淺析某大型工程公司ＶＰＮ解決方案

摘要：本文通過分析某企業VPN解決方案，詳細介紹VPN方案的特點，同時比較IPSec VPN和SSL VPN兩種架構的優缺點，指出必須根據不同的環境選擇相適應的VPN安全策略。

關鍵詞：IPSec VPN；SSL VPN；網絡安全；遠程接入

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)15-2pppp-0c

Analysis of a Large Engineering Company VPN Solution

WANG Yong

(Huatian Engineering Technology Corporation，MCC，Ma'anshan 243005，China)

Abstract:By analyzing an enterprise VPN solution， VPN detail the characteristics of the programme， compared IPSec VPN and SSL VPN framework of the advantages and disadvantages of both， pointing out that the environment must be based on different options suitable VPN security strategy.

Key words:IPSec VPN;SSL VPN;Network Security;Remote Access

隨著我公司管理信息系統的日益完善和推廣使用，各分院（分部）及分、子公司、設計/總承包現場均有通過因特網訪問公司管理信息系統的需求。同時出差人員也需要通過一種安全的途徑訪問公司資源，處理辦公事務。而現代網絡技術的迅猛發展已經使VPN（虛擬專用網）成為業界公認的網絡遠程訪問技術。該技術被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展與延伸。

1 需求分析

1.1 公司網絡現狀：

公司目前通過10M電信光纖接入因特網，網內各計算機通過代理上網，目前暫未部署防火墻。各分、子公司及分院（分部）根據規模不同，有的采用ADSL路由器或租用ISP寬帶上網。有的個人用戶采用撥號方式上網。

從網絡現狀中，我們可以看出代理服務器是因特網接入的瓶頸所在。上網速度受到代理服務器運行效率的影響而無法進一步提高，也大大增加了單點故障的概率。代理服務器無法提供安全而穩定的外部網絡接入需求、無法提供高效和安全的對外網絡服務、無法防御互聯網無處不在的網絡威脅。

1.2 對未來網絡的需求：

在性能和安全滿足的條件下，采用較低的成本完成以下功能：

A、公司總部網絡的因特網接入改用硬件防火墻。

B、各子公司、分公司及分院（分部）的計算機可安全地訪問公司總部管理信息系統平臺及相關資源。

C、各施工現場項目部和出差人員的計算機可安全地訪問公司總部管理信息系統平臺及相關資源。

1.3 對目前組網技術的比較：

從組網技術上分析，將各子公司、分公司或現場接入總公司的組網方法，主要有三種：

A、專線或幀中繼網絡

B、遠程撥號接入網絡

C、VPN網絡

采用專線方式接入，不但前期投入大，而且建成后需要專業的網絡維護工程師維護，并且每月需要負擔非常高的數字電路租用費用和信息費用。專線的方式并不能解決移動用戶接入的問題，用戶還需要尋找其他的接入方式。

采用撥號接入的方式，前期投入比較少，但長時間的連接需要花費大量的電話費用，而且撥號接入方式速率低，不穩定，不能保證數據的安全傳送。

所以，我們推薦使用VPN組網方式，不但節約大量的前期投入，而且日后維護簡單，每月只需要負擔很少的Internet接入費用。速率高，穩定好，并且通過高強度的加密來保證數據傳送的安全。而且，VPN的組網方式同時解決了出差人員接入的問題。

2 VPN技術概述

虛擬專用網（VPN）技術是一種以公用網絡，尤其是Internet為基礎，綜合運用隧道封裝、認證、加密、訪問控制等多種網絡安全技術，為企業總部、分支機構、合作伙伴及遠程和移動辦公人員提供安全的網絡互通和資源共享的技術，包括和該技術相關的多種安全管理機制。VPN的主要目標是建立一種靈活、低成本、可擴展的網絡互連手段，以替代傳統的長途專線連接和遠程撥號連接，但同時VPN也是一種實現企業內部網安全隔離的有效方式。VPN技術需要解決的主要問題概括起來就是：實現低成本的互通和安全。

2.1 企業網絡互聯的基本安全要素

企業通過公網實現跨地域的系統互聯必然面臨安全問題。使用公用網絡會導致機構間的傳輸信息容易被竊取，同時攻擊者有可能通過公網對機構的內部網絡實施攻擊，因此虛擬專用網的重點在于建立安全的數據通道，該通道應具備以下的基本安全要素

(1)保證數據的真實性。

(2)保證數據的完整性。

(3)保證通道的機密性。

(4)提供動態密鑰交換功能和集中安全管理服務。

(5)提供安全防護措施和訪問控制。

2.2 VPN技術基礎

實現一個完整VPN的主要基礎技術包括隧道技術、密碼技術和網絡訪問控制技術。隧道技術使得各種內部數據包可以通過公網進行傳輸；密碼技術用于加密隱蔽傳輸信息、認證用戶身份、抗否認等，網絡訪問控制技術用于對系統進行安全保護，抵抗各種外來攻擊。

隧道技術

由于受到Internet網絡中IP地址資源短缺的影響，各企業內部網絡使用的多為私有IP地址，從這些地址發出的數據包是不能直接通過Internet傳輸的， 而必須代之以合法的IP地址。有多種方法可以完成這種地址轉換，如靜態IP地址轉換、動態IP地址轉換、端口替換、數據包封裝等，對于VPN而言，數據包封裝（隧道）是最常用的技術。數據包封裝發生在VPN的發送節點，此時需將原數據包打包，添加合法的外層IP包頭，這個包可通過公網被傳送到接收端的VPN節點，該節點接收后進行拆包處理，還原出原報文后傳述給目標主機。幾乎所有的VPN技術均采用了數據包封裝技術。

密碼技術

密碼技術是實現網絡安全的最有效的技術之一，實際上，數據加密作為一項基本技術已經成為所有通信數據安全的基石。在多數情況下，數據加密是保證信息機密性的唯一方法。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和 入網，而且也是對付惡意軟件的有效方法，這使得它能以較小的代價提供很強的安全保護。

數據加密過程是由各種加密算法來具體實施，按照收發雙方密鑰是否相同來分類，可以將這些加密算法分為對稱密碼算法和非對稱密碼算法（公鑰算法）。

網絡訪問控制技術

網絡訪問控制技術對出入廣域網的數據包進行過濾，即傳統的防火墻功能。由于防火墻和VPN均處于公網出口處，在網絡中的位置基本相同，而其功能具有很強的互補性，因此一個完整的VPN產品應同時提供完善的網絡訪問控制功能，這可以在系統的安全性、性能及統一管理上帶來一系列的好處。

2.3 IPSec VPN網絡安全體系

目前建造虛擬專用網依據的主要國際標準有IPSec、L2TP、PPTP、L2F、SOCKS等。各種標準的側重點有所不同，其中IPSec是由IETF正式定制的開放性IP安全標準，是虛擬專網的基礎。實際上，IPV6版本就將IPSec作為其組成部分，而L2TP協議草案中也規定它（L2TP標準）必須以IPSec為安全基礎。目前，采用IPSec標準的VPN技術已經基本成熟，得到國際上幾乎所有主流網絡和安全供應商的鼎力支持，并且正在不斷豐富完善。可以斷定，IPSec將成為未來相當一段時間內企業構筑VPN的主流標準，因此企業在構造VPN基礎設施時應該首先考慮IPSec標準。

IPSec的一個最基本的優勢是它可以在各種網絡訪問設備、主機服務器和工作站上完全實現，從而使其構成的安全通道幾乎可以延伸至網絡的任意位置。在網絡端，可以在路由器、防火墻、代理網關等設備中實現VPN網關；在客戶端，IPSec架構允許使用基于純軟件方式使用普通Modem的PC機和工作站。

2.4 SSL VPN網絡安全體系

SSL VPN與IPSec VPN是目前流行的兩類Internet遠程安全接入技術，它們具有類似功能特性，但也存在很大不同。

SSL 通過加密方式保護在互聯網上傳輸的數據安全性，它可以自動應用在每一個瀏覽器上。這里，需要提供一個數字證書給Web 服務器，這個數字證書需要付費購買，相對而言，給應用程序設立SSL 服務是比較容易的。

SSL用戶僅限于運用Web瀏覽器接入，這對新型基于Web的商務應用軟件比較合適，但它限制了非Web應用訪問，使得一些文件操作功能難于實現，如文件共享、預定文件備份和自動文件傳輸。用戶雖可以通過升級、增加補丁、安裝SSL網關或其它辦法來支持非Web應用，但實現成本高且復雜，難以實現。

2.5 IPSec VPN與SSL VPN優劣比較

IPSec VPN能順利實現企業網資源訪問，用戶不一定要采用Web接入（可以是非Web方式），這對同時需要以兩種方式進行自動通信的應用程序來說是最好的方案。

IPSec VPN和SSL VPN各有優缺點。IPSec VPN提供完整的網絡層連接功能，因而是實現多專用網安全連接的最佳選項；而SSL VPN的“零客戶端”架構特別適合于遠程用戶連接，用戶可通過任何Web瀏覽器訪問企業網Web應用。SSL VPN存在一定安全風險，因為用戶可運用公眾Internet站點接入；IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點接入，但能實現Web或非Web類企業應用訪問。

2.6 企業利用VPN組網的特點

VPN作為計算機網絡的新技術，其主要目標是節省企業的通信費用，特別是替代企業已有的專線，并且提高企業網絡的可管理性，安全型，降低企業通信成本。具體而言，VPN具有以下顯著的優點：

2.6.1 降低成本

當使用Internet時，實際上只需要付短途電話費，卻收到了長途通信的效果。因此，借助ISP來建立VPN，就可以節省大量的通信費，此外，VPN還可以使企業不必投入大量的人力和物力去安裝和維護WAN設備和遠程訪問設備。

2.6.2 容易擴展

支持多種接入實現方式，并且網絡是動態的，可以隨時增減用戶，便于集中控制訪問權限。

2.6.3 可隨意與合作伙伴聯網

在過去企業如想與合作伙伴聯網，雙方的信息技術部門就必須協商如何在雙方之間建自助用線路或幀中繼線路，有了VPN以后，這種協商毫無必要，真正達到了要連就連、要斷就斷。

2.6.4 完全控制主動權

VPN使企業可以使用NSP的設施和服務，同時又完全掌握著自己網絡的控制權。比方說，企業可以把撥號訪問交給NSP去做，由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。

3 企業網絡設備選型建議：

通過對上述兩種遠程安全接入技術的比較分析，結合我公司現有業務流程，主要體現在局域網內應用，以文件操作應用為主。而IPSec方案正是通過建立網絡層連接，使任何業務通過IPSec隧道進行訪問，因而在用戶僅需要網絡層接入時，IPSec是理想方案。

3.1 選擇企業級UTM設備作為公司總部防火墻、IPS及VPN設備

考慮到目前員工數量及今后發展，公司總部VPN網關的VPN通道數應不少于600條。考慮到公司總部尚未部署防火墻系統，可選擇具有防火墻、入侵檢測或入侵防護及VPN“多合一”功能的UTM設備。

UTM是統一威脅管理(Unified Threat Management)的縮寫。 2004年9月，IDC首度提出“統一威脅管理”的概念，即將防病毒、入侵檢測和防火墻安全設備劃歸統一威脅管理（Unified Threat Management，簡稱UTM）新類別。目前，UTM常定義為由硬件、軟件和網絡技術組成的具有專門用途的設備，它主要提供一項或多項安全功能，同時將多種安全特性集成于一個硬件設備里，形成標準的統一威脅管理平臺。UTM設備應該具備的基本功能包括網絡防火墻、網絡入侵檢測/防御和網關防病毒功能。

雖然UTM集成了多種功能，但卻不一定要同時開啟。根據不同用戶的不同需求以及不同的網絡規模，UTM產品分為不同的級別。也就是說，如果用戶需要同時開啟多項功能，則需要配置性能更高、功能更豐富的產品。

目前常見的企業級UTM產品有CISCO ASA55X0、安氏領信X5420、FortiGate 1000A等。

3.2 分、子公司及分院（分部）按照規模大小，選擇VPN網關或VPN路由器作為VPN設備

根據分、子公司及分院（分部）的規模不同，可以分為兩種，一種是規模較大，人員數量接近或超過100人，應選擇并發VPN通道不少于200條的企業級VPN網關。另一種規模中等，人員數量在30~80人之間，可選擇并發VPN通道不少于100條的VPN網關。

3.3 施工現場項目部采用VPN路由器

各施工現場項目部一般通過ADSL、ISDN等方式接入因特網。要求所采用的VPN支持多種接入方式。特別地，對于國外項目應考慮國外因特網接入方式的不同而選擇相應的VPN路由器。每個項目部的VPN通道數應不少于5條。

3.4 單個出差用戶可采用VPN軟件連接

WindowsXP專業版已內置簡單的VPN客戶端軟件。也可選購專業VPN客戶端軟件。經過簡單的客戶端配置，即可實現與企業總部信息系統的互聯互通。

3.5 出差用戶在旅途中可使用無線上網卡（GPRS/CDMA）

為解決旅途中不方便接入的問題，可以預先準備一些無線上網卡供出差用戶臨時借用。

3.6 VPN網絡設備部署策略：

公司總部部署企業級UTM設備，例如CISCO ASA5520、安氏 X5420、FortiGate1000A等，該類型設備具有的VPN通道數至少大于600，千兆級別網絡接口，防火墻吞吐量千兆位bps，最大并發連接數百萬級別，支持最大策略數都在10000以上。而對于分支機構而言，可選用上述產品的百兆級別的產品，連接隧道數、吞吐量、最大并發數、支持策略等參數相應都要下降一數量級，可滿足分支機構上聯需求。

4 結論

通過對于VPN技術的兩種實現方式的分析研究，可以看出IPSec VPN 和SSL VPN這兩種架構，從整體的安全等級來看，兩種都能夠提供安全的遠程接入存取聯機。IPSec VPN和SSL VPN各有優缺點。IPSec VPN提供完整的網絡層連接功能，因而是實現多專用網安全連接的最佳選項；而SSL VPN的“零客戶端”架構特別適合于遠程用戶連接，用戶可通過任何Web瀏覽器訪問企業網Web應用。SSL VPN存在一定安全風險，因為用戶可運用公眾Internet站點接入；IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點接入，但能實現Web或非Web類企業應用訪問。

由于Internet的迅速擴展，針對遠程安全登入的需求也日益提升。對于使用者而言，必須結合企業實際應用情況，采用方便安全實際的解決方案。我們在關注應用方案本身的同時，還應考慮遠程機器外圍設備的特征，多專用網的安全連接需求，企業業務流程軟件平臺的特點等等。作為IT主管必須要綜合評估上述應用需求，以決定采納哪類VPN策略。

參考文獻：

[1]基于IPSec與基于SSL的VPN的比較與分析.計算機工程與設計，2004.4.

[2]王達.虛擬專用網(VPN)精解.清華大學出版社，2004.

[3]戴維斯.IPSec: VPN的安全實施.清華大學出版社，2002.

[4]博蘭普拉格德.IPSec VPN 設計.人民郵電出版社，2006.

收稿日期：2008-02-10

作者簡介：王勇（1976-），男，安徽馬鞍山市人，工程師，工學學士。