2006年06月30日

随着社会信息化步伐的临近,各行各业都纷纷结合自身条件加快行业信息化的进程。作为能源基础产业,电力行业的有序发展是关系到国家经济发展的重要因素之一。随着电力行业改革方案的出台和逐步实施,电力行业向市场化运作发展;与此同时,信息化成为了电力行业提升核心竞争力的重要手段。电力行业各部门利用先进的信息管理和网络传播技术可以直接有效地调整企业管理的模式,为社会和公众提供便捷有效、高质量的服务,这也是电力行业建立信息网络的主要原因。
现状与需求
随着电力市场化的深入推行,各级机构之间需要传递的数据量大大增加,对数据的实时性要求也越来越高,在电力系统的骨干网络上主要采用了专线的方式来实现国家-省-市间电力系统的互联互通,但是对于数量巨大的市-县-乡的网络传输需求来说,昂贵的专线方案将给电力系统带来巨大的运营成本,而电话拨号网络又存在着速度慢、容量小、安全性差的弱点,电力行业迫切需要一种可靠、安全、性价比高的网络传输方案。
近年来,VPN以其可以利用公网资源,建立安全、可靠、经济、高效的传输链路的特点引起了人们的广泛注意。在VPN技术的支持下,位于不同地区的电力部门只需分别联入当地的Internet,就可以组成一个高效统一的虚拟专用网络。华盾公司提供的VPN解决方案在传统的VPN技术基础上,针对国内固定IP的匮乏、复杂的Internet接入方式、操作人员技术能力较低等多种不利因素进行了技术和产品上的创新,为电力行业提供了一种高安全、高性能、高稳定性的VPN解决方案。
例如某大型电力集团公司企业业务网络系统的具体架构由集团公司总部公司本部、各电厂、移动远程用户和分布全国各地的办事处分支机构所组成。除远程移动用户之外,各电厂和办事处分支机构均建有规模不等的局域网络,总部集团公司本部局域网络是整个网络系统的核心,同时也是网络管理中心。各电厂、办事处分支机构和移动用户均通过Internet与集团公司本部总部通信。
  但是现有组网方式存在很多的缺陷:
1)访问受到限制
在现有的方式下,集团公司下属的各电厂、办事处和远程移动用户均通过Internet与总部联系,增大了泄露机密数据的可能性,另一方面总部无法和移动用户或办事处及时主动取得联系。另外,IP地址没有统一规划,使访问控制变得复杂,容易造成安全疏漏。
2)缺乏统一规划
某些分支机构和电厂有两个或两个以上的Internet出口,这给外部入侵和内部泄密提供了更多通道,增加了网络的不安全因素。在这种网络环境下需要统一规划这些出口,并对出入访问作充分的安全控制。
3)无法运行内部管理软件
因为总部内网和办事处的内网之间不能互通,一些基于IP的软件不能运行,如无法实施ERP等。
4)增值服务无法实施
由于缺乏保密措施,像视频电视、电话会议、IP电话之类的增值服务在这个网络上无法开展。
基于以上的几个问题,根据某电力集团公司现有的网络状况和业务情况,希望改建之后的网络满足以下需求:
总部集团公司本部和各电厂、分支机构及移动用户之间能够相互访问;
实现VPN网络的分级管理;
保证各节点之间信息传输安全;
支持办公管理信息系统的实施;
支持IP语音业务;
支持视频业务;
网络具有可扩展性;
满足今后集团业务发展的需要。
在公司总部内网安装华盾VPN300作为集团公司本部接入Internet的中心VPN网关,此网关采用双机热备份方式,并为其分配静态的合法IP地址。另在集团公司本部设置管理中心,管理中心同样具有一个静态的合法IP,负责集团公司全网VPN设备的证书管理、策略分发和管理,支持证书和设备的分级管理。
各分支机构和电厂分别安装华盾VPN200作为分支VPN网关实现各分支节点的上网互联。分支网关同样支持双机热备份功能。如果分支节点同时是二级管理节点,则需要在分支机构的局域网安装二级安全管理中心。
在移动用户的机器上安装华盾VPN客户端,实现与VPN网络的互联。

在物流行业的方案中,我们建议在总部安装了两台华盾VPN400/300,以双机热备份方式工作,在管理分公司安装华盾VPN200,并安装一台软件VPN网关做备份,在分公司安装华盾VPN100,在营业部和移动用户安装华盾VPN安全包,实行统一认证,分级管理,构成一个完整的VPN网络。

VPN系统实现数据的安全性

  • 数据传输加
  • 数据完整性验证
  • 信息来源和目标的身份认证
  • VPN系统给物流企业带来的效益

  • 使分支机构和营业部的网络开销减少;
  • 新增的分支机构或营业部可以非常迅速方便地加入企业已建的VPN网络,所以VPN的可扩展性大大优于传统的联网手段;
  • 大幅度削减传输数据的开销,同时可以削减传输语音和视频的开销;
  • 给企业多种应用系统的实施创造了网络条件,可以全面实施企业的OA、ERP和关键业务系统等
  • 根据石化行业ERP项目VPN网络建设的特点,VPN项目一般都是由石化下属各个企业独立实施,针对VPN实施的对象进行分类,公司设计了几种典型的VPN组网方案。这些方案的目标用户分类包括:总公司、油田、销售公司(石油公司、分公司、以及大区销售公司)、炼油厂(石化工厂)等等。由于石化行业下属同类企业网络具有一定的相似性,每一种解决方案作为一种典型,可以应用于其他同类型企业。

  • 高可用性,总部节点全部采用双机备份方案,能够有效满足石化企业业务7×24小时正常运行。
  • 高适应性,移动客户无论以任何一种方式接入Internet,都可以访问公司销售网络。实现真正的“移动办公”。
  • 高安全性,通过证书认证、VPN虚拟网卡IP地址绑定、VPN客户端分级控制等措施,能够确保本系统的高度安全。
  • 经济实惠,除了公司信息部门销售需要租用专线接入以外。地市公司只需要租用adsl线路,其他移动用户只需要找到Internet接入方式即可组建VPN,每年可以节约大量的通讯费用。
  • 三棵树超市的的VPN网络建成后,逻辑上将7个在物理位置上不同的网络构成统一的公司内部网,这样就可以采用统一的公司财务数据服务器,总部与分部的财务人员就可以使用统一的数据库,这样大大提升了公司财务的工作效率,双方可以进行数据共享、文件传送。

      过去固定IP地址的月租很贵,使得VPN产品只有银行、大型企业等少数行业能用得起;现在通过动态VPN防火墙FVS318,有联网需要的中小企业也能够轻松实现远程异地联网。

      现阶段电信运营商提供的接入方式有虚拟拨号和专线接入两种常用的方式,如表所示。

      两种接入方式的差别就是提供给前者的是动态IP,后者是静态IP。虚拟拨号月租是120元,专线月租是2000元。两者的费用相差16倍多,这是很悬殊的差别。因此,采用NETGEAR FVS318来组建此网络,单从月租方面,美国网件的VPN产品就为客户节省了许多开支。

      本方案全部采用美国网件公司的FVL318 ProSafe VPN宽带路由器系列网络产品。FVL318产品最大的特点是能同时启动多达8IPSec VPN隧道,动态域名解析技术可支持VPN网络的任意一方用动态地址来组建VPN网络,从而降低运营成本,提高网络的安全性。

     

    1.VPN服务器,一台计算机或设备,用来接收和验证VPN连接的请求,处理数据打包和解包工作。

    2.VPN客户端,一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。

    3.VPN数据通道,一条建立在公用网络上的数据连接。

    注意所谓的服务器和客户端,在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。这个概念在两个网络之间的连接尤其明显。

    一、安全的协议

    1由于SSL VPN 采用了SSLSecurity socket layer)协议,该协议是介于介于HTTP层及TCP层的安全协议。

    2、通过SSL VPN是接入企业内部的应用,而不是企业的整个网络。如果是IPSECVPN网络,客户通过vpn是联入的整个企业网络。没有控制的联入整个企业的网络是非常危险的。

    3、由于采用SSL 安全协议在网络中传输,所以gateway上的防火墙来讲,只需要打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网来的攻击的可能性。

    4、数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算法比如DES3DESRSA等等也有自己的加密算法。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。

    5Session保护功能:现在所有的SSL VPN 基本上都能够做到这个功能,就是在会话停止一段时间以后自动停止会话,如果需要继续访问则要从新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击;

    二、产品起到的安全功能

    1 首先由于SSL VPN一般在GATEWAY上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上,这样对于GATEWAY来讲,这需要开通443 这样的端口到SSL VPN即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。

    2 不改变防病毒策略:从另外一个角度来讲,如果您采用了IPSEC VPN的产品,当客户端有一台电脑通过VPN联入网络后,该网络的防病毒的策略将被彻底破坏,应为联入内部网络的电脑并不受原来公司的防病毒策略的保护,而ssl vpn 就没有这个问题,SSL VPN需要访问的数据是事先被允许的;

    3、不改变防火墙策略:基本原理同防病毒。还是从IPSEC的角度来讲,如果当客户端有一台电脑通过VPN联入网络后,如果该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部网络的跳板,而ssl vpn就没有这个问题。

    阶段一:动态域名解析+端口映射

      由于采用专线和固定IP的方式投入成本比较高,客户在现有的ADSL宽带上网方式(动态IP)基础上,结合动态域名解析+端口映射的方式解决分公司远程访问K3 数据库的问题,在出口的路由器上做端口映射,映射到K3服务器上,出差人员和外地分公司随时随地接入总部K3的数据库进行操作。但是这种方式基本上把整个K3服务器暴露在公网上, 这种传统的数据传输方法对于现在网络上的黑客技术的防御能力是相当有限的,根本没有安全性可言,安全性比较令人担心;另外动态域名解析寻址方式的不稳定性,导致分公司经常无法正常稳定的访问总部数据,于是客户开始寻找一种安全稳定的互联方式。

      阶段二:硬件VPN方式

      从安全性和经济性考虑,客户采购了一款市面上低价位的硬件VPN的产品,利用VPN搭建的虚拟专用隧道安全传输K3数据, 安全的问题随之解决了,但是随着公司的不断壮大,数据传输交互的频繁、用户的增多,上马新的应用系统……,目前的VPN方式已不能满足需求:

      1、稳定性:VPN虽然安全,但由于网络带宽窄,环境不稳定等因素,再加上普通VPN本身的加密使用数据传输变慢等原因,很难做一些大数据量的功能使用(特别是K3这类的大型数据库),而且经常断线,操作起来变得异常困难,最终导致工作效率很低甚至根本无法使用。

      2、速度:一般远程接入解决方案只提供"接入"的网络功能, 在应用数据传输上却有着天壤之别!,一般远程访问是用户在自己的笔记本上安装K3的客户端,然后远程接入办公,访问K3服务器。这时应用层的数据是从K3的服务器通过网络传向K3的客户端,问题也就在这里,由于某些业务数据量很大,经常拥塞住网络,而基于TCP/IP的网络本身具有数据流量管理,大量的数据很可能被丢弃。.由于大量的数据量的传输,很可能造成网络瘫痪,甚至连访问WEB都不行!

      3、移动的支持:一般笔记本是无线上网的,无线上网理论上号称可以达到几百K,但实

      际往由于线路接入环境不同相差很大,一般是一百K左右,甚至几十K,K.这样,由于大量的数据量的传输,很可能造成网络瘫痪,甚至连访问WEB都不行!因此,这样的方案很容易出现问题.不能充分发挥VPN的特长.也不适合远程接入办公的需求。

      4、集中分类管理接入用户:公司上马了新的应用系统也需要远程投入使用,对于接入用户访问权限的管理成了一个问题,公司的各应用系统的使用是有权限要求的,比如用户U1只能访问K3系统,用户U2只能访问A3系统,如何保证远程用户接入后安全的访问各种应用系统也成了急待解决的问题。

      5、简单易用:对于C/S结构的软件,需要在远程接入的PC上安装客户端,使得操作和维护都比较复杂。

      因此,这样的方案很容易出现问题.不能充分发挥VPN的特长.也不适合远程接入办公的需求. 客户故寻需求一种能够实现K3等管理软件高速稳定传输数据、简单易用经济、并且能够集中分类管理远程接入用户的解决方案。

    三、解决方案设计与实现

      3.1解决方案

      超级连接VPN+KRun”方案基于现在Internet基础,以低成本的接入方式即可实现各类应用系统的跨网段实施、文件共享、打印机共享、网络邻居、TELNET、信使消息、内网WebFTP访问、网络电话、网络视频会议等功能。

       本方案重点要解决的是在客户现有网络环境中,稳定、高速、安全、经济的远程互联运行并且安全管理接入用户使用应用系统的问题。在深圳总部内网一台装有windows 2000 server以上的服务器安装超级连接VPN”总部版同时架设KRun服务器,做为整个VPN网络的管理中心,总部应用软件数据库服务器的网关指向安装总部版机器;在各地分公司内网一台装有windows 2000的计算机上安装超级连接VPN”分支版软件,网内其他机器的网关指向安装分支版的机器,即可带动整个局域网联入深圳总部;在外出差人员和老总携带的笔记本上安装Hlink移动版即可实现,分公司和在外出差人员的。

    由于VPN技术方案成熟,为企业用户提供了很好的解决之道,为企业的商业运作提供一个可靠、安全的数据传输网络。陕西三棵树超市希望通过实施VPN工程,能够实现总公司与各连锁店之间业务的应用。

      而根据VPN虚拟专用网的组网原理,当创建VPN网络时,一般情况下要求VPN通道中至少有一方或多方具有固定的公网IP地址。而申请固定公网IP地址的月租费很高。

    VPN的普及将进一步推进电子政务、电子商务,从而政府加快和企业的信息化进程。作为企业广域网技术,今后VPN将呈以下发展趋势。

      多种VPN技术集成。如在MPLS VPN网络的基础上再部署IPSec VPN,以满足对保密和可用性要求极高的银行、证券公司用户的需求。

      多种VPN业务整合与互补。如企业主干网络互联采用基于网络的MPLS VPN,以保证安全性、可靠性和高性能;远程访问采用基于用户设备的IPSec VPN,以保证灵活性和覆盖面,同时便于合作伙伴或远程用户访问内部网。又比如,固网VPN与无线VPN组合应用。

    VPN产品集成度越来越高。除了集成传统的防火墙、路由器之外,许多面向中小企业的VPN产品集成打印服务器、无线接入点、多宽带接入端口等。

      SSL VPN受到青睐。VPN技术不再局限于第二层和第三层,基于第四层的SSL VPN作为安全的远程访问技术,必将得到更为广泛的应用,以满足企业Web应用安全的需要。

      MPLS VPN成为VPN中的新宠。它由电信运营商提供,秉承专线网络与生俱来的安全性、可靠性和高性能,便于实现数据、语音和视频业务三网合一,是替代传统广域网建立宽带专网的最佳方案。

      VPN业务逐步转向外包。与自建VPN相比,外包方便易行,是实现VPN的捷径,还能降低运营维护成本,让用户专注于自身业务。电子政务 电子商务 从而政府加快和企业的信息化进程

    我总结了一下:一是远程访问,主要为在外出差、移动办公和在家中办公的人员访问企业内部网络;二是内部网络互联,在内部各分支机构网络与总部网络之间实现安全互联;三是与合作伙伴建立安全通信。从技术实现角度讲,主要有两种主流的VPN解决方案:一种是以IPSec为代表的、基于用户设备的VPN技术,由网络厂商提供VPN技术和解决方案,既可用于网络互联,又可用于远程访问;另一种是以MPLS VPN为代表的、基于网络的VPN技术,由电信运营商提供VPN服务,主要用于网络远程互联。

    北京电力建设公司:传统的第三层VPN的一种延伸,是可以构建在ADSLCable ModemISDNModem等使用动态IPInternet接入方式之上的第三层VPN系统。对公司来说,只需要在各个节点安装一台路由器 R5000E,就可以实现各个节点的VPN互联。这种星形结构的网络,便于公司各个分支机构之间的相互访问。出差的员工也可通过虚拟拨号的形式,进入总部局域网。整个解决方案具有网络架构简单,投入费用少,利用公众网络可以大幅节省长途专线的费用等特点。除此之外,ICEFLOW VPN在性能上也具有高安全性、高可用性、高扩展性等优势。

    网络改造一期工程完成后,实现了总部与10个分支机构,共500多台计算机的互联。试运行结果表明,项目完全达到或者超过了设计目标。每月费用从原来的20000多元下降至3500元,大大降低了使用成本。与此同时,公司办公速度有了很大的提高,可以做到及时发布信息,实现数据共享,还可以方便地进行网络维护。具体表现在:第一,公司OA系统处理效率大大提高,原来每个子公司处理一个文件需要15分钟左右,现在两、三分钟就可以解决问题。公司内部文件处理量很大,每天大约150个,网络运行速度提高后,大大改善了公司的办公效率。第二,建成前公司数据不能充分共享,建成后实现了全公司系统资源的整合,这样技术开发人员可以实现远程维护,如材料、机械、设备管理等通过MIS系统就可以实现统一管理。而公司领导及出差人员无论在任何地方、任何时候,均可以通过网络手段阅读公司文件、处理相关问题,提高了工作效率,节约了办公成本。

    远程验证用户拨入服务(RADIUS)协议是管理远程用户验证和授权的常用方法。RADIUS是一种基于UDP协议的超轻便(lightweight)协议。RADIUS服务器可以被放置在Internet网络的任何地方为客户NAS提供验证(包括PPP PAPCHAPMSCHAPEAP)。另外,RADIUS服务器可以提供代理服务将验证请求转发到远端的RADIUS服务器。例如,ISP之间相互合作,通过使用RADIUS代理服务实现漫游用户在世界各地使用本地ISP提供的拨号服务连接InternetVPN如果ISP发现用户名不是本地注册用户,就会使用RADIUS代理将接入请求转发给用户的注册网络。这样企业在掌握授权权利的前提下,有效的使用ISP的网络基础设施,使企业的网络费用开支实现最小化。

    记费,审计和报警

    为有效的管理VPN系统,网络管理人员应当能够随时跟踪和掌握以下情况:系统的使用者,连接数目,异常活动,出错情况,以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费,审计和报警或其它错误提示具有很大帮助。例如,网络管理人员为了编制帐单数据需要知道何人在使用系统以及使用了多长时间。异常活动可能预示着存在对系统的不正确使用或系统资源出现不足。对设备进行实时的监测可以在系统出现问题时及时向管理员发出警告。一台隧道服务器应当能够提供以上所有信息以及对数据进行正确处理所需要的事件日志,报告和数据存储设备。

    NT4.0RAS中提供了对记费,审计和报警的支持。RADIUS协议对呼叫-记费请求(call-accountingrequest)进行了规定。当RASRADIUS发送呼叫-记费请求后由后者建立记费记录分别记录呼叫开始,结束以及预定中断的情况。

    结论

    如本文所述,Windows系统自带的VPN服务允许用户或企业通过公共或专用网络与远端服务器,分支机构,或其他公司建立安全和可靠的连接。虽然上述通讯过程发生公共互联网络上,但是用户端如同使用专用网络进行通讯一样建立起安全的连接。使用Windows系统的VPN技术可以解决在当今远程通讯量日益增大,企业全球运作分布广泛的情况下,员工需要访问中央资源,企业相互之间必须能够进行及时和有效的通讯的问题。

    IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密时,IPSEC使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSEC使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。IPSEC协议下,只有发送方和接受方知道秘密密钥。如果验证数据有效,接受方就可以知道数据来自发送方,并且在传输过程中没有受到破坏。

    可以把IPSEC想象成是位于TCP/IP协议栈的下层协议。该层由每台机器上的安全策略和发送、接受方协商的安全关联(security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址,协议,和端口号满足一个过滤机制,那么这个数据包将要遵守关联的安全行为。

    协商安全关联(NegotiatedSecurityAssociation

    上述第一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。在一个ISAKMP/OAKLEY交换过程中,两台机器对验证和数据安全方式达成一致,进行相互验证,然后生成一个用于随后的数据加密的个共享密钥。

    验证包头

    通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号,共同用来验证发送方身份,确保数据在传输过程中没有被改动,防止受到第三方的攻击。IPSEC验证包头不提供数据加密;信息将以明文方式发送。

    封装安全包头

    为了保证数据的保密性并防止数据被第3方窃取,封装安全负载(ESP)提供了一种对IP负载进行加密的机制。另外,ESP还可以提供数据验证和数据完整性服务;因此在IPSEC包中可以用ESP包头替代AH包头。

    用户管理

    在选择VPN技术时,一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中(目录服务)便于管理人员和应用程序对信息进行添加,修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库,存储每一名用户的信息,包括用户名,口令,以及拨号接入的属性等。但是,这种由多台服务器维护多个用户帐号的作法难以实现及时的更新,给管理带来很大的困难。因此,大多数的管理人员采用在目录服务器,主域控制器或RADIUS服务器上建立一个主帐号数据库的方法,进行有效管理。

    RAS支持

    微软的远程接入服务器(RAS)使用域控制器或RADIUS服务器存储每名用户的信息。因为管理员可以在单独的数据库中管理用户信息中的拨号许可信息,所以使用一台域控制器能够简化系统管理。

    微软的RAS最初被用作拨号用户的接入服务器。现在,RAS可以作为PPTPL2TP协议的隧道服务器(NT5将支持L2TP)。这些第2层的VPN方案继承了已有的拨号网络全部的管理基础。

    扩展性

    通过使用循环DNS在同属一个安全地带(securityperimeter)的VPN隧道服务器之间进行请求分配,可以实现容余和负荷平衡。一个安全地带只具有一个对外域名,但拥有多个IP地址,负荷可以在所有的IP地址之间进行任意的分配。所有的服务器可以使用一个共享数据库,如NT域控制器验证访问请求。