IPSec是一個開放的應用范圍廣泛的網絡層VPN協議標準，是一套安全系統，包括安全協議選擇、安全算法、確定服務所使用的密鑰等服務，在網絡層為IP協議提供安全的保障，即IPSec可有效保護IP數據報的安全，如數據源驗證、完整性校驗、數據內容加密解密和防重演保護等。保證家具企業網絡用戶的身份驗證，保證經過網絡傳輸過程中數據信息完整性檢查，加密IP地址及數據信息保證其私有性和安全性。
　　3） 基于IPSec的VPN技術
　　基于IPSec的VPN技術解決了在Internet復雜的公網上所面臨的開放性及不安全因素的威脅，實現在不信任公共網絡中，通過虛擬“安全隧道”進行數據信息的安全傳輸。IPSec協議應用于OSI參考模型的第三層網絡層，基于TCP/IP的所有應用都要通過IP層，將數據封裝成一個IP數據包后再進行傳輸，所有要實現對上層網絡應用軟件的全透明控制，即同時對上層多種應用提供安全網絡服務，只需要在網絡層上采用VPN技術，基于IPSec的VPN技術提供了5種安全機制，即隧道技術、加密解密技術、密鑰管理技術、身份驗證技術和防重演保護技術，通過基于IPSec的VPN技術，來保證傳輸數據的安全性、可用性、完整性和保密性[1]。
　�。�1）隧道技術，隧道也可稱為通道，是在公用網中建立一條虛擬加密通道，讓數據包或者數據幀通過這條隧道安全傳輸。使用虛擬“安全隧道”傳遞的數據可以是不同協議的數據幀或數據包。“隧道”協議分為二、三層隧道協議，第二層隧道協議先把各種網絡協議封裝到PPP中，再把整個數據幀裝入到隧道協議中。這種雙層封裝方法形成的數據幀依靠第二層協議來傳輸，第二層協議包括PPTP、L2TP等。第三層隧道協議是把各種網絡協議直接裝入到隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層協議有GRE、IPSec等。這里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子協議保護IP數據包和IP數據首部不被第三方侵入，在兩個網絡之間建立一個虛擬“安全隧道” 用于數據信息的安全傳輸。授權用戶，通過IPSec安全策略的配置實現對網絡安全通信的保護意圖，其安全策略包括什么時候什么地方對AH和ESP保護，保護什么樣的通信數據，什么時候什么地方進行密鑰及保護強度的協商。IPSec通過認證和鑰匙交換機制確保中小型網絡與其分支機構網絡或合作伙伴進行既安全又保密的信息傳輸。在計算機上裝有IPSec的終端用戶可以通過撥入ISP的方式獲得對家具公司網絡的安全訪問。
　�。�2）加密解密技術，是為了保障虛擬“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取數據信息的能力，同時保證必須使偷聽者不能破解或解密攔截到的的數據信息，但是授權用戶可以通過解密技術，完整的訪問數據資源。
　�。�3）身份認證技術是通過對家具企業分支用戶或遠程用戶進行身份進行驗證，提供安全防護措施與訪問控制，包括對VPN“安全隧道”訪問控制的功能，有效的抵抗黑客通過VPN通道攻擊中小型家具企業網絡的能力。通過VPN服務器對授權用戶的身份及權限的驗證，嚴格控制授權的用戶訪問資源的權限。在每個VPN服務器上為遠端用戶的身份驗證憑據添加用戶信息，包括用戶名及密碼，并且配置了用戶名與呼叫用戶所使用的用戶名稱相同的請求撥號接口。
　　（4）密鑰交換技術，為了防止密鑰在Internet復雜的公網上傳輸過程中而不被竊取。提供密鑰中心管理服務器，現行的密鑰管理技術分為SKIP和ISAKMP/OAKLEY兩種。VPN技術能夠生成并更新客戶端和服務器的加密密鑰和密鑰的分發，實現動態密鑰管理。如果采用L2TP/IPSec模式的站點到站點VPN連接，還需要在每個VPN服務器上同時安裝客戶端身份驗證證書和服務器身份驗證證書；如果不安裝證書，則需要配置預共享的IPSec密鑰。
　　（5）防重演保護。具備防止數據重演的功能，而且保證通道不能被重演。確保每個IP包的合法性和惟一性，保證信息萬一被截取復制后，或者攻擊者截取破譯信息后，再用相同的信息包獲取非法訪問權，確保數據信息不會被重新利用、重新傳回目標網絡，
　　3.2其他輔助安全措施
　　對VPN服務器，還可以啟動軟件防火墻功能，如安全訪問策略、日志監控等功能，還可以安裝殺毒軟件，為內網提供安全屏障，再次增加網絡安全可靠性能。軟件防火墻通過設置的包過濾規則，分析IP數據報、TCP報文段、UDP報文段等，決定數據包是被阻止，還是繼續轉發，從網絡層和傳輸層上再次給予安全控制，提供了多層次安全保障體系。還可以增加應用層的過濾規則配置，再次提升VPN服務器安全性。
　　4 實踐應用分析
　　通過實踐應用，跨越Internet的中小型家具企業網絡安全解決方案分別從網絡層、傳輸層和應用層三個層次上給予安全保障，該方案充分利用VPN的“公網專用”的特點，允許中小型家具企業擁有一個世界范圍的專用網絡，在公用網中開辟虛擬“安全隧道”來保證遠程數據信息傳輸的可靠性和安全性；通過輔助的防火墻功能，進一步增加其安全。該方案使用高性能的PC充當VPN服務器，并配以Windows Server 2003操作系統，無需額外的復雜硬件設備與高昂的系統軟件，成本低、經濟實用、容易實現、維護簡單，是中小型家具企業網絡擴展不錯的選擇方案。VPN服務器不但具備VPN技術的功能外，還是一個中小家具企業的防火墻，安全配置、安全策略容易實現，一旦出現較大安全威脅，便于快速隔離網絡。
　　當然此方案也存在一些缺陷，主要是有依賴操作系統的安全性，操作系統本身的漏洞可能會造成安全隱患；VPN服務器是集多種服務于一體，需要較高高性能的計算機；VPN服務器故障會導致網絡連接失效；由軟件實現數據加密與解密、包過濾等，一定程度會占用系統資源，也會使通信效率略有降低；同時重注家具企業內部員工的安全培訓，有效地抑制社會學的攻擊，對來自家具企業內部員工的攻擊顯得無能為力。
　　5 結束語
　　跨越Internet的中小型家具企業網絡安全技術方案比較經濟、實用、安全、配置簡單，為中小家具企業打造一個世界范圍的網絡提供了較有力的技術支持，使得中小家具企業網絡也融入到互聯網這個“大家庭”中，不僅提高了中小型家具企業的工作效率，而且增強了其競爭力，將推動中小型家具企業電子商務，電子貿易，網絡營銷走向繁榮，加快了中小家具企業網絡信息化和經濟快速發展的步伐。
　　參考文獻：
　　[1] 郝春雷， 鄭陽平.中小型家具企業敏感分支網絡安全解決方案[J].商業時代，2007，（21）：45.
　　[2] 阿楠. VPN虛擬專用網的安全[J].互聯網天地，2007，（7）：46-47.
　　[3] 李春泉，周德儉，吳兆華. VPN技術及其在家具企業網絡安全技術中的應用[J]. 桂林工學院學報，2004，3：365-368.
　　[4] 韓儒博，鄔鈞霆，徐孟春.虛擬專用網絡及其隧道實現技術[J]. 微計算機信息，2005，14：1-3.
　　[5] 劉凱燕，武俊琢. VPN技術及其在現代家具企業網中的應用[J].電腦與電信，2007，03：63-65.
　　[6] 曾志峰，楊義先.基于操作系統內核的包過濾防火墻與VPN系統的研究與實現[J].計算機工程與應用，2001，21：40-43.