VPN技術在企業(yè)網(wǎng)絡安全中的運用

　　第一章 引言

　　現(xiàn)代意義上的計算機網(wǎng)絡是從1969年美國國防部高級研究計劃局建成的ARPAnet實驗網(wǎng)開始的 。當時只有4個結點，發(fā)展到現(xiàn)在的正如其名所言如蜘蛛網(wǎng)一般的復雜的萬聯(lián)網(wǎng)。威脅與安全一直都是并存著的。竊聽、假冒、重放、拒絕服務、病毒、誹謗等等的威脅無時無刻攻擊著網(wǎng)絡通信，威脅著我們的信息安全。然而提供這些威脅存在的原因正是由于操作系統(tǒng)、計算機網(wǎng)絡、數(shù)據(jù)庫管理系統(tǒng)存在著本身的漏洞，這就使得一些非法授權的行為可以“禍起蕭墻”。專家把這些可能使得一個網(wǎng)絡受到破壞的所有行為都認定為攻擊，它可以是主動攻擊、被動攻擊、物理臨近攻擊、內(nèi)部人員攻擊和分發(fā)攻擊，所有的一切都威脅著網(wǎng)絡的安全。

　　所以Internet的安全話題一直以來都是發(fā)散而復雜的。從最初把Internet作為科學研究用途，到當今的電子商務炙手可熱之時，安全已然成為網(wǎng)絡發(fā)展的絆腳石。所以有更多的安全技術順勢而出，目前的安全措施有數(shù)據(jù)加密、數(shù)字簽名、身份認證、防火墻和內(nèi)容檢查等。這些雖然不能阻止風險的出現(xiàn)，但可以把風險降到最低。

　　專用網(wǎng)絡指的是企業(yè)內(nèi)部的局域和廣域網(wǎng)絡，是Internet等公共網(wǎng)絡上的延伸。在過去，大型企業(yè)為了網(wǎng)絡通訊的需求，往往必須投資人力、物力及財力，來建立企業(yè)專用的廣域網(wǎng)絡通訊管道，或采用長途電話甚至國際電話的昂貴撥接方式。在Internet蓬勃發(fā)展的現(xiàn)在，企業(yè)為了維持競爭力，又為了使公司總部和分支、合作伙伴之間信息的安全性受到保障，通常需要將專用網(wǎng)絡與Internet間適當?shù)卣�合在一起，但是又必須花費一筆Internet連接的固定費用�；�本上Internet是建立在公眾網(wǎng)絡的基礎之上，如果企業(yè)可以將專用網(wǎng)絡中的廣域網(wǎng)絡連結與遠程撥號連接這兩部份，架構在Internet這一類的公眾網(wǎng)絡之上，同時又可以維持原有的功能與安全需求的話，則將可以節(jié)省下一筆不算小的通訊費用支出。這個問題的解決方法，就需要虛擬專用網(wǎng)。

　　第二章 VPN概述

　　第一節(jié) VPN的概念利用公共網(wǎng)絡來構建的私人專用網(wǎng)絡稱為虛擬專用網(wǎng)絡(VPN，Virtual Private Network)，用于構建VPN的公共網(wǎng)絡包括Internet、幀中繼、ATM等。在公共網(wǎng)絡上組建的VPN像企業(yè)現(xiàn)有的私有網(wǎng)絡一樣能提供安全性、可靠性和可管理性等。

　　“虛擬”的概念是相對于傳統(tǒng)專用網(wǎng)絡的構建方式而言的。對于廣域網(wǎng)連接，傳統(tǒng)的組網(wǎng)方式是通過遠程撥號連接來實現(xiàn)的，而VPN是利用服務提供商所提供的公共網(wǎng)絡來實現(xiàn)遠程的廣域網(wǎng)連接。通過VPN，企業(yè)可以以明顯的、更低的成本連接它們的遠地辦事機構、出差工作人員以及業(yè)務合作伙伴。

　　企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP(Point Of Presence，接入服務提供點)，即可相互通信;而利用傳統(tǒng)的WAN組建技術，彼此之間要有專線相連才可以達到同樣的目的。虛擬網(wǎng)組成后，出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權限就可以訪問企業(yè)內(nèi)部資源;如果接入服務器的用戶身份認證服務器支持漫游的話，甚至不必擁有本地ISP的上網(wǎng)權限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設VPN服務所需的設備很少，只需在資源共享處放置一臺VPN服務器就可以了。

　　VPN具有虛擬的特點：VPN并不是某個公司專有的封閉線路或者是租用某個網(wǎng)絡服務商提供的封閉線路，但是，VPN同時又具有專線的數(shù)據(jù)傳輸功能，因為VPN能夠像專線一樣在公共網(wǎng)絡上處理自己公司的信息。它通過安全的數(shù)據(jù)通道將遠程用戶，公司分支機構，公司業(yè)務伙伴等與公司企業(yè)網(wǎng)連接起來，構成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)絡的主機似乎感覺所有主機都在同一個網(wǎng)絡內(nèi)，而沒有察覺公共網(wǎng)絡的存在，同時感到公共網(wǎng)絡為本網(wǎng)絡獨自占用。然而，事實并非如此，所以稱之為虛擬專用網(wǎng) 。第二節(jié) VPN的組成無論是從VPN技術發(fā)展歷程還是應用模式看，VPN技術包含了多種當前新興的網(wǎng)絡技術，涉及到隧道技術、密碼技術、和身份認證技術，是多種技術的結合體。這決定了用戶在選擇VPN時必須以應用為導向，以解決方案為實施依據(jù)，方可事半功倍。

　　VPN是一個建立在現(xiàn)有共用網(wǎng)絡基礎上的專網(wǎng)，它由各種網(wǎng)絡節(jié)點、統(tǒng)一的運行機制和與物理接口構成，一般包括以下幾個關鍵組成部分：

　　一、VPN服務器

　　VPN服務器作為端點的計算機系統(tǒng)，可能是防火墻、路由器、專用網(wǎng)關，也可能是一臺運行VPN軟件的聯(lián)網(wǎng)計算機，或是一臺聯(lián)網(wǎng)手持設備。

　　二、算法體系

　　算法體系是VPN專用網(wǎng)絡的形成的關鍵，常見的有：摘要算法MD5或SHA1，對稱加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH，公用密鑰加密RSA、DSA等。不同類型的VPN根據(jù)應用特點在實現(xiàn)上使用對應的算法，有的還可以由用戶根據(jù)使用現(xiàn)場臨時更換。

　　三、認證系統(tǒng)

　　VPN是一個網(wǎng)絡，要為網(wǎng)絡節(jié)點提供可靠的連接。如同現(xiàn)實社會交往中強調(diào)的“誠信”原則一樣，當你通過一個網(wǎng)絡去訪問一個網(wǎng)絡資源時，你自然希望對方是像你要求的那樣是真實的，可以想象，對方也是這樣要求你的，如何認證對方和認證自己，同時還要防止認證信息泄露，這就是認證系統(tǒng)所要解決的問題，是開始VPN連接的基礎。一般使用的有口令、一次性密碼、RSA 、SecurID、雙因素令牌、LDAP、Windows AD、Radius、證書，一個系統(tǒng)中往往包括一種以上幾種方式來增加靈活性。

　　四、VPN協(xié)議

　　它規(guī)定了VPN產(chǎn)品的特征，主要包括安全程度和與上下層網(wǎng)絡系統(tǒng)的接口形式。安全不僅要靠算法，由于VPN強調(diào)的是網(wǎng)絡連接和傳輸，配套的密鑰交換和密鑰保護方法甚至比算法更重要，而接口決定了一個VPN產(chǎn)品的適用度。常見的有PPTP、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL。第三節(jié) VPN技術VPN采用的關鍵技術主要包括隧道技術、加密技術、用戶身份認證技術及訪問控制技術。

　　一、隧道技術

　　VPN的核心就是隧道技術。隧道是一種通過互聯(lián)網(wǎng)絡在網(wǎng)絡之間傳遞數(shù)據(jù)的一種方式。所傳遞的數(shù)據(jù)在傳送之前就被封裝在相應的隧道協(xié)議里，當?shù)竭_另一端后才被解封。被封裝的數(shù)據(jù)在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的路徑是一條邏輯路徑。

　　在VPN中主要有兩種隧道。一種是端到端的隧道，主要實現(xiàn)個人與主機之間的連接，端設備必須完成隧道的建立，對端到端的數(shù)據(jù)進行加密及解密。另一種是節(jié)點到節(jié)點的隧道，主要是用于連接不同地點的LAN數(shù)據(jù)到達LAN邊緣VPN設備時被加密并傳送到隧道的另一端，在那里被解密并送入相連的LAN。它其實就是邊界路由器在起著關鍵作用，隧道的建立，數(shù)據(jù)的加密、解密都是在邊界路由器里完成的。

　　隧道技術相關的協(xié)議分為第二層隧道協(xié)議和第三層隧道協(xié)議。第二層隧道協(xié)議主要有PPTP、L2TP和LZF等，第三層隧道協(xié)議主要有GRE以及IPSec等。

　　二、加密技術

　　VPN的加密方法主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對要發(fā)送的數(shù)據(jù)進行加密，當數(shù)據(jù)到達接收者時再由接收者對數(shù)據(jù)進行解密的處理過程。加密算法的種類包括:對稱密鑰算法，公共密鑰算法等。

　　三、用戶身份認證技術

　　用戶身份認證技術主要用于遠程訪問的情況。當一個撥號用戶要求建立一個會話時，就會對用戶的身份進行鑒定，以確定該用戶是否是合法用戶以及哪些資源可以被使用。

　　四、訪問控制技術

　　訪問控制技術就是確定合法用戶對特定資源的訪問權限，以實現(xiàn)對信息資源的最大限度的保護。

　　第四節(jié) VPN的用途一、遠程訪問VPN

　　最適用于用戶從離散的地

　　點訪問固定的網(wǎng)絡資源，如從住所訪問辦公室內(nèi)的資源;出差員工從外地旅店存取企業(yè)網(wǎng)數(shù)據(jù);技術支持人員從客戶網(wǎng)絡內(nèi)訪問公司的數(shù)據(jù)庫查詢調(diào)試參數(shù);納稅企業(yè)從本企業(yè)內(nèi)接入互聯(lián)網(wǎng)并通過VPN進入當?shù)囟悇展芾聿块T進行網(wǎng)上稅金繳納。遠程訪問VPN可以完全替代以往昂貴的遠程撥號接入，并加強了數(shù)據(jù)安全。

　　二、內(nèi)聯(lián)網(wǎng)(分支機構聯(lián)網(wǎng))VPN

　　最適用將異地的兩個或多個局域網(wǎng)或主機相連形成一個內(nèi)網(wǎng)，主要用于將用戶的異地LAN通過互聯(lián)網(wǎng)上的VPN作為一條虛擬專線連接起來，或是將分支機構與總部連接起來。內(nèi)聯(lián)網(wǎng)VPN可以替代目前市場上使用幀中繼和ATM等專線構成的專網(wǎng)，顯著降低網(wǎng)絡建設和運行成本，極大提高了部署和擴展靈活性。

　　三、安全平臺

　　將相同工作性質(zhì)的，離散地理位置的終端設備、局域網(wǎng)內(nèi)的主機或局域網(wǎng)連接形成一個專網(wǎng)，滿足協(xié)同工作的要求，如總公司銷售部門的LAN與下屬單位的銷售部門的PC，以及外出銷售人員的筆記本之間構成一個安全銷售網(wǎng)，共享CRM、文檔和IP電話，滿足用戶動態(tài)、業(yè)務導向化的組網(wǎng)要求，這是其他方案難以實現(xiàn)的。

　　四、替代專線

　　內(nèi)聯(lián)網(wǎng)VPN的簡化版，簡單地將兩個主機相連實現(xiàn)聯(lián)機、遙控，或一個主機與一個LAN相連，或替代現(xiàn)有專網(wǎng)的某一條專線成為專網(wǎng)的一部分。

　　五、用戶認證

　　利用VPN用戶認證機制和VPN的安全性，強化用戶認證的安全，如上網(wǎng)計費系統(tǒng)，認證后的數(shù)據(jù)傳輸安全不是重點。

　　六、網(wǎng)絡資源訪問控制

　　將VPN用戶認證機制和VPN網(wǎng)關對網(wǎng)絡訪問的調(diào)度能力結合起來，根據(jù)預定的安全策略給與不同用戶不同的資源訪問權限，強化網(wǎng)絡資源的合理配置和安全性。

　　第三章 VPN在企業(yè)中的應運

        第一節(jié) 公司簡介杭州芝麻開門信息技術有限公司系專業(yè)行業(yè)性B2B和B2C平臺運營商，公司下設兩家分公司，運營兩個網(wǎng)站：www.cn-pen.com和www.zmkm.cn，現(xiàn)在公司主要是和中國制筆協(xié)會共同開發(fā)中國筆業(yè)貿(mào)易網(wǎng)www.cn-pen.com.公司匯聚了眾多IT界的精英，直接出擊日益擴張的全球市場。公司的目的是將傳統(tǒng)的國內(nèi)、國際性采購及貿(mào)易活動轉變成一個高效率、高效益、低成本的新型電子商務模式，并根據(jù)企業(yè)的商務活動的實際狀況，推出一系列適合于供應商及采購商進行商業(yè)信息交流與溝通的平臺，促進并達到讓制筆行業(yè)的企業(yè)利用www.cn-pen.com得到更多的商業(yè)服務和最大限度的商業(yè)資訊。中國筆業(yè)貿(mào)易網(wǎng)的信息具有傳遞快、大容量、及時更換等特點，可以迅速發(fā)布行業(yè)內(nèi)的供求、人才、新產(chǎn)品、新技術專利等信息。并建立了制筆行業(yè)進出口統(tǒng)計、行業(yè)標準、政策法規(guī)、技術知識、人才中心等信息數(shù)據(jù)庫，為廣大的制筆企業(yè)及全球采購商提供了真正實用的電子商務大平臺。第二節(jié) 公司現(xiàn)有的網(wǎng)絡狀況首先來了解一下關于杭州芝麻開門信息技術有限公司的網(wǎng)絡拓撲結構。如圖3-1所示。

　　圖3-1 杭州芝麻開門信息技術有限公司的網(wǎng)絡圖

　　從圖看出總公司和分公司、銀行、合作伙伴，分公司和銀行、合作伙伴，出差員工或者在家辦公人員和總公司、分公司之間，這三種關系的連接都是經(jīng)過Internet的。

　　總公司是通過Cisco2600系列路由器作為邊界網(wǎng)關與外界Internet等公共網(wǎng)相連，并配置放火墻。內(nèi)部則由兩臺Cisco Crystal2950系列交換機做為中心交換機把辦公大樓、營銷中心、FTP服務器、WWW服務器、E-mail服務器、數(shù)據(jù)庫服務器等聯(lián)系起來。網(wǎng)管站直接和交換機相連，并管理路由器、中心交換機、服務器等。如圖3-2所示。

　　圖3-2 總部內(nèi)網(wǎng)

　　麗水分支和杭州分支是通過撥號上網(wǎng)，與總公司聯(lián)系。它們具體是先經(jīng)ADSL Modem連到24接口阿爾法AFR-K24路由器(內(nèi)配置防火墻)，再接24接口阿爾法AFS-3026交換機和個人電腦相連。

　　公司通過防火墻接入Internet。目前公司所有應用僅限于公司局域網(wǎng)內(nèi)，出差員工不能訪問。

　　總部網(wǎng)絡內(nèi)建設WWW、文件共享服務、Exchange、公司ERP系統(tǒng)，總部各部門局域網(wǎng)絡實現(xiàn)接入Internet,但沒有實現(xiàn)內(nèi)部網(wǎng)絡互聯(lián)。

　　杭州分支公司：電腦接入Internet，實現(xiàn)了辦公網(wǎng)絡半自動化。

　　麗水分支公司：電腦接入Internet，實現(xiàn)了辦公網(wǎng)絡半自動化。第三節(jié) 需求分析杭州芝麻開門信息技術有限公司自1996年創(chuàng)建以來，所擁有的客戶群已越來越龐大。而作為以網(wǎng)站服務和維護為主的公司，其客戶需要頻繁地訪問公司內(nèi)部網(wǎng)，訪問服務器。從安全性上講，通過Internet等公共網(wǎng)的連接，勢必會帶來一些危險：從客戶端帶來的威脅會有病毒、陷門和木馬、非授權訪問、假冒、重放、誹謗等。從服務器端的威脅就有數(shù)據(jù)完整性破壞、信息篡改等。

　　根據(jù)公司工程技術人員的深入了解和分析，杭州芝麻開門信息技術有限公司需要一種安全的接入機制來保障通信的安全，并達到以下要求：

　　一、企業(yè)必需要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。Extranet VPN將企業(yè)網(wǎng)擴展到合作伙伴和客戶;

　　二、要求企業(yè)將其網(wǎng)絡管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡管理任務交給服務提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡管理任務;

　　三、構建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬;

　　四、總部通過多條線路連接廣域網(wǎng)，保證分點財務核算數(shù)據(jù)的連接安全，也節(jié)約了寬帶接入成本;

　　五、支持從各種網(wǎng)絡條件下的安全接入;

　　六、通過隧道技術在網(wǎng)絡協(xié)議的越下層實現(xiàn)更高的數(shù)據(jù)安全性;

　　七、通過路由器對用戶實行統(tǒng)一的管理，對訪問權限實行分級管理等要求，實現(xiàn)流量控制、端口鏡象等要求，通過路由器的相關防火墻功能實現(xiàn)網(wǎng)絡的安全管理;

　　八、出差員工利用公司筆記公共電腦(如機場侯機廳的計算機)也能夠較安全地訪問公司內(nèi)部網(wǎng)絡資源;

　　九、總部保證內(nèi)網(wǎng)至少100臺電腦接入Internet，還要考慮到公司以后的發(fā)展接入點的增加，同時實現(xiàn)一級分部通過相關設備在連到總部網(wǎng)絡的同時還提供訪問公司FTP服務器，連接公司ERP系統(tǒng)提交與查詢相關信息等要求;

　　十、杭州、麗水分支機構2個辦事處電腦接入Internet，同時考慮到公司以后的發(fā)展接入點的增加，同時實現(xiàn)與總部實現(xiàn)互聯(lián)同時還提供訪問公司FTP服務器，連接公司ERP系統(tǒng)提交與查詢相關信息等要求;

　　十一、在各分支機構和總公司之間創(chuàng)造一個集成化的辦公環(huán)境，為工作人員提供多功能的桌面辦公環(huán)境，解決辦公人員處理不同事務需要使用不同工作環(huán)境的問題。

　　第四節(jié) 需求總結針對以上的需求，通過VPN的配置可以解決互聯(lián)問題，另外對VPN加以相應配置可以實現(xiàn)資料傳輸?shù)陌踩�性問題。

　　以現(xiàn)有技術來說，所謂最優(yōu)選擇其實必須根據(jù)遠程訪問的需求與目標而定。目前主流VPN方案有兩種：IPSec/IKE和SSL VPN。當前企業(yè)需要安全的點對點連接，或用單一裝置進行遠程訪問，并且讓企業(yè)擁有管理所有遠程訪問使用能力，IPSec/IKE是最適合的解決方案。

　　比較那種傳輸方法比較好更重要的問題是：那種安全技術最符合遠程接入方案的需求，IPSec可以保護任何IP流量，而SSL專注于應用層流量。IPSec適合長期的連接，即寬帶、持續(xù)和網(wǎng)絡層連接要求。SSL 僅適合于個別的，對應用層和資源的連接，而且支持的應用沒有IPSec 多。

　　實現(xiàn)外出出差員工通過PPTP撥號連接公司網(wǎng)絡完成相關工作。第五節(jié) 方案設計一、設備選擇

　　由于VPN的應用受到網(wǎng)管者的歡迎，因此技術也不斷演進。一般常見的VPN協(xié)定有PPTP、IPSec、SSL等。其中PPTP為微軟支持的協(xié)定，設定較方便，但保全性不夠;IPSec公認是最安全的協(xié)定，但是設定和配置復雜，一般的用戶不容易操作;SSL則需在服務器端進行介面轉換，并不是所有的應用程序都可支持。

　　在實際操作上，VPN的架設還面臨其他的問題：例如當互聯(lián)網(wǎng)聯(lián)機掉線時，再安全的VPN也沒有作用;中國由于IP資源有限，因此VPN聯(lián)機必須基于雙方為動態(tài)IP的基礎上建立;由于幅員廣大，網(wǎng)管人員要跑遍各個分公司的成本太高，VPN的設定最好簡單清楚，略有網(wǎng)絡知識者即可完成;每個ISP的IP分派方式都不同，IPSec并不一定都能穿透。

　　現(xiàn)在市場上的VPN產(chǎn)品繁多，而且功能各不相同，本著遵循著方便實用、高效低成本、安全可靠、網(wǎng)絡架構彈性大等相關原則，同時對杭州芝麻開門信息技術有限公司的需求分析，在選擇VPN連接設備上推薦市場上思科公司的Cisco2600系列VPN防火墻路由器產(chǎn)品。

　　Cisco2600系列VPN防火墻路由器產(chǎn)品支持 IPSec VPN連接，提供適用于各辦公室，事業(yè)伙伴及遠程使用者使用的安全便利的網(wǎng)絡加密方式，包括3DES， DES， 以及AH/ESP加密方式。 VPN 功能提供了各分支點間或大多數(shù)遠程使用者采VPN方式，將資料自動加密解密的通訊方式，支持Gateway To Gateway ，Client To Gateway與Group VPNs 等模式。具備PPTP服務器功能，具備聯(lián)機狀態(tài)顯示，可以滿足在外出差或想要連回總部或分公司的用戶也可使用PPTP或IPSec方式連回企業(yè)網(wǎng)絡，相對來說PPTP要比IPSec易配制，對移動辦公用戶比較適合。

　　Cisco2600系列VPN防火墻路由器產(chǎn)品內(nèi)建進階型防火墻功能，能夠阻絕大多數(shù)的網(wǎng)絡攻擊行為， 使用了SPI封包主動偵測檢驗技術(Stateful Packet Inspection)，封包檢驗型防火墻主要運作在網(wǎng)絡層，執(zhí)行對每個連接的動態(tài)檢驗，也擁有應用程序的警示功能，讓封包檢驗型防火墻可以拒絕非標準的通訊協(xié)議所使用的連結， 預設自動偵測并阻擋。Cisco2600亦同時支持使用網(wǎng)絡地址轉換 Network Address Translation (NAT)功能以及Routing 路由模式，使網(wǎng)絡環(huán)境架構更為彈性，易于規(guī)劃管理。

　　總部網(wǎng)絡通過光纖連接外網(wǎng)，連接路由器交換機選擇三層千兆交換機，三層千兆交換機之間用光纖連接，以滿足內(nèi)部網(wǎng)絡 VLAN的劃分，同時考慮到今后公司的發(fā)展，信息點擴充的需要。二、設計原則