虛擬網絡技術與企業內部網絡應用

胡婧

北京交通大學 北京 100044

0 引言

隨著網絡技術在企業管理中的不斷普及，信息化的應用層次不斷深入，各種局域網及其應用系統已經得到廣泛應用，應用領域也從傳統的個別部門的簡單業務，逐漸向涵蓋企業關鍵業務的整體網絡系統擴展。尤其是以 Internet為代表的全球性的信息共享，為企業利用網絡進行信息交換和管理提供了有利的條件。例如一般企業的內部管理系統，銀行的金融業務系統，證券公司的證券交易系統，甚至黨政機關的信息系統等，越來越多的企業建立了自己的內部網絡，并與 Internet相連。因此，如何在充分利用企業的現有資源，不需要高額投資的基礎上，建立高效，安全，易維護的企業內部網絡，已經成為影響企業未來發展的一個重要課題。然而，傳統的企業內部網絡配置中，仍然存在一些需要解決的問題。

1 傳統企業網絡介紹

傳統企業網絡的接入方式十分昂貴。在傳統的企業網絡配置中，要使各部門局域網之間進行遠程訪問，通常采用的一種方法是DDN(數字數據網)專線，它由數字傳輸電路和相應的數字交叉復用設備組成，其中，數字傳輸主要以光纜傳輸電路為主，數字交叉連接復用設備對數字電路進行半固定交叉連接和子速率的復用。DDN作為計算機數據通信聯網傳輸的基礎，提供點對點、一點對多點的大容量信息傳送通道，如利用全國DDN網組成的海關、外貿系統網絡。各省的海關、外貿中心首先通過省級DDN網長途中繼，到達國家DDN網骨干核心節點，然后由國家網管中心按照各地所需通達的目的地分配路由，建立一個靈活的全國性海關外貿數據信息傳輸網絡，并且可通過國際出口局與海外公司互通信息，足不出戶就可進行外貿交易。但是在整體網絡的資源利用率上，DDN獨享資源，信道專用將會造成一部分網絡資源的浪費，而且用戶需要租用一條專用通信線路，因此通訊及維護費用非常昂貴。

傳統企業網絡的安全性存在問題。計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引伸，即網絡安全是對網絡信息保密性、完整性和可用性的保護。企業網絡安全是企業內部網絡賴以生存的保障，只有網絡安全得到保障，企業網絡才能更好地實現自身的價值。

影響企業網絡安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，主要包括以下幾個方面：①病毒的感染。如蠕蟲病毒，木馬程序等，計算機病毒一直是計算機系統安全最直接的威脅。病毒依靠網絡迅速傳播，它很容易的通過代理服務器以軟件下載，郵件接收等方式進入企業網絡，竊取企業機密文件等，從而給企業造成很大的損失。②來自外部網絡的攻擊。外部網絡入侵者偽裝為合法用戶，惡意修改網絡數據，竊取或破壞企業機密信息等。③來自企業內部網絡的攻擊。在企業局域網內部，如非法盜用別人的用戶口令，以合法身份盜用機密信息，破壞信息內容等。實際上，企業網絡的安全性并不是十分樂觀，目前歐州各國的小型企業每年因計算機病毒導致的經濟損失高達上百億歐元，而這些病毒主要是通過電子郵件進行傳播的。而包括從身份盜用到網絡間諜在內的其他網絡安全問題造成的損失則很難量化，網絡安全問題帶來的損失由此可見一斑。

2 虛擬網絡技術介紹

為了解決企業內部網絡存在的以上問題，可以采用更為先進的虛擬專用網絡(Virtual Private Network, VPN)技術。它是一種利用 Internet或其他公共互聯網絡的基礎設施，為用戶提供具有安全性和可靠性的專用網絡的技術。顧名思義，它并不是像前面提到的數字數據網(DDN)那樣的真正的專用網絡，但是卻能夠實現專用網絡的功能。所謂虛擬，是指在虛擬專用網中，不再需要在兩個節點之間建立傳統的端到端的物理鏈路，而是利用公共網的資源動態組成的。所謂專用網絡，是指用戶可以根據自己的需求，建立一個“量身定做”的專用網絡。由于 VPN是在公共網絡上臨時建立的專用虛擬網絡，企業用戶就省去了租用專線的費用，而所需的資金支出，僅僅是需要購買一套 VPN設備，以及向企業所在地的網絡服務提供商(ISP)支付一定的上網費用。相比DDN專線而言，采用VPN技術的運營成本大大降低。

在確保網絡安全性方面，VPN主要采用隧道技術，加解密技術，密鑰管理技術以及使用者與設備身份認證技術。實現 VPN的最關鍵部分是在公共網絡上建立虛信道，而建立虛信道就是利用隧道技術實現的，隧道是利用一種協議傳輸另一種協議的技術，即用隧道協議來實現 VPN功能。為創建隧道，隧道的客戶機和服務器必須使用同樣的隧道協議。常用的VPN隧道協議主要包括第二層隧道協議--L2TP，第三層隧道協議--IPSec以及安全套接層協議--SSL。

一種方案是采用L2TP協議，它主要由L2TP訪問集中器(L2TP Access Concentrator, LAC)和L2TP網絡服務器(L2TP Network Server, LNS)構成，企業用戶通過公用電話網或ISDN撥號呼叫本地接入服務器LAC；LAC接受呼叫并進行基本的識別過程，這一過程可以采用幾種標準，如域名、呼叫線路識別(CLID)或撥號 ID業務(DNIS)等，當用戶被確認為合法企業用戶時，就建立一個通向LNS的撥號VPN隧道，LAC將用戶的PPP幀封裝后通過隧道傳送到LNS，后者去掉封裝包頭，取出PPP幀，再去掉PPP幀頭，最后獲得網絡層數據包。L2TP的優點在于通過使用Nr(下一個希望接受的信息序列號)和Ns(當前發送的數據包序列號)字段進行流量和差錯控制。雙方通過序列號來確定數據包的順序和緩沖區，一旦丟失數據，根據序列號可以進行重發。作為PPP的擴展協議，L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。L2TP定義了控制包的加密傳輸，每個被建立的隧道分別生成一個獨一無二的隨機密鑰，以便對付欺騙性的攻擊。但是由于它對傳輸中的數據并不進行加密，所以更加安全的一種做法是與IPSce協議相結合使用。IPSec協議不是一個單獨的協議，它給出了應用于IP層上網絡數據安全的一整套體系結構，包括網絡認證協議認證頭(Authentication Header, AH)、封裝安全載荷(Encapsulating Security Payload, ESP)、因特網密鑰交換(Internet Key Exchange, IKE)和用于網絡認證及加密的一些算法等。認證機制使 IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭篡改。加密機制通過對數據進行加密運算來保證數據的機密性，以防數據在傳輸過程中被竊聽。IPsec協議中的AH協議定義了認證的應用方法，提供數據源認證和完整性保證；ESP協議定義了加密和可選認證的應用方法，提供數據可靠性保證，IKE協議通過一系列數據的交換，最終計算出雙方共享的密鑰。

對于一般企業來說，以上兩種協議相結合的虛擬網絡配置方案，已經提供了足夠的網絡訪問安全性，可以保證在公網中建立的虛信道不被非法用戶篡改。但是，如果需要訪問內部網絡人員的身份多種多樣，比如可能有自己企業的員工、控股公司的工作人員、供貨商、分銷商、商業合作伙伴等，那么除了保證網絡訪問的安全性以外，還要具備根據不同用戶的不同身份，給予不同的訪問權限，以達到保護敏感數據安全性的目的。這時涉及到另一種方案，采用安全套接層協議(SSL)的VPN網絡。在安全性方面，SSL安全通道是在客戶與所訪問的網絡資源之間建立的，無論在內部網絡還是在因特網上數據都不是透明的，客戶對資源的每一次操作都需要經過安全的身份驗證和加密，這樣可以確保點到點的真正安全。不同身份的用戶雖然都可以通過SSL安全同道進入內部網絡，但是不同人員可以訪問的數據是不同的。而且在配合一定的身份認證方式的基礎上，不僅可以控制訪問人員的權限，還可以對訪問人員的每個訪問，做的每筆交易、每個操作進行數字簽名，保證每筆數據的不可抵賴性和不可否認性，為事后追蹤提供了依據。

3 結論

通過上面提到的幾種方案，可以說明 VPN技術已經能夠提供足夠的網絡安全保障，可以保證用戶數據不被非法訪問與修改，所以用戶不必擔心企業內部的數據在公網上傳輸的安全性。另外，隨著ADSL、DWDM等技術的大規模應用和推廣，互聯網帶寬的不斷增加，企業用戶不再需要花費大量的經費去投資自己的專用網絡，甚至花費巨額的長途話費進行遠程網絡接入。企業用戶可以根據自身需求，選擇適合自己的虛擬網絡應用，這樣不僅會大大節省廣域網的建設和運行維護費用，而且增強了網絡的可靠性和安全性。從企業自身的發展來看，VPN會加快企業網的建設步伐，使得集團公司不僅僅只是建設內部局域網，而且能夠很快地把全國各地分公司的局域網連起來，從而真正發揮整個網絡的作用。在不遠的將來，VPN技術必將成為企業內部網絡建設的最佳解決方案之一。

[1]謝希仁.計算機網絡(第 4版)[M].北京:電子工業出版社.2003.

[2]王晶晶.基于IPSec協議的VPN技術探索與研究[J].電腦知識與技術.2008.

[3]羅愛玲,馬范援.虛擬專網安全性的研究與實現[J].計算機工程.2004.

[4]張建軍,田偉.VPN 在企業信息網絡建設中的應用[J].網絡安全技術與應用.2006.