(铁通内蒙古公司 包头分公司,内蒙古 包头 014010) 近年来,随着Internet的广泛应用,如何利用Internet的资源来组建企业的虚拟专用网络(V PN)已成为IT业界的一个新热点。VPN是通过一个公共网络建立起来的一个临时的、安全的连 接,它是对企业内部网的扩展。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商 与公司的内部网建立可信的安全连接,并保证数据的安全可靠传输,它从根本上解决了网络 面临的不安全因素的威胁,大大提高了网络数据传输的安全性、可靠性和保密性。 VPN还可以使企业能在价格低廉的共享基础设施上以与专用网络提供的相同策略建立一 种安全的 WAN (广域网) 业务。实现与移动工作人员、分公司、合作伙伴、产品供应商、客 户间的连接,提高与分公司、客户、供应商和合作伙伴开展业务的能力,提高运作效率。 在VPN(Virtual Private Network)即虚拟专用网中,(虚拟专用网络是指通过一个私有的通 道在公众网络上所建立的企业网络)任意两个节点之间的连接并没有传统专网所需的端到端 的物理链路,而是利用某种公众网的资源动态组成的。 虚拟专用网对用户端透明,用户好 像使用一条专用线路进行通信。此企业网络拥有与专用网络相同的安全、管理及功能等特点 ,它替代了传统的拨号访问,利用 Internet 公网资源作为企业专网的延续,节省昂贵的长 途费用VPN 是原有专线式企业专用广域网络的替代方案,VPN 并非改变原有广域网络的一些 特性,是在更为符合成本效益的基础上来达到这些特性。VPN通过安全的数据通道将远程用 户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来,构成一个扩展的公司企业网 。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的主机都处于一个网络之中。公 共网络仿佛是只由本网络在独占使用,而事实上并非如此,所以称之为虚拟专用网。总之, VPN就是要实现:低成本的安全稳定互通。 主要有两个原因:①Ip地址匮乏,成本昂贵。②企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间 的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此,我 们不能担保收到的IP数据报:来自原先要求的发送方( IP头内的源地址); VPN是在公网中形成企业专用的链路,为了形成这样的链路,采用了所谓的“隧道”技 术。隧道技术是VPN的基本技术,它是分组封装(Capsule)的技术,可以模仿点对点连接技术 ,依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的 “隧道”,让数据包通过这条隧道传输。 隧道是一种利用公网设施,在一个网络之上的“网络”传输数据的方法,被传输的数据可以 是另一协议的帧。隧道协议用附加的报头封装帧,附加的报头提供了路由信息,因此封装后 的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到 达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。 AH为封装IP报文的鉴别数据提供了标准格式。它可以保证每个IP报文由可信的源主机发出, 而且在传送途中未被非法更改。 ESP支持IP报文的保密性和数据的完整性。根据用户的要求,该机制可以只对IP报文的传输 层数据段进行加密(如 TCP、UCP、ICMP等),也可以对整个IP报文进行加密。前者称为传 输模式ESP,后者称为隧道模式ESP。 加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。用于VPN上的加 密技术由IPSec的ESP (Encapsulationg Security Payload)实现。主要是发送者在发送数据 之前对数据加密,当数据到达接收者时由接收者对数据进行解密的处理过程,算法主要种类 包括:对称加密(单钥加密)算法、不对称加密(公钥加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(发明者Rivest、Sh amir和Adleman名字的首字符)。 对于对称加密算法,通信双方共享一个密钥,发送方使用该密钥将明文加密成密文,接收方 使用相同的密钥将密文还原成明文。对称加密算法运算速度快。 不对称加密算法是通信双方各使用两个不同的密钥,一个是只有发送方知道的密钥,另一个 则是与之对应的公开密钥,公开密钥不需保密。在通信过程中,发送方用接收方的公开密钥 加密消息,并且可以用发送方的秘密密钥对消息的某一部分或全部加密,进行数字签名。接 收方收到消息后,用自己的秘密密钥解密消息,并使用发送方的公开密钥解密数字签名,验 证发送方身份。 VPN主要应用在企业内部网Intranet、远程访问以企业外部网Extranet,根据应用领域,V PN大致可分为3类:Intranet VPN、Access VPN与Extranet VPN。 Intranet VPN:即企业的总部与分支机构间通过公网构筑的虚拟网。 Access VPN:是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。 现在各公司总部都需要实现和分支机构的互联,使OA系统中的个人办公、公文系统、综合业 务、行政管理、综合信息等资源共享,让公司管理更加统一规范,保证物流、信息流的实时 更新,确保公司市场信息的及时传递,营销方案的及时执行,提高工作效率; 随着网络技术的发展,计算机网络的安全保密问题日益严峻。虚拟专用网技术对于解决当前 网络通信、资源共享所面临的威胁和提高网络通信的保密性、安全性具有重要的现实意义。 |