龙源期刊网 http://www.qikan.com.cn
浅谈VPN技术的应用
作者:郝保军 孙安民 闫爱平
来源:《数字技术与应用》2011年第08期
摘要:目前全省某运营商约有2000个接入方式为CDMA 1X 采用VPDN(虚拟私有拨号网络)营业网点,全省某运营商约有1000个通过租用ADSL采用VPN(虚拟专用网)技术的营业网点.营业网点的数量正在飞速发展。合办厅的建设与维护和安全方面的管理越来越重要。本文针对以上两种接入方式的营业厅在实际工作中存在的问题进行了系统分析,并针对问题提出自己的建议方案。
关键词:VPN VPDN 技术应用
中图分类号:TN914.3 文献标识码: A 文章编号:1007-9416(2011)08-0034-01
1、VPN简介
(1) VPN(虚拟专用网)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。(2)VPN分类。VPN分3种:IntranetVPN、Access VPN又称为拨号VPN(即VPDN)与Extranet VPN。 2、目前合办厅营业网络存在问题
(1)因公司具有CDMA 1X网络,前期合办厅的建设基本采用CDMA1X建立VPDN接入方式,由于VPDN方式在安全方面的先天不足,无法实现终端绑定、加密传输、证书控制、集中设置权限等功能。(2)目前合办厅建设采用租用ADSL采用CISCO的VPN方式,虽然带宽大大提高,但目前无法实现终端绑定、加密传输、证书控制、集中设置权限等功能;无法对其进行有效的安全控制。 3、合办厅改造升级方案
使用VPN技术作为本次网点应用改造的基本应案。并满足以下要求:网络稳定性、网络安全性、设备可扩展性、网络可控性等。 3.1 VPN方案(适合终端多PC网点) 方案说明: 3.1.1 中心端设计
龙源期刊网 http://www.qikan.com.cn
(1)VPN中心端作为VPN网络的中心,担负业务汇聚、网络管理、安全控制三大职能,同时还需综合考虑整个网络的合理性,因此采用MPSecVPN3020B作为中心汇聚设备,配合现有的标准CMS证书系统,实现全网的业务汇聚和安全控制。可通过双设备的方式,增加整体系统的容量。MPSecVPN3020B通过固化的10/100/1000M自适应电口接入计费(BSS)网络;(2)CMS(中心证书系统)系统部署在中心位置,它的位置和中心安全网关VPN3020B并列。在有CMS系统的情况下,每个连接到VPN3020B的密钥,都需要有CMS系统颁发的唯一数字证书,且该证书不在VPN3020B的证书吊销列表中,才能建立合法的VPN连接;(3)CMS(中心证书系统)系统主要起到以下作用:1)颁发数字证书。如果CMS系统有独立的公网IP地址,就可以为每个密钥设立对应的唯一用户名密码和对应的唯一数字证书,并通知给相应的持有人,密钥持有人就可以通过在VRC软件上进行操作,通过用户名和密码,以及CMS服务器的IP地址,远程下载数字证书到自己的密钥中;如不希望把CMS系统放在公网上,也可将密钥统一收集起来在中心端由网管人员统一颁发。统一操作时,可利用CMS系统配套的软件安装在PC上,然后连接到CMS系统进行;2)维护和更新证书吊销列表。如果一个密钥丢失或者因其他原因需要禁止使用,可通过操作CMS系统将对应密钥的证书写入证书吊销列表,然后下载到中心VPN3020B上去。这样,如果该密钥试图和VPN3020B建立安全连接,会因为自身的证书被禁止而无法建立连接。证书吊销列表可通过在VPN3020B上的设置,每隔固定的时间自动从CMS系统上下载。 3.1.2 营业厅端设计
PC均有自己的IP地址,直接使用TCP/IP协议进行通信。当网点的PC数多于1台时,由于线路只有1条,且网点接入Internet线路后,可能还需要普通Internet业务,因此使用的VPN设备必须兼顾安全性和普通路由器的功能:(1)稳定性。MPSecVPN3005C采用全金属外壳设计,可有效预防静电干扰或损坏; MPSecVPN3005C内置有断线自动检测功能,可在短线后自动尝试重新联接,保证线路的畅通;(2)扩展性。 3.2 VPN方案二(适合单PC网点)
(1)中心端设计与方案一相同,因篇幅限制,这里不再陈述。(2)营业厅端设计单PC网点是网点最小化的情况,由于ADSL线路直接提供以太口,可采用软件VPN的办法接入,使用MPSecVRC软件,配合专用的USBKey,全部装在一台PC机上就构成了一套完整的小型VPN网点。
4、两方案总结
(1)对硬件VPN产品MPSecVPN3005C的使用限制可以通过访问控制列表来实现,通过MAC访问列表,限制只有特定物理地址的主机才能接入。软件VPN产品MPSecVRC具备MAC地址绑定、用户口令认证功能。(2)支持访问控制时间段的功能。(3)具备如下的防火墙功能:1)包过滤,提供从二层到四层的过滤机制;2)特殊包检测:根据开关检测特殊包:源路由、记录路由、不正常的分片、太小的包,用户可以选择允许或者拒绝这类报文通过;3)伪源
龙源期刊网 http://www.qikan.com.cn
地址检测;4)攻击检测:ICMP flood、Smurf、Fraggle、SYN flood、LAND等;5)扫描检测保护:可以检测出地址扫描、端口扫描攻击。(4)软件VPN支持配置虚拟IP。实现方法:结合证书认证方式,再制作软件VPN配置的时候,可以将用户证书跟该用户对应的虚拟IP绑定起来。
5、部分配置
(1)限制客户端物理位置和设备的功能(即要求软件、硬件VPN产品在使用过程中只能是联通公司指定的地点、机器和人员)通过访问控制列表来实现。(2)控制访问时间的功能(包括按小时、按天的控制)。 6、结语
笔者针对目前CDMA1X和ADSL接入网点的实际情况,通过对VPN技术应用问题的研究,取得了预期的研究成果,它对于合办厅网络安全建设具有一定的参考价值,实用性比较强。 参考文献
[1]中国IT实验室—CISCO—安全技术---VPN技术 作者简介
1.郝保军,中国电信石家庄分公司通信工程师 2.孙安民,中国联通石家庄分公司通信工程师
3.闫爱平,单位:石家庄铁道大学四方学院计算机系电子工程。