VPN的商业优势和应用类型
——虚拟专用网和IPsec确保企业VPN的安全性
2003/05/13
伴随信息技术应用变化的是基础网络架构的变化。传统上通过调制解调器或专用线路连接互联网用户的方式正逐渐被新兴虚拟专用网(VPN)所代替,VPN使用户可以通过互联网安全地通信。在未来几年中,几乎所有的通信(包括数据、话音和视频通信)都将能够安全地通过互联网进行。——编者
VPN的商业优势非常吸引人,许多公司都开始制订自己的战略,利用互联网作为他们主要的传输媒介,甚至包括商业秘密数据的传输。今天,北电网络提供的解决方案不仅使客户可以建立各种类型的VPN,而且还可以把这些VPN集成到未来的融合话音和数据的网络中。在北电网络看来,明天的VPN将发展成为高速、安全的网络,它将在公共互联网上安全融合所有业务,包括数据、话音和视频业务。
VPN有许多类型,部署范围非常广泛:包括服务提供商为用户提供的可管理的VPN服务,及企业自己建立并管理自己的VPN。目前,VPN应用主要有3种类型:远程接入VPN、内联网VPN和外联网VPN。
——远程接入VPN。远程接入VPN最为普遍,因为它能够大幅度地降低拨号线路和专用线路的月收费。它的设计理念很简单:用户把呼叫发送到本地POP点,然后在互联网上通过隧道传输呼叫,从而节约长途电话费。然后,呼叫在企业VPN网关设备上终结,并把数据馈送到企业网络中。这一优势非常明显,但是使用公共互联网作为骨干网络来传输敏感的企业数据潜在着巨大的威胁——因此安全机制成为这种技术的关键成功因素。
——内联网VPN。采用集中式信息访问的企业通常使用专线或帧中继连接远程站点。这些专用线路会产生大幅开支,而且这种开支会因站点之间带宽的增加和距离的延长而增加,因此这些连接成为WAN维护中一项最大的开支。要使站点到站点VPN的方式降低这方面的成本,公司可以通过互联网建立费用较低的连接来代替昂贵的专用链路,大大降低租用链路的费用——因为互联网连接对距离是不敏感的。
——外联网VPN。外联网指的是提供从一个公司网络到另一个公司网络的安全接入网络,它可实现安全的商业通信。外联网VPN与站点到站点VPN类似,只是外联网VPN要求更多地考虑安全问题。当两家公司或更多公司决定进行合作、允许对方访问自己的网络时,必须认真考虑,以保证公司的每个合作伙伴都可以轻松地获得适当的信息,同时使敏感的信息受到严密保护,防止未授权用户的访问。在外联网中,通过防火墙进行接入控制非常关键。用户鉴权也很重要,因为它可以保证只有经授权的用户才允许访问网络资源。部署完毕后,安全性应尽量在后台实现,对用户尽可能透明。
无论是企业选择使用哪一种或全部三种类型的VPN,都必须采取特殊的保护措施,以保证重要信息在公共互联网上传输时不会泄露。这主要包括保密性、完整性、鉴权和可查性。
最简单也是最常用的信息保密方法是采用加密技术扰乱数据,这样,未经授权的用户就无法译解数据。加密依靠复杂的数学算法来扰乱数据,然后允许合法的用户将信息解码,恢复最初的状态。完整性可以验证接收到的数据确实就是发送的数据。与保密性一样,完整性是使用数学算法来保证的;在这里,使用的是散列算法。鉴权和可查性是同一事物的两个方面。与任何一方通信时,重要的是要毫无疑问地证明网络另一端的人确实是他们声称的人。这被称为鉴权用户。
在任何VPN部署中,防火墙都是一个关键部件。尽管IPsec拥有许多内置鉴权功能,但是防火墙仍然是企业网络的第一道屏障。在任何VPN方案中都需要认真考虑防火墙的位置。防火墙应该放在安全网关的里面还是外面,一直都是争论的焦点。最好的方案是把防火墙集成到VPN网关内(如北电网络的Contivity安全IP网关),另一种方案是把VPN网关设立在防火墙的非军事区(DMZ)中,以确保整体网络的安全。
在VPN整体解决方案中,入侵检测变得越来越重要。它查询不同的主机和管理数据库,寻找是否有未经授权的用户正在登录网络或者曾登录网络的迹象。例如,越来越多的攻击是由网络内部的用户发起的。因此,重要的是要知道哪些用户正在未经授权的情况下访问网络的资源。
入侵检测软件就提供了这种保证措施。北电网络与入侵检测软件领域的领导者———InternetSecuritySystems合作,提供了VPN解决方案中的入侵检测部件。
在北电网络企业VPN解决方案中,Contivity网关提供VPN连接企业网络中所有其它站点的功能。Contivity对流经公网的数据进行加解密。VPN技术在企业网络中的应用是一种关键因素,这使需要融合话音和数据业务的客户仍能够利用VPN的优势。随着时间的推移,企业越来越多的供应商和客户将希望通过外联网连接起来,这种Contivity的解决方案可以扩展以满足这些越来越高的要求。
ContivityVPN设备的管理可使用北电网络的Contivity配置管理器(CCM)进行。CCM能够在一个管理界面上进行大量配置,并能够管理大量VPN设备并生成报告。
北电网络提供众多产品,能够用来建立企业VPN。市场领先的Contivity安全IP业务网关(VPN、防火墙、安全路由)和北电网络的企业路由器是构建远程接入VPN、站点到站点内联网VPN和外联网VPN的必需设备。
随着数据和话音网络统一的逐步实现,北电网络是唯一能够提供完整的多业务解决方案的厂商,这些多业务VPN是未来网络的先驱———在互联网上融合话音和数据业务。
北电网络的解决方案将在支持VPN特性的同时,以非常高的速度集合话音、视频和数据支持功能而不影响性能。随着北电网络坚持不懈地开发这些强大的企业解决方案,VPN技术将被应用到所有产品系列中,使企业能够构建更多类型的安全IP业务网络。
中国信息产业网(www.cnii.com.cn)