網(wǎng)絡(luò)安全技術(shù)在連鎖企業(yè)中的應(yīng)用

◆黃海軍

網(wǎng)絡(luò)安全技術(shù)在連鎖企業(yè)中的應(yīng)用

◆黃海軍

（云南工商學(xué)院 云南 651700）

本文針對(duì)企業(yè)服務(wù)器直接放置在公網(wǎng)存在的安全隱患問題、企業(yè)類關(guān)鍵數(shù)據(jù)在交互時(shí)容易導(dǎo)致數(shù)據(jù)的泄露問題進(jìn)行分析，通過采用防火墻的NAT技術(shù)，以及L2TP OVER IPSec和GRE OVER IPSec實(shí)現(xiàn)企業(yè)私網(wǎng)數(shù)據(jù)穿越公網(wǎng)，在公網(wǎng)中屏蔽了企業(yè)服務(wù)器地址，使公網(wǎng)不能直接攻擊企業(yè)服務(wù)器，實(shí)現(xiàn)了對(duì)企業(yè)服務(wù)器的安全加固。加強(qiáng)了企業(yè)總部與個(gè)人及分支機(jī)構(gòu)間交互數(shù)據(jù)時(shí)的安全性，采用域管理機(jī)制及數(shù)字證書與端口隔離技術(shù)來加強(qiáng)企業(yè)內(nèi)部網(wǎng)的安全性。通過上述安全策略手段構(gòu)建了一個(gè)安全、健壯、穩(wěn)定的企業(yè)網(wǎng)絡(luò)，提升了企業(yè)的服務(wù)品質(zhì)。

網(wǎng)絡(luò)安全；IPSec；VPN

隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的不斷普及，有效地支撐了企業(yè)的發(fā)展，并且起到了極為重要的作用，但網(wǎng)絡(luò)帶來的安全問題也日漸凸顯，如何構(gòu)建一個(gè)穩(wěn)定、安全、可靠的企業(yè)網(wǎng)絡(luò)，已成為當(dāng)下企業(yè)組網(wǎng)最為關(guān)注的問題，目前企業(yè)網(wǎng)遠(yuǎn)程聯(lián)網(wǎng)存在聯(lián)網(wǎng)成本高，傳輸安全性低的普遍性問題，企業(yè)服務(wù)器暴露在公網(wǎng)里也容易受到攻擊，企業(yè)內(nèi)部各部門之間的訪問安全性也需要解決，因此，使用網(wǎng)絡(luò)安全技術(shù)解決企業(yè)的遠(yuǎn)程連接安全性、服務(wù)器安全性、不同部門之間訪問安全性，為解決上述幾個(gè)問題，同時(shí)也為了最大限度保證企業(yè)網(wǎng)能夠安全穩(wěn)定運(yùn)行，可以采用IPSec VPN 安全遠(yuǎn)程加密訪問技術(shù)，加密保護(hù)數(shù)據(jù)包的內(nèi)容，使用防火墻的DMZ區(qū)域保證服務(wù)器安全，DMZ（Demilitarized Zone）中文名稱為“隔離區(qū)”，將服務(wù)器專門放于這個(gè)區(qū)域以供外網(wǎng)訪問，通過相應(yīng)安全策略保障服務(wù)器可以被安全地訪問。通過VLAN安全隔離技術(shù)解決不同部門之間訪問安全性問題。

1 IPSec簡介

IPSec（Internet Protocol Security）VPN是指使用IPSec協(xié)議來達(dá)到遠(yuǎn)程訪問的一種VPN技術(shù)。IPSec既能保護(hù)數(shù)據(jù)包內(nèi)容，同時(shí)也能對(duì)通過自身的數(shù)據(jù)包進(jìn)行篩選，選擇通過驗(yàn)證的數(shù)據(jù)包，防止網(wǎng)絡(luò)中的惡意攻擊。企業(yè)通過對(duì)數(shù)據(jù)進(jìn)行加密，安全協(xié)議及動(dòng)態(tài)密鑰的管理來實(shí)現(xiàn)數(shù)據(jù)傳輸，是種安全可靠的傳輸方式。通過使用對(duì)稱加密算法和非對(duì)稱加密算法來保證數(shù)據(jù)傳輸?shù)乃矫苄浴Ｊ褂肏ash散列函數(shù)認(rèn)證，保障數(shù)據(jù)的安全性和完整性。

IPSec協(xié)議使用AH（Authentication Header）協(xié)議為數(shù)據(jù)傳輸提供完整性的保障和認(rèn)證安全的服務(wù)，并且能阻止重放攻擊。并且為IP數(shù)據(jù)包提供數(shù)據(jù)源認(rèn)證服務(wù)，通過在傳輸過程中加入一個(gè)共享密鑰來確保對(duì)數(shù)據(jù)源的認(rèn)證；數(shù)據(jù)完整性服務(wù)，通過MD5的校對(duì)來保障數(shù)據(jù)的一致性，防止修改、刪除信息；抗重放服務(wù)：由AH報(bào)頭序列號(hào)來實(shí)現(xiàn)，能保證每個(gè)IP包的唯一性。

IPSec協(xié)議使用ESP（Encapsulating Security Payload）協(xié)議為數(shù)據(jù)傳輸提供加密，保障數(shù)據(jù)傳輸完整性和源認(rèn)證三大服務(wù)，并防止重放攻擊。

IPSec協(xié)議使用IKE互聯(lián)網(wǎng)密鑰交互協(xié)議為AH和ESP模式下密鑰提供生成、分發(fā)和管理。IKE是3個(gè)協(xié)議的混合體，分別是密鑰生成協(xié)議（Oakley），密鑰管理協(xié)議（ISAKMP），密鑰交換協(xié)議（SKEME）。IKE將生成的密鑰保存在安全聯(lián)盟（SA），方便數(shù)據(jù)傳輸時(shí)使用。

2 VPN簡介

VPN即虛擬專用網(wǎng)，通過公網(wǎng)組建企業(yè)私有網(wǎng)絡(luò)，實(shí)現(xiàn)安全通信，降低組網(wǎng)費(fèi)用。在VPN（Virtual Private Network）出現(xiàn)之前，跨越Internet的數(shù)據(jù)傳輸只能依靠現(xiàn)有物理網(wǎng)絡(luò)，具有很大的不安全因素。企業(yè)的總部和分支機(jī)構(gòu)位于不同區(qū)域（比如位于不同的國家或城市），當(dāng)分支機(jī)構(gòu)員工需訪問總部服務(wù)器的時(shí)候，數(shù)據(jù)傳輸要經(jīng)過Internet。由于互聯(lián)網(wǎng)中存在很多的不安全問題，則當(dāng)分支機(jī)構(gòu)向總部服務(wù)器發(fā)送訪問請(qǐng)求時(shí)，報(bào)文容易被網(wǎng)絡(luò)中的黑客竊取或篡改。最終造成數(shù)據(jù)泄密、重要數(shù)據(jù)被破壞等后果。VPN的基本原理是利用隧道（Tunnel）技術(shù)，對(duì)傳輸報(bào)文進(jìn)行封裝，利用VPN骨干網(wǎng)建立專用數(shù)據(jù)傳輸通道，實(shí)現(xiàn)報(bào)文的安全傳輸。隧道技術(shù)使用一種協(xié)議封裝另外一種協(xié)議報(bào)文（通常是IP報(bào)文），而封裝后的報(bào)文也可以再次被其他封裝協(xié)議所封裝。對(duì)用戶來說，隧道是其所在網(wǎng)絡(luò)的邏輯延伸，在使用效果上與實(shí)際物理鏈路相同。

3 安全技術(shù)應(yīng)用

3.1 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

該企業(yè)為全省連鎖企業(yè)，總部在昆明，在各市設(shè)有分支機(jī)構(gòu)，企業(yè)將服務(wù)器配置公網(wǎng)IP為企業(yè)提供相關(guān)應(yīng)用服務(wù)。同時(shí)為實(shí)現(xiàn)總部與分支機(jī)構(gòu)及個(gè)人業(yè)務(wù)數(shù)據(jù)的交互，在總部與分支機(jī)構(gòu)的路由器上采用GRE VPN 與L2TP VPN的方式實(shí)現(xiàn)企業(yè)私網(wǎng)數(shù)據(jù)在公網(wǎng)中承載與交互。在企業(yè)總部有財(cái)務(wù)部、業(yè)務(wù)部、技術(shù)部等部門，各部門之間的主機(jī)可以相互直接訪問。該網(wǎng)絡(luò)組建運(yùn)營后，經(jīng)了解后發(fā)現(xiàn)公司服務(wù)器很容易遭受攻擊，影響到企業(yè)的正常運(yùn)營。同時(shí)，公司負(fù)責(zé)人要求在公司中承載企業(yè)私網(wǎng)數(shù)據(jù)時(shí)要保證其數(shù)據(jù)不被泄露，并要求加強(qiáng)財(cái)務(wù)部門數(shù)據(jù)的安全性。針對(duì)上述要求，本文提出了構(gòu)建安全、可靠、穩(wěn)定的企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)規(guī)劃，來為企業(yè)網(wǎng)絡(luò)的安全保駕護(hù)航。

3.2 遠(yuǎn)程訪問安全應(yīng)用

為避免企業(yè)服務(wù)器直接暴露在公網(wǎng)，在此安全設(shè)計(jì)中購置了華為USG6370防火墻來加強(qiáng)服務(wù)器的安全。防火墻可以在企業(yè)私有網(wǎng)絡(luò)與公網(wǎng)間實(shí)施安全防范機(jī)制，可以將企業(yè)網(wǎng)絡(luò)分區(qū)域管理，分為內(nèi)部區(qū)域，外部區(qū)域，DMA區(qū)，不同區(qū)域的安全級(jí)別不同，在此安全設(shè)計(jì)中，將企業(yè)的WEB、郵件服務(wù)器放置在DMZ區(qū)域中，而企業(yè)的FTP服務(wù)器、數(shù)據(jù)庫服務(wù)器、DHCP服務(wù)器放置在內(nèi)部區(qū)域，為保證外部區(qū)域的用戶能訪問WEB等服務(wù)器，在防火墻上配置NAT SERVER技術(shù)、將WEB等服務(wù)器的私有地址及端口映射到防火墻外部區(qū)域的公網(wǎng)地址及端口上，使得WEB等DMZ內(nèi)的服務(wù)器在公網(wǎng)及企業(yè)內(nèi)網(wǎng)中不可見，讓其公網(wǎng)用戶與企業(yè)內(nèi)網(wǎng)用戶只知曉這些服務(wù)器的公網(wǎng)地址，不知曉其真實(shí)的私網(wǎng)地址。公網(wǎng)用戶與企業(yè)內(nèi)網(wǎng)用戶不能直接訪問，進(jìn)而有效避免在公網(wǎng)及企業(yè)內(nèi)網(wǎng)中可以直接攻擊這些服務(wù)器，保障了業(yè)務(wù)的正常使用。為了使企業(yè)內(nèi)部網(wǎng)絡(luò)用戶能訪問公網(wǎng)中的資源，在防火墻上配置了一對(duì)多的端口NAT技術(shù)，使得一個(gè)公網(wǎng)地址可以映射多個(gè)企業(yè)私網(wǎng)地址，保障了企業(yè)內(nèi)部網(wǎng)絡(luò)用戶可以輕松地訪問公網(wǎng)中豐富的資源，同時(shí)使公網(wǎng)不能訪問企業(yè)內(nèi)網(wǎng)中的資源，保護(hù)了企業(yè)內(nèi)網(wǎng)數(shù)據(jù)的安全。為響應(yīng)企業(yè)負(fù)責(zé)人要求加強(qiáng)總部與分支及總部與個(gè)人業(yè)務(wù)交互時(shí)數(shù)據(jù)安全的要求，在原來的GRE，L2TP VPN技術(shù)基礎(chǔ)上進(jìn)行整改，采用IPSec技術(shù)來承載GRE與L2TP數(shù)據(jù)。IPSec是一種網(wǎng)絡(luò)層的安全保障機(jī)制，可以在一對(duì)通信節(jié)點(diǎn)之間提供一個(gè)或多個(gè)安全的通信路徑。一個(gè)系統(tǒng)能選擇其所需要的安全協(xié)議，確定安全服務(wù)所使用的算法，并為相應(yīng)安全服務(wù)配置所需密鑰。IPSec的ESP協(xié)議可實(shí)現(xiàn)訪問控制，機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)來源等驗(yàn)證功能。在現(xiàn)有安全系統(tǒng)中采用該技術(shù)無須增加新設(shè)備，而且不需要對(duì)原來的配置進(jìn)行大量的修改，只需要在原來的設(shè)備上增加IPSec的配置，用GRE來封裝企業(yè)私網(wǎng)數(shù)據(jù)，再通過IPSec來承載GRE，使得企業(yè)的私網(wǎng)數(shù)據(jù)得到了IPSec保護(hù)的同時(shí)又實(shí)現(xiàn)了企業(yè)私網(wǎng)數(shù)據(jù)穿越公網(wǎng)，有效地保障了企業(yè)與分支機(jī)構(gòu)間數(shù)據(jù)交換的安全，而對(duì)于個(gè)人用戶想與企業(yè)總部間進(jìn)行私網(wǎng)數(shù)據(jù)的交互，采用L2TP OVER IPSec的方式解決。

3.3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全應(yīng)用

為加強(qiáng)財(cái)務(wù)部門及各部門間的數(shù)據(jù)安全，通過VLAN技術(shù)為每部門劃分一個(gè)VLAN，每一個(gè)VLAN都有其對(duì)應(yīng)的一個(gè)廣播域，有效控制廣播域范圍。一旦某部門遭受廣播攻擊時(shí)只會(huì)影響到該部門的主機(jī)，不會(huì)影響到別的部門業(yè)務(wù)的正常使用。為了加強(qiáng)財(cái)務(wù)部門的安全性，在財(cái)務(wù)部門各用戶所連接的交換機(jī)上啟動(dòng)端口隔離技術(shù)，即使這些用戶主機(jī)處于同一個(gè)廣播域，也不能相互訪問，進(jìn)一步加強(qiáng)了財(cái)務(wù)部門業(yè)務(wù)數(shù)據(jù)交互的安全，同時(shí)為加強(qiáng)財(cái)務(wù)部門服務(wù)器的安全性，在財(cái)務(wù)部門服務(wù)器啟用數(shù)字證書功能，通過數(shù)字證書的方式對(duì)訪問財(cái)務(wù)部門服務(wù)器的用戶進(jìn)行身份驗(yàn)證，使得所有的數(shù)據(jù)傳輸都不可抵賴，使數(shù)據(jù)具有機(jī)密性，防篡改。而財(cái)務(wù)部門各用戶訪問財(cái)務(wù)系統(tǒng)的服務(wù)器時(shí)，采用HTTPS訪問協(xié)議進(jìn)行訪問，HTTPS協(xié)議比HTTP協(xié)議有更好的安全性，在通信的過程中為財(cái)務(wù)部門服務(wù)器與財(cái)務(wù)部門用戶數(shù)據(jù)的交互提供了身份認(rèn)證，數(shù)據(jù)加密等功能，保障了通信過程中數(shù)據(jù)的安全可靠。

為加強(qiáng)企業(yè)內(nèi)各主機(jī)的安全與內(nèi)網(wǎng)的安全性，通過域管理方式管理企業(yè)各用戶主機(jī)，用戶通過域管理員分配的賬號(hào)，權(quán)限登錄客戶端，訪問域內(nèi)的授權(quán)資源，通過使用域模式，不僅使得資源管理更加集中統(tǒng)一，同時(shí)也使得普通組管理模式下難于實(shí)現(xiàn)的管理難題得以解決，通過域內(nèi)的組策略方式，可以禁止域內(nèi)計(jì)算機(jī)上運(yùn)行非法程序，統(tǒng)一域內(nèi)所有計(jì)算機(jī)的桌面，IE主頁，禁止用戶修改注冊(cè)表，禁止用戶使用U盤等，可以將企業(yè)內(nèi)用戶都需要使用的軟件集中發(fā)給用戶，在方便管理企業(yè)用戶的同時(shí)，有效地提升了企業(yè)內(nèi)網(wǎng)的安全性與健壯性。

4 總結(jié)

網(wǎng)絡(luò)安全技術(shù)是目前保護(hù)企業(yè)網(wǎng)絡(luò)的安全保障，將不同的網(wǎng)絡(luò)安全技術(shù)進(jìn)行綜合運(yùn)用，可以有效地保護(hù)遠(yuǎn)程網(wǎng)絡(luò)訪問安全性，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，也非常有效地保護(hù)了服務(wù)器，不受到外網(wǎng)的攻擊，提高了整個(gè)網(wǎng)絡(luò)安全性能，

通過此次的網(wǎng)絡(luò)系統(tǒng)安全改造，網(wǎng)絡(luò)安全性比升級(jí)前得到了良好的改善，特別是服務(wù)器日志的攻擊記錄明顯下降，響應(yīng)速度也大大提升，系統(tǒng)的登錄賬號(hào)密碼也得到了安全保障。

[1]張韜.NAT穿越技術(shù)在IPSec VPN中的意義與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)版，2019，15（11）：17-18

[2]羅濤.跨區(qū)域企業(yè)中VPN技術(shù)的有效運(yùn)用現(xiàn)代研究.科學(xué)與信息化，2017（7）：21-21

[3]岳瑩，孫廣波，楊敏，王浩，楊瑾.VPN技術(shù)在企業(yè)專網(wǎng)建設(shè)中的應(yīng)用研究[J].移動(dòng)通信，2015，0（21）：49-54

[4]王飛.VPN在中小型企事業(yè)單位中的應(yīng)用研究[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，2014（3）：1394-1396

[5]張友國.GRE-over-IPsecvPN工程設(shè)計(jì)及實(shí)現(xiàn)——基于合肥百大集團(tuán)網(wǎng)絡(luò)的VPN應(yīng)用[J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，2013，9（9）：5623-5627

[6]朱祥華.VPN技術(shù)在企業(yè)遠(yuǎn)程辦公中的研究與應(yīng)用[J].信息安全與技術(shù)，2011（1）：35-38

[7]何文波，邵蘊(yùn)秋.基于IPSec的VPN技術(shù)在機(jī)房設(shè)備遠(yuǎn)程維護(hù)中的應(yīng)用.現(xiàn)代電視技術(shù)，2017（1）：97-99.

[8]李獻(xiàn)軍，張少芳，李巖.基于L2TP的遠(yuǎn)程訪問VPN的實(shí)現(xiàn).電腦知識(shí)與技術(shù)：學(xué)術(shù)版，2019，15（8）：50-52.