2006年06月30日

1.使用专线连接分支机构和企业局域网。

不需要使用价格昂贵的长距离专用电路,分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通InternetVPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。

2.使用拨号线路连接分支机构和企业局域网。

不同于传统的使用连接分支机构路由器的专线拨打长途或(1-800)电话连接企业NAS的方式,分支机构端的路由器可以通过拨号方式连接本地ISPVPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络(企业是否必须有专线)

在企业的内部网络中,考虑到一些部门可能存储有重要数据,为确保数据的安全性,传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息,但是由于物理上的中断,使其他部门的用户无法,造成通讯上的困难。

采用VPN方案,通过使用一台VPN服务器既能够实现与整个企业网络的连接,又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联,但是并不能对流向敏感网络的数据进行限制。使用VPN服务器,但是企业网络管理人员通过使用VPN服务器,指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外,可以对所有VPN数据进行加密,从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。

安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。

员工可以双倍地提高工作效率,并减少在交通上所花费的时间。

大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。

必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入公司网络。当然,还有一些提供给远程工作人员的实际解决方法:

* 所有远程工作人员必须被批准使用VPN (企业能够自己添加id

* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;

* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;

* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;(在工作机器上安装安全监控软件:可以自己开发,或者找个能够用的替代品

* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;

* 外出工作人员应对敏感文件进行加密;

* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;

* 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。

VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

1.隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2FPPTPL2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTPL2F而形成。

第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTPIPSec等。IPSecIP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。(哪种最安全?我们采用的方法!)

2.加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。

3.密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIPISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。

4.身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

虽然每个中小型企业都是相对集中和固定的,但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通,在这种情况下就用得上VPN。电信企业、IDC目前提供的VPN服务,更多的是面向中小企业,因为可以整合现有资源,包括网络优势、托管和技术力量来为中小企业提供整体的服务。中小型企业如果自己购买VPN设备,则财务成本较高,而且一般中小型企业的IT人员短缺、技能水平不足、资金能力有限,不足以支持VPN,所以,外包VPN是较好的选择。

* 外包VPN比企业自己动手建立VPN要快得多,也更为容易。

* 外包VPN的可扩展性很强,易于企业管理。有统计表明,使用外包VPN方式的企业,可以支持多于2300名用户,而内部VPN平均只能支持大约150名用户。而且,随着用户数目的增长,对用于监控、管理、提供IT资源和人力资源的要求也将呈指数增长。

* 企业VPN必须将安全和性能结合在一起,然而,实际情况中两者不能兼顾。例如,对安全加密级别的配置经常降低VPN的整体性能。而通过提供VPN外包业务的专业ISP的统一管理,可大大提高VPN的性能和安全。ISPVPN专家还可帮助企业进行VPN决策。

* 对服务水平协议(SLA)的改进和服务质量(QoS)保证,为企业外包VPN方式提供了进一步的保证。

企业建立自己的VPN,最大的优势在于高控制性,尤其是基于安全基础之上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全结构,集成和协调现有的内部安全技术。

由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。这就是VPN价格低廉的原因。

越来越多的用户认识到,随着Internet电子商务的蓬勃发展,经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。

 

1.  安全保障:建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。

2.  服务质量保证QoS

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。

3.  可扩充性和灵活性

支持通过IntranetExtranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.  可管理性

VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

VPN(虚拟专用网,Virtual Private Network)最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用VPN,其整个网络的成本可节约21%-45%,至于那些以电话拨号方式连网存取数据的公司,采用VPN则可以节约通讯成本50%-80%

现在在电信部门租用的帧中继(Frame Relay)与ATM等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)来连接需要通讯的单位,所有的权限掌握在别人的手中。如果用户需要一些别的服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了成本,而且帧中继、ATM数据网络也不会像Internet那样,可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上,VPN使用者可以控制自己与其他使用者的联系,同时支持拨号的用户。

虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络,而不是Frame RelayATM等提供虚拟固定线路(PVC)服务的网络。以IP为主要通讯协议的VPN,也可称之为IP-VPN

与使用专线拨打长途或(1-800)电话连接企业的网络接入服务器NAS)不同,虚拟专用网络用户首先拨通本地ISPNAS,然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络。

2001年全球VPN市场将达到120亿美元。关键是VPN的安全性、服务质量(QoS)。