絡(luò)。滿足整體網(wǎng)絡(luò)實(shí)時(shí)互聯(lián)互通的要求，實(shí)現(xiàn)各個(gè)點(diǎn)的VPN互聯(lián)，構(gòu)建完整的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，并可根據(jù)權(quán)限的設(shè)定和網(wǎng)絡(luò)拓?fù)涞男枰謩e設(shè)定接入節(jié)點(diǎn)和權(quán)限控制，增強(qiáng)內(nèi)部基礎(chǔ)網(wǎng)絡(luò)的穩(wěn)定性和可靠性。

（4）確保數(shù)據(jù)傳輸?shù)陌踩煽?、接入用戶的?yán)格認(rèn)證。段機(jī)關(guān)與各個(gè)車間班組之間，無(wú)需更改原有的網(wǎng)絡(luò)結(jié)構(gòu)、按照實(shí)際的運(yùn)作流程，構(gòu)建完善、穩(wěn)定、高效的VPN網(wǎng)絡(luò)，保障信息化系統(tǒng)的日常運(yùn)行。

（5）建成標(biāo)準(zhǔn)統(tǒng)一、功能完善、安全可靠的內(nèi)部網(wǎng)絡(luò)與信息平臺(tái)，形成信息安全保障體系。建設(shè)的重點(diǎn)任務(wù)：加快建設(shè)內(nèi)網(wǎng)平臺(tái)；整合信息資源；形成結(jié)構(gòu)合理、功能完善、管理規(guī)范、安全可靠和靈活實(shí)用的網(wǎng)絡(luò)基礎(chǔ)支撐體系。

6 結(jié)束語(yǔ)

上述方案成功地解決了段辦公網(wǎng)與車間班組之間實(shí)時(shí)互聯(lián)問(wèn)題，提供了遠(yuǎn)程訪問(wèn)的安全途徑，使車間班組能夠隨時(shí)方便地接入工務(wù)段內(nèi)部網(wǎng)絡(luò)開(kāi)展業(yè)務(wù)，共享網(wǎng)絡(luò)資源。最大限度地發(fā)揮各種應(yīng)用系統(tǒng)的效率，使工務(wù)段網(wǎng)絡(luò)管理更加統(tǒng)一規(guī)范，共享數(shù)據(jù)信息。VPN提供了安全、可靠的訪問(wèn)通道，為工務(wù)段信息化建設(shè)進(jìn)一步發(fā)展提供了可靠的技術(shù)保障，達(dá)到科學(xué)高效的管理目標(biāo)。

[1] 高海英，薛元星，辛陽(yáng)，等. VPN技術(shù)[M] . 北京：機(jī)械工業(yè)出版社，2004.

[2] [美] Mark Lucas，等. 防火墻策略與VPN配置[M] . 北京：水利水電出版社，2008.

[3] 王達(dá). 虛擬專用網(wǎng)（VPN）精解[M] . 北京：清華大學(xué)出版社，2004.

[4] [美] Mark Lewis. VPN故障診斷與排除[M] . 袁國(guó)忠. 北京：人民郵電出版社，2006.

[5] 吉榮廷，楊慧，趙建軍. 基于VPN技術(shù)與CDMAIX技術(shù)實(shí)現(xiàn)遠(yuǎn)程視頻無(wú)線傳輸[J] . 鐵路計(jì)算機(jī)應(yīng)用，2008，12（2）.

[6] 呂鴻杰，譚獻(xiàn)海，裴加富. UML&VP在VPN網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用[J] . 鐵路計(jì)算機(jī)應(yīng)用，2008，12（3）.