VPN结合防火墙保障企业内部网络安全

来源:用户上传      作者: 万新华 朱晓翠

　　 摘 要：随着互联网络的不断发展，企业的内部网络规模也越来越大，互相之间的信息交流也越来越频繁和重要，网络安全问题日益显得重要。本文介绍了一种利用VPN结合防火墙构建企业内部安全网络的方法，从而保障了企业内部重要信息的安全。
　　 关键词：安全连接；防火墙；VPN；SSL
　　 Abstract:With the continuous development of the Internet，the company's internal network size is also increasing，mutual exchange of information are becoming more frequent and important issue of network security is increasingly important. This article describes a VPN combined with a firewall to build internal security network，thereby protecting the internal security of the information.
　　 Keywords:Secure connection；Firewall；VPN；SSL
　　 1 引言
　　
　　 互联网络发展至今，改变了人们的生活方式和企业的经营方式，通过Internet可以进行交易、查询、传递信息及视频互动等，更成为企业快速获得信息的重要渠道。随着网络范围、用户数量的不断扩展，企业的网络安全问题日趋严重，由于计算机系统的安全威胁，给组织机构带来了重大的经济损失。在所有安全威胁中，外部入侵和非法访问是最为严重的安全事件[1]。
　　 随着互联网的发展和攻击者工具与手段的升级，网络管理需要考虑整个安全体系的综合协调性。随着网络技术的迅猛发展，Internet已成为主流的低成本通讯构架，它给人们的生活和工作带来了极大方便。但是，在开放式因特网通信中，信息传输的安全性和私密性却得不到很好的保障。VPN(Virtual Private Network，简称VPN)技术[2]是当前广泛应用的安全传输技术之一。将防火墙与VPN结合应用的技术可以解决这样问题，从而提升企业内部网络的安全性。
　　
　　 2 VPN网络的安全设计
　　
　　 2.1 VPN系统的网络结构
　　 VPN即虚拟专用网络，是通过公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
　　 特点：
　　 (1) 安全保障：VPN通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有和安全性。
　　 (2) 服务质量保证（QoS）：VPN可以不同要求提供不同等级的服务质量保证。
　　 (3) 可扩充性和灵活性：VPN可支持通过Internet和Extranet的任何类型的数据流。
　　 (4) 可管理性：VPN可以从用户和运营商角度方便地进行管理。
　　 2.2 VPN系统的关键技术
　　 (1) 安全隧道技术
　　 (2) 用户认证技术
　　 (3) 访问控制技术
　　 2.3 VPN系统的工作流程
　　 VPN系统建立安全连接的主要流程如下:
　　 安全连接的建立流程
　　 当安全连接建立之后，客户端就可以和内网中的主机在传输加密子模块的控制下进行安全通信，从而形成了一个专用网络。
　　
　　 3 VPN与防火墙结合的安全解决方案
　　
　　 3.1 网络边界安全解决方案
　　 防火墙是一个网络的安全核心，其演变经历了五代。第五代，即新一代防火墙超出了原来传统意义上防火墙的范畴，已经演变成一个全方位的安全技术集成系统。
　　 (1) 防火墙在企业各机构间的部署
　　 防火墙被部署在企业各机构的内部与外部网络之间。内部和外部网络被完全隔离开，所有来自外部网络的服务请求只能到达防火墙，防火墙对收到的数据包进行分析后将合法的请求传送给相应的内部服务主机，对于非法访问加以拒绝。内部网络的情况对于外部网络的用户来说是完全不可见的。由于防火墙是内部网络和外部网络的唯一通讯信道，因此，防火墙可以对所有针对内部网络的访问进行详细的记录，形成完整的日志文件。
　　 边界防火墙通过源地址过滤，拒绝外部非法IP地址，有效地避免了外部网络上与业务无关的主机的越权访问。防火墙可以只保留有用的服务，将其他不需要的服务关闭，可将系统受攻击的可能性降低到最小限度。边界防火墙可以进行地址转换工作，外部网络不能看到内部网络的结构，使黑客攻击失去目标。
　　 (2) 防火墙在企业各机构内部的部署
　　 企业的计算机网络是一个多层次、多节
　　点、多业务的网络，各节点间的信任程度较低，但由于业务的需要，各节点和服务器群之间又要频繁地交换数据。在这样一个拥有很多分支机构的大型企业网络环境中，保证网间安全是非常重要的。大型企业在其每个分支机构和总部之间的网络连接都必须设置防火墙，确保内部子网间的安全性。在同一机构的各个部门也要根据具体情况设置部门级的防火墙。企业内的主要部门都有自己独立的防火墙，实现部门内网和外部的隔离。各部门内部的对外访问由各自的防火墙控制，同时部门的防火墙也防止了部门外部试图对部门内部的访问。
　　 企业计算机网络中设置多层次的防火墙后，一方面可以有效地防范来自外部网络的攻击行为，另一方面可以为内部网络制定完善的安全访问策略，从而使整个企业网络具有较高的安全级别。
　　 3.2 企业各个所属机构之间的数据安全传输解决方案
　　 通过采用SSLVPN技术，利用Internet可以构建一个基于广域网的、安全的企业私有网络。VPN使公司所有网络在Internet上组成一个安全的、虚拟的大局域网，企业建立VPN之后可以在广域网环境下建立和局域网环境下一样的多种应用，包括分布式OA、分布式ERP、分布式CRM、分布式财务管理等。
　　 采用SSL技术通过在公网建立加密的数据隧道，所有数据经过高强度、不可逆的加密及动态密钥技术进行传输，有效地保证了数据的安全性，严格地讲通过SSLVPN传输数据比直接在专网上传输明码数据的安全性更高。
　　
　　 4 小结
　　
　　 本文给出的安全方案为企业的网络安全应用提供了一个借鉴和参考。在这些系统的实现中，可以根据应用的不同采用适合的网络安全辅助设备，构建以防火墙为核心的SSLVPN网络安全体系架构，提高内部网络的安全系数。
　　
　　参考文献
　　[1]Rebecca Gurley Bace.入侵检测[M].陈明奇，吴秋新，等，译.北京:人民邮电出版社，2001.
　　[2]高海曲，薛元星，等.VPN技术[M].机械工业出版社，2004.
　　[3]马春光，郭方方.防火墙、入侵检测与VPN[M].北京:北京邮电大学出版社，2008.
　　――――――――――――
　　作者简介：万新华（1976-），男，江西南昌人，本科，助理研究员，主要研究方向为计算机网络及其应用。

转载注明来源:https://www.xzbu.com/8/view-1698683.htm