ＶＰＮ在企業組網中的應用

摘要：利用VPN技術組建安全的擴展網絡Extranet，可以實現對客戶的信息服務。探討VPN的解決方案、應用以及發展有重要的現實意義。

關鍵詞：VPN；解決方案;安全

隨著信息時代的到來，各個企業越來越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務，通過各種方式了解客戶的需要，同時各個企業之間的合作關系也越來越多，信息交換日益頻繁。Internet為這樣的一種發展趨勢提供了良好的基礎，而如何利用Internet進行有效的信息管理，是企業發展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的擴展網絡Extranet，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身的內部網絡的安全。

1 VPN的概念

VPN又稱虛擬專網，指的是依靠ISP（Internet服務提供商）和其它NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。IETF草案理解基于IP的VPN為：\"使用IP機制仿真出一個私有的廣域網\"是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的長途數據線路，而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡，是指用戶可以為自己制定一個最符合自己需求的網絡。

2 VPN解決方案

2.1 遠程訪問虛擬網（AccessVPN）

如果企業的內部人員移動或有遠程辦公需要，或者商家要提供B2C的安全訪問服務，就可以考慮使用AccessVPN。

AccessVPN簡述

AccessVPN通過一個擁有與專用網絡相同策略的共享基礎設施，提供對企業內部網或外部網的遠程訪問。AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業資源。AccessVPN包括模擬、撥號、ISDN、數字用戶線路(xDSL)、移動IP和電纜技術，能夠安全地連接移動用戶、遠程工作者或分支機構。

2.2 企業內部虛擬網（IntranetVPN）

如果要進行企業內部各分支機構的互聯，使用IntranetVPN是很好的方式。

IntranetVPN簡述。越來越多的企業需要在全國乃至世界范圍內建立各種辦事機構、分公司、研究所等，各個分公司之間傳統的網絡連接方式一般是租用專線。顯然，在分公司增多、業務開展越來越廣泛時，網絡結構趨于復雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內的IntranetVPN。利用Internet的線路保證網絡的互聯性，而利用隧道、加密等VPN特性可以保證信息在整個IntranetVPN上安全傳輸。IntranetVPN通過一個使用專用連接的共享基礎設施，連接企業總部、遠程辦事處和分支機構。

2.3企業擴展虛擬網（ExtranetVPN）

企業如果是提供B2B之間的安全訪問服務，則可以考慮ExtranetVPN。

2.3.1ExtranetVPN結構

ExtranetVPN通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業內部網。

2.3.2ExtranetVPN優點

ExtranetVPN對用戶的吸引力在于：能容易地對外部網進行部署和管理，外部網的連接可以使用與部署內部網和遠端訪問VPN相同的架構和協議進行部署。主要的不同是接入許可，外部網的用戶被許可只有一次機會連接到其合作人的網絡。

3 VPN的實現途徑

3.1大型企業自建VPN

大型企業用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設備安裝在其總部和分支機構中，將各個機構低成本且安全地連接在一起。企業建立自己的VPN，最大的優勢在于高控制性，尤其是基于安全基礎之上的控制。一個內部VPN能使企業對所有的安全認證、網絡系統以及網絡訪問情況進行控制，建立端到端的安全結構，集成和協調現有的內部安全技術。

雖然VPN外包能避免技術過時，但并不意味著企業可以節省開支。因為，企業最終還要為高額產品支付費用，以作為使用新技術的代價。雖然VPN外包可以簡化企業網絡部署，但這同樣降低了企業對公司網的控制等級。網絡越大，企業就越依賴于外包VPN供應商。因此，自建VPN是大型企業的最好選擇。

3.2中小型企業外包VPN

外包VPN比企業自己動手建立VPN要快得多，也更為容易。

外包VPN的可擴展性很強，易于企業管理。有統計表明，使用外包VPN方式的企業，可以支持多于2300名用戶，而內部VPN平均只能支持大約150名用戶。而且，隨著用戶數目的增長，對用于監控、管理、提供IT資源和人力資源的要求也將呈指數增長。

企業VPN必須將安全和性能結合在一起，然而，實際情況中兩者不能兼顧。例如，對安全加密級別的配置經常降低VPN的整體性能。而通過提供VPN外包業務的專業ISP的統一管理，可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業進行VPN決策。

ISP對服務水平協議（SLA）的改進和服務質量（QoS）保證，為企業外包VPN方式提供了進一步的保證。

4 VPN在使用中的安全

由于傳輸的是私有信息，VPN用戶對數據的安全性都比較關心。目前VPN主要采用安全技術來保證信息的安全，在實際使用中還需要采取遠程訪問的安全措施。

4.1VPN安全技術

VPN安全技術包括隧道技術（Tunneling）、加解密技術（Encryption Decryption）、密鑰管理技術（Key Management）、使用者與設備身份認證技術（Authentication）。

隧道技術是VPN的基本技術，類似于點對點連接技術，它在公用網建立一條數據通道（隧道），讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準，由IETF融合PPTP與L2F而形成。

第三層隧道協議是把各種網絡協議直接裝入隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。

加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術。密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。

4.2 遠程訪問的安全措施

目前企業對遠距離工作的安全性不夠重視。大多數公司認為，公司網絡處于一道網絡防火墻之后是安全的，防火墻會將一切非法請求拒之其外；還有一些網絡管理員認為，為網絡建立防火墻并為員工提供VPN，使他們可以通過一個加密的隧道撥號進入公司網絡就是安全的。這些看法都是不對的。

因為，公司使用的大多數安全軟件并沒有為遠程接入計算機提供保護。一些員工所做的僅僅是進入一臺家用計算機，跟隨它通過一條授權的連接進入公司網絡系統，這些對公司網直接或始終在線的連接將會是黑客攻擊的主要目標，一旦黑客侵入了家用計算機，他便能夠遠程運行員工的VPN客戶端軟件。雖然，公司的防火墻可以將侵入者隔離在外，并保證主要辦公室和家庭辦公室之間VPN的信息安全。但問題在于，侵入者可以通過一個被信任的用戶進入網絡。因此，加密的隧道是安全的，連接也是正確的，但這并不意味著遠程計算機是安全的。

因此，必須有相應的解決方案堵住遠程訪問VPN的安全漏洞，使員工與網絡的連接既能充分體現VPN的優點，又不會成為安全的威脅。在個人計算機上安裝個人防火墻是極為有效的解決方法，使非法侵入者不能進入公司網絡。此外，還有如下的安全措施：所有遠程工作人員必須被批準使用VPN；所有的遠程工作人員應具有入侵檢測系統，提供對黑客攻擊信息的記錄；管理人員監控安裝在遠端系統中的軟件，并將其限制只能在工作中使用；需要對這些系統進行與辦公室系統同樣的定期性檢查；強制要求外出工作人員對敏感文件進行加密；安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯誤，則通過Modem向系統管理員發出警報。

5 應用案例

某市公安網分為一、二、三、四、五級網，其中一、二、三級網采用專網方式進行投資建設。在搭建四級網時，發現網絡節點分散，如果構建專網投資將增大，因此將需求轉到網通公司運營商。針對客戶網絡各項要求，目前可以實現的物理連接方式只能是ADSL方式接入，但是由于ADSL方式搭建在共網基礎上，就需要考慮公安專網與外網的分離問題，因此需要搭建一個專有的VPN網絡。VPN技術確保了公安行業的業務實現和安全隔離。具體四級網組網如圖1-1：

圖1-1 公安四級組網圖

6 結束語

由于VPN低廉的使用成本和良好的安全性，許多大型企業及其分布在各地的辦事處或分支機構成了VPN順理成章的用戶群。對于那些最需要VPN業務的中小企業來說，一樣有適合的VPN策略。當然，不論何種VPN策略，它們都有一個基本目標：在提供與現有專用網絡基礎設施相當或更高的可管理性、可擴展性以及簡單性的基礎之上，進一步擴展公司的網絡連接。隨著新技術不斷涌現，VPN的研究和建設也在不斷加快發展，我們相信VPN的應用前景將更加美好，市場將更加廣闊。