应用VPN技术构建企业信息化平台(1)

来源：华为3Com 作者： 出处：巧巧读书 2006-06-25 进入讨论组

• 关 键 词：
• internet
• exchange
• vpn解决方案
• 访问控制列表
• 华为3com

上一页 1 2 3 下一页 

VPN联网技术分析

本文讨论的虚拟专用网即VPN（Virtual Private Network）是以公用网络Internet为基础，结合隧道封装、认证、加密、访问控制等多种网络安全技术，为企业总部和分支机构及移动办公人员提供安全网络连通的技术。VPN的主要目标是建立一种低投入、方便快捷的网络互连方式，替代传统专线连接和拨号连接。

一、VPN技术基础

虚拟专网主要基础技术包括隧道技术、密码技术和网络访问控制技术。

1、隧道技术：隧道技术使得各种内部数据通过公网在虚拟专用通道内进行传输。VPN的数据包封装（隧道）是最常用的公网私有数据传输技术。在VPN的发送节点将原数据打包，添加合法的外层IP包头，通过公网被传送到接收端的VPN节点，该节点接收后进行拆包处理，还原数据。

2、密码技术：密码技术即加密隐蔽传输信息、认证用户身份等，是实现网络安全的最有效的技术之一，加密网络可以防止非授权用户的搭线窃听和入网，并有效对付恶意软件。数据加密通过各种加密算法来实现。

3、网络访问控制技术：网络访问控制技术用于对系统进行安全保护，抵抗攻击。网络访问控制技术源自传统的防火墙功能，由于防火墙和VPN均处于公网出口处，在网络中的位置基本相同，因此一个完整的VPN产品应同时提供完善的网络访问控制功能，为系统的安全运营管理提供方便，同时保护用户投资。

二、IPSec VPN网络安全体系

宝钢国际的全网VPN建设，采用了华为3Com公司的IPSec VPN系统建造虚拟专用网依据的主要国际标准有IPSec、L2TP、PPTP、L2F、SOCKS等。

IPSec VPN技术属于三层隧道VPN技术。它给出了应用于IP层上网络数据安全的一整套体系结构：

网络安全协议，大部分应用案例采用了ESP或同时使用ESP和AH；

密钥管理协议，Internet Key Exchange （IKE）协议，实现安全协议的自动安全参数协商；

验证及加密的算法，认证算法，HMAC-MD5、HMAC-SHA-1；加密算法，DES、3DES。

IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。同事，该VPN产品采用了经过国家密码管理机构认可的产品。

IPsec主要用于在网络层实现VPN的技术，根据用户对在内部网络中传输数据的安全性和处理速度要求的情况，适用于对网络数据保密要求高的用户，是一种端到端的安全实现，从技术的角度上说，在端到端客户的路由器上实现是最安全合理的方式，中间任何一个路由器都不需要做相应设置。因此，它的实现是一种与接入网络无关的VPN技术。

IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。与其他方式相比，IPSec具有明显优势：IPSec在传输层之下，对应用程序透明，配置IPSec无需更改用户或服务器系统中的软件设置。IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。

集团型贸易企业VPN解决方案实施

一、网络结构及设备部署

VPN网络在连接方式上采用星型网络结构，总部为VPN接入和管理中心，配有因特网专线；各分支节点采用专线或ADSL等方式通过公网与总部连接，分支机构之间采用动态VPN技术互联。

总部部署：在总部局域网Internet边界后面配置两台专用VPN网关设备互为备份；同时配备总部VPN Manager管理组件，实现对VPN网关的部署管理和监控；

分支机构部署：在分支机构Internet边界配置一台专用VPN网关设备，由此两端的VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输；

移动终端子系统部署：为移动办公的用户配备VPN客户端软件和USB Key硬件认证密钥，接入网络后进行相关的身份认证、密钥协商以及隧道建立，用户可以以透明的方式，直接访问总部局域网内部的资源；

通告:http://www.qqread.com/net-manage/d427129081.html 更多内容请看VPN技术、SSL VPN详细知识介绍专题、VPN解决方案专题，或进入讨论组讨论。

上一页 1 2 3 下一页 

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：WiMAX--宽带无线接入新进程

较新的文章：24组网游服务器崩溃案例