引言
随着我国社会主义市场经济环境的不断完善,经济领域的竞争日趋激烈,建立跨地域、跨行业、能沟通供应链上下游环节的企业级战略性信息系统已成为企业在市场中获取竞争优势的重要手段。目前,国内企业内部的信息化程度越来越高,很多企业都建有自己的局域网、财务系统、ERP系统等等,但建设和维护一个远程基础通讯设施所需的昂贵费用却使绝大多数企业望而却步,它们只能通过远程拨号访问、简单的FTP传输等手段来维系不同地域信息系统之间数据交换的最低要求,严重制约了信息系统整体效能的发挥。在这样的背景下,企业迫切需要一种低成本的网络互联解决方案,以实现异地分支机构、合作伙伴或移动用户与企业总部之间畅通、安全地交换或共享业务数据。
Internet技术的不断发展和日趋成熟为这种需求的实现提供了现实的可能性。Internet所具备的高带宽、低费用以及无限的连接特性对企业具有极大的诱惑性,但与此同时,Internet的高度开放性和松散管理结构也使得企业面临的网络安全问题益发尖锐,成了Internet作为商务网络必须跨越的重大障碍。
为此,各种网络安全技术和产品应运而生,其中虚拟专用网(VPN)及其相关技术经过多年的实践、发展和完善,以其方便性、安全性、标准化等优势脱颖而出,逐步成为实现企业网络跨地域安全互联的主要技术手段,是目前和今后一段时间内企业构建广域网络的发展趋势。
企业实际构建虚拟专用网络需要对一系列与互通和安全相关的问题作出决策,如VPN技术和产品的选用、安全策略的制定、用户认证、私有IP地址的分配和传送、NAT、流量控制、以及和其它安全产品的配合等等。联想作为一个专业化的VPN产品研制、生产和服务提供商,对VPN的技术内涵和国内企业的需求特点有着深刻的理解,并具有丰富的VPN工程实施经验。网御VPN就是我公司在总结国内外各种VPN产品的特点和国内用户实际需求的基础上,推出的拥有完全知识产权的系列VPN产品,能满足各种不同类型企业的构网要求。
第一章 VPN技术概述
虚拟专用网(VPN)是一种以公用网络,尤其是Internet为基础,综合运用隧道封装、认证、加密、访问控制等多种网络安全技术,为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术,包括和该技术相关的多种安全管理机制。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段,以替代传统的长途专线连接和远程拨号连接,但同时VPN也是一种实现企业内部网安全隔离的有效方式。VPN技术需要解决的主要问题概括起来就是:实现低成本的互通和安全。
企业网络互联的基本安全要素
企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素:
保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IP Spoofing)的能力。
保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。
保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密钥交换功能和集中安全管理服务。
提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
需要强调指出的是:网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。 VPN技术基础
实现一个完整的VPN的主要基础技术包括隧道技术、密码技术和网络访问控制技术。隧道技术使得各种内部数据包可以通过公网进行传输;密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等,网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。
1.2.1 隧道技术
由于受到Internet网络中IP地址资源短缺的影响,各企业内部网络使用的多为私有IP地址,从这些地址发出的数据包是不能直接通过Internet传输的,而必须代之以合法的IP地址。有多种方法可以完成这
联想网御VPN产品白皮书V
