陳 源，任少波，曾友東

（航空工業(yè)成都飛機(jī)工業(yè)（集團(tuán)）有限責(zé)任公司，四川成都610091）

0 引言

云計(jì)算代表了企業(yè)IT 技術(shù)發(fā)展的新方向，儼然成為企業(yè)信息平臺(tái)最核心的基礎(chǔ)設(shè)施。云計(jì)算的出現(xiàn)和應(yīng)用使企業(yè)組織開發(fā)、部署和管理企業(yè)應(yīng)用程序的方式發(fā)生了根本改變。云計(jì)算可以通過自定義產(chǎn)品和服務(wù)的方式來運(yùn)行企業(yè)的各類信息系統(tǒng)，滿足企業(yè)各類業(yè)務(wù)系統(tǒng)的計(jì)算和存儲(chǔ)要求。云計(jì)算的應(yīng)用和推廣從根本上改變了傳統(tǒng)企業(yè)IT基礎(chǔ)設(shè)施的建設(shè)模式、建設(shè)周期、運(yùn)行方式，降低了企業(yè)軟硬件的投入成本。私有云作為一種云模式，得到了廣泛關(guān)注和應(yīng)用，尤其是對(duì)數(shù)據(jù)安全有特別要求的企業(yè)。一些跨國公司，分支機(jī)構(gòu)遍布世界，人員全球辦公，對(duì)如何跨越地理限制協(xié)調(diào)工作存在巨大需求。VPN 技術(shù)利用公共互聯(lián)網(wǎng)建立專門的網(wǎng)絡(luò)通道，為異地員工安全使用公司內(nèi)網(wǎng)提供了技術(shù)支持。VPN 能夠保障通信的私密性，因此可以利用VPN 技術(shù)突破網(wǎng)絡(luò)封鎖訪問公司內(nèi)部受限站點(diǎn)。利用VPN 的隧道技術(shù)和加密技術(shù)，異地員工可以通過互聯(lián)網(wǎng)安全可靠地訪問公司私有云上的數(shù)據(jù)，并使用私有云上的各種計(jì)算服務(wù)。大型企業(yè)私有云系統(tǒng)的合法用戶較多，如何對(duì)眾多用戶進(jìn)行授權(quán)管理，降低管理難度，提高管理效率，同時(shí)加強(qiáng)安全防范能力是一個(gè)亟待解決的問題。域控系統(tǒng)是一種能夠?qū)τ脩羯矸葸M(jìn)行審核和授權(quán)管理的高效和安全的解決方案。域控系統(tǒng)可以對(duì)用戶進(jìn)行嚴(yán)格的身份驗(yàn)證和審查，對(duì)用戶系統(tǒng)環(huán)境進(jìn)行靈活管理，包括密碼使用策略、軟件安裝策略、軟件使用策略、用戶權(quán)限策略、桌面環(huán)境統(tǒng)一策略等。在私有云平臺(tái)上集成VPN技術(shù)和域控系統(tǒng)，為企業(yè)提供了靈活方便、安全可靠的信息基礎(chǔ)設(shè)施。

1 私有云

云計(jì)算是一種根據(jù)企業(yè)運(yùn)行需求進(jìn)行定制化設(shè)計(jì)的信息基礎(chǔ)設(shè)施，在不改變硬件投入的情況下，可以根據(jù)企業(yè)計(jì)算需求和存儲(chǔ)需求進(jìn)行靈活配置，并能夠隨時(shí)根據(jù)企業(yè)需求進(jìn)行配置調(diào)整。用戶的管理和運(yùn)行成本大大降低。傳統(tǒng)的IT系統(tǒng)建設(shè)過程往往需要經(jīng)歷預(yù)算申請(qǐng)、硬件采購、設(shè)備到貨、機(jī)器上架、系統(tǒng)安裝等過程，少則需要一個(gè)月，多則可能需要半年才能完成整套系統(tǒng)的部署。在快速迭代的互聯(lián)網(wǎng)時(shí)代，這種低效的建設(shè)模式會(huì)對(duì)企業(yè)業(yè)務(wù)運(yùn)行帶來巨大的影響。利用云服務(wù)，只需要打開電腦，點(diǎn)擊鼠標(biāo)就可以完成資源的購置，在線即刻進(jìn)行業(yè)務(wù)系統(tǒng)的部署和調(diào)整。云計(jì)算相對(duì)于傳統(tǒng)IT 技術(shù)來說主要有3 點(diǎn)優(yōu)勢：提高效率、降低成本、助力創(chuàng)新［1-2］。

根據(jù)云計(jì)算的不同應(yīng)用需求，可以設(shè)計(jì)3種云模式，即私有云、公有云以及混合云。公有云由專門的云計(jì)算企業(yè)提供完整的云服務(wù)，一臺(tái)云服務(wù)器可以為多家企業(yè)提供云服務(wù)。當(dāng)某個(gè)企業(yè)停止訂購公有云服務(wù)時(shí)，其租用的云服務(wù)器上的資源將會(huì)被清空并提供給其他企業(yè)使用。公有云的優(yōu)點(diǎn)是價(jià)格低廉、使用便捷、節(jié)省維護(hù)成本；缺點(diǎn)是不夠安全，有文件泄露的風(fēng)險(xiǎn)，企業(yè)轉(zhuǎn)移大量數(shù)據(jù)時(shí)需要花費(fèi)很大一筆費(fèi)用。私有云只為某個(gè)企業(yè)提供云服務(wù)，云服務(wù)器不共享，能更好地保證企業(yè)重要數(shù)據(jù)不被破壞和竊取，并有效改善云計(jì)算服務(wù)品質(zhì)。不同于公有云的租賃使用方式，企業(yè)對(duì)私有云服務(wù)器擁有完整的所有權(quán)和使用權(quán)，可完全控制云服務(wù)器軟件安裝和系統(tǒng)配置工作。私有云服務(wù)器既可以設(shè)置在企業(yè)內(nèi)部，自行配置機(jī)房設(shè)施；也可以設(shè)置在外部的數(shù)據(jù)中心，由專業(yè)公司進(jìn)行服務(wù)器托管。私有云極大地保障了數(shù)據(jù)安全，因而成為眾多對(duì)數(shù)據(jù)安全有較高要求的企業(yè)的必然選擇?；旌显萍骖櫫斯性频牡统杀竞退接性频母甙踩椿旌显浦屑扔泄性朴钟兴接性?。公有云上存儲(chǔ)需要公開或者安全性要求低的數(shù)據(jù)，提供公開服務(wù)。私有云上存儲(chǔ)安全要求高的數(shù)據(jù)，不提供企業(yè)以外的云服務(wù)?；旌显剖瞧髽I(yè)在數(shù)據(jù)安全和運(yùn)行成本之間折中的選擇。

虛擬化和云平臺(tái)是云計(jì)算的基礎(chǔ)，虛擬化提供資源池化、資源調(diào)度，云平臺(tái)提供資源管理、運(yùn)營等。虛擬化技術(shù)解耦了服務(wù)器硬件和操作系統(tǒng)之間的緊耦合關(guān)系，能夠進(jìn)行物理資源共享、復(fù)用等操作。虛擬化分為計(jì)算虛擬化，即把處理器資源虛擬化；網(wǎng)絡(luò)虛擬化，即用軟件定義網(wǎng)絡(luò)；存儲(chǔ)虛擬化，即把每塊云盤虛擬化成一個(gè)存儲(chǔ)池，用戶可根據(jù)需求進(jìn)行自定義劃分。資源池化可以把單塊容量有限的存儲(chǔ)器虛擬化成一個(gè)資源池，而云主機(jī)可以自由分配該資源池的資源，形成多個(gè)虛擬機(jī)。虛擬化平臺(tái)中包含了資源調(diào)度的功能，如高可用、熱遷移、動(dòng)態(tài)資源導(dǎo)讀、彈性伸縮等，能夠讓虛擬機(jī)逾越服務(wù)器之間的物理邊界進(jìn)行資源調(diào)度。但虛擬化沒有解決多地域和多平臺(tái)問題，即如何管理分散在不同地域的IT資源，如何用一套平臺(tái)體系，統(tǒng)一管理不同資源平臺(tái)。云平臺(tái)實(shí)現(xiàn)了IT資源的統(tǒng)一管理，包括多區(qū)域、異構(gòu)平臺(tái)管理、精細(xì)化運(yùn)營。一套完整的私有云是基于虛擬化和云平臺(tái)的整合，虛擬化提供資源池化、資源調(diào)度，云平臺(tái)提供資源管理、運(yùn)營等。

2 VPN技術(shù)

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）通常使用互聯(lián)網(wǎng)建立專有網(wǎng)絡(luò)，通過加密技術(shù)保證數(shù)據(jù)安全，在交通混亂的公共信息高速路上設(shè)置了一條安全的綠色數(shù)據(jù)通道。VPN 在企業(yè)總部和分公司之間，在不使用專用物理線路的基礎(chǔ)上，利用互聯(lián)網(wǎng)建立安全通行隧道，虛擬一條通信專線。對(duì)于異地機(jī)構(gòu)和人員［3-4］，利用VPN 連接到企業(yè)總部，在用戶體驗(yàn)上和使用公司局域網(wǎng)完全一樣。以前企業(yè)要實(shí)現(xiàn)異地辦公，通常需要租用數(shù)字專線或者幀中繼來滿足安全訪問企業(yè)內(nèi)網(wǎng)的要求，但這種方法既費(fèi)用高昂又不夠靈活，特別是對(duì)于需要經(jīng)常出差進(jìn)行移動(dòng)辦公的員工。VPN 保證了異地私有云與用戶主機(jī)間的安全可靠連接，已經(jīng)成為私有云技術(shù)應(yīng)用不可或缺的技術(shù)。

實(shí)現(xiàn)VPN 的主要技術(shù)有隧道通信協(xié)議、數(shù)據(jù)加密技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)等。隧道通信協(xié)議使各種內(nèi)部數(shù)據(jù)包可以通過公共網(wǎng)絡(luò)進(jìn)行傳輸；數(shù)據(jù)加密技術(shù)可對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，對(duì)用戶ID 進(jìn)行認(rèn)證、抗否認(rèn)等；網(wǎng)絡(luò)訪問控制主要用來對(duì)網(wǎng)絡(luò)訪問進(jìn)行保護(hù)，并應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊。由于當(dāng)前廣泛使用的IPv4互聯(lián)網(wǎng)協(xié)議中，獨(dú)立的IP地址數(shù)量過少，無法保證企業(yè)內(nèi)網(wǎng)用戶都能使用獨(dú)立的IP地址。企業(yè)內(nèi)網(wǎng)用戶使用的局域網(wǎng)IP，無法直接通過互聯(lián)網(wǎng)端口向外部傳送數(shù)據(jù)，因此在和外網(wǎng)收發(fā)傳輸數(shù)據(jù)前需要把眾多用戶局域網(wǎng)IP地址轉(zhuǎn)換為企業(yè)對(duì)外使用的一個(gè)或多個(gè)互聯(lián)網(wǎng)IP地址。IP地址轉(zhuǎn)換可以采用靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換、端口更改、數(shù)據(jù)包封裝等方法。VPN通常采用對(duì)數(shù)據(jù)包進(jìn)行封裝的方法，建立安全的通信隧道。在VPN的發(fā)送端對(duì)傳輸?shù)脑紨?shù)據(jù)進(jìn)行打包封裝，增加互聯(lián)網(wǎng)IP 包頭。封裝好的數(shù)據(jù)包在互聯(lián)網(wǎng)被傳輸?shù)絍PN 接收端后需要進(jìn)行解包處理，識(shí)別出原始數(shù)據(jù)后再發(fā)送給接收該包的真正用戶。VPN 廣泛采用了數(shù)據(jù)封包技術(shù)進(jìn)行內(nèi)外網(wǎng)地址轉(zhuǎn)換。但數(shù)據(jù)封包技術(shù)只能保證數(shù)據(jù)在VPN虛擬通道中準(zhǔn)確傳遞，要保證數(shù)據(jù)傳輸?shù)陌踩€必須用到另一項(xiàng)重要的技術(shù)，即數(shù)據(jù)加密。密碼學(xué)和互聯(lián)網(wǎng)的結(jié)合，產(chǎn)生了廣泛應(yīng)用的數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密已經(jīng)成為保障傳遞數(shù)據(jù)安全的不可或缺的重要技術(shù)。數(shù)據(jù)加密采用軟件方法以較小代價(jià)保證了數(shù)據(jù)在公共網(wǎng)絡(luò)中傳遞時(shí)不被泄露和破解，防止數(shù)據(jù)被竊取。網(wǎng)絡(luò)控制技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)防火墻功能，任何進(jìn)出外網(wǎng)的數(shù)據(jù)都會(huì)經(jīng)過安全過濾。VPN系統(tǒng)通常需要完備的網(wǎng)絡(luò)訪問控制技術(shù)，以保證網(wǎng)絡(luò)訪問安全可控，便于進(jìn)行統(tǒng)一管理。

VPN 的部署方式有多種，如遠(yuǎn)程訪問VPN、站到站VPN、移動(dòng)VPN、硬件VPN、VPN 網(wǎng)關(guān)設(shè)備、動(dòng)態(tài)多點(diǎn)VPN等。遠(yuǎn)程訪問VPN的客戶端通信需要先連接到企業(yè)網(wǎng)絡(luò)上的VPN網(wǎng)關(guān)服務(wù)器。網(wǎng)關(guān)要求設(shè)備在授予對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問權(quán)限之前驗(yàn)證其身份。這種VPN類型通常依賴IP安全（IPsec）或安全套接字層（SSL）來保護(hù)連接。站到站VPN 使用網(wǎng)關(guān)設(shè)備將異地（如分公司）的整個(gè)網(wǎng)絡(luò)連接到另一個(gè)地方（如公司總部）的網(wǎng)絡(luò)。遠(yuǎn)程位置中的終端節(jié)點(diǎn)設(shè)備不需要VPN客戶端，因?yàn)榫W(wǎng)關(guān)可以直接處理連接。大多數(shù)通過互聯(lián)網(wǎng)連接的站到站VPN 使用IPsec 協(xié)議，通常使用電信運(yùn)營商MPLS 云而不是公共互聯(lián)網(wǎng)進(jìn)行站到站VPN 傳輸，或者在網(wǎng)絡(luò)第三層連接（MPLS IP VPN）或第二層（虛擬專用局域網(wǎng)服務(wù)）的基礎(chǔ)傳輸上運(yùn)行。

在移動(dòng)VPN 中，VPN 服務(wù)器公司是訪問企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程入口，只允許經(jīng)過身份驗(yàn)證的授權(quán)客戶端進(jìn)行安全的隧道式訪問。移動(dòng)終端的VPN隧道并不與物理IP 地址綁定，而是每個(gè)VPN 隧道只綁定一個(gè)邏輯IP 地址。無論移動(dòng)用戶在哪里連接公司內(nèi)網(wǎng)，這個(gè)邏輯IP地址都會(huì)被固定在移動(dòng)設(shè)備上。一個(gè)有效的移動(dòng)VPN 可以為用戶提供連續(xù)的服務(wù)，并且可以跨接入技術(shù)和多個(gè)公有和私有網(wǎng)絡(luò)進(jìn)行切換。與嚴(yán)格基于軟件的VPN 相比，硬件VPN 除了能增強(qiáng)安全性之外，還可以為大型客戶端負(fù)載提供負(fù)載均衡。硬件VPN管理通常采用Web瀏覽器界面進(jìn)行管理。由于硬件VPN 比軟件VPN 成本更高，一般較大的企業(yè)都會(huì)選擇硬件VPN，只有用戶不多、過于考慮成本的小型企業(yè)才會(huì)選擇軟件VPN。VPN 網(wǎng)關(guān)設(shè)備是具有增強(qiáng)安全功能的網(wǎng)絡(luò)設(shè)備。VPN 網(wǎng)關(guān)設(shè)備也稱為SSL（安全套接字層）VPN 設(shè)備，它是一種路由器，為VPN 提供保護(hù)、授權(quán)、身份驗(yàn)證和加密。動(dòng)態(tài)多點(diǎn)虛擬專用網(wǎng)（DMVPN）直接在站點(diǎn)之間交換數(shù)據(jù)，用戶不需要直接訪問企業(yè)總部的VPN 服務(wù)器或路由器。每個(gè)遠(yuǎn)程站點(diǎn)配置了一個(gè)VPN 路由器，可以連接到公司的總部設(shè)備VPN 服務(wù)器上，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部可用資源的訪問。當(dāng)兩個(gè)遠(yuǎn)端用戶需要在彼此之間交換數(shù)據(jù)時(shí)（例如VoIP 電話呼叫），兩個(gè)用戶可以通過總部VPN 服務(wù)器來進(jìn)行數(shù)據(jù)傳遞，即在這兩個(gè)用戶之間直接創(chuàng)建動(dòng)態(tài)IPsec VPN隧道。

3 域控系統(tǒng)

域控系統(tǒng)主要用于控制和管理網(wǎng)絡(luò)上的計(jì)算機(jī)群組，授權(quán)或拒絕某個(gè)計(jì)算機(jī)用戶加入計(jì)算機(jī)組合。為了保證企業(yè)網(wǎng)絡(luò)訪問可控和企業(yè)私有云數(shù)據(jù)安全，必須對(duì)企業(yè)云用戶進(jìn)行嚴(yán)格管理。傳統(tǒng)的對(duì)等網(wǎng)系統(tǒng)是一個(gè)去中心的系統(tǒng)，所有的計(jì)算機(jī)用戶身份完全平等，資源相互共享，任何計(jì)算機(jī)都可不受干預(yù)地加入或退出，無須專門的計(jì)算機(jī)或服務(wù)器用于管理計(jì)算機(jī)組合。盡管可以在對(duì)等網(wǎng)系統(tǒng)中對(duì)一些重要數(shù)據(jù)或文件進(jìn)行加密處理，但由于網(wǎng)絡(luò)完全開放，極易受到攻擊和破解，無法保證數(shù)據(jù)共享和傳遞的安全。在域控系統(tǒng)中，有專門負(fù)責(zé)管理計(jì)算機(jī)用戶加入并對(duì)用戶身份進(jìn)行審核的計(jì)算機(jī)或服務(wù)器，因此大大提高了私有云的訪問安全性。域控系統(tǒng)相當(dāng)于給企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)增加了一個(gè)負(fù)責(zé)安全檢查的門衛(wèi)。域控系統(tǒng)會(huì)存儲(chǔ)所管理域中的全部賬戶、密碼等關(guān)鍵信息［5-6］。任何用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問，都需要域控系統(tǒng)對(duì)用戶身份進(jìn)行核查，首先判斷是否屬于該域管理的用戶，再對(duì)用戶賬戶和密碼進(jìn)行比對(duì)檢查。只有審查信息完全一致的用戶才可以登錄網(wǎng)絡(luò)系統(tǒng)。域控系統(tǒng)數(shù)據(jù)庫還為每個(gè)用戶設(shè)置了專門文件，確保每個(gè)用戶都只讀取和修改自己的數(shù)據(jù)，不會(huì)破壞其他用戶的專有數(shù)據(jù)。域控系統(tǒng)管理員是超級(jí)用戶，他具備所有用戶文件的訪問和修改權(quán)限，并能根據(jù)需要更改某個(gè)用戶或文件的訪問權(quán)限，設(shè)置用戶賬戶和密碼。域控系統(tǒng)管理員既要保證各類資源的合理分配，又要負(fù)責(zé)數(shù)據(jù)的安全管理。域控系統(tǒng)中還包含了用戶權(quán)限的分配情況，任何用戶只有經(jīng)過域管理員的同意并獲得相應(yīng)授權(quán)后才能在私有云上進(jìn)行軟件安裝、升級(jí)、卸載等操作，這樣能夠避免下載和安裝一些不當(dāng)軟件，避免引起病毒感染或重要文件受損，或者操作用戶數(shù)據(jù)丟失，極大地提高了用戶數(shù)據(jù)的安全性。

4 結(jié)語

私有云逐漸成為眾多企業(yè)IT系統(tǒng)主流選擇。和公有云相比，由于企業(yè)擁有云服務(wù)器所有權(quán)，因此私有云提供的計(jì)算和存儲(chǔ)業(yè)務(wù)更加安全可靠。VPN 技術(shù)通過在公共網(wǎng)絡(luò)上使用隧道通信和數(shù)據(jù)加密等技術(shù)，為在地理上分散的公司總部和分支機(jī)構(gòu)以及個(gè)人遠(yuǎn)程辦公提供了訪問企業(yè)內(nèi)網(wǎng)（私有云）的技術(shù)支持，真正突破了企業(yè)地理位置的限制，實(shí)現(xiàn)全球協(xié)同辦公。域控系統(tǒng)為私有云用戶管理提供了方便可靠的安全審核和用戶權(quán)限管理。在私有云平臺(tái)上集成VPN技術(shù)和域控系統(tǒng)，從而為企業(yè)提供便捷、安全、低成本的IT 信息基礎(chǔ)設(shè)施解決方案，逐漸成為企業(yè)IT基礎(chǔ)設(shè)施建設(shè)的主流解決方案。