王一竹

摘 要

分析了VPN技術(shù)的主要設(shè)計要求，包括原則性要求和功能性要求，并分析了IPSEC VPN與SSL VPN兩種組網(wǎng)方式的區(qū)別。

【關(guān)鍵詞】虛擬專用網(wǎng) VPN 設(shè)計原則

簡單地說，VPN即虛擬專用網(wǎng)絡(luò)，是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。為了保證VPN網(wǎng)絡(luò)建設(shè)能夠滿足業(yè)務(wù)拓展需要，同時保證網(wǎng)絡(luò)的先進性、實用性和未來可擴展性，必須結(jié)合現(xiàn)有網(wǎng)絡(luò)資源進行統(tǒng)一規(guī)劃，并達到最好的投資保護，在VPN網(wǎng)絡(luò)設(shè)計原則中，應(yīng)堅持原則性和功能性的建網(wǎng)原則。

1 VPN網(wǎng)絡(luò)的設(shè)計的原則性要求

1.1 總體規(guī)劃，分步實施的原則

VPN系統(tǒng)的設(shè)計需要統(tǒng)一的規(guī)劃，整個系統(tǒng)可以根據(jù)需要和可能分步實施。

1.2 安全性原則

VPN系統(tǒng)的設(shè)計首先必須確保自身的安全可信。

1.3 實用性原則

VPN系統(tǒng)的建設(shè)應(yīng)從透明性、友善性、有效性等幾個方面考慮實用性的設(shè)計，透明性是指安全機制的設(shè)置和運行對于普通用戶應(yīng)盡量透明，使他感覺不到其存在。友善性是指對于包括安全管理中心在內(nèi)的所有需要進行操作的人機界面應(yīng)做到安全、簡捷、方便。有效性一方面是指安全機制的設(shè)置確實達到設(shè)計要求，另一方面是指增加安全機制以后新增加的系統(tǒng)開銷所帶來的性能下降要在應(yīng)用系統(tǒng)運行所能承受的范圍之內(nèi)。

1.4 接入透明性原則

VPN系統(tǒng)的設(shè)計應(yīng)該充分考慮已有的網(wǎng)絡(luò)結(jié)構(gòu)不應(yīng)該有大的變動，充分利用現(xiàn)有的計算機系統(tǒng)和網(wǎng)絡(luò)設(shè)備等各類資源，并保持安全網(wǎng)絡(luò)環(huán)境與現(xiàn)有應(yīng)用信息系統(tǒng)的兼容性。

1.5 技術(shù)與管理密切結(jié)合的原則

任何安全系統(tǒng)的可靠運行，必須有嚴(yán)格的管理，并把兩者密切結(jié)合起來。管理首先是管理人員，然后再通過被管理的人實現(xiàn)對VPN系統(tǒng)運行的控制和管理。要有完備的規(guī)章制度和切實可行的操作規(guī)程來規(guī)范各類人員的操作。

2 功能性要求

在VPN系統(tǒng)架設(shè)中，需要完善的身份認證體系和可以對設(shè)備進行集中管理的安全管理工具。為了加大VPN系統(tǒng)的安全性和可控性，客戶端軟件必須支持?jǐn)?shù)字證書與PC綁定功能。

2.1 組網(wǎng)方式的要求

在VPN系統(tǒng)應(yīng)用中，VPN系統(tǒng)應(yīng)該支持兩種組網(wǎng)方式：IPSEC VPN與SSL VPN。

IPSEC VPN主要應(yīng)用在各個接入口的內(nèi)部網(wǎng)時使用，因分支機構(gòu)通常比較固定，Site To Site VPN建議使用此種方式。

Remote To Site即移動用戶與接入口建立VPN連接，主要用于大量移動用戶及小的分支部門等用戶連接接入口的內(nèi)部網(wǎng)使用，建議采用SSL VPN方式連接。

2.2 組網(wǎng)靈活性要求

2.2.1 網(wǎng)絡(luò)接入方式的靈活性

VPN系統(tǒng)的邊緣硬件網(wǎng)關(guān)應(yīng)該支持：寬帶接入（ADSL/Cable Modem/Ethernet）和窄帶接入（PSTN Modem/ISDN Modem）。

VPN系統(tǒng)的邊緣客戶端軟件的接入支持：無線接入（GPRS/CDMA）、寬帶以及窄帶接入。

2.2.2 網(wǎng)絡(luò)部署模式的靈活性

支持多種路由協(xié)議：靜態(tài)路由、RIP、OSPF、BGP等路由協(xié)議，同時提供全面的NAT功能，滿足用戶Internet連接訪問的需求。方便用戶在組建VPN系統(tǒng)的時候可以根據(jù)已有的網(wǎng)絡(luò)情況來選擇中心VPN系統(tǒng)的網(wǎng)絡(luò)部署。

2.2.3 VPN部署模式的靈活性

除了支持靜態(tài)的VPN隧道的部署模式，還必須支持動態(tài)IP地址VPN網(wǎng)絡(luò)的組建，支持VPN隧道的NAT穿越，支持設(shè)備間動態(tài)的建立和撤銷VPN隧道，以滿足VPN網(wǎng)絡(luò)不斷復(fù)雜的數(shù)據(jù)流通的需求。

2.3 協(xié)議標(biāo)準(zhǔn)要求

VPN系統(tǒng)的認證必須支持PKI的各種標(biāo)準(zhǔn)規(guī)范，遵循X509V3，RSA PKCS系列，SSL等，提供了良好的開放性和互操作性；支持標(biāo)準(zhǔn)的IPSec協(xié)議，支持網(wǎng)絡(luò)層的加密以及采用口令保護、身份認證、權(quán)限設(shè)置、防火墻等措施，保證數(shù)據(jù)的保密性、完整性、真實性、抗重放性。

VPN設(shè)備必須全面支持L2TP、GRE、IPSec等多種模式的VPN協(xié)議，滿足多種模式VPN組網(wǎng)的需求，為VPN網(wǎng)絡(luò)提供足夠強的擴展能力。

2.4 穩(wěn)定性要求

2.4.1 設(shè)備級的穩(wěn)定性

（1）設(shè)備的穩(wěn)定必須保證硬件平臺的穩(wěn)定性，VPN設(shè)備必須采用專用的網(wǎng)路設(shè)備硬件平臺，非通用工控機架構(gòu)，必須能夠提供模塊熱插拔、電源冗余、機箱溫度監(jiān)控等特性；

（2）設(shè)備的穩(wěn)定必須保證軟件平臺的穩(wěn)定性，必須采用完全自主研發(fā)的操作系統(tǒng)平臺，以保證整個軟件平臺的穩(wěn)定性和私密性；

2.4.2 系統(tǒng)級的穩(wěn)定性

為了保證整個系統(tǒng)的可靠性，必須提供完善的線路檢測功能，下級設(shè)備能夠自動探測上級VPN設(shè)備以及連接線路的狀態(tài)，并且根據(jù)狀態(tài)自動切換線路和設(shè)備，保證整個VPN網(wǎng)絡(luò)的可用性。

2.5 管理功能要求

集中管理服務(wù)器能夠提供完善的管理功能，它應(yīng)該能對多級VPN設(shè)備進行統(tǒng)一的管理。發(fā)行管理員可以對VPN設(shè)備實現(xiàn)零配置的功能，在邊緣VPN設(shè)備啟動時把集中管理服務(wù)器上登記的信息下載到密碼機上，實現(xiàn)了邊緣端VPN設(shè)備的無人管理。

VPN網(wǎng)絡(luò)必須具備完善管理解決方案，滿足用戶對VPN管理的特殊需求。

（1）管理解決方案必須能夠提供足夠靈活的部署能力，VPN網(wǎng)絡(luò)節(jié)點非常多，而且非常分散，尤其是很多小規(guī)模節(jié)點缺少具備足夠技術(shù)能力的技術(shù)人員，這種現(xiàn)狀決定了VPN網(wǎng)絡(luò)必須具備自動部署能力，下級節(jié)點的VPN設(shè)備能夠自動的從上級服務(wù)器上下載配置信息，并且完成設(shè)備的自動配置，通過這種方式，可以實現(xiàn)VPN設(shè)備的遠程自動初始化配置，并且可以實現(xiàn)VPN設(shè)備遠程配置的自動更改，簡化管理的復(fù)雜度。

（2）管理解決方案應(yīng)該是一種集成的解決方案，應(yīng)該能夠支持統(tǒng)一網(wǎng)絡(luò)管理平臺的管理，同時提供精細的業(yè)務(wù)管理能力，可以實現(xiàn)整個VPN網(wǎng)絡(luò)拓撲的自動發(fā)現(xiàn)，遠端設(shè)備的性能、流量等詳細監(jiān)控，保證對整個網(wǎng)絡(luò)有效管理。

2.6 操作簡便性要求

VPN系統(tǒng)應(yīng)該提供良好的用戶操作界面，VPN設(shè)備的所有配置都可以通過web界面來完成。

邊緣端的VPN設(shè)備能夠自動發(fā)起連接并建立安全通道。邊緣VPN設(shè)備后面的業(yè)務(wù)機能夠自動獲取內(nèi)網(wǎng)IP地址。

客戶端軟件的撥號參數(shù)只需要配置一次，移動用戶在每次撥號的時候沒有多余的設(shè)置步驟。

參考文獻

[1]韓希.VPN網(wǎng)絡(luò)技術(shù)分析與應(yīng)用設(shè)計[J].黑龍江冶金，2006（03）.

[2]呂承民.VPN網(wǎng)絡(luò)設(shè)計及性能分析[J].貴州師范大學(xué)學(xué)報，2014，32（01）：81-85.

[3]陳迎春.遠程教學(xué)VPN網(wǎng)絡(luò)平臺餓安全分析和設(shè)計[B].中國教育信息化，2007（11）：72-73.

作者單位

四平市衛(wèi)生和計劃生育委員會 吉林省四平市 136000