鄭士基
(新會(huì)廣播電視臺(tái),廣東 新會(huì) 529100)
∶企業(yè)為了提升管理水平,加強(qiáng)信息溝通,提高運(yùn)營(yíng)效率,適應(yīng)日益激烈的市場(chǎng)競(jìng)爭(zhēng)和信息化發(fā)展,必須要建立一個(gè)高效穩(wěn)定、覆蓋面廣、安全可靠的企業(yè)專(zhuān)用網(wǎng)絡(luò),使得企業(yè)內(nèi)部、各子公司、分支機(jī)構(gòu)及合作伙伴之間能實(shí)現(xiàn)信息的快速傳遞及數(shù)據(jù)的交換和共享。傳統(tǒng)企業(yè)專(zhuān)用網(wǎng)絡(luò)的組建一般是租用或自建專(zhuān)用傳輸線(xiàn)路,其建設(shè)及后期的維護(hù)、管理費(fèi)用高昂。而VPN技術(shù)的出現(xiàn),使得企業(yè)能根據(jù)自己的實(shí)際需求,以較低的成本和技術(shù)門(mén)檻,方便、快捷、靈活地組建屬于自己的VPN虛擬專(zhuān)用網(wǎng)絡(luò)。本文將對(duì)VPN技術(shù)的原理,其所具有的優(yōu)勢(shì)及在企業(yè)網(wǎng)絡(luò)中的應(yīng)用進(jìn)行論述。
∶VPN技術(shù);企業(yè)網(wǎng)絡(luò);VPN應(yīng)用
VPN(Virtual Private Network,即虛擬專(zhuān)用網(wǎng)絡(luò))指的是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)的技術(shù)。它是以公用網(wǎng)絡(luò)為基礎(chǔ)建立的一個(gè)穩(wěn)定、臨時(shí)、安全的信息連接通道。其之所以“虛擬”,是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接是動(dòng)態(tài)的,是架構(gòu)在公共網(wǎng)絡(luò)平臺(tái)上,并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路,用戶(hù)的數(shù)據(jù)只是在邏輯鏈路中進(jìn)行傳輸?!皩?zhuān)用”則是指VPN是通過(guò)加密與識(shí)別兩個(gè)組件來(lái)實(shí)現(xiàn)連接。加密通過(guò)變換信息實(shí)體,達(dá)到隱藏原有信息含義、保證信息安全的目的;識(shí)別則是對(duì)節(jié)點(diǎn)或者節(jié)點(diǎn)進(jìn)行標(biāo)識(shí)的過(guò)程,它在通過(guò)公共網(wǎng)絡(luò)平臺(tái)進(jìn)行傳輸前就已經(jīng)完成。
VPN主要采用了隧道技術(shù)、加解密技術(shù)和認(rèn)證技術(shù)。
2.1 隧道技術(shù)
隧道技術(shù)的基本過(guò)程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負(fù)載,封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑被稱(chēng)為“隧道”。隧道由隧道協(xié)議形成,可分為第二層和第三層協(xié)議。第二層隧道協(xié)議將數(shù)據(jù)包封裝到PPP中,然后將整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中在隧道中傳輸,第二層隧道協(xié)議有L2F、PPTP、L2TP等。第三層隧道協(xié)議將數(shù)據(jù)包直接封裝到隧道協(xié)議中,形成的數(shù)據(jù)包通過(guò)第三層協(xié)議傳輸,第三層隧道協(xié)議有VTP、IPSec等。其中IPSec隧道協(xié)議得到了廣泛的應(yīng)用,IPSec有兩種工作模式,運(yùn)輸模式和隧道模式。
運(yùn)輸模式(Transport)∶在該模式中,僅利用傳輸層數(shù)據(jù)來(lái)計(jì)算AH或ESP首部。AH或ESP首部以及ESP加密的用戶(hù)數(shù)據(jù)被放置在原IP包頭后面。通常,傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通信。
隧道模式(Tunnel)∶在該模式中,利用整個(gè)IP數(shù)據(jù)包來(lái)計(jì)算AH或ESP首部,AH或ESP首部以及ESP加密的用戶(hù)數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。通常,隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通信。
2.2 加解密技術(shù)
VPN是在不安全的公用網(wǎng)絡(luò)中通信,通信的內(nèi)容可能涉及企業(yè)的機(jī)密數(shù)據(jù),因此其安全性非常重要,為了保證數(shù)據(jù)通信的機(jī)密性,VPN必須采用成熟的加解密技術(shù)來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。IPSec的ESP協(xié)議采用56位的DES算法實(shí)現(xiàn)加密傳輸,并使用ISAKMP密鑰交換協(xié)商機(jī)制來(lái)完成加密和解密密鑰的交換。
2.3 認(rèn)證技術(shù)
認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡改,它采用一種被稱(chēng)為“摘要”的技術(shù)。“摘要”技術(shù)主要采用HASH函數(shù)將一段長(zhǎng)的報(bào)文通過(guò)函數(shù)變換,映射為一段短的報(bào)文,即摘要。該特性使得摘要技術(shù)在VPN中有兩個(gè)用途:驗(yàn)證數(shù)據(jù)的完整性、用戶(hù)認(rèn)證。IPSec定義了兩個(gè)協(xié)議,鑒別首部(AH)協(xié)議和封裝安全有效載荷(ESP)協(xié)議,這兩個(gè)協(xié)議完成數(shù)據(jù)的完整性、消息源的鑒別和數(shù)據(jù)加密功能。①AH協(xié)議。AH協(xié)議被設(shè)計(jì)用來(lái)鑒別源主機(jī),以確保IP分組所攜帶的有效載荷的完整性。AH采用散列算法和對(duì)稱(chēng)密鑰來(lái)計(jì)算報(bào)文摘要,并根據(jù)IPSec的運(yùn)輸方式插入到相應(yīng)位置,AH可以實(shí)現(xiàn)數(shù)據(jù)的完整性、數(shù)據(jù)源的真實(shí)性,但不提供數(shù)據(jù)的保密傳輸功能。②ESP協(xié)議。ESP(封裝安全有效載荷)協(xié)議提供報(bào)文鑒別、完整性和加密功能,ESP增加首部和尾部,并根據(jù)IPSec的工作模式插入到相應(yīng)的位置。③ESP協(xié)議是在AH協(xié)議的基礎(chǔ)上而設(shè)計(jì)的,ESP協(xié)議能完成AH所做的所有功能,但增加了加密機(jī)制。因此ESP協(xié)議與AH協(xié)議相比,ESP協(xié)議具有優(yōu)越性。
VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用主要有以下三種形式:
3.1 企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)(即 Intranet VPN)
企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)主要適用于處于異地的企業(yè)總部及子公司、分支機(jī)構(gòu)的網(wǎng)絡(luò)互聯(lián),傳統(tǒng)的互聯(lián)方式主要是通過(guò)租用網(wǎng)絡(luò)運(yùn)營(yíng)商的專(zhuān)線(xiàn)進(jìn)行連接,但是如果企業(yè)的分支機(jī)構(gòu)不斷增多,地理位置越來(lái)越廣,則網(wǎng)絡(luò)的結(jié)構(gòu)將會(huì)越來(lái)越復(fù)雜,相關(guān)聯(lián)網(wǎng)的費(fèi)用也會(huì)不斷增加。企業(yè)在內(nèi)部虛擬網(wǎng)絡(luò)建設(shè)的過(guò)程中,可以使用VPN技術(shù),采用網(wǎng)關(guān)到網(wǎng)關(guān)的形式將企業(yè)總部及各子公司、分支機(jī)構(gòu)通過(guò)Internet連接起來(lái),從而實(shí)現(xiàn)企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)的組建。企業(yè)可以利用VPN的加密、識(shí)別等特性,保證信息通過(guò)Internet,在企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)內(nèi)安全的傳輸。IPSec隧道協(xié)議可滿(mǎn)足所有網(wǎng)關(guān)到網(wǎng)關(guān)的VPN連接,在Intranet VPN組網(wǎng)方式中使用得最多。
3.2 企業(yè)遠(yuǎn)程訪(fǎng)問(wèn)(即Access VPN)
遠(yuǎn)程訪(fǎng)問(wèn)是VPN應(yīng)用最為廣泛的一項(xiàng)技術(shù),它提供了安全、可靠,但是價(jià)格低廉的遠(yuǎn)程用戶(hù)接入企業(yè)內(nèi)部網(wǎng)絡(luò)的技術(shù),采用客戶(hù)端到網(wǎng)關(guān)的形式,通過(guò)Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施,以安全的方式對(duì)位于VPN服務(wù)器后面的企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)。這一技術(shù)利用了公共基礎(chǔ)設(shè)施與ISP,一旦與VPN服務(wù)系統(tǒng)進(jìn)行連接,用戶(hù)與VPN服務(wù)器之間就架設(shè)了一條穿越Internet的專(zhuān)用通道,雖然互聯(lián)網(wǎng)具有開(kāi)放性,安全系數(shù)較低等特點(diǎn),但是因?yàn)閂PN技術(shù)采用的是加密技術(shù),這就保證了遠(yuǎn)程用戶(hù)與VPN服務(wù)器之間連接的安全性和可靠性。
3.3 企業(yè)外部虛擬網(wǎng)絡(luò)(即 Extranet VPN)
企業(yè)外部虛擬網(wǎng)絡(luò)是將企業(yè)與其客戶(hù)、合作伙伴的網(wǎng)絡(luò)互聯(lián)構(gòu)成Extranet,實(shí)現(xiàn)信息的共享,它既可以為企業(yè)客戶(hù)與合作伙伴提供非常便捷、準(zhǔn)確的信息服務(wù),又可以提高企業(yè)內(nèi)部網(wǎng)絡(luò)的安全系數(shù)。企業(yè)外部虛擬網(wǎng)絡(luò)由于是不同企業(yè)之間的網(wǎng)絡(luò)相互通信,所以要更多考慮設(shè)備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問(wèn)題,也屬于網(wǎng)關(guān)到網(wǎng)關(guān)的連接方式,主要是使用專(zhuān)用的連接設(shè)備和VPN的IPSec協(xié)議將企業(yè)與客戶(hù)、合作伙伴的內(nèi)部網(wǎng)絡(luò)進(jìn)行連接。企業(yè)外部虛擬網(wǎng)絡(luò)有著與專(zhuān)用網(wǎng)絡(luò)相同的特性,包括了可靠性、安全等級(jí)、服務(wù)質(zhì)量以及可管理性等。
VPN技術(shù)是在公共網(wǎng)絡(luò)上建立安全的專(zhuān)用網(wǎng)絡(luò),它是企業(yè)內(nèi)部網(wǎng)絡(luò)在公共網(wǎng)絡(luò)上的延伸。VPN為用戶(hù)提供了一個(gè)低成本、高效率、高安全性的互聯(lián)服務(wù),極大地加快了信息在企業(yè)內(nèi)部不同區(qū)域間的流通,其在資源管理與配置、信息共享與交互、異地協(xié)同與移動(dòng)辦公等方面都具有很高的應(yīng)用價(jià)值。隨著信息技術(shù)的快速發(fā)展,VPN技術(shù)也必將更加完善,在未來(lái)的信息化建設(shè)中具有廣闊的前景。
[1]田曉東.淺談VPN應(yīng)用和企業(yè)內(nèi)部網(wǎng)絡(luò)安全[J].科協(xié)論壇(下半月),2011.(08)
[2]戴 剛,文信翔,公丕強(qiáng).VPN在企業(yè)中應(yīng)用的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010.
[3]閆曉弟,耶 健.基于VPN的電子資源遠(yuǎn)程訪(fǎng)問(wèn)系統(tǒng)的研究與實(shí)現(xiàn)[J].情報(bào)雜志.2009(08).