◆黃海軍

網(wǎng)絡安全技術在連鎖企業(yè)中的應用

◆黃海軍

（云南工商學院 云南 651700）

本文針對企業(yè)服務器直接放置在公網(wǎng)存在的安全隱患問題、企業(yè)類關鍵數(shù)據(jù)在交互時容易導致數(shù)據(jù)的泄露問題進行分析，通過采用防火墻的NAT技術，以及L2TP OVER IPSec和GRE OVER IPSec實現(xiàn)企業(yè)私網(wǎng)數(shù)據(jù)穿越公網(wǎng)，在公網(wǎng)中屏蔽了企業(yè)服務器地址，使公網(wǎng)不能直接攻擊企業(yè)服務器，實現(xiàn)了對企業(yè)服務器的安全加固。加強了企業(yè)總部與個人及分支機構間交互數(shù)據(jù)時的安全性，采用域管理機制及數(shù)字證書與端口隔離技術來加強企業(yè)內(nèi)部網(wǎng)的安全性。通過上述安全策略手段構建了一個安全、健壯、穩(wěn)定的企業(yè)網(wǎng)絡，提升了企業(yè)的服務品質(zhì)。

網(wǎng)絡安全；IPSec；VPN

隨著計算機網(wǎng)絡應用的不斷普及，有效地支撐了企業(yè)的發(fā)展，并且起到了極為重要的作用，但網(wǎng)絡帶來的安全問題也日漸凸顯，如何構建一個穩(wěn)定、安全、可靠的企業(yè)網(wǎng)絡，已成為當下企業(yè)組網(wǎng)最為關注的問題，目前企業(yè)網(wǎng)遠程聯(lián)網(wǎng)存在聯(lián)網(wǎng)成本高，傳輸安全性低的普遍性問題，企業(yè)服務器暴露在公網(wǎng)里也容易受到攻擊，企業(yè)內(nèi)部各部門之間的訪問安全性也需要解決，因此，使用網(wǎng)絡安全技術解決企業(yè)的遠程連接安全性、服務器安全性、不同部門之間訪問安全性，為解決上述幾個問題，同時也為了最大限度保證企業(yè)網(wǎng)能夠安全穩(wěn)定運行，可以采用IPSec VPN 安全遠程加密訪問技術，加密保護數(shù)據(jù)包的內(nèi)容，使用防火墻的DMZ區(qū)域保證服務器安全，DMZ（Demilitarized Zone）中文名稱為“隔離區(qū)”，將服務器專門放于這個區(qū)域以供外網(wǎng)訪問，通過相應安全策略保障服務器可以被安全地訪問。通過VLAN安全隔離技術解決不同部門之間訪問安全性問題。

1 IPSec簡介

IPSec（Internet Protocol Security）VPN是指使用IPSec協(xié)議來達到遠程訪問的一種VPN技術。IPSec既能保護數(shù)據(jù)包內(nèi)容，同時也能對通過自身的數(shù)據(jù)包進行篩選，選擇通過驗證的數(shù)據(jù)包，防止網(wǎng)絡中的惡意攻擊。企業(yè)通過對數(shù)據(jù)進行加密，安全協(xié)議及動態(tài)密鑰的管理來實現(xiàn)數(shù)據(jù)傳輸，是種安全可靠的傳輸方式。通過使用對稱加密算法和非對稱加密算法來保證數(shù)據(jù)傳輸?shù)乃矫苄浴Ｊ褂肏ash散列函數(shù)認證，保障數(shù)據(jù)的安全性和完整性。

IPSec協(xié)議使用AH（Authentication Header）協(xié)議為數(shù)據(jù)傳輸提供完整性的保障和認證安全的服務，并且能阻止重放攻擊。并且為IP數(shù)據(jù)包提供數(shù)據(jù)源認證服務，通過在傳輸過程中加入一個共享密鑰來確保對數(shù)據(jù)源的認證；數(shù)據(jù)完整性服務，通過MD5的校對來保障數(shù)據(jù)的一致性，防止修改、刪除信息；抗重放服務：由AH報頭序列號來實現(xiàn)，能保證每個IP包的唯一性。

IPSec協(xié)議使用ESP（Encapsulating Security Payload）協(xié)議為數(shù)據(jù)傳輸提供加密，保障數(shù)據(jù)傳輸完整性和源認證三大服務，并防止重放攻擊。

IPSec協(xié)議使用IKE互聯(lián)網(wǎng)密鑰交互協(xié)議為AH和ESP模式下密鑰提供生成、分發(fā)和管理。IKE是3個協(xié)議的混合體，分別是密鑰生成協(xié)議（Oakley），密鑰管理協(xié)議（ISAKMP），密鑰交換協(xié)議（SKEME）。IKE將生成的密鑰保存在安全聯(lián)盟（SA），方便數(shù)據(jù)傳輸時使用。

2 VPN簡介

VPN即虛擬專用網(wǎng)，通過公網(wǎng)組建企業(yè)私有網(wǎng)絡，實現(xiàn)安全通信，降低組網(wǎng)費用。在VPN（Virtual Private Network）出現(xiàn)之前，跨越Internet的數(shù)據(jù)傳輸只能依靠現(xiàn)有物理網(wǎng)絡，具有很大的不安全因素。企業(yè)的總部和分支機構位于不同區(qū)域（比如位于不同的國家或城市），當分支機構員工需訪問總部服務器的時候，數(shù)據(jù)傳輸要經(jīng)過Internet。由于互聯(lián)網(wǎng)中存在很多的不安全問題，則當分支機構向總部服務器發(fā)送訪問請求時，報文容易被網(wǎng)絡中的黑客竊取或篡改。最終造成數(shù)據(jù)泄密、重要數(shù)據(jù)被破壞等后果。VPN的基本原理是利用隧道（Tunnel）技術，對傳輸報文進行封裝，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實現(xiàn)報文的安全傳輸。隧道技術使用一種協(xié)議封裝另外一種協(xié)議報文（通常是IP報文），而封裝后的報文也可以再次被其他封裝協(xié)議所封裝。對用戶來說，隧道是其所在網(wǎng)絡的邏輯延伸，在使用效果上與實際物理鏈路相同。

3 安全技術應用

3.1 企業(yè)網(wǎng)絡安全現(xiàn)狀分析

該企業(yè)為全省連鎖企業(yè)，總部在昆明，在各市設有分支機構，企業(yè)將服務器配置公網(wǎng)IP為企業(yè)提供相關應用服務。同時為實現(xiàn)總部與分支機構及個人業(yè)務數(shù)據(jù)的交互，在總部與分支機構的路由器上采用GRE VPN 與L2TP VPN的方式實現(xiàn)企業(yè)私網(wǎng)數(shù)據(jù)在公網(wǎng)中承載與交互。在企業(yè)總部有財務部、業(yè)務部、技術部等部門，各部門之間的主機可以相互直接訪問。該網(wǎng)絡組建運營后，經(jīng)了解后發(fā)現(xiàn)公司服務器很容易遭受攻擊，影響到企業(yè)的正常運營。同時，公司負責人要求在公司中承載企業(yè)私網(wǎng)數(shù)據(jù)時要保證其數(shù)據(jù)不被泄露，并要求加強財務部門數(shù)據(jù)的安全性。針對上述要求，本文提出了構建安全、可靠、穩(wěn)定的企業(yè)網(wǎng)絡安全設計規(guī)劃，來為企業(yè)網(wǎng)絡的安全保駕護航。

3.2 遠程訪問安全應用

為避免企業(yè)服務器直接暴露在公網(wǎng)，在此安全設計中購置了華為USG6370防火墻來加強服務器的安全。防火墻可以在企業(yè)私有網(wǎng)絡與公網(wǎng)間實施安全防范機制，可以將企業(yè)網(wǎng)絡分區(qū)域管理，分為內(nèi)部區(qū)域，外部區(qū)域，DMA區(qū)，不同區(qū)域的安全級別不同，在此安全設計中，將企業(yè)的WEB、郵件服務器放置在DMZ區(qū)域中，而企業(yè)的FTP服務器、數(shù)據(jù)庫服務器、DHCP服務器放置在內(nèi)部區(qū)域，為保證外部區(qū)域的用戶能訪問WEB等服務器，在防火墻上配置NAT SERVER技術、將WEB等服務器的私有地址及端口映射到防火墻外部區(qū)域的公網(wǎng)地址及端口上，使得WEB等DMZ內(nèi)的服務器在公網(wǎng)及企業(yè)內(nèi)網(wǎng)中不可見，讓其公網(wǎng)用戶與企業(yè)內(nèi)網(wǎng)用戶只知曉這些服務器的公網(wǎng)地址，不知曉其真實的私網(wǎng)地址。公網(wǎng)用戶與企業(yè)內(nèi)網(wǎng)用戶不能直接訪問，進而有效避免在公網(wǎng)及企業(yè)內(nèi)網(wǎng)中可以直接攻擊這些服務器，保障了業(yè)務的正常使用。為了使企業(yè)內(nèi)部網(wǎng)絡用戶能訪問公網(wǎng)中的資源，在防火墻上配置了一對多的端口NAT技術，使得一個公網(wǎng)地址可以映射多個企業(yè)私網(wǎng)地址，保障了企業(yè)內(nèi)部網(wǎng)絡用戶可以輕松地訪問公網(wǎng)中豐富的資源，同時使公網(wǎng)不能訪問企業(yè)內(nèi)網(wǎng)中的資源，保護了企業(yè)內(nèi)網(wǎng)數(shù)據(jù)的安全。為響應企業(yè)負責人要求加強總部與分支及總部與個人業(yè)務交互時數(shù)據(jù)安全的要求，在原來的GRE，L2TP VPN技術基礎上進行整改，采用IPSec技術來承載GRE與L2TP數(shù)據(jù)。IPSec是一種網(wǎng)絡層的安全保障機制，可以在一對通信節(jié)點之間提供一個或多個安全的通信路徑。一個系統(tǒng)能選擇其所需要的安全協(xié)議，確定安全服務所使用的算法，并為相應安全服務配置所需密鑰。IPSec的ESP協(xié)議可實現(xiàn)訪問控制，機密性、數(shù)據(jù)完整性、數(shù)據(jù)來源等驗證功能。在現(xiàn)有安全系統(tǒng)中采用該技術無須增加新設備，而且不需要對原來的配置進行大量的修改，只需要在原來的設備上增加IPSec的配置，用GRE來封裝企業(yè)私網(wǎng)數(shù)據(jù)，再通過IPSec來承載GRE，使得企業(yè)的私網(wǎng)數(shù)據(jù)得到了IPSec保護的同時又實現(xiàn)了企業(yè)私網(wǎng)數(shù)據(jù)穿越公網(wǎng)，有效地保障了企業(yè)與分支機構間數(shù)據(jù)交換的安全，而對于個人用戶想與企業(yè)總部間進行私網(wǎng)數(shù)據(jù)的交互，采用L2TP OVER IPSec的方式解決。

3.3 企業(yè)內(nèi)部網(wǎng)絡安全應用

為加強財務部門及各部門間的數(shù)據(jù)安全，通過VLAN技術為每部門劃分一個VLAN，每一個VLAN都有其對應的一個廣播域，有效控制廣播域范圍。一旦某部門遭受廣播攻擊時只會影響到該部門的主機，不會影響到別的部門業(yè)務的正常使用。為了加強財務部門的安全性，在財務部門各用戶所連接的交換機上啟動端口隔離技術，即使這些用戶主機處于同一個廣播域，也不能相互訪問，進一步加強了財務部門業(yè)務數(shù)據(jù)交互的安全，同時為加強財務部門服務器的安全性，在財務部門服務器啟用數(shù)字證書功能，通過數(shù)字證書的方式對訪問財務部門服務器的用戶進行身份驗證，使得所有的數(shù)據(jù)傳輸都不可抵賴，使數(shù)據(jù)具有機密性，防篡改。而財務部門各用戶訪問財務系統(tǒng)的服務器時，采用HTTPS訪問協(xié)議進行訪問，HTTPS協(xié)議比HTTP協(xié)議有更好的安全性，在通信的過程中為財務部門服務器與財務部門用戶數(shù)據(jù)的交互提供了身份認證，數(shù)據(jù)加密等功能，保障了通信過程中數(shù)據(jù)的安全可靠。

為加強企業(yè)內(nèi)各主機的安全與內(nèi)網(wǎng)的安全性，通過域管理方式管理企業(yè)各用戶主機，用戶通過域管理員分配的賬號，權限登錄客戶端，訪問域內(nèi)的授權資源，通過使用域模式，不僅使得資源管理更加集中統(tǒng)一，同時也使得普通組管理模式下難于實現(xiàn)的管理難題得以解決，通過域內(nèi)的組策略方式，可以禁止域內(nèi)計算機上運行非法程序，統(tǒng)一域內(nèi)所有計算機的桌面，IE主頁，禁止用戶修改注冊表，禁止用戶使用U盤等，可以將企業(yè)內(nèi)用戶都需要使用的軟件集中發(fā)給用戶，在方便管理企業(yè)用戶的同時，有效地提升了企業(yè)內(nèi)網(wǎng)的安全性與健壯性。

4 總結

網(wǎng)絡安全技術是目前保護企業(yè)網(wǎng)絡的安全保障，將不同的網(wǎng)絡安全技術進行綜合運用，可以有效地保護遠程網(wǎng)絡訪問安全性，更加有效地保護了內(nèi)部網(wǎng)絡，也非常有效地保護了服務器，不受到外網(wǎng)的攻擊，提高了整個網(wǎng)絡安全性能，

通過此次的網(wǎng)絡系統(tǒng)安全改造，網(wǎng)絡安全性比升級前得到了良好的改善，特別是服務器日志的攻擊記錄明顯下降，響應速度也大大提升，系統(tǒng)的登錄賬號密碼也得到了安全保障。

[1]張韜.NAT穿越技術在IPSec VPN中的意義與實現(xiàn)[J].電腦知識與技術：學術版，2019，15（11）：17-18

[2]羅濤.跨區(qū)域企業(yè)中VPN技術的有效運用現(xiàn)代研究.科學與信息化，2017（7）：21-21

[3]岳瑩，孫廣波，楊敏，王浩，楊瑾.VPN技術在企業(yè)專網(wǎng)建設中的應用研究[J].移動通信，2015，0（21）：49-54

[4]王飛.VPN在中小型企事業(yè)單位中的應用研究[J].電腦知識與技術：學術交流，2014（3）：1394-1396

[5]張友國.GRE-over-IPsecvPN工程設計及實現(xiàn)——基于合肥百大集團網(wǎng)絡的VPN應用[J].電腦知識與技術：學術交流，2013，9（9）：5623-5627

[6]朱祥華.VPN技術在企業(yè)遠程辦公中的研究與應用[J].信息安全與技術，2011（1）：35-38

[7]何文波，邵蘊秋.基于IPSec的VPN技術在機房設備遠程維護中的應用.現(xiàn)代電視技術，2017（1）：97-99.

[8]李獻軍，張少芳，李巖.基于L2TP的遠程訪問VPN的實現(xiàn).電腦知識與技術：學術版，2019，15（8）：50-52.