VPN技术在企业网络安全中的运用

　　VPN技术在企业网络安全中的运用

　　第一章 引言

　　现代意义上的计算机网络是从1969年美国国防部高级研究计划局建成的ARPAnet实验网开始的 。当时只有4个结点，发展到现在的正如其名所言如蜘蛛网一般的复杂的万联网。威胁与安全一直都是并存着的。窃听、假冒、重放、拒绝服务、病毒、诽谤等等的威胁无时无刻攻击着网络通信，威胁着我们的信息安全。然而提供这些威胁存在的原因正是由于操作系统、计算机网络、数据库管理系统存在着本身的漏洞，这就使得一些非法授权的行为可以“祸起萧墙”。专家把这些可能使得一个网络受到破坏的所有行为都认定为攻击，它可以是主动攻击、被动攻击、物理临近攻击、内部人员攻击和分发攻击，所有的一切都威胁着网络的安全。

　　所以Internet的安全话题一直以来都是发散而复杂的。从最初把Internet作为科学研究用途，到当今的电子商务炙手可热之时，安全已然成为网络发展的绊脚石。所以有更多的安全技术顺势而出，目前的安全措施有数据加密、数字签名、身份认证、防火墙和内容检查等。这些虽然不能阻止风险的出现，但可以把风险降到最低。

　　专用网络指的是企业内部的局域和广域网络，是Internet等公共网络上的延伸。在过去，大型企业为了网络通讯的需求，往往必须投资人力、物力及财力，来建立企业专用的广域网络通讯管道，或采用长途电话甚至国际电话的昂贵拨接方式。在Internet蓬勃发展的现在，企业为了维持竞争力，又为了使公司总部和分支、合作伙伴之间信息的安全性受到保障，通常需要将专用网络与Internet间适当地整合在一起，但是又必须花费一笔Internet连接的固定费用。基本上Internet是建立在公众网络的基础之上，如果企业可以将专用网络中的广域网络连结与远程拨号连接这两部份，架构在Internet这一类的公众网络之上，同时又可以维持原有的功能与安全需求的话，则将可以节省下一笔不算小的通讯费用支出。这个问题的解决方法，就需要虚拟专用网。

　　第二章 VPN概述

　　第一节 VPN的概念利用公共网络来构建的私人专用网络称为虚拟专用网络(VPN，Virtual Private Network)，用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN像企业现有的私有网络一样能提供安全性、可靠性和可管理性等。

　　“虚拟”的概念是相对于传统专用网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域网连接。通过VPN，企业可以以明显的、更低的成本连接它们的远地办事机构、出差工作人员以及业务合作伙伴。

　　企业内部资源享用者只需连入本地ISP的POP(Point Of Presence，接入服务提供点)，即可相互通信;而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有本地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游的话，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以了。

　　VPN具有虚拟的特点：VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路，但是，VPN同时又具有专线的数据传输功能，因为VPN能够像专线一样在公共网络上处理自己公司的信息。它通过安全的数据通道将远程用户，公司分支机构，公司业务伙伴等与公司企业网连接起来，构成一个扩展的公司企业网。在该网络的主机似乎感觉所有主机都在同一个网络内，而没有察觉公共网络的存在，同时感到公共网络为本网络独自占用。然而，事实并非如此，所以称之为虚拟专用网 。第二节 VPN的组成无论是从VPN技术发展历程还是应用模式看，VPN技术包含了多种当前新兴的网络技术，涉及到隧道技术、密码技术、和身份认证技术，是多种技术的结合体。这决定了用户在选择VPN时必须以应用为导向，以解决方案为实施依据，方可事半功倍。

　　VPN是一个建立在现有共用网络基础上的专网，它由各种网络节点、统一的运行机制和与物理接口构成，一般包括以下几个关键组成部分：

　　一、VPN服务器

　　VPN服务器作为端点的计算机系统，可能是防火墙、路由器、专用网关，也可能是一台运行VPN软件的联网计算机，或是一台联网手持设备。

　　二、算法体系

　　算法体系是VPN专用网络的形成的关键，常见的有：摘要算法MD5或SHA1，对称加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH，公用密钥加密RSA、DSA等。不同类型的VPN根据应用特点在实现上使用对应的算法，有的还可以由用户根据使用现场临时更换。

　　三、认证系统

　　VPN是一个网络，要为网络节点提供可靠的连接。如同现实社会交往中强调的“诚信”原则一样，当你通过一个网络去访问一个网络资源时，你自然希望对方是像你要求的那样是真实的，可以想象，对方也是这样要求你的，如何认证对方和认证自己，同时还要防止认证信息泄露，这就是认证系统所要解决的问题，是开始VPN连接的基础。一般使用的有口令、一次性密码、RSA 、SecurID、双因素令牌、LDAP、Windows AD、Radius、证书，一个系统中往往包括一种以上几种方式来增加灵活性。

　　四、VPN协议

　　它规定了VPN产品的特征，主要包括安全程度和与上下层网络系统的接口形式。安全不仅要靠算法，由于VPN强调的是网络连接和传输，配套的密钥交换和密钥保护方法甚至比算法更重要，而接口决定了一个VPN产品的适用度。常见的有PPTP、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL。第三节 VPN技术VPN采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。

　　一、隧道技术

　　VPN的核心就是隧道技术。隧道是一种通过互联网络在网络之间传递数据的一种方式。所传递的数据在传送之前就被封装在相应的隧道协议里，当到达另一端后才被解封。被封装的数据在互联网上传递时所经过的路径是一条逻辑路径。

　　在VPN中主要有两种隧道。一种是端到端的隧道，主要实现个人与主机之间的连接，端设备必须完成隧道的建立，对端到端的数据进行加密及解密。另一种是节点到节点的隧道，主要是用于连接不同地点的LAN数据到达LAN边缘VPN设备时被加密并传送到隧道的另一端，在那里被解密并送入相连的LAN。它其实就是边界路由器在起着关键作用，隧道的建立，数据的加密、解密都是在边界路由器里完成的。

　　隧道技术相关的协议分为第二层隧道协议和第三层隧道协议。第二层隧道协议主要有PPTP、L2TP和LZF等，第三层隧道协议主要有GRE以及IPSec等。

　　二、加密技术

　　VPN的加密方法主要是发送者在发送数据之前对要发送的数据进行加密，当数据到达接收者时再由接收者对数据进行解密的处理过程。加密算法的种类包括:对称密钥算法，公共密钥算法等。

　　三、用户身份认证技术

　　用户身份认证技术主要用于远程访问的情况。当一个拨号用户要求建立一个会话时，就会对用户的身份进行鉴定，以确定该用户是否是合法用户以及哪些资源可以被使用。

　　四、访问控制技术

　　访问控制技术就是确定合法用户对特定资源的访问权限，以实现对信息资源的最大限度的保护。

　　第四节 VPN的用途一、远程访问VPN

　　最适用于用户从离散的地

　　点访问固定的网络资源，如从住所访问办公室内的资源;出差员工从外地旅店存取企业网数据;技术支持人员从客户网络内访问公司的数据库查询调试参数;纳税企业从本企业内接入互联网并通过VPN进入当地税务管理部门进行网上税金缴纳。远程访问VPN可以完全替代以往昂贵的远程拨号接入，并加强了数据安全。

　　二、内联网(分支机构联网)VPN

　　最适用将异地的两个或多个局域网或主机相连形成一个内网，主要用于将用户的异地LAN通过互联网上的VPN作为一条虚拟专线连接起来，或是将分支机构与总部连接起来。内联网VPN可以替代目前市场上使用帧中继和ATM等专线构成的专网，显著降低网络建设和运行成本，极大提高了部署和扩展灵活性。

　　三、安全平台

　　将相同工作性质的，离散地理位置的终端设备、局域网内的主机或局域网连接形成一个专网，满足协同工作的要求，如总公司销售部门的LAN与下属单位的销售部门的PC，以及外出销售人员的笔记本之间构成一个安全销售网，共享CRM、文档和IP电话，满足用户动态、业务导向化的组网要求，这是其他方案难以实现的。

　　四、替代专线

　　内联网VPN的简化版，简单地将两个主机相连实现联机、遥控，或一个主机与一个LAN相连，或替代现有专网的某一条专线成为专网的一部分。

　　五、用户认证

　　利用VPN用户认证机制和VPN的安全性，强化用户认证的安全，如上网计费系统，认证后的数据传输安全不是重点。

　　六、网络资源访问控制

　　将VPN用户认证机制和VPN网关对网络访问的调度能力结合起来，根据预定的安全策略给与不同用户不同的资源访问权限，强化网络资源的合理配置和安全性。

　　第三章 VPN在企业中的应运

        第一节 公司简介杭州芝麻开门信息技术有限公司系专业行业性B2B和B2C平台运营商，公司下设两家分公司，运营两个网站：www.cn-pen.com和www.zmkm.cn，现在公司主要是和中国制笔协会共同开发中国笔业贸易网www.cn-pen.com.公司汇聚了众多IT界的精英，直接出击日益扩张的全球市场。公司的目的是将传统的国内、国际性采购及贸易活动转变成一个高效率、高效益、低成本的新型电子商务模式，并根据企业的商务活动的实际状况，推出一系列适合于供应商及采购商进行商业信息交流与沟通的平台，促进并达到让制笔行业的企业利用www.cn-pen.com得到更多的商业服务和最大限度的商业资讯。中国笔业贸易网的信息具有传递快、大容量、及时更换等特点，可以迅速发布行业内的供求、人才、新产品、新技术专利等信息。并建立了制笔行业进出口统计、行业标准、政策法规、技术知识、人才中心等信息数据库，为广大的制笔企业及全球采购商提供了真正实用的电子商务大平台。第二节 公司现有的网络状况首先来了解一下关于杭州芝麻开门信息技术有限公司的网络拓扑结构。如图3-1所示。

　　图3-1 杭州芝麻开门信息技术有限公司的网络图

　　从图看出总公司和分公司、银行、合作伙伴，分公司和银行、合作伙伴，出差员工或者在家办公人员和总公司、分公司之间，这三种关系的连接都是经过Internet的。

　　总公司是通过Cisco2600系列路由器作为边界网关与外界Internet等公共网相连，并配置放火墙。内部则由两台Cisco Crystal2950系列交换机做为中心交换机把办公大楼、营销中心、FTP服务器、WWW服务器、E-mail服务器、数据库服务器等联系起来。网管站直接和交换机相连，并管理路由器、中心交换机、服务器等。如图3-2所示。

　　图3-2 总部内网

　　丽水分支和杭州分支是通过拨号上网，与总公司联系。它们具体是先经ADSL Modem连到24接口阿尔法AFR-K24路由器(内配置防火墙)，再接24接口阿尔法AFS-3026交换机和个人电脑相连。

　　公司通过防火墙接入Internet。目前公司所有应用仅限于公司局域网内，出差员工不能访问。

　　总部网络内建设WWW、文件共享服务、Exchange、公司ERP系统，总部各部门局域网络实现接入Internet,但没有实现内部网络互联。

　　杭州分支公司：电脑接入Internet，实现了办公网络半自动化。

　　丽水分支公司：电脑接入Internet，实现了办公网络半自动化。第三节 需求分析杭州芝麻开门信息技术有限公司自1996年创建以来，所拥有的客户群已越来越庞大。而作为以网站服务和维护为主的公司，其客户需要频繁地访问公司内部网，访问服务器。从安全性上讲，通过Internet等公共网的连接，势必会带来一些危险：从客户端带来的威胁会有病毒、陷门和木马、非授权访问、假冒、重放、诽谤等。从服务器端的威胁就有数据完整性破坏、信息篡改等。

　　根据公司工程技术人员的深入了解和分析，杭州芝麻开门信息技术有限公司需要一种安全的接入机制来保障通信的安全，并达到以下要求：

　　一、企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户;

　　二、要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务;

　　三、构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽;

　　四、总部通过多条线路连接广域网，保证分点财务核算数据的连接安全，也节约了宽带接入成本;

　　五、支持从各种网络条件下的安全接入;

　　六、通过隧道技术在网络协议的越下层实现更高的数据安全性;

　　七、通过路由器对用户实行统一的管理，对访问权限实行分级管理等要求，实现流量控制、端口镜象等要求，通过路由器的相关防火墙功能实现网络的安全管理;

　　八、出差员工利用公司笔记公共电脑(如机场侯机厅的计算机)也能够较安全地访问公司内部网络资源;

　　九、总部保证内网至少100台电脑接入Internet，还要考虑到公司以后的发展接入点的增加，同时实现一级分部通过相关设备在连到总部网络的同时还提供访问公司FTP服务器，连接公司ERP系统提交与查询相关信息等要求;

　　十、杭州、丽水分支机构2个办事处电脑接入Internet，同时考虑到公司以后的发展接入点的增加，同时实现与总部实现互联同时还提供访问公司FTP服务器，连接公司ERP系统提交与查询相关信息等要求;

　　十一、在各分支机构和总公司之间创造一个集成化的办公环境，为工作人员提供多功能的桌面办公环境，解决办公人员处理不同事务需要使用不同工作环境的问题。

　　第四节 需求总结针对以上的需求，通过VPN的配置可以解决互联问题，另外对VPN加以相应配置可以实现资料传输的安全性问题。

　　以现有技术来说，所谓最优选择其实必须根据远程访问的需求与目标而定。目前主流VPN方案有两种：IPSec/IKE和SSL VPN。当前企业需要安全的点对点连接，或用单一装置进行远程访问，并且让企业拥有管理所有远程访问使用能力，IPSec/IKE是最适合的解决方案。

　　比较那种传输方法比较好更重要的问题是：那种安全技术最符合远程接入方案的需求，IPSec可以保护任何IP流量，而SSL专注于应用层流量。IPSec适合长期的连接，即宽带、持续和网络层连接要求。SSL 仅适合于个别的，对应用层和资源的连接，而且支持的应用没有IPSec 多。

　　实现外出出差员工通过PPTP拨号连接公司网络完成相关工作。第五节 方案设计一、设备选择

　　由于VPN的应用受到网管者的欢迎，因此技术也不断演进。一般常见的VPN协定有PPTP、IPSec、SSL等。其中PPTP为微软支持的协定，设定较方便，但保全性不够;IPSec公认是最安全的协定，但是设定和配置复杂，一般的用户不容易操作;SSL则需在服务器端进行介面转换，并不是所有的应用程序都可支持。

　　在实际操作上，VPN的架设还面临其他的问题：例如当互联网联机掉线时，再安全的VPN也没有作用;中国由于IP资源有限，因此VPN联机必须基于双方为动态IP的基础上建立;由于幅员广大，网管人员要跑遍各个分公司的成本太高，VPN的设定最好简单清楚，略有网络知识者即可完成;每个ISP的IP分派方式都不同，IPSec并不一定都能穿透。

　　现在市场上的VPN产品繁多，而且功能各不相同，本着遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则，同时对杭州芝麻开门信息技术有限公司的需求分析，在选择VPN连接设备上推荐市场上思科公司的Cisco2600系列VPN防火墙路由器产品。

　　Cisco2600系列VPN防火墙路由器产品支持 IPSec VPN连接，提供适用于各办公室，事业伙伴及远程使用者使用的安全便利的网络加密方式，包括3DES， DES， 以及AH/ESP加密方式。 VPN 功能提供了各分支点间或大多数远程使用者采VPN方式，将资料自动加密解密的通讯方式，支持Gateway To Gateway ，Client To Gateway与Group VPNs 等模式。具备PPTP服务器功能，具备联机状态显示，可以满足在外出差或想要连回总部或分公司的用户也可使用PPTP或IPSec方式连回企业网络，相对来说PPTP要比IPSec易配制，对移动办公用户比较适合。

　　Cisco2600系列VPN防火墙路由器产品内建进阶型防火墙功能，能够阻绝大多数的网络攻击行为， 使用了SPI封包主动侦测检验技术(Stateful Packet Inspection)，封包检验型防火墙主要运作在网络层，执行对每个连接的动态检验，也拥有应用程序的警示功能，让封包检验型防火墙可以拒绝非标准的通讯协议所使用的连结， 预设自动侦测并阻挡。Cisco2600亦同时支持使用网络地址转换 Network Address Translation (NAT)功能以及Routing 路由模式，使网络环境架构更为弹性，易于规划管理。

　　总部网络通过光纤连接外网，连接路由器交换机选择三层千兆交换机，三层千兆交换机之间用光纤连接，以满足内部网络 VLAN的划分，同时考虑到今后公司的发展，信息点扩充的需要。二、设计原则