中华网络安全联盟    作者：佚名    来源：互联网    时间：2007-10-27 17:17:24

实现网络安全很难，实现网络安全的成本很高，由于迅速发展的商业应用和商业实践在企业网基础设施上展开，各个企业都试图了解和控制与之相关的风险，使企业网络安全这个术语变得越来越流行。尽管这种状况使人感到有点担忧，但它却恰恰道出了一个事实：绝对的安全是不存在的。在公共网络基础结构上，企业使用VPN（虚拟专用网）建立起安全的、端到端的私有网络连接。使用内部或外部光纤设备以及广域网，许多企业已经建立了私有和可信任的网络基础结构，依靠物理安全提供一定程度的机密性。

    当这些企业从采用昂贵的、专门的、安全的连接转而采用更低成本的因特网时，他们要求在通常认为是不安全的因特网上进行安全通信。VPN能够降低因特网传输数据的安全风险，它能够取代昂贵的专门的租用线路。从用户的观点来看，建立了隧道物理网络的性质无关紧要，因为看起来好像信息在专门的私有网络上传输。VPN隧道在IP报文分组中封装数据，传输那些需要额外安全性或者不符合因特网寻址标准的信息。

    站点对站点的VPN
    在一个企业网络环境中，主要有远程访问虚拟专用网、企业内部虚拟专用网和扩展的企业内部虚拟专用网。一个好的安全策略应该详细描述企业的基础结构、信息认证机制和访问权限，在很多情况下，它们将随着企业资源访问方式的改变而改变。例如，远程访问虚拟专用网中的认证机制比企业内部虚拟专用网或者扩展的企业内部虚拟专用网更加严格。

    有些办事处要求在多个LAN之间共享信息，例如在两个办事处的网关设备之间通过安全VPN隧道路由使得站点通过LAN共享信息，站点到站点VPN通过VPN隧道在两个网络之间建立一对一的端点关联，其中一个单独的VPN隧道保护多台主机和文件服务器之间的通信。最简单的形式是：两台服务器或者路由器建立加密的的IP通道，确保安全的从因特网上来回传递报文分组。VPN隧道端点设备在因特网创建逻辑的点对点连接。可以在每个网关设备上配置路由器，这样报文分组就可以在VPN链路上进行路由选择。

    客户端到站点VPN
    当客户端要求从网络的LAN外部访问站点内部数据时，该客户端需要发起一个客户端到站点的VPN连接。这就保证了到站点的LAN的路径的安全。客户端到站点VPN是许多隧道的集合，这些隧道出口是在LAN一侧的通用共享的端点，一个或者多个客户端可以访问VPN服务器发起安全VPN连接，从一个不安全的远程位置并发的对内部数据进行安全访问，客户端从服务器那里获得一个IP地址，这样客户端看起来就好像是服务器所在LAN的成员。

    有些从客户端到站点VPN解决方案使用客户端的分离隧道，这些隧道具有许多安全分支，远程客户端能够通过分离的数据路径发送数据流，而不必再经过加密的VPN隧道转发，而以明文发送的信息流通过使用过滤器来确定，但是用户需要注意其分离隧道避开了安全VPN的安全性，所以一定要慎用这个功能。

    例如：许多客户端到站点VPN常常拥有一种机制，可以使得笔记本电脑用户能够安全的与企业办事处建立连接，其中一些VPN不要求用户认证机制，并且仅仅依赖设备认证。所以必须要特别谨慎，确保这些笔记本电脑的无力安全，避免发生任何危及安全的情况发生。

企业VPN安全应用
    要想保证VPN数据流的安全，需要综合使用诸如身份识别、隧道和加密等技术。基于IP的VPN在两个网络设备之间提供了IP隧道，这些隧道要么是站点到站点的，要么是客户端到站点的。在两个设备之间发送的数据是经过加密的，这样就可以在已有的IP网络上建立起安全的网络路径。隧道技术就是一种在因特网上的两个设备之间建立虚拟路径或者点对点连接方式。大多数的VPN的实现都是使用隧道在两个设备之间建立一个私有网络路径。

    有些VPN业通过使用安全壳隧道、安全套接层/传输层安全或其他安全应用协议展开创建。这些协议为特定应用提供了安全的端到端通信，有时还可以和此处所讨论的隧道协议共同使用。IPSec有两种使用模式：传输模式，保证了一个现有IP报文分组从源到目的地安全；隧道模式，把一个现有IP报文分组放入一个新IP报文中，新IP报文分组以IPSec格式发送到一个隧道端点。传输模式和隧道模式都可以封装在ESP或AH首部中。

    IPSec传输迷失用户两个通信系统之间的IP信息流提供端到端的安全保证，比如保证一个TCP连接或一个UDP数据报的安全。IPSec隧道模式主要用于为网络中间节点、路由器或网关提供安全保证，保证了连接一个公共网络或不可信任的IP网络上的私有IP网到另一个私有IP网的隧道内的其他IP信息流的安全性。两种模式都需要通过因特网密钥交换在两台计算机之间进行一个复杂的安全协商。

    当配置IPSec策略时，端点计算机使用IKE阶段1协商参数来建立一个安全的VPN通道，为通信双方之间的所有信息流建立一个主安全关联。这里要使用到设备认证和生成一个共享主密钥。接着系统使用IKE阶段2，为此时所尽力保护的应用程序信息流协商另一个安全关联，这包括生成共享会话密钥。只有这两台计算机知道所有的两套密钥。使用安全关联交换的数据收到了很好的保护，一面遭受到网络上可能存在的攻击者的修改或监听。密钥根据IPSec策略自动更新，根据管理员定义的策略提供适当的保护。

    因特网工程任务(IETF)的IPSec隧道协议规范不包含适用于远程访问VPN客户端的机制。省略的特性包括用户认证选项和客户端IP地址配置等，但是已经通过增加的因特网草案进行了纠正。这些草案建议为扩展的基于用户的认证和地址分配定义标准的方法。但是，在使用之前应当明确不同厂商的产品之间的互操作性，因为所有厂商都选择以各自特有的方式扩展该协议。

    IPSec传输模式（AH或ESP）只适用于那些主机（也就是IPSec端点）是需要保护的信息流的发送方和接受方的主机实现。IPSec隧道模式对主机和安全网关都适用，尽管安全网关必须使用隧道模式。所有站点到站点VPN和客户端到站点VPN都使用某种安全网关，因而IPSec隧道模式用于大多数VPN调度。

网络地址转换（NAT）/端口地址转换（PAT）
    网络地址转换通常在拥有私人IP地址空间的情况下使用。尽管比较大的企业可能请求直接向地区或本地的因特网注册机构直接注册上述地址，但全球唯一IP地址段通常是从网络服务提供商那里获得。NAT将把未注册IP地址转换成在外部公网可路由的合法的IP地址。

    因特网地址指派机构（IANA）保留如下3个地址段供私有网络使用：
    10.0.0.0～10.255.255.255
    172.16.0.0～172.31.255.255
    192.168.0.0～192.168.255.255
    如果一个企业决定采用私有地址寻址，就应当使用这些地址段。

    在一些网络中，未注册IP地址的数量可能超过可供转换使用的全球唯一地址的数量。为了解决这个问题，就设计了端口地址转换(PAT)。使用NAT/PAT时，发起连接用到的源TCP或UDP端口保持唯一，并与以转换的源IP地址一起放入一张表当中。接着将返回信息流与NAT/PAT表相比较，修改目的IP地址、目的TCP或UDP端口号，以与表项匹配。

    使用NAT/PAT给很多协议带来了一系列挑战。在同一会话期间改变UDP或TCP源和目的端口号的应用程序可能破坏PAT映射。而且使用一个控制通道来交换端口号和IP地址映射信息的应用程序也会与NAT/PAT不匹配（例如FTP）。另外，如果在NAT/PAT设备后又大量用户，那么用户转换的IP地址和端口号就可能会被很快耗尽。

    NAT与IPSec同时使用会引起很多问题。但是存在一个正在标准化的NAT穿越扩展，可以为很多NAT环境提供可互操作的解决方案。大规模的VPN主要要求采用IPSec协议或与L2TP/IPSec相结合来提供安全服务。一些组织选择了只使用PPTP或L2TP。但是因为IPSec提供了全面的安全服务，所以大多数安全VPN解决方案都应当采用IPSec。

    总结：生活工作中的实际情况一设备的配置会有错误，新的攻击手段会出现，安全防护软件出现漏洞或缺陷。任何企业所能做的最好的就是对企业网的风险和脆弱性进行评估，作出应急所需要的决定，然后实施尽可能有效的决定其安全性的策略。安全策略的实施也很重要，这就需要对网络上的信息流进行积极的监控和执行常规的安全审计。网络安全性是一个复杂的问题，部分原因时今天有大量的安全技术，其中一些技术解决了类似的安全问题并朝着更加综合的安全策略方向前进，近年来，尽管底层的技术依然还分复杂，但实现企业网络安全的机制已经变得比较容易。