胡婧

北京交通大學(xué) 北京 100044

0 引言

隨著網(wǎng)絡(luò)技術(shù)在企業(yè)管理中的不斷普及，信息化的應(yīng)用層次不斷深入，各種局域網(wǎng)及其應(yīng)用系統(tǒng)已經(jīng)得到廣泛應(yīng)用，應(yīng)用領(lǐng)域也從傳統(tǒng)的個別部門的簡單業(yè)務(wù)，逐漸向涵蓋企業(yè)關(guān)鍵業(yè)務(wù)的整體網(wǎng)絡(luò)系統(tǒng)擴展。尤其是以 Internet為代表的全球性的信息共享，為企業(yè)利用網(wǎng)絡(luò)進(jìn)行信息交換和管理提供了有利的條件。例如一般企業(yè)的內(nèi)部管理系統(tǒng)，銀行的金融業(yè)務(wù)系統(tǒng)，證券公司的證券交易系統(tǒng)，甚至黨政機關(guān)的信息系統(tǒng)等，越來越多的企業(yè)建立了自己的內(nèi)部網(wǎng)絡(luò)，并與 Internet相連。因此，如何在充分利用企業(yè)的現(xiàn)有資源，不需要高額投資的基礎(chǔ)上，建立高效，安全，易維護(hù)的企業(yè)內(nèi)部網(wǎng)絡(luò)，已經(jīng)成為影響企業(yè)未來發(fā)展的一個重要課題。然而，傳統(tǒng)的企業(yè)內(nèi)部網(wǎng)絡(luò)配置中，仍然存在一些需要解決的問題。

1 傳統(tǒng)企業(yè)網(wǎng)絡(luò)介紹

傳統(tǒng)企業(yè)網(wǎng)絡(luò)的接入方式十分昂貴。在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)配置中，要使各部門局域網(wǎng)之間進(jìn)行遠(yuǎn)程訪問，通常采用的一種方法是DDN(數(shù)字?jǐn)?shù)據(jù)網(wǎng))專線，它由數(shù)字傳輸電路和相應(yīng)的數(shù)字交叉復(fù)用設(shè)備組成，其中，數(shù)字傳輸主要以光纜傳輸電路為主，數(shù)字交叉連接復(fù)用設(shè)備對數(shù)字電路進(jìn)行半固定交叉連接和子速率的復(fù)用。DDN作為計算機數(shù)據(jù)通信聯(lián)網(wǎng)傳輸?shù)幕A(chǔ)，提供點對點、一點對多點的大容量信息傳送通道，如利用全國DDN網(wǎng)組成的海關(guān)、外貿(mào)系統(tǒng)網(wǎng)絡(luò)。各省的海關(guān)、外貿(mào)中心首先通過省級DDN網(wǎng)長途中繼，到達(dá)國家DDN網(wǎng)骨干核心節(jié)點，然后由國家網(wǎng)管中心按照各地所需通達(dá)的目的地分配路由，建立一個靈活的全國性海關(guān)外貿(mào)數(shù)據(jù)信息傳輸網(wǎng)絡(luò)，并且可通過國際出口局與海外公司互通信息，足不出戶就可進(jìn)行外貿(mào)交易。但是在整體網(wǎng)絡(luò)的資源利用率上，DDN獨享資源，信道專用將會造成一部分網(wǎng)絡(luò)資源的浪費，而且用戶需要租用一條專用通信線路，因此通訊及維護(hù)費用非常昂貴。

傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全性存在問題。計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引伸，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。企業(yè)網(wǎng)絡(luò)安全是企業(yè)內(nèi)部網(wǎng)絡(luò)賴以生存的保障，只有網(wǎng)絡(luò)安全得到保障，企業(yè)網(wǎng)絡(luò)才能更好地實現(xiàn)自身的價值。

影響企業(yè)網(wǎng)絡(luò)安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，主要包括以下幾個方面：①病毒的感染。如蠕蟲病毒，木馬程序等，計算機病毒一直是計算機系統(tǒng)安全最直接的威脅。病毒依靠網(wǎng)絡(luò)迅速傳播，它很容易的通過代理服務(wù)器以軟件下載，郵件接收等方式進(jìn)入企業(yè)網(wǎng)絡(luò)，竊取企業(yè)機密文件等，從而給企業(yè)造成很大的損失。②來自外部網(wǎng)絡(luò)的攻擊。外部網(wǎng)絡(luò)入侵者偽裝為合法用戶，惡意修改網(wǎng)絡(luò)數(shù)據(jù)，竊取或破壞企業(yè)機密信息等。③來自企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊。在企業(yè)局域網(wǎng)內(nèi)部，如非法盜用別人的用戶口令，以合法身份盜用機密信息，破壞信息內(nèi)容等。實際上，企業(yè)網(wǎng)絡(luò)的安全性并不是十分樂觀，目前歐州各國的小型企業(yè)每年因計算機病毒導(dǎo)致的經(jīng)濟(jì)損失高達(dá)上百億歐元，而這些病毒主要是通過電子郵件進(jìn)行傳播的。而包括從身份盜用到網(wǎng)絡(luò)間諜在內(nèi)的其他網(wǎng)絡(luò)安全問題造成的損失則很難量化，網(wǎng)絡(luò)安全問題帶來的損失由此可見一斑。

2 虛擬網(wǎng)絡(luò)技術(shù)介紹

為了解決企業(yè)內(nèi)部網(wǎng)絡(luò)存在的以上問題，可以采用更為先進(jìn)的虛擬專用網(wǎng)絡(luò)(Virtual Private Network, VPN)技術(shù)。它是一種利用 Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，為用戶提供具有安全性和可靠性的專用網(wǎng)絡(luò)的技術(shù)。顧名思義，它并不是像前面提到的數(shù)字?jǐn)?shù)據(jù)網(wǎng)(DDN)那樣的真正的專用網(wǎng)絡(luò)，但是卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。所謂虛擬，是指在虛擬專用網(wǎng)中，不再需要在兩個節(jié)點之間建立傳統(tǒng)的端到端的物理鏈路，而是利用公共網(wǎng)的資源動態(tài)組成的。所謂專用網(wǎng)絡(luò)，是指用戶可以根據(jù)自己的需求，建立一個“量身定做”的專用網(wǎng)絡(luò)。由于 VPN是在公共網(wǎng)絡(luò)上臨時建立的專用虛擬網(wǎng)絡(luò)，企業(yè)用戶就省去了租用專線的費用，而所需的資金支出，僅僅是需要購買一套 VPN設(shè)備，以及向企業(yè)所在地的網(wǎng)絡(luò)服務(wù)提供商(ISP)支付一定的上網(wǎng)費用。相比DDN專線而言，采用VPN技術(shù)的運營成本大大降低。

在確保網(wǎng)絡(luò)安全性方面，VPN主要采用隧道技術(shù)，加解密技術(shù)，密鑰管理技術(shù)以及使用者與設(shè)備身份認(rèn)證技術(shù)。實現(xiàn) VPN的最關(guān)鍵部分是在公共網(wǎng)絡(luò)上建立虛信道，而建立虛信道就是利用隧道技術(shù)實現(xiàn)的，隧道是利用一種協(xié)議傳輸另一種協(xié)議的技術(shù)，即用隧道協(xié)議來實現(xiàn) VPN功能。為創(chuàng)建隧道，隧道的客戶機和服務(wù)器必須使用同樣的隧道協(xié)議。常用的VPN隧道協(xié)議主要包括第二層隧道協(xié)議--L2TP，第三層隧道協(xié)議--IPSec以及安全套接層協(xié)議--SSL。

一種方案是采用L2TP協(xié)議，它主要由L2TP訪問集中器(L2TP Access Concentrator, LAC)和L2TP網(wǎng)絡(luò)服務(wù)器(L2TP Network Server, LNS)構(gòu)成，企業(yè)用戶通過公用電話網(wǎng)或ISDN撥號呼叫本地接入服務(wù)器LAC；LAC接受呼叫并進(jìn)行基本的識別過程，這一過程可以采用幾種標(biāo)準(zhǔn)，如域名、呼叫線路識別(CLID)或撥號 ID業(yè)務(wù)(DNIS)等，當(dāng)用戶被確認(rèn)為合法企業(yè)用戶時，就建立一個通向LNS的撥號VPN隧道，LAC將用戶的PPP幀封裝后通過隧道傳送到LNS，后者去掉封裝包頭，取出PPP幀，再去掉PPP幀頭，最后獲得網(wǎng)絡(luò)層數(shù)據(jù)包。L2TP的優(yōu)點在于通過使用Nr(下一個希望接受的信息序列號)和Ns(當(dāng)前發(fā)送的數(shù)據(jù)包序列號)字段進(jìn)行流量和差錯控制。雙方通過序列號來確定數(shù)據(jù)包的順序和緩沖區(qū)，一旦丟失數(shù)據(jù)，根據(jù)序列號可以進(jìn)行重發(fā)。作為PPP的擴展協(xié)議，L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶身份認(rèn)證。L2TP定義了控制包的加密傳輸，每個被建立的隧道分別生成一個獨一無二的隨機密鑰，以便對付欺騙性的攻擊。但是由于它對傳輸中的數(shù)據(jù)并不進(jìn)行加密，所以更加安全的一種做法是與IPSce協(xié)議相結(jié)合使用。IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議認(rèn)證頭(Authentication Header, AH)、封裝安全載荷(Encapsulating Security Payload, ESP)、因特網(wǎng)密鑰交換(Internet Key Exchange, IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。認(rèn)證機制使 IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機制通過對數(shù)據(jù)進(jìn)行加密運算來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。IPsec協(xié)議中的AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證；ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)可靠性保證，IKE協(xié)議通過一系列數(shù)據(jù)的交換，最終計算出雙方共享的密鑰。

對于一般企業(yè)來說，以上兩種協(xié)議相結(jié)合的虛擬網(wǎng)絡(luò)配置方案，已經(jīng)提供了足夠的網(wǎng)絡(luò)訪問安全性，可以保證在公網(wǎng)中建立的虛信道不被非法用戶篡改。但是，如果需要訪問內(nèi)部網(wǎng)絡(luò)人員的身份多種多樣，比如可能有自己企業(yè)的員工、控股公司的工作人員、供貨商、分銷商、商業(yè)合作伙伴等，那么除了保證網(wǎng)絡(luò)訪問的安全性以外，還要具備根據(jù)不同用戶的不同身份，給予不同的訪問權(quán)限，以達(dá)到保護(hù)敏感數(shù)據(jù)安全性的目的。這時涉及到另一種方案，采用安全套接層協(xié)議(SSL)的VPN網(wǎng)絡(luò)。在安全性方面，SSL安全通道是在客戶與所訪問的網(wǎng)絡(luò)資源之間建立的，無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的，客戶對資源的每一次操作都需要經(jīng)過安全的身份驗證和加密，這樣可以確保點到點的真正安全。不同身份的用戶雖然都可以通過SSL安全同道進(jìn)入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上，不僅可以控制訪問人員的權(quán)限，還可以對訪問人員的每個訪問，做的每筆交易、每個操作進(jìn)行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性，為事后追蹤提供了依據(jù)。

3 結(jié)論

通過上面提到的幾種方案，可以說明 VPN技術(shù)已經(jīng)能夠提供足夠的網(wǎng)絡(luò)安全保障，可以保證用戶數(shù)據(jù)不被非法訪問與修改，所以用戶不必?fù)?dān)心企業(yè)內(nèi)部的數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩?。另外，隨著ADSL、DWDM等技術(shù)的大規(guī)模應(yīng)用和推廣，互聯(lián)網(wǎng)帶寬的不斷增加，企業(yè)用戶不再需要花費大量的經(jīng)費去投資自己的專用網(wǎng)絡(luò)，甚至花費巨額的長途話費進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)接入。企業(yè)用戶可以根據(jù)自身需求，選擇適合自己的虛擬網(wǎng)絡(luò)應(yīng)用，這樣不僅會大大節(jié)省廣域網(wǎng)的建設(shè)和運行維護(hù)費用，而且增強了網(wǎng)絡(luò)的可靠性和安全性。從企業(yè)自身的發(fā)展來看，VPN會加快企業(yè)網(wǎng)的建設(shè)步伐，使得集團(tuán)公司不僅僅只是建設(shè)內(nèi)部局域網(wǎng)，而且能夠很快地把全國各地分公司的局域網(wǎng)連起來，從而真正發(fā)揮整個網(wǎng)絡(luò)的作用。在不遠(yuǎn)的將來，VPN技術(shù)必將成為企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)的最佳解決方案之一。

[1]謝希仁.計算機網(wǎng)絡(luò)(第 4版)[M].北京:電子工業(yè)出版社.2003.

[2]王晶晶.基于IPSec協(xié)議的VPN技術(shù)探索與研究[J].電腦知識與技術(shù).2008.

[3]羅愛玲,馬范援.虛擬專網(wǎng)安全性的研究與實現(xiàn)[J].計算機工程.2004.

[4]張建軍,田偉.VPN 在企業(yè)信息網(wǎng)絡(luò)建設(shè)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2006.