摘  要： 以實際項目應用為例，利用VPN、防火墻、策略交換機等幾種典型設備，對解決企業的遠程辦公接入問題進行深入探究。
關鍵詞： 遠程接入；VPN技術；網絡安全

　大型企業通常會有若干分駐全國各地的分支機構和為數不少的出差人員，為了解決這些員工的遠程辦公問題，使他們能夠及時了解企業運轉情況和參與生產、經營、管理工作的流程運轉，遠程接入成為一個現實的需求。
　VPN技術、防火墻的安全過濾技術、三層交換機的路由和控制技術共同實現了遠程用戶對企業不同應用域的安全訪問控制。通過VPN接入，企業可以保證出差在外的員工訪問公司里的信息，此外，通過筆記本電腦和一張基于VPN的CDMA1X卡，員工可以真正實現隨時隨地訪問企業局域網的愿望。
1 遠程訪問的主要技術手段
　某大型供電企業網絡遠程訪問系統的拓撲圖如圖1所示，主要由VPN客戶端軟件、VPN客戶端E-Key、VPN網關、密鑰管理中心、防火墻和策略路由交換機組成。該系統滿足了企業員工通過多種網絡環境，利用互聯網通道訪問企業內部網絡資源的需求。通過身份認證系統確保了遠程網絡用戶的真實性；通過對網絡傳遞數據的加密確保了網絡傳輸數據的機密性、真實性和完整性；通過對用戶的分級管理和訪問管理域的劃分設定了不同類別的認證用戶對OA辦公區域、輸變電生產管理區域、配網生產管理區域和市場營銷管理區域等不同應用區域的訪問權限，有效降低了企業信息資源的潛在風險。

2 企業選擇IPSec技術的主要原因
　  企業選擇IPSec技術的主要原因有以下幾個方面：
　（1）經濟。不用承擔昂貴的固定線路的租費。DDN、幀中繼和SDH的異地收費隨著通信距離的增加而遞增，分支越遠，租費越高，而基于Internet則只承擔本地的接入費用。
　（2）靈活。連接Internet的方式可以是10 Mb/s、100 Mb/s端口，也可以是2 Mb/s或更低速的端口，還可以是便宜的DSL連接，甚至可以是撥號連接。
　（3）廣泛。IPSecVPN的核心設備擴展性好，一個端口可以同時連接多個分支，包括分支部門和移動辦公的用戶。
　（4）多業務。遠程的IP話音業務和視頻也可傳送到遠端分支和移動用戶，連同數據業務一起，為現代化辦公提供便利條件，節省大量長途話費。
　（5）安全。IPSecVPN的顯著特點是其安全性，這是它保證內部數據安全的根本。在VPN交換機上，通過支持所有領先的通道協議、數據加密、過濾/防火墻以及通過Radius、LDAP和SecurID實現授權等多種方式保證安全。同時，VPN設備提供內置防火墻功能，可以在VPN通道之外，從公網到私網接口傳輸流量。
3 系統的實現
　該大型企業采用北電的PP8606路由交換機，以提供不同應用安全域的網段劃分和策略控制。同時，部署帶VPN功能的NetEye防火墻，它集VPN網關、密鑰管理中心和防火墻于一體，提供密鑰的生成、管理與分發，完成認證區域的劃分、用戶的接入和認證、用戶IP地址的分配與訪問控制功能。
3.1 通信密鑰的生成與管理
　VPN網絡安全的關鍵是保證整個系統的密鑰管理安全。NetEyeVPN采用基于PKI的密鑰管理框架，實現安全可靠的密鑰分發與管理。
密鑰管理中心設立在網絡中心。登錄密鑰管理中心后，在密鑰加密卡內生成RSA公私鑰對，通過使用專用的密鑰加密卡作為密鑰傳遞介質，并采用密鑰加密密鑰，保證了密鑰頒發過程中的安全性。然后通過密鑰管理中心添加VPN網關的IP地址和密鑰交換端口信息，生成網關密鑰和全局公鑰文件。全局公鑰文件使用管理中心的私鑰簽名，可以防止在傳送過程中被替換或篡改。
3.2 VPN網關的密鑰配置及用戶E-Key的生成

　上載合適的License許可后，就開啟了NetEyeVPN防火墻的VPN功能，形成VPN網關。對VPN網關注入密鑰管理中心生成的網關密鑰對和全局公鑰文件后，就可以在VPN網關上建立用戶認證域。創建時可以選擇本地認證或Radius認證，在認證域中創建用戶，添加用戶名和用戶密碼信息，生成用戶E-Key。用戶E-Key主要保存用戶認證證書文件和用戶名信息，以增強用戶認證的安全性。
3.3 用戶的登錄認證與數據傳輸安全性的保證
　當VPN用戶通過VPN客戶端軟件和VPN客戶端E-Key對VPN網關發送連接請求時，VPN網關對VPN用戶進行鑒別與認證。其中，會話密鑰按照IKE協議自動協商生成，并用協商好的密鑰對數據進行加密。用戶認證成功后，通過創建SA以及SA的組合（AH、ESP、IPIP）建立遠程用戶的訪問隧道。NetEyeVPN遵循IPSec（IPSecurity）安全協議，采用隧道方式為用戶數據提供加密、完整性驗證，并通過集成的認證服務為信息傳輸提供安全保護。
3.4 應用區域的劃分
　在VPN網關的認證域中創建用戶時，針對不同性質的用戶創建了多個角色名稱，分別對應于OA、生產、配網和營銷等應用區域。設定VPN網關隧道虛擬設備IP地址池，將池中的IP地址分別分配到角色中，對應各應用域。在用戶登錄并經過認證后，用戶將根據自己所屬的角色分配IP地址，并自動加入到自己的應用域中。
4 系統的安全訪問控制
　VPN用戶和VPN網關之間在公網上建立VPN網絡通道之后，還需要通過安全策略和安全規則的制定，進一步把網絡分成不同的安全訪問區域，控制用戶對不同安全區域的訪問，使網絡的安全性得到進一步提升。
防火墻一般位于企業網絡的邊緣控制點，如與Internet的連接處，還可以部署在企業網絡內部的安全區域控制點上。安全區域防御的弱點是不能抵御來自區域內部的“合法”用戶的攻擊，如惡意或無意的內部用戶，沒有防火墻和安全保護較弱的遠程移動工作者或SOHO被身份竊取者，以及安全區域存在的后門漏洞（無線網絡、遠程訪問）等。
　采用防火墻技術，通過制定安全策略可以實現對用戶的訪問進行控制和過濾。主要過濾內容為用戶訪問信息的源目的IP地址、目的端口號和連接協議等。經過防火墻安全控制策略過濾后的VPN用戶將根據其所屬角色及分配的IP地址范圍訪問經過授權的應用域，比如只能訪問OA、生產管理、配網管理和營銷應用域的其中之一或者幾個域的組合。
　本文采用北電的PP8606路由交換機，對不同的被訪問應用安全域進行網段劃分，建立網段連接路由信息和VPN客戶IP返回路由。在路由交換機與VPN網關的互連端口上進行訪問過濾控制策略，制定只允許合法的源IP地址、協議訪問對應的應用域。本方法進一步加強了VPN用戶對應用安全域的訪問控制，從而在最大程度上減少了安全風險和不安全因素。
參考文獻
[1] 李建福，唐建偉.遠程接入VPN用戶解決方案[J].通信世界，2006，（21B）：16-17.
[2] 翁玉良，王炳志.基于互聯網技術的ERP遠程接入問題研究[N].中國建材報，2008-02-18.
[3] JOHNSON J T.更好地連接遠程工作人員[N].網絡世界，2003-05-26.
[4] 李然.VPN帶來改變[N].中國經營報，2003-02-10.
[5] 邊歆.遠程接入機會多多[N].網絡世界，2007-07-16.
[6] 葉盛，高海鋒，張根度.VPN的實現機制和系統評價[J]. 小型微型計算機系統，2002，23（9）：1053-1058.
[7] 劉麗，郭建.IPSec VPN遠程接入MPLS VPN的幾種方式[J].現代電信科技，2005，（9）：61-62.