利用VPN技术提高企业局域网安全性能
2009-09-26禹波
禹 波
[摘要]随着信息化时代的到来,以网络技术为代表的电子信息技术日益影响到我们的生活。企业局域网作为企业发展的重要载体,其安全问题直接影响到企业参与市场竞争和可持续发展的能力。通过对于企业局域网安全问题原因的分析以及对VPN技术的研究,得出VPN技术是解决企业局域网安全问题的有效手段。
[关键词]企业 局域网 安全 VPN技术
中图分类号:TP-9文献标识码:A文章编号:1671-7597(2009)0920080-01
当前,我们已经进入了以电子计算机技术为主体的信息时代。网络化作为电子计算机技术的重要特征,其安全问题日益引起用户的关注。计算机网络是当今世界范围内一项战略性资源,甚至一些企业内部网络中还保存着重要的商业信息及机密。如何使用合理的信息安全技术,保护企业局域网络安全,成为学术界热议的话题。
一、企业局域网网络安全问题的成因
一般来说,企业局域网网络安全问题主要由以下几方面引起。
(一)企业局域网网络系统自身存在漏洞。计算机系统理论认为,系统漏洞是有恶意的人能够利用的软件或硬件的缺陷及配置错误[1]。企业局域网是网络程序设计公司开发出的网络产品,都存在一定程度上的程序功能缺失,即程序漏洞。通过订阅企业公共邮件列表,攻击者可以直接获取系统漏洞信息,并对系统实施攻击。此外,企业局域网安全软件安全级别及防范能力仍需提高。
同样,支持企业局域网正常运行的硬件资源也存在不稳定因素。网络服务器、计算机主机、交换器、路由器等随着运行条件的变化,会出现老化等现象,严重的会导致企业局域网网络瘫痪。
(二)企业局域网网络传输机制存在问题。一般来说,企业局域网大都是通过局域网网关实现与国际互联网的关联。目前以因特网为主体的国际互联网系统主要采取TCP/IP的数据传输方式。TCP/IP传输是基于网络出现初期的一种数据传输方式,采取用户主机的IP地址作为网络结点。由于IP地址缺少相应的保护性机制,攻击者可以掌握并伪造任意IP地址,而TCP/IP传输机制所需的用户名、密码及数据包等信息可以被攻击者破译或截获[2]。而诸如HTTP等运用TCP/IP传输机制的网络服务协议的安全性更加无法保证。攻击者利用传输机制的漏洞,可以很轻易地突破交换机的限制,直接进入企业内部网络获取信息或实施破坏。企业内部网络安全遭受攻击者破坏后,可能导致网络系统被破坏、用户信息泄露、拒绝服务及访问权限受限等等严重问题。因此说,数据传输机制的缺陷是企业内部网络安全最为严重的潜在性威胁。
二、VPN技术基本情况及其优势
正如上文所述,企业局域网网络数据传输机制是导致企业内部网络安全问题的最直接因素,必须找到一种比较先进合理的数据传输机制,克服传统机制的不足,而VPN技术的出现无疑可以弥补这些不足。
(一)VPN技术简介。VPN(Virtual Private Network)虚拟专用网,是指通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过非安全网络的安全、稳定的隧道,虚拟专用网是对企业局域网的扩展[3]。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
(二)VPN技术的两种应用形式。根据网络设备连接方式,VPN主要有两种应用形式,即远程访问VPN(远程访问虚拟专网)形式和网关到网关VPN形式。
1.远程访问形式。这种形式主要用于本地企业用户接入互联网。通过远程访问VPN,远端用户不再如传统的远程网络访问那样,通过长途电话拨号到公司远程接入端口,而是拨号接入用户本地的ISP,利用VPN系统在公众网上建立一个从客户端到网关的安全传输隧道,远程主机通过在本机上运行的VRC客户端软件,与公司内部网网关建立VPN隧道,实现安全通信。
2.网关到网关VPN形式。还有一些企业建立了异地分支机构,需要通过网络实现与总部局域网的互联。网关到网关VPN可以实现异地分支机构的局域网的安全互连。利用Internet的线路保证网络的互连,并利用VPN的安全隧道、加密等特性可以保证信息在公司各机构局域网的网关之间安全传输。网关到网关VPN通过一个使用专用连接的共享基础设施,连接企业单位总部、远程办事处和分支机构。
(三)VPN技术的优点
第一,VPN技术在信息隧道入口,即企业局域网网关认证的起点,设置了用户身份准入验证。另外,VPN还支持各种通用的安全和加密协议,如SecureIP(IPsec)和Microsoft点对点加密(MPPE)技术等等。
第二,降低成本。由于VPN设备自身带有路由和访问控制功能,在企业用户访问互联网时能够实现路由配置及安全策略监控,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销,显著地降低成本。
第三,节省网络资源。企业可以使用VPN替代租用线路来实现分支机构的连接,这样就可以实现对远程线路进行安装、配置和管理,并且可以最大限度地降低局域网网络功能设计所需的模块。另外,VPN通过拨号访问来自于ISP或NSP的外部服务,减少了调制解调器数量,简化了所需的接口,同时简化了与远程用户认证、授权和记账相关的设备和处理。
第四,可以随意实现与战略伙伴之间的联网。以往企业因业务需要与其他单位实施联网,必须租用或安装专线,并需要购置昂贵的交换机等设备。使用VPN技术后,企业可以随时通过设置虚拟远程网络,与战略伙伴实施局域网互联,查看有关数据及业务资料。而业务活动结束后,双方也可以随时切断局域网互联,省却相关费用。
第五,功能拓展空间大。企业单位需要扩大局域网服务范围或提升服务功能,可以随时与新的IPS代理机构签约,建立账户密码等信息;也可以与原有的ISP重签合约,扩大服务范围。利用VPN技术,企业为远程机构设置局域网相关服务也十分简单,使用简单的命令就可以使内网路由器兼有Internet和VPN兼容能力。
第六,使用方完全掌握使用控制权。企业单位借助VPN技术,通过ISP的设施和服务,可以完全掌握局域网运行及局域网用户连接互联网的情况。企业通过ISP设定用户名及密码后,网络管理可以交由ISP负责,企业则可以为部门设置相关口令信息,实现对局域网运行状况的监测。
综上所述,VPN技术拥有诸多优势,应当成为未来解决企业互联网安全问题的有效手段。但是不能否认的是,作为一种新兴的技术,VPN本身仍具有许多的不足。企业局域网安全问题是一个复杂的矛盾综合体,VPN技术只能作为防范风险的一种较为有效的手段,必须要调动其他手段进行辅助,才能确保企业局域网网络安全万无一失。
参考文献:
[1]张建标等译,《网络安全评估》,科学出版社,2009年1月.
[2]李涛编著,《网络安全概论》,电子工业出版社,2004年11月.
[3]《什么是VPN》,http://baike.baidu.com/view/19735.htm.