办公专网VPN技术实现与安全防护

作者：朱露　孙迦

来源：《数字技术与应用》2013年第07期

        摘要：如今，随着信息化建设发展迅速，网上办公已是很普遍的事情。网上办公快捷，迅速，大大提高了办公效率。随着网络办公的普及化越来越多的数据信息，其中不乏保密数据在局域网上传输。为确保传输数据安全性，建立办公专网是最好的办法。本文就如何使用VPN技术实现办公专网的组网，以及在组建VPN网络时应注意的安全问题和要进行的防范措施进行了研究与探讨。

        关键词：VPN 办公专网 虚拟专用网 隧道 VPN组网 VPN安全 VPN防范

        中图分类号：TP39 文献标识码：A 文章编号：1007-9416（2013）07-0181-02

        随着信息化建设的快速发展，越来越多的数据信息在单位局域网上存取流动，成立各自专用办公网络已经是各单位势在必行的事情，在专网中，网络中所有组成部分由该单位或个人所有，网络中传输的数据信息资源只供本单位专门人员使用，网络管理人员可以完全支配和配置网络中的组件和数据信息。如为专网单独架设线路则需很大经费开支，目前局域网网络构建逐步趋于完善和成熟，如在现有局域网基础上使用VPN技术建立办公专网，其整个专网的成本可节约45%左右，大大降低了构建所需费用，避免了额外的重复与浪费。

        1 VPN概念

        1.1 VPN概念

        VPN的英文全称是Virtual Private Network，中文名称是虚拟专用网。虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个结点之间的连接并没有传统专网所需的端到端的物理链路，而是利用公用网的资源动态组成的。

        1.2 VPN隧道技术

        隧道技术类似于点对点连接技术，它通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输实现跨越公共网络传送私有数据包的目的。经过这样的处理，只有源端和宿端的用户对隧道中的嵌套信息进行解释和处理，而对于其他用户而言只是无意义的信息。被封装的数据包在公共网络上传递时所经过的逻辑路径成为隧道。

        目前较为常用的隧道技术有：

        （1）IP网络上的SNA隧道技术。当系统网络结构的数据流通过单位IP网路传送时，SNA数据帧将被封装在UDP和IP协议包头中。

        （2）IP网络上的Novell NetWare IPX隧道技术。当一个IPX数据包被发送到NetWare服务器或IPX路由器时，服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。另一端的IP-TO-IPX路由器在删除UDP和IP包头后，把数据包转发到IPX目的地。

        隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议传输数据。例如，当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过网络发送，并由网络将数据路由到隧道的服务器端。隧道服务器端收到数据包之后，删除隧道数据传输协议包头，然后将负载数据转发到目标网络。隧道有自愿隧道和强制隧道两种。

        （1）自愿隧道。用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的，客户端计算机必须安装适当的隧道协议。自愿隧道需要有一条IP连接。

        （2）强制隧道。由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时，用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端，成为隧道的一个端点。

        2 VPN组网

        VPN组网模式主要有单臂连接模式，路由连接模式和网桥连接模式三种。

        2.1 单臂连接模式

        “单臂连接”模式是用户已有防火墙等设备时的部署方式。“单臂连接”模式是把安全网关设备当作一台服务器或主机，专门处理VPN报文的加解密。从实现技术上而言，单臂连接结合了串行连接和并行连接两者的优势，实现了部署和性能的最优化。

        2.2 路由连接模式

        “路由模式”是指VPN网关内接口路由不同，网关本身要作为路由器或NAT转换设备，实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。

        2.3 网桥连接模式

        “网桥模式”是指安全网关接入在防火墙（路由器）与内网之间，透明转发除VPN报文之外所有数据的一种连接方式。

        在进行VPN组网时，我们可以依据实际情况将三种模式互相组合，来构建最快捷最便利的虚拟专用网络。

        3 VPN网络安全防护

        3.1 VPN网络安全技术

        目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（Key Management）和使用者与设备身份认证技术（Authentication）。

        （1）加解密技术。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有的技术。VPN采用何种加密技术依赖于VPN服务器的类型，可分为两种情况：1）PPTP服务器采用MPPE加密技术。MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在MS-CHAP、MS-CHAPv2或EAP/TLS身份验证被协商之后，数据才由MPPE进行加密，MPPE需要这些类型的身份验证生成的公用客户和服务器密钥。2）L2TP服务器使用IPSec机制对数据进行加密。IPSec对使用L2TP协议的VPN连接提供计算机级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前，IPSec在计算机及其远程VPN服务器之间进行协商。

        （2）密钥管理技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

        （3）使用者与设备身份认证技术。身份认证技术是最常用的是使用者名称与密码或卡片式认证等方式。常用的VPN进行身份验证的方法有：1）CHAP。CHAP通过使用MD5来协商一种加密身份验证的安全形式，CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法，可以向服务器证明客户机知道密码，但不必实际地将密码发送到网络上。2）MS-CHAP。MS-CHAP是为了对远程Windows工作站进行身份验证，它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。3）MS-CHAP v2。MS-CHAP v2提供了相互的身份验证和更强大的初始数据密钥，而且发送和接收分别使用不用的密钥。如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。4）EAP。EAP的开发是为了适应对使用其它安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，提供比其他身份验证方法更高的安全性。

        3.2 VPN网络防护策略

        （1）增强客户端自身安全性能。客户端自身的安全性成为安全防护的首要因素，特别是移动的客户端。客户端必须安装防病毒软件、最新的补丁或单机版防火墙之后才能够使用VPN接入内网。VPN网络最好安装内网安全防御系统，对客户端进行更深层次安全检查，包括非法外联检查、非法安装软件检查、非法运行程序检查、非法网关检查、连接后自动切断其他网络连接等。建立一套完整的VPN客户端安全检查机制，是VPN网络安全防护的第一道大门。

        （2）加强隧道内攻击防范。在VPN产品的选择上要高度重视设备的安全性能，设备要具备对所有隧道内的访问进行监控功能，一旦发现攻击，可及时处理并阻止其访问，例如端口扫描攻击、PING大包攻击等。要对隧道内的通信进行关键字的过滤，禁止符合特征的攻击包进入内部网络。对HTTP/FTP/SMTP/POP3/TELNET等应用协议进行过滤，并支持对所有七层协议的特征进行过滤。隧道内攻击防范是VPN网络安全的核心所在，是VPN网络安全防护最重要的环节。

        （3）加强使用者与设备身份绑定。加强用户访问VPN网络之前的身份认证也是十分重要的。例如我们可以采取多重认证方法来保护VPN内息资源安全。用户通过口令、证书、USBKey对普通服务器进行访问，如果需要访问重要的安全性要求高的信息资源，系统可要求用户再进行一次认证，这样可以对重要信息资源多一层保护。另外我们还可以对客户端电脑硬件特征进行提取并绑定，使客户端只能通过指定电脑进行VPN登录，其他设备即便拥有口令、证书等，仍然无法登录VPN网络。这不仅进一步确认了登录终端的身份，更提高了安全性。

        VPN网络相对传统的“专用网络”而言不再需要拥有实际的数据线路，是目前解决远程接入和通信安全的最有效手段。安全使用VPN设备，构建虚拟办公专用网，可改善工作环境，提高工作效率，使得工作更加方面与快捷。

        参考文献

        [1]韦文思，徐津主编.《信息安全防御技术与实施》，北京：电子工业出版社，2009.6.

        [2]熊平主编.《信息安全原理及应用》，北京：清华大学出版社，2012.1.

        [3]甘刚，王敏等主编.《网络攻击与防御》，北京：清华大学出版社，2010.8.

        [4]国家反计算机入侵和病毒研究中心 组编.《网络安全攻防实战》，北京：电子工业出版社，2010.5.