王偉聰

【摘要】隨著信息時(shí)代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出產(chǎn)業(yè)多元化、結(jié)構(gòu)分布化、管理信息化的特征。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷提升，信息管理范圍不斷擴(kuò)大，不論是企業(yè)內(nèi)部職能部門，還是企業(yè)外部的供應(yīng)商、分支機(jī)構(gòu)和外出人員，都需要同企業(yè)總部之間建立起一個(gè)快速、安全、穩(wěn)定的網(wǎng)絡(luò)通信中小企業(yè)所建立的網(wǎng)絡(luò)信息管理中心，大部分網(wǎng)絡(luò)和信息資源只允許擁有企業(yè)內(nèi)絡(luò)IP地址的授權(quán)用戶訪問，對于某些在中小企業(yè)通過撥號(hào)等方式上網(wǎng)卻沒有固定IP地址的用戶，無法訪問中小企業(yè)總部資源，該文提出利用vpn技術(shù)在企業(yè)內(nèi)網(wǎng)的基礎(chǔ)上架構(gòu)一個(gè)安全、可靠的專用虛擬網(wǎng)絡(luò) ，專供中小企業(yè)管理系統(tǒng)使用。

【關(guān)鍵詞】中小企業(yè) 網(wǎng)絡(luò)互聯(lián) vpn技術(shù)

【中圖分類號(hào)】G633 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】2095-3089（2017）20-0028-01

隨著我國Internet和信息技術(shù)的快速發(fā)展 ，人們越來越依賴Internet進(jìn)行各種數(shù)據(jù)交換和信息存取，中小企業(yè)網(wǎng)絡(luò)化和信息化建設(shè)也進(jìn)一步完善，應(yīng)用信息系統(tǒng)逐漸豐富，中小企業(yè)信息資源得到飛速的發(fā)展，現(xiàn)在企業(yè)信息管理系統(tǒng)、企業(yè)總部和分公司都離不開信息資源共享。

然而對于中小企業(yè)來說，基于安全和公司信息資源保密并不是無限制地對外開放，中小企業(yè)許多信息資源僅限企業(yè)內(nèi)訪問。此外，許多中小企業(yè)為了規(guī)范化管理，均采用統(tǒng)一的企業(yè)管理系統(tǒng)在企業(yè)內(nèi)網(wǎng)上支撐多分公司中小企業(yè)業(yè)務(wù)，勢必存在許多安全隱患，為了安全起見一般采用獨(dú)立成網(wǎng)，但是這種做法費(fèi)用高而且不靈活。若能在企業(yè)內(nèi)網(wǎng)的基礎(chǔ)上架構(gòu)一個(gè)安全、可靠的專用虛擬網(wǎng)絡(luò)，專供中小企業(yè)管理系統(tǒng)使用，既廉價(jià)又方便。

本文介紹了目前電信公司運(yùn)用VPN技術(shù)來解決以上問題的方案。

1.VPN描述

1.1 VPN的定義 VPN（Virtual Private Network，虛擬專用網(wǎng)）是一種通過對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密，在公網(wǎng)如因特網(wǎng)上傳輸私有數(shù)據(jù)，同時(shí)保證私有網(wǎng)絡(luò)安全性的技術(shù)。它是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一個(gè)臨時(shí)、安全、邏輯上的專用通道，盡管沒有自己的專用線路，但是這個(gè)邏輯上的專用通道卻可以提供和專用網(wǎng)絡(luò)同樣的功能。

1.2 VPN的主要特點(diǎn)

1.2.1 網(wǎng)際互聯(lián)安全性高 VPN技術(shù)繼承了現(xiàn)有網(wǎng)絡(luò)的安全技術(shù)，并結(jié)合了下一代IPv6的安全特性，通過隧道、認(rèn)證、接入控制、數(shù)據(jù)加密技術(shù)，利用公網(wǎng)建立互聯(lián)的虛擬專用通道，實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)的安全。

1.2.2 經(jīng)濟(jì)實(shí)用、管理簡化 由于VPN獨(dú)立于初始協(xié)議，用戶可以繼續(xù)使用傳統(tǒng)設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開銷和安全配置。

1.2.3 可擴(kuò)展性好 如果想擴(kuò)大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級組織重簽合約，擴(kuò)大服務(wù)范圍。在遠(yuǎn)程地點(diǎn)增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有因特網(wǎng)和VPN能力，路由器還能對工作站自動(dòng)進(jìn)行配置。

1.2.4 支持多種應(yīng)用 由于VPN給我們提供了安全的通道，可以把目前在局域網(wǎng)上的應(yīng)用直接運(yùn)用在廣域網(wǎng)上。VPN則可以支持各種高級的應(yīng)用，如IP語音，IP傳真等。

1.2.5 有效實(shí)現(xiàn)網(wǎng)絡(luò)資源共建共享 在網(wǎng)絡(luò)安全的保證下和認(rèn)證技術(shù)的支持下，可以實(shí)現(xiàn)整個(gè)VPN體系中互聯(lián)單位的資源共建共享，避免資源重復(fù)開發(fā)帶來的巨大浪費(fèi)，甚至可以實(shí)現(xiàn)普通讀者在家用ADSL來訪問公共企業(yè)局域網(wǎng)絡(luò)中的全文數(shù)據(jù)庫。

2.利用VPN實(shí)現(xiàn)中小企業(yè)網(wǎng)絡(luò)互聯(lián)

要實(shí)現(xiàn)對分布在不同地域的信息資源實(shí)行更為方便有效的統(tǒng)一規(guī)劃與管理，并有效地利用各總公司與分公司的資源，進(jìn)行內(nèi)部業(yè)務(wù)交流和開展為企業(yè)員公司工作服務(wù)，必須解決兩個(gè)問題：第一，要建立企業(yè)網(wǎng)絡(luò)間的安全通道，保護(hù)鏈路的通訊安全。第二，要根據(jù)身份認(rèn)證實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)內(nèi)部共享資源的訪問控制。利用VPN技術(shù)將有效解決上述問題。

2.1 采用自建方式構(gòu)建VPN網(wǎng)絡(luò) 雖然可以通過ISP（Internet Service Provider，網(wǎng)絡(luò)服務(wù)提供商）的中心交換設(shè)備來構(gòu)建專用通道，但公共中小企業(yè)內(nèi)部局域網(wǎng)互聯(lián)速度相對較快，所以中小企業(yè)VPN網(wǎng)絡(luò)互聯(lián)宜采用自建的方式。其優(yōu)勢如下：①多數(shù)公共中小企業(yè)都具備良好的 計(jì)算機(jī)基礎(chǔ)設(shè)施和內(nèi)聯(lián)局域網(wǎng)，接入因特網(wǎng)帶寬有百兆、甚至千兆，而總館在這方面的優(yōu)勢更加突出。在此基礎(chǔ)上自建VPN，既便捷又經(jīng)濟(jì)。②能使中小企業(yè)互聯(lián)網(wǎng)絡(luò)對所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。③開發(fā)額外的新的應(yīng)用服務(wù)不用通過與ISP協(xié)商。中小企業(yè)信息技術(shù)應(yīng)用人員可得到可持續(xù)性鍛煉和培養(yǎng)。④可以根據(jù)需要來配置自己的安全策略，滿足不同級別的安全需要。

2.2 VPN類型的選擇 目前國內(nèi)高校大多采用IPSec（IP Security）VPN技術(shù)來解決外部公司用戶訪問校中小企業(yè)問題。但由于IPSec協(xié)議最初是為了解決點(diǎn)對點(diǎn)的安全問題而制定的。因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案面對越來越多終端站點(diǎn)時(shí)，已日漸顯得力不從心。

在此情況下，SSL（Secruity Socket Layer）VPN技術(shù)應(yīng)運(yùn)而生。SSL VPN的突出優(yōu)勢在于Web安全和移動(dòng)接入。它可以提供遠(yuǎn)程的安全接入，而無需安裝或設(shè)定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對SSL VPN公認(rèn)的三大好處：一是它不需要配置，可以立即安裝立即生效和使用；二是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；三是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的外部公司用戶只需要打開IE瀏覽器訪問中小企業(yè)的Internet IP即可成功接入中小企業(yè)。

但SSL VPN并不能取代IPSec VPN，因?yàn)檫@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSL VPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而IPSec VPN是在兩個(gè)局域網(wǎng)之間通過Intemet建立安全連接，是實(shí)現(xiàn)點(diǎn)對點(diǎn)之間的通信。并且，IPSec工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。從高校應(yīng)用來看，由于SSL接人方式下所有用戶的訪問請求都是從SSL VPN設(shè)備的LAN口發(fā)起的。對于那些對單個(gè)用戶流量有嚴(yán)格限制的資源商來說，集群SSL用戶的訪問會(huì)被當(dāng)成一個(gè)用戶對待。這樣當(dāng)集群訪問流量達(dá)到資源商限制的數(shù)值時(shí)，就極易造成該IP被禁用，從而導(dǎo)致所有SSL用戶無法繼續(xù)訪問中小企業(yè)。

為解決這個(gè)問題，可以將中小企業(yè)大量的外部公司用戶分為兩類，一類是使用中小企業(yè)資源較為頻繁、訪問數(shù)據(jù)量較大的用戶（比如業(yè)務(wù)員，但用戶數(shù)量少）；另一類則是使用次數(shù)較少、訪問數(shù)據(jù)不多的用戶（比如客戶，但用戶將數(shù)量多）。通過用戶劃分，我們給企業(yè)管理人員用戶分配IPSec接入方式，這樣就可以把大流量的用戶分配到不同的IP地址上。避免IP流量過大造成IP被禁用問題；而將那些數(shù)量眾多但訪問量小的學(xué)生用戶分配SSL接入方式。利用SSL VPN無需部署客戶端的特性來降低客戶端的維護(hù)工作量，從而實(shí)現(xiàn)VPN在中小企業(yè)應(yīng)用的快速部署。