利用ＶＰＮ技術提高企業局域網安全性能

禹　波

[摘要]隨著信息化時代的到來,以網絡技術為代表的電子信息技術日益影響到我們的生活。企業局域網作為企業發展的重要載體,其安全問題直接影響到企業參與市場競爭和可持續發展的能力。通過對于企業局域網安全問題原因的分析以及對VPN技術的研究,得出VPN技術是解決企業局域網安全問題的有效手段。

[關鍵詞]企業 局域網 安全 VPN技術

中圖分類號:TP-9文獻標識碼:A文章編號:1671-7597(2009)0920080-01

當前,我們已經進入了以電子計算機技術為主體的信息時代。網絡化作為電子計算機技術的重要特征,其安全問題日益引起用戶的關注。計算機網絡是當今世界范圍內一項戰略性資源,甚至一些企業內部網絡中還保存著重要的商業信息及機密。如何使用合理的信息安全技術,保護企業局域網絡安全,成為學術界熱議的話題。

一、企業局域網網絡安全問題的成因

一般來說,企業局域網網絡安全問題主要由以下幾方面引起。

(一)企業局域網網絡系統自身存在漏洞。計算機系統理論認為,系統漏洞是有惡意的人能夠利用的軟件或硬件的缺陷及配置錯誤[1]。企業局域網是網絡程序設計公司開發出的網絡產品,都存在一定程度上的程序功能缺失,即程序漏洞。通過訂閱企業公共郵件列表,攻擊者可以直接獲取系統漏洞信息,并對系統實施攻擊。此外,企業局域網安全軟件安全級別及防范能力仍需提高。

同樣,支持企業局域網正常運行的硬件資源也存在不穩定因素。網絡服務器、計算機主機、交換器、路由器等隨著運行條件的變化,會出現老化等現象,嚴重的會導致企業局域網網絡癱瘓。

(二)企業局域網網絡傳輸機制存在問題。一般來說,企業局域網大都是通過局域網網關實現與國際互聯網的關聯。目前以因特網為主體的國際互聯網系統主要采取TCP/IP的數據傳輸方式。TCP/IP傳輸是基于網絡出現初期的一種數據傳輸方式,采取用戶主機的IP地址作為網絡結點。由于IP地址缺少相應的保護性機制,攻擊者可以掌握并偽造任意IP地址,而TCP/IP傳輸機制所需的用戶名、密碼及數據包等信息可以被攻擊者破譯或截獲[2]。而諸如HTTP等運用TCP/IP傳輸機制的網絡服務協議的安全性更加無法保證。攻擊者利用傳輸機制的漏洞,可以很輕易地突破交換機的限制,直接進入企業內部網絡獲取信息或實施破壞。企業內部網絡安全遭受攻擊者破壞后,可能導致網絡系統被破壞、用戶信息泄露、拒絕服務及訪問權限受限等等嚴重問題。因此說,數據傳輸機制的缺陷是企業內部網絡安全最為嚴重的潛在性威脅。

二、VPN技術基本情況及其優勢

正如上文所述,企業局域網網絡數據傳輸機制是導致企業內部網絡安全問題的最直接因素,必須找到一種比較先進合理的數據傳輸機制,克服傳統機制的不足,而VPN技術的出現無疑可以彌補這些不足。

(一)VPN技術簡介。VPN(Virtual Private Network)虛擬專用網,是指通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過非安全網絡的安全、穩定的隧道,虛擬專用網是對企業局域網的擴展[3]。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。

(二)VPN技術的兩種應用形式。根據網絡設備連接方式,VPN主要有兩種應用形式,即遠程訪問VPN(遠程訪問虛擬專網)形式和網關到網關VPN形式。

1.遠程訪問形式。這種形式主要用于本地企業用戶接入互聯網。通過遠程訪問VPN,遠端用戶不再如傳統的遠程網絡訪問那樣,通過長途電話撥號到公司遠程接入端口,而是撥號接入用戶本地的ISP,利用VPN系統在公眾網上建立一個從客戶端到網關的安全傳輸隧道,遠程主機通過在本機上運行的VRC客戶端軟件,與公司內部網網關建立VPN隧道,實現安全通信。

2.網關到網關VPN形式。還有一些企業建立了異地分支機構,需要通過網絡實現與總部局域網的互聯。網關到網關VPN可以實現異地分支機構的局域網的安全互連。利用Internet的線路保證網絡的互連,并利用VPN的安全隧道、加密等特性可以保證信息在公司各機構局域網的網關之間安全傳輸。網關到網關VPN通過一個使用專用連接的共享基礎設施,連接企業單位總部、遠程辦事處和分支機構。

(三)VPN技術的優點

第一,VPN技術在信息隧道入口,即企業局域網網關認證的起點,設置了用戶身份準入驗證。另外,VPN還支持各種通用的安全和加密協議,如SecureIP(IPsec)和Microsoft點對點加密(MPPE)技術等等。

第二,降低成本。由于VPN設備自身帶有路由和訪問控制功能,在企業用戶訪問互聯網時能夠實現路由配置及安全策略監控,因此可以大幅度地減少在安裝配置遠端網絡接口所需設備上的開銷,顯著地降低成本。

第三,節省網絡資源。企業可以使用VPN替代租用線路來實現分支機構的連接,這樣就可以實現對遠程線路進行安裝、配置和管理,并且可以最大限度地降低局域網網絡功能設計所需的模塊。另外,VPN通過撥號訪問來自于ISP或NSP的外部服務,減少了調制解調器數量,簡化了所需的接口,同時簡化了與遠程用戶認證、授權和記賬相關的設備和處理。

第四,可以隨意實現與戰略伙伴之間的聯網。以往企業因業務需要與其他單位實施聯網,必須租用或安裝專線,并需要購置昂貴的交換機等設備。使用VPN技術后,企業可以隨時通過設置虛擬遠程網絡,與戰略伙伴實施局域網互聯,查看有關數據及業務資料。而業務活動結束后,雙方也可以隨時切斷局域網互聯,省卻相關費用。

第五,功能拓展空間大。企業單位需要擴大局域網服務范圍或提升服務功能,可以隨時與新的IPS代理機構簽約,建立賬戶密碼等信息;也可以與原有的ISP重簽合約,擴大服務范圍。利用VPN技術,企業為遠程機構設置局域網相關服務也十分簡單,使用簡單的命令就可以使內網路由器兼有Internet和VPN兼容能力。

第六,使用方完全掌握使用控制權。企業單位借助VPN技術,通過ISP的設施和服務,可以完全掌握局域網運行及局域網用戶連接互聯網的情況。企業通過ISP設定用戶名及密碼后,網絡管理可以交由ISP負責,企業則可以為部門設置相關口令信息,實現對局域網運行狀況的監測。

綜上所述,VPN技術擁有諸多優勢,應當成為未來解決企業互聯網安全問題的有效手段。但是不能否認的是,作為一種新興的技術,VPN本身仍具有許多的不足。企業局域網安全問題是一個復雜的矛盾綜合體,VPN技術只能作為防范風險的一種較為有效的手段,必須要調動其他手段進行輔助,才能確保企業局域網網絡安全萬無一失。

參考文獻:

[1]張建標等譯,《網絡安全評估》,科學出版社,2009年1月.

[2]李濤編著,《網絡安全概論》,電子工業出版社,2004年11月.

[3]《什么是VPN》,http://baike.baidu.com/view/19735.htm.