1.VPN技术概况
1.1.VPN的定义
虚拟专用网(VPN)是一种以公用网络为基础,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,为矿山企业总部、分支企业机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术,并包括和该技术相关的多种安全管理机制。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段,以替代传统的长途专线连接和远程拨号连接,同时VPN也是一种实现企业内部网安全隔离的有效方式。VPN技术解决的主要问题概括起来就是:实现低成本的互通和安全。
1.2.企业网络互连的基本安全要素
网络信息系统是由人参与的信息系统,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的几个基本安全要素 。
1、保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IP Spoofing)的能力。
2、保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。
3、保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
4、提供动态密钥交换功能和集中安全管理服务。
提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
2.VPN技术基础
为企业实现一个完整的VPN的主要基础技术包括隧道技术、密码技术和网络访问控制技术。隧道技术是将各种企业内部数据包通过公网传输;密码技术用于加密隐蔽企业内部传输信息、认证用户身份、抗否认等;网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。
2.1.隧道技术
企业内部网络使用的多为私有IP地址,从企业内部地址发出的数据包是不能直接通过Internet传输的,而必须以合法的公网IP地址代替。企业内部数据包必须经过地址转换后才能传输,数据包封装就是地址转换方式中的一种。在VPN技术中,就采用了数据包封装技术。数据包封装发生在VPN的发送节点,在发送节点将原数据包打包,添加合法的外层IP包头,数据包通过公网被传送到接收端的VPN节点,该节点接收后进行拆包处理,还原出原报文后传送给目标主机。
2.2.密码技术
数据加密作为一项实现网络安全的技术,已经成为所有通信数据安全的基石。加密的网络不但可以防止非授权用户的搭线窃听和入网,还可以有效防止恶意软件的入侵。这使得加密网络以较小的代价提供较强的安全保护。 数据加密过程是由加密算法来实现。
加密算法分为对称密码算法和非对称密码算法。对称密码算法的优点是有很强的保密强度和较快的运算速度,但其密钥必须通过安全的途径传送。非对称密钥(公钥)密码算法的收信方和发信方使用的密钥互不相同,而且无法从加密密钥推导出解密密钥。非对称密码算法加密速度慢,不适宜直接对实时的、大量的数据加密。在IPSec实现中,非对称算法(证书)用于自动协商隧道密钥(对称密钥),从而可大大简化密钥的管理工作。
2.3.网络访问控制技术
网络访问控制技术对跨地域企业内网的数据包进行过滤,即传统的防火墙功能。由于防火墙和VPN在网络中的位置基本相同,其功能具有很强的互补性,因此一个完整的VPN网络应同时提供完善的网络访问控制功能,这可以在系统的安全性、性能及统一管理上带来一系列的好处。
3.VPN技术实现矿山企业内部互连互通的案例
某公司2008年组建成立,是以铁矿石采选加工为主业,辅以有色金属、矿建、矿机、火工品制造、现代物流等产业的国有大型冶金矿山企业。铁矿石资源掌控量已达50亿吨。该公司直属子公司、矿山企业23个,分布在河北省的6个城市及内蒙古自治区。
该公司在建立之初面临的急需解决的问题是对分散在河北省及内蒙古的分支机构实现实时管控:实时了解各个分支机构的主要设备运行情况;公司领导每天召开全公司范围内的视频会议,避免由于地理距离远而不能及时准确了解各个分支机构的生产情况;在分布零散的矿山企业中实现各种信息化管控手段;使生产经营数据在分支机构和总部之间能够安全、可靠、准确地传输。经过研究分析,最终该公司引入了VPN技术实现了全公司范围内网络的互连互通。
(该公司对分散在河北省及内蒙古的分、子公司实现实时管控。实时了解各个分、子公司的主要设备运行情况;由于距离较远,每天召开全公司范围内的会议,使公司领导能够及时准确了解各个分支公司的生产情况;各种信息化管控手段在分布零散的矿山企业中实现;生产经营数据的在分支公司和总部之间的安全可靠准确的传输,是该公司在建立之初急需解决的问题。最终该公司引入了VPN技术实现了全公司范围内网络的互连互通。)
3.1.VPN技术实现企业网络的互连互通
该公司经过慎重考虑,为公司总部以及各个分支结构引入了VPN防火墙和固定IP的光纤出口,使用IPSec隧道技术建立了总部和分支机构的网络通讯。
IPSec由IP认证头AH(Authentication Header)、IP安全载荷封载ESP(Encapsulated Security Payload)和密钥管理协议组成。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。
IPSec协议提供对所有在网络层上的数据的保护,提供透明的安全通信。IPSec协议在隧道模式下,把IPv4数据包封装在安全的IP帧中,这样保护数据从一个防火墙到另一个防火墙时的安全性,同时不会隐藏路由信息来保护端到端的安全性。
1、企业IPSec隧道配置过程
登陆VPN防火墙,配置网络接口的地址和NAT。对于建立隧道的NAT,在配置中设置为允许通过。配置远程VPN(即将分支机构的ip配置在此处),配置参数如下:
远程VPN名称和对方分支机构的IP;
数据加密: 3DES-CBC 168-bit 加密;
数据完整性保护: MD5-HMAC 128-bit算法;
密钥管理:手动密钥管理;
验证管理:共享密钥,建立内部的共享密钥;
类型:网关。
网关隧道配置参数如下:
隧道名称;
本地保护子网和掩码以及对端保护子网及掩码;
数据包认证模式:ESP;
其余参数配置和远程VPN配置相同。
2、隧道技术的实现过程
如果分支机构终端B需要访问公司总部的终端A,其发出的访问数据包的目标地址为终端A的IP(内部IP);
公司总部的VPN 网关在接收到终端B发出的访问数据包时对其目标地址进行检查,如果目标地址属于公司总部的地址,则将该数据包进行封装,VPN网关会再构造一个新的数据包(VPN数据包),并将封装后的原数据包作VPN数据包的负载,VPN数据包的目标地址为公司总部的VPN网关的外部地址;
分支机构的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是公司总部的VPN网关外部地址,所以该数据包将被Internet中的路由正确地发送到网关;
公司总部的VPN网关对接收到的数据包进行检查,如果发现该数据包是分支机构的VPN网关发出的,即判断该数据包为VPN数据包,并对数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将负载通过VPN技术反向处理还原成原始数据包;
公司总部的VPN网关将还原以后的原始数据包发送至目标终端,由于原始数据包的目标地址是终端A的IP,所以该数据包能够被正确地发送端A。
从终端A返回终端B的数据包处理过程与上述过程一样,这样两个网络内的终端就可以相互通讯了。
3.2.VPN技术实现异地接入公司内网
上面讲述了VPN技术实现公司总部和各个分支机构实现网络互连的过程。而对于经常出差的领导、员工想异地接入公司内网,批阅、查看公司内网文件的需求,却是无法满足。这就需要VPN技术中的PPTP协议。配置过程如下:登陆VPN防火墙,找到VPN连接中L2TP/PPTP参数配置。配置参数如下:
启动L2TP/PPTP,并设置拨入后获取地址的范围;
128-bit client and server;
PAP/CHAP/MS CHAPv2 验证;
MPPE (RC4) 加密;
为经常出差的办公人员设置拨号用户和密码;
为需要远程拨入的用户设置终端的网络连接。
办公人员在外地出差需要接入公司内部网络时,只需要点击建立的网络连接快捷方式,输入用户名和密码即可拨入公司内网。
4.案例效果分析
使用VPN技术解决了跨地域矿山企业内网互连问题,为企业员工实现了同网办公的需求。本段将重点分析VPN技术带来的实际效果。
1、使用VPN技术可降低成本。现代矿山企业对分散矿山的所有管控如远程生产视频监控、远程视频会议、远程尾矿库水位监控、信息化项目系统、办公自动化系统等都需要稳定可靠的网络支撑,但租赁电信运营商的专线,带宽要求较高,条数要求较多,价格十分昂贵。通过公用网来建立VPN,一条线路即可以满足企业网络的需要。既可以满足矿山企业总部和分支机构对互联网的访问,又可以节省大量的通信费用,降低成本。
2、传输数据安全可靠。虚拟专用网产品均采用加密及身份验证等安全技术,数据经过本地VPN网关时,发现目的地址是对端网络的内网IP时,数据经过加密传输后经过互联网传输,保证连接用户的可靠性及传输数据的安全和保密性。
3、连接方便灵活。新增加的分支机构如果想与企业总部联网,如果没有虚拟专用网,就必须租赁电信运营商的专线连接,电信运营商布线连通十分不便。而使用虚拟专用网之后,只需双方配置安全连接信息即可实现企业内部网络的互连互通。同时拨号接入公司内网又为身处异地的领导和员工提供了方面灵活接入内网的方式。
4、实现了企业对网络的完全控制。虚拟专用网的用户可以利用ISP的设施和服务,同时又完全掌握着企业网络的控制权。企业只利用ISP提供的网络资源,其它的安全设置、网络管理变化均由企业内部管理。
结论
VPN技术可以把矿山企业局域网和互联网两种不同的网络结构结合在一起,形成一个专用的、安全性高的企业内部广域网络。VPN利用公网基础设施为矿山企业及其分支结构提供安全的网络互联服务,同时能够提供与互联网专网类似的安全性、可靠性、优先级别和可管理性。
使用VPN技术组建的企业内部网络连接方式和传统的互联网专用网络形式相比,拥有连接快速、节省远程访问的长话费、网络设备运行和维护费的优势。VPN具有其独特的优势得到越来越多企业的青睐,使企业可以较少的关注网络的运行和维护成本,而致力于企业的商业目标的实现。
CIO之家 www.ciozj.com 公众号:imciow