第二十章 利用天網防火牆建立VPN

1.虛擬專網(VirtualPrivateNetwork)

隨著企業網應用的不斷擴大，企業網的範圍也不斷擴大，從一個本地到一個跨地區跨城市甚至是跨國家的網絡。但采用傳統的廣域網建立企業專網，往往需要租用昂貴的跨地區數字專線。同時公眾信息網(Internet與視聆通)的發展，已經遍布各地，在物理上，各地的公眾信息網都是連通的，但公眾信息網是對社會開放的，如果企業的信息要通過公眾信息網進行傳輸，在安全性上存在著很多問題。如何能夠利用現有的公眾信息網，來安全地建立企業的專有網絡呢？虛擬專網(VPN)技術是指在公共網絡中建立專用網絡，數據通過安全的"加密管道"在公共網絡中傳播。企業隻需要租用本地的數據專線，連接上本地的公眾信息網，各地的機構就可以互相傳遞信息；同時，企業還可以利用公眾信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以連接進入企業網中。使用VPN有節省成本、提供遠程訪問、擴展性強、便於管理和實現全麵控製等好處，是目前和今後企業網絡發展的趨勢。

從應用上虛擬專網可以分為虛擬企業網和虛擬專用撥號網絡（有廠家稱之為VPDN，屬於VPN的一種特例）。虛擬企業網主要是使用專線上網的企業分部、合作夥伴間的虛擬專網；虛擬專用撥號網絡是指使用電話撥號（PPP撥號）上網的遠程用戶與企業網間的虛擬專網。虛擬專網的重點在於建立安全的數據通道，構造這條安全通道的協議必須具備以下條件：

保證數據的真實性，通信主機必須是經過授權的，要有抵抗地址冒認（IPSpoofing）的能力。

保證數據的完整性，接收到的數據必須與發送時的一致，要有抵抗不法分子纂改數據的能力。

保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數據。

提供動態密鑰交換功能，提供密鑰中心管理服務器，必須具備防止數據重演（Replay）的功能，保證通道不能被重演。

提供安全防護措施和訪問控製，要有抵抗黑客通過VPN通道攻擊企業網絡的能力，並且可以對VPN通道進行訪問控製（AccessControl）。

2.虛擬專網標準

目前建造虛擬專網的國際標準有IPSEC（RFC1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虛擬專用撥號網絡協議，是IETF根據各廠家協議（包括微軟公司的PPTP、Cisco的L2F）進行起草的，目前尚處於草案階段。IPSEC是由IETF正式定製的開放性IP安全標準，是虛擬專網的基礎，已經相當成熟可靠。L2TP協議草案中規定它（L2TP標準）必須以IPSEC為安全基礎（見draft-ietf-pppext-l2tp-security-01）。同時IPSEC的廠家支持廣泛，Microsoft的NT5、CiscoPIX防火牆、AscentSecureAccessControl防火牆都支持IPSEC標準。因此我們在構造VPN基礎設施時最好采用IPSEC標準，至少也必須采取以IPSEC為加密基礎的L2TP協議。否則將發生難以預測的後果。

但是目前各國外廠家提出的方案中都盡量避開IPSEC的描述，主要是由於IPSEC標準中采用了多種先進的加密技術，有很高的保密性能，受到美國法律管製出口，因此3Com、Cisco、Ascend盡管本身擁有相當成熟的IPSEC產品或以IPSEC作加密標準的L2TP產品，也不可能進入美國以外的市場。而且美國政府正在起草進一步加強加密技術出口管製的法律，所以依靠美國產品構造真正的VPN是不可行的。國內研製的高保密性產品已經達到了國際先進的水平，對IPSEC的有很好的支持，並且可以支持大量的並發VPN連接。因此從安全和性能方麵考慮我們隻有選用國內的安全產品作為虛擬專網設備。

3.技術方案

建立安全的虛擬專網應當遵循以下原則：

必須具有高安全性，保證數據安全可靠地傳輸。

必須使用開放性的國際標準，可以保證網絡的安全性、穩定性、可行性，可以得到廠家的廣泛支持。

必須能與原有網絡的有良好的接口能力。

必須具有良好的性能，保證滿足目前的需要。

必須具有高的性能價格比，符合經濟原則。

必須具有良好的擴展能力，保證能滿足日後的需要。

撥號虛擬專網的技術方案

建立在使用PPP連接上網的遠程用戶和使用專線上網的企業網絡之間的虛擬專網成為撥號虛擬專網（Dial-UpVirtualPrivateNetwork)，有的廠家又稱之為VPDN。

采用專用VPN服務器建立撥號虛擬專網