虚拟专用网络技术在远程办公中的应用.docx
《虚拟专用网络技术在远程办公中的应用.docx》由会员分享,可在线阅读,更多相关《虚拟专用网络技术在远程办公中的应用.docx(6页珍藏版)》请在冰豆网上搜索。
虚拟专用网络技术在远程办公中的应用
虚拟专用网络技术在远程办公中的应用
VPN是一种快速建立广域联接的互联和访问工具,也是一种强化网络安全和管理的工具。
VPN建立在用户的物理网络之上、融入在用户的网络应用系统之中。
VPN技术涵盖了多个技术专业,不同应用领域所适用的技术和产品有很大差异。
VPN网络技术为远程异地办公提供了良好的网络环境。
VPN是VirtualPrivateNetwork的缩写,中文译为虚拟专用网。
VirtualNetwork的含义有2个:
水利系统汛期远程异地办公,所传输的信息非常重要,有的甚至是国家机密,对数据的安全性要求非常高,因此,VPN网络技术在汛期远程异地办公中的应用就更显重要和迫切。
一、VPN网络技术特点
1、安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者解密,从而保证数据的私有性和安全性。
在安全性方面,由于VPN直接构建在公用网上,使用简单、方便、灵活,但同时其安全问题也更为突出。
用户必须确保VPN上传送的数据不被攻击者窥视、篡改和截获,并且要防止非法用户对网络资源或私有信息的访问。
ExtranetVPN将用户内网扩展到每个单用户,对安全性提出了更高的要求。
2、服务质量保证则对网络提出了更明确的要求,如网络时延及误码率等。
网络应用均要求网络根据需要提供不同等级的服务质量。
在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽和利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3、可扩充性和灵活性
VPN能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4、可管理性
作为用户和运营商可方便地进行管理、维护。
在VPN管理方面,VPN要求用户将其网络管理功能从局域网无缝地延伸到公用网,甚至是每个人。
虽然可以将一些次要的网络管理任务交给运营商,用户自己仍需要完成许多网络管理任务。
所以,一个完善的VPN管理系统是必不可少的。
VPN管理的目标为:
减少网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制表管理、QoS管理等内容。
二、VPN安全技术策略
目前VPN主要采用4项技术来保证其安全:
隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。
1、隧道技术
隧道技术是类似于点对点连接技术,是在公用网建立一条数据通道,让数据包通过这条隧道传输。
隧道是由隧道协议形成的,分为第二、三层隧道协议。
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。
这种双层封装方法形成的数据包靠第二层协议进行传输。
第二层隧道协议有L2F、PPTP、L2TP等。
L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
第三层隧道协议有VTP、IPSec等。
IPSec(IPSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2、加解密技术
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3、密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。
现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY2种。
SKIP主要是利用Diffie-Hellman的演自法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4、使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
三、VPN技术在远程办公中的应用
1、防堵安全漏洞
如果一个用户的VPN需要扩展到远程访问时,网络系统直接或始终在线的连接将成为黑客攻击的主要目标。
因为,远程工作员工通过防火墙之外的个人计算机可以接触到单位的核心内容,这就构成了安全防御系统中的弱点。
虽然,员工可以成倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、以及间谍提供了无数进入系统网络核心的机会。
远程异地办公从安全角度看,存在极大的威胁,因为大多数安全软件并没有为家用计算机提供保护。
一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的链接进入单位网络系统。
虽然防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。
但侵入者可以通过一个被信任的用户进入网络。
由此可见加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。
黑客为了侵入员工的家用计算机,需要探测IP地址。
有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。
因此,如果远程办公人员具有一条诸如DSL的不间断连接链路,会使黑客的入侵更为容易。
因为,拨号接在每次接入时都被分配不同的IP地址),会使黑客的入侵更为容易。
因为,拨号接在每次接入时都被分配不同的IP地址,虽然它也能被侵入,但相对要困难一些。
一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。
因此,必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。
在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入系统我内网。
还有一些提供给远程工作人员的实际解决方法:
所有远程工作人员必须被批准使用VPN;所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;监控安装在远端系统中的软件,并将其限制只能在工作中使用;IT人员需要对这些系统进行与办公系统同样的定期性预定检查;外出工作人员应对敏感文件进行加密;安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;当选择DSL供应商时,应选择能够提供安全防护功能的供应商。
2、VPN应用方式
VPN有3种应用方式解决方案,用户可以根据自己的情况进行选择:
远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN)。
这3种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
(1)AccessVPN
如果企业的内部人员移动或有远程办公需要,或者需要提供B2C的安全访问服务,就可以考虑使用AccessVPN。
AccessVPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部或外部网的远程访问。
AccessVPN能使用户随时、随地以其所需的方式访问内网资源。
AccessVPN包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
AccessVPN最适用于用户内部经常有流动人员远程办公的情况。
出差员工利用当地ISP提供的VPN服务,就可以和单位的VPN网关建立私有的隧道连接。
RADIUS服务器可对员工进行验证和授权,保证连接的安全,同时负担的电话费用大大降低。
(2)IntranetVPN
如果要进行系统内部各分支机构的互联,使用IntranetVPN方式。
越来越多的单位需要在全国乃至世界范围内建立各种办事机构,分支机构等,各个分支机构之间传统的网络连接方式一般是租用专线。
显然,在分支机构增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。
利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。
利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。
IntranetVPN通过一个使用专用连接的共享基础设施,连接总部、远程办事处和分支机构。
拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
(3)ExtranetVPN
如果是提供B2B之间的安全访问服务,则可以考虑ExtranetVPN。
随着信息时代的到来,越来越重视各种信息的处理,希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户需要,同时各个用户之间的合作关系也越来越多,信息交换日益频繁。
Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是发展中不可避免的一个关键问题。
利用VPN技术可以组建安全的Extranet,既可以向客户、合作单位提供有效的信息服务,又可以保证自身的内部网络的安全。
ExtranetVPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。
企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
四、VPN未来发展趋势及在水利系统应用展望
在国外,Internet已成为全社会的信息基础设施,用户端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN的业务获得了极大的增长空间,在XX年,全球VPN市场达到120亿美元。
到XX年,北美的VPN业务收入增到88亿美元。
VPN在全球发展得异常迅猛,在北美和欧洲,VPN已经是一项相当普遍的业务;在亚太地区,该项服务也迅速开展起来。
在中国,VPN的发展、普及较慢,主要是在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,服务质量(QoS)更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花巨额的长途话费来提供远程接入。
现在随着ASDL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。
譬如,过去专线接入速率最高才2Mbps,而现在,中国的用户可以享受到10Mbps,乃至100Mbps的Internet专线接入,而骨干网现在最高已达到40Gbps,并且今后几年内将发展到上百乃至上千个Gbps。
开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以。
VPN技术已经能够提供足够安全的保障,可以使用户数据不被查看、修改。
只有用户将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。
随着互联网技术发展,VPN在未来几年内将会得到迅猛发展。
VPN将会成为网络应用的主要组成部分。
在不远的将来,VPN技术将成为广域网建设的最佳解决方案,它不仅会大大节省广域网的建设和运行维护费用,而且增强了网络的可靠性和安全性。
同时,VPN会加快用户网的建设步伐,使得用户不仅仅只是建设内部局域网,而且能够很快地把全国各地分支机构的局域网连起来,从而真正发挥整个网络的作用。
VPN可以将各流域机构及相关水利部门的内网连成一个整体网络,用以传输各类数据、开电视会议等,而不需租用专线,使网络运行成本大幅度降低。
在家或外地出差,可随时登陆自己的数据平台,进行异地办公,随时了解并获得汛情、工情及各类信息数据,并进行演算,还可接收实时图像,局域网内的各应用系统将得到更加充分的利用,VPN对推动整个水利系统电子办公将起到不可估量的作用。
升级会员 