利用ＶＰＮ技術(shù)提高企業(yè)局域網(wǎng)安全性能

禹　波

[摘要]隨著信息化時代的到來,以網(wǎng)絡(luò)技術(shù)為代表的電子信息技術(shù)日益影響到我們的生活。企業(yè)局域網(wǎng)作為企業(yè)發(fā)展的重要載體,其安全問題直接影響到企業(yè)參與市場競爭和可持續(xù)發(fā)展的能力。通過對于企業(yè)局域網(wǎng)安全問題原因的分析以及對VPN技術(shù)的研究,得出VPN技術(shù)是解決企業(yè)局域網(wǎng)安全問題的有效手段。

[關(guān)鍵詞]企業(yè) 局域網(wǎng) 安全 VPN技術(shù)

中圖分類號:TP-9文獻標(biāo)識碼:A文章編號:1671-7597(2009)0920080-01

當(dāng)前,我們已經(jīng)進入了以電子計算機技術(shù)為主體的信息時代。網(wǎng)絡(luò)化作為電子計算機技術(shù)的重要特征,其安全問題日益引起用戶的關(guān)注。計算機網(wǎng)絡(luò)是當(dāng)今世界范圍內(nèi)一項戰(zhàn)略性資源,甚至一些企業(yè)內(nèi)部網(wǎng)絡(luò)中還保存著重要的商業(yè)信息及機密。如何使用合理的信息安全技術(shù),保護企業(yè)局域網(wǎng)絡(luò)安全,成為學(xué)術(shù)界熱議的話題。

一、企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全問題的成因

一般來說,企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全問題主要由以下幾方面引起。

(一)企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)自身存在漏洞。計算機系統(tǒng)理論認為,系統(tǒng)漏洞是有惡意的人能夠利用的軟件或硬件的缺陷及配置錯誤[1]。企業(yè)局域網(wǎng)是網(wǎng)絡(luò)程序設(shè)計公司開發(fā)出的網(wǎng)絡(luò)產(chǎn)品,都存在一定程度上的程序功能缺失,即程序漏洞。通過訂閱企業(yè)公共郵件列表,攻擊者可以直接獲取系統(tǒng)漏洞信息,并對系統(tǒng)實施攻擊。此外,企業(yè)局域網(wǎng)安全軟件安全級別及防范能力仍需提高。

同樣,支持企業(yè)局域網(wǎng)正常運行的硬件資源也存在不穩(wěn)定因素。網(wǎng)絡(luò)服務(wù)器、計算機主機、交換器、路由器等隨著運行條件的變化,會出現(xiàn)老化等現(xiàn)象,嚴重的會導(dǎo)致企業(yè)局域網(wǎng)網(wǎng)絡(luò)癱瘓。

(二)企業(yè)局域網(wǎng)網(wǎng)絡(luò)傳輸機制存在問題。一般來說,企業(yè)局域網(wǎng)大都是通過局域網(wǎng)網(wǎng)關(guān)實現(xiàn)與國際互聯(lián)網(wǎng)的關(guān)聯(lián)。目前以因特網(wǎng)為主體的國際互聯(lián)網(wǎng)系統(tǒng)主要采取TCP/IP的數(shù)據(jù)傳輸方式。TCP/IP傳輸是基于網(wǎng)絡(luò)出現(xiàn)初期的一種數(shù)據(jù)傳輸方式,采取用戶主機的IP地址作為網(wǎng)絡(luò)結(jié)點。由于IP地址缺少相應(yīng)的保護性機制,攻擊者可以掌握并偽造任意IP地址,而TCP/IP傳輸機制所需的用戶名、密碼及數(shù)據(jù)包等信息可以被攻擊者破譯或截獲[2]。而諸如HTTP等運用TCP/IP傳輸機制的網(wǎng)絡(luò)服務(wù)協(xié)議的安全性更加無法保證。攻擊者利用傳輸機制的漏洞,可以很輕易地突破交換機的限制,直接進入企業(yè)內(nèi)部網(wǎng)絡(luò)獲取信息或?qū)嵤┢茐摹Ｆ髽I(yè)內(nèi)部網(wǎng)絡(luò)安全遭受攻擊者破壞后,可能導(dǎo)致網(wǎng)絡(luò)系統(tǒng)被破壞、用戶信息泄露、拒絕服務(wù)及訪問權(quán)限受限等等嚴重問題。因此說,數(shù)據(jù)傳輸機制的缺陷是企業(yè)內(nèi)部網(wǎng)絡(luò)安全最為嚴重的潛在性威脅。

二、VPN技術(shù)基本情況及其優(yōu)勢

正如上文所述,企業(yè)局域網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)傳輸機制是導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)安全問題的最直接因素,必須找到一種比較先進合理的數(shù)據(jù)傳輸機制,克服傳統(tǒng)機制的不足,而VPN技術(shù)的出現(xiàn)無疑可以彌補這些不足。

(一)VPN技術(shù)簡介。VPN(Virtual Private Network)虛擬專用網(wǎng),是指通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接,是一條穿過非安全網(wǎng)絡(luò)的安全、穩(wěn)定的隧道,虛擬專用網(wǎng)是對企業(yè)局域網(wǎng)的擴展[3]。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。

(二)VPN技術(shù)的兩種應(yīng)用形式。根據(jù)網(wǎng)絡(luò)設(shè)備連接方式,VPN主要有兩種應(yīng)用形式,即遠程訪問VPN(遠程訪問虛擬專網(wǎng))形式和網(wǎng)關(guān)到網(wǎng)關(guān)VPN形式。

1.遠程訪問形式。這種形式主要用于本地企業(yè)用戶接入互聯(lián)網(wǎng)。通過遠程訪問VPN,遠端用戶不再如傳統(tǒng)的遠程網(wǎng)絡(luò)訪問那樣,通過長途電話撥號到公司遠程接入端口,而是撥號接入用戶本地的ISP,利用VPN系統(tǒng)在公眾網(wǎng)上建立一個從客戶端到網(wǎng)關(guān)的安全傳輸隧道,遠程主機通過在本機上運行的VRC客戶端軟件,與公司內(nèi)部網(wǎng)網(wǎng)關(guān)建立VPN隧道,實現(xiàn)安全通信。

2.網(wǎng)關(guān)到網(wǎng)關(guān)VPN形式。還有一些企業(yè)建立了異地分支機構(gòu),需要通過網(wǎng)絡(luò)實現(xiàn)與總部局域網(wǎng)的互聯(lián)。網(wǎng)關(guān)到網(wǎng)關(guān)VPN可以實現(xiàn)異地分支機構(gòu)的局域網(wǎng)的安全互連。利用Internet的線路保證網(wǎng)絡(luò)的互連,并利用VPN的安全隧道、加密等特性可以保證信息在公司各機構(gòu)局域網(wǎng)的網(wǎng)關(guān)之間安全傳輸。網(wǎng)關(guān)到網(wǎng)關(guān)VPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施,連接企業(yè)單位總部、遠程辦事處和分支機構(gòu)。

(三)VPN技術(shù)的優(yōu)點

第一,VPN技術(shù)在信息隧道入口,即企業(yè)局域網(wǎng)網(wǎng)關(guān)認證的起點,設(shè)置了用戶身份準(zhǔn)入驗證。另外,VPN還支持各種通用的安全和加密協(xié)議,如SecureIP(IPsec)和Microsoft點對點加密(MPPE)技術(shù)等等。

第二,降低成本。由于VPN設(shè)備自身帶有路由和訪問控制功能,在企業(yè)用戶訪問互聯(lián)網(wǎng)時能夠?qū)崿F(xiàn)路由配置及安全策略監(jiān)控,因此可以大幅度地減少在安裝配置遠端網(wǎng)絡(luò)接口所需設(shè)備上的開銷,顯著地降低成本。

第三,節(jié)省網(wǎng)絡(luò)資源。企業(yè)可以使用VPN替代租用線路來實現(xiàn)分支機構(gòu)的連接,這樣就可以實現(xiàn)對遠程線路進行安裝、配置和管理,并且可以最大限度地降低局域網(wǎng)網(wǎng)絡(luò)功能設(shè)計所需的模塊。另外,VPN通過撥號訪問來自于ISP或NSP的外部服務(wù),減少了調(diào)制解調(diào)器數(shù)量,簡化了所需的接口,同時簡化了與遠程用戶認證、授權(quán)和記賬相關(guān)的設(shè)備和處理。

第四,可以隨意實現(xiàn)與戰(zhàn)略伙伴之間的聯(lián)網(wǎng)。以往企業(yè)因業(yè)務(wù)需要與其他單位實施聯(lián)網(wǎng),必須租用或安裝專線,并需要購置昂貴的交換機等設(shè)備。使用VPN技術(shù)后,企業(yè)可以隨時通過設(shè)置虛擬遠程網(wǎng)絡(luò),與戰(zhàn)略伙伴實施局域網(wǎng)互聯(lián),查看有關(guān)數(shù)據(jù)及業(yè)務(wù)資料。而業(yè)務(wù)活動結(jié)束后,雙方也可以隨時切斷局域網(wǎng)互聯(lián),省卻相關(guān)費用。

第五,功能拓展空間大。企業(yè)單位需要擴大局域網(wǎng)服務(wù)范圍或提升服務(wù)功能,可以隨時與新的IPS代理機構(gòu)簽約,建立賬戶密碼等信息;也可以與原有的ISP重簽合約,擴大服務(wù)范圍。利用VPN技術(shù),企業(yè)為遠程機構(gòu)設(shè)置局域網(wǎng)相關(guān)服務(wù)也十分簡單,使用簡單的命令就可以使內(nèi)網(wǎng)路由器兼有Internet和VPN兼容能力。

第六,使用方完全掌握使用控制權(quán)。企業(yè)單位借助VPN技術(shù),通過ISP的設(shè)施和服務(wù),可以完全掌握局域網(wǎng)運行及局域網(wǎng)用戶連接互聯(lián)網(wǎng)的情況。企業(yè)通過ISP設(shè)定用戶名及密碼后,網(wǎng)絡(luò)管理可以交由ISP負責(zé),企業(yè)則可以為部門設(shè)置相關(guān)口令信息,實現(xiàn)對局域網(wǎng)運行狀況的監(jiān)測。

綜上所述,VPN技術(shù)擁有諸多優(yōu)勢,應(yīng)當(dāng)成為未來解決企業(yè)互聯(lián)網(wǎng)安全問題的有效手段。但是不能否認的是,作為一種新興的技術(shù),VPN本身仍具有許多的不足。企業(yè)局域網(wǎng)安全問題是一個復(fù)雜的矛盾綜合體,VPN技術(shù)只能作為防范風(fēng)險的一種較為有效的手段,必須要調(diào)動其他手段進行輔助,才能確保企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全萬無一失。

參考文獻:

[1]張建標(biāo)等譯,《網(wǎng)絡(luò)安全評估》,科學(xué)出版社,2009年1月.

[2]李濤編著,《網(wǎng)絡(luò)安全概論》,電子工業(yè)出版社,2004年11月.

[3]《什么是VPN》,http://baike.baidu.com/view/19735.htm.