跨越Internet的中小型企業網絡安全實踐的路徑建設(二)

服務器安裝Windows Server 2003操作系統，充分利用公共網絡Internet的資源，通過VPN技術，實現中小企業遠程數據信息傳輸的安全性、完整性，可用性和保密性。  

　　4.1 IPSec VPN保證數據信息遠程安全傳輸 

　　4.1.1） VPN技術 

　　VPN又稱虛擬專用網，是在公共網絡中建立專用網絡，數據信息通過建立的虛擬加密“安全隧道”在公共網絡上進行傳輸，即充分利用公共網絡如Internet的資源，達到公網“私用”的效果。中小企業只需接入Internet，就可以實現全國各地分支機構，甚至全世界各地的分支機構，都可以隨時隨地的訪問企業網絡，實現遠程數據信息的安全可靠傳輸。而且VPN具有節省成本、配置相對簡單、提供遠程訪問、擴展性較強、便于管理維護、實現全面控制等好處，是企業網絡發展的趨勢。 

　　4.1.2） IPSec協議

　　IPSec是一個開放的應用范圍廣泛的網絡層VPN協議標準，是一套安全系統，包括安全協議選擇、安全算法、確定服務所使用的密鑰等服務，在網絡層為IP協議提供安全的保障，即IPSec可有效保護IP數據報的安全，如數據源驗證、完整性校驗、數據內容加密解密和防重演保護等。保證企業網絡用戶的身份驗證，保證經過網絡傳輸過程中數據信息完整性檢查，加密IP地址及數據信息保證其私有性和安全性。 

　　4.1.3） 基于IPSec的VPN技術 

基于IPSec的VPN技術解決了在Internet復雜的公網上所面臨的開放性及不安全因素的威脅，實現在不信任公共網絡中，通過虛擬“安全隧道”進行數據信息的安全傳輸。IPSec協議應用于OSI參考模型的第三層網絡層，基于TCP/IP的所有應用都要通過IP層，將數據封裝成一個IP數據包后再進行傳輸，所有要實現對上層網絡應用軟件的全透明控制，即同時對上層多種應用提供安全網絡服務，只需要在網絡層上采用VPN技術，基于IPSec的VPN技術提供了5種安全機制，即隧道技術、加密解密技術、密鑰管理技術、身份驗證技術和防重演保護技術，通過基于IPSec的VPN技術，來保證傳輸數據的安全性、可用性、完整性和保密性[1]。 

　　（1）隧道技術，隧道也可稱為通道，是在公用網中建立一條虛擬加密通道，讓數據包或者數據幀通過這條隧道安全傳輸。使用虛擬“安全隧道”傳遞的數據可以是不同協議的數據幀或數據包。“隧道”協議分為二、三層隧道協議，第二層隧道協議先把各種網絡協議封裝到PPP中，再把整個數據幀裝入到隧道協議中。這種雙層封裝方法形成的數據幀依靠第二層協議來傳輸，第二層協議包括PPTP、L2TP等。第三層隧道協議是把各種網絡協議直接裝入到隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層協議有GRE、IPSec等。這里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子協議保護IP數據包和IP數據首部不被第三方侵入，在兩個網絡之間建立一個虛擬“安全隧道” 用于數據信息的安全傳輸。授權用戶，通過IPSec安全策略的配置實現對網絡安全通信的保護意圖，其安全策略包括什么時候什么地方對AH和ESP保護，保護什么樣的通信數據，什么時候什么地方進行密鑰及保護強度的協商。IPSec通過認證和鑰匙交換機制確保中小型網絡與其分支機構網絡或合作伙伴進行既安全又保密的信息傳輸。在計算機上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對公司網絡的安全訪問。 總結大全。

　　（2）加密解密技術，是為了保障虛擬“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取數據信息的能力，同時保證必須使偷聽者不能破解或解密攔截到的的數據信息，但是授權用戶可以通過

                               【第3頁】

解密技術，完整的訪問數據資源。 

　　（3）身份認證技術是通過對企業分支用戶或遠程用戶進行身份進行驗證，提供安全防護措施與訪問控制，包括對VPN“安全隧道”訪問控制的功能，有效的抵抗黑客通過VPN通道攻擊中小型企業網絡的能力。通過VPN服務器對授權用戶的身份及權限的驗證，嚴格控制授權的用戶訪問資源的權限。在每個VPN服務器上為遠端用戶的身份驗證憑據添加用戶信息，包括用戶名及密碼，并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。 

　　（4）密鑰交換技術，為了防止密鑰在Internet復雜的公網上傳輸過程中而不被竊取。提供密鑰中心管理服務器，現行的密鑰管理技術分為SKIP和ISAKMP/OAKLEY兩種。VPN技術能夠生成并更新客戶端和服務器的加密密鑰和密鑰的分發，實現動態密鑰管理。如果采用L2TP/IPSec模式的站點到站點VPN連接，還需要在每個VPN服務器上同時安裝客戶端身份驗證證書和服務器身份驗證證書；如果不安裝證書，則需要配置預共享的IPSec密鑰。 

　　（5）防重演保護。具備防止數據重演的功能，而且保證通道不能被重演。確保每個IP包的合法性和惟一性，保證信息萬一被截取復制后，或者攻擊者截取破譯信息后，再用相同的信息包獲取非法訪問權，確保數據信息不會被重新利用、重新傳回目標網絡， 

　　4.2其他輔助安全措施 

　　對VPN服務器，還可以啟動軟件防火墻功能，如安全訪問策略、日志監控等功能，還可以安裝殺毒軟件，為內網提供安全屏障，再次增加網絡安全可靠性能。軟件防火墻通過設置的包過濾規則，分析IP數據報、TCP報文段、UDP報文段等，決定數據包是被阻止，還是繼續轉發，從網絡層和傳輸層上再次給予安全控制，提供了多層次安全保障體系。還可以增加應用層的過濾規則配置，再次提升VPN服務器安全性。 

　　5 實踐應用分析 

　　通過實踐應用，跨越Internet的中小型企業網絡安全解決方案分別從網絡層、傳輸層和應用層三個層次上給予安全保障，該方案充分利用VPN的“公網專用”的特點，允許中小型企業擁有一個世界范圍的專用網絡，在公用網中開辟虛擬“安全隧道”來保證遠程數據信息傳輸的可靠性和安全性；通過輔助的防火墻功能，進一步增加其安全。該方案使用高性能的PC充當VPN服務器，并配以Windows Server 2003操作系統，無需額外的復雜硬件設備與高昂的系統軟件，成本低、經濟實用、容易實現、維護簡單，是中小型企業網絡擴展不錯的選擇方案。VPN服務器不但具備VPN技術的功能外，還是一個中小企業的防火墻，安全配置、安全策略容易實現，一旦出現較大安全威脅，便于快速隔離網絡。

　　當然此方案也存在一些缺陷，主要是有依賴操作系統的安全性，操作系統本身的漏洞可能會造成安全隱患；VPN服務器是集多種服務于一體，需要較高高性能的計算機；VPN服務器故障會導致網絡連接失效；由軟件實現數據加密與解密、包過濾等，一定程度會占用系統資源，也會使通信效率略有降低；同時重注企業內部員工的安全培訓，有效地抑制社會學的攻擊，對來自企業內部員工的攻擊顯得無能為力。 

       6互聯網的發展

        近年來，中國互聯網絡呈現高速發展的態勢。網民數、Ipv4地址數、中國網站數量等互聯網基礎資源有了極大程度地增長。與此同時，微博、社交網站、團購等新型互聯網應用不斷創新與發展。研究網絡發展態勢，一方面，將定性化與定量化相結合的研究方法應用于互聯網發展態勢研究，加速總體網絡發展研究由定性化向定量化方向的轉變；另一方面，研究結論也可以為我國相關行業提供參考。

【第4頁】

  6.1 對互聯網產業的影響 

　　互聯網產業是以互聯網為依托、以信息技術為主要支撐手段的現代服務業。隨著中國互聯網發展態勢指數的不斷攀升，中國互聯網產業也呈現了不斷攀升的發展趨勢。根據艾瑞咨詢統計的數據顯示，2005年中國網絡經濟市場規模為146億元；2012年，中國網絡經濟市場規模達3850.4億元，同比增長54.1%；從季度來看，2012年第四季度，中國網絡經濟市場規模為1167.6億元，同比增速和環比增速分別為50.5%和13.3%。三網融合、電子商務、微博等受到人們的廣泛關注。可以預見，互聯網產業將在未來的經濟、社會生活等領域發揮出不可估量的作用。 

　　6.2 對大學生生活的影響 

　　隨著中國互聯網絡的飛速發展，互聯網已經幾乎走進了每一個大學生的生活。他們在互聯網上沖浪，獲得大量的信息。大學生作為網民規模的重要組成部分，其上網呈現高速發展態勢。互聯網在促進大學生學習教育上，通過多媒體與網絡輔助等技術，合作學習，以掌握面對信息爆炸時代所必須的知識與技能。同時，網絡的多樣化與動態性也能很好地鍛煉大學生的獨立思考能力與實踐能力。互聯網的發展在提升全民特別是年輕一代的素質都起到了不可磨滅的積極作用。  

　6.3 對社會文化的影響 

　　中國互聯網的飛速發展，從數量上即中國互聯網絡發展態勢指數的快速增長，且其增長速度越來越快，這也帶動了大眾社會生活的較大變化。在信息生活上，體現了全民媒體化的發展態勢：論壇、個人博客、微博、SNS的興起與發展，促進了媒體由傳統媒體向自媒體的轉變，使得信息傳播更加私人化、平民化與自主化。在社區生活中，互聯網發展態勢指數的不斷提高也導致了虛擬世界的出現與發展。網絡不斷發展所帶來的松散性、對話性、廣泛性的特點使得虛擬世界出現了去中心化的發展態勢。主體相對平等、限制相對較少，促進互聯網資源共享與決策公開的發展進程。 

　　7 結束語 

　　跨越Internet的中小型企業網絡安全技術方案比較經濟、實用、安全、配置簡單，為中小企業打造一個世界范圍的網絡提供了較有力的技術支持，使得中小企業網絡也融入到互聯網這個“大家庭”中，不僅提高了中小型企業的工作效率，而且增強了其競爭力，將推動中小型企業電子商務，電子貿易，網絡營銷走向繁榮，加快了中小企業網絡信息化和經濟快速發展的步伐。 

　　8 參考文獻： 

　　[1] 郝春雷， 鄭陽平.中小型企業敏感分支網絡安全解決方案[J].商業時代，2007，（21）：45. 

　　[2] 阿楠. VPN虛擬專用網的安全[J].互聯網天地，2007，（7）：46-47. 

　　[3] 李春泉，周德儉，吳兆華. VPN技術及其在企業網絡安全技術中的應用[J]. 桂林工學院學報，2004，3：365-368. 

[4] 韓儒博，鄔鈞霆，徐孟春.虛擬專用網絡及其隧道實現技術[J]. 微計算機信息，2005，14：1-3. 

　　[5] 劉凱燕，武俊琢. VPN技術及其在現代企業網中的應用[J].電腦與電信，2007，03：63-65. 

　　[6] 曾志峰，楊義先.基于操作系統內核的包過濾防火墻與VPN系統的研究與實現[J].計算機工程與應用，2001，21：40-43.

【第5頁】