網絡安全技術在連鎖企業中的應用

◆黃海軍

網絡安全技術在連鎖企業中的應用

◆黃海軍

（云南工商學院 云南 651700）

本文針對企業服務器直接放置在公網存在的安全隱患問題、企業類關鍵數據在交互時容易導致數據的泄露問題進行分析，通過采用防火墻的NAT技術，以及L2TP OVER IPSec和GRE OVER IPSec實現企業私網數據穿越公網，在公網中屏蔽了企業服務器地址，使公網不能直接攻擊企業服務器，實現了對企業服務器的安全加固。加強了企業總部與個人及分支機構間交互數據時的安全性，采用域管理機制及數字證書與端口隔離技術來加強企業內部網的安全性。通過上述安全策略手段構建了一個安全、健壯、穩定的企業網絡，提升了企業的服務品質。

網絡安全；IPSec；VPN

隨著計算機網絡應用的不斷普及，有效地支撐了企業的發展，并且起到了極為重要的作用，但網絡帶來的安全問題也日漸凸顯，如何構建一個穩定、安全、可靠的企業網絡，已成為當下企業組網最為關注的問題，目前企業網遠程聯網存在聯網成本高，傳輸安全性低的普遍性問題，企業服務器暴露在公網里也容易受到攻擊，企業內部各部門之間的訪問安全性也需要解決，因此，使用網絡安全技術解決企業的遠程連接安全性、服務器安全性、不同部門之間訪問安全性，為解決上述幾個問題，同時也為了最大限度保證企業網能夠安全穩定運行，可以采用IPSec VPN 安全遠程加密訪問技術，加密保護數據包的內容，使用防火墻的DMZ區域保證服務器安全，DMZ（Demilitarized Zone）中文名稱為“隔離區”，將服務器專門放于這個區域以供外網訪問，通過相應安全策略保障服務器可以被安全地訪問。通過VLAN安全隔離技術解決不同部門之間訪問安全性問題。

1 IPSec簡介

IPSec（Internet Protocol Security）VPN是指使用IPSec協議來達到遠程訪問的一種VPN技術。IPSec既能保護數據包內容，同時也能對通過自身的數據包進行篩選，選擇通過驗證的數據包，防止網絡中的惡意攻擊。企業通過對數據進行加密，安全協議及動態密鑰的管理來實現數據傳輸，是種安全可靠的傳輸方式。通過使用對稱加密算法和非對稱加密算法來保證數據傳輸的私密性。使用Hash散列函數認證，保障數據的安全性和完整性。

IPSec協議使用AH（Authentication Header）協議為數據傳輸提供完整性的保障和認證安全的服務，并且能阻止重放攻擊。并且為IP數據包提供數據源認證服務，通過在傳輸過程中加入一個共享密鑰來確保對數據源的認證；數據完整性服務，通過MD5的校對來保障數據的一致性，防止修改、刪除信息；抗重放服務：由AH報頭序列號來實現，能保證每個IP包的唯一性。

IPSec協議使用ESP（Encapsulating Security Payload）協議為數據傳輸提供加密，保障數據傳輸完整性和源認證三大服務，并防止重放攻擊。

IPSec協議使用IKE互聯網密鑰交互協議為AH和ESP模式下密鑰提供生成、分發和管理。IKE是3個協議的混合體，分別是密鑰生成協議（Oakley），密鑰管理協議（ISAKMP），密鑰交換協議（SKEME）。IKE將生成的密鑰保存在安全聯盟（SA），方便數據傳輸時使用。

2 VPN簡介

VPN即虛擬專用網，通過公網組建企業私有網絡，實現安全通信，降低組網費用。在VPN（Virtual Private Network）出現之前，跨越Internet的數據傳輸只能依靠現有物理網絡，具有很大的不安全因素。企業的總部和分支機構位于不同區域（比如位于不同的國家或城市），當分支機構員工需訪問總部服務器的時候，數據傳輸要經過Internet。由于互聯網中存在很多的不安全問題，則當分支機構向總部服務器發送訪問請求時，報文容易被網絡中的黑客竊取或篡改。最終造成數據泄密、重要數據被破壞等后果。VPN的基本原理是利用隧道（Tunnel）技術，對傳輸報文進行封裝，利用VPN骨干網建立專用數據傳輸通道，實現報文的安全傳輸。隧道技術使用一種協議封裝另外一種協議報文（通常是IP報文），而封裝后的報文也可以再次被其他封裝協議所封裝。對用戶來說，隧道是其所在網絡的邏輯延伸，在使用效果上與實際物理鏈路相同。

3 安全技術應用

3.1 企業網絡安全現狀分析

該企業為全省連鎖企業，總部在昆明，在各市設有分支機構，企業將服務器配置公網IP為企業提供相關應用服務。同時為實現總部與分支機構及個人業務數據的交互，在總部與分支機構的路由器上采用GRE VPN 與L2TP VPN的方式實現企業私網數據在公網中承載與交互。在企業總部有財務部、業務部、技術部等部門，各部門之間的主機可以相互直接訪問。該網絡組建運營后，經了解后發現公司服務器很容易遭受攻擊，影響到企業的正常運營。同時，公司負責人要求在公司中承載企業私網數據時要保證其數據不被泄露，并要求加強財務部門數據的安全性。針對上述要求，本文提出了構建安全、可靠、穩定的企業網絡安全設計規劃，來為企業網絡的安全保駕護航。

3.2 遠程訪問安全應用

為避免企業服務器直接暴露在公網，在此安全設計中購置了華為USG6370防火墻來加強服務器的安全。防火墻可以在企業私有網絡與公網間實施安全防范機制，可以將企業網絡分區域管理，分為內部區域，外部區域，DMA區，不同區域的安全級別不同，在此安全設計中，將企業的WEB、郵件服務器放置在DMZ區域中，而企業的FTP服務器、數據庫服務器、DHCP服務器放置在內部區域，為保證外部區域的用戶能訪問WEB等服務器，在防火墻上配置NAT SERVER技術、將WEB等服務器的私有地址及端口映射到防火墻外部區域的公網地址及端口上，使得WEB等DMZ內的服務器在公網及企業內網中不可見，讓其公網用戶與企業內網用戶只知曉這些服務器的公網地址，不知曉其真實的私網地址。公網用戶與企業內網用戶不能直接訪問，進而有效避免在公網及企業內網中可以直接攻擊這些服務器，保障了業務的正常使用。為了使企業內部網絡用戶能訪問公網中的資源，在防火墻上配置了一對多的端口NAT技術，使得一個公網地址可以映射多個企業私網地址，保障了企業內部網絡用戶可以輕松地訪問公網中豐富的資源，同時使公網不能訪問企業內網中的資源，保護了企業內網數據的安全。為響應企業負責人要求加強總部與分支及總部與個人業務交互時數據安全的要求，在原來的GRE，L2TP VPN技術基礎上進行整改，采用IPSec技術來承載GRE與L2TP數據。IPSec是一種網絡層的安全保障機制，可以在一對通信節點之間提供一個或多個安全的通信路徑。一個系統能選擇其所需要的安全協議，確定安全服務所使用的算法，并為相應安全服務配置所需密鑰。IPSec的ESP協議可實現訪問控制，機密性、數據完整性、數據來源等驗證功能。在現有安全系統中采用該技術無須增加新設備，而且不需要對原來的配置進行大量的修改，只需要在原來的設備上增加IPSec的配置，用GRE來封裝企業私網數據，再通過IPSec來承載GRE，使得企業的私網數據得到了IPSec保護的同時又實現了企業私網數據穿越公網，有效地保障了企業與分支機構間數據交換的安全，而對于個人用戶想與企業總部間進行私網數據的交互，采用L2TP OVER IPSec的方式解決。

3.3 企業內部網絡安全應用

為加強財務部門及各部門間的數據安全，通過VLAN技術為每部門劃分一個VLAN，每一個VLAN都有其對應的一個廣播域，有效控制廣播域范圍。一旦某部門遭受廣播攻擊時只會影響到該部門的主機，不會影響到別的部門業務的正常使用。為了加強財務部門的安全性，在財務部門各用戶所連接的交換機上啟動端口隔離技術，即使這些用戶主機處于同一個廣播域，也不能相互訪問，進一步加強了財務部門業務數據交互的安全，同時為加強財務部門服務器的安全性，在財務部門服務器啟用數字證書功能，通過數字證書的方式對訪問財務部門服務器的用戶進行身份驗證，使得所有的數據傳輸都不可抵賴，使數據具有機密性，防篡改。而財務部門各用戶訪問財務系統的服務器時，采用HTTPS訪問協議進行訪問，HTTPS協議比HTTP協議有更好的安全性，在通信的過程中為財務部門服務器與財務部門用戶數據的交互提供了身份認證，數據加密等功能，保障了通信過程中數據的安全可靠。

為加強企業內各主機的安全與內網的安全性，通過域管理方式管理企業各用戶主機，用戶通過域管理員分配的賬號，權限登錄客戶端，訪問域內的授權資源，通過使用域模式，不僅使得資源管理更加集中統一，同時也使得普通組管理模式下難于實現的管理難題得以解決，通過域內的組策略方式，可以禁止域內計算機上運行非法程序，統一域內所有計算機的桌面，IE主頁，禁止用戶修改注冊表，禁止用戶使用U盤等，可以將企業內用戶都需要使用的軟件集中發給用戶，在方便管理企業用戶的同時，有效地提升了企業內網的安全性與健壯性。

4 總結

網絡安全技術是目前保護企業網絡的安全保障，將不同的網絡安全技術進行綜合運用，可以有效地保護遠程網絡訪問安全性，更加有效地保護了內部網絡，也非常有效地保護了服務器，不受到外網的攻擊，提高了整個網絡安全性能，

通過此次的網絡系統安全改造，網絡安全性比升級前得到了良好的改善，特別是服務器日志的攻擊記錄明顯下降，響應速度也大大提升，系統的登錄賬號密碼也得到了安全保障。

[1]張韜.NAT穿越技術在IPSec VPN中的意義與實現[J].電腦知識與技術：學術版，2019，15（11）：17-18

[2]羅濤.跨區域企業中VPN技術的有效運用現代研究.科學與信息化，2017（7）：21-21

[3]岳瑩，孫廣波，楊敏，王浩，楊瑾.VPN技術在企業專網建設中的應用研究[J].移動通信，2015，0（21）：49-54

[4]王飛.VPN在中小型企事業單位中的應用研究[J].電腦知識與技術：學術交流，2014（3）：1394-1396

[5]張友國.GRE-over-IPsecvPN工程設計及實現——基于合肥百大集團網絡的VPN應用[J].電腦知識與技術：學術交流，2013，9（9）：5623-5627

[6]朱祥華.VPN技術在企業遠程辦公中的研究與應用[J].信息安全與技術，2011（1）：35-38

[7]何文波，邵蘊秋.基于IPSec的VPN技術在機房設備遠程維護中的應用.現代電視技術，2017（1）：97-99.

[8]李獻軍，張少芳，李巖.基于L2TP的遠程訪問VPN的實現.電腦知識與技術：學術版，2019，15（8）：50-52.