隨著國內企業重組和走出去步伐的加快,企業規模不斷擴張,國內外子企業和分支機構越來越多,建設企業廣域網實現企業內部信息溝通暢通,是現在所有企業實行有效管理的共同需求。如何選擇一種切實可行的解決方案,既能安全可靠地解決企業總部與分支企業和分支機構相互之間的安全通信及信息交換,又能最大限度保護原有投資。已經成為企業網絡建設的迫切需求。應用VPN(Virtual PrivateNetwork,虛擬專用網絡)技術,為企業提供了解決方案。
1.VPN技術
VPN被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。也可以說是虛擬出來的企業內部專線。VPN技術能夠提供可靠的數據加密、信息安全交換的能力,可采用的方案有點對點、用戶對點、用戶對用戶的連接方式,它可以幫助遠程用戶、分支企業、分支機構、商業伙伴及供應商同企業內部網建立可信的安全連接,并保證數據的安全傳輸。VPN具有以下的優點:
1)組網成本低廉。企業利用公用網組建的Intranet,不再需要租用專線和使用大量的專業網管人員和設備,節省租用專線費用和人員開支。
2)網絡擴展性強。當增加新的用戶或子網時,只需修改已有網絡軟件配置。在新增客戶機或網關上安裝相應軟件并接入Interact后,新的VPN即可工作。其實現過程要比組建專用網簡單。
3)企業容易進行管理。用專線將企業的各個子網連接起來時,隨著子網數量的增加,需要的專線數以幾何級數增長。而使用VPN時只需要將各個子網接入Interact即可,不需要對各個線路進行管理。
4)企業擁有控制權。VPN應用中所有的設施和服務完全由企業掌握,企業可以把撥號訪問交給網絡服務提供商去做,而企業只負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。
5)符合網絡統一標準。VPN通過采用“隧道”技術,并在Interact或國際互聯網工程工作組(IETF)制定的Ipsec標準統一下,在公共網構建企業安全、機密、順暢的虛擬專用鏈路。
2.VPN的分類
VPN既可以用于構建企業的Intranet。也可以用于構建Extranet。VPN利用開放性的公用網絡作為用戶信息傳輸的媒體,通過附加的隧道封裝、信息加密、用戶認證和訪問控制等技術實現對信息傳輸過程的安全保護,從而向用戶提供類似專用網絡的安全性能。VPN技術按隧道協議分類,有PPTP VPN、L2TPVPN、IPSec VPN、SSL VPN和MPLS VPN等,目前有幾種安全技術得到了較廣泛的應用,每種技術都有自己的優點,同時也存在一定的不足。當前VPN領域內主流技術是IPSEC VPN與SSL VPN。兩者都應用于遠程接入的加密和認證機制。
3.IPSEC VPN與SSL VPN組網技術比較
3.1 IPSEC VPN技術
IPSEC VPN通過包封裝包的方法,通過Interact建立了一個通訊的隧道,通過這個通訊的隧道,就可以建立起網絡的連接。IPSEC是一套比較完整成為體系的VPN技術,它規定了一系列的協議標準。它為數據在通過公用網絡在網絡層進行傳輸時提供安全保障。
IPSec VPN適用Site to Site組網。這是由于IPSecVPN采用隧道技術,部署時一般采用兩端部署VPN網關方式。當企業總部和分支企業有很多IT設備時,采用IPsec組網方式比較靈活,支持應用廣泛。組網時企業總部和分支機構分別采用IPSECVPN網關設備,中心為每個節點分配一套密碼,各個節點通過密碼與中心交換機互相認證,建立IPSECVPN虛擬通路,這條通路的特性,如帶寬、何時可以建立等通過中心統一管理,可以通過雙密鑰機制實現更加可靠的認證。
由于IPSec VPN部署在網絡層,因此,內部網絡對于通過VPN的使用者來說是透明的,一旦隧道建立外部用戶能夠直接訪問企業全部的應用,由此會大大增加受到黑客攻擊的風險,會嚴重威脅企業數據中心的安全。同時IPSec VPN部署管理復雜,最大的難點在于需要在隧道兩端部署一對VPN網關,或是在客戶端安裝專用客戶端軟件,而且當用戶的VPN策略稍微有所改變時,VPN的管理難度將呈幾何級數增長。尤其是對于大量的遠端用戶,除非已經在每一臺客戶使用的計算機上安裝了管理軟件,否則軟件補丁的發布和遠程電腦的配置升級將是一件十分繁瑣的任務。
IPSec VPN只能在部署IPsec VPN網關的地方適用,或者客戶端安裝專用軟件后才能使用,這對于合作伙伴或商業客戶來講很難實現客戶端專用軟件安裝,對于在網吧或出差等用戶來講就更不可能。
3.2 SSL VPN技術
SSL(Secure Sockets Layer)“安全套接層協議層”,它是基于WEB應用的安全協議。SSL協議指定了一種在應用程序協議(如Http、Telenet、NMTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制,它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。SSLVPN 工作在TCP層,這個技術特性決定了它是一種基于應用的VPN,可以更好的作為應用層的安全訪問控制機制,并能夠做到底層無關性,可以做到部署方式更靈活。
SSL VPN一般的實現方式是在企業的防火墻后面放置一個SSL代理網關或接人服務器設備。如果用戶希望安全地連接到公司網絡上,那么當用戶在瀏覽器上輸入—個URL后,連接將被SSL代理服務器取得,并驗證該用戶的身份,然后SSL代理服務器將提供—個遠程用戶與各種不同的應用服務器之間連接。
SSL VPN適用Client to Site組網。當客戶端為PC終端設備時,采用此方式。當分支機構為少量終端或者VPN用戶為分布在廣泛地域的移動用戶時更顯優勢。企業總部部署專用SSL VPN設備連接Intenet,分支企業和機構及移動用戶通過Intemet連接總部的SSL VPN服務器,經安全認證后即可使用各項應用,基本不用考慮計算機維護和相關網絡安全。
SSL VPN將遠程安全接人延伸到IPSec VPN擴展不到的地方,使更多的員工在更多的地方,使用更多的設備安全訪問企業網絡資源。以前它只支持WEB方式的應用,為用戶開發應用必須圍繞著WEB來展開。現在新的SSL VPN能夠實現各種基于B/S、C/S結構設計的應用程序,能夠實現所有IPSec VPN支持的應用,支持WINDOWS網上鄰居、FTP等,SSL VPN正在成為遠程接入的事實標準。由于SSL VPN是基于應用的VPN,容易提供更細的訪問控制,可以對用戶、用戶組的權限、資源、服務、文件進行更加細致的控制,重點在于保護具體的敏感數據。并可以與第三方認證系統認證中心CA)結合。就是說雖然都可以進入內部網絡,但是不同人員可以訪問的數據是不同的。不僅可以控制訪問人員的權限,還可以對訪問人員的每個訪問、操作進行數字簽名,為事后追蹤提供了依據,達到更加安全的保護效果,充分保障企業數據中心的安全。
4.應用和結論
基于對IPSEC VPN與SSL VPN的分析比較適合現有分支企業的實際條件,在保護企業原有投資的基礎上,企業總部采用兩種技術相結合的方式進行網絡接入。對于沒有建設局域網或局域網環境較為簡單的分支企業和機構,企業總部一般使用SSLVPN方式為該企業用戶建立VPN帳號,充分發揮企業現有網絡的帶寬資源。分支企業辦公人員和出差人員可以隨時隨地以SSL VPN方式接人企業總部網絡,滿足各種辦公環境下的網絡通信需求,為了提高移動辦公用戶接入企業總部網絡的安全性。針對SSL VPN用戶可以在企業總部網絡內搭建了CA認證服務器,對用戶登錄VPN時進行CA認證。對網絡出口帶寬足夠大、邊界部署了路由器或防火墻,基礎網絡建設比較好的分支企業,在它們的防火墻上配置IPSEC VPN。這種局域網間的VPN方式提供直接、快速的加密通道,使分支企業的用戶在使用總部網絡資源時如同在總部一樣安全快捷。
總之,通過VPN方式組建企業網絡,能夠經濟、安全地實現企業內外部信息溝通,實現企業總部對分支企業運營狀況及時了解和高效管理,掌握決策支持信息,從而達到提高企業信息化水平,提高企業競爭力和加快企業發展。