基于MPLS的VPN提供了逻辑上最大的安全性,网络的安全性是由BGP、IP地址方案、可选的IP Sec加密三方面结合而成的。MPLS VPN不仅满足VPN用户对安全性的要求,还减少了网络方和用户方的工作量,可以建立任意的连接,且具有很好的网络可扩展性。MPLS VPN还易于提供增值业务,具有突出优势。VPN用户可以沿用原有的专用地址,不用作任何修改,在骨干网络采用VPN-ID,可以保持全网的唯一性。 由于传输的是私有信息,VPN用户对数据的安全性都比较关心。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、 加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、 使用者与设备身份认证技术(Authentication)。
1、隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道), 让数据包通过这条隧道传输。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、 安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2、加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3、密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。 现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则, 在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4、身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
堵住安全漏洞
安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、 加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。
但是,如果一个企业的VPN需要扩展到远程访问时,就要注意, 这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为, 远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容, 这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间, 但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。
但是,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的, 员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为, 为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的,这里有些给远程工作人员的实际解决方法:
* 所有远程工作人员必须被批准使用VPN;
* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;
* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;
* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;
* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;
* 外出工作人员应对敏感文件进行加密;
* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;
* 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。 (责任编辑:外包派) |