文/田愛寶

文/田愛寶

隨著網絡的發(fā)展，越來越多的應用系統(tǒng)需要網絡承載。很多情況下，出于安全等方面的原因，應用系統(tǒng)并不適合接入Internet，需用使用專網的方式提供服務，而有些應用系統(tǒng)的用戶并不在相對集中的地方，甚至相隔幾千公里，使用租用專線的方式成本高昂，線路利用率不高，這時，虛擬專用網（Virtual Private Network，簡稱VPN）應運而生。虛擬專用網是利用公共線路建立的專用網絡，無需租用高昂的專用線路，低成本的利用公共網絡提供專網服務。

虛擬專用網具有低成本、數據傳輸安全可靠、接入靈活等優(yōu)點，得到了廣泛的使用。根據虛擬專用網使用的技術，分為IPsec VPN、SSL VPN、PPTP VPN等多種類型，其中根據安全級別、網絡結構、接入端類型可以選擇不同類型的VPN，以滿足應用系統(tǒng)安全、方便用戶接入等需求。

防火墻是由硬件和軟件組成的一套安全系統(tǒng)，在專用網絡與公共網絡件形成一道安全屏障，保護專用網絡安全。防火墻能提供完整的安全保護機制和手段，同時作為安全產品，有些防火墻還提供了VPN功能。

多專網并行面臨的問題

中國石油大學（華東）目前有兩個校區(qū)、一個辦事處、一個產業(yè)基地，兩兩相距20到1000公里不等，師生因教學生活等原因會在不同的地點流動，均希望能享受與主校區(qū)相同的校園信息化服務。校園信息化系統(tǒng)中最基礎的校園一卡通系統(tǒng)、學校財務綜合管理系統(tǒng)、學校醫(yī)療醫(yī)保系統(tǒng)需要根據各分支點的情況一個或多個延伸到不同的分支機構，由于安全等問題，各自專網必須相互隔離。

按照傳統(tǒng)模式，主校區(qū)與各分支機構需要建立一個或多個并行的虛擬網絡，將其各自專網進行互聯互通，如校園一卡通系統(tǒng)需要使用多臺VPN設備將不同分支機構的一卡通專網進行互聯，與此同時，學校財務綜合管理系統(tǒng)和學校醫(yī)療醫(yī)保系統(tǒng)均需要購買多臺獨立的VPN設備進行各自專網的互聯互通，這就導致同一地點VPN設備重復購買多臺，前期購買成本增加，而且存在有些VPN設備數據流量不大，浪費設備資源。

圖1 傳統(tǒng)虛擬專網結構

防火墻虛擬化提供多個虛擬專網

中國石油大學（華東）目前跨校區(qū)跨分支機構的基礎專用網絡主要有三個，即校園一卡通專網、學校財務管理專網、學校醫(yī)療醫(yī)保專網三個，不同校區(qū)和分支機構有不同的專網接入需求，如圖1所示。根據各自專網的用途，不同的虛擬專網有各自的特點：

校園一卡通專網分布最廣，幾乎遍布所有校區(qū)、所有分支機構。由于提供消費、門禁、設備管理、教學管理等各方面服務，校園一卡通專網具有終端節(jié)點特別分散且分布不均衡，業(yè)務持續(xù)時間長，網絡數據量大等特點，而且存在金融類消費數據傳輸，數據傳輸中的安全性、完整性、穩(wěn)定性要求較高，故一般經過廣域網傳輸的數據均必須加密。

學校財務管理專網主要為學校財務預概算、報銷業(yè)務辦理、住房公積金管理等業(yè)務提供服務保障，一般只能向分校區(qū)和具有財務管理權限的分支機構提供接入服務。財務管理人員一般集中在一個或幾個地方，辦公地點比較固定，偶爾有出差外地訪問的需求。由于財務管理系統(tǒng)一般子系統(tǒng)比較多，各子系統(tǒng)數據傳輸采用明文或密文的方式，安全性無法完全保證，從較高的安全界別考慮，跨區(qū)域不可控網絡必須對數據進行加密。

學校醫(yī)療醫(yī)保專網主要用于兩校區(qū)校醫(yī)院內部醫(yī)療管理系統(tǒng)，存在金融數據傳輸，并同時兩校區(qū)均需要訪問地方醫(yī)保專網進行醫(yī)保報銷等業(yè)務辦理，數據傳輸安全性較高。

綜合以上特點，三個專網均對數據傳輸的安全性要求較高，穩(wěn)定性較高，同時部分專網有對移動接入需求，故可以采用IPSec VPN模式，實現網絡對網絡的連接和網絡到終端的連接。

防火墻虛擬化是將一臺物理防火墻劃分成多個邏輯防火墻，多個邏輯防火墻共享物理防火墻硬件資源，各個邏輯防火墻間網絡相互隔離，每個邏輯防火墻有獨立的資源、管理、策略、認證信息等。當前，防火墻作為一款安全設備，基本上集成了如IPSec VPN、PPTP VPN、SSL VPN等常見類型的VPN，完全能滿足常用專網對VPN的需要。

中國石油大學（華東）主校區(qū)和分校區(qū)有校園一卡通、學校財務、醫(yī)療醫(yī)保三個專網，辦事處只需要接入校園網一卡通專網，產業(yè)基地需要接入校園網一卡通和財務管理專網，根據上述情況，將有多個專網接入需求的地點采用共享的方式，使用防火墻虛擬化技術，解決各專網使用虛擬網方式進行互聯，如圖2所示。

防火墻虛擬化后，根防火墻只負責設備的管理及虛擬防火墻的維護，保障物理就虛擬防火墻的網絡安全，一般由學校信息化或校園網管理部門管理；各邏輯防火墻接入到各自專網，并與其他防火墻上相應的邏輯防火墻建立虛擬網鏈路，組成虛擬專用網，并根據安全需要配置相適應的網絡安全策略，也可以配置移動用戶賬號以滿足移動用戶的接入需要，對于虛擬防火墻的管理員和用戶是完全透明的。

使用防火墻虛擬化的方式組建VPN網絡后，原有的VPN設備基本上被淘汰，取而代之的是幾臺防火墻設備。虛擬網設備采購成本更低，硬件資源在不同虛擬網之間動態(tài)調整，設備利用率得到較大提升，同時，由于物理防火墻可以在資源足夠的情況下建立更多的虛擬網，設備擴展空間很大。除此之外，由于使用虛擬化技術，省去了采購時間，虛擬網搭建速度大大提高，甚至可以作為一種服務來提供給用戶。

圖2 使用虛擬防火墻后的虛擬專網結構