摘  要： 以實(shí)際項(xiàng)目應(yīng)用為例,，利用VPN、防火墻,、策略交換機(jī)等幾種典型設(shè)備,，對(duì)解決企業(yè)的遠(yuǎn)程辦公接入問(wèn)題進(jìn)行深入探究。
關(guān)鍵詞： 遠(yuǎn)程接入,；VPN技術(shù),；網(wǎng)絡(luò)安全

　大型企業(yè)通常會(huì)有若干分駐全國(guó)各地的分支機(jī)構(gòu)和為數(shù)不少的出差人員,，為了解決這些員工的遠(yuǎn)程辦公問(wèn)題，使他們能夠及時(shí)了解企業(yè)運(yùn)轉(zhuǎn)情況和參與生產(chǎn),、經(jīng)營(yíng),、管理工作的流程運(yùn)轉(zhuǎn)，遠(yuǎn)程接入成為一個(gè)現(xiàn)實(shí)的需求,。
　VPN技術(shù),、防火墻的安全過(guò)濾技術(shù)、三層交換機(jī)的路由和控制技術(shù)共同實(shí)現(xiàn)了遠(yuǎn)程用戶(hù)對(duì)企業(yè)不同應(yīng)用域的安全訪問(wèn)控制,。通過(guò)VPN接入,，企業(yè)可以保證出差在外的員工訪問(wèn)公司里的信息，此外,，通過(guò)筆記本電腦和一張基于VPN的CDMA1X卡,，員工可以真正實(shí)現(xiàn)隨時(shí)隨地訪問(wèn)企業(yè)局域網(wǎng)的愿望。
1 遠(yuǎn)程訪問(wèn)的主要技術(shù)手段
　某大型供電企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)系統(tǒng)的拓?fù)鋱D如圖1所示,，主要由VPN客戶(hù)端軟件,、VPN客戶(hù)端E-Key,、VPN網(wǎng)關(guān),、密鑰管理中心、防火墻和策略路由交換機(jī)組成,。該系統(tǒng)滿(mǎn)足了企業(yè)員工通過(guò)多種網(wǎng)絡(luò)環(huán)境,，利用互聯(lián)網(wǎng)通道訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源的需求。通過(guò)身份認(rèn)證系統(tǒng)確保了遠(yuǎn)程網(wǎng)絡(luò)用戶(hù)的真實(shí)性,；通過(guò)對(duì)網(wǎng)絡(luò)傳遞數(shù)據(jù)的加密確保了網(wǎng)絡(luò)傳輸數(shù)據(jù)的機(jī)密性,、真實(shí)性和完整性；通過(guò)對(duì)用戶(hù)的分級(jí)管理和訪問(wèn)管理域的劃分設(shè)定了不同類(lèi)別的認(rèn)證用戶(hù)對(duì)OA辦公區(qū)域,、輸變電生產(chǎn)管理區(qū)域,、配網(wǎng)生產(chǎn)管理區(qū)域和市場(chǎng)營(yíng)銷(xiāo)管理區(qū)域等不同應(yīng)用區(qū)域的訪問(wèn)權(quán)限，有效降低了企業(yè)信息資源的潛在風(fēng)險(xiǎn),。

2 企業(yè)選擇IPSec技術(shù)的主要原因
　  企業(yè)選擇IPSec技術(shù)的主要原因有以下幾個(gè)方面：
?。?）經(jīng)濟(jì)。不用承擔(dān)昂貴的固定線路的租費(fèi),。DDN,、幀中繼和SDH的異地收費(fèi)隨著通信距離的增加而遞增，分支越遠(yuǎn),，租費(fèi)越高,，而基于Internet則只承擔(dān)本地的接入費(fèi)用。
?。?）靈活,。連接Internet的方式可以是10 Mb/s,、100 Mb/s端口，也可以是2 Mb/s或更低速的端口,，還可以是便宜的DSL連接,，甚至可以是撥號(hào)連接。
?。?）廣泛,。IPSecVPN的核心設(shè)備擴(kuò)展性好，一個(gè)端口可以同時(shí)連接多個(gè)分支,，包括分支部門(mén)和移動(dòng)辦公的用戶(hù),。
　（4）多業(yè)務(wù),。遠(yuǎn)程的IP話音業(yè)務(wù)和視頻也可傳送到遠(yuǎn)端分支和移動(dòng)用戶(hù),，連同數(shù)據(jù)業(yè)務(wù)一起，為現(xiàn)代化辦公提供便利條件,，節(jié)省大量長(zhǎng)途話費(fèi),。
　（5）安全,。IPSecVPN的顯著特點(diǎn)是其安全性,，這是它保證內(nèi)部數(shù)據(jù)安全的根本。在VPN交換機(jī)上,，通過(guò)支持所有領(lǐng)先的通道協(xié)議,、數(shù)據(jù)加密、過(guò)濾/防火墻以及通過(guò)Radius,、LDAP和SecurID實(shí)現(xiàn)授權(quán)等多種方式保證安全,。同時(shí)，VPN設(shè)備提供內(nèi)置防火墻功能,，可以在VPN通道之外,，從公網(wǎng)到私網(wǎng)接口傳輸流量。
3 系統(tǒng)的實(shí)現(xiàn)
　該大型企業(yè)采用北電的PP8606路由交換機(jī),，以提供不同應(yīng)用安全域的網(wǎng)段劃分和策略控制,。同時(shí)，部署帶VPN功能的NetEye防火墻,，它集VPN網(wǎng)關(guān),、密鑰管理中心和防火墻于一體，提供密鑰的生成,、管理與分發(fā),，完成認(rèn)證區(qū)域的劃分、用戶(hù)的接入和認(rèn)證,、用戶(hù)IP地址的分配與訪問(wèn)控制功能,。
3.1 通信密鑰的生成與管理
　VPN網(wǎng)絡(luò)安全的關(guān)鍵是保證整個(gè)系統(tǒng)的密鑰管理安全,。NetEyeVPN采用基于PKI的密鑰管理框架，實(shí)現(xiàn)安全可靠的密鑰分發(fā)與管理,。
密鑰管理中心設(shè)立在網(wǎng)絡(luò)中心,。登錄密鑰管理中心后，在密鑰加密卡內(nèi)生成RSA公私鑰對(duì),，通過(guò)使用專(zhuān)用的密鑰加密卡作為密鑰傳遞介質(zhì),，并采用密鑰加密密鑰，保證了密鑰頒發(fā)過(guò)程中的安全性,。然后通過(guò)密鑰管理中心添加VPN網(wǎng)關(guān)的IP地址和密鑰交換端口信息,，生成網(wǎng)關(guān)密鑰和全局公鑰文件。全局公鑰文件使用管理中心的私鑰簽名,，可以防止在傳送過(guò)程中被替換或篡改,。
3.2 VPN網(wǎng)關(guān)的密鑰配置及用戶(hù)E-Key的生成

　上載合適的License許可后，就開(kāi)啟了NetEyeVPN防火墻的VPN功能,，形成VPN網(wǎng)關(guān),。對(duì)VPN網(wǎng)關(guān)注入密鑰管理中心生成的網(wǎng)關(guān)密鑰對(duì)和全局公鑰文件后，就可以在VPN網(wǎng)關(guān)上建立用戶(hù)認(rèn)證域,。創(chuàng)建時(shí)可以選擇本地認(rèn)證或Radius認(rèn)證,，在認(rèn)證域中創(chuàng)建用戶(hù)，添加用戶(hù)名和用戶(hù)密碼信息,，生成用戶(hù)E-Key,。用戶(hù)E-Key主要保存用戶(hù)認(rèn)證證書(shū)文件和用戶(hù)名信息,，以增強(qiáng)用戶(hù)認(rèn)證的安全性,。
3.3 用戶(hù)的登錄認(rèn)證與數(shù)據(jù)傳輸安全性的保證
　當(dāng)VPN用戶(hù)通過(guò)VPN客戶(hù)端軟件和VPN客戶(hù)端E-Key對(duì)VPN網(wǎng)關(guān)發(fā)送連接請(qǐng)求時(shí)，VPN網(wǎng)關(guān)對(duì)VPN用戶(hù)進(jìn)行鑒別與認(rèn)證,。其中,，會(huì)話密鑰按照IKE協(xié)議自動(dòng)協(xié)商生成，并用協(xié)商好的密鑰對(duì)數(shù)據(jù)進(jìn)行加密,。用戶(hù)認(rèn)證成功后,，通過(guò)創(chuàng)建SA以及SA的組合（AH、ESP,、IPIP）建立遠(yuǎn)程用戶(hù)的訪問(wèn)隧道,。NetEyeVPN遵循IPSec（IPSecurity）安全協(xié)議，采用隧道方式為用戶(hù)數(shù)據(jù)提供加密,、完整性驗(yàn)證,，并通過(guò)集成的認(rèn)證服務(wù)為信息傳輸提供安全保護(hù)。
3.4 應(yīng)用區(qū)域的劃分
　在VPN網(wǎng)關(guān)的認(rèn)證域中創(chuàng)建用戶(hù)時(shí),，針對(duì)不同性質(zhì)的用戶(hù)創(chuàng)建了多個(gè)角色名稱(chēng),，分別對(duì)應(yīng)于OA,、生產(chǎn)、配網(wǎng)和營(yíng)銷(xiāo)等應(yīng)用區(qū)域,。設(shè)定VPN網(wǎng)關(guān)隧道虛擬設(shè)備IP地址池,，將池中的IP地址分別分配到角色中，對(duì)應(yīng)各應(yīng)用域,。在用戶(hù)登錄并經(jīng)過(guò)認(rèn)證后,，用戶(hù)將根據(jù)自己所屬的角色分配IP地址，并自動(dòng)加入到自己的應(yīng)用域中,。
4 系統(tǒng)的安全訪問(wèn)控制
　VPN用戶(hù)和VPN網(wǎng)關(guān)之間在公網(wǎng)上建立VPN網(wǎng)絡(luò)通道之后,，還需要通過(guò)安全策略和安全規(guī)則的制定，進(jìn)一步把網(wǎng)絡(luò)分成不同的安全訪問(wèn)區(qū)域,，控制用戶(hù)對(duì)不同安全區(qū)域的訪問(wèn),，使網(wǎng)絡(luò)的安全性得到進(jìn)一步提升。
防火墻一般位于企業(yè)網(wǎng)絡(luò)的邊緣控制點(diǎn),，如與Internet的連接處,，還可以部署在企業(yè)網(wǎng)絡(luò)內(nèi)部的安全區(qū)域控制點(diǎn)上。安全區(qū)域防御的弱點(diǎn)是不能抵御來(lái)自區(qū)域內(nèi)部的“合法”用戶(hù)的攻擊,，如惡意或無(wú)意的內(nèi)部用戶(hù),，沒(méi)有防火墻和安全保護(hù)較弱的遠(yuǎn)程移動(dòng)工作者或SOHO被身份竊取者，以及安全區(qū)域存在的后門(mén)漏洞（無(wú)線網(wǎng)絡(luò),、遠(yuǎn)程訪問(wèn)）等,。
　采用防火墻技術(shù)，通過(guò)制定安全策略可以實(shí)現(xiàn)對(duì)用戶(hù)的訪問(wèn)進(jìn)行控制和過(guò)濾,。主要過(guò)濾內(nèi)容為用戶(hù)訪問(wèn)信息的源目的IP地址,、目的端口號(hào)和連接協(xié)議等。經(jīng)過(guò)防火墻安全控制策略過(guò)濾后的VPN用戶(hù)將根據(jù)其所屬角色及分配的IP地址范圍訪問(wèn)經(jīng)過(guò)授權(quán)的應(yīng)用域,，比如只能訪問(wèn)OA,、生產(chǎn)管理、配網(wǎng)管理和營(yíng)銷(xiāo)應(yīng)用域的其中之一或者幾個(gè)域的組合,。
　本文采用北電的PP8606路由交換機(jī),，對(duì)不同的被訪問(wèn)應(yīng)用安全域進(jìn)行網(wǎng)段劃分，建立網(wǎng)段連接路由信息和VPN客戶(hù)IP返回路由,。在路由交換機(jī)與VPN網(wǎng)關(guān)的互連端口上進(jìn)行訪問(wèn)過(guò)濾控制策略,，制定只允許合法的源IP地址、協(xié)議訪問(wèn)對(duì)應(yīng)的應(yīng)用域,。本方法進(jìn)一步加強(qiáng)了VPN用戶(hù)對(duì)應(yīng)用安全域的訪問(wèn)控制,，從而在最大程度上減少了安全風(fēng)險(xiǎn)和不安全因素。
參考文獻(xiàn)
[1] 李建福，唐建偉.遠(yuǎn)程接入VPN用戶(hù)解決方案[J].通信世界,，2006,，（21B）：16-17.
[2] 翁玉良，王炳志.基于互聯(lián)網(wǎng)技術(shù)的ERP遠(yuǎn)程接入問(wèn)題研究[N].中國(guó)建材報(bào),，2008-02-18.
[3] JOHNSON J T.更好地連接遠(yuǎn)程工作人員[N].網(wǎng)絡(luò)世界,，2003-05-26.
[4] 李然.VPN帶來(lái)改變[N].中國(guó)經(jīng)營(yíng)報(bào)，2003-02-10.
[5] 邊歆.遠(yuǎn)程接入機(jī)會(huì)多多[N].網(wǎng)絡(luò)世界,，2007-07-16.
[6] 葉盛,，高海鋒，張根度.VPN的實(shí)現(xiàn)機(jī)制和系統(tǒng)評(píng)價(jià)[J]. 小型微型計(jì)算機(jī)系統(tǒng),，2002,，23（9）：1053-1058.
[7] 劉麗，郭建.IPSec VPN遠(yuǎn)程接入MPLS VPN的幾種方式[J].現(xiàn)代電信科技,，2005,，（9）：61-62.