VPN技术在企业网络安全中的运用

VPN技术在企业网络安全中的运用来源：网店装修实验网开始的。当时只有4个结点，发展到现在的正如其名所言如蜘蛛网一般的复杂的万联网。威胁与安全一直都是并存着的。窃听、假冒、重放、拒绝服务、病毒、诽谤等等的威胁无时无刻攻击着网络通信，威胁着我们的信息安全。然而提供这些威胁存在的原因正是由于操作系统、计算机网络、数据库管理系统存在着本身的漏洞，这就使得一些非法授权的行为可以“祸起萧墙”。专家把这些可能使得一个网络受到破坏的所有行为都认定为攻击，它可以是主动攻击、被动攻击、物理临近攻击、内部人员攻击和分发攻击，所有的一切都威胁着网络的安全。所以Internet的安全话题一直以来都是发散而复杂的。从最初把Internet作为科学研究用途，到当今的电子商务炙手可热之时，安全已然成为网络发展的绊脚石。所以有更多的安全技术顺势而出，目前的安全措施有数据加密、数字签名、身份认证、防火墙和内容检查等。这些虽然不能阻止风险的出现，但可以把风险降到最低。专用网络指的是企业内部的局域和广域网络，是Internet等公共网络上的延伸。在过去，大型企业为了网络通讯的需求，往往必须投资人力、物力及财力，来建立企业专用的广域网络通讯管道，或采用长途电话甚至国际电话的昂贵拨接方式。在Internet蓬勃发展的现在，企业为了维持竞争力，又为了使公司总部和分支、合作伙伴之间信息的安全性受到保障，通常需要将专用网络与Internet间适当地整合在一起，但是又必须花费一笔Internet连接的固定费用。基本上Internet是建立在公众网络的基础之上，如果企业可以将专用网络中的广域网络连结与远程拨号连接这两部份，架构在Internet这一类的公众网络之上，同时又可以维持原有的功能与安全需求的话，则将可以节省下一笔不算小的通讯费用支出。这个问题的解决方法，就需要虚拟专用网。第二章VPN概述第一节VPN的概念利用公共网络来构建的私人专用网络称为虚拟专用网络(VPN，VirtualPrivateNetwork)，用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN像企业现有的私有网络一样能提供安全性、可靠性和可管理性等。“虚拟”的概念是相对于传统专用网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域网连接。通过VPN，企业可以以明显的、更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。企业内部资源享用者只需连入本地ISP的POP(PointOfPresence，接入服务提供点)，即可相互通信；而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源；如果接入服务器的用户身份认证服务器支持漫游的话，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。VPN具有虚拟的特点：VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路，但是，VPN同时又具有专线的数据传输功能，因为VPN能够像专线一样在公共网络上处理自己公司的信息。它通过安全的数据通道将远程用户，公司分支机构，公司业务伙伴等与公司企业网连接起来，构成一个扩展的公司企业网。在该网络的主机似乎感觉所有主机都在同一个网络内，而没有察觉公共网络的存在，同时感到公共网络为本网络独自占用。然而，事实并非如此，所以称之为虚拟专用网。第二节VPN的组成无论是从VPN技术发展历程还是应用模式看，VPN技术包含了多种当前新兴的网络技术，涉及到隧道技术、密码技术、和身份认证技术，是多种技术的结合体。这决定了用户在选择VPN时必须以应用为导向，以解决方案为实施依据，方可事半功倍。VPN是一个建立在现有共用网络基础上的专网，它由各种网络节点、统一的运行机制和与物理接口构成，一般包括以下几个关键组成部分：一、VPN服务器VPN服务器作为端点的计算机系统，可能是防火墙、路由器、专用网关，也可能是一台运行VPN软件的联网计算机，或是一台联网手持设备。二、算法体系算法体系是VPN专用网络的形成的关键，常见的有：摘要算法MD5或SHA1，对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH，公用密钥加密RSA、DSA等。不同类型的VPN根据应用特点在实现上使用对应的算法，有的还可以由用户根据使用现场临时更换。三、认证系统VPN是一个网络，要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则一样，当你通过一个网络去访问一个网络资源时，你自然希望对方是像你要求的那样是真实的，可以想象，对方也是这样要求你的，如何认证对方和认证自己，同时还要防止认证信息泄露，这就是认证系统所要解决的问题，是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA、SecurID、双因素令牌、LDAP、WindowsAD、Radius、证书，一个系统中往往包括一种以上几种方式来增加灵活性。四、VPN协议它规定了VPN产品的特征，主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法，由于VPN强调的是网络连接和传输，配套的密钥交换和密钥保护方法甚至比算法更重要，而接口决定了一个VPN产品的适用度。常见的有PPTP、L2TP、MPLSVPN、IPsec、SOCKS、SSL。第三节VPN技术VPN采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。一、隧道技术VPN的核心就是隧道技术。隧道是一种通过互联网络在网络之间传递数据的一种方式。所传递的数据在传送之前就被封装在相应的隧道协议里，当到达另一端后才被解封。被封装的数据在互联网上传递时所经过的路径是一条逻辑路径。在VPN中主要有两种隧道。一种是端到端的隧道，主要实现个人与主机之间的连接，端设备必须完成隧道的建立，对端到端的数据进行加密及解密。另一种是节点到节点的隧道，主要是用于连接不同地点的LAN数据到达LAN边缘VPN设备时被加密并传送到隧道的另一端，在那里被解密并送入相连的LAN。它其实就是边界路由器在起着关键作用，隧道的建立，数据的加密、解密都是在边界路由器里完成的。隧道技术相关的协议分为第二层隧道协议和第三层隧道协议。第二层隧道协议主要有PPTP、L2TP和LZF等，第三层隧道协议主要有GRE以及IPSec等。二、加密技术VPN的加密方法主要是发送者在发送数据之前对要发送的数据进行加密，当数据到达接收者时再由接收者对数据进行解密的处理过程。加密算法的种类包括:对称密钥算法，公共密钥算法等。三、用户身份认证技术用户身份认证技术主要用于远程访问的情况。当一个拨号用户要求建立一个会话时，就会对用户的身份进行鉴定，以确定该用户是否是合法用户以及哪些资源可以被使用。四、访问控制技术访问控制技术就是确定合法用户对特定资源的访问权限，以实现对信息资源的最大限度的保护。第四节VPN的用途一、远程访问VPN最适用于用户从离散的地点访问固定的网络资源，如从住所访问办公室内的资源；出差员工从外地旅店存取企业网数据；技术支持人员从客户网络内访问公司的数据库查询调试参数；纳税企业从本企业内接入互联网并通过VPN进入当地税务管理部门进行网上税金缴纳。远程访问VPN可以完全替代以往昂贵的远程拨号接入，并加强了数据安全。二、内联网（分支机构联网）VPN最适用将异地的两个或多个局域网或主机相连形成一个内网，主要用于将用户的异地LAN通过互联网上的VPN作为一条虚拟专线连接起来，或是将分支机构与总部连接起来。内联网VPN可以替代目前市场上使用帧中继和ATM等专线构成的专网，显著降低网络建设和运行成本，极大提高了部署和扩展灵活性。三、安全平台将相同工作性质的，离散地理位置的终端设备、局域网内的主机或局域网连接形成一个专网，满足协同工作的要求，如总公司销售部门的LAN与下属单位的销售部门的PC，以及外出销售人员的笔记本之间构成一个安全销售网，共享CRM、文档和IP电话，满足用户动态、业务导向化的组网要求，这是其他方案难以实现的。四、替代专线内联网VPN的简化版，简单地将两个主机相连实现联机、遥控，或一个主机与一个LAN相连，或替代现有专网的某一条专线成为专网的一部分。五、用户认证利用VPN用户认证机制和VPN的安全性，强化用户认证的安全，如上网计费系统，认证后的数据传输安全不是重点。六、网络资源访问控制将VPN用户认证机制和VPN网关对网络访问的调度能力结合起来，根据预定的安全策略给与不同用户不同的资源访问权限，强化网络资源的合理配置和安全性。第三章VPN在企业中的应运第一节公司简介杭州芝麻开门信息技术有限公司系专业行业性B2B和B2C平台运营商，公司下设两家分公司，运营两个网站：，现在公司主要是和中国制笔协会共同开发中国笔业贸易网．公司汇聚了众多IT界的精英，直接出击日益扩张的全球市场。公司的目的是将传统的国内、国际性采购及贸易活动转变成一个高效率、高效益、低成本的新型电子商务模式，并根据企业的商务活动的实际状况，推出一系列适合于供应商及采购商进行商业信息交流与沟通的平台，促进并达到让制笔行业的企业利用得到更多的商业服务和最大限度的商业资讯。中国笔业贸易网的信息具有传递快、大容量、及时更换等特点，可以迅速发布行业内的供求、人才、新产品、新技术专利等信息。并建立了制笔行业进出口统计、行业标准、政策法规、技术知识、人才中心等信息数据库，为广大的制笔企业及全球采购商提供了真正实用的电子商务大平台。第二节公司现有的网络状况首先来了解一下关于杭州芝麻开门信息技术有限公司的网络拓扑结构。如图3-1所示。图3-1杭州芝麻开门信息技术有限公司的网络图从图看出总公司和分公司、银行、合作伙伴，分公司和银行、合作伙伴，出差员工或者在家办公人员和总公司、分公司之间，这三种关系的连接都是经过Internet的。总公司是通过Cisco2600系列路由器作为边界网关与外界Internet等公共网相连，并配置放火墙。内部则由两台CiscoCrystal2950系列交换机做为中心交换机把办公大楼、营销中心、FTP服务器、服务器、E-mail服务器、数据库服务器等联系起来。网管站直接和交换机相连，并管理路由器、中心交换机、服务器等。如图3-2所示。图3-2总部内网丽水分支和杭州分支是通过拨号上网，与总公司联系。它们具体是先经ADSLModem连到24接口阿尔法AFR-K24路由器（内配置防火墙），再接24接口阿尔法AFS-3026交换机和个人电脑相连。公司通过防火墙接入Internet。目前公司所有应用仅限于公司局域网内，出差员工不能访问。总部网络内建设、文件共享服务、Exchange、公司ERP系统，总部各部门局域网络实现接入Internet,但没有实现内部网络互联。杭州分支公司：电脑接入Internet，实现了办公网络半自动化。丽水分支公司：电脑接入Internet，实现了办公网络半自动化。第三节需求分析杭州芝麻开门信息技术有限公司自1996年创建以来，所拥有的客户群已越来越庞大。而作为以网站服务和维护为主的公司，其客户需要频繁地访问公司内部网，访问服务器。从安全性上讲，通过Internet等公共网的连接，势必会带来一些危险：从客户端带来的威胁会有病毒、陷门和木马、非授权访问、假冒、重放、诽谤等。从服务器端的威胁就有数据完整性破坏、信息篡改等。根据公司工程技术人员的深入了解和分析，杭州芝麻开门信息技术有限公司需要一种安全的接入机制来保障通信的安全，