中小企业Intranet及VPN技术应用研究.doc

中小企业Intranet及VPN技术的应用研究 概述 VPN技术以其简单管理、费用低廉的优点成为企业构建内部广域网络的首要选择。 随着市场对VPN应用发展的需求，集成VPN的防火墙安全网关体现了灵活、高效、完整的安全解决方案优势。 结合应用先进的基于ASIC的VPN防火墙， 本文介绍典型的企业Intranet网VPN应用方案。 一、VPN的主要技术 虚拟专用网主要采用了两种技术：隧道技术与安全技术。 隧道技术当前主要有三种协议支持：PPTP，L2TP和IPsec。隧道技术主要是完成IP数据包的二次封装，以实现企业私有地址在公网上的传输。为了保证传输的安全，需要一定的安全加密手段， 以保证数据的私密性和完整性。安全技术主要有MPPE、IPsec等加密算法。 在隧道和加密的技术上，IPsec已成为IP安全的一个应用广泛、开放的VPN安全协议，可确保运行在TCP/IP协议上的VPN之间的互操作性。IPsec 定义了一套用于保护私有性和完整性的标准协议， 支持一系列加密算法如DES、3DES。它检查传输的数据包的完整性，以确保数据没有被修改，具有数据源认证功能。 IPsec适应向Ipv6迁移，它提供所有在网络层上的数据保护，进行透明的安全通信。IPsec用密码技术提供以下安全服务：接入控制，无连接完整性，数据源认证，防重放，加密，防传输流分析。IPsec协议可以设置成在两种模式下运行：一种是隧道（tunnel）模式，一种是传输(transport)模式。在隧道模式下，IPsec把IPv4数据包封装在安全的IP帧中。隧道模式是最安全的，但会带来较大的系统开销。传输模式是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。 二、集成VPN的防火墙安全网关 单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，但它没有很强的访问控制功能， 例如状态包过滤、网络内容过滤、防DoS攻击等。在这种独立的防火墙和VPN布署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN是当前安全产品的发展趋势，能提供一个灵活、高效、完整的安全方案。 集成VPN的防火墙安全网关的优点是， 它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，当前VPN技术已经成为安全网关产品的组成部分。 典型产品如美国Fortinet公司的FortiGate， 作为新一代内容级安全网关，以独特的硬件体系设计和贴近未来应用的设计理念， 集成了防火墙、VPN、病毒防御、内容过滤四大安全模块。 其VPN功能支持PPTP，L2TP和IPsec三种VPN协议，提供了方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows98/2000等系统自带的PPTP/L2TP拨号软件， 也可以使用客户端IPsec软件和企业建立VPN的连接。采用动态的密钥，可保证数据的安全。在企业本地网络和远程网络之间， 可以采用IPsec协议来实现VPN的连接和数据的高度安全控制。 三、企业Intranet网络VPN应用 企业Intranet网络建设的VPN连接方案， 利用IPsec安全协议的VPN和加密能力，实现两个或多个企业之间跨越因特网的企业内部网络连接，实现了安全的企业内部的数据通信。 通过防火墙内部策略控制体系， 对VPN的数据可以进行有效的控制和管理，使企业的内部网络通信具有良好的扩展性和管理性。 11911.jpg 图:企业Intranet网VPN解决方案 如上图示，原始的数据经过加密封装在另外一个IP通道内，通道头部地址就是防火墙外部端口的IP地址，以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全，168位的3DES算法更提供了业界最高级别的安全防御体系，使企业的内部数据可以无忧地在公网上传输，以达到企业内部网络安全扩展的目的。 虚拟专用网络(VPN)及多协议标签交换(MPSL)技术 随着应用的不断深入，MPSL VPN技术开始受到国内企业用户、特别是金融用户的重视。例如，银行正在大力开展信贷业务，迫切需要MPSL VPN技术的支持。其实，许多企业都可以利用该技术实现安全的远程通信。目前，实现这一技术的产品已经比较成熟，并形成了完善的解决方案。 三种MPLS VPN技术典型应用方式 　　根据用户使用的情况和应用环境的不同特点，VPN技术大致可分为三种典型的应用方式，即：企业内联网VPN、企业外联网VPN和接入VPN业务。 （1）内部VPN（Intranet VPN） Intranet VPN应用主要是实现