VPN技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用

鄭士基

（新會(huì)廣播電視臺(tái)，廣東 新會(huì) 529100）

∶企業(yè)為了提升管理水平，加強(qiáng)信息溝通，提高運(yùn)營(yíng)效率，適應(yīng)日益激烈的市場(chǎng)競(jìng)爭(zhēng)和信息化發(fā)展，必須要建立一個(gè)高效穩(wěn)定、覆蓋面廣、安全可靠的企業(yè)專(zhuān)用網(wǎng)絡(luò)，使得企業(yè)內(nèi)部、各子公司、分支機(jī)構(gòu)及合作伙伴之間能實(shí)現(xiàn)信息的快速傳遞及數(shù)據(jù)的交換和共享。傳統(tǒng)企業(yè)專(zhuān)用網(wǎng)絡(luò)的組建一般是租用或自建專(zhuān)用傳輸線(xiàn)路，其建設(shè)及后期的維護(hù)、管理費(fèi)用高昂。而VPN技術(shù)的出現(xiàn)，使得企業(yè)能根據(jù)自己的實(shí)際需求，以較低的成本和技術(shù)門(mén)檻，方便、快捷、靈活地組建屬于自己的VPN虛擬專(zhuān)用網(wǎng)絡(luò)。本文將對(duì)VPN技術(shù)的原理，其所具有的優(yōu)勢(shì)及在企業(yè)網(wǎng)絡(luò)中的應(yīng)用進(jìn)行論述。

∶VPN技術(shù)；企業(yè)網(wǎng)絡(luò)；VPN應(yīng)用

1 VPN簡(jiǎn)介

VPN(Virtual Private Network，即虛擬專(zhuān)用網(wǎng)絡(luò))指的是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)的技術(shù)。它是以公用網(wǎng)絡(luò)為基礎(chǔ)建立的一個(gè)穩(wěn)定、臨時(shí)、安全的信息連接通道。其之所以“虛擬”，是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接是動(dòng)態(tài)的，是架構(gòu)在公共網(wǎng)絡(luò)平臺(tái)上，并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路，用戶(hù)的數(shù)據(jù)只是在邏輯鏈路中進(jìn)行傳輸?！皩?zhuān)用”則是指VPN是通過(guò)加密與識(shí)別兩個(gè)組件來(lái)實(shí)現(xiàn)連接。加密通過(guò)變換信息實(shí)體，達(dá)到隱藏原有信息含義、保證信息安全的目的；識(shí)別則是對(duì)節(jié)點(diǎn)或者節(jié)點(diǎn)進(jìn)行標(biāo)識(shí)的過(guò)程，它在通過(guò)公共網(wǎng)絡(luò)平臺(tái)進(jìn)行傳輸前就已經(jīng)完成。

2 VPN技術(shù)原理

VPN主要采用了隧道技術(shù)、加解密技術(shù)和認(rèn)證技術(shù)。

2.1 隧道技術(shù)

隧道技術(shù)的基本過(guò)程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負(fù)載，封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑被稱(chēng)為“隧道”。隧道由隧道協(xié)議形成，可分為第二層和第三層協(xié)議。第二層隧道協(xié)議將數(shù)據(jù)包封裝到PPP中，然后將整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中在隧道中傳輸，第二層隧道協(xié)議有L2F、PPTP、L2TP等。第三層隧道協(xié)議將數(shù)據(jù)包直接封裝到隧道協(xié)議中，形成的數(shù)據(jù)包通過(guò)第三層協(xié)議傳輸，第三層隧道協(xié)議有VTP、IPSec等。其中IPSec隧道協(xié)議得到了廣泛的應(yīng)用，IPSec有兩種工作模式，運(yùn)輸模式和隧道模式。

運(yùn)輸模式(Transport)∶在該模式中，僅利用傳輸層數(shù)據(jù)來(lái)計(jì)算AH或ESP首部。AH或ESP首部以及ESP加密的用戶(hù)數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通信。

隧道模式(Tunnel)∶在該模式中，利用整個(gè)IP數(shù)據(jù)包來(lái)計(jì)算AH或ESP首部，AH或ESP首部以及ESP加密的用戶(hù)數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通信。

2.2 加解密技術(shù)

VPN是在不安全的公用網(wǎng)絡(luò)中通信，通信的內(nèi)容可能涉及企業(yè)的機(jī)密數(shù)據(jù)，因此其安全性非常重要，為了保證數(shù)據(jù)通信的機(jī)密性，VPN必須采用成熟的加解密技術(shù)來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。IPSec的ESP協(xié)議采用56位的DES算法實(shí)現(xiàn)加密傳輸，并使用ISAKMP密鑰交換協(xié)商機(jī)制來(lái)完成加密和解密密鑰的交換。

2.3 認(rèn)證技術(shù)

認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡改，它采用一種被稱(chēng)為“摘要”的技術(shù)。“摘要”技術(shù)主要采用HASH函數(shù)將一段長(zhǎng)的報(bào)文通過(guò)函數(shù)變換，映射為一段短的報(bào)文，即摘要。該特性使得摘要技術(shù)在VPN中有兩個(gè)用途：驗(yàn)證數(shù)據(jù)的完整性、用戶(hù)認(rèn)證。IPSec定義了兩個(gè)協(xié)議，鑒別首部(AH)協(xié)議和封裝安全有效載荷(ESP)協(xié)議，這兩個(gè)協(xié)議完成數(shù)據(jù)的完整性、消息源的鑒別和數(shù)據(jù)加密功能。①AH協(xié)議。AH協(xié)議被設(shè)計(jì)用來(lái)鑒別源主機(jī)，以確保IP分組所攜帶的有效載荷的完整性。AH采用散列算法和對(duì)稱(chēng)密鑰來(lái)計(jì)算報(bào)文摘要，并根據(jù)IPSec的運(yùn)輸方式插入到相應(yīng)位置，AH可以實(shí)現(xiàn)數(shù)據(jù)的完整性、數(shù)據(jù)源的真實(shí)性，但不提供數(shù)據(jù)的保密傳輸功能。②ESP協(xié)議。ESP(封裝安全有效載荷)協(xié)議提供報(bào)文鑒別、完整性和加密功能，ESP增加首部和尾部，并根據(jù)IPSec的工作模式插入到相應(yīng)的位置。③ESP協(xié)議是在AH協(xié)議的基礎(chǔ)上而設(shè)計(jì)的，ESP協(xié)議能完成AH所做的所有功能，但增加了加密機(jī)制。因此ESP協(xié)議與AH協(xié)議相比，ESP協(xié)議具有優(yōu)越性。

3 VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用

VPN在企業(yè)網(wǎng)絡(luò)中的應(yīng)用主要有以下三種形式：

3.1 企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)（即 Intranet VPN）

企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)主要適用于處于異地的企業(yè)總部及子公司、分支機(jī)構(gòu)的網(wǎng)絡(luò)互聯(lián)，傳統(tǒng)的互聯(lián)方式主要是通過(guò)租用網(wǎng)絡(luò)運(yùn)營(yíng)商的專(zhuān)線(xiàn)進(jìn)行連接，但是如果企業(yè)的分支機(jī)構(gòu)不斷增多，地理位置越來(lái)越廣，則網(wǎng)絡(luò)的結(jié)構(gòu)將會(huì)越來(lái)越復(fù)雜，相關(guān)聯(lián)網(wǎng)的費(fèi)用也會(huì)不斷增加。企業(yè)在內(nèi)部虛擬網(wǎng)絡(luò)建設(shè)的過(guò)程中，可以使用VPN技術(shù)，采用網(wǎng)關(guān)到網(wǎng)關(guān)的形式將企業(yè)總部及各子公司、分支機(jī)構(gòu)通過(guò)Internet連接起來(lái)，從而實(shí)現(xiàn)企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)的組建。企業(yè)可以利用VPN的加密、識(shí)別等特性，保證信息通過(guò)Internet，在企業(yè)內(nèi)部虛擬網(wǎng)絡(luò)內(nèi)安全的傳輸。IPSec隧道協(xié)議可滿(mǎn)足所有網(wǎng)關(guān)到網(wǎng)關(guān)的VPN連接，在Intranet VPN組網(wǎng)方式中使用得最多。

3.2 企業(yè)遠(yuǎn)程訪(fǎng)問(wèn)（即Access VPN）

遠(yuǎn)程訪(fǎng)問(wèn)是VPN應(yīng)用最為廣泛的一項(xiàng)技術(shù)，它提供了安全、可靠，但是價(jià)格低廉的遠(yuǎn)程用戶(hù)接入企業(yè)內(nèi)部網(wǎng)絡(luò)的技術(shù)，采用客戶(hù)端到網(wǎng)關(guān)的形式，通過(guò)Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施，以安全的方式對(duì)位于VPN服務(wù)器后面的企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)。這一技術(shù)利用了公共基礎(chǔ)設(shè)施與ISP，一旦與VPN服務(wù)系統(tǒng)進(jìn)行連接，用戶(hù)與VPN服務(wù)器之間就架設(shè)了一條穿越Internet的專(zhuān)用通道，雖然互聯(lián)網(wǎng)具有開(kāi)放性，安全系數(shù)較低等特點(diǎn)，但是因?yàn)閂PN技術(shù)采用的是加密技術(shù)，這就保證了遠(yuǎn)程用戶(hù)與VPN服務(wù)器之間連接的安全性和可靠性。

3.3 企業(yè)外部虛擬網(wǎng)絡(luò)（即 Extranet VPN）

企業(yè)外部虛擬網(wǎng)絡(luò)是將企業(yè)與其客戶(hù)、合作伙伴的網(wǎng)絡(luò)互聯(lián)構(gòu)成Extranet，實(shí)現(xiàn)信息的共享，它既可以為企業(yè)客戶(hù)與合作伙伴提供非常便捷、準(zhǔn)確的信息服務(wù)，又可以提高企業(yè)內(nèi)部網(wǎng)絡(luò)的安全系數(shù)。企業(yè)外部虛擬網(wǎng)絡(luò)由于是不同企業(yè)之間的網(wǎng)絡(luò)相互通信，所以要更多考慮設(shè)備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問(wèn)題，也屬于網(wǎng)關(guān)到網(wǎng)關(guān)的連接方式，主要是使用專(zhuān)用的連接設(shè)備和VPN的IPSec協(xié)議將企業(yè)與客戶(hù)、合作伙伴的內(nèi)部網(wǎng)絡(luò)進(jìn)行連接。企業(yè)外部虛擬網(wǎng)絡(luò)有著與專(zhuān)用網(wǎng)絡(luò)相同的特性，包括了可靠性、安全等級(jí)、服務(wù)質(zhì)量以及可管理性等。

結(jié)語(yǔ)

VPN技術(shù)是在公共網(wǎng)絡(luò)上建立安全的專(zhuān)用網(wǎng)絡(luò)，它是企業(yè)內(nèi)部網(wǎng)絡(luò)在公共網(wǎng)絡(luò)上的延伸。VPN為用戶(hù)提供了一個(gè)低成本、高效率、高安全性的互聯(lián)服務(wù)，極大地加快了信息在企業(yè)內(nèi)部不同區(qū)域間的流通，其在資源管理與配置、信息共享與交互、異地協(xié)同與移動(dòng)辦公等方面都具有很高的應(yīng)用價(jià)值。隨著信息技術(shù)的快速發(fā)展，VPN技術(shù)也必將更加完善，在未來(lái)的信息化建設(shè)中具有廣闊的前景。

[1]田曉東.淺談VPN應(yīng)用和企業(yè)內(nèi)部網(wǎng)絡(luò)安全[J].科協(xié)論壇(下半月)，2011.(08)

[2]戴 剛，文信翔，公丕強(qiáng).VPN在企業(yè)中應(yīng)用的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010.

[3]閆曉弟，耶 健.基于VPN的電子資源遠(yuǎn)程訪(fǎng)問(wèn)系統(tǒng)的研究與實(shí)現(xiàn)[J].情報(bào)雜志.2009(08).