應用VPN技術構(gòu)建企業(yè)信息化平臺
寶鋼股份貿(mào)易分公司 許剛
集團型貿(mào)易企業(yè)網(wǎng)絡狀況及需求分析
對于寶鋼國際這樣的集團型貿(mào)易企業(yè)來說�����,為強化管理和降低運作成本����,保證信息流通及時快捷,提高競爭力��,實現(xiàn)利潤最大化的目標����,無庸質(zhì)疑需要構(gòu)建高效便捷的企業(yè)網(wǎng)絡
企業(yè)應用系統(tǒng)如OA、ERP��、CRM、SCM����、HR等�����,無不是構(gòu)建在網(wǎng)絡平臺之上���,企業(yè)網(wǎng)絡平臺解決方案應同時滿足多種業(yè)務的需求����,并與國際互聯(lián)網(wǎng)相連���。企業(yè)中各業(yè)務單元和員工通過內(nèi)部網(wǎng)絡能夠迅速共享并交互信息和知識��,從而將分散的能力轉(zhuǎn)化為團隊和集體解決力量����,增強企業(yè)的競爭力��。
一����、集團型貿(mào)易企業(yè)網(wǎng)絡原有狀況分析:
1���、與總部通過專線直連:各地分支和駐外機構(gòu)、協(xié)作單位通過電信專線接到總部�����,進行內(nèi)部OA�����、應用系統(tǒng)���、信息數(shù)據(jù)交流等多種應用;
2�、電話撥入:所在地無專線����,但需要連入企業(yè)內(nèi)網(wǎng)的單位和個人,采用電話線(包括ISDN)撥入方式��,即計算機連接直撥電話撥入公司總部����。
3�、通過企業(yè)網(wǎng)站連接總部:即通過登陸企業(yè)網(wǎng)站進行內(nèi)部公文���、業(yè)務處理和信息交流����。由于內(nèi)部系統(tǒng)完全放在公網(wǎng)上����,對網(wǎng)站和應用系統(tǒng)的安全技術性要求相當高�����,許多單位不會將核心內(nèi)容和業(yè)務放到WEB上面����,一般用于宣傳和公共信息交流。同時關聯(lián)協(xié)作單位之間傳輸數(shù)據(jù)也存在許多安全技術問題�����。
4�����、由于企業(yè)的迅速發(fā)展和各種應用系統(tǒng)推廣和延伸,有相當數(shù)量新建和未聯(lián)網(wǎng)分支機構(gòu)需要及時加入總部網(wǎng)絡�。
二、聯(lián)網(wǎng)需求分析:
1����、企業(yè)管理和業(yè)務發(fā)展迫切需要實現(xiàn)各分支機構(gòu)、移動人員與總部連通:為建立快速����、便捷的信息資迅傳輸通道,消滅信息孤島�,出于企業(yè)總部管理的需要以及各單位協(xié)同商務等系統(tǒng)的要求,迫切需要將各分支機構(gòu)連入總部以及實現(xiàn)各單位互連:各種OA辦公系統(tǒng)�、業(yè)務管理系統(tǒng)、客戶管理系統(tǒng)等應覆蓋全部業(yè)務地點;各種管理��、客戶�����、經(jīng)營信息等數(shù)據(jù)也須通過網(wǎng)絡及時傳輸;另外����,出差工作人員需要及時連接總部系統(tǒng)處理相關工作。
2、網(wǎng)絡需有效支撐一體化集中管理����、信息交流:整體連網(wǎng)后,信息傳輸必須通暢����、及時,總部與分支機構(gòu)通訊應如同在一個局域網(wǎng)內(nèi)部��,可運行各種管理系統(tǒng)�,實時采集、傳輸經(jīng)營和管理數(shù)據(jù)��,提高管理的準確性和執(zhí)行力��。
3��、應適應企業(yè)不斷發(fā)展和擴充要求:企業(yè)許多分支機構(gòu)不斷擴充����,對于新增單位���,應實現(xiàn)與總部的快速連接��,擴展方便��,提高信息化基礎建設效率��,降低成本��,增強核心競爭能力����。
4、簡便����、經(jīng)濟的連網(wǎng)方式:信息化網(wǎng)絡建設的投入直接關系到企業(yè)成本和利潤,應采用實施便捷�、費用節(jié)約的聯(lián)網(wǎng)方式。
5��、移動用戶快速連接:出差人員無論在國內(nèi)外均可迅速連接企業(yè)中心網(wǎng)絡�,保證信息溝通的通暢,提高工作效率�。
6、安全可靠的網(wǎng)絡環(huán)境:網(wǎng)絡應當安全可靠�����,保護企業(yè)數(shù)據(jù)和秘密,采用數(shù)據(jù)加密認證等安全措施�����,保證安全運行����。
7、網(wǎng)絡集中管理��,有效支持業(yè)務運行:應采用集中式網(wǎng)絡管理系統(tǒng)�,集中管理各分支網(wǎng)絡連接權限、移動用戶訪問權限�,開通相關單位的互連,為總部與各單位之間信息傳輸�、相關單位協(xié)同商務提供便利。
VPN聯(lián)網(wǎng)技術分析
本文討論的虛擬專用網(wǎng)即VPN(Virtual Private Network)是以公用網(wǎng)絡Internet為基礎����,結(jié)合隧道封裝��、認證�、加密、訪問控制等多種網(wǎng)絡安全技術�,為企業(yè)總部和分支機構(gòu)及移動辦公人員提供安全網(wǎng)絡連通的技術���。VPN的主要目標是建立一種低投入、方便快捷的網(wǎng)絡互連方式���,替代傳統(tǒng)專線連接和撥號連接���。
一、VPN技術基礎
虛擬專網(wǎng)主要基礎技術包括隧道技術�、密碼技術和網(wǎng)絡訪問控制技術。
1����、隧道技術:隧道技術使得各種內(nèi)部數(shù)據(jù)通過公網(wǎng)在虛擬專用通道內(nèi)進行傳輸。VPN的數(shù)據(jù)包封裝(隧道)是最常用的公網(wǎng)私有數(shù)據(jù)傳輸技術�����。在VPN的發(fā)送節(jié)點將原數(shù)據(jù)打包����,添加合法的外層IP包頭,通過公網(wǎng)被傳送到接收端的VPN節(jié)點����,該節(jié)點接收后進行拆包處理����,還原數(shù)據(jù)����。
2、密碼技術:密碼技術即加密隱蔽傳輸信息�����、認證用戶身份等�����,是實現(xiàn)網(wǎng)絡安全的最有效的技術之一��,加密網(wǎng)絡可以防止非授權用戶的搭線竊聽和入網(wǎng)���,并有效對付惡意軟件�����。數(shù)據(jù)加密通過各種加密算法來實現(xiàn)。
3����、網(wǎng)絡訪問控制技術:網(wǎng)絡訪問控制技術用于對系統(tǒng)進行安全保護����,抵抗攻擊���。網(wǎng)絡訪問控制技術源自傳統(tǒng)的防火墻功能����,由于防火墻和VPN均處于公網(wǎng)出口處����,在網(wǎng)絡中的位置基本相同,因此一個完整的VPN產(chǎn)品應同時提供完善的網(wǎng)絡訪問控制功能���,為系統(tǒng)的安全運營管理提供方便�,同時保護用戶投資��。
二��、 IPSec VPN網(wǎng)絡安全體系
寶鋼國際的全網(wǎng)VPN建設�����,采用了華為3Com公司的IPSec VPN系統(tǒng)建造虛擬專用網(wǎng)依據(jù)的主要國際標準有IPSec、L2TP�����、PPTP�����、L2F�、SOCKS等。
IPSec VPN技術屬于三層隧道VPN技術�����。它給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結(jié)構(gòu):
網(wǎng)絡安全協(xié)議���,大部分應用案例采用了ESP或同時使用ESP和AH;
密鑰管理協(xié)議����,Internet Key Exchange (IKE)協(xié)議����,實現(xiàn)安全協(xié)議的自動安全參數(shù)協(xié)商;
驗證及加密的算法,認證算法,HMAC-MD5�����、HMAC-SHA-1;加密算法���,DES、3DES�。
IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換���,向上提供了訪問控制���、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網(wǎng)絡安全服務�。同事,該VPN產(chǎn)品采用了經(jīng)過國家密碼管理機構(gòu)認可的產(chǎn)品���。
IPsec主要用于在網(wǎng)絡層實現(xiàn)VPN的技術��,根據(jù)用戶對在內(nèi)部網(wǎng)絡中傳輸數(shù)據(jù)的安全性和處理速度要求的情況���,適用于對網(wǎng)絡數(shù)據(jù)保密要求高的用戶,是一種端到端的安全實現(xiàn),從技術的角度上說�,在端到端客戶的路由器上實現(xiàn)是最安全合理的方式,中間任何一個路由器都不需要做相應設置����。因此,它的實現(xiàn)是一種與接入網(wǎng)絡無關的VPN技術���。
IPSec的主要特征在于它可以對所有IP級的通信進行加密和認證���,正是這一點才使IPSec可以確保包括遠程登錄、客戶/服務器����、電子郵件、文件傳輸及Web訪問在內(nèi)多種應用程序的安全�����。與其他方式相比����,IPSec具有明顯優(yōu)勢:IPSec在傳輸層之下,對應用程序透明�����,配置IPSec無需更改用戶或服務器系統(tǒng)中的軟件設置。IPSec對終端用戶來說是透明的��,因此不必對用戶進行安全機制的培訓
集團型貿(mào)易企業(yè)VPN解決方案實施
一�����、網(wǎng)絡結(jié)構(gòu)及設備部署
VPN網(wǎng)絡在連接方式上采用星型網(wǎng)絡結(jié)構(gòu)���,總部為VPN接入和管理中心,配有因特網(wǎng)專線;各分支節(jié)點采用專線或ADSL等方式通過公網(wǎng)與總部連接��,分支機構(gòu)之間采用動態(tài)VPN技術互聯(lián)��。
總部部署:在總部局域網(wǎng)Internet邊界后面配置兩臺專用VPN網(wǎng)關設備互為備份;同時配備總部VPN Manager管理組件�,實現(xiàn)對VPN網(wǎng)關的部署管理和監(jiān)控;
分支機構(gòu)部署:在分支機構(gòu)Internet邊界配置一臺專用VPN網(wǎng)關設備,由此兩端的VPN網(wǎng)關建立IPSec VPN隧道��,進行數(shù)據(jù)封裝�����、加密和傳輸;
移動終端子系統(tǒng)部署:為移動辦公的用戶配備VPN客戶端軟件和USB Key硬件認證密鑰����,接入網(wǎng)絡后進行相關的身份認證�、密鑰協(xié)商以及隧道建立��,用戶可以以透明的方式����,直接訪問總部局域網(wǎng)內(nèi)部的資源;
二、VPN網(wǎng)絡功能與特點
在所有邊界VPN網(wǎng)關完成相關配置以后�����,兩端局域網(wǎng)即可以實現(xiàn)透明相互訪問�����,兩端局域網(wǎng)中用戶不會感覺到VPN網(wǎng)絡的存在�����,非常有效的實現(xiàn)兩端局域網(wǎng)的銜接����,具有以下特點:
1、強大的VPN處理性能:采用專用VPN網(wǎng)關���,通過硬件加密處理器可以提供標準加密算法下數(shù)十到數(shù)百Mbps以上的加密吞吐量����,保證通訊快捷安全。
2����、豐富的VPN業(yè)務特性:專用VPN網(wǎng)關VPN功能豐富,可以支持IPSec�、L2TP、GRE�、MPLS等多種模式VPN�,充分滿足將來系統(tǒng)擴展的需求;網(wǎng)關設備支持防火墻、AAA���、NAT���、QoS等技術,可以確保實現(xiàn)安全的����、高質(zhì)量的私有網(wǎng)絡。
3���、良好的NAT功能特性:支持局域網(wǎng)內(nèi)用戶使用私有地址池中的IP地址訪問外部網(wǎng)絡;支持將訪問控制列表與地址��、接口的關聯(lián);支持外部網(wǎng)絡主機訪問內(nèi)部的設備����。
4、全面的安全保障和QoS保證:具有防火墻安全過濾能力��、組合多種安全認證能力和完善的用戶認證機制����,確保所交換信息的可靠性;支持流分類、流量監(jiān)管��、流量整形及接口限速;支持擁塞管理(FIFO�����、PQ��、CQ����、WFQ、CBWFQ����、RTPQ);支持擁塞避免(WRED);支持對接入用戶進行精細訪問控制��,靈活控制其可以訪問的網(wǎng)絡資源的范圍���,極大的滿足了企業(yè)的靈活的安全控制需求。
5�、支持多種Internet接入方式:總部和分支機構(gòu)、移動用戶可采用ADSL����、寬帶、WLAN��、GPRS�����、CDMA等接入方式���,提供最大限度的靈活性;
6、方便安全的移動用戶接入:采用雙因素方式提高用戶身份驗證安全性��,采用硬件密鑰方便用戶使用��,減少用戶身份信息被盜用的風險。同時減少VPN配置管理工作來提高用戶的工作效率��,最終幫助企業(yè)實現(xiàn)優(yōu)化大規(guī)模遠程訪問VPN用戶的部署工作���。
7����、動態(tài)VPN配置策略的應用:采用先進的動態(tài)VPN技術�����,����,很好地解決動態(tài)IP及NAT穿越的問題,實現(xiàn)動態(tài)VPN隧道的建立和撤銷����,避免星型VPN組網(wǎng)的性能瓶頸,同時簡化配置和部署過程���。
傳統(tǒng)的VPN連接方式主要有靜態(tài)網(wǎng)狀連接和靜態(tài)星形連接方式����。在簡單的應用環(huán)境中可以滿足VPN組網(wǎng)的需求。但是在數(shù)據(jù)通信模式比較復雜的環(huán)境中��,VPN的隧道數(shù)量和配置工作量將急劇增加�,因此在設計VPN方案時,必須能夠支持動態(tài)建立VPN�����,通過自動的�、動態(tài)的在所需要的網(wǎng)絡節(jié)點之間建立VPN通道,使之具備良好的可維護性和可管理性���,同時提供有保證的網(wǎng)絡通信性能的前提下�����,構(gòu)建全局的VPN網(wǎng)絡��,實現(xiàn)數(shù)據(jù)流動需求。先進的動態(tài)VPN技術可以支持穿透NAT/防火墻技術�����,支持動態(tài)IP地址構(gòu)建VPN網(wǎng)絡�����,任何一個網(wǎng)絡節(jié)點在構(gòu)建隧道時不需要知道其他網(wǎng)絡節(jié)點VPN設備的任何信息,只需要配置自己的信息并指定相應的VPN策略服務器就可以��。
華為3Com公司專有的動態(tài)VPN不僅支持VPN隧道的自動建立����,而且支持多個VPN域,大大提高了組網(wǎng)的靈活性�����,使用戶充分利用網(wǎng)絡設備資源����,提高投資回報率。
8�����、集中式VPN業(yè)務管理系統(tǒng):采用圖形化界面的VPN管理工具VPN Manager�,輕松構(gòu)建VPN網(wǎng)絡,實現(xiàn)VPN可視化的VPN部署管理以及大規(guī)模的自動部署能力�����。
VPN業(yè)務管理系統(tǒng)有效監(jiān)視VPN網(wǎng)絡的運行,并監(jiān)控VPN網(wǎng)絡性能����,快速定位設備故障,從而方便用戶在VPN上開展各項業(yè)務��?����?梢造`活展示VPN拓撲�����,顯示VPN通道狀態(tài)��,用戶可以很方便地在拓撲上對VPN設備進行管理;提供VPN網(wǎng)絡監(jiān)控功能����,幫助用戶監(jiān)控VPN通道流量及VPN網(wǎng)絡性能;提供故障管理功能,幫助用戶快速定位網(wǎng)絡故障����。
利用VPN軟件提供豐富的性能管理功能,用戶可以直觀監(jiān)控VPN網(wǎng)絡的運行性能狀態(tài)��,為用戶網(wǎng)絡擴容����、及早發(fā)現(xiàn)網(wǎng)絡隱患提供保障,能夠快速定位網(wǎng)絡故障���,以聲光�、Email�、短信等方式及時通知到管理人員。
結(jié)束語
需要強調(diào)指出的是:企業(yè)在建立VPN網(wǎng)絡的同時��,應強化內(nèi)部上網(wǎng)管理和規(guī)范��,優(yōu)化網(wǎng)絡性能�,加強防治計算機病毒和防范各種破壞和攻擊,合理使用因特網(wǎng)資源�,才能為VPN的應用提供一個良好的通道;同時建立制定嚴密的技術和管理安全措施,從管理上為網(wǎng)絡安全運行的提供堅實基礎���。
