基于IPSec的VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用研究

摘 要:在利用Internet技術(shù)建立企業(yè)自己的內(nèi)部網(wǎng)過(guò)程中，VPN(虛擬專用網(wǎng)絡(luò)，Virtual Private Network)作為一種廉價(jià)安全的組網(wǎng)方案越來(lái)越受到企業(yè)的關(guān)注。本文對(duì)基于IPSec的VPN在企業(yè)網(wǎng)中的應(yīng)用進(jìn)行了研究和探討。

關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)虛擬專用網(wǎng)安全

中圖分類號(hào):TP311文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1674-098X(2011)05(a)-0021-02

當(dāng)今隨著企業(yè)網(wǎng)應(yīng)用的日益廣泛，企業(yè)網(wǎng)絡(luò)的范圍也在不斷擴(kuò)大，采用傳統(tǒng)的廣域網(wǎng)建立企業(yè)專網(wǎng)，往往需要租用昂貴的跨地區(qū)數(shù)字專線。同時(shí)，國(guó)內(nèi)Internet近年來(lái)得到迅速發(fā)展，已經(jīng)遍布全國(guó)各地。在物理上，各地的公眾信息網(wǎng)都是連通的，但由于公眾信息網(wǎng)是對(duì)社會(huì)開放的，如果企業(yè)的信息要通過(guò)互聯(lián)網(wǎng)進(jìn)行傳輸，在安全上會(huì)存在著很多問(wèn)題，而VPN的出現(xiàn)則較好的解決了這些企業(yè)所擔(dān)心的網(wǎng)絡(luò)安全問(wèn)題。IPSec VPN技術(shù)無(wú)論從擴(kuò)展性、安全性還是應(yīng)用性方面完全可以滿足型企業(yè)網(wǎng)絡(luò)的需求。

1 VPN簡(jiǎn)要介紹

VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))，是指利用公共網(wǎng)絡(luò)建立私有專用網(wǎng)絡(luò)[1]。數(shù)據(jù)通過(guò)安全的“加密隧道”在公共網(wǎng)絡(luò)中傳播，連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正地去鋪設(shè)光纜之類的物理線路。VPN利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施為企業(yè)各部門提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)，能夠是運(yùn)行在VPN之間的商業(yè)應(yīng)用享有幾乎和專用網(wǎng)絡(luò)同樣的安全性、可靠性、優(yōu)先級(jí)別和可管理性。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的互聯(lián)網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息。同時(shí)，企業(yè)還可以利用互聯(lián)網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到互聯(lián)網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問(wèn)、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。

針對(duì)不同的用戶要求，VPN有三種解決方案:遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(Access VPN)、企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)和企業(yè)擴(kuò)展虛擬網(wǎng)(Extranet VPN)，這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet(外部擴(kuò)展)相對(duì)應(yīng)。

1.1 Access VPN

Access VPN是通過(guò)一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問(wèn)，使用戶隨時(shí)、隨地以其所需的方式訪問(wèn)企業(yè)資源。它包括模擬、撥號(hào)、ISDN、數(shù)字用戶線路(XDSL)、移動(dòng)IP和電纜技術(shù)，可以安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。它適合于內(nèi)部有人員移動(dòng)或遠(yuǎn)程辦公需要的企業(yè)。

1.2 Intranet VPN

Intranet VPN通過(guò)公用網(wǎng)絡(luò)進(jìn)行企業(yè)各個(gè)分布點(diǎn)互聯(lián)，是傳統(tǒng)的專線網(wǎng)或其他企業(yè)網(wǎng)的擴(kuò)展或替代形式。利用IP網(wǎng)絡(luò)構(gòu)建VPN的實(shí)質(zhì)是通過(guò)公共網(wǎng)絡(luò)在各個(gè)路由器之間建立VPN安全隧道來(lái)傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec、GRE等。結(jié)合服務(wù)商提供的QoS機(jī)制，可以有效而且可靠地使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。基于ATM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實(shí)現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但其不足是互聯(lián)區(qū)域有較大的局限性。而另一方面，基于Internet構(gòu)建，VPN是最為經(jīng)濟(jì)的方式，但服務(wù)質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設(shè)時(shí)應(yīng)根據(jù)自身需求對(duì)以上的各種公用網(wǎng)絡(luò)方案進(jìn)行權(quán)衡。

1.3 Extranet VPN

隨著信息時(shí)代的到來(lái)，各個(gè)企業(yè)越來(lái)越重視各種信息的處理。希望可以提供給客戶最快捷方便的信息服務(wù)，通過(guò)各種方式了解客戶的需要，同時(shí)各個(gè)企業(yè)之間的合作關(guān)系也越來(lái)越多，信息交換日益頻繁。Internet為這樣的一種發(fā)展趨勢(shì)提供了良好的基礎(chǔ)，而如何利用Internet進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個(gè)關(guān)鍵問(wèn)題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。 Extranet VPN通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量、可管理性和可靠性。Extranet VPN結(jié)構(gòu)的主要好處是，能容易地對(duì)外部網(wǎng)進(jìn)行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問(wèn)VPN相同的架構(gòu)和協(xié)議進(jìn)行部署。

2 IPSec協(xié)議

VPN主要采用了兩種技術(shù):隧道技術(shù)和安全技術(shù)。隧道技術(shù)當(dāng)前主要有三種協(xié)議支持:PPTP，L2TP和IPSec。隧道技術(shù)主要是完成IP數(shù)據(jù)包的二次封裝，以實(shí)現(xiàn)企業(yè)私有地址在公網(wǎng)上的傳輸。為了確保傳輸?shù)陌踩枰欢ǖ陌踩用苁侄危源_保數(shù)據(jù)的私密性和完整性[2]。安全技術(shù)主要有MPPE、IPSec等加密算法。

IPSec(Security Architecture for IP network，IP層協(xié)議安全結(jié)構(gòu))，在IP層提供安全服務(wù)。在隧道和加密的技術(shù)上，IPSec已成為IP安全的一個(gè)應(yīng)用廣泛、開放的VPN安全協(xié)議，可確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。IPsec定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議，支持一系列加密算法如DES、3DES。他檢查傳輸?shù)臄?shù)據(jù)包的完整性，以確保數(shù)據(jù)沒(méi)有被修改，具有數(shù)據(jù)源認(rèn)證功能。

IPSec適應(yīng)向Ipv6遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，進(jìn)行透明的安全通信。IPSec用密碼技術(shù)提供以下安全服務(wù):接入控制，無(wú)連接完整性，數(shù)據(jù)源認(rèn)證，防重放，加密，防傳輸流分析。IPSec協(xié)議能設(shè)置成在兩種模式下運(yùn)行:一種是隧道(tunnel)模式，一種是傳輸(transport)模式。在隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中。隧道模式是最安全的，但會(huì)帶來(lái)較大的系統(tǒng)開銷。傳輸模式是為了保護(hù)端到端的安全性，即在這種模式下不會(huì)隱藏路由信息。

3 IPSec VPN在企業(yè)網(wǎng)路中的優(yōu)勢(shì)和應(yīng)用

IPSec VPN技術(shù)在IP傳輸上通過(guò)加密隧道，在用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容的同時(shí)，保證內(nèi)部數(shù)據(jù)的安全性，從而實(shí)現(xiàn)企業(yè)總部與各分支機(jī)構(gòu)之間的數(shù)據(jù)、語(yǔ)音、視頻業(yè)務(wù)互通[3]。如今，許多企業(yè)已經(jīng)把VPN作為遠(yuǎn)端分支和移動(dòng)用戶連接的主要手段，構(gòu)建企業(yè)虛擬業(yè)務(wù)網(wǎng)，而國(guó)內(nèi)大量企業(yè)也已開始考慮現(xiàn)在這種方式，并逐漸開始實(shí)施。企業(yè)利用互聯(lián)網(wǎng)建立自己的IPSec VPN有以下優(yōu)勢(shì)。

2.1 經(jīng)濟(jì)

不再承擔(dān)昂貴的固定線路的租費(fèi)。DDN、幀中繼、SDH的異地收費(fèi)隨著通訊距離的增加而遞增，分支越遠(yuǎn)，租費(fèi)越高。而Internet的接入費(fèi)用則只承擔(dān)本地的接入費(fèi)用，無(wú)論分支多遠(yuǎn)，費(fèi)用確實(shí)一樣的。因此，連接長(zhǎng)途分支是，采用Internet作為傳輸骨干是非常便宜的，但帶寬卻可以較高。此外，VPN設(shè)備功能強(qiáng)勁但造價(jià)低廉。

2.2 靈活

連接Internet的方式可以是10M、100M端口，也可以是2M或更低速的端口，還可以是便宜的DSL連接，甚至于撥號(hào)連接都可以連接Internet，因而成為選擇種類眾多的端口連接方式。一個(gè)IPSec VPN網(wǎng)絡(luò)可以連接任意地點(diǎn)的分支，即使跨越大洋也毫不受限制。IPSec VPN可以以低廉的價(jià)格連接少量的分支，也適合連接眾多的分支。IPSec VPN的核心設(shè)備的擴(kuò)展性好，一個(gè)端口可以同時(shí)連接成千上萬(wàn)的分支，包括分支部門和移動(dòng)辦公的用戶，而不需要SDH、DDN等一個(gè)端口對(duì)應(yīng)一個(gè)遠(yuǎn)端用戶。遠(yuǎn)程的IP語(yǔ)音業(yè)務(wù)和視頻也可傳送到遠(yuǎn)端分支和移動(dòng)用戶，連同數(shù)據(jù)業(yè)務(wù)一起為現(xiàn)代化辦公提供便利條件，節(jié)省大量長(zhǎng)途話費(fèi)。

2.3 安全

IPSec VPN的顯著特點(diǎn)就是它的安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。在VPN交換機(jī)上，通過(guò)支持所有領(lǐng)先的通道協(xié)議、數(shù)據(jù)加密、過(guò)濾/防火墻、通過(guò)RADIUS、LDAP和SecurID實(shí)現(xiàn)授權(quán)等多種方式保證安全。同時(shí)，VPN設(shè)備提供內(nèi)置防火墻功能，可以在VPN通道之外，從公網(wǎng)到私網(wǎng)接口傳輸流量。此外，該技術(shù)還可以通過(guò)RADIUS、PAP、CHAP、Tokens、X.509、LDAP和SecurID等認(rèn)證方式。

2.4 冗余設(shè)計(jì)

VPN設(shè)備可提供冗余機(jī)制，保證鏈路和設(shè)備的可靠性。在中心節(jié)點(diǎn)VPN核心設(shè)備提供冗余CPU、冗余電源的硬件冗余設(shè)計(jì)。而在鏈路發(fā)生故障時(shí)，VPN交換機(jī)支持靜態(tài)隧道鼓掌恢復(fù)功能，其安全I(xiàn)P服務(wù)網(wǎng)關(guān)可以在多條路由選擇路徑以及多個(gè)交換機(jī)之間實(shí)現(xiàn)負(fù)載均衡。此外在連接時(shí)，VPN客戶端會(huì)自動(dòng)選擇通訊列表中設(shè)置的本區(qū)域的骨干節(jié)點(diǎn)，當(dāng)本區(qū)域節(jié)點(diǎn)故障時(shí)，自動(dòng)依據(jù)列表上的設(shè)置選擇連接其他VPN交換機(jī)，從而達(dá)到連接的目的。

2.5 有效管理

VPN交換機(jī)的分離通道特性為IPSec客戶端提供同時(shí)對(duì)Internet、Extranet和本地網(wǎng)絡(luò)訪問(wèn)的支持。該技術(shù)可以設(shè)置權(quán)限，允許用戶的訪問(wèn)權(quán)限，如允許本地打印和文件共享訪問(wèn)，允許直接Internet訪問(wèn)和允許安全外網(wǎng)訪問(wèn)，該特性使用戶在安全條件下合理方便第使用網(wǎng)絡(luò)資源，即有安全性又有靈活性。眾多的用戶和復(fù)雜的路由需要路由協(xié)議的支持使得整個(gè)網(wǎng)絡(luò)的地址管理方便有效，RIP和OSPF協(xié)議使得VPN設(shè)備之間像路由器一樣連接和擴(kuò)展，適合網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，并且動(dòng)態(tài)路由協(xié)議可在加密隧道中支持。管理人員可以通過(guò)管理軟件，遠(yuǎn)程配置達(dá)到對(duì)遠(yuǎn)端節(jié)點(diǎn)的管理。

參考文獻(xiàn)

[1]高海英，薛元星，辛陽(yáng).VPN技術(shù)[M].北京:機(jī)械工業(yè)出版社.2004.

[2]戴宗坤，唐三平.VPN與網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社.2002.

[3]王達(dá).虛擬專用網(wǎng)VPN精解[M].北京:清華大學(xué)出版社.2004.