浅谈VPN应用和企业内部网络安全

摘要：随着网络技术的快速发展，各种非法访问、恶意攻击等威胁也在愈演愈烈。VPN技术是网络安全保障的关键技术。主要通过对企业网络建设现状的讨论以及对VPN技术的分析介绍，探析如何应用VPN技术为企业网络信息安全服务。

关键词：网络安全　企业内部　VPN技术　应用

中图分类号：TP393　文献标识码：A　文章编号：1007-3973(2011)008-073－02

当今社会信息高度发达，以网络技术为代表的信息技术已成为了主导生产力发展的重要因素之一。现在越来越多的公司走向集团化、国际化，而计算机网络缺乏足够的安全性，网络传输的信息随时都会受到非法存取、篡改、破坏等安全威胁，企业如何利用网络技术为其自身发展服务，不断完善企业网络系统，确保企业内部网络安全，一直以来就是企业要迫切解决的问题。VPN是利用Internet建立一个临时的、安全的连接，以帮助用户建立经济、有效的连接，它在保证数据安全传输功能方面发挥着重要作用。

1　我国企业网络建设现状

首先，企业网络建设具有普遍性。随着网络技术的普及，企业越来越意识到建立自身独立的网络系统的重要性，能够主动投入人力、物力、财力来研发本企业的网络系统。其次，网络安全意识进一步提高，企业网络应用范围非常广泛。目前我国企业进一步加强对网络安全的防范，企业的观念正在逐步改进，并且在创建独立网络体系的同时又注重对网络功能的再开发，如利用网络系统可进行内部管理、办公自动化处理、连锁经营管理、合作招商、产品等，极大地拓展了企业网络的应用领域。再次，企业网络层级化趋势越来越明显。企业网络的层级化，是指企业网络大都由外部网络和内部网络构成，外部网络是互联网，而内部网络就是企业独立的网络系统。企业既要依托内部网络开展日常工作，又需要连通外部网络共享资源信息，这就需要企业在内部网络与外部网络间建立一条稳定的通道，而VPN技术可很好地满足建立企业网络安全通道的需求。

2　当前影响企业内部网络安全的因素

(1)操作系统的安全问题。目前广泛应用的UNIX、WIN-DOWS和L1NUX等网络操作系统，都存在各种各样的安全问题。许多新型计算机病毒都是利用操作系统的漏洞进行传染。(2)病毒的破坏。计算机病毒严重影响到计算机系统的正常运行，破坏系统软件与文件系统，甚至造成计算机和网络系统的瘫痪，它是影响企业内部网络安全的主要因素。(3)黑客。大多数黑客通过灵活地运用手中掌握的丰富的现成工具，采用端口扫描、口令入侵、JAVA炸弹等方式入侵。此外，还有非正常途径访问以及内部破坏。如企业中，有人为了报复而篡改或销毁人事档案记录；有人越权处理公务，为个人私利而窃取机密数据。(4)设备破坏，主要是指对网络硬件设各的破坏。企业内部网络涉及的设备比较分散，管理起来相当困难，不能上锁的设施都有可能遭人损坏，造成企业内部网络部分或全部瘫痪的严重后果。(5)技术之外的问题。如许多领导以及员工的计算机网络安全意识薄弱，安全知识较为缺乏。企业的规章制度还不够完善，对导和员工上网行为的规范和约束力较弱。加上，大多企业科室办公上网地点的扩大，导致网络监管越来越困难。

3　VPN技术及应用

3.1VPN概念

VPN(虚拟专用网络，Virtual Private Network)是将物理上分布在不同地点的网络，通过公用网联接而成逻辑上的虚拟子网，是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网并不是真的专用网络，但能够实现专用网络的功能，保障信息在因特网上传输的安全性。

3.2VPN的独特优势

(1)降低成本。与其它网络技术不同的是，VPN技术独立于初始协议，可有效地实现对新技术的兼容，有效地减少企业内部网络与外网连接时所需的网络配置设备。而且在虚拟网络的运行过程中，由于其稳定性良好，企业不需要付大量的成本进行维护，这也是VPN网络技术最为重要的一个优势。

(2)可扩充性和灵活性。企业如果想扩大自身的服务范围，就必须使远程办公室的Extranet路由器拥有Internet以及VPN能力，方便增加新的节点，支持多类型的传输媒介，进而大大简化工作流程。

(3)可掌握网络主控权，提升企业网络系统功能。企业利用VPN技术，借助网络服务提供商的设施与服务，创建自己的私有网络，还可以将企业内部的网络设备与外网实现安全互联，有效地掌控企业网络系统的运行状况，且依托企业网络开展各项活动，实现对企业网络功能的进一步扩展的目的。

3.3实现VPN的关键技术

3.3.1安全隧道技术

安全隧道技术，是VPN的一项基本的、较为实用的技术，它主要是通过将待传输的原始信息经过加密、协议封装以及压缩处理之后嵌套在另一种协议的数据包中送入网络，进而确保对公用网络的透明度。通过隧道的建立，可将数据流量强制到特定目的地、在IP网上传输非IP协议数据包、隐藏私有网络的地址、提供数据安全支持以及提供数据包认证与密钥管理。

3.3.2密钥管理技术

密钥管理技术，主要是用来实现在公用数据网上进行安全的传递密钥而保证不会被窃取。现行的密钥管理技术可分为SKIP与ISAKMP／OAKLEY两种类型。

3.3.3访问控制技术

访问控制技术，它是由VPN服务的提供者按照在各种预定义的组中的用户的身份标识以及其成员身份来实现限制访问某些信息项或某些控制的机制，以实现对信息资源的最大权限的保护。

3.3,4身份认证技术

身份认证技术最常用的是使用者名称和密码或卡片式认证等方式。VPN身份认证，包括信息认证和身份认证，即双方共享加、解密码。使用者须提供信息认证或身份认证，才能访问数据包，从而保证了信息的合法性与完整性。

4　VPN建设方案

(1)大型企业自建VPN。由于大型企业用户拥有雄厚的资金投入作保证，可以将VPN设备安装在其总部和分支的机构中，并将各机构低成本、安全地连接在一起，建立自己的VPN，能够很好地实现在安全基础上的控制。一个内部VPN能够使企业对所有的安全认证、网络访问及网络系统情况进行控制，集成和协调现有的内部安全技术。还可以确保企业得到业内最好的技术来满足自身的特殊需要。同时，建立内部VPN能使企业有效地节省VPN的运作费用和用于外包管理设备的额外费用，获取最佳性价比的VPN。尽管VPN外包可简化企业网络部署，但这同样也降低了企业对公司网的控制等级。因为网络越大，企业就越依赖于外包VPN供应商。因此，对大型企业来说，自建VPN是其最佳的选择。(2)中小型企业外包VPN。虽然中小型企业之间都是相对集中和比较固定的，但部门与部门间、企业与其业务相关企业间的信息沟通、联系依然讲究廉价与安全，这时就需要VPN技术。中小企业如果自己购买VPN设备，财务成本就比较高，且一般中小企业的IT人员短缺、水平较低，不足以支持VPN。因此，外包VPN是他们较好的选择。

5　VPN的应用领域

目前，VPN的应用领域主要有以下三种：一是企业内部虚拟网。如今，为了业务的发展需要，越来越多的企业在世界范围内分布自己的网点，以便于企业内部之间的信息传递，这样不仅可节省费用，而且相互之间也具有一定的连接灵活性；二是企业扩展虚拟网。企业与企业之间为各自更好的发展，会扬长避短，他们之间的信息交换也就越来越频繁，企业扩展虚拟网可以为企业之间提供安全的访问服务；三是远程访问虚拟网。远程访问虚拟网为企业内部人员出差在外需进行远程办公提供方便，它通过一个拥有与VPN网络相同策略的共享基础设备，对企业内部网或是外部网进行远程访问。