【導讀】與此同時，數(shù)以萬計的商業(yè)公司、政府機構在多年的猶豫、觀望之。這使得企業(yè)數(shù)據(jù)網絡正迅速地從以封閉型的專線、專網為特征的第。二代技術轉向以Inter互聯(lián)技術為基礎的第三代企業(yè)信息網絡。護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，性和可用性的保護。計算機網絡安全的具體含義會隨著使用者的變化而變化，使。用者不同，對網絡安全的認識和要求也就不同。從普通使用者的角度來說，可能。如何恢復網絡通信，保持網絡通信的連續(xù)性。

　　

【正文】 一種隧道協(xié)議。 網絡地址轉換 。 NAT 可發(fā)生于 IPSec 之前或之后。了解 NAT 何時發(fā)生是十分重要的，因為在某些情況下，由于隧道構建受阻或信息流穿過隧道， NAT 都可能對 IPSec 構成影響。除非提供接入是必須的，否則將 NAT 應用于 VPN 流量將不失為上策。 單一目的和多目的設備 。 在網絡設計過程中，您需 要選擇是在聯(lián)網或安全設備中采用集成功能，還是采用 VPN 設備的特殊功能。集成功能通常是很吸引人的，因為您可以在現(xiàn)行設備上實施，且該設備經濟有效，其特性可與其他設備互操作，從而提供功能更理想的解決方案。指定的 VPN 設備通常在對功能的要求很高或性能要求使用特殊硬件時，才會使用。當決定了采取何種選項，可根據(jù)設備的容量和功能對決策進行權衡，并與集成設備的功能優(yōu)勢相對照。在整個體系結構中，兩類系統(tǒng)都有所使用。由于 IPSec 是一種要求嚴格的功能，隨著設計規(guī)模的提高，選擇 VPN 設備取代集成型路由器或防火墻的可行性也日趨增大 。注意，對 VPN設備這一概念的了解不是件容易的事情。當今的許多 VPN 設備可提供理想的性能和 VPN 管理選項，與此同時，也提供有限的路由選擇、防火墻或 CoS 功能，而它們可能與集成設備有關。如果所有這些高級功能都得以實現(xiàn)，從性能和部署選項的角度來看，這種設備也開始越來越像集成型設備。同樣，除了路由選擇和安全特性的全面實施以外，可支持全部 VPN 功能的 VPN 路由器，可在 VPN 單獨環(huán)境中進行配置，其特征更象一種應用。 入侵檢測、網絡訪問控制、信任和 VPN。 IPSec VPN 在部署時，周圍通常環(huán)繞著多層訪問控制和入侵檢測 。網絡入侵檢測系統(tǒng) (NIDS)是一項用于減少與擴展安全范圍有關風險的技術。在 VPN 設計中， NIDS 完成了兩項基本功能。首先，NIDS 可用于分析源自或送至 VPN 設備的信息流。其次， NIDS 可用于加密后，確認僅僅是加密信息流被發(fā)送并由 VPN 設備接收。除 NIDS 以外，通常使用防火墻的訪問控制應該在 VPN 設備前后設置。當今的部署都將防火墻安置在 VPN 設備的前面。當安置在前面時，對用戶信息流的種類不具備可視性，因為信息流依然是加密的。防火墻在 VPN 設備前所能提供的大多數(shù)優(yōu)勢此時已喪失殆盡。 分離隧道 。 當遠程 VPN 用戶 或站點被允許接入公共網（互聯(lián)網），與此同時，他未先將公共網絡信息流安置在隧道內，就接入了專用 VPN 網絡，此時就出現(xiàn)了畢業(yè)設計（論文） 15 分離隧道。事實上，不實施分離隧道會給 VPN 頭端造成巨大負載，因為所有互聯(lián)網相關信息流都需要流經頭端設備的 WAN 帶寬。在 SAFE VPN 中，遠程站點除了特殊情況外，都假設實施了分離隧道。如果不支持分離隧道，而設計不會改變，那么由于頭端的流量負載加大，性能和擴展性就會產生少許變化。 部分網狀、全部網狀、分布式和星型網絡 。 在任一網絡拓撲結構上鋪設 VPN時，許多因素都會影響網絡的可擴展性和性能。全部網 狀網絡會迅速地陷入可擴展性的困境之中，因為網絡中的每臺設備都必須通過一個獨特的 IPSec 隧道與網絡中的其他設備交流。這就是 n(n1)/2 隧道模式，在某些情況下擴大網絡的規(guī)模已經變得不現(xiàn)實。許多隧道也都存在性能問題。部分網狀網絡與全部網狀網絡相比，有較大的可擴展空間。與全部網狀網絡中的設備相同的是，在這種拓撲結構中的限制因素是，在 CPU 合理應用的前提下，設備可支持的隧道數(shù)量。這兩種網絡都可運用一種動態(tài)隧道端點搜索機制，以簡化配置和提高可擴展性。中心輻射型網絡可以更理想地擴展，但是，所有流量都渡過集線器站點， 而且這種設備要求大量的帶寬。 互操作性與混合和同種設備部署 。 雖然 IPSec 是一種已證實的標準，但 RFC依然為它的解釋留下了充足的空間。另外，互聯(lián)網草案，如 IKE 模式配置和供應商專用特性，提高了互操作問題出現(xiàn)的可能性。因為這些緣故，您應該對供應商產品的互操作信息及其在互操作性評比中的表現(xiàn)情況進行綜合評價。此外，為確保單一供應商產品間的互操作性，最好在所有平臺上使用同一代碼庫。 網絡運營 。 在中央 IT 模式運營中，需要通過中央站點 VPN 對遠程站點進行管理。 VPN 設備可支持多種配置選項，以確定隧道端點，視所采用的方式 而定，這些選項可能會對網絡的管理性能產生影響。要高效地 管理遠程設備，您必須在您的管理應用所在的站點使用靜態(tài)加密映像。 不可以在頭端和動態(tài)加密映像。動態(tài)加密映像只接受進入的 IKE 請求，但無法初始化它們，因此，要始終保證在遠程設備和頭端站點間存在一條隧道。靜態(tài)加密映像配置包括遠程對等設備的靜態(tài)IP 地址，因此，遠程站點必須使用靜態(tài) IP 地址來支持遠程管理。 壓縮 。 第二層壓縮未提供 VPN 信息流鏈路帶寬削減功能。第三層壓縮，發(fā)生于加密之前，的確可使數(shù)據(jù)量降低?？紤]到第三層壓縮在當今的大多數(shù)硬件加速器中都不支持，因而當使用 時，對 CPU 要求非常嚴格。 遠程接入用戶要求 。 當用戶不在辦公室和不在控制區(qū)時，思科公司建議您對他們到內部網和互聯(lián)網的連接進行控制。如果您選擇分離隧道要確保安裝、更新和運行個人防火墻，以及在遠程接入客戶機上擁有一個有效的安全策略。思科公司建議您在未實施防火墻的情況下，不要在客戶機上實施分離隧道。路由器可支持兩種機制，而防火墻、集中器和遠程接入客戶機則支持 IKE 保持激活信息。 畢業(yè)設計（論文） 16 第三章 設計 方案 1. 醫(yī)院網絡 分析 西門子醫(yī)療解決方案醫(yī)療服務公司的技術服務副總裁 Dave Perri 指出： “ 西門子已經與思科保持了多 年的合作伙伴關系。西門子醫(yī)療服務公司是醫(yī)療服務行業(yè)的主要 ASP。我們?yōu)?1000 多家醫(yī)療機構提供服務， 思科的專業(yè)知識和先進技術是我們實現(xiàn)這個目標的關鍵。 ” 托管應用環(huán)境中的安全性 由于業(yè)務性質的關系，醫(yī)療服務供應商的網絡必須每周 7 天、每天 24 小時保持可用，即不能發(fā)生任何短暫的停機?；诖朔N原因，許多醫(yī)療服務供應商都將其關鍵業(yè)務外包給應用服務供應商（ ASP）。通過提供信息技術（ IT）和應用基礎設施， ASP 承擔了為醫(yī)療服務供應商運行一個先進的、極為安全的、功能強大的網絡的責任。這樣，醫(yī)療服務供應商就能夠集中精力 開展自己的核心業(yè)務，即護理他們的病人。 除提供有保證的運行時間和可用性外， ASP 還面臨怎樣提供最高的數(shù)據(jù)安全性的問題。聯(lián)邦政府和州政府已經積極參與到醫(yī)療服務行業(yè)當中，因此，醫(yī)療服務供應商必須保證其應用符合美國政府法規(guī)，例如 1996 年頒布的醫(yī)療保險方便性和負責性法案（ HIPAA），以及旨在保證病人數(shù)據(jù)安全的州法律。 西門子醫(yī)療解決方案醫(yī)療服務公司能夠為醫(yī)療服務供應商提供 IT 基礎設施、相關服務和應用。醫(yī)療服務供應商有權獲得保密的病人信息，病人則擁有隱私權。因此，尤其重要的是，醫(yī)療服務供應商必須能夠在醫(yī)療站點之間 安全地傳輸病人數(shù)據(jù)。西門子醫(yī)療服務公司提供了安全的 IT 基礎設施，以便支持關鍵的臨床治療應用，并安全地提供病人信息。 挑戰(zhàn) 西門子醫(yī)療服務公司希望通過部署一個經濟有效的、可靠的、安全的方案，讓員工可以直接撥入位于賓夕法尼亞州馬爾文的西門子園區(qū)網絡，從而削減成本，提高生產率，并增強遠程員工的信息共享能力和安全性。他們利用 20 個分支站點支持位于美國的大約 1000 個客戶站點，以及位于全國現(xiàn)場辦公機構的大約 2500 名遠程員工。 西門子醫(yī)療服務公司希望降低移動員工以及分支機構員工的每月連接成本。遠程員工利用信用卡撥入公 司網絡的成本非常高，因而西門子希望通過部署一個虛擬專用網（ VPN）來降低這些成本。 西門子醫(yī)療服務公司還希望提高其內部網絡和 ASP 環(huán)境的安全性。由于使用畢業(yè)設計（論文） 17 互聯(lián)網訪問公司資源時存在著安全隱患，所以導致西門子遠程員工由于無法使用互聯(lián)網開展關鍵業(yè)務而不能最大限度地提高工作效率。西門子醫(yī)療服務公司還在賓夕法尼亞州的醫(yī)療服務園區(qū)網絡中部署了一個無線網絡。他們希望將 VPN 技術的加密和認證融入無線園區(qū)網環(huán)境，因為他們認為，無線網和互聯(lián)網都是不安全的。 HIPAA 是促使西門子醫(yī)療服務公司部署 VPN 的另一大因素。 HIPAA 要求 供應商保障病人信息的私密性、安全性和保密性。西門子醫(yī)療服務公司希望能夠為員工和客戶建立外部網，以便按照 HIPAA 標準在整個網絡中共享保密信息。西門子醫(yī)療服務公司的網絡服務副總裁 Russ Miller 指出： “ HIPAA 法規(guī)給醫(yī)療服務供應商帶來了很大的壓力，因為這項法規(guī)要求他們必須保障通過網絡傳輸?shù)碾娮俞t(yī)療記錄的安全性。由于西門子醫(yī)療服務公司使用的思科支持的網絡遵守 HIPAA標準，因此，通過我們的網絡傳輸?shù)娜魏螒煤蛢热荻纪耆献钚碌?HIPAA標準。 ” 思科解決方案 為什么選擇思科？ 西門子醫(yī)療服務公司已經 在其園區(qū)網絡及其應用服務供應商網絡中部署了思科 VPN 解決方案。 在園區(qū)網絡環(huán)境中，思科 VPN 解決方案可以從遠程機構直接撥入網絡。思科VPN 3030 集中器采用了冗余配置，以便支持來自 3000 位用戶的 200 路同時會話。與此同時，還在遠程位置部署了幾臺 Cisco 3002 VPN 硬件客戶端，以便向賓夕法尼亞的西門子園區(qū)網絡提供 VPN 連接。選用 3030 集中器、思科 VPN 軟件客戶端和 3002 硬件客戶端的原因是，它們的功能強大，易于實施，而且支持雙因素認證方法，例如 RSA 的 SecureID 解決方案。 RSA Security 是為安全和 VPN 產品制定的 Cisco AVVID（語音、視頻和集成數(shù)據(jù)體系結構）合作伙伴計劃的一部分，可以實現(xiàn)與思科產品的高度集成。 西門子醫(yī)療服務公司還在其 ASP 網絡中提供了基于 VPN 的應用和服務。除此以外，還為 Cisco PIX 防火墻部署了基于 Cisco IOS 軟件的 2600 路由器，為PIX 到 PIX、站點到站點 VPN 部署了 PIX，以便遠程員工和客戶能夠接入外部網。作為一項西門子 ASP 服務，一種調度應用可以幫助醫(yī)院、醫(yī)生辦公室和病人聯(lián)機安排 X 射線檢查。調度在 Cisco PIX 到 PIX VPN 上 執(zhí)行。 Miller 指出： “ 我們在網絡中使用了大量不同的 VPN 方案，包括 Cisco 3030 系列 VPN 集中器、 Cisco PIX到 PIX VPN 解決方案、基于 2600 系列路由器的 VPN 解決方案以及 3002 VPN 硬件客戶端解決方案。思科 VPN 產品系列的最大好處是使西門子采用的 VPN 解決方案能夠滿足特定的部署要求。 ” 西門子醫(yī)療服務公司還部署了基于 VPN 的大型圖片歸檔和通信系統(tǒng)（ PACS）。畢業(yè)設計（論文） 18 PACS 系統(tǒng)提供了 X 射線、 MRI、 CT 和超聲波圖像的數(shù)字圖像管理、存儲和分發(fā)功能。每位西門子 PACS 客戶每天平均會生成大約 20GB 的數(shù)據(jù)。這些圖像保存在當?shù)氐尼t(yī)療系統(tǒng)中，為進行復制和故障恢復，它們還通過西門子的醫(yī)療信息網絡傳輸?shù)轿挥谫e夕法尼亞的西門子信息服務中心進行保存。 西門子醫(yī)療服務公司之所以選擇思科 VPN 解決方案，在很大程度上是因為它與思科之間緊密的合作關系。西門子醫(yī)療服務公司是思科的長期合作伙伴和客戶。他們不但擁有端到端的思科園區(qū)網絡，還是為 ASP 網絡制定的思科支持網絡計劃的成員。西門子醫(yī)療解決方案醫(yī)療服務公司技術服務副總裁 Dave Perri 說：“ 多年來，西門子一直是思科的合作伙伴。我們是思科金牌合作伙伴，也是第一家 獲得思科支持網絡應用托管證書的 ASP。西門子醫(yī)療服務公司是醫(yī)療服務行業(yè)的主要 ASP。我們?yōu)?1000 多所醫(yī)療機構提供服務，思科的專業(yè)知識和先進技術是我們實現(xiàn)這個目標的關鍵。 ” 西門子醫(yī)療服務公司的戰(zhàn)略聯(lián)盟經理 Michael Alban 指出： “ 根據(jù)我們過去的經驗以及對可靠解決方案的跟蹤記錄，我們非常信任思科的技術專業(yè)知識和支持服務。我們與思科支持部門的合作關系、工程經驗和我們的客戶團隊是我們公司獲得成功的關鍵因素。 ” 西門子醫(yī)療解決方案醫(yī)療服務公司的網絡副總裁 Russ Miller也認為， Cisco 2600 系列的高性能、模塊化設計和緊湊結構是促成他們制定決策的重要因素。Miller 指出： “ 在西門子醫(yī)療服務公司，針對 Cisco 2600 路由器系列的 VPN 增強加密卡屬于標準配置。該卡能夠減輕路由器的負擔，并增強整體性能。對于我們來說， Cisco 2600 的模塊化設計是非常重要的，因為它能簡化新服務的添加過程，例如添加 VPN 卡。 Cisco 2600 路由器可以利用機架安裝，這一點對我們也很重要，因為我們需要在醫(yī)院的數(shù)據(jù)中心安裝 Cisco 2600 路由器。 ” Cisco 2600 系列 路由器是為分支機構設計的多服務模塊化接入路由器，它們能夠為互聯(lián)網數(shù)據(jù)和語音應用提供一整套全面的路由、防火墻和 VPN 功能。如果想將小型機構與其它遠程機構、移動用戶、中央機構的內聯(lián)網或合作伙伴的外聯(lián)網相連， Cisco 2600 系列 VPN 模塊和 Cisco IOS 防火墻特性集無疑是理想的IP Security（ IPSec） /VPN 解決方案。 成效 思科 VPN 解決方案為西門子醫(yī)療服務公司提供了許多優(yōu)勢，其中最大的優(yōu)勢是大大節(jié)省了每月成本。部署思科 VPN 解決方案之后，西門子每月能夠節(jié)約 10萬美元的撥號信用卡成本。 Alban 表