《虚拟专用网络技术在远程办公中的应用》由会员分享,可在线阅读,更多相关《虚拟专用网络技术在远程办公中的应用(10页珍藏版)》请在金锄头文库上搜索。
1、虚拟专用网络技术在远程办公中的应用VPN 是一种快速建立广域联接的互联和访问工具,也是一种强化网络安全和管理的工具。VPN 建立在用户的物理网络之上、融入在用户的网络应用系统之中。VPN 技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。VPN 网络技术为远程异地办公提供了良好的网络环境。VPN 是 VirtualPrivateNetwork 的缩写,中文译为虚拟专用网。VirtualNetwork 的含义有 2 个:水利系统汛期远程异地办公,所传输的信息非常重要,有的甚至是国家机密,对数据的安全性要求非常高,因此,VPN 网络技术在汛期远程异地办公中的应用就更显重要和迫切。一
2、、VPN 网络技术特点1、安全保障虽然实现 VPN 的技术和方式很多,但所有的 VPN 均应保证通过公用网络平台传输数据的专用性和安全性。利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者解密,从而保证数据的私有性和安全性。在安全性方面,由于 VPN 直接构建在公用网上,使用简单、方便、灵活,但同时其安全问题也更为突出。用户必须确保 VPN 上传送的数据不被攻击者窥视、篡改和截获,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN 将用户内网扩展到每个单用户,对安全性提出了更高的要求。2、服务质量保证则对网络提出了更明确的要求,如网络时延及误码率等。
3、网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建 VPN 的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽和利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS 通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。3、可扩充性和灵活性VPN 能够支持通过 Intranet 和 Extranet 的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传
4、输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。4、可管理性作为用户和运营商可方便地进行管理、维护。在 VPN管理方面,VPN 要求用户将其网络管理功能从局域网无缝地延伸到公用网,甚至是每个人。虽然可以将一些次要的网络管理任务交给运营商,用户自己仍需要完成许多网络管理任务。所以,一个完善的 VPN 管理系统是必不可少的。VPN 管理的目标为:减少网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN 管理主要包括安全管理、设备管理、配置管理、访问控制表管理、QoS 管理等内容。二、VPN 安全技术策略目前 VPN 主要采用 4 项技术来保证其安全:隧道技术(Tunneling
5、)、加解密技术(EncryptionDecryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。1、隧道技术隧道技术是类似于点对点连接技术,是在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到 PPP 中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有 L2F、PPTP、L2TP 等。L2TP 协议是目前 IETF 的标准,由 IETF 融合 PPTP 与 L2F 而形成。第三层隧道协议是把各
6、种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有 VTP、IPSec 等。IPSec(IPSecurity)是由一组 RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在 IP 层提供安全保障。2、加解密技术加解密技术是数据通信中一项较成熟的技术,VPN 可直接利用现有技术。3、密钥管理技术密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为 SKIP 与ISAKMP/OAKLEY2 种。SKIP 主要是利用 Diffie-Hellman 的演自法则,在网络上传输密钥;在 ISAKM
7、P 中,双方都有两把密钥,分别用于公用、私用。4、使用者与设备身份认证技术使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。三、VPN 技术在远程办公中的应用1、防堵安全漏洞如果一个用户的 VPN 需要扩展到远程访问时,网络系统直接或始终在线的连接将成为黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到单位的核心内容,这就构成了安全防御系统中的弱点。虽然,员工可以成倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、以及间谍提供了无数进入系统网络核心的机会。远程异地办公从安全角度看,存在极大的威胁,因为大多数安全软件并没有为家用计算机提供保
8、护。一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的链接进入单位网络系统。虽然防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间 VPN 的信息安全。但侵入者可以通过一个被信任的用户进入网络。由此可见加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。黑客为了侵入员工的家用计算机,需要探测 IP 地址。有统计表明,使用拨号连接的 IP 地址几乎每天都受到黑客的扫描。因此,如果远程办公人员具有一条诸如 DSL 的不间断连接链路,会使黑客的入侵更为容易。因为,拨号接在每次接入时都被分配不同的 IP 地址) ,会使黑客的入侵更为容易。因为,拨号接在每次接入时都
9、被分配不同的 IP地址,虽然它也能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的 VPN 客户端软件。因此,必须有相应的解决方案堵住远程访问 VPN 的安全漏洞,使员工与网络的连接既能充分体现 VPN 的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入系统我内网。还有一些提供给远程工作人员的实际解决方法:所有远程工作人员必须被批准使用 VPN;所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;监控安装在远端系统中
10、的软件,并将其限制只能在工作中使用;IT 人员需要对这些系统进行与办公系统同样的定期性预定检查;外出工作人员应对敏感文件进行加密;安装要求输入密码的访问控制程序,如果输入密码错误,则通过 Modem 向系统管理员发出警报;当选择 DSL 供应商时,应选择能够提供安全防护功能的供应商。2、VPN 应用方式VPN 有 3 种应用方式解决方案,用户可以根据自己的情况进行选择:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN)。这 3种类型的 VPN 分别与传统的远程访问网络、企业内部的Intranet 以及企业网和相关合作伙伴的企
11、业网所构成的Extranet 相对应。(1)AccessVPN如果企业的内部人员移动或有远程办公需要,或者需要提供 B2C 的安全访问服务,就可以考虑使用 AccessVPN。AccessVPN 通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部或外部网的远程访问。AccessVPN能使用户随时、随地以其所需的方式访问内网资源。AccessVPN 包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动 IP 和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。AccessVPN 最适用于用户内部经常有流动人员远程办公的情况。出差员工利用当地 ISP 提供的 VPN 服务,就可
12、以和单位的 VPN 网关建立私有的隧道连接。RADIUS 服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。(2)IntranetVPN如果要进行系统内部各分支机构的互联,使用IntranetVPN 方式。越来越多的单位需要在全国乃至世界范围内建立各种办事机构,分支机构等,各个分支机构之间传统的网络连接方式一般是租用专线。显然,在分支机构增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用 VPN特性可以在 Internet 上组建世界范围内的 IntranetVPN。利用 Internet 的线路保证网络的互联性,而利用隧道、加密等 VPN 特性可以保证信息在
13、整个 IntranetVPN 上安全传输。IntranetVPN 通过一个使用专用连接的共享基础设施,连接总部、远程办事处和分支机构。拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。(3)ExtranetVPN如果是提供 B2B 之间的安全访问服务,则可以考虑ExtranetVPN。随着信息时代的到来,越来越重视各种信息的处理,希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户需要,同时各个用户之间的合作关系也越来越多,信息交换日益频繁。Internet 为这样的一种发展趋势提供了良好的基础,而如何利用 Internet 进行有效的信息管理,是发展中不可避免
14、的一个关键问题。利用 VPN 技术可以组建安全的 Extranet,既可以向客户、合作单位提供有效的信息服务,又可以保证自身的内部网络的安全。ExtranetVPN 通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。四、VPN 未来发展趋势及在水利系统应用展望在国外,Internet 已成为全社会的信息基础设施,用户端应用也大都基于 IP,在 Internet 上构筑应用系统已成为必然趋势,因此基于 IP 的 VPN 的业务获得了极大的增长空间,在 2001 年,全球 VPN 市
15、场达到 120 亿美元。到 XX年,北美的 VPN 业务收入增到 88 亿美元。VPN 在全球发展得异常迅猛,在北美和欧洲,VPN 已经是一项相当普遍的业务;在亚太地区,该项服务也迅速开展起来。在中国,VPN 的发展、普及较慢,主要是在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,服务质量(QoS)更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花巨额的长途话费来提供远程接入。现在随着 ASDL、DWDM、MPLS 等新技术的大规模应用和推广,上述问题将得到根本改善和解决。譬如,过去专线接入速率最高才 2Mbps,而现在,中国的用户可以享受到 10Mb
16、ps,乃至 100Mbps 的 Internet 专线接入,而骨干网现在最高已达到 40Gbps,并且今后几年内将发展到上百乃至上千个 Gbps。开设 VPN 服务所需的设备很少,只需在资源共享处放置一台 VPN 服务器就可以。VPN 技术已经能够提供足够安全的保障,可以使用户数据不被查看、修改。只有用户将自己的业务完全和网络联系上,VPN 才会有了真正的用武之地。随着互联网技术发展,VPN 在未来几年内将会得到迅猛发展。VPN 将会成为网络应用的主要组成部分。在不远的将来,VPN 技术将成为广域网建设的最佳解决方案,它不仅会大大节省广域网的建设和运行维护费用,而且增强了网络的可靠性和安全性。同时,VPN 会加快用户网的建设步伐,使得用户不仅仅只是建设内部局域网,而且能够很快地把全国各地分支机构的局域网连起来,从而真正发挥整个网络的作用。VPN 可以将各流域机构及相关水利部门的内网连成一个整体网络,用以传输各类数据、开电视会议等,而不需租用专线,使网络运行成本大幅度降低。在家或外地
