虛擬專用網VPN

　　其實，虛擬專用網(VPN)技術并不是什么新鮮事物，早在1993年，歐洲虛擬專用網聯盟（EVUA）成立，力圖在全歐洲范圍內推廣VPN。Internet的迅猛發展以及應用越來越廣泛的電子商務給VPN帶來了新的市場生機，電子商務和移動辦公的安全性需求，使得VPN開始遍布全世界。

　　如今，許多企業都在實施電子商務戰略，e-Bank、e-Business、e-wallet等業務正方興未艾。在一個電子商務應用環境中，計算機的資源能否充分地共享，通信網絡是否足夠開放，被視為一個IT系統是否具有發展前景的重要標志之一。然而，由于TCP/IP網絡的安全保障是建立在“信任”的基礎上，那些被認為最機密不過的信息，在這個開放的不設防的環境里傳輸和交換著，一旦信任關系遭到破壞，與之相關的安全性也就不復存在。

　　信息系統的開放性和信息的安全性一直是一對矛盾，計算機系統在不斷追求開放的同時，如何保證合法用戶對系統資源的合法訪問，如何防止黑客的攻擊，也成為必須解決的首要問題。VPN的出現正是為了解決兩個私有網絡的連接問題，這也是PPTP、L2TP等VPN的根本目的，因為這樣就可以為行業或者企業提供高性能、低價位的Internet接入。針對目前Internet上存在的諸多信息安全隱患，以及各種安全措施越來越受到企業的重視，“方案評析”欄目在本期推出了VPN技術應用專題，通過對東軟、聯想、天融信、Cisco等各類虛擬通道技術的應用分析，與讀者共同探討完善企業信息安全架構的最有效方法。

　　在信息經濟時代，越來越多的機構、企業都從Internet中獲得了巨大的便利。然而與此同時，人們也必須面對Internet的開放所帶來的對數據安全的挑戰，如果Internet網上傳輸的數據得不到有效的保護，那么企業的大量重要數據將暴露在公眾面前，當這些數據被不法分子所竊取并用于非法目的時，必然給企業和客戶帶來重大的損失。針對這種狀況，從事計算機信息安全的研究機構和企業，提出了眾多解決方案，其中一種最適用于計算機網絡通信安全需求的解決方案，就是VPN技術。

　　利用公用網絡構建VPN是一個新型的網絡概念，它為服務提供商（ISP）和VPN用戶都將帶來不少益處。對于企業而言，利用Internet組建私有網，可以將大筆的專線費用縮減為少量的市話費用和Internet費用，據相關報道分析，僅局域網互聯費用就可降低20％～40％，而遠程接入費用更可減少60％～80％; 對于服務提供商來說，通過向企業提供VPN增值服務，可以與企業建立更加緊密的合作關系，充分利用現有網絡資源，提高業務量。

　　什么是VPN？

　　虛擬私有網絡（VPN，Virtual Private Network）是一種利用公共網絡來構建的私人專用網絡技術，用于構建VPN的公共網絡包括Internet、幀中繼、ATM等�！疤摂M”這一概念是相對傳統私有網絡的構建方式而言的，對于廣域網連接，傳統的組網方式通過遠程撥號連接來實現，而VPN是利用服務提供商所提供的公共網絡來實現遠程的廣域連接。通過VPN，企業可以以更低的成本連接遠程辦事機構、出差人員以及業務合作伙伴（典型的VPN架構如圖1所示）。

　　關鍵業務網絡系統的典型架構由機構設置決定，一般而言，一個典型的關鍵業務網絡系統包含一個總部、若干分支機構、數量不等的合作伙伴及移動遠程用戶等。除遠程用戶外，其余各部分均為規模不等的局域網絡，其中總部局域網是整個網絡系統的核心，同時也是網絡管理中心。各部分之間的聯接方式多種多樣，包括遠程撥號、專線、Internet等，而互聯方式則可分為三種模式：

　�、� 個人撥號遠程訪問企業網絡；

　�、� 遠程分支機構局域網通過專線或公網和總部局域網連接；

　�、� 合作伙伴（客戶、供應商）局域網，通過專線或公網和總部局域網的非控制區連接。

　　企業內部資源使用者只需接入本地ISP的POP（Point Of Presence，接入服務提供點），即可與總部相互通信。利用傳統的WAN組建技術，彼此之間要有專線相連才能夠實現安全通信。虛擬網組成之后，遠程用戶只需擁有本地ISP的上網權限，就可以訪問企業內部資源，這對于流動性大、分布廣泛的企業來說很有意義，特別是當企業將VPN服務延伸到合作伙伴方時，便能極大地降低網絡的復雜性和維護費用。

　　VPN怎樣給信息加密？

　　VPN系統一般采用建立在網絡協議堆棧上的應用層VPN技術，在系統的TDI層和協議堆棧之間增加安全擴展模塊，實現密鑰管理、協商、數據加密/解密的過濾驅動程序（數據流程如圖2所示）。通過這種安全擴展方式，不必修改上層的應用程序，所有要通過網絡收發的數據包都必須經過該安全驅動程序的過濾。VPN的信息安全措施主要包含下以幾種：

　　● 基于PKI（公鑰基礎結構）的用戶授權體系 PKI是一個包含數字證書、管理機構、證書管理、目錄服務的安全系統。PKI技術采用標準x.509證書，將用戶的身份和自己的公共密鑰綁定在一起，通過PKI技術和數字證書技術，可以有效地判明用戶的身份，同時降低用戶在使用基于PKI體系的應用安全系統的復雜性。

　　● 身份驗證和數據加密 用戶通過VPN客戶端訪問VPN網關時，客戶端首先對用戶進行雙因子身份驗證，即用戶同時擁有用戶數字證書和該證書的使用口令。VPN客戶端采用基于PKI技術的數字證書技術，完成VPN網關服務器和用戶身份的雙向驗證。驗證通過后，VPN網關服務器產生對稱會話密鑰，并分發給用戶。在用戶與VPN網關服務器的通信過程中，使用該會話密鑰對信息進行加密傳輸。身份驗證和保護會話密鑰在傳遞過程中的安全，主要通過非對稱加密算法完成，VPN系統使用1024位的RSA算法，具有高度的安全性。

　　● 數據完整性保護 完善的VPN系統不但要對用戶的身份進行認證，同時還要對系統中傳輸的數據進行認證，確認傳輸過程中的消息已被全部發送并且沒有失真。VPN系統對所有傳輸數據進行Hash摘要并對結果進行加密，以實現數字簽名，有效地保證了數據在傳輸過程中的完整性，防止被他人篡改。

　　● 訪問權限控制 企業需要利用VPN網絡組織內部運營流程并與其客戶及合作伙伴交換重要信息，這就要求企業VPN系統必須擁有嚴格的訪問控制機制。VPN技術采用細粒度的訪問權限列表模型（ACL），管理員可方便地為每個VPN用戶分配不同的訪問特權。ACL以用戶身份特征為基礎， 其管理與VPN系統的技術維護無關，企業可以將制定和管理ACL的工作，交由行政部門執行，既方便公司的管理，又可有效防止網絡維護人員竊取公司機密。

　　VPN與專線的區別在哪？

　　與傳統的電信專線網絡相比，VPN虛擬專網具備以下優勢：

　　● 廉價的網絡接入 VPN虛擬專網利用免費的Internet資源將企業在全省乃至全國的各分支機構進行互聯，各節點全部采用本地電話或本地專線接入方式，大大節省了長途撥號及長途專線的連接費用（VPN與專線訪問的比較如下表所示）。

　　● 嚴格的用戶認證 VPN系統全部采用CA認證體制（采用非對稱密鑰證書體系），即在企業信息中心VPN控制平臺建立全省統一的認證授權系統，所有企業客戶端都有自己的私有證書、用戶名及密碼，使接入用戶與VPN虛擬專網、VPN網關進行雙向身份鑒別，同時客戶端還支持雙因素身份認證。每次用戶登錄都將有嚴格的審計日志記錄，以便于日后的審計與稽核，同時VPN系統增加了用戶操作的數字簽名，即數據交易的不可抵賴性，這種技術一般用于銀行的金融業務交易。所以與普通專線相比，其強制認證措施確保了企業內網服務的訪問與稽核安全。

　　● 高強度的數據保密 由于數據全部通過互聯網進行傳輸，所以必須進行數據加密與數據完整性保護。VPN虛擬專網一般提供128位以上的對稱加密措施，非對稱密碼算法使用1024位，并采用網絡協議堆棧上的應用層VPN技術，全部采用一次一密體制，數據安全性極高。同時VPN虛擬專網采用MD5數據摘要算法，用以保護數據傳輸過程的完整性。而普通電信專線不提供任何形式的加密措施，所以VPN技術雖然構建在Internet之上，但其高強度的加密措施使得數據傳輸的安全性要比普通電信專線高得多。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: vpn VPN