VPN企业专网的安全性分析

任庆辉

【摘要】当前，信息技术的发展日新月异，互联网更是普及世界每一个角落，为便于随时与客户或者相关合作者联系，许多企业职工需要时刻与企业网络保持畅通，无形之中远程连接成本大为增加，也使得网络更为复杂，在这种情况下，网络管理和安全性成为亟待解决的首要问题。本文所介绍的移动VPN技术，是在某企业专网实践基础上，对该技术运用于企业专网领域的常规安全性以及互联网安全性等两方面进行了分析，介绍了VPN企业专网的安全性。

【关键词】互联网;VPN;企业专网;安全性

引言

目前，以移动通讯技术及互联网技术为支柱的信息产业蓬勃发展，逐步渗透于人们的工作和生活等各个方面。随着移动VPN技术的发展，不仅降低了企业专网资费，而且也带给企业用户高质量的、移动的数据通道。随之而来的VPN企业专网的安全性问题，引起了业界的高度关注。

1.移动VPN技术简介

所谓的VPN技术（viriualPrivateNetwork），

也就是虚拟专用网技术，是在隧道技术基础上，采用加密以及身份认证等方法，使私有数据在公网上通过“加密管道”得以安全传输，从而使网络安全性达到私有网络的级别，这样一来，企业能够利用公网构建自身专网，从而介于公众网与专用网之间，这样不仅具备公众网的方便快捷，也兼有专用网的安全性。

移动VPN（虚拟专用网络技术）利用移动公网资源扩展，改变了任意两个节点之间的传统的连接方式，使其不再是端到端的物理链接。该技术是一种新型异地网络联接方式，按照不同的业务应用，我们把移动VPN分为数据业务应用以及基于智能网的话音业务应用。

VPN技术的出现，解决了网络互联的安全问题，不仅具有传统数据网络的安全性，也具备其服务质量，并且共享数据网络结构简单快捷，其成本也较低，所建立的数据通道安全可靠。VPN不仅降低了成本，也解决了用户日益高涨的对网络带宽、接入服务的需求。VPN技术利用公共网络资源，实现了通信技术的专用，其将分支机构有效地连接，改变了各分支机构物理上分散的状态，从而使电子商务以及办公一体化得以实现。当前，VPN技术的实现基于hitemet，这种常见的VPN技术，存在用户不能随意漫游和移动的缺陷。

2.VPN技术在企业专网中的应用

VPN基于公共网络建立的企业专网，其安全性和有效连通性，依赖于各种安全协议，它利用隧道、身份认证和加密等技术，在公共网络中构建起安全隧道，从而实现了专用网络的功能和作用。VPN的核心是隧道技术，作为一种规范，其以网络层协议为基础，该技术为建立和拆除两点或两端间的数据传输隧道提供了切实保障。

移动VPN技术由于问世时间不长，相关研究刚刚起步，目前对于移动VPN应用的关注，多表现在其业务的解决方案上，而对其安全问题还缺乏应有的重视。基于此原因，针对VPN企业专网的安全性问题，引起了业界的高度重视。

3.VPN应用于企业专网的常规安全性分析

3.1 加密和解密技术

加密和解密技术的应用，保障了VPN技术的安全。隧道技术构建了两点或者两端间的数据传输的专用通道，此外，还必须使两边的设备具有基于信任关系的加密和解密功能，当前，VPN采用诸如IPSec协议等标准的Internet安全技术，通过加密、解密以及数字签名等手段，规范了两个IP工作站之间的连接，实现了点对点、端对端的有效连接，从而使VPN的安全性大为提高。

3.2 身份认证和安全策略

由于公共网络平台的安全性并无保障，因此，VPN常受到冒名连接，或者收到一些未经授权的隧道建立请求。基于此原因，对于合法用户，VPN技术严格规范了其安全认证体系，在VPN网络中构建了一个或者数个安全认证服务器。

为保障VPN的安全，其增强了验证限制，包括请求访问、用户被准许的拨接地点、IP分配以及用户最长接入限制等验证手段。VPN身份认证过程与用户级别成正比，级别越高，认证过程越严格。

3.3 IPSec VPN技术的使用

在IPSec协议基础上构建的IPSec VPN，是由IPSec协议来确保隧道安全。作为一种保障数据安全性的机制，IPSec由IETF设计，在IP通讯基础上，确保了端到端之间的数据传输的安全，其不仅支持数据加密，也保障了数据的完整性。在IPSec协议框架下，密钥只由发送和接受双方掌握。接收方之所以收到完整的数据，并且知道数据来自发送方，完全得益于有效的验证数据。

4.VPN应用于企业专网的互联网安全性分析

我们以某企业专网作为例子来讲，随着信息化程度的提高，其互联网内部的应用软件也随之增多，如VOD、OA、文件阅读、视频会议以及软件下载、网络游戏等。通过运用防火墙技术，互联网可以将网络分为内外两部，从而使上述应用只能被连接在内网的用户使用，而其它驻外单位采用基于通过Internet接入的方式，因此不在内网服务范围之内。以下两种连接方式是针对企业驻外单位生产管理方式的差异，以及对网络带宽的不同需求而设计的。

（1）对于二级或者二级半的固定驻地的单位，因其地处大城市，具备网络就地接入的良好条件，因此应首先构建内部局域网络，而后利用支持IPsec VPN功能的防火墙，将出口与长庆互联网相接。若无法构建局域网，也可通过一台或数台单机，从而与局内网络连接。该连接方式如图1所示。

图1 某企业专网二级和二级半单位的连接方式

图2 某企业专网临时住址单位的连接方式

A单位在一台单机内安装了VPN协议客户端，从而连接了局内网络的VPN。而B单位则是将IPSec VPN协议安装到防火墙上，并通过防火墙将内部局域网络的出口与局内网络相接。

（2）对于无固定驻址，或者短期固定住址的单位，因其驻地并不稳定，工作区域一般距离城镇较远，从而限制了通讯手段，基于此原因，网络如何接入应是亟待解决的问题，其连接可利用无线电台、租用卫星电路，也可采用租用DDN专线、拨号上网，以及通过接入带宽达11Mbps-72Mbps，且30KM范围内无阻挡的无线接入等方式。该连接方式设计如图2所示。

上述连接方式的运用，使得各驻外单位的网络能够有效与局内网络相接。相接后，使局内单位和驻外单位能够同步网上办公、召开视频会议以及现场办公，也使二者实现了文件收发、阅览和财务结算的同步统一，提升了企业信息化的整体水平，提高了决策效率，促进了企业管理水平的提高。

该连接方式安全可靠，速度极高，这依赖于采用加密通道与密码验证二者相结合的方法，因此，避免了内容遭到泄漏的危险，对速度问题也大可放心。该接入方式操作简单便捷，非专业人员即可担任，且没有必要投入更多的、复杂的专业设备。但在分析网络接入规划安全性问题时，切记各自行事，而要统一进行，应从以下几点着手：

（1）具体实施VPN之所以相对容易，控制软件起着至关重要的作用，该软件固化于网络设备上，确保了VPN技术的实现。网络设计伊始，应充分考虑到可能需要的VPN功能，否则一旦网络设计完成，虽然可以升级原有的路由、防火墙以及服务器，使之具备VPN功能，但是不仅增加了成本，而且也无法保证其性能。

（2）原有网络数据包的数量，随着VPN技术的隧道通信，以及加密、解密的应用而大为增加，30%左右的网络硬件负载的增加，极有可能使原有网络的性能受到影响。因此，为构建隧道通信，更好地完成加密、解密等任务，在规划网络初期就应考虑采用专用的VPN设备。

（3）VPN的实现，需要充分考虑原有网络的现况。对于油田的各个单位，其网络建设水平存在差异，有的处于起步阶段，有的则达到一定规模。多种协议可以实现VPN，其也允许多种协议的共同存在，所以说，在选择VPN协议实施之际，应充分考虑到既有网络协议与所选VPN协议是否匹配的问题。

（4）设计和规范认证策略，是解决VPN安全问题的切实保障，对于准备构建VPN的各个驻外单位，应审慎进行安全认证策略的规划，为确保网络的安全和负载之间的平衡性，应选择合理的VPN技术所采用的密钥技术，选取适用的加密方法和适当的密钥长度。

（5）严格管理安全认证体系，完整地划定出部门互联授权与否的界限 。

（6）目前，不同的网络厂家在设计生产其VPN产品时，所选用的算法各异，且加入了一些特殊的性能，因而造成不同的厂商推出的VPN在进行衔接时，出现了性能不佳的问题，有的甚至根本无法衔接。

（7）有些厂商设计生产出VPN交换机，以提升VPN的交换能力。该产品通过隧道交换，实现了访问直接导向到对应的隧道终端，这样一来，从而使不同的网络用户能够进入不同的网段。

（8）构建交换式的VPN，（下转第85页）（上接第83页）VPN交换机至关重要，其为下一代局域网络的发展打下了坚实的基础，奠定了远程访问的基石。当前，各大网络厂商纷纷推出交换机集成平台，将路由、VPN和防火墙融为一个系统加以管理，其内置的网络地址翻译功能，能够在网络之中的任意地点，随意终止用户的VPN连接，这样一来，使得新一代的VPN能够经济高效地接纳原有远程访问网络，同时接纳办公室和办公室之间的路由型专用网络。基于此原因，用户在选择VPN产品时，不必完全听信厂家出具的网络评测结果的性能参数，而是应结合自身需求，客观分析产品性能。

5.结语

互联网的高速发展，决定了VPN必将成为未来发展的趋势，它不仅具有传统数据网络的安全性，也具备其服务质量，并且共享数据网络结构简单快捷，其成本也较低，所建立的数据通道安全可靠。VPN不仅能够降低成本，也解决了用户对网络带宽、接入服务的迫切需求，所以说，未来网络的发展必将以VPN为方向。

参考文献

[1]朱江，李方伟，余艳英.基于GPRS网的VPN[J].重庆通信业，2004（2）.

[2]袁小乐.基于移动智能网的VPN业务[J].通信世界，2001（6）.

[3]蒋青泉.虚拟专用通信网的构建[J].长沙通信职业技术学院学报，2002（1）.