遠(yuǎn)程接入中的安全訪問(wèn)控制

摘 要： 以實(shí)際項(xiàng)目應(yīng)用為例，利用VPN、防火墻、策略交換機(jī)等幾種典型設(shè)備，對(duì)解決企業(yè)的遠(yuǎn)程辦公接入問(wèn)題進(jìn)行深入探究。
關(guān)鍵詞： 遠(yuǎn)程接入；VPN技術(shù)；網(wǎng)絡(luò)安全

　大型企業(yè)通常會(huì)有若干分駐全國(guó)各地的分支機(jī)構(gòu)和為數(shù)不少的出差人員，為了解決這些員工的遠(yuǎn)程辦公問(wèn)題，使他們能夠及時(shí)了解企業(yè)運(yùn)轉(zhuǎn)情況和參與生產(chǎn)、經(jīng)營(yíng)、管理工作的流程運(yùn)轉(zhuǎn)，遠(yuǎn)程接入成為一個(gè)現(xiàn)實(shí)的需求。
　VPN技術(shù)、防火墻的安全過(guò)濾技術(shù)、三層交換機(jī)的路由和控制技術(shù)共同實(shí)現(xiàn)了遠(yuǎn)程用戶對(duì)企業(yè)不同應(yīng)用域的安全訪問(wèn)控制。通過(guò)VPN接入，企業(yè)可以保證出差在外的員工訪問(wèn)公司里的信息，此外，通過(guò)筆記本電腦和一張基于VPN的CDMA1X卡，員工可以真正實(shí)現(xiàn)隨時(shí)隨地訪問(wèn)企業(yè)局域網(wǎng)的愿望。
1 遠(yuǎn)程訪問(wèn)的主要技術(shù)手段
　某大型供電企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)系統(tǒng)的拓?fù)鋱D如圖1所示，主要由VPN客戶端軟件、VPN客戶端E-Key、VPN網(wǎng)關(guān)、密鑰管理中心、防火墻和策略路由交換機(jī)組成。該系統(tǒng)滿足了企業(yè)員工通過(guò)多種網(wǎng)絡(luò)環(huán)境，利用互聯(lián)網(wǎng)通道訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源的需求。通過(guò)身份認(rèn)證系統(tǒng)確保了遠(yuǎn)程網(wǎng)絡(luò)用戶的真實(shí)性；通過(guò)對(duì)網(wǎng)絡(luò)傳遞數(shù)據(jù)的加密確保了網(wǎng)絡(luò)傳輸數(shù)據(jù)的機(jī)密性、真實(shí)性和完整性；通過(guò)對(duì)用戶的分級(jí)管理和訪問(wèn)管理域的劃分設(shè)定了不同類別的認(rèn)證用戶對(duì)OA辦公區(qū)域、輸變電生產(chǎn)管理區(qū)域、配網(wǎng)生產(chǎn)管理區(qū)域和市場(chǎng)營(yíng)銷管理區(qū)域等不同應(yīng)用區(qū)域的訪問(wèn)權(quán)限，有效降低了企業(yè)信息資源的潛在風(fēng)險(xiǎn)。

2 企業(yè)選擇IPSec技術(shù)的主要原因
　 企業(yè)選擇IPSec技術(shù)的主要原因有以下幾個(gè)方面：
?。?）經(jīng)濟(jì)。不用承擔(dān)昂貴的固定線路的租費(fèi)。DDN、幀中繼和SDH的異地收費(fèi)隨著通信距離的增加而遞增，分支越遠(yuǎn)，租費(fèi)越高，而基于Internet則只承擔(dān)本地的接入費(fèi)用。
?。?）靈活。連接Internet的方式可以是10 Mb/s、100 Mb/s端口，也可以是2 Mb/s或更低速的端口，還可以是便宜的DSL連接，甚至可以是撥號(hào)連接。
?。?）廣泛。IPSecVPN的核心設(shè)備擴(kuò)展性好，一個(gè)端口可以同時(shí)連接多個(gè)分支，包括分支部門和移動(dòng)辦公的用戶。
?。?）多業(yè)務(wù)。遠(yuǎn)程的IP話音業(yè)務(wù)和視頻也可傳送到遠(yuǎn)端分支和移動(dòng)用戶，連同數(shù)據(jù)業(yè)務(wù)一起，為現(xiàn)代化辦公提供便利條件，節(jié)省大量長(zhǎng)途話費(fèi)。
　（5）安全。IPSecVPN的顯著特點(diǎn)是其安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。在VPN交換機(jī)上，通過(guò)支持所有領(lǐng)先的通道協(xié)議、數(shù)據(jù)加密、過(guò)濾/防火墻以及通過(guò)Radius、LDAP和SecurID實(shí)現(xiàn)授權(quán)等多種方式保證安全。同時(shí)，VPN設(shè)備提供內(nèi)置防火墻功能，可以在VPN通道之外，從公網(wǎng)到私網(wǎng)接口傳輸流量。
3 系統(tǒng)的實(shí)現(xiàn)
　該大型企業(yè)采用北電的PP8606路由交換機(jī)，以提供不同應(yīng)用安全域的網(wǎng)段劃分和策略控制。同時(shí)，部署帶VPN功能的NetEye防火墻，它集VPN網(wǎng)關(guān)、密鑰管理中心和防火墻于一體，提供密鑰的生成、管理與分發(fā)，完成認(rèn)證區(qū)域的劃分、用戶的接入和認(rèn)證、用戶IP地址的分配與訪問(wèn)控制功能。
3.1 通信密鑰的生成與管理
　VPN網(wǎng)絡(luò)安全的關(guān)鍵是保證整個(gè)系統(tǒng)的密鑰管理安全。NetEyeVPN采用基于PKI的密鑰管理框架，實(shí)現(xiàn)安全可靠的密鑰分發(fā)與管理。
密鑰管理中心設(shè)立在網(wǎng)絡(luò)中心。登錄密鑰管理中心后，在密鑰加密卡內(nèi)生成RSA公私鑰對(duì)，通過(guò)使用專用的密鑰加密卡作為密鑰傳遞介質(zhì)，并采用密鑰加密密鑰，保證了密鑰頒發(fā)過(guò)程中的安全性。然后通過(guò)密鑰管理中心添加VPN網(wǎng)關(guān)的IP地址和密鑰交換端口信息，生成網(wǎng)關(guān)密鑰和全局公鑰文件。全局公鑰文件使用管理中心的私鑰簽名，可以防止在傳送過(guò)程中被替換或篡改。
3.2 VPN網(wǎng)關(guān)的密鑰配置及用戶E-Key的生成