張 輝，李菊萍

（西安鐵路局寶雞工務(wù)段網(wǎng)絡(luò)室，寶雞721000 ）

寶雞工務(wù)段是西安鐵路局工務(wù)系統(tǒng)內(nèi)最大的站段之一，管轄西寶線、寶中線、寶成線及寶天線。除機關(guān)辦公使用的計算機外，其余計算機安裝在沿線各車間和班組，分布范圍較散，且相隔距離較遠。

目前段機關(guān)通過網(wǎng)橋接入方式接入車站機房。車間班組通過鐵通的綜合信息平臺與段機關(guān)聯(lián)通，車間班組需要實時將信息傳送到段機關(guān)及鐵路局，段機關(guān)及鐵路局也需要將反饋的信息實時向車間班組下發(fā)。但段機關(guān)作為連接的中心點，所有的數(shù)據(jù)都經(jīng)過段服務(wù)器進行分發(fā)。

1 VPN需求分析

隨著鐵路的迅速發(fā)展，工務(wù)段管轄的車間班組相繼多了起來，信息交互也越來越頻繁，隨著各種業(yè)務(wù)應(yīng)用系統(tǒng)的實施，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中傳輸也越來越多，安全性要求也越來越高，目前僅僅依靠綜合信息平臺接入，段服務(wù)器轉(zhuǎn)發(fā)的組網(wǎng)模式已經(jīng)越來越不適應(yīng)工務(wù)段對信息傳輸平臺的要求了。

從安全方面考慮，鐵通提供的綜合信息平臺沒有經(jīng)過加密處理，重要數(shù)據(jù)和信息均是以明文在網(wǎng)上傳輸，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽分析工具，極易篡改、竊取甚至破壞企業(yè)數(shù)據(jù)，給企業(yè)造成不可估量的損失；由于傳輸平臺沒有認證功能，企業(yè)內(nèi)部員工的越權(quán)訪問、誤操作、有意或無意的泄密、甚至是少數(shù)員工惡意的破壞，都會對企業(yè)的信息和數(shù)據(jù)造成很大的威脅；由于傳輸平臺沒有訪問控制和安全隔離的功能，給外部非法人員提供了入侵的機會，非法人員可以通過專用的黑客程序（此類工具在Internet上可以任意下載），或者盜取授權(quán)員工的訪問權(quán)限，很容易進入企業(yè)系統(tǒng)內(nèi)部。由于工務(wù)段車間班組聯(lián)網(wǎng)網(wǎng)點數(shù)目眾多，相應(yīng)的受攻擊的幾率較大，一旦通過計算機終端進入總部服務(wù)器，后果將不堪設(shè)想。

從管理方面考慮，工務(wù)段處于高速發(fā)展階段，擁有的聯(lián)網(wǎng)網(wǎng)點和計算機終端較多，最緊迫的問題就是信息的匯總、聯(lián)網(wǎng)網(wǎng)點的信息交互以及計算機終端的集中管理?，F(xiàn)有組網(wǎng)方式由于本身的技術(shù)限制，不可能提供強大的管理平臺，也不可能解決大規(guī)模的應(yīng)用和管理問題。

從經(jīng)營角度考慮，工務(wù)段需要一個實時、安全、高速、快捷和穩(wěn)定的信息交互平臺，以滿足信息頻繁傳輸?shù)男枰?，以便增加工作效率，提高服?wù)質(zhì)量，加快信息化建設(shè)，適應(yīng)快速發(fā)展，提升良好形象。

綜上所述，如何快捷地解決工務(wù)段的聯(lián)網(wǎng)問題，如何很好地解決“信息的共享和信息的安全問題”是本方案重點討論的問題，使整個網(wǎng)絡(luò)的互聯(lián)性得到極大提高，安全性達到全面加強，是本系統(tǒng)方案要實現(xiàn)的目標。

2 VPN技術(shù)特點

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展及Internet接入方式的多樣化，為VPN應(yīng)用提供了條件，不同地區(qū)的遠程遙測點可通過ADSL、小區(qū)寬帶、GPRS、CDMA 1X或窄帶撥號等各種網(wǎng)絡(luò)連接方式連入Internet，無需固定公網(wǎng)IP地址，由中心的VPN網(wǎng)關(guān)為認證用戶分配一個內(nèi)部私網(wǎng)地址，通過遠程認證，實現(xiàn)與監(jiān)測內(nèi)部網(wǎng)絡(luò)的互連，從而組成一個高效統(tǒng)一的虛擬專用網(wǎng)絡(luò)。

目前VPN技術(shù)相當成熟，應(yīng)用相當廣泛，主要采用4種技術(shù)：隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認證技術(shù)。

2.1 隧道技術(shù)

當VPN客戶機訪問VPN服務(wù)器時，并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，它們是通過一個虛擬的隧道進行訪問。一個隧道實際上就是在公網(wǎng)上建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過這條隧道傳輸，完成數(shù)據(jù)封裝、傳輸和解包。為創(chuàng)建隧道，隧道的客戶機和服務(wù)器雙方必須使用相同的隧道協(xié)議，隧道技術(shù)主要有3種協(xié)議支持：PPTP，L2TP和IPsec。

（1）點對點隧道協(xié)議（PPTP）。

PPTP協(xié)議工作在OSI/RM開放模型中的第2層，允許對IP、IPX或NetBEUI數(shù)據(jù)流進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或互聯(lián)網(wǎng)發(fā)送。通過PPTP，遠程用戶首先撥號到本地因特網(wǎng)服務(wù)提供商ISP的網(wǎng)絡(luò)服務(wù)器NAS去訪問總部的內(nèi)部網(wǎng)絡(luò)，并不需要直接撥號至總部的網(wǎng)絡(luò)，這樣大大減少了建立和維護專用遠程線路的費用。PPTP協(xié)議通過身份驗證后開始加密，身份驗證的過程沒有加密，安全性稍低，配置簡單，在實現(xiàn)上存在著重大安全隱患。

（2）第2層隧道協(xié)議（L2TP）。

L2TP協(xié)議是L2FP與PPTP的結(jié)合，專門用來進行第2層數(shù)據(jù)的通道傳送，允許對IP、IPX或NetBEUI數(shù)據(jù)流進行加密，然后通過支持點對點數(shù)據(jù)報傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP、X.25、楨中繼或ATM。遠程用戶通過本地PSTN、ISDN或PLMN撥號，利用ISP提供的VPDN特服號，接入ISP在當?shù)氐腘AS，通過當?shù)氐腣PDN認證系統(tǒng)對用戶身份進行認證，建立一個位于NAS和LNS（本地網(wǎng)絡(luò)服務(wù)器）之間的虛擬專網(wǎng)來訪問總部的內(nèi)部網(wǎng)絡(luò)。L2TP需要證書服務(wù)來驗證計算機身份，身份驗證過程是加密的，安全性較高，配置稍微復雜，但也不能完全保證數(shù)據(jù)傳輸過程中的安全。

（3）安全IP（IPSec）隧道模式。

IPSEC協(xié)議工作在OSI/RM開放模型中的第3層，允許對IP負載數(shù)據(jù)進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或互聯(lián)網(wǎng)發(fā)送，具有認證包頭AH和數(shù)據(jù)加密格式ESP。IPSEC采取數(shù)據(jù)源驗證、無連接數(shù)據(jù)的完整性驗證、數(shù)據(jù)內(nèi)容的機密性保護、抗重播保護等形式，有效保護IP數(shù)據(jù)報的安全。在傳輸數(shù)據(jù)包之前將其加密，接收端根據(jù)AH和ESP對所有受IPSec保護的數(shù)據(jù)包進行認證和解密，防止數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，安全性高，從而保證了數(shù)據(jù)包在Internet網(wǎng)上傳輸時的私有性、完整性和真實性。

2.2 加解密技術(shù)

加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，可直接利用。

2.3 密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取,密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

2.4 身份認證技術(shù)

當VPN客戶端連接VPN服務(wù)器時，就涉及到身份驗證的問題，身份驗證可以采用Windows的身份驗證或者RADIUS（遠程撥號用戶確認服務(wù)）身份驗證。

Windows的身份驗證主要通過用戶名和密碼來提供認證，認證協(xié)議采用Microsoft質(zhì)詢握手身份驗證協(xié)議MS－CHAP來加強對用戶身份的查驗。

RADIUS身份驗證是通過Windows安裝Internet驗證服務(wù)IAS來實現(xiàn)。這種撥號方式建立的VPN連接，可以實現(xiàn)雙重數(shù)據(jù)加密，使網(wǎng)絡(luò)數(shù)據(jù)傳輸更安全。

VPN的加密方式使得網(wǎng)絡(luò)信息傳輸安全性大大提高，數(shù)據(jù)驗證使得接收方可識別數(shù)據(jù)包是否被非法篡改，保證了數(shù)據(jù)的完整性。

3 關(guān)于VPN專網(wǎng)的安全管理

使用VPN傳輸私有數(shù)據(jù)，面臨潛在的安全風險，這需要提供安全保障。雖然VPN有單獨的網(wǎng)關(guān)，對IPSec數(shù)據(jù)包進行加密/解密處理和身份認證，但它沒有很強的訪問控制功能，如狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防DoS攻擊等。要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問，網(wǎng)絡(luò)管理員必須對通過VPN連接到網(wǎng)絡(luò)的計算機和直接連接到LAN的計算機實行同樣的安全標準。

為保證VPN的安全性，必須將所有設(shè)備放在防火墻之后，防火墻必須封鎖任何沒有使用的端口，由防火墻打開允許的隧道信息包通過，才能與內(nèi)部網(wǎng)絡(luò)進行數(shù)據(jù)傳輸?？梢酝ㄟ^安全檢測設(shè)置來限制有權(quán)限的訪問者，如果不再符合安全法則時，根本不允許接入，從而為私有數(shù)據(jù)在公用網(wǎng)絡(luò)上的傳輸提供了安全和保密。

在監(jiān)測網(wǎng)絡(luò)上建立防火墻，能夠保證內(nèi)部網(wǎng)絡(luò)免受安全威脅及攻擊，強大的網(wǎng)絡(luò)地址轉(zhuǎn)換功能使服務(wù)器對外偽裝服務(wù)身份，保護局域網(wǎng)內(nèi)部的服務(wù)器安全運行，同時支持對特殊網(wǎng)絡(luò)服務(wù)及ARP欺騙病毒的屏蔽功能。對于連接VPN的用戶也必須在個人計算機上安裝個人防火墻，它可以使非法侵入者不能進入局域網(wǎng)。

4 站段網(wǎng)絡(luò)平臺結(jié)構(gòu)

綜合VPN技術(shù)特點，在段內(nèi)辦公網(wǎng)上采用了IPSec隧道模式組建VPN專網(wǎng)，其網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1。

圖1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)

VPN專網(wǎng)的實現(xiàn)，需在內(nèi)部網(wǎng)絡(luò)中配置一臺VPN服務(wù)器與內(nèi)部網(wǎng)絡(luò)連接，在中心將VPN硬件網(wǎng)關(guān)、監(jiān)測網(wǎng)絡(luò)設(shè)備及內(nèi)部辦公設(shè)備放在防火墻后面，經(jīng)過防火墻再由一條專用光纖連接到綜合信息平臺，VPN硬件網(wǎng)關(guān)的LAN（局域網(wǎng)）口連接到內(nèi)網(wǎng)的交換機上，WAN（廣域網(wǎng)）口連接到與綜合信息平臺相連的光纖。

當遠程終端通過VPN連接與辦公網(wǎng)中的計算機進行通信時，先由綜合信息平臺將所有的數(shù)據(jù)傳送到VPN服務(wù)器，再由VPN服務(wù)器將所有的數(shù)據(jù)傳送到目標計算機。

網(wǎng)絡(luò)管理員通過配置VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問內(nèi)部信息的權(quán)利，沒有訪問權(quán)利的用戶無法獲得辦公網(wǎng)信息。

VPN服務(wù)器相當于執(zhí)行路由和遠程訪問服務(wù)任務(wù)的一個增強的Windows Server服務(wù)器，一旦一個進入VPN網(wǎng)絡(luò)的請求被批準，這個VPN服務(wù)器就簡單地充當一臺路由器向這個VPN客戶機提供專用網(wǎng)絡(luò)的接入。

當遠程終端訪問辦公網(wǎng)網(wǎng)內(nèi)部資源時，有可能將間諜軟件，病毒隨著客戶端對辦公網(wǎng)的訪問而進入內(nèi)網(wǎng)，導致服務(wù)器遭受間諜軟件、病毒的風險。利用域管理模式和架設(shè)CA服務(wù)器來創(chuàng)建網(wǎng)絡(luò)訪問準入規(guī)則，預(yù)先定制好遠程終端計算機的安全策略。當遠程終端計算機通過VPN服務(wù)器連接辦公網(wǎng)時，檢查用戶的計算機是否具備了相應(yīng)的安全策略。

只有符合相應(yīng)的安全策略的用戶才允許登陸，不具備相應(yīng)安全條件的用戶，不允許登陸到VPN服務(wù)器，也連不通VPN通道。這樣從根本上提高了遠程終端計算機的安全性，減少了遠程終端遭受蠕蟲、病毒、木馬以及間諜軟件而導致服務(wù)器遭受破壞的風險。

這種方案充分利用了綜合信息平臺，遠程終端通過ADSL方式接入綜合信息平臺，再由和綜合信息平臺相連（段機關(guān)采用了一條10 M光纖）的VPN服務(wù)器，來訪問位于VPN服務(wù)器后面的內(nèi)部網(wǎng)絡(luò)。一旦接入VPN服務(wù)器，就在遠程終端與VPN服務(wù)器之間建立一條專用隧道連接。這樣，遠程終端到綜合信息平臺的連接和VPN服務(wù)器到綜合信息平臺的連接都是本地網(wǎng)內(nèi)通信，由于采用加密技術(shù)，遠程終端到VPN服務(wù)器之間的連接是安全的。

5 VPN技術(shù)實施的優(yōu)勢

（1）迅速擁有高效穩(wěn)定的VPN平臺，廣泛的兼容性使其可以很方便的部署于網(wǎng)絡(luò)的任何位置。而簡單明了又兼?zhèn)渫暾壿嬎悸返牟僮髂Ｊ娇梢宰尮芾韱T迅速掌握，從而方便地配置出滿足自身需求的個性化配置方案。在客戶端不需要安裝任何應(yīng)用軟件，不需做任何配置，同時也減輕了網(wǎng)絡(luò)管理員的工作。

（2）接入后的用戶受控于更細致的訪問控制粒度。根據(jù)組織的構(gòu)架，用戶可以分組管理，而授權(quán)粒度則可以按照角色進行管理，為每個用戶或每個組分配一個或多個角色。比如可以為某用戶分配辦公收發(fā)文和財務(wù)查詢的雙重角色，這樣他即可以訪問辦公OA的進行收發(fā)文又可以訪問財務(wù)系統(tǒng)進行財務(wù)查詢。

（3）實現(xiàn)了整體的互聯(lián)，使分散的部門連到統(tǒng)一的VPN網(wǎng)絡(luò)。滿足整體網(wǎng)絡(luò)實時互聯(lián)互通的要求，實現(xiàn)各個點的VPN互聯(lián)，構(gòu)建完整的基礎(chǔ)網(wǎng)絡(luò)平臺，并可根據(jù)權(quán)限的設(shè)定和網(wǎng)絡(luò)拓撲的需要分別設(shè)定接入節(jié)點和權(quán)限控制，增強內(nèi)部基礎(chǔ)網(wǎng)絡(luò)的穩(wěn)定性和可靠性。

（4）確保數(shù)據(jù)傳輸?shù)陌踩煽俊⒔尤胗脩舻膰栏裾J證。段機關(guān)與各個車間班組之間，無需更改原有的網(wǎng)絡(luò)結(jié)構(gòu)、按照實際的運作流程，構(gòu)建完善、穩(wěn)定、高效的VPN網(wǎng)絡(luò)，保障信息化系統(tǒng)的日常運行。

（5）建成標準統(tǒng)一、功能完善、安全可靠的內(nèi)部網(wǎng)絡(luò)與信息平臺，形成信息安全保障體系。建設(shè)的重點任務(wù)：加快建設(shè)內(nèi)網(wǎng)平臺；整合信息資源；形成結(jié)構(gòu)合理、功能完善、管理規(guī)范、安全可靠和靈活實用的網(wǎng)絡(luò)基礎(chǔ)支撐體系。

6 結(jié)束語

上述方案成功地解決了段辦公網(wǎng)與車間班組之間實時互聯(lián)問題，提供了遠程訪問的安全途徑，使車間班組能夠隨時方便地接入工務(wù)段內(nèi)部網(wǎng)絡(luò)開展業(yè)務(wù)，共享網(wǎng)絡(luò)資源。最大限度地發(fā)揮各種應(yīng)用系統(tǒng)的效率，使工務(wù)段網(wǎng)絡(luò)管理更加統(tǒng)一規(guī)范，共享數(shù)據(jù)信息。VPN提供了安全、可靠的訪問通道，為工務(wù)段信息化建設(shè)進一步發(fā)展提供了可靠的技術(shù)保障，達到科學高效的管理目標。

[1] 高海英，薛元星，辛陽，等. VPN技術(shù)[M] . 北京：機械工業(yè)出版社，2004.

[2] [美] Mark Lucas，等. 防火墻策略與VPN配置[M] . 北京：水利水電出版社，2008.

[3] 王達. 虛擬專用網(wǎng)（VPN）精解[M] . 北京：清華大學出版社，2004.

[4] [美] Mark Lewis. VPN故障診斷與排除[M] . 袁國忠. 北京：人民郵電出版社，2006.

[5] 吉榮廷，楊慧，趙建軍. 基于VPN技術(shù)與CDMAIX技術(shù)實現(xiàn)遠程視頻無線傳輸[J] . 鐵路計算機應(yīng)用，2008，12（2）.

[6] 呂鴻杰，譚獻海，裴加富. UML&VP在VPN網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用[J] . 鐵路計算機應(yīng)用，2008，12（3）.