VPN企業(yè)專網的安全性分析

任慶輝

【摘要】當前，信息技術的發(fā)展日新月異，互聯(lián)網更是普及世界每一個角落，為便于隨時與客戶或者相關合作者聯(lián)系，許多企業(yè)職工需要時刻與企業(yè)網絡保持暢通，無形之中遠程連接成本大為增加，也使得網絡更為復雜，在這種情況下，網絡管理和安全性成為亟待解決的首要問題。本文所介紹的移動VPN技術，是在某企業(yè)專網實踐基礎上，對該技術運用于企業(yè)專網領域的常規(guī)安全性以及互聯(lián)網安全性等兩方面進行了分析，介紹了VPN企業(yè)專網的安全性。

【關鍵詞】互聯(lián)網;VPN;企業(yè)專網;安全性

引言

目前，以移動通訊技術及互聯(lián)網技術為支柱的信息產業(yè)蓬勃發(fā)展，逐步滲透于人們的工作和生活等各個方面。隨著移動VPN技術的發(fā)展，不僅降低了企業(yè)專網資費，而且也帶給企業(yè)用戶高質量的、移動的數(shù)據(jù)通道。隨之而來的VPN企業(yè)專網的安全性問題，引起了業(yè)界的高度關注。

1.移動VPN技術簡介

所謂的VPN技術（viriualPrivateNetwork），

也就是虛擬專用網技術，是在隧道技術基礎上，采用加密以及身份認證等方法，使私有數(shù)據(jù)在公網上通過“加密管道”得以安全傳輸，從而使網絡安全性達到私有網絡的級別，這樣一來，企業(yè)能夠利用公網構建自身專網，從而介于公眾網與專用網之間，這樣不僅具備公眾網的方便快捷，也兼有專用網的安全性。

移動VPN（虛擬專用網絡技術）利用移動公網資源擴展，改變了任意兩個節(jié)點之間的傳統(tǒng)的連接方式，使其不再是端到端的物理鏈接。該技術是一種新型異地網絡聯(lián)接方式，按照不同的業(yè)務應用，我們把移動VPN分為數(shù)據(jù)業(yè)務應用以及基于智能網的話音業(yè)務應用。

VPN技術的出現(xiàn)，解決了網絡互聯(lián)的安全問題，不僅具有傳統(tǒng)數(shù)據(jù)網絡的安全性，也具備其服務質量，并且共享數(shù)據(jù)網絡結構簡單快捷，其成本也較低，所建立的數(shù)據(jù)通道安全可靠。VPN不僅降低了成本，也解決了用戶日益高漲的對網絡帶寬、接入服務的需求。VPN技術利用公共網絡資源，實現(xiàn)了通信技術的專用，其將分支機構有效地連接，改變了各分支機構物理上分散的狀態(tài)，從而使電子商務以及辦公一體化得以實現(xiàn)。當前，VPN技術的實現(xiàn)基于hitemet，這種常見的VPN技術，存在用戶不能隨意漫游和移動的缺陷。

2.VPN技術在企業(yè)專網中的應用

VPN基于公共網絡建立的企業(yè)專網，其安全性和有效連通性，依賴于各種安全協(xié)議，它利用隧道、身份認證和加密等技術，在公共網絡中構建起安全隧道，從而實現(xiàn)了專用網絡的功能和作用。VPN的核心是隧道技術，作為一種規(guī)范，其以網絡層協(xié)議為基礎，該技術為建立和拆除兩點或兩端間的數(shù)據(jù)傳輸隧道提供了切實保障。

移動VPN技術由于問世時間不長，相關研究剛剛起步，目前對于移動VPN應用的關注，多表現(xiàn)在其業(yè)務的解決方案上，而對其安全問題還缺乏應有的重視?；诖嗽颍槍PN企業(yè)專網的安全性問題，引起了業(yè)界的高度重視。

3.VPN應用于企業(yè)專網的常規(guī)安全性分析

3.1 加密和解密技術

加密和解密技術的應用，保障了VPN技術的安全。隧道技術構建了兩點或者兩端間的數(shù)據(jù)傳輸?shù)膶Ｓ猛ǖ?，此外，還必須使兩邊的設備具有基于信任關系的加密和解密功能，當前，VPN采用諸如IPSec協(xié)議等標準的Internet安全技術，通過加密、解密以及數(shù)字簽名等手段，規(guī)范了兩個IP工作站之間的連接，實現(xiàn)了點對點、端對端的有效連接，從而使VPN的安全性大為提高。

3.2 身份認證和安全策略

由于公共網絡平臺的安全性并無保障，因此，VPN常受到冒名連接，或者收到一些未經授權的隧道建立請求。基于此原因，對于合法用戶，VPN技術嚴格規(guī)范了其安全認證體系，在VPN網絡中構建了一個或者數(shù)個安全認證服務器。

為保障VPN的安全，其增強了驗證限制，包括請求訪問、用戶被準許的撥接地點、IP分配以及用戶最長接入限制等驗證手段。VPN身份認證過程與用戶級別成正比，級別越高，認證過程越嚴格。

3.3 IPSec VPN技術的使用

在IPSec協(xié)議基礎上構建的IPSec VPN，是由IPSec協(xié)議來確保隧道安全。作為一種保障數(shù)據(jù)安全性的機制，IPSec由IETF設計，在IP通訊基礎上，確保了端到端之間的數(shù)據(jù)傳輸?shù)陌踩?，其不僅支持數(shù)據(jù)加密，也保障了數(shù)據(jù)的完整性。在IPSec協(xié)議框架下，密鑰只由發(fā)送和接受雙方掌握。接收方之所以收到完整的數(shù)據(jù)，并且知道數(shù)據(jù)來自發(fā)送方，完全得益于有效的驗證數(shù)據(jù)。

4.VPN應用于企業(yè)專網的互聯(lián)網安全性分析

我們以某企業(yè)專網作為例子來講，隨著信息化程度的提高，其互聯(lián)網內部的應用軟件也隨之增多，如VOD、OA、文件閱讀、視頻會議以及軟件下載、網絡游戲等。通過運用防火墻技術，互聯(lián)網可以將網絡分為內外兩部，從而使上述應用只能被連接在內網的用戶使用，而其它駐外單位采用基于通過Internet接入的方式，因此不在內網服務范圍之內。以下兩種連接方式是針對企業(yè)駐外單位生產管理方式的差異，以及對網絡帶寬的不同需求而設計的。

（1）對于二級或者二級半的固定駐地的單位，因其地處大城市，具備網絡就地接入的良好條件，因此應首先構建內部局域網絡，而后利用支持IPsec VPN功能的防火墻，將出口與長慶互聯(lián)網相接。若無法構建局域網，也可通過一臺或數(shù)臺單機，從而與局內網絡連接。該連接方式如圖1所示。

圖1 某企業(yè)專網二級和二級半單位的連接方式

圖2 某企業(yè)專網臨時住址單位的連接方式

A單位在一臺單機內安裝了VPN協(xié)議客戶端，從而連接了局內網絡的VPN。而B單位則是將IPSec VPN協(xié)議安裝到防火墻上，并通過防火墻將內部局域網絡的出口與局內網絡相接。

（2）對于無固定駐址，或者短期固定住址的單位，因其駐地并不穩(wěn)定，工作區(qū)域一般距離城鎮(zhèn)較遠，從而限制了通訊手段，基于此原因，網絡如何接入應是亟待解決的問題，其連接可利用無線電臺、租用衛(wèi)星電路，也可采用租用DDN專線、撥號上網，以及通過接入帶寬達11Mbps-72Mbps，且30KM范圍內無阻擋的無線接入等方式。該連接方式設計如圖2所示。

上述連接方式的運用，使得各駐外單位的網絡能夠有效與局內網絡相接。相接后，使局內單位和駐外單位能夠同步網上辦公、召開視頻會議以及現(xiàn)場辦公，也使二者實現(xiàn)了文件收發(fā)、閱覽和財務結算的同步統(tǒng)一，提升了企業(yè)信息化的整體水平，提高了決策效率，促進了企業(yè)管理水平的提高。

該連接方式安全可靠，速度極高，這依賴于采用加密通道與密碼驗證二者相結合的方法，因此，避免了內容遭到泄漏的危險，對速度問題也大可放心。該接入方式操作簡單便捷，非專業(yè)人員即可擔任，且沒有必要投入更多的、復雜的專業(yè)設備。但在分析網絡接入規(guī)劃安全性問題時，切記各自行事，而要統(tǒng)一進行，應從以下幾點著手：

（1）具體實施VPN之所以相對容易，控制軟件起著至關重要的作用，該軟件固化于網絡設備上，確保了VPN技術的實現(xiàn)。網絡設計伊始，應充分考慮到可能需要的VPN功能，否則一旦網絡設計完成，雖然可以升級原有的路由、防火墻以及服務器，使之具備VPN功能，但是不僅增加了成本，而且也無法保證其性能。

（2）原有網絡數(shù)據(jù)包的數(shù)量，隨著VPN技術的隧道通信，以及加密、解密的應用而大為增加，30%左右的網絡硬件負載的增加，極有可能使原有網絡的性能受到影響。因此，為構建隧道通信，更好地完成加密、解密等任務，在規(guī)劃網絡初期就應考慮采用專用的VPN設備。

（3）VPN的實現(xiàn)，需要充分考慮原有網絡的現(xiàn)況。對于油田的各個單位，其網絡建設水平存在差異，有的處于起步階段，有的則達到一定規(guī)模。多種協(xié)議可以實現(xiàn)VPN，其也允許多種協(xié)議的共同存在，所以說，在選擇VPN協(xié)議實施之際，應充分考慮到既有網絡協(xié)議與所選VPN協(xié)議是否匹配的問題。

（4）設計和規(guī)范認證策略，是解決VPN安全問題的切實保障，對于準備構建VPN的各個駐外單位，應審慎進行安全認證策略的規(guī)劃，為確保網絡的安全和負載之間的平衡性，應選擇合理的VPN技術所采用的密鑰技術，選取適用的加密方法和適當?shù)拿荑€長度。

（5）嚴格管理安全認證體系，完整地劃定出部門互聯(lián)授權與否的界限 。

（6）目前，不同的網絡廠家在設計生產其VPN產品時，所選用的算法各異，且加入了一些特殊的性能，因而造成不同的廠商推出的VPN在進行銜接時，出現(xiàn)了性能不佳的問題，有的甚至根本無法銜接。

（7）有些廠商設計生產出VPN交換機，以提升VPN的交換能力。該產品通過隧道交換，實現(xiàn)了訪問直接導向到對應的隧道終端，這樣一來，從而使不同的網絡用戶能夠進入不同的網段。

（8）構建交換式的VPN，（下轉第85頁）（上接第83頁）VPN交換機至關重要，其為下一代局域網絡的發(fā)展打下了堅實的基礎，奠定了遠程訪問的基石。當前，各大網絡廠商紛紛推出交換機集成平臺，將路由、VPN和防火墻融為一個系統(tǒng)加以管理，其內置的網絡地址翻譯功能，能夠在網絡之中的任意地點，隨意終止用戶的VPN連接，這樣一來，使得新一代的VPN能夠經濟高效地接納原有遠程訪問網絡，同時接納辦公室和辦公室之間的路由型專用網絡?；诖嗽颍脩粼谶x擇VPN產品時，不必完全聽信廠家出具的網絡評測結果的性能參數(shù)，而是應結合自身需求，客觀分析產品性能。

5.結語

互聯(lián)網的高速發(fā)展，決定了VPN必將成為未來發(fā)展的趨勢，它不僅具有傳統(tǒng)數(shù)據(jù)網絡的安全性，也具備其服務質量，并且共享數(shù)據(jù)網絡結構簡單快捷，其成本也較低，所建立的數(shù)據(jù)通道安全可靠。VPN不僅能夠降低成本，也解決了用戶對網絡帶寬、接入服務的迫切需求，所以說，未來網絡的發(fā)展必將以VPN為方向。

參考文獻

[1]朱江，李方偉，余艷英.基于GPRS網的VPN[J].重慶通信業(yè)，2004（2）.

[2]袁小樂.基于移動智能網的VPN業(yè)務[J].通信世界，2001（6）.

[3]蔣青泉.虛擬專用通信網的構建[J].長沙通信職業(yè)技術學院學報，2002（1）.