浅谈VPN在集团企业中的应用.doc

浅谈VPN技术在集团企业中的应用 青岛远洋运输公司 郑燕军 韦建杰 摘要：本文简要介绍了VPN的技术特点和发展趋势，并以青岛远洋公司的VPN网络为例，介绍了linux下VPN服务器的搭建和维护。 关键词：虚拟专用网络 网络安全 1．引言 随着当今社会的不断发展，网络技术可谓无所不在，信息技术的高速发展和信息量的飞 速膨胀，使得诞生于70 年代的Internet 得以快速发展。如今无论是公司还是个人办公，都越来越离不开网络，许多企业和政府机构纷纷将自己的局域网连入Internet，然而，网络也带来了一系列问题：随着企业的不断扩大，分支机构越来越多，合作伙伴越来越多，移动用户也越来越多，企业希望能通过无处不在的因特网来实现方便快捷的访问，既经济又安全的企业间的互联成了一个很重要的问题。为此，各种网络安全技术和产品应运而生，其中虚拟专用网VPN（Virtual Private Network）及其相关技术经过多年的实践、发展和完善，以其方便性、安全性、标准化、成本低等优势脱颖而出，逐步成为实现企业网络跨地域安全互联的主要技术手段，是目前和今后一段时间内企业构建广域网络的发展趋势。 2．VPN的技术特点和应用 2.1 VPN与RAS 由于青远公司航运业务的性质，我们必须经常与外国公司联系，因为时差的原因，很多同事必须在下班后仍留在公司中加班，耽误了很多与家人团聚的时间。当员工出差或休假时也无法处理公司事务，任何事情都只能回到办公室后才能做，如果情况紧急甚至要立刻回到公司，影响了很多原来的安排。而我们青远公司的航运业务特点在于其严格的时效性。任何事情都需要我们快速反应迅速处理，而等我们回到办公室再处理这些事情的时候其后果可能不是少挣不挣，而是亏损。试想一下如果正在北京出差的情况下刚好OA(或内网)中有公文需要批示，相关部门需要批示后才能与客户联系航运方面的业务，这时公司也在等，客户也在等，如果时间拖得过长，很可能就要失掉客户，而这种情况下就算立刻返回公司处理来得及也极大影响了原先的行程。 青远公司是非常注重网络安全的公司，因此服务的易用性与安全性又成了我们首要考虑的因素。 就此情况，青远的企划部门及时发现了问题，并与青岛远洋信息科技有限公司的工程师接触，描述了现状及带来的负面影响，双方经过周全严密的考虑之后初步定下两种方案：RAS与VPN。 RAS-远程访问服务：一种微软公司的工具，用来实现一个远程设备通过拨号线路连接到中央服务器。RAS支持通过拨号链路实现IPX,TCP/IP和NetBEUI连接。RAS能够在Windows for Workgroups内得到，在WindowsNT中提供更强大的版本。在WIN95/98下同样方便地集成为远程网络访问（RNA）或拨号网络（DUN）。 VPN：VPN（Virtual Private Network）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。VPN同样也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Internet或Intranet。 RAS是微软公司推出技术，与windows平台能较好的结合，具体体现在拨入时可以直接登录至windows域，但由于采用的是电话拨号技术致使外地使用者必须负担高额的长途话费，而VPN技术则只需使用普通电脑网络即可，而且传输时的加密也非常优秀。 当移动用户或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候，采用传统的远程访问方式不但通讯费用比较高，而且在与内部专用网络中的计算机进行数据传输时，不能保证通信的安全性。为了避免以上的问题，通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。 2.2 VPN的技术优势 VPN的技术优势非常明显，具体有如下几点： ⑴降低费用：首先远程用户可以通过向当地的ISP申请账户登录到Internet，以Internet作为隧道与企业内部专用网络相连，通信费用大幅度降低；其次企业可以节省购买和维护通讯设备的费用。 ⑵增强的安全性：VPN通过使用点到点协议（PPP）用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议（PAP）、质询握手身份验证协议（CHAP）、Shiva密码身份验证协议（SPAP）、Microsoft质询握手身份验证协议（MS-CHAP）和可选的可扩展身份验证协议（EAP）；并且采用微软点对点加密算法（MPPE）和网际协议安全（IPSec）机制对数据进行加密。以上的身份验证和加密手段由远程VPN服务器强制执行。对于敏感的数据，可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。 ⑶网络协议支持：VPN支持最常用的网络协议，基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。 ⑷容易扩展和伸缩性强：如果用户想扩大VPN 的容量和覆盖范围，只需改变一些配置，或增加几台设备、扩大服务范围；在远程办公室增加VPN 更简单，只需通过作适当的设备配置即可；欲增加单机客户端用户，只需在客户端机器上进行简单配置。用户如果想与合作伙伴联网，如果没有VPN，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了VPN 之后，只需双方配置安全连接信息即可；当不再需要联网时，也很方便拆除连接。 ⑸性价比高：VPN 致力于为网络提供整体的安全性，是性能价格比比较高的安全方式。使用管理方便，VPN 产品可以在网络连接中透明地配置，而不需要修改网络或客户端的配置，非常方便使用。VPN 产品可以实现集中管理，即在一点实现对多点VPN 的配置、监控和维护等。 2.3VPN的身份验证方法 前面已经提到VPN的身份验证采用PPP的身份验证方法，下面介绍一下VPN进行身份验证的几种方法。 ⑴CHAP：CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。 ⑵MS-CHAP：同CHAP相似，微软开发MS-CHAP是为了对远程Windows工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。 ⑶MS-CHAP v2：MS-CHAP v2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。 ⑷EAP：EAP的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如CHAP）更高的安全性。 2.4VPN的加密技术 Internet 网络所采用的是没有安全保障的TCP/IP 协议，其以明文方式传输的信息完全可能被伪造、篡改或偷窥，信息的完整性、机密性和真实性等得不到保证。IPSec 安全协议体系的制定，弥补了现有TCP/IP 协议安全性的不足；而基于IPSec 的网络安全访问技术则有效地保证了IP 网络的安全访问。 VPN采用何种加密技术依赖于VPN服务器的类型，因此可以分为两种情况。 对于PPTP服务器，将采用MPPE加密技术MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在MS-CHAP、MS-CHAP v2或EAP/TLS身份验证被协商之后，数据才由MPPE进行加密，MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。 对于L2TP服务器，将使用IPSec机制对数据进行加密IPSec是基于密码学的保护服务和安全协议的套件。IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前，IPSec在计算机及其远程VPN服务器之间进行协商。IPSec可用的加密包括56位密钥的数据加密标准DES和56位密钥的三倍DES(3DES)。 2.5 VPN在青远公司的应用  RAS相对于VPN的优点是有限的，不足之处也是很明显的，而且使用RAS就必须采用windows平台，基于windows系统本身安全薄弱，使用成本过高等方面的深思熟虑之后企划部门与青岛远洋信息科技有限公司的工程师达成一致共识，使用VPN方案。 介绍一下青远公司的网络配置情况：公司总部有一局域网，大家通过一台专用的LINUX服务器拨ADSL（包月200元的那一种）共享上网，该LINUX服务器也运行WWW、EMAIL、DNS、DHCP等服务，当然也运行IPCHAINS。公司对外网站租用虚拟主机（带域名系统）。 因为VPN属于网络服务那必须选择优秀的网络操作系统，虽然windows系列的系统操作简易、界面友好，但其服务的不稳定性与不断被发现的漏洞与病毒使我们最终放弃了windows而选择了Linux。目前主流的桌面系统仍然是Windows，使用Linux作服务器使得网络格局变为交错式网络，这也是许多专家非常推崇的一种结构。一旦有病毒或其它不利因素在网络上漫延可以有效的制止，不会迅速传播。这也是我们采用linux的原因。然后我们在服务器上安装PoPToP软件，并完成相关配置，主要步骤如下：①编辑文件/etc/syslog.conf，增加一行： daemon.debug /var/log/pptpd.log 重新启动syslogd： ②编辑下列文件，确定包含以下相似内容： /etc/ppp/options debug name servername(LINUX服务器名称) auth require-chap proxyarp /etc/pptpd.conf speed 115200 localip 192.168.0.234-238 remoteip 192.168.1.234-238 /etc/ppp/chap-secrets #帐号 服务器名称 密码 IP susu servername 123 * ③开始启用PoPToP： /usr/sbin/pptpd 至此，linux服务器，已经可以接受VPN拨号接入了，如果有问题，可以查看日志/var/log/pptpd.log。 ④ipchains设置 ipchains -I forward -p tcp -d 192.168.0.10 1723 -j ACCEPT ipchains -A forward -p tcp -s 192.168.0.10 1723 -j ACCEPT ipchains -A forward -p 47 -d 192.168.0.10 -j ACCEPT ipchains -A forward -p 47 -s 192.168.0.10 -j ACCEPT 至此，便初步实现移动VPN的服务，测试与试运行也顺利通过。由青岛远洋信息科技有限公司自主研发的VPN系统正式上线后，也以运行稳定，性能高效的特点受到企划部门与用户的肯定。使用者无论是在青岛还是在外地都可以安全、稳定地拨入位于青远机房的VPN系统，与在办公室中一样毫无差别使用企业内部网的资源，轻松实现异地办公，出差时再也不必扔下自己的工作，紧急的事情也不需要麻烦别人来处理，分散他人的精力。不会再出现出差回来后发现需要处理的文件已经堆到天花板这种情况了，而且VPN只要能够上互联网就可以使用，花费低廉，连接速度快。 3．结论 VPN是一种高速、安全、廉价的远程网络互联方案。随着VPN技术的日益成熟和更大范围地为人们所熟悉和接受，可以预见VPN必将成为未来网络安全的一项重要技术和企业远程网络互联较好的解决方案，必定具有广阔的发展和应用前景。 参考文献 [1]姚越. 虚拟专用网络在企业中的实现.北京市计划劳动管理干部学院学报。2005.13 [2]王小林，程备军。虚拟专用网络（VPN）的应用。安徽工业大学学报。2005.22 [3]杜润珍。VPN在企业网中的应用。陕西通信科技。2005.3