公司财务远程网络系统设计

摘要：VPN（Virtual Private Network，虚拟专用网络）技术将物理上分布在不同地点的网络通过公用骨干网联接成为逻辑上的虚拟专用子网。为了保障信息在公用网络上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施。VPN的出现使企业通过公用网既安全又经济地传输私有的机密信息成为可能。

Abstract: VPN (Virtual Private Network) technically connects physically distributed networks into virtual private sub-networks through public backbone network. In order to guarantee the security of data transportation through public networks, VPN adopts mechanisms such as authentication, access control, confidentiality and data complicity. Because it is much cheaper to transport data through public networks than rented special lines, VPN makes it possible for enterprises to transport private confidential information via public networks in a safe and economy way.

关键词：VPN；财务系统；安全管理

Key words: VPN；financial system；security management

中图分类号：TP393.0文献标识码：A 文章编号：1006-4311（2011）23-0145-04

0引言

随着网络技术的普及，随着企业自身的发展和规模的扩大，越来越多的企业开始在不同的地方设置分支机构，以拓展业务，满足市场的需求。如何对分布在不同地点的分支机构间实现信息的共享和交流，从而实现统一的管理和决策，成为企业面临的一个重要问题。互联网技术的快速发展及其应用领域的不断扩大，使得许多部门越来越多地考虑利用廉价的公用基础通信设施构建自己的专用网络，进行本部门数据的安全传输。虚拟专用网VPN（Virtual Private Network）就是在这种情况下产生的。虚拟专用网的目的是在不安全的公共网络上，利用安全隧道以及数据加密技术，构建逻辑上的专用网络，并保证数据的安全传输。

1虚拟专用网

1.1 VPN原理VPN是通过共享即公共网络在两台机器之间或两个网络之间建立的专用连接。整个VPN通信过程可以简化为：用户机向VPN服务器发出请求；VPN服务器响应请求并向客户机发出身份质询，客户机将加密的用户身份验证响应信息发送到VPN服务器；VPN服务器根据用户数据库检查该响应，如果帐户有效，VPN服务器将检查该用户是否具有远程访问权限；如果该用户具有远程访问的权限，VPN服务器接受此连接；最后VPN服务器将在身份认证过程中产生的客户机和服务器共有密钥将用来对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。

VPN在公共网上采用隧道技术，首先对数据包进行加密以确保安全，然后由VPN封装成IP包的形式，通过隧道在网上传输。

1.2 隧道技术隧道技术（Tunneling）是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送，封装时，一般还要加上特定的隧道控制信息，隧道协议的一般封装形式为（协议b）隧道头（协议a）。因此，隧道是指将一种协议的数据单元封装在另一种协议数据单元中传输。

隧道类似于点到点的连接。这种方式能够使来自许多信息源的网络业务在同一个基础设施中通过不同的隧道进行传输。隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间、任何地点访问企业网络。

1.3 用户认证技术在正式的隧道连接开始之前需要确认用户身份，以便系统进一步实施资源访问控制或用户授权。VPN的身份验证方法：

1.3.1 CHAP：CHAP通过使用MD5（一种工业标准的散列方案）来协商一种加密身份验证的安全形式。CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。

1.3.2 MS-CHAP：同CHAP相似，微软开发MS-CHAP是为了对远程Windows工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。

1.3.3 MS-CHAP v2：MS-CHAP v2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

1.3.4 EAP：EAP的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法（例如CHAP）更高的安全性。

在Windows系统中，对于采用智能卡进行身份验证，将采用EAP验证方法；对于通过密码进行身份验证，将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。

1.4 访问控制技术访问控制是实现既定安全策略的系统安全技术，它通过某种途径显式地管理着对所有资源的访问请求。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。只有经过授权的用户，才允许访问特定的网络资源。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最大限度的保护。因此可以结合目前Internet常用的防火墙技术来实现。

1.5 QoS技术QoS（Quality of Service）技术是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。

通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足企业的要求，这就要加入QoS技术。实现良好QoS网络的目标就是要在有限的网络资源情况下，尽可能地保证与提高网络服务的质量。实行QoS应该在主机网络中，即VNP所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。

1.6 VPN的主要安全协议实现VPN的方法较多，其实现所依赖的安全协议有PPP（Point-to-Point Protocol）协议、PPTP/L2TP（Layer 2 Tunneling protocol）协议、GRE（Generic Routing Encapulation）协议、MPLS（Multi-Protocol Label Switching）协议、IPSec（Internet Protocol Security）协议、SOCKS v5协议等。

2系统设计方案

2.1 财务网络VPN设计随着公司的不断发展，公司对各单位财务报表上报时间和准确性要求越来越高，点多、线长、面广、工期短、流动性强的施工特点，在公司快速发展、工程任务极其繁重的当前，显得更为突出。公司不可能为每个项目部架设专用网络通道，因此，利用社会网络资源是解决问题的唯一渠道。其目的是要达到只要能上互联网、只要有会计人员、只要配备专用电脑，就可以在网上处理财务业务，真正实现网上实时化作业，使公司财务网络化延伸到业务发生地（施工现场）源头，提高工作的实效性。

根据上面的应用需求，为了满足企业网络的连接需求，建立网络构架。公司总部内部网络中集中了企业绝大多数的信息资源，包括邮件服务器、Web服务器、数据库服务器、文件服务器等；子公司和项目部保存分支机构的财务、人事等信息资源，分支机构网络中大部分为专用办公计算机。为了实现总公司和子公司、项目部的资源共享，在公司总部网络、分支机构网络的防火墙之后部署了VPN网关，通过VPN网关，上述各个网络可以实现安全的互联。

VPN用户向安全隧道请求建立安全隧道，安全隧道接受后，在VPN管理中心的控制和管理下在公用互联网络上建立安全隧道，然后进行用户端信息的透明传输。用户认证管理中心和VPN密钥分配中心向VPN用户提供相对独立的用户身份认证与管理及密钥的分配管理，VPN用户又包括安全隧道终端功能、用户认证功能和访问控制功能三个部分，它们共同向用户高层应用提供完整的VPN服务。

安全隧道和VPN管理中心组成了VPN安全传输平面，实现在公用互联网络基础上实现信息的安全传输和系统的管理功能。

公共功能平面是安全传输平面的辅助平面，由用户认证管理中心和VPN密钥分配中心组成。其主要功能是向VPN用户提供相对独立的用户身份认证与管理及密钥的分配管理。

用户认证管理中心与VPN用户直接联系，向安全隧道提供VPN用户的身份认证，必要时也可以同时与安全隧道联系，向VPN用户和安全隧道提供双向的身份认证。

2.2 财务网络防病毒、防攻击系统的设计安全性一直是网络的薄弱环节之一，而用户对网络安全的要求又相当高，因此网络安全管理非常重要。网络中主要有以下几大安全问题：

①网络数据的私有性（保护网络数据不被侵入者非法获取）；

②授权（防止侵入者在网络上发送错误信息）；

③访问控制（控制对网络资源的访问）。

相应的，网络安全管理应包括对授权机制、访问控制、加密和加密关键字的管理，另外还要维护和检查安全日志。包括：

网络管理过程中，存储和传输的管理和控制信息对网络的运行和管理至关重要，一旦泄密、被篡改和伪造，将给网络造成灾难性的破坏。网络管理本身的安全由以下机制来保证：

2.2.1 管理员身份认证，采用基于公开密钥的证书认证机制；为提高系统效率，对于信任域内（如局域网）的用户，可以使用简单口令认证。

2.2.2 管理信息存储和传输的加密与完整性，Web浏览器和网络管理服务器之间采用安全套接字层（SSL）传输协议，对管理信息加密传输并保证其完整性；内部存储的机密信息，如登录口令等，也是经过加密的。

2.2.3 网络管理用户分组管理与访问控制，网络管理系统的用户（即管理员）按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户的操作由访问控制检查，保证用户不能越权使用网络管理系统。

2.2.4 系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复。

网络对象的安全管理有以下功能：

①网络资源的访问控制，通过管理路由器的访问控制链表，完成防火墙的管理功能，即从网络层（1P）和传输层（TCP）控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来的攻击。

②告警事件分析，接收网络对象所发出的告警事件，分析员安全相关的信息（如路由器登录信息、SNMP认证失败信息），实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。

③主机系统的安全漏洞检测，实时的监测主机系统的重要服务（如WWW，DNS等）的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。

为降低财务系统受到侵害的可能性，保障财务数据安全，在公司财务部服务器上安装了网络版杀毒软件，并在财务网络出口处安装了PIX防火墙暨远程登录服务器，防火墙的功能就是根据事先定义好的安全策略判断外部发起的连接请求是否合法。若合法则放行，并负责按照请求的内容将此连接转接到内部网络，否则，就拒敌于国门之外。同时对内部网络中访问外网的连接请求按照事先定义好的策略放行。

防火墙能够有效防止外部的非法用户对内部网络的侵扰，保证内部网络的安全。但外部用户一经被确认为合法用户，则该用户的所有数据流，包括病毒，都会被允许进入内部网络。因此防火墙不是万能的，还必须和其他技术手段（安全网关，入侵检测，网络管理系统，防病毒系统等等）紧密结合，才能最大限度的保证内部网络的安全。

通过光纤将防火墙连接至INTERNET，即可实现INTERNET网到公司财务服务器的单向连接（即外部可通过互联网访问公司财务服务器，公司财务网内电脑不能访问互联网，只允许网络版杀毒软件访问指定站点更新病毒库），又可保障财务数据不受公司办公网故障影响。

同时，为最大限度保障财务系统和数据安全，采取使用专用VPN客户端（财务专用电脑）、不公开公网IP地址、登陆权限设定和登陆口令保密等措施。

加强系统更新和设备的技术管理设计，及时更新杀毒软件病毒库，缩短数据备份周期，并从制度上对系统人员严格要求操作规程。

3配置实验

3.1 系统网络配置配置外网端口

interface ethernet0 auto

配置内网端口

interface ethernet1 auto

interface ethernet2 auto shutdown

外网端口安全级别

nameif ethernet0 outside security0

内网端口安全级别

nameif ethernet1 inside security100

nameif ethernet2 intf2 security4

防火墙命名

hostname InternetPIX

加入域名

domain-name DOMAIN

加入各种协议

建立访问控制列表：

access-list no-nat permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0

access-list no-nat permit ip 10.0.0.0 255.0.0.0 192.168.3.0 255.255.255.0

access-list no-nat permit ip 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.0

access-list no-nat permit ip 10.0.0.0 255.0.0.0 192.168.4.0 255.255.255.0

access-list no-nat permit ip 192.168.55.0 255.255.255.0 192.168.3.0 255.255.255.0

access-list 110 permit ip 192.168.1.0 255.255.255.0 192.168.3.0 255.255.255.0

access-list 110 permit ip 10.0.0.0 255.0.0.0 192.168.3.0 255.255.255.0

access-list 110 permit ip 192.168.55.0 255.255.255.0 192.168.3.0 255.255.255.0

access-list 120 permit ip 192.168.1.0 255.255.255.0 192.168.4.0 255.255.255.0

access-list 120 permit ip 10.0.0.0 255.0.0.0 192.168.4.0 255.255.255.0

配置外网端口IP地址

ip address outside 218.28.37.90 255.255.255.248

外部访问时目的地的IP地址

配置内网端口IP地址

ip address inside 192.168.1.253 255.255.255.0

no ip address intf2

ip audit info action alarm

ip audit attack action alarm

建立内网地址池cisco

ip local pool cisco 192.168.3.2-192.168.3.250

建立内网地址池cisco2

ip local pool cisco2 192.168.4.2-192.168.4.250

建立外网网际地址

global (outside) 1 218.28.37.91

允许访问列表0内网地址访问

nat (inside) 0 access-list no-nat

允许内网地址1访问

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

建立TCP协议通道

conduit permit tcp any any

建立IP协议通道

conduit permit ip any any

建立TCP协议不允许192.168.0.0访问445端口

conduit deny tcp host 192.168.0.0 eq 445 any

建立TCP协议不允许192.168.0.0访问135端口

conduit deny tcp host 192.168.0.0 eq 135 any

建立TCP协议不允许192.168.0.0访问137端口

conduit deny tcp host 192.168.0.0 eq 137 any

建立TCP协议不允许192.168.0.0访问138端口

conduit deny tcp host 192.168.0.0 eq 138 any

配置外部静态路由

route outside 0.0.0.0 0.0.0.0 218.28.37.89 1

route inside 10.0.0.0 255.0.0.0 192.168.1.1 1

配置内部静态路由允许192.168.网段访问192.168.1.1核心交换机

route inside 192.168.0.0 255.255.0.0 192.168.1.1 1

配置内部静态路由允许192.168.网段、10.网段访问192.168.1.1核心交换机，允许192.168.网段、10.网段访问所有外网，如在route outside 0.0.0.0 0.0.0.0 218.28.37.89 1中，0.0.0.0 0.0.0.0加以限制，如218.28.0.0 255.255.0.0，能够限制内部网只能访问外部218.28.网段，此处控制可以实现设计公司财务网内电脑不能访问互联网，只允许网络版杀毒软件访问指定站点更新病毒库的目的。

建立AAA认证证书

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

aaa-server acs protocol radius

aaa-server acs (inside) host 192.168.1.250 hett timeout 10

http server enable

http 192.168.1.252 255.255.255.255 inside

建立简单网络控制协议

snmp-server host inside 192.168.1.250

snmp-server location xxzx

snmp-server contact xxzx

snmp-server community hett

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

sysopt connection permit-pptp

sysopt connection permit-l2tp

crypto ipsec transform-set myset esp-des esp-md5-hmac

crypto dynamic-map dymap 10 set transform-set myset

crypto map mymap 10 ipsec-isakmp dynamic dymap

crypto map mymap client configuration address initiate

crypto map mymap client configuration address respond

crypto map mymap interface outside

isakmp enable outside

isakmp identity address

isakmp client configuration address-pool local cisco outside

isakmp nat-traversal 20

isakmp policy 10 authentication pre-share

isakmp policy 10 encryption des

isakmp policy 10 hash md5

isakmp policy 10 group 2

isakmp policy 10 lifetime 86400

建立vpn cisco 地址池

vpngroup cisco address-pool cisco

vpngroup cisco split-tunnel 110

vpngroup cisco idle-time 1800

vpngroup cisco password ********

建立vpn cisco2 地址池

vpngroup cisco2 address-pool cisco2

vpngroup cisco2 split-tunnel 120

vpngroup cisco2 idle-time 1800

vpngroup cisco2 password ********

允许内部192.168.65网段、192.168.55.2、telnet 192.168.55.77访问防火墙

telnet 192.168.65.0 255.255.255.0 inside

telnet 192.168.55.2 255.255.255.255 inside

telnet 192.168.55.77 255.255.255.255 inside

telnet 192.168.55.77 255.255.255.255 intf2

telnet timeout 5

ssh timeout 5

console timeout 0

建立vpn组封装ppp协议

vpdn group pptp accept dialin pptp

vpdn group pptp ppp authentication pap

vpdn group pptp ppp authentication chap

vpdn group pptp ppp authentication mschap

vpdn group pptp ppp encryption mppe auto

vpdn group pptp client configuration address local cisco

vpdn group pptp client authentication aaa acs

vpdn group pptp pptp echo 60

建立vpn2组封装ppp协议

vpdn group 2 accept dialin pptp

vpdn group 2 ppp authentication pap

vpdn group 2 ppp authentication chap

vpdn group 2 ppp authentication mschap

vpdn group 2 ppp encryption mppe auto

vpdn group 2 client configuration address local cisco2

vpdn group 2 client authentication aaa acs

vpdn group 2 pptp echo 60

vpdn username pptp password pptp123 store-local

vpdn enable outside

terminal width 80

Cryptochecksum:33a210058a380d774a1106948a85b80b

InternetPIX#

InternetPIX#

通过建立内网地址池和VPN地址池，分别建立192.168.3.段地址cisco和192.168.4.段地址cisco2，通过采取使用专用VPN客户端，分配专用内网地址，对应专用密码，使子公司计算机能够使用专用登陆地址和登陆密码，从外网直接连接总公司内网，达到资源共享，数据及时传递。

3.2 系统网络配置测试结果通过以上网络系统的设计设置，能够使公司内部网络访问外部网络，同时限定个别IP地址的访问，达到预想设计中，公司财务网内电脑不能访问互联网，只允许网络版杀毒软件访问指定站点更新病毒库的目的。同时，采取使用专用VPN客户端，使的子公司和项目部能够访问公司内部网络，达到资源共享的目的。

通过实地测试，在项目部登陆互联网，通过专用客户端进入公司财务网络，在地址栏输入公司财务服务器的IP地址，公司财务系统的主页便出现在眼前；输入用户名称和口令，进入操作界面；选中项目所在工程公司的账套，点击制证，写入摘要，选择科目，根据原始凭证输入数据，提交系统。远在总部的财务人员即可看到刚刚完成的会计凭证，其运行速度与在总部办公室没有差别，真正达到了实时反映和远程控制，实现了财务信息与业务信息在时间上同步，在确保财务信息真实性与及时性的基础上，在技术上实现了“过程的控制”功能。

4结论与展望

VPN技术将物理上分布在不同地点的网络通过公用骨干网联接成为逻辑上的虚拟专用子网。为了保障信息在公用网络上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施。由于利用公用网络传输，费用比租用专线要低得多，所以VPN的出现使企业通过公用网既安全又经济地传输私有的机密信息成为可能。

本文从如何实现安全高效的VPN管理系统的角度出发，在对网络安全设备管理、策略管理技术进行了系统、全面的学习和总结的基础上，对VPN管理系统进行了深入细致地研究，设计并实现了一种安全、高效的VPN远程管理系统。为最大限度保障财务系统和数据安全，采用了以下主要技术手段：

①保证财务网络和公司大网之间的隔离；

②不公开防火墙在互联网上的IP地址；

③VPN技术本身所具有的安全策略；

④采取使用专用VPN客户端（财务专用电脑）；

⑤VPN登陆权限设定和登陆口令保密等措施；

⑥财务软件自身的安全认证；

⑦及时更新杀毒软件病毒库，及时打补丁；

⑧缩短数据备份周期，并能够自动备份；

⑨从制度上对系统人员严格要求操作规程。

通过以上的技术手段，连接总公司和子公司、项目部之间的网络，运用VPN网络技术，安全、高效的实现财务数据处理实时化，能够满足及时监控、实时查询和分析的效果。实现总公司和子公司、项目部之间资源的及时共享。

在当今网络需求正以惊人的速度增加的时代，VPN技术代表了网络发展演化的更高形式，它综合了传统数据网络的性能优点，和共享数据网络结构的优点（简单和低成本），必将成为传输完全汇聚业务的主要工具。

参考文献：

[1]徐爱国.网络安全[M].北京:北京邮电大学出版社，2004.

[2]高海英，薛元星，辛阳.VPN技术[M].北京:机械工业出版社，2007.

[3]翟海生.IP VPN隧道协议及其应用[J].通信世界，2001：22-24.

[4]孙为清，赵轶群.VPN隧道技术[J].计算机应用研究，2000：55-57.

[5]张大陆，户现锋.VPN核心技术的研究[J].计算机工程，2000：41-42.

[6]D.Waitzman，C.Partridge，S.E.Deering. Internet Security Protocol，RFC2401，1998.

[7]B.Gleeson，A.Lin，J.Heinnaen. A Framework for IP Based Virtual Private Networks，RFC2764，2000.

[8]Vincent.C.Jones.High Availability Networking with Cisco.1.1.2003.

[9]Lvan Pepelnjak，Jim Guichard Mpls and VPN Architectures.8.1.2002.

[10]王达.虚拟专用网（VPN）精解[M].北京:清华大学出版社，2004.