论文部分内容阅读
虚拟专用网(VPN)可以简单地理解为在公众网络上建立的属于自己的私有数据网络。虚拟专用网可以使每个企业临时从公用网中获得一部分资源供自己专用。VPN网络中结点间的连接是通过专用的网络加密和通讯协议在公共网络上临时建立起一条加密通道,为用户提供专用的安全通信网络。由于结点间并没有真正建立端到端的物理链路,所以称为虚拟专用网。VPN系统工作的基本原理是:1.要保护主机的明文信息(即未加密的信息)安全地发送到其所连接的VPN设备上;2.VPN设备根据网络管理员设置的规则,决定是否要对数据进行加密;3.如果要加密,则VPN设备将对整个数据包(包括要传送的数据、发送端和接收端的IP地址)进行加密并附上数字签名,再对其加上新的数据包头,其中包括目的地VPN设备所需要的安全信息和一些初始化参数;4.VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装,而后将该数据包通过隧道(即虚拟通道)在Internet上传输;5.目标VPN设备接收到数据包后,解开数据包的封装,并核对数字签名无误后将其解密,得到明文信息。经过这样处理后,只有发送端和接收端的用户能够解读隧道中传输的信息,而其他用户则无法得知信息的真正含义,从而保证了在公网中传输数据的安全性。
根据竞争情报系统(CIS)用户类型的不同,可以采用不同的方案来建立VPN。CIS的用户可分为四类:一是公司总部用户,他们可直接通过内部网来访问CIS,因此不需要建立VPN;二是分支机构或远程办事处;三是远程或移动办公人员;四是与本企业关系密切的战略合作伙伴、重要客户或供应商等。对于后三类用户可以分别采用Intranet VPN、Remote Access VPN(远程访问VPN)和Extranet VPN方式来访问公司总部的内部网,如下图所示。
1.Remote Access VPN
当远程或移动办公人员要向总部CIS传递最新的商业信息或者要向总部CIS查询信息时,都可以通过拨号方式接入当地的ISP,在此基础上,进行第二次拨号与VPN服务器的连接,建立起VPN隧道,这样就可以远程访问总公司内部CIS。这种VPN方式配置简单,不需要增加新的设备。不过为了增强CIS对黑客攻击的防御能力,对于远程办公人员(或移动用户)还应采取一些特殊的安全措施,如:所有远程工作人员必须被批准后才能使用VPN;所有远程工作人员需要有防火墙,用于防止黑客入侵;所有的远程工作人员应配备入侵检测系统,以记录黑客攻击信息;外出工作人员应对敏感文件进行加密;安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;等等。
2.Intranet VPN
随着企业竞争的全球化,越来越多的企业在全国乃至世界范围内建立了各种分支机构和办事处等。在CIS中,各分支机构的信息要定期汇总到公司总部,以供总部作综合分析研究用,而总部的信息研究成果也要向各分支机构提供,以支持分支机构的经营活动,因此分支机构与总部之间需要建立一条安全的信息通道来传输这些具有决策价值的竞争情报。Intranet VPN为这类信息传输提供了一个安全的网络平台。其实现方案为:各分支机构在本地Intranet的出口处安装一个VPN安全网关(一般将安全网关置于防火墙之后,以抵御黑客攻击),通过此安全网关与企业总部的安全网关协商来建立和维护VPN隧道。具体执行过程是:(1)要使用VPN来传输数据的用户在VPN安全网关处进行身份验证;(2)将要传输的数据送至安全网关;(3)安全網关用IPSec协议来对待传输的数据包进行封装和加密;(4)封装后的数据包通过隧道传输到企业总部的VPN安全网关,然后在此处进行解封装和解密等操作;(5)根据目的地址,在总部Intranet中查询目的主机,然后将还原后的数据包送到该主机中,从而将数据安全地传送到接收端。
3.Extranet VPN
当今社会,企业竞争与合作是并存的。为了增强竞争实力,越来越多的企业通过兼并、收购或建立战略联盟等方式与其他企业建立合作关系,企业之间的信息交换也越来越频繁。组建Extranet VPN既可以向合作伙伴、供应商或客户提供有效的信息服务,又可以保证自身内部网络的安全。Extranet VPN与Intranet VPN具有相似的拓扑结构,只是因为使用者是本企业之外的人员,因此在企业防火墙上应加强基于策略的网络安全措施。
参考文献
1. 孙建河,吉逸,周金星.VPN实现技术的研究.数据通信,2002(2):16
2. 江红,余青松,顾君忠.VPN安全技术的研究与分析.计算机工程,2002(4):130-132
3. 冉春玉,赵双红,陈建军.VPN的实现及其应用.武汉理工大学学报,2002(6):81-82
4. 江海航,谭成翔,孙为清等.基于Internet/Intranet的供应链企业VPN解决方案研究,2002(4):17-20
(作者单位:南京林业大学计算机科学与工程系江苏南京210037)
根据竞争情报系统(CIS)用户类型的不同,可以采用不同的方案来建立VPN。CIS的用户可分为四类:一是公司总部用户,他们可直接通过内部网来访问CIS,因此不需要建立VPN;二是分支机构或远程办事处;三是远程或移动办公人员;四是与本企业关系密切的战略合作伙伴、重要客户或供应商等。对于后三类用户可以分别采用Intranet VPN、Remote Access VPN(远程访问VPN)和Extranet VPN方式来访问公司总部的内部网,如下图所示。
1.Remote Access VPN
当远程或移动办公人员要向总部CIS传递最新的商业信息或者要向总部CIS查询信息时,都可以通过拨号方式接入当地的ISP,在此基础上,进行第二次拨号与VPN服务器的连接,建立起VPN隧道,这样就可以远程访问总公司内部CIS。这种VPN方式配置简单,不需要增加新的设备。不过为了增强CIS对黑客攻击的防御能力,对于远程办公人员(或移动用户)还应采取一些特殊的安全措施,如:所有远程工作人员必须被批准后才能使用VPN;所有远程工作人员需要有防火墙,用于防止黑客入侵;所有的远程工作人员应配备入侵检测系统,以记录黑客攻击信息;外出工作人员应对敏感文件进行加密;安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;等等。
2.Intranet VPN
随着企业竞争的全球化,越来越多的企业在全国乃至世界范围内建立了各种分支机构和办事处等。在CIS中,各分支机构的信息要定期汇总到公司总部,以供总部作综合分析研究用,而总部的信息研究成果也要向各分支机构提供,以支持分支机构的经营活动,因此分支机构与总部之间需要建立一条安全的信息通道来传输这些具有决策价值的竞争情报。Intranet VPN为这类信息传输提供了一个安全的网络平台。其实现方案为:各分支机构在本地Intranet的出口处安装一个VPN安全网关(一般将安全网关置于防火墙之后,以抵御黑客攻击),通过此安全网关与企业总部的安全网关协商来建立和维护VPN隧道。具体执行过程是:(1)要使用VPN来传输数据的用户在VPN安全网关处进行身份验证;(2)将要传输的数据送至安全网关;(3)安全網关用IPSec协议来对待传输的数据包进行封装和加密;(4)封装后的数据包通过隧道传输到企业总部的VPN安全网关,然后在此处进行解封装和解密等操作;(5)根据目的地址,在总部Intranet中查询目的主机,然后将还原后的数据包送到该主机中,从而将数据安全地传送到接收端。
3.Extranet VPN
当今社会,企业竞争与合作是并存的。为了增强竞争实力,越来越多的企业通过兼并、收购或建立战略联盟等方式与其他企业建立合作关系,企业之间的信息交换也越来越频繁。组建Extranet VPN既可以向合作伙伴、供应商或客户提供有效的信息服务,又可以保证自身内部网络的安全。Extranet VPN与Intranet VPN具有相似的拓扑结构,只是因为使用者是本企业之外的人员,因此在企业防火墙上应加强基于策略的网络安全措施。
参考文献
1. 孙建河,吉逸,周金星.VPN实现技术的研究.数据通信,2002(2):16
2. 江红,余青松,顾君忠.VPN安全技术的研究与分析.计算机工程,2002(4):130-132
3. 冉春玉,赵双红,陈建军.VPN的实现及其应用.武汉理工大学学报,2002(6):81-82
4. 江海航,谭成翔,孙为清等.基于Internet/Intranet的供应链企业VPN解决方案研究,2002(4):17-20
(作者单位:南京林业大学计算机科学与工程系江苏南京210037)