论文部分内容阅读
[摘要]根据苏州市工业园区社区卫生服务系统对网络功能的需求,通过现状分析结合目前主流技术,确定采用VPN技术组建虚拟专用网的建设方案,分别从VPN组网模式、隧道技术、QOS机制等方面进行深入研究,并在该方案中进行具体应用。
[关键词]VPN隧道技术QOS机制
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210096-02
一、引言
虚拟专用网[1](Virtual Private Network,VPN)是指在公用网络上建立专用网络的技术,用户可以凭借公用网的环境,把属于自己的网络用户终端模拟成自己的专用网,并通过VPN管理站对所属网络各部分的端口进行状态监控、管理等操作。VPN将企业的远程用户、分支机构、业务伙伴及出差的办公人员等通过特定的加密隧道连接起来,构成扩展的企业网,而不需要特别的专线租用。VPN架构中采用了多种安全机制,如加解密技术(Encryption)、密钥管理技术、身份认证技术(Authentication)等,通过上述的各项网络安全技术,确保数据在公网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。
二、苏州市工业园区社区卫生服务系统网络解决方案分析
苏州市工业园区社区卫生服务系统包括园区计算机信息中心、园区社会事业局,3个大社区卫生服务中心(乡镇卫生院),5个小的社区卫生服务中心(含卫生院分院),35个社区卫生服务站。由于地域上的距离和网络发展的不平衡性,园区计算机信息中心、园区社会事业局与各医疗卫生单位间以及各中心卫生院与社区卫生服务站之间缺少互联互通,各网络的信息资源不能共享,造成网络的割裂和信息的孤岛。如何将位于不同地点的卫生服务机构网络互联互通,就成了必须解决的问题。同时,社区卫生服务信息化项目不断增加,数据流量和传输的要求越来越多,对网络的要求也不断的提高。要求通过网络能实现卫生数据采集,社区公共卫生,健康档案,从业人员体检、视频监控等应用,以及以后要运行的一卡通系统。
为了实现苏州市工业园区范围内的社区卫生服务系统位于不同地点的卫生服务机构网络互联互通,利用VPN技术可以在苏州市工业园区政务网上额外组建社区卫生服务Intranet VPN,连接园区社会事业局、社区卫生服务中心和社区卫生服务站,可以保证社区卫生服务信息在整个Intranet VPN上安全高效传输。
三、VPN组网
(一)VPN实现模式选择
VPN实现模式可以分为利用软件实现和利用硬件实现两种,这两种模式目前市场都有应用。若采用软件实现VPN,组网相对较简单,现在的Windows操作系统和Linux操作系统都支持VPN技术,在服务器系统中安装第三方VPN软件,在客户机系统中作相应的设置即可投入使用,但通过从市场调研了解到,软件VPN动态域名解析技术不稳定,实时性不高,由于服务器不是专业的工控设备,服务器系统会存在较大的不稳定性,整个VPN网络的稳定性无法保证,后期维护较复杂,也有部分用户反映数据传输速度很慢,因此不适合企业级使用。硬件VPN集成了企业级防火墙、上网控制和路由功能,支持全动态IP寻址,网络平台的适应性强,扩展性好,网络运行稳定也无须专业人员维护;可以轻松远程管理与维护。根据社区的具体情况员工普遍计算机水平不高,各分支机构较无专业人员维护,选择通过硬件实现VPN比较合适。
(二)选用隧道技术
要构建VPN,选择隧道技术是关键。隧道技术是负责将待传输的原始信息经过加密、协议封装和压缩处理后,再嵌套装入另一种协议的数据包送入网络中,像普通数据包一样进行传送。只有该虚拟专用网络授权的用户才能对隧道中的数据包进行解释和处理,而其他用户则无法处理这些信息,从而保证VPN的远程用户或主机和专用网络的安全连接。当前主流技术有基于IPSec VPN和SSL VPN,现对这两种技术进行分析比较。
1.IPSec协议[2]。IPSec协议是指IETF(因特网工程任务组)以RFC形式公布的一组安全IP协议集,是为IP及以上协议(TCP和UDP等)提供安全保护的安全协议标准。IPSec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。IPSec协议组包含Authentication Header(AH)协议、Encapsulating Security Payload(ESP)协议和Internet Key Exchange(IKE)协议。其中AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供可靠性保证。在实际进行IP通信时,可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。IKE用于密钥交换。IPSec协议结构如下图1所示。
图1IPSec协议结构
其通信过程是首先用户在应用层发出服务请求,发送的信息将交IPSec模块处理,IPSec模块将请求的服务数据封装为IPSec数据包(遵循AH协议、ESP协议、IKE协议),并添加新的IP报头;封装的数据通过物理网卡发送到公网;IPSec网关接收到IPSec数据包并解密论证,若成功则还原IP数据包,服务器提供服务,否则丢弃该数据包。
2.SSL协议[3]。SSL是由Netscape开发出来的一种在让可持有证书的浏览器软件(比如Internet Explorer、Netacpe Navigator)和WWW服务器之间构造的安全通道中传输数据的协议,它运行在TCP/IP层之上、应用层之下。它为TCP/IP连接提供数据加密、服务器论证、消息完整性以及可选的客户端认证。它不是一个单一的协议,而是由多个协议组成,包括SSL记录协议、SSL握手协议、SSL修改密文规约协议,警告协议。其体系结构如下图2所示。
图2SSL协议体系结构
记录协议主要完成分组和组合、压缩和解压缩以及消息认证和加密等功能。SSL握手协议是用来在客户端和服务器端传输应用数据而建立的安全通信机制。修改密文规约协议用于使用新协商的加密方法和完全性方法。警告协议是指对消息传达严重性进行描述警告。
其基本通讯过程是:客户端连接至服务器,要求进行身份验证;服务器通过发送数字证书证明其身份;协商加密算法及用于完整性检查的哈希函数,通常由客户端提供它支持的所有算法列表,然后由服务器选择最强大的加密算法;服务器和客户端协商会话密钥;服务器和客户端分别使用协商好的加密算法及密钥,对发送数据进行加密,对接受数据进行解密,实现了在服务器和客户端之间利用加密信道进行通信的目的。
3.两种协议的比较
IPSec VPN应用比SSL vpn更广泛,由于SSL vpn仅限于web浏览器的应用,对于非web应用的访问不能实现,例如文件共享、自动文件传输、VOIP等,这使得网络资源的共享受限。而IPSec则可以不通过web接入就实现企业资源的访问。
IPSec VPN不管在客户端还是服务器段都需要接入设备,硬件投入较大,在部署安全网关时要考虑拓扑排序,一旦添加新设备就要改变网络结构,那就需要重新部署,维护不方便。而SSL VPN在客户端不需要特殊设备,因为浏览器中内嵌了SSL协议应用简单,可以根据需要添加接入点无需改变网络结构,维护较方便。
由于IPSec VPN是基于网络层的,标准的IKE协商,密钥动态生成,但一旦过了IPSec vpn网关,内部就处于无保护状态,内部数据就有失真的可能。而SSL vpn则采用用户名密码认证,虽说不如认证证书安全,但它是点对点全程保护,对于不同的用户名可以给予不同的操作权限。
该方案建设原则是即要满足网络应用的需要,又要降低建网成本管理维护方便。通过这两种协议比较,结合实际情况在组网时选择IPSec VPN与SSL VPN相结合,也就是在一套网关设备上部署两套VPN,在计算机信息中心、社会事业局、社区服务中心部署VPN设备配置两种协议,而在各卫生服务站部署SSL VPN。两者优势互补,组网拓扑结构如图3所示。
图3组网拓扑结构
(三)QOS机制
QoS(Quality of Service)即服务质量指网络提供更高优先服务的一种能力,包括传输的带宽、传送的时延、数据的丢包率等。网络资源总是有限的,只要存在抢夺网络资源的情况,就会出现服务质量的要求。服务质量是相对网络业务而言的,在保证某类业务的服务质量的同时,可能就是在损害其它业务的服务质量。例如,在网络总带宽固定的情况下,如果某类业务占用的带宽越多,那么其他业务能使用的带宽就越少,可能会影响其他业务的使用。因此,在网络建设中需要考虑怎样对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。
若网络应用中仅有web或email等普通无时间限制的应用系统,当然不必考虑网络服务质量,但在该方案中存在文件备份、语音、多媒体等数据的传输,对数据的及时性、时延等有较高的要求,因此需要引入QOS机制。
QoS的配置方式分为QoS策略配置方式和非QoS策略配置方式两种,该方案采用QoS策略配置。
对VPN设备接口的入站方向的流量,实施以下qos处理[4]:
1.分类(Classifying),为每一类流量(符合某类特征的报文)产生一个报文携带优先级(如IP优先级、 DSCP优先级)。
2.策略(Policing),对于每一类流量进行带宽和速率限制。
3.标识(Marking),对于每一类流量进行按条件的标识处理。
对VPN设备接口的出站方向的流量,实施以下qos处理:
4.排队(Queueing):对每一类流量选择一个合适的接口出站队列(每接口自动有四个出站队列)
5.调度服务(Scheduling services):根据队列的权值(如:基于WRR队列设定的weights值)进行优先转发。
四、采用该方案的优势
1.降低成本简化网络设计。借助ISP,可以使用VPN替代租用专线来实现分支机构的连接,降低通信费用;同时只要对远程链路进行少量的安装、配置和管理,可以极大地简化网络的设计。
2.可扩充性和灵活性。VPN可以支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
3.可管理性。在VPN管理方面,VPN可以将网络管理功能从局域网无缝地延伸到公用网,很容易实现VPN安全管理。借助目录服务管理方式[5],能更有效管理VPN系统,网络管理人员能随时跟踪和掌握:系统的使用者、连接数目、异常活动、出错情况,以及其他可能预示出现设备故障或网络受到攻击等现象。
五、结束语
随着网络应用不断深入,VPN技术在快速发展,从2000第一代需要固定的公网IP,第二代需要动态公网IP,发展到第三代任何上网方式都可实现VPN。这项技术虽说还有很多要改进的地方(如对数据的不可否认性不能保障等),但基于公网的VPN通过隧道技术以及QOS机制使得企业在网络建设中能有效地降低成本,高效安全建设自己的企业网,深受企业的欢迎,因而将有其广阔的发展前景。
参考文献:
[1]VPN教程,http://cisco.ccxx.net/cisco.
[2]曾章勇、王玲,IPSec VPN与防火墙协同工作的系统设计与实现[J].通信技术,2008第9期41卷.
[3]史春光,浅析基于SSL协议的VPN技术[J].信息技术,2009第3期.
[4]QOS技术介绍,http://www.h3c.com.cn/Products_Technology/Techno
logy/QoS.
[5]VPN管理未来发展方向:目录管理,http://www.enet.com.cn/article/.
[关键词]VPN隧道技术QOS机制
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210096-02
一、引言
虚拟专用网[1](Virtual Private Network,VPN)是指在公用网络上建立专用网络的技术,用户可以凭借公用网的环境,把属于自己的网络用户终端模拟成自己的专用网,并通过VPN管理站对所属网络各部分的端口进行状态监控、管理等操作。VPN将企业的远程用户、分支机构、业务伙伴及出差的办公人员等通过特定的加密隧道连接起来,构成扩展的企业网,而不需要特别的专线租用。VPN架构中采用了多种安全机制,如加解密技术(Encryption)、密钥管理技术、身份认证技术(Authentication)等,通过上述的各项网络安全技术,确保数据在公网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。
二、苏州市工业园区社区卫生服务系统网络解决方案分析
苏州市工业园区社区卫生服务系统包括园区计算机信息中心、园区社会事业局,3个大社区卫生服务中心(乡镇卫生院),5个小的社区卫生服务中心(含卫生院分院),35个社区卫生服务站。由于地域上的距离和网络发展的不平衡性,园区计算机信息中心、园区社会事业局与各医疗卫生单位间以及各中心卫生院与社区卫生服务站之间缺少互联互通,各网络的信息资源不能共享,造成网络的割裂和信息的孤岛。如何将位于不同地点的卫生服务机构网络互联互通,就成了必须解决的问题。同时,社区卫生服务信息化项目不断增加,数据流量和传输的要求越来越多,对网络的要求也不断的提高。要求通过网络能实现卫生数据采集,社区公共卫生,健康档案,从业人员体检、视频监控等应用,以及以后要运行的一卡通系统。
为了实现苏州市工业园区范围内的社区卫生服务系统位于不同地点的卫生服务机构网络互联互通,利用VPN技术可以在苏州市工业园区政务网上额外组建社区卫生服务Intranet VPN,连接园区社会事业局、社区卫生服务中心和社区卫生服务站,可以保证社区卫生服务信息在整个Intranet VPN上安全高效传输。
三、VPN组网
(一)VPN实现模式选择
VPN实现模式可以分为利用软件实现和利用硬件实现两种,这两种模式目前市场都有应用。若采用软件实现VPN,组网相对较简单,现在的Windows操作系统和Linux操作系统都支持VPN技术,在服务器系统中安装第三方VPN软件,在客户机系统中作相应的设置即可投入使用,但通过从市场调研了解到,软件VPN动态域名解析技术不稳定,实时性不高,由于服务器不是专业的工控设备,服务器系统会存在较大的不稳定性,整个VPN网络的稳定性无法保证,后期维护较复杂,也有部分用户反映数据传输速度很慢,因此不适合企业级使用。硬件VPN集成了企业级防火墙、上网控制和路由功能,支持全动态IP寻址,网络平台的适应性强,扩展性好,网络运行稳定也无须专业人员维护;可以轻松远程管理与维护。根据社区的具体情况员工普遍计算机水平不高,各分支机构较无专业人员维护,选择通过硬件实现VPN比较合适。
(二)选用隧道技术
要构建VPN,选择隧道技术是关键。隧道技术是负责将待传输的原始信息经过加密、协议封装和压缩处理后,再嵌套装入另一种协议的数据包送入网络中,像普通数据包一样进行传送。只有该虚拟专用网络授权的用户才能对隧道中的数据包进行解释和处理,而其他用户则无法处理这些信息,从而保证VPN的远程用户或主机和专用网络的安全连接。当前主流技术有基于IPSec VPN和SSL VPN,现对这两种技术进行分析比较。
1.IPSec协议[2]。IPSec协议是指IETF(因特网工程任务组)以RFC形式公布的一组安全IP协议集,是为IP及以上协议(TCP和UDP等)提供安全保护的安全协议标准。IPSec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。IPSec协议组包含Authentication Header(AH)协议、Encapsulating Security Payload(ESP)协议和Internet Key Exchange(IKE)协议。其中AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供可靠性保证。在实际进行IP通信时,可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。IKE用于密钥交换。IPSec协议结构如下图1所示。
图1IPSec协议结构
其通信过程是首先用户在应用层发出服务请求,发送的信息将交IPSec模块处理,IPSec模块将请求的服务数据封装为IPSec数据包(遵循AH协议、ESP协议、IKE协议),并添加新的IP报头;封装的数据通过物理网卡发送到公网;IPSec网关接收到IPSec数据包并解密论证,若成功则还原IP数据包,服务器提供服务,否则丢弃该数据包。
2.SSL协议[3]。SSL是由Netscape开发出来的一种在让可持有证书的浏览器软件(比如Internet Explorer、Netacpe Navigator)和WWW服务器之间构造的安全通道中传输数据的协议,它运行在TCP/IP层之上、应用层之下。它为TCP/IP连接提供数据加密、服务器论证、消息完整性以及可选的客户端认证。它不是一个单一的协议,而是由多个协议组成,包括SSL记录协议、SSL握手协议、SSL修改密文规约协议,警告协议。其体系结构如下图2所示。
图2SSL协议体系结构
记录协议主要完成分组和组合、压缩和解压缩以及消息认证和加密等功能。SSL握手协议是用来在客户端和服务器端传输应用数据而建立的安全通信机制。修改密文规约协议用于使用新协商的加密方法和完全性方法。警告协议是指对消息传达严重性进行描述警告。
其基本通讯过程是:客户端连接至服务器,要求进行身份验证;服务器通过发送数字证书证明其身份;协商加密算法及用于完整性检查的哈希函数,通常由客户端提供它支持的所有算法列表,然后由服务器选择最强大的加密算法;服务器和客户端协商会话密钥;服务器和客户端分别使用协商好的加密算法及密钥,对发送数据进行加密,对接受数据进行解密,实现了在服务器和客户端之间利用加密信道进行通信的目的。
3.两种协议的比较
IPSec VPN应用比SSL vpn更广泛,由于SSL vpn仅限于web浏览器的应用,对于非web应用的访问不能实现,例如文件共享、自动文件传输、VOIP等,这使得网络资源的共享受限。而IPSec则可以不通过web接入就实现企业资源的访问。
IPSec VPN不管在客户端还是服务器段都需要接入设备,硬件投入较大,在部署安全网关时要考虑拓扑排序,一旦添加新设备就要改变网络结构,那就需要重新部署,维护不方便。而SSL VPN在客户端不需要特殊设备,因为浏览器中内嵌了SSL协议应用简单,可以根据需要添加接入点无需改变网络结构,维护较方便。
由于IPSec VPN是基于网络层的,标准的IKE协商,密钥动态生成,但一旦过了IPSec vpn网关,内部就处于无保护状态,内部数据就有失真的可能。而SSL vpn则采用用户名密码认证,虽说不如认证证书安全,但它是点对点全程保护,对于不同的用户名可以给予不同的操作权限。
该方案建设原则是即要满足网络应用的需要,又要降低建网成本管理维护方便。通过这两种协议比较,结合实际情况在组网时选择IPSec VPN与SSL VPN相结合,也就是在一套网关设备上部署两套VPN,在计算机信息中心、社会事业局、社区服务中心部署VPN设备配置两种协议,而在各卫生服务站部署SSL VPN。两者优势互补,组网拓扑结构如图3所示。
图3组网拓扑结构
(三)QOS机制
QoS(Quality of Service)即服务质量指网络提供更高优先服务的一种能力,包括传输的带宽、传送的时延、数据的丢包率等。网络资源总是有限的,只要存在抢夺网络资源的情况,就会出现服务质量的要求。服务质量是相对网络业务而言的,在保证某类业务的服务质量的同时,可能就是在损害其它业务的服务质量。例如,在网络总带宽固定的情况下,如果某类业务占用的带宽越多,那么其他业务能使用的带宽就越少,可能会影响其他业务的使用。因此,在网络建设中需要考虑怎样对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。
若网络应用中仅有web或email等普通无时间限制的应用系统,当然不必考虑网络服务质量,但在该方案中存在文件备份、语音、多媒体等数据的传输,对数据的及时性、时延等有较高的要求,因此需要引入QOS机制。
QoS的配置方式分为QoS策略配置方式和非QoS策略配置方式两种,该方案采用QoS策略配置。
对VPN设备接口的入站方向的流量,实施以下qos处理[4]:
1.分类(Classifying),为每一类流量(符合某类特征的报文)产生一个报文携带优先级(如IP优先级、 DSCP优先级)。
2.策略(Policing),对于每一类流量进行带宽和速率限制。
3.标识(Marking),对于每一类流量进行按条件的标识处理。
对VPN设备接口的出站方向的流量,实施以下qos处理:
4.排队(Queueing):对每一类流量选择一个合适的接口出站队列(每接口自动有四个出站队列)
5.调度服务(Scheduling services):根据队列的权值(如:基于WRR队列设定的weights值)进行优先转发。
四、采用该方案的优势
1.降低成本简化网络设计。借助ISP,可以使用VPN替代租用专线来实现分支机构的连接,降低通信费用;同时只要对远程链路进行少量的安装、配置和管理,可以极大地简化网络的设计。
2.可扩充性和灵活性。VPN可以支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
3.可管理性。在VPN管理方面,VPN可以将网络管理功能从局域网无缝地延伸到公用网,很容易实现VPN安全管理。借助目录服务管理方式[5],能更有效管理VPN系统,网络管理人员能随时跟踪和掌握:系统的使用者、连接数目、异常活动、出错情况,以及其他可能预示出现设备故障或网络受到攻击等现象。
五、结束语
随着网络应用不断深入,VPN技术在快速发展,从2000第一代需要固定的公网IP,第二代需要动态公网IP,发展到第三代任何上网方式都可实现VPN。这项技术虽说还有很多要改进的地方(如对数据的不可否认性不能保障等),但基于公网的VPN通过隧道技术以及QOS机制使得企业在网络建设中能有效地降低成本,高效安全建设自己的企业网,深受企业的欢迎,因而将有其广阔的发展前景。
参考文献:
[1]VPN教程,http://cisco.ccxx.net/cisco.
[2]曾章勇、王玲,IPSec VPN与防火墙协同工作的系统设计与实现[J].通信技术,2008第9期41卷.
[3]史春光,浅析基于SSL协议的VPN技术[J].信息技术,2009第3期.
[4]QOS技术介绍,http://www.h3c.com.cn/Products_Technology/Techno
logy/QoS.
[5]VPN管理未来发展方向:目录管理,http://www.enet.com.cn/article/.