VPN的商業(yè)優(yōu)勢和應用類型
——虛擬專用網和IPsec確保企業(yè)VPN的安全性
2003/05/13
伴隨信息技術應用變化的是基礎網絡架構的變化�����。傳統(tǒng)上通過調制解調器或專用線路連接互聯(lián)網用戶的方式正逐漸被新興虛擬專用網(VPN)所代替�,VPN使用戶可以通過互聯(lián)網安全地通信。在未來幾年中���,幾乎所有的通信(包括數據��、話音和視頻通信)都將能夠安全地通過互聯(lián)網進行�!幷
VPN的商業(yè)優(yōu)勢非常吸引人,許多公司都開始制訂自己的戰(zhàn)略�,利用互聯(lián)網作為他們主要的傳輸媒介,甚至包括商業(yè)秘密數據的傳輸����。今天,北電網絡提供的解決方案不僅使客戶可以建立各種類型的VPN��,而且還可以把這些VPN集成到未來的融合話音和數據的網絡中�����。在北電網絡看來�,明天的VPN將發(fā)展成為高速、安全的網絡����,它將在公共互聯(lián)網上安全融合所有業(yè)務��,包括數據���、話音和視頻業(yè)務。
VPN有許多類型���,部署范圍非常廣泛:包括服務提供商為用戶提供的可管理的VPN服務����,及企業(yè)自己建立并管理自己的VPN����。目前,VPN應用主要有3種類型:遠程接入VPN�����、內聯(lián)網VPN和外聯(lián)網VPN�����。
——遠程接入VPN。遠程接入VPN最為普遍���,因為它能夠大幅度地降低撥號線路和專用線路的月收費��。它的設計理念很簡單:用戶把呼叫發(fā)送到本地POP點���,然后在互聯(lián)網上通過隧道傳輸呼叫,從而節(jié)約長途電話費�。然后,呼叫在企業(yè)VPN網關設備上終結���,并把數據饋送到企業(yè)網絡中�。這一優(yōu)勢非常明顯�,但是使用公共互聯(lián)網作為骨干網絡來傳輸敏感的企業(yè)數據潛在著巨大的威脅——因此安全機制成為這種技術的關鍵成功因素���。
——內聯(lián)網VPN�。采用集中式信息訪問的企業(yè)通常使用專線或幀中繼連接遠程站點���。這些專用線路會產生大幅開支��,而且這種開支會因站點之間帶寬的增加和距離的延長而增加���,因此這些連接成為WAN維護中一項最大的開支����。要使站點到站點VPN的方式降低這方面的成本�����,公司可以通過互聯(lián)網建立費用較低的連接來代替昂貴的專用鏈路����,大大降低租用鏈路的費用——因為互聯(lián)網連接對距離是不敏感的。
——外聯(lián)網VPN����。外聯(lián)網指的是提供從一個公司網絡到另一個公司網絡的安全接入網絡,它可實現安全的商業(yè)通信�����。外聯(lián)網VPN與站點到站點VPN類似��,只是外聯(lián)網VPN要求更多地考慮安全問題��。當兩家公司或更多公司決定進行合作���、允許對方訪問自己的網絡時����,必須認真考慮,以保證公司的每個合作伙伴都可以輕松地獲得適當的信息���,同時使敏感的信息受到嚴密保護�����,防止未授權用戶的訪問���。在外聯(lián)網中,通過防火墻進行接入控制非常關鍵���。用戶鑒權也很重要�,因為它可以保證只有經授權的用戶才允許訪問網絡資源���。部署完畢后,安全性應盡量在后臺實現�����,對用戶盡可能透明。
無論是企業(yè)選擇使用哪一種或全部三種類型的VPN��,都必須采取特殊的保護措施����,以保證重要信息在公共互聯(lián)網上傳輸時不會泄露。這主要包括保密性�����、完整性���、鑒權和可查性��。
最簡單也是最常用的信息保密方法是采用加密技術擾亂數據�����,這樣�,未經授權的用戶就無法譯解數據���。加密依靠復雜的數學算法來擾亂數據����,然后允許合法的用戶將信息解碼,恢復最初的狀態(tài)���。完整性可以驗證接收到的數據確實就是發(fā)送的數據����。與保密性一樣��,完整性是使用數學算法來保證的����;在這里,使用的是散列算法��。鑒權和可查性是同一事物的兩個方面����。與任何一方通信時,重要的是要毫無疑問地證明網絡另一端的人確實是他們聲稱的人����。這被稱為鑒權用戶�����。
在任何VPN部署中,防火墻都是一個關鍵部件��。盡管IPsec擁有許多內置鑒權功能���,但是防火墻仍然是企業(yè)網絡的第一道屏障��。在任何VPN方案中都需要認真考慮防火墻的位置��。防火墻應該放在安全網關的里面還是外面���,一直都是爭論的焦點。最好的方案是把防火墻集成到VPN網關內(如北電網絡的Contivity安全IP網關)�����,另一種方案是把VPN網關設立在防火墻的非軍事區(qū)(DMZ)中�,以確保整體網絡的安全。
在VPN整體解決方案中�,入侵檢測變得越來越重要。它查詢不同的主機和管理數據庫�,尋找是否有未經授權的用戶正在登錄網絡或者曾登錄網絡的跡象。例如����,越來越多的攻擊是由網絡內部的用戶發(fā)起的����。因此�,重要的是要知道哪些用戶正在未經授權的情況下訪問網絡的資源。
入侵檢測軟件就提供了這種保證措施���。北電網絡與入侵檢測軟件領域的領導者———InternetSecuritySystems合作�,提供了VPN解決方案中的入侵檢測部件���。
在北電網絡企業(yè)VPN解決方案中�����,Contivity網關提供VPN連接企業(yè)網絡中所有其它站點的功能����。Contivity對流經公網的數據進行加解密��。VPN技術在企業(yè)網絡中的應用是一種關鍵因素����,這使需要融合話音和數據業(yè)務的客戶仍能夠利用VPN的優(yōu)勢。隨著時間的推移,企業(yè)越來越多的供應商和客戶將希望通過外聯(lián)網連接起來�,這種Contivity的解決方案可以擴展以滿足這些越來越高的要求����。
ContivityVPN設備的管理可使用北電網絡的Contivity配置管理器(CCM)進行。CCM能夠在一個管理界面上進行大量配置���,并能夠管理大量VPN設備并生成報告����。
北電網絡提供眾多產品���,能夠用來建立企業(yè)VPN��。市場領先的Contivity安全IP業(yè)務網關(VPN���、防火墻、安全路由)和北電網絡的企業(yè)路由器是構建遠程接入VPN��、站點到站點內聯(lián)網VPN和外聯(lián)網VPN的必需設備�。
隨著數據和話音網絡統(tǒng)一的逐步實現,北電網絡是唯一能夠提供完整的多業(yè)務解決方案的廠商����,這些多業(yè)務VPN是未來網絡的先驅———在互聯(lián)網上融合話音和數據業(yè)務��。
北電網絡的解決方案將在支持VPN特性的同時���,以非常高的速度集合話音、視頻和數據支持功能而不影響性能�����。隨著北電網絡堅持不懈地開發(fā)這些強大的企業(yè)解決方案����,VPN技術將被應用到所有產品系列中,使企業(yè)能夠構建更多類型的安全IP業(yè)務網絡�。
中國信息產業(yè)網(www.cnii.com.cn)
若羌县|
二连浩特市|
柏乡县|
南木林县|
扶沟县|
包头市|
五大连池市|
沁源县|
萨迦县|
富锦市|
中山市|
惠东县|
南华县|
唐山市|
寻甸|
孟村|
云梦县|
新昌县|
肃北|
元朗区|
江孜县|
全椒县|
开阳县|
中阳县|
娄底市|
瑞金市|
柞水县|
松潘县|
磐石市|
泰兴市|
固安县|
临漳县|
页游|
禹城市|
达拉特旗|
佛教|
女性|
昌都县|
灵宝市|
永兴县|
巨鹿县|