郭 健

（1、大連海事大學(xué)，遼寧 大連 116026 2、天津港信息技術(shù)發(fā)展有限公司，天津 300000）

隨著Internet 在企業(yè)領(lǐng)域應(yīng)用的不斷深化，VPN 作為一種廉價(jià)安全的組網(wǎng)方案越來越受到人們的青睞。在全球范圍內(nèi)，VPN 已經(jīng)得到快速發(fā)展。目前，VPN 產(chǎn)品和技術(shù)已相當(dāng)成熟，如何將VPN 技術(shù)引入錯(cuò)綜復(fù)雜的港口生產(chǎn)業(yè)務(wù)中成為了港口信息部門的研究課題。

1 VPN 技術(shù)介紹

1.1 什么是 VPN

VPN(Virtual Private Network)是指采用隧道技術(shù)以及加密、身份認(rèn)證等方法，在公用網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密管道”在公用網(wǎng)絡(luò)中傳播。VPN 又稱虛擬專網(wǎng)，指的是依靠ISP（Internet 服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。IETF 草案理解基于IP 的VPN 為：使用IP 機(jī)制仿真出一個(gè)私有的廣域網(wǎng)是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長途數(shù)據(jù)線路，而是使用Internet 公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。目前VPN 主要采用4 項(xiàng)技術(shù)保證安全，即：隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(Key Management)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。

1.2 VPN 是怎樣工作的

VPN 實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道，而隧道又是靠隧道協(xié)議來實(shí)現(xiàn)數(shù)據(jù)封裝的。VPN 將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中，通過公網(wǎng)Internet 進(jìn)行傳輸。因此，VPN 技術(shù)的復(fù)雜性首先建立在隧道協(xié)議復(fù)雜性的基礎(chǔ)之上。隧道協(xié)議中最為典型的有IPSEC、L2TP、PPTP 等。其中IPSEC 屬于第三層隧道協(xié)議，L2TP、PPTP 屬于第二層隧道協(xié)議。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的IP 數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。VPN 系統(tǒng)使分散布局的專用網(wǎng)絡(luò)架構(gòu)在公共網(wǎng)絡(luò)上安全通信。它采用復(fù)雜的算法來加密傳輸?shù)男畔ⅲ姑舾械臄?shù)據(jù)不會(huì)被竊聽。

1.3 怎樣實(shí)現(xiàn)VPN 聯(lián)網(wǎng)

VPN 的聯(lián)網(wǎng)方式大致有三種：固定IP 與固定IP；固定IP 與動(dòng)態(tài)IP；動(dòng)態(tài)IP 與動(dòng)態(tài)IP。第一種的聯(lián)網(wǎng)方式是比較傳統(tǒng)的方式，技術(shù)上實(shí)現(xiàn)最容易實(shí)現(xiàn)，目前的防火墻等設(shè)備就可以實(shí)現(xiàn)這種功能;第二種的VPN 聯(lián)網(wǎng)方式，對(duì)于目前大多數(shù)專業(yè)的VPN 廠商也基本能解決;而第三種方式即動(dòng)態(tài)IP 與動(dòng)態(tài)IP 之間的VPN 通訊卻成了很多廠商和科研機(jī)構(gòu)望而卻步的技術(shù)難題，實(shí)現(xiàn)起來并解決大規(guī)模的實(shí)際應(yīng)用就更加困難。VPN 通過IPSEC 隧道協(xié)議對(duì)IP 數(shù)據(jù)報(bào)進(jìn)行封裝，使之在INTERNET上傳輸，就好像一條通道一樣；VPN使用DES 加密算法保證機(jī)密性，MD5 信息摘要算法保證完整性，充分保證了數(shù)據(jù)的安全?，F(xiàn)在VPN 已成為非常流行的遠(yuǎn)程連接技術(shù)。

2 港口生產(chǎn)需求分析

2.1 企業(yè)現(xiàn)狀

國內(nèi)某港口是我國北方重要的客貨運(yùn)輸港，承載著我國北方內(nèi)陸貿(mào)易的重要任務(wù)。該港口在內(nèi)陸地區(qū)建立了多個(gè)無水港，使得內(nèi)陸地區(qū)的客戶不必親臨港口就可以辦理相關(guān)業(yè)務(wù)，以便促進(jìn)內(nèi)陸地區(qū)進(jìn)出口貿(mào)易的發(fā)展，從而進(jìn)一步提升港口的生產(chǎn)服務(wù)水平。

目前，該港口業(yè)務(wù)主要存在以下問題:

2.1.1 各個(gè)無水港與總部間的數(shù)據(jù)交換不暢、總部和各無水港的數(shù)據(jù)交流途徑簡單，而且在數(shù)據(jù)交換過程中存在安全隱患。撥號(hào)連接的方式速度慢、穩(wěn)定性差，嚴(yán)重堵塞了現(xiàn)有的交流渠道。2.1.2 各個(gè)無水港與總部間的數(shù)據(jù)交換時(shí)間固定，不能實(shí)現(xiàn)信息的實(shí)時(shí)獲取?？偛繉?duì)各無水港的數(shù)據(jù)不能實(shí)時(shí)獲取，各無水港也得不到總部的及時(shí)指導(dǎo)。2.1.3 沒有足夠的財(cái)力構(gòu)建DDN/SDH專網(wǎng)。如果總部與各個(gè)無水港之間為了業(yè)務(wù)需要采用DDN/SDH 專線，則要面臨昂貴的運(yùn)營及維護(hù)費(fèi)用，這對(duì)于該港口來說是無法承受的。

2.2 企業(yè)需求

虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和網(wǎng)絡(luò)。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的業(yè)務(wù)上，而不是網(wǎng)絡(luò)上。

3 VPN 解決方案

3.1 VPN 技術(shù)比較

目前企業(yè)實(shí)現(xiàn)VPN 聯(lián)網(wǎng)方案主要有SSL VPN 和IPSec VPN 兩種技術(shù)。后者出現(xiàn)較早，技術(shù)較成熟，但成本較高、維護(hù)復(fù)雜；前者則因?yàn)闊o需安全VPN 客戶端的便利性及低成本，迅速得到了廣泛應(yīng)用。因此，SSL VPN 能否完全替代IPSec VPN 成為業(yè)界近年多有討論的話題。目前，隨著SSL VPN 實(shí)用主義特征不斷加強(qiáng)，今后整個(gè)VPN 市場的一個(gè)顯著趨勢(shì)就是SSL VPN替代IPSec VPN，只是在某些高端市場的特定領(lǐng)域除外。

3.2 VPN 的四種場景

應(yīng)該說，VPN 技術(shù)的廣泛應(yīng)用與當(dāng)前企業(yè)的發(fā)展現(xiàn)狀直接相關(guān)，有四種場景是VPN 的典型適用對(duì)象。第一種是員工的外出辦公。越來越多員工會(huì)通過隨身攜帶的筆記本、PDA，甚至包括使用手機(jī)進(jìn)行遠(yuǎn)程移動(dòng)辦公，但是，企業(yè)的信息系統(tǒng)往往不能夠提供足夠的安全性。第二種是遠(yuǎn)程辦事處接入。遠(yuǎn)程辦事處涉及到很多場景，有的辦事處只有一、兩個(gè)人，屬于業(yè)務(wù)單一型機(jī)構(gòu)；有的辦事處有七、八個(gè)人，是一個(gè)完全獨(dú)立的小型局域網(wǎng)，業(yè)務(wù)范圍涉及財(cái)務(wù)、銷售等多種類型。第三種是遠(yuǎn)程局域網(wǎng)接入。這種場景其實(shí)也是IPSEC VPN 的主要應(yīng)用，即把兩個(gè)遠(yuǎn)程局域網(wǎng)組合成一個(gè)虛擬的子網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)之間的互通。此應(yīng)用多在總部與下級(jí)單位，或者總部與分、子公司之間。第四種則是網(wǎng)絡(luò)接入方式多種多樣，用戶群體存在多種類型，由于用戶的權(quán)限各有差異，所能登錄的應(yīng)用系統(tǒng)也就各有不同。這時(shí)，通過應(yīng)用系統(tǒng)本身的訪問控制或防火墻的網(wǎng)絡(luò)訪問控制是無法應(yīng)付這種場景的，因?yàn)橛脩羧后w不一定，分布的范圍也無法確定。應(yīng)該說，無論哪一種場景，都可對(duì)應(yīng)不同規(guī)模的企業(yè)，同時(shí)，不同規(guī)模企業(yè)對(duì)于安全需求的程度也有所差異，這就導(dǎo)致了SSL VPN 和IPSec VPN 目前各有其應(yīng)用的現(xiàn)狀。

3.3 方案規(guī)劃

與IPSEC VPN 相比，SSL VPN 更加適用于單機(jī)接入總部網(wǎng)絡(luò)的應(yīng)用需求，其使用標(biāo)準(zhǔn)的瀏覽器，無需安裝客戶端程序，即可通過SSL VPN隧道接入總部網(wǎng)絡(luò)訪問應(yīng)用。而IPSEC VPN 則適用于兩個(gè)固定的局域網(wǎng)之間構(gòu)建安全通道，同時(shí)SSL VPN 的算法在某些層面的安全性沒有IPSec VPN 那么高。雖說IPSec VPN 的強(qiáng)項(xiàng)在于遠(yuǎn)程局域網(wǎng)的接入，把各個(gè)不同虛擬的子網(wǎng)結(jié)合在一塊。但隨著SSL VPN 技術(shù)的發(fā)展，SSL VPN在這一層面已經(jīng)完全能夠替代IPSEC VPN 了，也就是說現(xiàn)在的SSL VPN 產(chǎn)品都能夠?qū)崿F(xiàn)Site to Site（子網(wǎng)之間的組網(wǎng)）。因此，選擇帶有SSL VPN 功能的防火墻產(chǎn)品部署在港口總部，各無水港通過互聯(lián)網(wǎng)采用專用機(jī)登陸的方式聯(lián)入總部，這樣既發(fā)揮了SSL VPN 的靈活性和易維護(hù)性，又保證了港口總部網(wǎng)絡(luò)的安全性，同時(shí)控制了投資成本。

4 結(jié)束語

運(yùn)用了成熟的技術(shù)、低成本的投入、安全的數(shù)據(jù)通道等特點(diǎn)，使得VPN 技術(shù)在港口企業(yè)得到了全面地應(yīng)用，VPN 技術(shù)也一定會(huì)成功地被其他行業(yè)廣泛應(yīng)用。

[1]張?jiān)鰻q.企業(yè)VPN 虛擬專用網(wǎng)技術(shù)應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009-05-15.