VPN技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的運(yùn)用
第一章 引言
現(xiàn)代意義上的計(jì)算機(jī)網(wǎng)絡(luò)是從1969年美國國防部高級研究計(jì)劃局建成的ARPAnet實(shí)驗(yàn)網(wǎng)開始的 。當(dāng)時(shí)只有4個(gè)結(jié)點(diǎn),發(fā)展到現(xiàn)在的正如其名所言如蜘蛛網(wǎng)一般的復(fù)雜的萬聯(lián)網(wǎng)。威脅與安全一直都是并存著的。竊聽、假冒、重放、拒絕服務(wù)、病毒、誹謗等等的威脅無時(shí)無刻攻擊著網(wǎng)絡(luò)通信,威脅著我們的信息安全。然而提供這些威脅存在的原因正是由于操作系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)庫管理系統(tǒng)存在著本身的漏洞,這就使得一些非法授權(quán)的行為可以“禍起蕭墻”。專家把這些可能使得一個(gè)網(wǎng)絡(luò)受到破壞的所有行為都認(rèn)定為攻擊,它可以是主動攻擊、被動攻擊、物理臨近攻擊、內(nèi)部人員攻擊和分發(fā)攻擊,所有的一切都威脅著網(wǎng)絡(luò)的安全。
所以Internet的安全話題一直以來都是發(fā)散而復(fù)雜的。從最初把Internet作為科學(xué)研究用途,到當(dāng)今的電子商務(wù)炙手可熱之時(shí),安全已然成為網(wǎng)絡(luò)發(fā)展的絆腳石。所以有更多的安全技術(shù)順勢而出,目前的安全措施有數(shù)據(jù)加密、數(shù)字簽名、身份認(rèn)證、防火墻和內(nèi)容檢查等。這些雖然不能阻止風(fēng)險(xiǎn)的出現(xiàn),但可以把風(fēng)險(xiǎn)降到最低。
專用網(wǎng)絡(luò)指的是企業(yè)內(nèi)部的局域和廣域網(wǎng)絡(luò),是Internet等公共網(wǎng)絡(luò)上的延伸。在過去,大型企業(yè)為了網(wǎng)絡(luò)通訊的需求,往往必須投資人力、物力及財(cái)力,來建立企業(yè)專用的廣域網(wǎng)絡(luò)通訊管道,或采用長途電話甚至國際電話的昂貴撥接方式。在Internet蓬勃發(fā)展的現(xiàn)在,企業(yè)為了維持競爭力,又為了使公司總部和分支、合作伙伴之間信息的安全性受到保障,通常需要將專用網(wǎng)絡(luò)與Internet間適當(dāng)?shù)卣显谝黄穑怯直仨毣ㄙM(fèi)一筆Internet連接的固定費(fèi)用;旧螴nternet是建立在公眾網(wǎng)絡(luò)的基礎(chǔ)之上,如果企業(yè)可以將專用網(wǎng)絡(luò)中的廣域網(wǎng)絡(luò)連結(jié)與遠(yuǎn)程撥號連接這兩部份,架構(gòu)在Internet這一類的公眾網(wǎng)絡(luò)之上,同時(shí)又可以維持原有的功能與安全需求的話,則將可以節(jié)省下一筆不算小的通訊費(fèi)用支出。這個(gè)問題的解決方法,就需要虛擬專用網(wǎng)。
第二章 VPN概述
第一節(jié) VPN的概念利用公共網(wǎng)絡(luò)來構(gòu)建的私人專用網(wǎng)絡(luò)稱為虛擬專用網(wǎng)絡(luò)(VPN,Virtual Private Network),用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN像企業(yè)現(xiàn)有的私有網(wǎng)絡(luò)一樣能提供安全性、可靠性和可管理性等。
“虛擬”的概念是相對于傳統(tǒng)專用網(wǎng)絡(luò)的構(gòu)建方式而言的。對于廣域網(wǎng)連接,傳統(tǒng)的組網(wǎng)方式是通過遠(yuǎn)程撥號連接來實(shí)現(xiàn)的,而VPN是利用服務(wù)提供商所提供的公共網(wǎng)絡(luò)來實(shí)現(xiàn)遠(yuǎn)程的廣域網(wǎng)連接。通過VPN,企業(yè)可以以明顯的、更低的成本連接它們的遠(yuǎn)地辦事機(jī)構(gòu)、出差工作人員以及業(yè)務(wù)合作伙伴。
企業(yè)內(nèi)部資源享用者只需連入本地ISP的POP(Point Of Presence,接入服務(wù)提供點(diǎn)),即可相互通信;而利用傳統(tǒng)的WAN組建技術(shù),彼此之間要有專線相連才可以達(dá)到同樣的目的。虛擬網(wǎng)組成后,出差員工和外地客戶只需擁有本地ISP的上網(wǎng)權(quán)限就可以訪問企業(yè)內(nèi)部資源;如果接入服務(wù)器的用戶身份認(rèn)證服務(wù)器支持漫游的話,甚至不必?fù)碛斜镜豂SP的上網(wǎng)權(quán)限。這對于流動性很大的出差員工和分布廣泛的客戶與合作伙伴來說是很有意義的。并且企業(yè)開設(shè)VPN服務(wù)所需的設(shè)備很少,只需在資源共享處放置一臺VPN服務(wù)器就可以了。
VPN具有虛擬的特點(diǎn):VPN并不是某個(gè)公司專有的封閉線路或者是租用某個(gè)網(wǎng)絡(luò)服務(wù)商提供的封閉線路,但是,VPN同時(shí)又具有專線的數(shù)據(jù)傳輸功能,因?yàn)閂PN能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己公司的信息。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶,公司分支機(jī)構(gòu),公司業(yè)務(wù)伙伴等與公司企業(yè)網(wǎng)連接起來,構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)絡(luò)的主機(jī)似乎感覺所有主機(jī)都在同一個(gè)網(wǎng)絡(luò)內(nèi),而沒有察覺公共網(wǎng)絡(luò)的存在,同時(shí)感到公共網(wǎng)絡(luò)為本網(wǎng)絡(luò)獨(dú)自占用。然而,事實(shí)并非如此,所以稱之為虛擬專用網(wǎng) 。第二節(jié) VPN的組成無論是從VPN技術(shù)發(fā)展歷程還是應(yīng)用模式看,VPN技術(shù)包含了多種當(dāng)前新興的網(wǎng)絡(luò)技術(shù),涉及到隧道技術(shù)、密碼技術(shù)、和身份認(rèn)證技術(shù),是多種技術(shù)的結(jié)合體。這決定了用戶在選擇VPN時(shí)必須以應(yīng)用為導(dǎo)向,以解決方案為實(shí)施依據(jù),方可事半功倍。
VPN是一個(gè)建立在現(xiàn)有共用網(wǎng)絡(luò)基礎(chǔ)上的專網(wǎng),它由各種網(wǎng)絡(luò)節(jié)點(diǎn)、統(tǒng)一的運(yùn)行機(jī)制和與物理接口構(gòu)成,一般包括以下幾個(gè)關(guān)鍵組成部分:
一、VPN服務(wù)器
VPN服務(wù)器作為端點(diǎn)的計(jì)算機(jī)系統(tǒng),可能是防火墻、路由器、專用網(wǎng)關(guān),也可能是一臺運(yùn)行VPN軟件的聯(lián)網(wǎng)計(jì)算機(jī),或是一臺聯(lián)網(wǎng)手持設(shè)備。
二、算法體系
算法體系是VPN專用網(wǎng)絡(luò)的形成的關(guān)鍵,常見的有:摘要算法MD5或SHA1,對稱加密RC4、RC5、DES、3DES、AES、IDEA、BLOWFISH,公用密鑰加密RSA、DSA等。不同類型的VPN根據(jù)應(yīng)用特點(diǎn)在實(shí)現(xiàn)上使用對應(yīng)的算法,有的還可以由用戶根據(jù)使用現(xiàn)場臨時(shí)更換。
三、認(rèn)證系統(tǒng)
VPN是一個(gè)網(wǎng)絡(luò),要為網(wǎng)絡(luò)節(jié)點(diǎn)提供可靠的連接。如同現(xiàn)實(shí)社會交往中強(qiáng)調(diào)的“誠信”原則一樣,當(dāng)你通過一個(gè)網(wǎng)絡(luò)去訪問一個(gè)網(wǎng)絡(luò)資源時(shí),你自然希望對方是像你要求的那樣是真實(shí)的,可以想象,對方也是這樣要求你的,如何認(rèn)證對方和認(rèn)證自己,同時(shí)還要防止認(rèn)證信息泄露,這就是認(rèn)證系統(tǒng)所要解決的問題,是開始VPN連接的基礎(chǔ)。一般使用的有口令、一次性密碼、RSA 、SecurID、雙因素令牌、LDAP、Windows AD、Radius、證書,一個(gè)系統(tǒng)中往往包括一種以上幾種方式來增加靈活性。
四、VPN協(xié)議
它規(guī)定了VPN產(chǎn)品的特征,主要包括安全程度和與上下層網(wǎng)絡(luò)系統(tǒng)的接口形式。安全不僅要靠算法,由于VPN強(qiáng)調(diào)的是網(wǎng)絡(luò)連接和傳輸,配套的密鑰交換和密鑰保護(hù)方法甚至比算法更重要,而接口決定了一個(gè)VPN產(chǎn)品的適用度。常見的有PPTP、L2TP 、MPLS VPN、IPsec 、SOCKS、SSL。第三節(jié) VPN技術(shù)VPN采用的關(guān)鍵技術(shù)主要包括隧道技術(shù)、加密技術(shù)、用戶身份認(rèn)證技術(shù)及訪問控制技術(shù)。
一、隧道技術(shù)
VPN的核心就是隧道技術(shù)。隧道是一種通過互聯(lián)網(wǎng)絡(luò)在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的一種方式。所傳遞的數(shù)據(jù)在傳送之前就被封裝在相應(yīng)的隧道協(xié)議里,當(dāng)?shù)竭_(dá)另一端后才被解封。被封裝的數(shù)據(jù)在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過的路徑是一條邏輯路徑。
在VPN中主要有兩種隧道。一種是端到端的隧道,主要實(shí)現(xiàn)個(gè)人與主機(jī)之間的連接,端設(shè)備必須完成隧道的建立,對端到端的數(shù)據(jù)進(jìn)行加密及解密。另一種是節(jié)點(diǎn)到節(jié)點(diǎn)的隧道,主要是用于連接不同地點(diǎn)的LAN數(shù)據(jù)到達(dá)LAN邊緣VPN設(shè)備時(shí)被加密并傳送到隧道的另一端,在那里被解密并送入相連的LAN。它其實(shí)就是邊界路由器在起著關(guān)鍵作用,隧道的建立,數(shù)據(jù)的加密、解密都是在邊界路由器里完成的。
隧道技術(shù)相關(guān)的協(xié)議分為第二層隧道協(xié)議和第三層隧道協(xié)議。第二層隧道協(xié)議主要有PPTP、L2TP和LZF等,第三層隧道協(xié)議主要有GRE以及IPSec等。
二、加密技術(shù)
VPN的加密方法主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對要發(fā)送的數(shù)據(jù)進(jìn)行加密,當(dāng)數(shù)據(jù)到達(dá)接收者時(shí)再由接收者對數(shù)據(jù)進(jìn)行解密的處理過程。加密算法的種類包括:對稱密鑰算法,公共密鑰算法等。
三、用戶身份認(rèn)證技術(shù)
用戶身份認(rèn)證技術(shù)主要用于遠(yuǎn)程訪問的情況。當(dāng)一個(gè)撥號用戶要求建立一個(gè)會話時(shí),就會對用戶的身份進(jìn)行鑒定,以確定該用戶是否是合法用戶以及哪些資源可以被使用。
四、訪問控制技術(shù)
訪問控制技術(shù)就是確定合法用戶對特定資源的訪問權(quán)限,以實(shí)現(xiàn)對信息資源的最大限度的保護(hù)。
第四節(jié) VPN的用途一、遠(yuǎn)程訪問VPN
最適用于用戶從離散的地
點(diǎn)訪問固定的網(wǎng)絡(luò)資源,如從住所訪問辦公室內(nèi)的資源;出差員工從外地旅店存取企業(yè)網(wǎng)數(shù)據(jù);技術(shù)支持人員從客戶網(wǎng)絡(luò)內(nèi)訪問公司的數(shù)據(jù)庫查詢調(diào)試參數(shù);納稅企業(yè)從本企業(yè)內(nèi)接入互聯(lián)網(wǎng)并通過VPN進(jìn)入當(dāng)?shù)囟悇?wù)管理部門進(jìn)行網(wǎng)上稅金繳納。遠(yuǎn)程訪問VPN可以完全替代以往昂貴的遠(yuǎn)程撥號接入,并加強(qiáng)了數(shù)據(jù)安全。
二、內(nèi)聯(lián)網(wǎng)(分支機(jī)構(gòu)聯(lián)網(wǎng))VPN
最適用將異地的兩個(gè)或多個(gè)局域網(wǎng)或主機(jī)相連形成一個(gè)內(nèi)網(wǎng),主要用于將用戶的異地LAN通過互聯(lián)網(wǎng)上的VPN作為一條虛擬專線連接起來,或是將分支機(jī)構(gòu)與總部連接起來。內(nèi)聯(lián)網(wǎng)VPN可以替代目前市場上使用幀中繼和ATM等專線構(gòu)成的專網(wǎng),顯著降低網(wǎng)絡(luò)建設(shè)和運(yùn)行成本,極大提高了部署和擴(kuò)展靈活性。
三、安全平臺
將相同工作性質(zhì)的,離散地理位置的終端設(shè)備、局域網(wǎng)內(nèi)的主機(jī)或局域網(wǎng)連接形成一個(gè)專網(wǎng),滿足協(xié)同工作的要求,如總公司銷售部門的LAN與下屬單位的銷售部門的PC,以及外出銷售人員的筆記本之間構(gòu)成一個(gè)安全銷售網(wǎng),共享CRM、文檔和IP電話,滿足用戶動態(tài)、業(yè)務(wù)導(dǎo)向化的組網(wǎng)要求,這是其他方案難以實(shí)現(xiàn)的。
四、替代專線
內(nèi)聯(lián)網(wǎng)VPN的簡化版,簡單地將兩個(gè)主機(jī)相連實(shí)現(xiàn)聯(lián)機(jī)、遙控,或一個(gè)主機(jī)與一個(gè)LAN相連,或替代現(xiàn)有專網(wǎng)的某一條專線成為專網(wǎng)的一部分。
五、用戶認(rèn)證
利用VPN用戶認(rèn)證機(jī)制和VPN的安全性,強(qiáng)化用戶認(rèn)證的安全,如上網(wǎng)計(jì)費(fèi)系統(tǒng),認(rèn)證后的數(shù)據(jù)傳輸安全不是重點(diǎn)。
六、網(wǎng)絡(luò)資源訪問控制
將VPN用戶認(rèn)證機(jī)制和VPN網(wǎng)關(guān)對網(wǎng)絡(luò)訪問的調(diào)度能力結(jié)合起來,根據(jù)預(yù)定的安全策略給與不同用戶不同的資源訪問權(quán)限,強(qiáng)化網(wǎng)絡(luò)資源的合理配置和安全性。
第三章 VPN在企業(yè)中的應(yīng)運(yùn)
第一節(jié) 公司簡介杭州芝麻開門信息技術(shù)有限公司系專業(yè)行業(yè)性B2B和B2C平臺運(yùn)營商,公司下設(shè)兩家分公司,運(yùn)營兩個(gè)網(wǎng)站:www.cn-pen.com和www.zmkm.cn,現(xiàn)在公司主要是和中國制筆協(xié)會共同開發(fā)中國筆業(yè)貿(mào)易網(wǎng)www.cn-pen.com.公司匯聚了眾多IT界的精英,直接出擊日益擴(kuò)張的全球市場。公司的目的是將傳統(tǒng)的國內(nèi)、國際性采購及貿(mào)易活動轉(zhuǎn)變成一個(gè)高效率、高效益、低成本的新型電子商務(wù)模式,并根據(jù)企業(yè)的商務(wù)活動的實(shí)際狀況,推出一系列適合于供應(yīng)商及采購商進(jìn)行商業(yè)信息交流與溝通的平臺,促進(jìn)并達(dá)到讓制筆行業(yè)的企業(yè)利用www.cn-pen.com得到更多的商業(yè)服務(wù)和最大限度的商業(yè)資訊。中國筆業(yè)貿(mào)易網(wǎng)的信息具有傳遞快、大容量、及時(shí)更換等特點(diǎn),可以迅速發(fā)布行業(yè)內(nèi)的供求、人才、新產(chǎn)品、新技術(shù)專利等信息。并建立了制筆行業(yè)進(jìn)出口統(tǒng)計(jì)、行業(yè)標(biāo)準(zhǔn)、政策法規(guī)、技術(shù)知識、人才中心等信息數(shù)據(jù)庫,為廣大的制筆企業(yè)及全球采購商提供了真正實(shí)用的電子商務(wù)大平臺。第二節(jié) 公司現(xiàn)有的網(wǎng)絡(luò)狀況首先來了解一下關(guān)于杭州芝麻開門信息技術(shù)有限公司的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。如圖3-1所示。
圖3-1 杭州芝麻開門信息技術(shù)有限公司的網(wǎng)絡(luò)圖
從圖看出總公司和分公司、銀行、合作伙伴,分公司和銀行、合作伙伴,出差員工或者在家辦公人員和總公司、分公司之間,這三種關(guān)系的連接都是經(jīng)過Internet的。
總公司是通過Cisco2600系列路由器作為邊界網(wǎng)關(guān)與外界Internet等公共網(wǎng)相連,并配置放火墻。內(nèi)部則由兩臺Cisco Crystal2950系列交換機(jī)做為中心交換機(jī)把辦公大樓、營銷中心、FTP服務(wù)器、WWW服務(wù)器、E-mail服務(wù)器、數(shù)據(jù)庫服務(wù)器等聯(lián)系起來。網(wǎng)管站直接和交換機(jī)相連,并管理路由器、中心交換機(jī)、服務(wù)器等。如圖3-2所示。
圖3-2 總部內(nèi)網(wǎng)
麗水分支和杭州分支是通過撥號上網(wǎng),與總公司聯(lián)系。它們具體是先經(jīng)ADSL Modem連到24接口阿爾法AFR-K24路由器(內(nèi)配置防火墻),再接24接口阿爾法AFS-3026交換機(jī)和個(gè)人電腦相連。
公司通過防火墻接入Internet。目前公司所有應(yīng)用僅限于公司局域網(wǎng)內(nèi),出差員工不能訪問。
總部網(wǎng)絡(luò)內(nèi)建設(shè)WWW、文件共享服務(wù)、Exchange、公司ERP系統(tǒng),總部各部門局域網(wǎng)絡(luò)實(shí)現(xiàn)接入Internet,但沒有實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)互聯(lián)。
杭州分支公司:電腦接入Internet,實(shí)現(xiàn)了辦公網(wǎng)絡(luò)半自動化。
麗水分支公司:電腦接入Internet,實(shí)現(xiàn)了辦公網(wǎng)絡(luò)半自動化。第三節(jié) 需求分析杭州芝麻開門信息技術(shù)有限公司自1996年創(chuàng)建以來,所擁有的客戶群已越來越龐大。而作為以網(wǎng)站服務(wù)和維護(hù)為主的公司,其客戶需要頻繁地訪問公司內(nèi)部網(wǎng),訪問服務(wù)器。從安全性上講,通過Internet等公共網(wǎng)的連接,勢必會帶來一些危險(xiǎn):從客戶端帶來的威脅會有病毒、陷門和木馬、非授權(quán)訪問、假冒、重放、誹謗等。從服務(wù)器端的威脅就有數(shù)據(jù)完整性破壞、信息篡改等。
根據(jù)公司工程技術(shù)人員的深入了解和分析,杭州芝麻開門信息技術(shù)有限公司需要一種安全的接入機(jī)制來保障通信的安全,并達(dá)到以下要求:
一、企業(yè)必需要確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。Extranet VPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶;
二、要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù);
三、構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬;
四、總部通過多條線路連接廣域網(wǎng),保證分點(diǎn)財(cái)務(wù)核算數(shù)據(jù)的連接安全,也節(jié)約了寬帶接入成本;
五、支持從各種網(wǎng)絡(luò)條件下的安全接入;
六、通過隧道技術(shù)在網(wǎng)絡(luò)協(xié)議的越下層實(shí)現(xiàn)更高的數(shù)據(jù)安全性;
七、通過路由器對用戶實(shí)行統(tǒng)一的管理,對訪問權(quán)限實(shí)行分級管理等要求,實(shí)現(xiàn)流量控制、端口鏡象等要求,通過路由器的相關(guān)防火墻功能實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理;
八、出差員工利用公司筆記公共電腦(如機(jī)場侯機(jī)廳的計(jì)算機(jī))也能夠較安全地訪問公司內(nèi)部網(wǎng)絡(luò)資源;
九、總部保證內(nèi)網(wǎng)至少100臺電腦接入Internet,還要考慮到公司以后的發(fā)展接入點(diǎn)的增加,同時(shí)實(shí)現(xiàn)一級分部通過相關(guān)設(shè)備在連到總部網(wǎng)絡(luò)的同時(shí)還提供訪問公司FTP服務(wù)器,連接公司ERP系統(tǒng)提交與查詢相關(guān)信息等要求;
十、杭州、麗水分支機(jī)構(gòu)2個(gè)辦事處電腦接入Internet,同時(shí)考慮到公司以后的發(fā)展接入點(diǎn)的增加,同時(shí)實(shí)現(xiàn)與總部實(shí)現(xiàn)互聯(lián)同時(shí)還提供訪問公司FTP服務(wù)器,連接公司ERP系統(tǒng)提交與查詢相關(guān)信息等要求;
十一、在各分支機(jī)構(gòu)和總公司之間創(chuàng)造一個(gè)集成化的辦公環(huán)境,為工作人員提供多功能的桌面辦公環(huán)境,解決辦公人員處理不同事務(wù)需要使用不同工作環(huán)境的問題。
第四節(jié) 需求總結(jié)針對以上的需求,通過VPN的配置可以解決互聯(lián)問題,另外對VPN加以相應(yīng)配置可以實(shí)現(xiàn)資料傳輸?shù)陌踩詥栴}。
以現(xiàn)有技術(shù)來說,所謂最優(yōu)選擇其實(shí)必須根據(jù)遠(yuǎn)程訪問的需求與目標(biāo)而定。目前主流VPN方案有兩種:IPSec/IKE和SSL VPN。當(dāng)前企業(yè)需要安全的點(diǎn)對點(diǎn)連接,或用單一裝置進(jìn)行遠(yuǎn)程訪問,并且讓企業(yè)擁有管理所有遠(yuǎn)程訪問使用能力,IPSec/IKE是最適合的解決方案。
比較那種傳輸方法比較好更重要的問題是:那種安全技術(shù)最符合遠(yuǎn)程接入方案的需求,IPSec可以保護(hù)任何IP流量,而SSL專注于應(yīng)用層流量。IPSec適合長期的連接,即寬帶、持續(xù)和網(wǎng)絡(luò)層連接要求。SSL 僅適合于個(gè)別的,對應(yīng)用層和資源的連接,而且支持的應(yīng)用沒有IPSec 多。
實(shí)現(xiàn)外出出差員工通過PPTP撥號連接公司網(wǎng)絡(luò)完成相關(guān)工作。第五節(jié) 方案設(shè)計(jì)一、設(shè)備選擇
由于VPN的應(yīng)用受到網(wǎng)管者的歡迎,因此技術(shù)也不斷演進(jìn)。一般常見的VPN協(xié)定有PPTP、IPSec、SSL等。其中PPTP為微軟支持的協(xié)定,設(shè)定較方便,但保全性不夠;IPSec公認(rèn)是最安全的協(xié)定,但是設(shè)定和配置復(fù)雜,一般的用戶不容易操作;SSL則需在服務(wù)器端進(jìn)行介面轉(zhuǎn)換,并不是所有的應(yīng)用程序都可支持。
在實(shí)際操作上,VPN的架設(shè)還面臨其他的問題:例如當(dāng)互聯(lián)網(wǎng)聯(lián)機(jī)掉線時(shí),再安全的VPN也沒有作用;中國由于IP資源有限,因此VPN聯(lián)機(jī)必須基于雙方為動態(tài)IP的基礎(chǔ)上建立;由于幅員廣大,網(wǎng)管人員要跑遍各個(gè)分公司的成本太高,VPN的設(shè)定最好簡單清楚,略有網(wǎng)絡(luò)知識者即可完成;每個(gè)ISP的IP分派方式都不同,IPSec并不一定都能穿透。
現(xiàn)在市場上的VPN產(chǎn)品繁多,而且功能各不相同,本著遵循著方便實(shí)用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則,同時(shí)對杭州芝麻開門信息技術(shù)有限公司的需求分析,在選擇VPN連接設(shè)備上推薦市場上思科公司的Cisco2600系列VPN防火墻路由器產(chǎn)品。
Cisco2600系列VPN防火墻路由器產(chǎn)品支持 IPSec VPN連接,提供適用于各辦公室,事業(yè)伙伴及遠(yuǎn)程使用者使用的安全便利的網(wǎng)絡(luò)加密方式,包括3DES, DES, 以及AH/ESP加密方式。 VPN 功能提供了各分支點(diǎn)間或大多數(shù)遠(yuǎn)程使用者采VPN方式,將資料自動加密解密的通訊方式,支持Gateway To Gateway ,Client To Gateway與Group VPNs 等模式。具備PPTP服務(wù)器功能,具備聯(lián)機(jī)狀態(tài)顯示,可以滿足在外出差或想要連回總部或分公司的用戶也可使用PPTP或IPSec方式連回企業(yè)網(wǎng)絡(luò),相對來說PPTP要比IPSec易配制,對移動辦公用戶比較適合。
Cisco2600系列VPN防火墻路由器產(chǎn)品內(nèi)建進(jìn)階型防火墻功能,能夠阻絕大多數(shù)的網(wǎng)絡(luò)攻擊行為, 使用了SPI封包主動偵測檢驗(yàn)技術(shù)(Stateful Packet Inspection),封包檢驗(yàn)型防火墻主要運(yùn)作在網(wǎng)絡(luò)層,執(zhí)行對每個(gè)連接的動態(tài)檢驗(yàn),也擁有應(yīng)用程序的警示功能,讓封包檢驗(yàn)型防火墻可以拒絕非標(biāo)準(zhǔn)的通訊協(xié)議所使用的連結(jié), 預(yù)設(shè)自動偵測并阻擋。Cisco2600亦同時(shí)支持使用網(wǎng)絡(luò)地址轉(zhuǎn)換 Network Address Translation (NAT)功能以及Routing 路由模式,使網(wǎng)絡(luò)環(huán)境架構(gòu)更為彈性,易于規(guī)劃管理。
總部網(wǎng)絡(luò)通過光纖連接外網(wǎng),連接路由器交換機(jī)選擇三層千兆交換機(jī),三層千兆交換機(jī)之間用光纖連接,以滿足內(nèi)部網(wǎng)絡(luò) VLAN的劃分,同時(shí)考慮到今后公司的發(fā)展,信息點(diǎn)擴(kuò)充的需要。二、設(shè)計(jì)原則