2006年06月30日

隨著台灣與中國先後進入WTO世界貿易組織,台灣與大陸的經貿將有更密切的合作與接觸,如何利用網路加強企業內部管理與溝通,取得這一波競爭領先的優勢,已成為兩岸企業當務之急。

 

Seednet秉持「看見客戶的需求」理念,為兩岸三地企業客戶提供虛擬私有網絡服務(Managed IP VPN),滿足企業與大陸端連線需求,除此之外,也針對最新發展的VPN技術-MPLS,及VoIP語音整合做一個簡單之說明與應用之介紹,提供企業規劃與建置企業內部網路之參考,共同探索企業網路的新動力。 研討會議程表

 

14:00~14:20

 報到

 *會場敬備茶點及免費停車位  

14:20~14:30

 致歡迎詞

14:30~15:20

 大陸VPN發展趨勢與兩岸解決方案 

15:20~15:30

 中場休息

15:30~16:00

 MPLS簡介與應用

16:00~16:50

 企業網路語音VoIP整合介紹(實例應用) 

16:50~17:00

 綜合討論

 

 

 

*研討會相關訊息請電洽 (03)5753000 ext.3232陳小姐

由于VPN技术方案成熟,为企业用户提供了很好的解决之道,为企业的商业运作提供一个可靠、安全的数据传输网络。陕西三棵树超市希望通过实施VPN工程,能够实现总公司与各连锁店之间业务的应用。

  而根据VPN虚拟专用网的组网原理,当创建VPN网络时,一般情况下要求VPN通道中至少有一方或多方具有固定的公网IP地址。而申请固定公网IP地址的月租费很高。

远程验证用户拨入服务(RADIUS)协议是管理远程用户验证和授权的常用方法。RADIUS是一种基于UDP协议的超轻便(lightweight)协议。RADIUS服务器可以被放置在Internet网络的任何地方为客户NAS提供验证(包括PPP PAPCHAPMSCHAPEAP)。另外,RADIUS服务器可以提供代理服务将验证请求转发到远端的RADIUS服务器。例如,ISP之间相互合作,通过使用RADIUS代理服务实现漫游用户在世界各地使用本地ISP提供的拨号服务连接InternetVPN如果ISP发现用户名不是本地注册用户,就会使用RADIUS代理将接入请求转发给用户的注册网络。这样企业在掌握授权权利的前提下,有效的使用ISP的网络基础设施,使企业的网络费用开支实现最小化。

记费,审计和报警

为有效的管理VPN系统,网络管理人员应当能够随时跟踪和掌握以下情况:系统的使用者,连接数目,异常活动,出错情况,以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费,审计和报警或其它错误提示具有很大帮助。例如,网络管理人员为了编制帐单数据需要知道何人在使用系统以及使用了多长时间。异常活动可能预示着存在对系统的不正确使用或系统资源出现不足。对设备进行实时的监测可以在系统出现问题时及时向管理员发出警告。一台隧道服务器应当能够提供以上所有信息以及对数据进行正确处理所需要的事件日志,报告和数据存储设备。

NT4.0RAS中提供了对记费,审计和报警的支持。RADIUS协议对呼叫-记费请求(call-accountingrequest)进行了规定。当RASRADIUS发送呼叫-记费请求后由后者建立记费记录分别记录呼叫开始,结束以及预定中断的情况。

结论

如本文所述,Windows系统自带的VPN服务允许用户或企业通过公共或专用网络与远端服务器,分支机构,或其他公司建立安全和可靠的连接。虽然上述通讯过程发生公共互联网络上,但是用户端如同使用专用网络进行通讯一样建立起安全的连接。使用Windows系统的VPN技术可以解决在当今远程通讯量日益增大,企业全球运作分布广泛的情况下,员工需要访问中央资源,企业相互之间必须能够进行及时和有效的通讯的问题。

IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密时,IPSEC使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSEC使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。IPSEC协议下,只有发送方和接受方知道秘密密钥。如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。

可以把IPSEC想象成是位于TCP/IP协议栈的下层协议。该层由每台机器上的安全策略和发送、接受方协商的安全关联(security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址,协议,和端口号满足一个过滤机制,那么这个数据包将要遵守关联的安全行为。

协商安全关联(NegotiatedSecurityAssociation

上述第一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。在一个ISAKMP/OAKLEY交换过程中,两台机器对验证和数据安全方式达成一致,进行相互验证,然后生成一个用于随后的数据加密的个共享密钥。

验证包头

通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号,共同用来验证发送方身份,确保数据在传输过程中没有被改动,防止受到第三方的攻击。IPSEC验证包头不提供数据加密;信息将以明文方式发送。

封装安全包头

为了保证数据的保密性并防止数据被第3方窃取,封装安全负载(ESP)提供了一种对IP负载进行加密的机制。另外,ESP还可以提供数据验证和数据完整性服务;因此在IPSEC包中可以用ESP包头替代AH包头。

用户管理

在选择VPN技术时,一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中(目录服务)便于管理人员和应用程序对信息进行添加,修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库,存储每一名用户的信息,包括用户名,口令,以及拨号接入的属性等。但是,这种由多台服务器维护多个用户帐号的作法难以实现及时的更新,给管理带来很大的困难。因此,大多数的管理人员采用在目录服务器,主域控制器或RADIUS服务器上建立一个主帐号数据库的方法,进行有效管理。

RAS支持

微软的远程接入服务器(RAS)使用域控制器或RADIUS服务器存储每名用户的信息。因为管理员可以在单独的数据库中管理用户信息中的拨号许可信息,所以使用一台域控制器能够简化系统管理。

微软的RAS最初被用作拨号用户的接入服务器。现在,RAS可以作为PPTPL2TP协议的隧道服务器(NT5将支持L2TP)。这些第2层的VPN方案继承了已有的拨号网络全部的管理基础。

扩展性

通过使用循环DNS在同属一个安全地带(securityperimeter)的VPN隧道服务器之间进行请求分配,可以实现容余和负荷平衡。一个安全地带只具有一个对外域名,但拥有多个IP地址,负荷可以在所有的IP地址之间进行任意的分配。所有的服务器可以使用一个共享数据库,如NT域控制器验证访问请求。

IPSEC是第3层的协议标准,支持IP网络上数据的安全传输。本文将在"高级安全"一部分中对IPSEC进行详细的总体介绍,此处仅结合隧道协议讨论IPSEC协议的一个方面。除了对IP数据流的加密机制进行了规定之外,IPSEC还制定了IPoverIP隧道模式的数据包格式,一般被称作IPSEC隧道模式。一个IPSEC隧道由一个隧道客户和隧道服务器组成,两端都配置使用IPSEC隧道技术,采用协商加密机制。

为实现在专用或公共IP网络上的安全传输,IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。

IPSEC隧道模式具有以下功能和局限:

1.只能支持IP数据流

2.工作在IP栈(IPstack)的底层,因此,应用程序和高层协议可以继承IPSEC的行为。

3.由一个安全策略(一整套过滤机制)进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。

关于IPSEC的详细介绍参看本文稍后的"高级安全"部分。

自愿隧道

当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的,客户端计算机必须安装适当的隧道协议。自愿隧道需要有一条IP连接(通过局域网或拨号线路)。使用拨号方式时,客户端必须在建立隧道之前创建与公共互联网络的拨号连接。一个最典型的例子是Internet拨号用户必须在创建Internet隧道之前拨通本地ISP取得与Internet的连接。

对企业内部网络来说,客户机已经具有同企业网络的连接,由企业网络为封装负载数据提供到目标隧道服务器路由。

大多数人误认为VPN只能使用拨号连接。其实,VPN只要求支持IP的互联网络。一些客户机(如家用PC)可以通过使用拨号方式连接Internet建立IP传输。这只是为创建隧道所做的初步准备,并不属于隧道协议。

强制隧道

目前,一些商家提供能够代替拨号客户创建隧道的拨号接入服务器。这些能够为客户端计算机提供隧道的计算机或网络设备包括支持PPTP协议的前端处理器(FEP),支持L2TP协议的L2TP接入集线器(LAC)或支持IPSec的安全IP网关。本文将主要以FEP为例进行说明。为正常的发挥功能,FEP必须安装适当的隧道协议,同时必须能够当客户计算机建立起连接时创建隧道。

Internet为例,客户机向位于本地ISP的能够提供隧道技术的NAS发出拨号呼叫。例如,企业可以与某个ISP签定协议,由ISP为企业在全国范围内设置一套FEP。这些FEP可以通过Internet互联网络创建一条到隧道服务器的隧道,隧道服务器与企业的专用网络相连。这样,就可以将不同地方合并成企业网络端的一条单一的Internet连接。

因为客户只能使用由FEP创建的隧道,所以称为强制隧道。一旦最初的连接成功,所有客户端的数据流将自动的通过隧道发送。使用强制隧道,客户端计算机建立单一的PPP连接,当客户拨入NAS时,一条隧道将被创建,所有的数据流自动通过该隧道路由。可以配置FEP为所有的拨号客户创建到指定隧道服务器的隧道,也可以配置FEP基于不同的用户名或目的地创建不同的隧道。

自愿隧道技术为每个客户创建独立的隧道。FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享,而不必为每个客户建立一条新的隧道。因此,一条隧道中可能会传递多个客户的数据信息,只有在最后一个隧道用户断开连接之后才终止整条隧道。

为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。

隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用桢作为数据交换单位。PPTPL2TPL2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)桢中通过互联网络发送。3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。

隧道协议和基本隧道要求 (确定采用第2层还是第3层;2次的数据传输,如何判断。)

因为第2层隧道协议(PPTPL2TP)以完善的PPP协议为基础,因此继承了一整套的特性。

1.用户验证

2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前,隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。

2.令牌卡(Tokencard)支持

通过使用扩展验证协议(EAP),第2层隧道协议能够支持多种验证方法,包括一次性口令(one-timepassword),加密计算器(cryptographic calculator)和智能卡等。第3层隧道协议也支持使用类似的方法,例如,IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。

3.动态地址分配

2层隧道协议支持在网络控制协议(NCP)协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。

4.数据压缩

2层隧道协议支持基于PPP的数据压缩方式。例如,微软的PPTPL2TP方案使用微软点对点加密协议(MPPE)。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。

5.数据加密

2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。

6.密钥管理

作为第2层协议的MPPE依靠验证用户时生成的密钥,定期对其更新。IPSecISAKMP交换过程中公开协商公用密钥,同样对其进行定期更新。

7.多协议支持

  第2层隧道协议支持多种负载数据协议,从而使隧道客户能够访问使用IPIPX,或NetBEUI等多种协议企业网络。相反,第3层隧道协议,如IPSec隧道模式只能支持使用IP协议的目标网络。

1.使用专线连接分支机构和企业局域网。

不需要使用价格昂贵的长距离专用电路,分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通InternetVPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。

2.使用拨号线路连接分支机构和企业局域网。

不同于传统的使用连接分支机构路由器的专线拨打长途或(1-800)电话连接企业NAS的方式,分支机构端的路由器可以通过拨号方式连接本地ISPVPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络(企业是否必须有专线)

在企业的内部网络中,考虑到一些部门可能存储有重要数据,为确保数据的安全性,传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息,但是由于物理上的中断,使其他部门的用户无法,造成通讯上的困难。

采用VPN方案,通过使用一台VPN服务器既能够实现与整个企业网络的连接,又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联,但是并不能对流向敏感网络的数据进行限制。使用VPN服务器,但是企业网络管理人员通过使用VPN服务器,指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外,可以对所有VPN数据进行加密,从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。

VPN(虚拟专用网,Virtual Private Network)最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%

2001年全球VPN市场将达到120亿美元。关键是VPN的安全性、服务质量(QoS)。

八荣八耻学习心得
“不知荣辱乃不能成人”,这是千百年流传下来的珠玑名言。从古到今,中华文明始终都是通过强烈的耻感意识来维系基本的文化价值。伯夷叔齐耻食周粟,项羽无颜愧见江东父老,所有这些铮铮傲骨都源自中国文化的耻感意识。
 然而,在中国社会取得飞速发展的同时,我们民族文化传统中的耻感意识却在不断地受到腐蚀。热爱祖国与危害祖国之间,服务人民与背离人民之间,崇尚科学与愚昧无知之间,辛勤劳动与好逸恶劳之间,团结互助与损人利己之间,诚实守信与见利忘义之间,遵纪守法与违法乱纪之间,艰苦奋斗与骄奢淫逸之间,荣辱界限在很多人的思想深处悄悄地变得模糊起来。难怪有学者惊呼,当代中国社会最严重的价值危机是耻感意识的淡化和底线伦理的崩溃。
 正是在这样的背景下,以“八荣八耻”为代表的树立社会主义荣辱观的要求,迅即引起整个社会深处的强烈共鸣,掀起了一波加快构建社会主义荣辱观的新浪潮。如果把依法治国的理念视为现代国家的执政之道,那么,对于有着悠久儒家道德传统的中国而言,树立社会主义荣辱观的以德治国之举,更将为正在进行的改革攻坚夯实政治道德的基础。
 法治还是德治,这似乎一直是专家学者们争论不休的话题。其实,无论是在儒家思想还是法家精髓中,都不难找到古代圣贤对于德与法辩证关系的精妙阐释。《孟子·离娄上》便有所言:“徒善不足以为政,徒法不能以自行”。当今构建社会主义和谐社会的伟大事业,又怎么能够脱离道德建设的轨道?
 大到部分公职人员吃拿卡要甚至公然索贿丧失为官根本准则,医生收红包、开大处方导致医德蒙羞,学者学术腐败、为利益集团鼓呼玷污学者清誉,小到社会公德意识淡漠,奢靡淫逸之风盛行……纵观当下社会百姓关注的热点难点民生问题,无不与道德缺失有着千丝万缕的联系。对于逾越社会道德底线的行为,政府当然可以出台法律法规加以刚性规范。但是,对于一些法律盲点灰色地带或者纯道德范畴问题,还需要道德的力量来约束公民的自我行为,顶住底线伦理崩溃的冲击。
 不可否认,市场经济利益观对传统社会道德伦理形成了极大的冲击,现代社会生活的多样性也给了每个人选择自我生活方式的自由。但是,无论怎样选择,社会道德底线不容觊觎,是非黑白美丑善恶不容颠倒。在中国社会发展的关键时刻,“八荣八耻”旗帜鲜明地把道德领域的是非黑白划分开来,成为社会公众坚持什么、反对什么的标杆,成为社会风尚倡导什么、抵制什么的卡尺。牢记“八荣八耻”,我们的道德准则自然清晰明了。
 耻感不在,何以为荣?一个民族的伟大繁荣,不仅仅需要经济的富足,更需要“彰善瘅恶”的民族精神。良好的道德传承是中华文化之宝,是中华社稷之基,是民族精神之魂。只要我们真正树立起社会主义荣辱观,努力做到德治与法治兼备,中国社会就一定能够变得更加和谐,中华民族一定能够在世界民族之林散发出更为独特的迷人魅力。

www.vpnc.cn