| 出版日期:2004-05-17 总期号:1313 本年期号:34 |
|
 |
边防网络
客户端巧用VPN 俞霆、韩林 在维护社会治安的过程中,公安边防需要建立一个高效稳定的信息网络,作为通信指挥、办公自动化和信息共享的平台。由于自身业务的原因,公安边防在物理位置上普遍存在机构严重分散的特点,这是建设区域性公安边防网络时所面临的难题。单从投资成本角度看,如果公安边防自行组建和维护一个物理城域网,代价很大,因此,各地公安边防根据自身所处地区的具体情况,可考虑采用直接利用当地公安的现成网络达到连网目的,架构在政务网上或租用通信数据公司的物理线路进行组网,但必须经过较严密的安全方案设计和测试。尽管如此,为了尽可能不影响其它网络的运行,以及考虑病毒传播、容易管理等因素,我们要求公安边防网要相对独立。 因此,近来虚拟专用网(VPN)技术被逐渐应用。VPN对于公安边防来讲可以这样理解:它可用来连接总队和多个边防站LAN,通过可靠的加密技术方法保证其安全性,作为一个公共网络系统(如公用数据网)的一部分存在。但我们该如何建立VPN网络呢? 利用Windows部署VPN 目前,大家对Windows 家族产品比较熟悉,我们就以Windows方案为例看看如何部署VPN。基于微软BackOffice系列产品,可实现跨越Internet的安全、可靠、便宜的企业VPN,利用微软Office系列产品,完成自动化办公及事务处理,实现Internet上企业间互联与协作的全面解决方案。 目前,微软网络操作系统Windows NT Server 4.0和Windows NT 2000均支持VPN,其主流客户操作系统Windows 2000 Professional和Windows 98也可支持VPN客户端软件。它们均内置了基于标准的点对点通道协议PPTP,允许远程用户拨号到本地的Internet服务提供商,然后通过一个安全的通道来访问企业内部网,就如在局域网上一样访问企业资源。 采用Windows建立VPN需要以下硬件:Windows 98客户机、Windows NT 4.0/2000/2003服务器和网络访问服务器(RAS)。其中,网络访问服务器不是必须的,例如,当Windows 98客户机和Windows NT 4.0/2000/2003服务器已经处于相同的网络(一般指的是公网如Internet)时,就不必再需要网络访问服务器。在Windows环境的VPN中,PPTP 客户端就是Windows 98客户机,PPTP服务器是一台运行Windows NT Server的网络服务器。 点对网方式 VPN有两种组网形式:点对网方式和网对网方式。 点对网即所谓的PPTP拨号访问方式。“网”是已经建好的企业局域网,“点”则是尚未建设局域网的分支机构或移动单机用户。这些用户可采用单机拨入方式从异地访问企业的内部网络。具体过程是,单机用户从异地拨入当地的ISP,建立与Internet的连接,然后在Internet上通过PPTP方式拨叫已接入Internet的企业网络PPTP服务器,通过安全性验证后,登录企业内部网。拨入用户和局域网用户均可采用企业内部私有IP地址,或沿用原有的IPX/SPX和NetBEUI协议,保持原有的网络结构、网络资源和应用模式不变。例如,异地用户可基于内部IPX/SPX协议,访问企业网络上的NetWare服务器,甚至可以基于内部NetBEUI协议访问传统的MS-DOS客户机。 目前Internet服务提供商提供的漫游功能,可使用户在异地以注册地所用的用户名/密码拨号上网,免去长途访问的费用。要在 Internet 上创建VPN连接,必须首先建立两个拨号网络连接。一个连接用于 Internet服务提供商,另一个连接用于企业网络。在建立到企业(PPTP)网的拨号网络连接时,如果不知道VPN服务器的名称和 IP 地址,要与系统管理员联系。 网对网方式 网对网方式即路由互联方式。有些分支机构已经建成局域网,这时如果两地的局域网均接入Internet,便可实现异地间企业内部网络的互相访问。具体过程是,分支机构从异地通过当地的Internet服务提供商,直接接入Internet,再通过PPTP方式拨叫已接入Internet的企业网络PPTP服务器,通过安全性验证后,即可使各自局域网用户如使用本地资源一样访问整个企业的网络资源。 在以上两种VPN方案中,两个局域网间的访问是双向的。Windows NT综合应用了PPTP技术和RAS路由技术,使PPTP服务器不仅可用于PPTP报文处理和登录安全验证,还承担企业内部网络之间的路由转发。同时,在PPTP服务器或企业内部的其他Windows NT服务器上,配置Windows网间命名服务(WINS)和域名解析服务(DNS)后,可跨越VPN交换解析数据,实现跨越广域网的企业内部浏览机制。这样,各个局域网上的Windows 95/98/NT用户均可通过直接点击“网上邻居”直观地访问其他局域网上的网络资源。 保证系统安全性 Windows NT操作系统提供了丰富的安全特性,但为了满足易用性,其缺省安装配置的安全性并不十分严格(如用户名和共享目录权限)。这种安全性配置主要是面向桌面用户的,不能适用于跨越Internet的企业网络互联环境,所以必须对企业连接Internet的VPN网关服务器进行特别的安全性定制。安全性设置不能套用固定的模式来配置,针对与Internet的连接,可能的安全性实施途径主要包括以下方式: 在协议设置时,在面向广域网的网卡上禁用不用的IP端口,以免黑客通过这些端口入侵网络。取消WINS服务、NetBIOS服务,防止通过远程引用系统的WINS数据库等方式获得内部网络的情况。 在文件安全管理时,尽可能在NTFS分区上保存数据。在NTFS文件系统级设定用户群的访问权限,并对部分关键信息的访问进行审记与分析。即使对于非文件类共享性数据,如Web主页、Asp等脚本文件和FTP文件等也应如此处理。 在用户管理中,禁止缺省的客人(GUEST)账户,将管理员的缺省用户名更名为一个不易猜测的名字,并定期修改口令和审记该账户的系统访问,防止Internet用户以Windows NT的缺省设置猜测登录。对于黑客来说,猜测用户名后又猜测口令,实际上是难上加难。另外,禁止通过匿名网络方式访问系统注册表和获取Windows NT的域用户名、用户组名和网络共享名。 保证网络安全性 Windows NT Server支持加密的PPTP数据传输,并采用IP隐藏和转换技术,保护专用网络上的IP主机,使其不为Internet方的用户或主机所见。安全性保证主要包括: PPTP与防火墙和路由器的配合使用 PPTP传输使用TCP端口1723,只要配置防火墙和路由器,允许针对端口1723的传输访问通过防火墙和路由器,就可实现它们的配合使用。对于一个组织来说,可以将运行Windows NT Server 4.0的PPTP服务器放置在防火墙之后,使PPTP服务器接收从防火墙转到内部网络的PPTP数据包,打开报文取出PPP数据包,解密后再转发数据包至内部网络指定的计算机上。 网络登录验证 由Windows NT Server 4.0作为PPTP服务器,可以控制对企业内部的所有访问,也就是将PPTP服务器作为内部网络的一个网关。使用Windows NT Server 4.0和Windows NT Workstation 4.0的远程访问登录,与在局域网上基于Windows NT的登录一样安全。微软的PPTP客户端还支持CHAP、MS-CHAP和PAP拨号验证方式,所用账户由域用户管理器集中管理,并且只有授权的域用户可以被赋予远程访问的能力,这进一步保证了安全性。 口令策略 一个安全的口令模型是成功实施PPTP的关键之一。比如,可以让口令包含大写字母、小写字母、数字和其它特殊字符。我们建议在组合口令时,至少使用三种不同的字符。 访问控制 登录验证后,所有对内部网络的访问继续使用基于Windows NT的安全性模型,根据相应的权限访问NTFS文件或其他网络资源。我们建议PPTP客户端所访问的资源均基于经过合理权限设定的NTFS文件系统。 PPTP数据包过滤 即使网络登录口令被攻破,我们还可以利用PPTP服务器上的PPTP数据包过滤机制,进一步增强网络的安全性。它和PPP加密方式相结合,可以确保只有验证后的加密数据才能进入或保留在内部网络中。 数据加密 PPTP使用远程存取服务的公开密匙加密过程。在微软远程访问服务中,公开密匙就是用户口令。PPTP使用PPP所采用的加密和压缩算法。对于Internet黑客来说,试图解析这样的IP报文只能得到介质头、IP头和无法破译的PPP数据包。需要说明的是,除了美国和加拿大以外,目前微软在中国或其他国家地区只提供40位加密的产品包。 实施建议 国内不少Internet服务提供商都具有VPN服务。据悉,覆盖全国的某公众多媒体信息网就已经提供了这样的功能:移动用户可在全国大中城市随时付本地话费访问Internet或在Internet上的VPN。但是,如果单位或企业真的要上VPN,还要注意: 对于租用物理线路或架构在当地的政务网上进行组网的企业来讲,VPN的好处是显然的。 若VPN架构于公众通信数据网之上,其传输速度和时延等因素受国内外Internet和公众多媒体信息网主干带宽和用户分配带宽的限制,另外网络服务质量控制方面也有待进一步研究。所以,在实施VPN前要客观地评估和测试网络所覆盖地区的网络各项指标。 在我国的网络环境中,操作系统基本上来自国外,如果安全方面的算法或产品也不是自主版权的话,难以获得系统的绝对安全性。 
边防VPN网络 技术的时尚绚变 时尚已经成为趋势,而消费IT产品的时尚科技感,给追求科技、倡导生活的人们以最大的诱惑。掌上电脑这个科学技术与时尚潮流结合得最为理想的产品,已经从最早单纯的计算、应用工具发展成多媒体产品,如今还成为一种通信工具,越来越受到商务精英和SOHO一族的宠爱。2003年全球掌上电脑出货量为1040万台,2006年将达到近3200万台,每年的平均年增长率将高达18%。 新奇走向现实。在2000年之前,掌上电脑只在内存容量、CPU速度上做文章。后来,PDA具备了PCMCIA插槽、红外线以及传真能力。随着微软的加入,掌上电脑开始以彩色为主,并具有多媒体、影音、娱乐的用途。近几年来,掌上电脑的CPU从去年初流行的Intel PXA250发展到Intel PXA255,不久,还会有Intel PXA270,即代号为Bulverde的微处理器,为掌上电脑带来更快速的操作体验和更强大的性能表现。而掌上电脑显示屏则由前两年的XVGA,发展到现在的高亮半穿透式的TFT液晶显示屏,未来,更会有标准的VGA液晶显示屏走向市场。如华硕的A620、A620BT、A716都选择了Intel PXA255 400MHz CPU,这些产品都披上了高亮半穿透式的TFT液晶显示屏的艳丽彩装。 商务应用凸显。对移动商务人士来说,他们希望掌上电脑也能像PC那样具备独立上网的能力,不需在依附PC的前提下,具备上网、收发E-mail、数据同步的能力,让掌上电脑也能成为暂时上网的救急工具。因此,由于移动通信和移动商务的市场需求不断增加,掌上电脑的一个重要发展趋势就是强调在无线状态下的沟通能力。另外,掌上电脑通过蓝牙技术也可以与打印机、耳机,移动电话等各项蓝牙产品进行更大量、更快速、更安全的多点传输,享受真正无拘无束的无线生活。 扩展应用组合。现在,已经有掌上电脑内建CF与SD双插槽,甚至内置GPRS、GPS模块、摄像头,将它们变成导航员、电话、收音机、数码相机……此外,娱乐化和个性化也成为重点。多家厂商已经推出了主攻多媒体娱乐功能的掌上电脑,不但整合了MP3播放器的功能,而且还能在掌上播放最新DVD大片。 (刘霞) |
||||||||||||||||||||||||||
