【文章內(nèi)容簡介】 ，在總部和下屬辦事處之間就可以建立一個“開放管道”的 VPN。這類似于 LAN 到 LAN 的連接。即不需要基于 VPN 的用戶認(rèn)證，因為我們認(rèn)為這樣的連接是安全的。但是，如果這些地方有問題，網(wǎng)絡(luò)設(shè)計人員就要考慮采用更嚴(yán)格的安全措施。例如， VPN 需要嚴(yán)格認(rèn)證，或者將對總部網(wǎng)絡(luò)的訪問限制在某個孤立的子網(wǎng)中。 VPN 對外聯(lián)網(wǎng)的安全要求通常十分嚴(yán)格，對保密信息的訪問只有在需要時才能獲準(zhǔn)，而敏感的網(wǎng)絡(luò)資源則禁止訪問。由于外 聯(lián)網(wǎng)連接可能會涉及機(jī)構(gòu)外人員，解決用戶的變化問題則很有挑戰(zhàn)性。從根本上說，這是嚴(yán)格政治問題。但在機(jī)構(gòu)確定用戶時，這是嚴(yán)格急需解 第 7 頁 共 18 頁 7 決的技術(shù)問題。 2) 注重管理 企業(yè)網(wǎng)絡(luò)是攻擊者垂涎的目標(biāo) ,因此 ,管理層必須保護(hù)公司網(wǎng)絡(luò)免遭遠(yuǎn)程入侵。一個機(jī)構(gòu)的安全決策應(yīng)界定何種形式的遠(yuǎn)程訪問是允許的或不允許的，決策中還要確定相應(yīng)的 VPN設(shè)備和實(shí)施選擇方法。 一般來說，決策者應(yīng)解決 VPN 特有的幾個問題：遠(yuǎn)程訪問的資格，可執(zhí)行的計算能力，外聯(lián)網(wǎng)連接的責(zé)任，以及 VPN 資源的監(jiān)管。另外，還應(yīng)包括為出差旅行的員工及遠(yuǎn)程工作站的員工提供 的訪問步驟。當(dāng)然，決策中應(yīng)包括一些技術(shù)細(xì)節(jié)，例如加密密鑰長度，如果 VPN的加密算法要求公開認(rèn)證，則還需要法律的支持保護(hù)。 對外另外而言，決策中應(yīng)具體說明及時通報遠(yuǎn)程用戶人員變更的步驟，被解雇的人員必須盡快從數(shù)據(jù)庫中清除。這需要外聯(lián)網(wǎng)用戶機(jī)構(gòu)同 VPN 管理人員之間進(jìn)行良好的協(xié)作。通常，企業(yè)的人事部門已制定有人事管理規(guī)定，這些規(guī)定可能也適用于 VPN 用戶。 3） 確定最佳的產(chǎn)品組合 可選擇的 VPN 產(chǎn)品很多，但產(chǎn)品基本上可分成三大類：基于系統(tǒng)的硬件、獨(dú)立的軟件包和基于系統(tǒng)的防火墻。大部分產(chǎn)品對 LAN 到 LAN 及遠(yuǎn)程 撥號連接都支持。 硬件 VPN 產(chǎn)品是典型的加密路由器 ,由于它們在設(shè)備的硅片中存儲了加密密鑰 ,因此 ,較之基于軟件的同類產(chǎn)品更不易被破壞 .另外 ,加密路由器的速度快 ,事實(shí)上 ,如果鏈路的傳輸速度超過 T1(),這樣的 VPN 是名列前茅的。 基于防火墻的 VPN 則利用了防火墻安全機(jī)制的優(yōu)勢，可以對內(nèi)部網(wǎng)絡(luò)訪問進(jìn)行限制。此外，它們還執(zhí)行地址的翻譯，滿足嚴(yán)格的認(rèn)證功能要求，提供實(shí)時報警，具備廣泛的登錄能力。大多數(shù)商業(yè)防火墻還能通過剔除危險或不必要的服務(wù)加固主機(jī)操作系統(tǒng)內(nèi)核。由于很少有 VPN 廠商提供操作系統(tǒng)級的安 全指導(dǎo)，因此，提供操作系統(tǒng)保護(hù)是這種 VPN 的一大優(yōu)勢。 什么時候企業(yè)選擇基于防火墻的 VPN 呢？一般是在遠(yuǎn)程用戶或網(wǎng)絡(luò)充滿潛在敵意的時候。這時，網(wǎng)管員可建立起所謂的非軍事區(qū)（ DMZ），部分，系統(tǒng)一般使用在防火墻上的一個第三方界面，并有自己的訪問控制規(guī)則。攻擊者也許能到達(dá) DMZ，但不能破壞內(nèi)部部分?；诜阑饓Φ?VPN 對于僅僅實(shí)施內(nèi)聯(lián)網(wǎng)應(yīng)用的企業(yè)還是蠻好的，它是軟件產(chǎn)品中最容易保證安全和管理的產(chǎn)品。 第 8 頁 共 18 頁 8 Ipsec 是 IETF(Inter Engineering Task Force)組織為 TCP/IP 協(xié)議集增加 的標(biāo)準(zhǔn)認(rèn)證與加密功能。隨著 Ipsec 越來越穩(wěn)定和實(shí)施越來越廣泛， VPN 的終端用戶可以不必使用同一廠商的產(chǎn)品以保證可靠工作，但是到目前為止，實(shí)施成功的 VPN 通常意味著要從同一家廠商購買所有的設(shè)備。 盡管大部分 VPN 可保留自己的認(rèn)證數(shù)據(jù)庫，但網(wǎng)管員也希望借助于現(xiàn)有的認(rèn)證服務(wù)器。比如，許多遠(yuǎn)程訪問服務(wù)器使用下述兩種協(xié)議之一的外部系統(tǒng)來認(rèn)證用戶：遠(yuǎn)程認(rèn)證撥入用戶服務(wù)器（ Radius）或終端訪問控制器訪問系統(tǒng) (Tacscs)。獨(dú)立認(rèn)證服務(wù)器的優(yōu)勢在于可收縮性，即無論增加多少臺訪問設(shè)備，一臺認(rèn)證服務(wù)器就足矣。 如果一個 企業(yè)的 VPN 延伸到海外，網(wǎng)管員還必須解決出口問題。目前美國法律禁止 128位加密算法出口，盡管未來立法可能會或多或少地放寬限制，但一般跨國經(jīng)營的美國公民可能需要部署兩個 VPN 系統(tǒng)：一個加密功能較弱，用于國際用戶的，一個加密功能較強(qiáng)，用于國內(nèi)用戶。 4）為 VPN 服務(wù)器選擇位置 遠(yuǎn)程用戶的從屬關(guān)系有助于確定 VPN 設(shè)備放置的位置。對于期望通過遠(yuǎn)程訪問復(fù)制辦事處工作環(huán)境的員工來說， VPN 服務(wù)器最好直接放在專用網(wǎng)絡(luò)中，但這一方法也最易成為攻擊者的攻擊目標(biāo)。 對于員 工企業(yè)，如果絕大多數(shù)遠(yuǎn)程用戶屬于外部機(jī)構(gòu)，將 VPN 設(shè)備放在 DMZ 網(wǎng)絡(luò)上意義更大，因為它要比內(nèi)部網(wǎng)絡(luò)更為安全，屏蔽 DMZ 的防火墻有助于保護(hù)其間的設(shè)備。這種方法也比將 VPN 設(shè)備完全放在安全設(shè)施周邊之外更安全。如果一臺認(rèn)證服務(wù)器屬于 DMZ 子網(wǎng)，它會得到細(xì)心的管理和保護(hù)，免于內(nèi)部和外部的威脅。 企業(yè)在設(shè)計安全內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)時，安置 VPN 和認(rèn)證服務(wù)器是關(guān)鍵的一步。其中，建立與下屬辦事處的鏈路最簡單：一對 VPN 服務(wù)器只需在兩個站點(diǎn)間建立加密通道。因為出差旅行的員工或遠(yuǎn)程工作站需要進(jìn)行認(rèn)證，因此，它們建立與 VPN 服務(wù)器的 鏈路，將認(rèn)證請求傳送到 DMZ 上的認(rèn)證服務(wù)器。外界顧問不需要認(rèn)證，他們只需同另一臺 VPN 服務(wù)器連接起來，這一臺服務(wù)器應(yīng)位于第二個 DMZ 上，以保護(hù)公司的認(rèn)證服務(wù)器。另外值得注意的是，企業(yè)為業(yè)務(wù)伙伴進(jìn)行的連接配置最需要技巧，連接請求首先到達(dá)第二個 DMZ 上的VPN 服務(wù)器，之后請求被傳送到第一個 DMZ 上的認(rèn)證服務(wù)器，最后，批準(zhǔn)的請求被傳送到請求訪問的資源中。 第 9 頁 共 18 頁 9 安裝和配置 VPN 我們構(gòu)建 VPN 的方法是使用 Hillstone 防火墻自帶的 VPN 功能， Hillstone 防火墻在VPN 方面也是采用專有的硬件結(jié)構(gòu)來 實(shí)現(xiàn)的，我們購買了防火墻后，就作為防火墻的一個功能提供給客戶。 對 VPN 進(jìn)行配置時，網(wǎng)管員要為一系列因素設(shè)定參數(shù)，包括密鑰長度、主要與次要認(rèn)證服務(wù)器及相關(guān)的共享秘密資源、連接和超時設(shè)置、證書核查 VPN 終點(diǎn)設(shè)備（而不是用戶）的身份，大部分 VPN 產(chǎn)品都提供此功能。對此，一些廠商的實(shí)現(xiàn)的方式是，讓所有信息進(jìn)入總部設(shè)備下載相關(guān)信息。而對于遠(yuǎn)程用戶，則需要建立口令，準(zhǔn)備連接腳本，確立認(rèn)證步驟。 網(wǎng)管員還要讓認(rèn)證和授權(quán)程序協(xié)調(diào)起來。兩者聽起來差不多，但有些微妙且重要的差別。認(rèn)證是要證明遠(yuǎn)程用戶是她或他聲稱的身份（在外聯(lián) 網(wǎng)設(shè)置中，要證明的則相反，即服務(wù)器可信）。授權(quán)是要確定遠(yuǎn)程用戶有權(quán)訪問何種網(wǎng)絡(luò)資源。如果認(rèn)證服務(wù)器還控制授權(quán)分組，例如營銷或策劃小組的授權(quán)，則系統(tǒng)還要注意核查它是否能正確地同 VPN 設(shè)備聯(lián)絡(luò)組信息。而使用 Hillstone 防火墻的 VPN 功能我們可以方便對防火墻進(jìn)行設(shè)置，就可以自如的建立各種 VPN 策略和通道。 第二章 用戶總體需求分析 對企業(yè)內(nèi)部網(wǎng)絡(luò)安全的設(shè)計，首要考慮到企業(yè)的內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。由于當(dāng)初在設(shè)計企業(yè)網(wǎng)絡(luò)時受到資金和技術(shù)的局限性，所以很容易會在企業(yè)的內(nèi)部網(wǎng)絡(luò)中留下了安全隱患，從而導(dǎo)致了網(wǎng)絡(luò)內(nèi)部安全 問題的產(chǎn)生。 目前 XX 的局域網(wǎng)的內(nèi)部網(wǎng)絡(luò)已經(jīng)建立完善。網(wǎng)絡(luò)拓?fù)涫堑湫偷男切徒Y(jié)構(gòu)，在總部公司已經(jīng)實(shí)現(xiàn)了辦公自動化。同時內(nèi)部的用戶們通過連接 INTERNET 的路由器，而后再通過 光纖專線 上網(wǎng)。 XX 公司結(jié)構(gòu) 散布在全國各地的 分支機(jī)構(gòu) 有 3 個 ，每個 分支機(jī)構(gòu) 有 一定數(shù)量 臺計算機(jī) ，上網(wǎng)方式多是以 寬帶線路 ， 與總部沒有直接的連接！急需一種安全的連接方式。 從對其網(wǎng)絡(luò)結(jié)構(gòu)的分析可以看到， XX 公司總部的內(nèi)部網(wǎng)絡(luò)的架構(gòu)嚴(yán)謹(jǐn)，但是卻存在極大的安全隱患， 有以下安全問題需要解決： ? 來自 Inter 網(wǎng)絡(luò)安全威脅，如病毒傳播和黑客攻擊。 ? 來自內(nèi)部局域網(wǎng)用戶間的安全威脅，主要指非法操作和病毒傳播。 第 10 頁 共 18 頁