任慶輝

【摘要】當(dāng)前，信息技術(shù)的發(fā)展日新月異，互聯(lián)網(wǎng)更是普及世界每一個角落，為便于隨時與客戶或者相關(guān)合作者聯(lián)系，許多企業(yè)職工需要時刻與企業(yè)網(wǎng)絡(luò)保持暢通，無形之中遠程連接成本大為增加，也使得網(wǎng)絡(luò)更為復(fù)雜，在這種情況下，網(wǎng)絡(luò)管理和安全性成為亟待解決的首要問題。本文所介紹的移動VPN技術(shù)，是在某企業(yè)專網(wǎng)實踐基礎(chǔ)上，對該技術(shù)運用于企業(yè)專網(wǎng)領(lǐng)域的常規(guī)安全性以及互聯(lián)網(wǎng)安全性等兩方面進行了分析，介紹了VPN企業(yè)專網(wǎng)的安全性。

【關(guān)鍵詞】互聯(lián)網(wǎng);VPN;企業(yè)專網(wǎng);安全性

引言

目前，以移動通訊技術(shù)及互聯(lián)網(wǎng)技術(shù)為支柱的信息產(chǎn)業(yè)蓬勃發(fā)展，逐步滲透于人們的工作和生活等各個方面。隨著移動VPN技術(shù)的發(fā)展，不僅降低了企業(yè)專網(wǎng)資費，而且也帶給企業(yè)用戶高質(zhì)量的、移動的數(shù)據(jù)通道。隨之而來的VPN企業(yè)專網(wǎng)的安全性問題，引起了業(yè)界的高度關(guān)注。

1.移動VPN技術(shù)簡介

所謂的VPN技術(shù)（viriualPrivateNetwork），

也就是虛擬專用網(wǎng)技術(shù)，是在隧道技術(shù)基礎(chǔ)上，采用加密以及身份認證等方法，使私有數(shù)據(jù)在公網(wǎng)上通過“加密管道”得以安全傳輸，從而使網(wǎng)絡(luò)安全性達到私有網(wǎng)絡(luò)的級別，這樣一來，企業(yè)能夠利用公網(wǎng)構(gòu)建自身專網(wǎng)，從而介于公眾網(wǎng)與專用網(wǎng)之間，這樣不僅具備公眾網(wǎng)的方便快捷，也兼有專用網(wǎng)的安全性。

移動VPN（虛擬專用網(wǎng)絡(luò)技術(shù)）利用移動公網(wǎng)資源擴展，改變了任意兩個節(jié)點之間的傳統(tǒng)的連接方式，使其不再是端到端的物理鏈接。該技術(shù)是一種新型異地網(wǎng)絡(luò)聯(lián)接方式，按照不同的業(yè)務(wù)應(yīng)用，我們把移動VPN分為數(shù)據(jù)業(yè)務(wù)應(yīng)用以及基于智能網(wǎng)的話音業(yè)務(wù)應(yīng)用。

VPN技術(shù)的出現(xiàn)，解決了網(wǎng)絡(luò)互聯(lián)的安全問題，不僅具有傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全性，也具備其服務(wù)質(zhì)量，并且共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)簡單快捷，其成本也較低，所建立的數(shù)據(jù)通道安全可靠。VPN不僅降低了成本，也解決了用戶日益高漲的對網(wǎng)絡(luò)帶寬、接入服務(wù)的需求。VPN技術(shù)利用公共網(wǎng)絡(luò)資源，實現(xiàn)了通信技術(shù)的專用，其將分支機構(gòu)有效地連接，改變了各分支機構(gòu)物理上分散的狀態(tài)，從而使電子商務(wù)以及辦公一體化得以實現(xiàn)。當(dāng)前，VPN技術(shù)的實現(xiàn)基于hitemet，這種常見的VPN技術(shù)，存在用戶不能隨意漫游和移動的缺陷。

2.VPN技術(shù)在企業(yè)專網(wǎng)中的應(yīng)用

VPN基于公共網(wǎng)絡(luò)建立的企業(yè)專網(wǎng)，其安全性和有效連通性，依賴于各種安全協(xié)議，它利用隧道、身份認證和加密等技術(shù)，在公共網(wǎng)絡(luò)中構(gòu)建起安全隧道，從而實現(xiàn)了專用網(wǎng)絡(luò)的功能和作用。VPN的核心是隧道技術(shù)，作為一種規(guī)范，其以網(wǎng)絡(luò)層協(xié)議為基礎(chǔ)，該技術(shù)為建立和拆除兩點或兩端間的數(shù)據(jù)傳輸隧道提供了切實保障。

移動VPN技術(shù)由于問世時間不長，相關(guān)研究剛剛起步，目前對于移動VPN應(yīng)用的關(guān)注，多表現(xiàn)在其業(yè)務(wù)的解決方案上，而對其安全問題還缺乏應(yīng)有的重視?；诖嗽?，針對VPN企業(yè)專網(wǎng)的安全性問題，引起了業(yè)界的高度重視。

3.VPN應(yīng)用于企業(yè)專網(wǎng)的常規(guī)安全性分析

3.1 加密和解密技術(shù)

加密和解密技術(shù)的應(yīng)用，保障了VPN技術(shù)的安全。隧道技術(shù)構(gòu)建了兩點或者兩端間的數(shù)據(jù)傳輸?shù)膶Ｓ猛ǖ?，此外，還必須使兩邊的設(shè)備具有基于信任關(guān)系的加密和解密功能，當(dāng)前，VPN采用諸如IPSec協(xié)議等標(biāo)準(zhǔn)的Internet安全技術(shù)，通過加密、解密以及數(shù)字簽名等手段，規(guī)范了兩個IP工作站之間的連接，實現(xiàn)了點對點、端對端的有效連接，從而使VPN的安全性大為提高。

3.2 身份認證和安全策略

由于公共網(wǎng)絡(luò)平臺的安全性并無保障，因此，VPN常受到冒名連接，或者收到一些未經(jīng)授權(quán)的隧道建立請求?；诖嗽?，對于合法用戶，VPN技術(shù)嚴格規(guī)范了其安全認證體系，在VPN網(wǎng)絡(luò)中構(gòu)建了一個或者數(shù)個安全認證服務(wù)器。

為保障VPN的安全，其增強了驗證限制，包括請求訪問、用戶被準(zhǔn)許的撥接地點、IP分配以及用戶最長接入限制等驗證手段。VPN身份認證過程與用戶級別成正比，級別越高，認證過程越嚴格。

3.3 IPSec VPN技術(shù)的使用

在IPSec協(xié)議基礎(chǔ)上構(gòu)建的IPSec VPN，是由IPSec協(xié)議來確保隧道安全。作為一種保障數(shù)據(jù)安全性的機制，IPSec由IETF設(shè)計，在IP通訊基礎(chǔ)上，確保了端到端之間的數(shù)據(jù)傳輸?shù)陌踩?，其不僅支持數(shù)據(jù)加密，也保障了數(shù)據(jù)的完整性。在IPSec協(xié)議框架下，密鑰只由發(fā)送和接受雙方掌握。接收方之所以收到完整的數(shù)據(jù)，并且知道數(shù)據(jù)來自發(fā)送方，完全得益于有效的驗證數(shù)據(jù)。

4.VPN應(yīng)用于企業(yè)專網(wǎng)的互聯(lián)網(wǎng)安全性分析

我們以某企業(yè)專網(wǎng)作為例子來講，隨著信息化程度的提高，其互聯(lián)網(wǎng)內(nèi)部的應(yīng)用軟件也隨之增多，如VOD、OA、文件閱讀、視頻會議以及軟件下載、網(wǎng)絡(luò)游戲等。通過運用防火墻技術(shù)，互聯(lián)網(wǎng)可以將網(wǎng)絡(luò)分為內(nèi)外兩部，從而使上述應(yīng)用只能被連接在內(nèi)網(wǎng)的用戶使用，而其它駐外單位采用基于通過Internet接入的方式，因此不在內(nèi)網(wǎng)服務(wù)范圍之內(nèi)。以下兩種連接方式是針對企業(yè)駐外單位生產(chǎn)管理方式的差異，以及對網(wǎng)絡(luò)帶寬的不同需求而設(shè)計的。

（1）對于二級或者二級半的固定駐地的單位，因其地處大城市，具備網(wǎng)絡(luò)就地接入的良好條件，因此應(yīng)首先構(gòu)建內(nèi)部局域網(wǎng)絡(luò)，而后利用支持IPsec VPN功能的防火墻，將出口與長慶互聯(lián)網(wǎng)相接。若無法構(gòu)建局域網(wǎng)，也可通過一臺或數(shù)臺單機，從而與局內(nèi)網(wǎng)絡(luò)連接。該連接方式如圖1所示。

圖1 某企業(yè)專網(wǎng)二級和二級半單位的連接方式

圖2 某企業(yè)專網(wǎng)臨時住址單位的連接方式

A單位在一臺單機內(nèi)安裝了VPN協(xié)議客戶端，從而連接了局內(nèi)網(wǎng)絡(luò)的VPN。而B單位則是將IPSec VPN協(xié)議安裝到防火墻上，并通過防火墻將內(nèi)部局域網(wǎng)絡(luò)的出口與局內(nèi)網(wǎng)絡(luò)相接。

（2）對于無固定駐址，或者短期固定住址的單位，因其駐地并不穩(wěn)定，工作區(qū)域一般距離城鎮(zhèn)較遠，從而限制了通訊手段，基于此原因，網(wǎng)絡(luò)如何接入應(yīng)是亟待解決的問題，其連接可利用無線電臺、租用衛(wèi)星電路，也可采用租用DDN專線、撥號上網(wǎng)，以及通過接入帶寬達11Mbps-72Mbps，且30KM范圍內(nèi)無阻擋的無線接入等方式。該連接方式設(shè)計如圖2所示。

上述連接方式的運用，使得各駐外單位的網(wǎng)絡(luò)能夠有效與局內(nèi)網(wǎng)絡(luò)相接。相接后，使局內(nèi)單位和駐外單位能夠同步網(wǎng)上辦公、召開視頻會議以及現(xiàn)場辦公，也使二者實現(xiàn)了文件收發(fā)、閱覽和財務(wù)結(jié)算的同步統(tǒng)一，提升了企業(yè)信息化的整體水平，提高了決策效率，促進了企業(yè)管理水平的提高。

該連接方式安全可靠，速度極高，這依賴于采用加密通道與密碼驗證二者相結(jié)合的方法，因此，避免了內(nèi)容遭到泄漏的危險，對速度問題也大可放心。該接入方式操作簡單便捷，非專業(yè)人員即可擔(dān)任，且沒有必要投入更多的、復(fù)雜的專業(yè)設(shè)備。但在分析網(wǎng)絡(luò)接入規(guī)劃安全性問題時，切記各自行事，而要統(tǒng)一進行，應(yīng)從以下幾點著手：

（1）具體實施VPN之所以相對容易，控制軟件起著至關(guān)重要的作用，該軟件固化于網(wǎng)絡(luò)設(shè)備上，確保了VPN技術(shù)的實現(xiàn)。網(wǎng)絡(luò)設(shè)計伊始，應(yīng)充分考慮到可能需要的VPN功能，否則一旦網(wǎng)絡(luò)設(shè)計完成，雖然可以升級原有的路由、防火墻以及服務(wù)器，使之具備VPN功能，但是不僅增加了成本，而且也無法保證其性能。

（2）原有網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)量，隨著VPN技術(shù)的隧道通信，以及加密、解密的應(yīng)用而大為增加，30%左右的網(wǎng)絡(luò)硬件負載的增加，極有可能使原有網(wǎng)絡(luò)的性能受到影響。因此，為構(gòu)建隧道通信，更好地完成加密、解密等任務(wù)，在規(guī)劃網(wǎng)絡(luò)初期就應(yīng)考慮采用專用的VPN設(shè)備。

（3）VPN的實現(xiàn)，需要充分考慮原有網(wǎng)絡(luò)的現(xiàn)況。對于油田的各個單位，其網(wǎng)絡(luò)建設(shè)水平存在差異，有的處于起步階段，有的則達到一定規(guī)模。多種協(xié)議可以實現(xiàn)VPN，其也允許多種協(xié)議的共同存在，所以說，在選擇VPN協(xié)議實施之際，應(yīng)充分考慮到既有網(wǎng)絡(luò)協(xié)議與所選VPN協(xié)議是否匹配的問題。

（4）設(shè)計和規(guī)范認證策略，是解決VPN安全問題的切實保障，對于準(zhǔn)備構(gòu)建VPN的各個駐外單位，應(yīng)審慎進行安全認證策略的規(guī)劃，為確保網(wǎng)絡(luò)的安全和負載之間的平衡性，應(yīng)選擇合理的VPN技術(shù)所采用的密鑰技術(shù)，選取適用的加密方法和適當(dāng)?shù)拿荑€長度。

（5）嚴格管理安全認證體系，完整地劃定出部門互聯(lián)授權(quán)與否的界限 。

（6）目前，不同的網(wǎng)絡(luò)廠家在設(shè)計生產(chǎn)其VPN產(chǎn)品時，所選用的算法各異，且加入了一些特殊的性能，因而造成不同的廠商推出的VPN在進行銜接時，出現(xiàn)了性能不佳的問題，有的甚至根本無法銜接。

（7）有些廠商設(shè)計生產(chǎn)出VPN交換機，以提升VPN的交換能力。該產(chǎn)品通過隧道交換，實現(xiàn)了訪問直接導(dǎo)向到對應(yīng)的隧道終端，這樣一來，從而使不同的網(wǎng)絡(luò)用戶能夠進入不同的網(wǎng)段。

（8）構(gòu)建交換式的VPN，（下轉(zhuǎn)第85頁）（上接第83頁）VPN交換機至關(guān)重要，其為下一代局域網(wǎng)絡(luò)的發(fā)展打下了堅實的基礎(chǔ)，奠定了遠程訪問的基石。當(dāng)前，各大網(wǎng)絡(luò)廠商紛紛推出交換機集成平臺，將路由、VPN和防火墻融為一個系統(tǒng)加以管理，其內(nèi)置的網(wǎng)絡(luò)地址翻譯功能，能夠在網(wǎng)絡(luò)之中的任意地點，隨意終止用戶的VPN連接，這樣一來，使得新一代的VPN能夠經(jīng)濟高效地接納原有遠程訪問網(wǎng)絡(luò)，同時接納辦公室和辦公室之間的路由型專用網(wǎng)絡(luò)?；诖嗽颍脩粼谶x擇VPN產(chǎn)品時，不必完全聽信廠家出具的網(wǎng)絡(luò)評測結(jié)果的性能參數(shù)，而是應(yīng)結(jié)合自身需求，客觀分析產(chǎn)品性能。

5.結(jié)語

互聯(lián)網(wǎng)的高速發(fā)展，決定了VPN必將成為未來發(fā)展的趨勢，它不僅具有傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全性，也具備其服務(wù)質(zhì)量，并且共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)簡單快捷，其成本也較低，所建立的數(shù)據(jù)通道安全可靠。VPN不僅能夠降低成本，也解決了用戶對網(wǎng)絡(luò)帶寬、接入服務(wù)的迫切需求，所以說，未來網(wǎng)絡(luò)的發(fā)展必將以VPN為方向。

參考文獻

[1]朱江，李方偉，余艷英.基于GPRS網(wǎng)的VPN[J].重慶通信業(yè)，2004（2）.

[2]袁小樂.基于移動智能網(wǎng)的VPN業(yè)務(wù)[J].通信世界，2001（6）.

[3]蔣青泉.虛擬專用通信網(wǎng)的構(gòu)建[J].長沙通信職業(yè)技術(shù)學(xué)院學(xué)報，2002（1）.