一、前言
随着Internet在企业领域应用的不断深化,VPN(虚拟专用网,Virtual Private Network)作为一种廉价安全的组网方案越来越受到人们的青睐。在北美和欧洲,VPN已经是一项相当普遍的业务;在亚太地区,该项服务也迅速开展起来,据专业人士预测,在2002年,全球VPN市场将达到500亿美元。在国内市场,VPN已经成为众多有实力的互联网服务商争夺的热点,相关报道充斥各大媒体。VPN的魅力为何如此之大?对于企业,VPN价值何在?
VPN(虚拟专用网,Virtual Private Network)指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。
从面世到成熟,VPN经历了技术不断完善的过程。目前,市场上的VPN解决方案有几种,最常用的是VPDN,就是基于拨号的VPN;第二种是VPRN,是基于路由的VPN;第三种是VLL,是基于虚拟专线的VPN;最后一种VPLS是基于局域网仿真的VPN。
企业利用Internet构筑虚拟专用网络(VPN),意味着可以削减巨额广域网成本,然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。削减广域网成本,吸引新客户,这是当今每一位企业主管的求胜之路。但是涉及到Internet,企业有得又有失,比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。相比之下VPN比租用专线的费用低近80%,而且可以将Internet上的多个网站连接起来,使企业接触新的企业伙伴和客户。
二、如何构筑虚拟专用网VPN
2.1 明确远程访问的需求
首先企业要明确需要与哪种WAN连接,用户是通过LAN/WAN还是拨号链路进入企业网络,远程用户是否为同一机构的成员等问题。
WAN的连接有两类:内联网连接和外联网连接。内联网连接着同一个机构内的可信任终端和用户,这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。
对于内联网连接,VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。内联网VPN执行的安全决策通常是标准的公司决策,远程用户至少要经过一次认证。
围绕下属办事处,VPN要考虑的一个关键问题是这些办事处的物理安全性。物理安全性涵盖了一切因素,从下属办事处的密钥和锁,到计算设备的物理访问,再到可访问设施的非雇员数量等等。如果所有这一切都万无一失,在总部和下属办事处之间就可以建立一个"开放管道"的VPN。这类似于LAN到LAN的连接。即不需要基于VPN的用户认证,因为我们认为这样的连接是安全的。但是,如果这些地方有问题,网络设计人员就要考虑采用更严格的安全措施。例如,VPN需要严格认证,或者将对总部网络的访问限制在某个孤立的子网中。
2.2 注重管理
企业网络是攻击者垂涎的目标,因此,管理层必须保护公司网络免遭远程入侵。一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的,决策中还要确定相应的VPN设备和实施选择方法。
一般来说,决策者应解决VPN特有的几个问题:远程访问的资格,可执行的计算能力,外联网连接的责任,以及VPN资源的监管。另外,还应包括为出差旅行的员工及远程工作站的员工提供的访问步骤。当然,决策中应包括一些技术细节,例如加密密钥长度,如果VPN的加密算法要求公开认证,则还需要法律的支持保护。
对外而言,决策中应具体说明及时通报远程用户人员变更的步骤,被解雇的人员必须尽快从数据库中清除。这需要外联网用户机构同VPN管理人员之间进行良好的协作。通常,企业的人事部门已制定有人事管理规定,这些规定可能也适用于VPN用户。
2.3 确定最佳的产品组合
可选择的VPN产品很多,但产品基本上可分成三大类:基于系统的硬件、独立的软件包和基于系统的防火墙。大部分产品对LAN到LAN及远程拨号连接都支持。
硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.另外,加密路由器的速度快,事实上,如果链路的传输速度超过T1(1.554Mbps),这样的VPN是名列前茅的。
基于软件的VPN可能提供更多的灵活性。许多产品允许根据地址或协议打开通道,而硬件产品则不同,它们一般为全部信息流量打开通道,而不考虑协议要求。因流量类型不同,特定的通道在远程站点可能遇到混合信息流时分优先级,例如有些信息流需要通过VPN进入总部的数据库,有些信息流则是在网上冲浪。在一般情况下,如通过拨号链路连接的用户,软件结构也许是最佳的选择。
软件系统的问题在于难于管理,它要求使用者熟悉主机操作系统、应用程序本身以及相应的安全机制,甚至一些软件包需要对路由表和网络地址方案进行改动。
基于防火墙的VPN则利用了防火墙安全机制的优势,可以对内部网络访问进行限制。此外,它们还执行地址的翻译,满足严格的认证功能要求,提供实时报警,具备广泛的登录能力。大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。由于很少有VPN厂商提供操作系统级的安全指导,因此,提供操作系统保护是这种VPN的一大优势。
什么时候企业选择基于防火墙的VPN呢?一般是在远程用户或网络充满潜在敌意的时候。这时,网管员可建立起所谓的非军事区(DMZ)部分,系统一般使用在防火墙上的一个第三方界面,并有自己的访问控制规则。攻击者也许能到达DMZ,但不能破坏内部部分。基于防火墙的VPN对于仅仅实施内联网应用的企业还是蛮好的,它是软件产品中最容易保证安全和管理的产品。
对于这三种VPN产品,网管员还要在四个领域进行考核:协议处理、IP安全支持、认证服务器支持和加密密钥的引出。
例如:虽然大多数公司网络为多协议型,但VPN产品只解决IP协议的传输,如果其他协议如IPX或SNA需要传送,用户需要寻找能为这些协议加密,或者能将它们打包成IP,让基于IP的VPN系统处理的方案。显然,后一种选择可能会降低系统性能。
Ipsec是IETF(Internet Engineering Task Force)组织为TCP/IP协议集增加的标准认证与加密功能。随着Ipsec越来越稳定和实施越来越广泛,VPN的终端用户可以不必使用同一厂商的产品以保证可靠工作,但是到目前为止,实施成功的VPN通常意味着要从同一家厂商购买所有的设备。
尽管大部分VPN可保留自己的认证数据库,但网管员也希望借助于现有的认证服务器。比如,许多远程访问服务器使用下述两种协议之一的外部系统来认证用户:远程认证拨入用户服务器(Radius)或终端访问控制器访问系统(Tacscs)。独立认证服务器的优势在于可收缩性,即无论增加多少台访问设备,一台认证服务器就足矣。
如果一个企业的VPN延伸到海外,网管员还必须解决出口问题。目前美国法律禁止128位加密算法出口,尽管未来立法可能会或多或少地放宽限制,但一般跨国经营的美国公民可能需要部署两个VPN系统:一个加密功能较弱,用于国际用户的,一个加密功能较强,用于国内用户。
三、广域网的VPN数据、语音方案
3.1方案描述
随着企业业务的发展,中山总部网络需要与东莞、深圳(两个区)、北京、香港、上海办公区互联,从安全和经济角度考虑,建议建立虚拟专用网,在中山总部办公区和远程办公区各安装一个VPN网关产品,通过ADSL、本地DDN或Dial_up拔入当地ISP接入Internet,以实现企业互联建立虚拟专用网,该方案由于不需要专线,所以通讯费用很低,是最佳的联网方案。
针对总部还需要与各个分部实现语音互通,只要在各个公司再添置一台VOIP语音网关就可以了,再联上公司的PBX语音交换机就即能实现市话通和长途通,但不需要再交长途电话费用,公司只需要交一般的ADSL上网费就够了,为公司节省了大量的长途费用了。
公司现状:
" 地址位置:公司总部在中山,分公司包括东莞、深圳(两个不同地区)、北京、香港、上海。
要求:
" 各分公司和总部之间可以任意相互通讯;
" 需要远程维护;
" 同时数据传输的安全需要保证如果采用传统解决方式,就需要
" 各地租用DDN或帧中继专线;
" 投入设备路由器、DTU
" 安装调试
" 专业维护人员
" 难以管理
" 无法集中控制这必然存在以下的几个问题:采用专线方式,费用将比较昂贵,初期投入对部分企业来说可以接受,但是每个月的线路租用费用累计起来十分昂贵。所以部分软件公司利用采用Email方式来实现数据传输,但这样造成的传输不及时,无法在程序里实现实时的回执;有的是采用托管一个服务器,同时采用B/S结构,但这在安全、维护方面存在隐患。
VPN网关提供一种全新的解决方式:通过Internet组建专网" 基于Linux开发的内嵌式通讯设备" 网状连接,无中心节点" 安装简单,几乎零维护" 支持多种上网方式:ADSL, Modem,长城宽带,任何可连接到Internet的方式。
解决方案:
中山总部使用一台SNAPGEAR VPN SOHO+,其他每个分公司各使用一台SNAPGEAR VPN LITE,他们无缝接入企业的局域网。
产品介绍:
VPN路由器系列--SNAPGEAR VPN网关功能简介
SNAPGEAR VPN网关器通过一整套的端对端的集成(防火墙、路由、VPN)的一体化的解决方案,使员工、客户、商务伙伴与公司连接。如今,各企业可充分利用SNAPGEAR VPN网关器来达到强有力的、费用低廉的基于互联网(INTERNET)的商务组合,并享有无与伦比的通信安全。
严格的安全控制及简便的安装采用SNAPGEAR网关,所有敏感的数据都将被保护在专用的通道中并以3DES加密,SNAPGEAR VPN网关器非常易于安装。所有安全功能对于用户来说是透明的,在他们的应用程序将看不出任何变化,为简化一切,基于WEB的管理,让您的经理可以让您的经理可以在任何WINDOWS系统上管理多个SNAPGEAR VPN网关器。且不需经历复杂的网络设计和安装烦人的软件。
SNAPGEAR VPN网关器通过一整套的端对端的集成(防火墙、路由、VPN)的一体化的解决方案,使员工、客户、商务伙伴与公司连接。如今,各企业可充分利用SNAPGEAR VPN网关器来达到强有力的、费用低廉的基于互联网(INTERNET)的商务组合,并享有无与伦比的通信安全。
严格的安全控制及简便的安装采用SNAPGEAR网关,所有敏感的数据都将被保护在专用的通道中并以3DES加密,SNAPGEAR VPN网关器非常易于安装。所有安全功能对于用户来说是透明的,在他们的应用程序将看不出任何变化,为简化一切,基于WEB管理的网关,让您的经理可以在任何WINDOWS系统上管理多个SNAPGEAR VPN网关器。且不需经历复杂的网络设计和安装烦人的软件。
为用户节省开支最佳手段作为线路租用、帧中继的连接补充,企业可以通过INTERNET的宽频连接,SNAPGEAR VPN网关可以将您的企业、远程伙伴、分之机构建立安全的连接,从而大幅度地减少您的远程通信的开支。
产品特点:
路由及协议支持:
---接入支持:XDSL,CABLE,MODEM,宽带,
---Routing (动/静态,DHCP,PPPOE,DNS,RADIUS, TACACS+ 验证)
---7Mbps routed throughput
---1.5Mbps PPPoE throughput
防火牆和NAT:
-封包过滤,网址过滤,
-攻击警报及记录,访问控制 (规则和/条例)
-端口优先级控制
-地址隐藏NAT(动/静态支持)
VPN - IPSec:
---数据加密: DES-CBC 56-bit 加密、3DES-CBC 168-bit 加密
---数据完整性保护: MD5-HMAC 128-bit算法、SHA1-HMAC 160-bit算法
---密钥管理: Internet Key Exchange (IKE) 协义、手动密钥管理
---验证管理:共享密钥
---最高可达 1Mbps 3DES/HMAC-SHA1 IPSec
---最多可同時允许建立 35個通道
VPN - PPTP :
---128-bit client and server
---PAP/CHAP/MS CHAPv2 验证
---MPPE (RC4) 加密
---最高达 7个拨出通道
---最高支持20个接入隧道
---最高达 1.5Mbps RC4 throughput
3.2 VPN综合解决方案拓扑图
四、结论
VPN技术可以把局域网和互联网两种不同的网络结构结合在一起,形成一个专用的、安全性高的广域网络。VPN利用公网基础设施为使用单位各部门提供安全的网络互联服务,尽管是"虚拟的专网",它却能够提供与专网类似的安全性、可靠性、优先级别和可管理性。
VPN之所以得到广泛的欢迎,其主要原因是,采用了这种网络连接的方式可以比传统的专网形式拥有节省远程访问的长话费、网络设备运行和维护费、连接快速、简便和简化WAN连接管理的优势。VPN以其独特的优势得到越来越多的企业的青睐,令企业可以较少的关注网络的运行和维护,而更多地致力于企业的商业目标的实现。