VPN在中小型企事业单位中的应用研究

2014-04-23 15:38王飞
电脑知识与技术 2014年7期
关键词:网络安全隧道

王飞

摘要:在目前的IT发展环境下,信息化是现代企事业单位的必然选择。随着应用的深入,信息安全尤为重要,中小型企事业单位结合自身特点对信息安全的需求也越来越迫切,VPN技术的引入不仅可以保证单位信息的安全,而且使得应用更加方便。重点就网络安全需求背景、VPN原理、VPN构建方法进行了分析和梳理,结合中小型企事业的特点提出了可供选择的VPN应用方案。

关键词:VPN;隧道;网络安全

中图分类号:TP309.2 文献标识码:A 文章编号:1009-3044(2014)07-1394-03

1 概述

在目前基于网络的应用环境下,网络安全问题越来越显得突出。随着法律、管理制度日益健全完善,使得制度保障明显改善,但网络与生俱来的缺陷和不足还需要技术来加以解决,如防火墙、电子证书、授权认证、加密等方法可以弥补一定的不足,但仍有一定的局限性。虚拟专用网(virtual private network:VPN)结合了因特网和专用网的优点,同时克服了二者的缺点,为一定的用户的网络安全问题的解决提供了一种可能。

2 VPN的原理及应用特点

2.1 VPN的原理

VPN,顾名思义,virtual private network,虚拟专用网。通过一个公用网络建立一个临时的、安全的连接,形成一条通过公用网络的安全的、稳定的隧道。能够提供给用户一种全新的连接方式,是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。在VPN中的两个节点之间不是端到端的专用物理链路,而是利用公共网络资源动态形成的一种通道。所谓虚拟是指用户不需要拥有成本高昂的数据专线,而是利用公网来实现,所谓专用网络是指用户可以自己定制符合自己应用需求的网络。

2.2 VPN的应用前提及组成部分

VPN在目前网络环境下实现是可能的,如果没有发达的公共网络就不可能有VPN的诞生与应用发展。在一个网络应用连接中一般包括三部分,即客户机、传输介质和服务器,VPN同样由三部分组成,但是VPN连接是以隧道做为传输通道的,一般网络应用是以实际的物理介质做为传输通道的。

2.3 VPN关键技术

由于基于VPN传输的是私有信息,使得数据安全是使用VPN时最为关心的问题。目前VPN使用中主要采用四种技术来加以保证数据安全,这四种技术主要是隧道技术、加密解密技术、密钥管理技术和身份认证技术等。

“隧道”是指在信源和信宿交换数据经过公用网传输部分的一种逻辑通道,在信源所在局域网和公网的接口处将数据做为负载封装成一种可以在公网上传输的数据格式,在信宿所在的局域网与公网接口处将数据进行解封装,取出负载数据。

因为VPN选用的公共网络,传输的数据是加密的,即使从中截取了数据,也不会对数据造成不安全。目前加密分为对称加密和非对称加密。其中对称加密是指加密方和解密方的密钥是相同的,具有加密速度快的优势,根据加密算法不同,分为DES、3DES、AES等。非对称加密方密钥与解密方密钥不同,用公钥加密,用私钥解密,加密速度慢,但相对安全,根据算法不同,典型的算法有RSA、Elgamal、背包算法、Rabin、D-H、ECC等。

VPN系统的客户端采用基于PKI的数字证书技术,来完成VPN网关服务器和用户身份的双向验证。当用户通过VPN客户端访问VPN网关时,客户端首先验证用户的数字证书和相应的口令,即双因子验证,如果验证通过,VPN网关服务器则产生对称会话密钥,并分发给用户。同时采用访问控制列表模式(ACL),管理员可以方便为VPN用户分配相应权限,这种方式不仅便于管理,又可防止内部失密。

3 构建VPN的方法

3.1 VPN种类

3.2 VPN构建方法

1)基于IPSec的VPN

IPSec(IP Security)是IP层提供通信安全而制定的一套协议族,包括安全协议和密钥协商部分,其中安全协议定义了对通信的安全保护机制,密钥协商部分定义了如何为安全协议协商保护参数以及对通信实体的身份鉴别。IPSec主要由认证头协议(AH)、封装安全荷载协议(ESP)和因特网密钥交换协议(IKE)组成。AH为IP数据包提供无连接的数据完整性、数据源身份认证及防重放攻击。ESP可以为IP数据包提供保密性、完整性、身份认证和防重放攻击保护等。IKE负责密钥协商,使得密钥管理与通信系统之间建立安全关联(SA),产生密钥材料并协商IPSec参数框架,将密钥协商结果保留在SA条目中,供AH和ESP通信使用。

对于IP数据包有两种工作模式:传输模式和隧道模式。采用AH分别对传输模式和隧道模式数据包封装过程如下:其中传输模式使用原有的IP报头,把AH头插在IP头的后面,其认证和保护开销小但对IP头部的可变字段保护缺乏。对于隧道模式把IP报文封装在新的IP数据包中作为新报文的荷载,然后对新报文使用传输格式的AH格式封装,这中模式能够对被封装的报文提供完全保护,而且可以使用私有地址但是会产生额外开销。以AH分别对两种模式的数据包封装格式,如图1所示。

同样ESP也有两种对应模式。采用ESP分别对传输模式和隧道模式数据包封装过程如下:对于传输模式仍然使用原有IP报头,其中加密范围自上层报文至ESP尾,认证范围ESP头至ESP尾。采用隧道模式时,原IP数据包被整个加密,认证范围不仅包括原IP数据包还扩展至ESP头尾。以ESP分别对传输模式和隧道模式数据包封装格式,如图2所示。

4 中小型企事业单位可选方案

4.1 中小型企事业单位对VPN的需求

综合中小型企事业单位特点及实际发展情况,这类单位对信息安全的需求非常重视,但要求VPN的建设投入要小,能满足企事业单位员工在家办公或出差的需要,见效要快,性能稳定,使用灵活,维护要方便。

4.2 解决方案

从上面的需求分析,中小型企事业单位对数据传输速率及安全性虽有一定的要求,但连接的用户不会太多,可以采用下面的备选方案:

1)采用基于现有公共网络的VPN拨号的方式,使用软件平臺,VPN服务提供商提供并控制着VPN设施,用户不需要增加任何设备或软件投资,整个网络都由VPN服务提供商维护。

2)租用VPN服务提供商的虚拟专线,用户不需要购买专用的设备、软件,由VPN服务提供商建立通道并验证。

3)购置具有VPN功能的防火墙、路由器并在具体的配置过程中启动VPN服务,一般相应的公司产品都有对应的配置手册供参考,设置比较简单。

4)在网络边界配置VPN服务器,将内部网与公共网通过VPN服务器分割开来,需要整体考虑单位内部网络的规划与实施,配置与维护相对有一定的难度。

5 结论

采用合适的VPN技术构建单位的VPN应用方案,实现单位的内部各种应用,如办公系统、MIS系统、邮件系统及财务系统等,方便临时在家或出差员工的安全移动办公,加快单位的信息化进程,提高单位的管理水平,增强单位的生产效率和竞争力。

参考文献:

[1] 戴刚.VPN在企业中的应用研究[J].网络安全技术与应用,2010(4):65-67.

[2] 张文艳.用虚拟专用网(VPN)搭建远程应用系统[J].东北电力技术,2005(11):50-52.

[3] 周世杰.中小企业网络中VPN的实现[J].计算机工程用用技术,2008(4):2891-2892.

[4] 唐俊勇.路由与交换型网络基础与实践教程[M].北京:清华大学出版社,2011.

猜你喜欢
网络安全隧道
与隧道同行
神奇的泥巴山隧道
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
黑乎乎的隧道好可怕
LED隧道照明节能改造探讨
我国拟制定网络安全法