隨著國內(nèi)企業(yè)重組和走出去步伐的加快，企業(yè)規(guī)模不斷擴張，國內(nèi)外子企業(yè)和分支機構(gòu)越來越多，建設(shè)企業(yè)廣域網(wǎng)實現(xiàn)企業(yè)內(nèi)部信息溝通暢通，是現(xiàn)在所有企業(yè)實行有效管理的共同需求。如何選擇一種切實可行的解決方案，既能安全可靠地解決企業(yè)總部與分支企業(yè)和分支機構(gòu)相互之間的安全通信及信息交換，又能最大限度保護原有投資。已經(jīng)成為企業(yè)網(wǎng)絡(luò)建設(shè)的迫切需求。應(yīng)用VPN(Virtual PrivateNetwork，虛擬專用網(wǎng)絡(luò))技術(shù)，為企業(yè)提供了解決方案。

    1.VPN技術(shù)

    VPN被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。也可以說是虛擬出來的企業(yè)內(nèi)部專線。VPN技術(shù)能夠提供可靠的數(shù)據(jù)加密、信息安全交換的能力，可采用的方案有點對點、用戶對點、用戶對用戶的連接方式，它可以幫助遠程用戶、分支企業(yè)、分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同企業(yè)內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN具有以下的優(yōu)點：

    1)組網(wǎng)成本低廉。企業(yè)利用公用網(wǎng)組建的Intranet，不再需要租用專線和使用大量的專業(yè)網(wǎng)管人員和設(shè)備，節(jié)省租用專線費用和人員開支。

    2)網(wǎng)絡(luò)擴展性強。當(dāng)增加新的用戶或子網(wǎng)時，只需修改已有網(wǎng)絡(luò)軟件配置。在新增客戶機或網(wǎng)關(guān)上安裝相應(yīng)軟件并接入Interact后，新的VPN即可工作。其實現(xiàn)過程要比組建專用網(wǎng)簡單。

    3)企業(yè)容易進行管理。用專線將企業(yè)的各個子網(wǎng)連接起來時，隨著子網(wǎng)數(shù)量的增加，需要的專線數(shù)以幾何級數(shù)增長。而使用VPN時只需要將各個子網(wǎng)接入Interact即可，不需要對各個線路進行管理。

    4)企業(yè)擁有控制權(quán)。VPN應(yīng)用中所有的設(shè)施和服務(wù)完全由企業(yè)掌握，企業(yè)可以把撥號訪問交給網(wǎng)絡(luò)服務(wù)提供商去做，而企業(yè)只負責(zé)用戶的查驗、訪問權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

    5)符合網(wǎng)絡(luò)統(tǒng)一標(biāo)準(zhǔn)。VPN通過采用“隧道”技術(shù)，并在Interact或國際互聯(lián)網(wǎng)工程工作組(IETF)制定的Ipsec標(biāo)準(zhǔn)統(tǒng)一下，在公共網(wǎng)構(gòu)建企業(yè)安全、機密、順暢的虛擬專用鏈路。

    2.VPN的分類

    VPN既可以用于構(gòu)建企業(yè)的Intranet。也可以用于構(gòu)建Extranet。VPN利用開放性的公用網(wǎng)絡(luò)作為用戶信息傳輸?shù)拿襟w，通過附加的隧道封裝、信息加密、用戶認證和訪問控制等技術(shù)實現(xiàn)對信息傳輸過程的安全保護，從而向用戶提供類似專用網(wǎng)絡(luò)的安全性能。VPN技術(shù)按隧道協(xié)議分類，有PPTP VPN、L2TPVPN、IPSec VPN、SSL VPN和MPLS VPN等，目前有幾種安全技術(shù)得到了較廣泛的應(yīng)用，每種技術(shù)都有自己的優(yōu)點，同時也存在一定的不足。當(dāng)前VPN領(lǐng)域內(nèi)主流技術(shù)是IPSEC VPN與SSL VPN。兩者都應(yīng)用于遠程接入的加密和認證機制。

    3.IPSEC VPN與SSL VPN組網(wǎng)技術(shù)比較

    3.1 IPSEC VPN技術(shù)

    IPSEC VPN通過包封裝包的方法，通過Interact建立了一個通訊的隧道，通過這個通訊的隧道，就可以建立起網(wǎng)絡(luò)的連接。IPSEC是一套比較完整成為體系的VPN技術(shù)，它規(guī)定了一系列的協(xié)議標(biāo)準(zhǔn)。它為數(shù)據(jù)在通過公用網(wǎng)絡(luò)在網(wǎng)絡(luò)層進行傳輸時提供安全保障。

    IPSec VPN適用Site to Site組網(wǎng)。這是由于IPSecVPN采用隧道技術(shù)，部署時一般采用兩端部署VPN網(wǎng)關(guān)方式。當(dāng)企業(yè)總部和分支企業(yè)有很多IT設(shè)備時，采用IPsec組網(wǎng)方式比較靈活，支持應(yīng)用廣泛。組網(wǎng)時企業(yè)總部和分支機構(gòu)分別采用IPSECVPN網(wǎng)關(guān)設(shè)備，中心為每個節(jié)點分配一套密碼，各個節(jié)點通過密碼與中心交換機互相認證，建立IPSECVPN虛擬通路，這條通路的特性，如帶寬、何時可以建立等通過中心統(tǒng)一管理，可以通過雙密鑰機制實現(xiàn)更加可靠的認證。

    由于IPSec VPN部署在網(wǎng)絡(luò)層，因此，內(nèi)部網(wǎng)絡(luò)對于通過VPN的使用者來說是透明的，一旦隧道建立外部用戶能夠直接訪問企業(yè)全部的應(yīng)用，由此會大大增加受到黑客攻擊的風(fēng)險，會嚴(yán)重威脅企業(yè)數(shù)據(jù)中心的安全。同時IPSec VPN部署管理復(fù)雜，最大的難點在于需要在隧道兩端部署一對VPN網(wǎng)關(guān)，或是在客戶端安裝專用客戶端軟件，而且當(dāng)用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數(shù)增長。尤其是對于大量的遠端用戶，除非已經(jīng)在每一臺客戶使用的計算機上安裝了管理軟件，否則軟件補丁的發(fā)布和遠程電腦的配置升級將是一件十分繁瑣的任務(wù)。

    IPSec VPN只能在部署IPsec VPN網(wǎng)關(guān)的地方適用，或者客戶端安裝專用軟件后才能使用，這對于合作伙伴或商業(yè)客戶來講很難實現(xiàn)客戶端專用軟件安裝，對于在網(wǎng)吧或出差等用戶來講就更不可能。

    3.2 SSL VPN技術(shù)

    SSL(Secure Sockets Layer)“安全套接層協(xié)議層”，它是基于WEB應(yīng)用的安全協(xié)議。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議(如Http、Telenet、NMTP和FTP等)和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機制，它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認證、消息完整性以及可選的客戶機認證。SSLVPN 工作在TCP層，這個技術(shù)特性決定了它是一種基于應(yīng)用的VPN，可以更好的作為應(yīng)用層的安全訪問控制機制，并能夠做到底層無關(guān)性，可以做到部署方式更靈活。

    SSL VPN一般的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理網(wǎng)關(guān)或接人服務(wù)器設(shè)備。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入—個URL后，連接將被SSL代理服務(wù)器取得，并驗證該用戶的身份，然后SSL代理服務(wù)器將提供—個遠程用戶與各種不同的應(yīng)用服務(wù)器之間連接。

    SSL VPN適用Client to Site組網(wǎng)。當(dāng)客戶端為PC終端設(shè)備時，采用此方式。當(dāng)分支機構(gòu)為少量終端或者VPN用戶為分布在廣泛地域的移動用戶時更顯優(yōu)勢。企業(yè)總部部署專用SSL VPN設(shè)備連接Intenet，分支企業(yè)和機構(gòu)及移動用戶通過Intemet連接總部的SSL VPN服務(wù)器，經(jīng)安全認證后即可使用各項應(yīng)用，基本不用考慮計算機維護和相關(guān)網(wǎng)絡(luò)安全。

    SSL VPN將遠程安全接人延伸到IPSec VPN擴展不到的地方，使更多的員工在更多的地方，使用更多的設(shè)備安全訪問企業(yè)網(wǎng)絡(luò)資源。以前它只支持WEB方式的應(yīng)用，為用戶開發(fā)應(yīng)用必須圍繞著WEB來展開�，F(xiàn)在新的SSL VPN能夠?qū)崿F(xiàn)各種基于B/S、C/S結(jié)構(gòu)設(shè)計的應(yīng)用程序，能夠?qū)崿F(xiàn)所有IPSec VPN支持的應(yīng)用，支持WINDOWS網(wǎng)上鄰居、FTP等，SSL VPN正在成為遠程接入的事實標(biāo)準(zhǔn)。由于SSL VPN是基于應(yīng)用的VPN，容易提供更細的訪問控制，可以對用戶、用戶組的權(quán)限、資源、服務(wù)、文件進行更加細致的控制，重點在于保護具體的敏感數(shù)據(jù)。并可以與第三方認證系統(tǒng)認證中心CA)結(jié)合。就是說雖然都可以進入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的。不僅可以控制訪問人員的權(quán)限，還可以對訪問人員的每個訪問、操作進行數(shù)字簽名，為事后追蹤提供了依據(jù)，達到更加安全的保護效果，充分保障企業(yè)數(shù)據(jù)中心的安全。

    4.應(yīng)用和結(jié)論

    基于對IPSEC VPN與SSL VPN的分析比較適合現(xiàn)有分支企業(yè)的實際條件，在保護企業(yè)原有投資的基礎(chǔ)上，企業(yè)總部采用兩種技術(shù)相結(jié)合的方式進行網(wǎng)絡(luò)接入。對于沒有建設(shè)局域網(wǎng)或局域網(wǎng)環(huán)境較為簡單的分支企業(yè)和機構(gòu)，企業(yè)總部一般使用SSLVPN方式為該企業(yè)用戶建立VPN帳號，充分發(fā)揮企業(yè)現(xiàn)有網(wǎng)絡(luò)的帶寬資源。分支企業(yè)辦公人員和出差人員可以隨時隨地以SSL VPN方式接人企業(yè)總部網(wǎng)絡(luò)，滿足各種辦公環(huán)境下的網(wǎng)絡(luò)通信需求，為了提高移動辦公用戶接入企業(yè)總部網(wǎng)絡(luò)的安全性。針對SSL VPN用戶可以在企業(yè)總部網(wǎng)絡(luò)內(nèi)搭建了CA認證服務(wù)器，對用戶登錄VPN時進行CA認證。對網(wǎng)絡(luò)出口帶寬足夠大、邊界部署了路由器或防火墻，基礎(chǔ)網(wǎng)絡(luò)建設(shè)比較好的分支企業(yè)，在它們的防火墻上配置IPSEC VPN。這種局域網(wǎng)間的VPN方式提供直接、快速的加密通道，使分支企業(yè)的用戶在使用總部網(wǎng)絡(luò)資源時如同在總部一樣安全快捷。

    總之，通過VPN方式組建企業(yè)網(wǎng)絡(luò)，能夠經(jīng)濟、安全地實現(xiàn)企業(yè)內(nèi)外部信息溝通，實現(xiàn)企業(yè)總部對分支企業(yè)運營狀況及時了解和高效管理，掌握決策支持信息，從而達到提高企業(yè)信息化水平，提高企業(yè)競爭力和加快企業(yè)發(fā)展。 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：淺析VPN技術(shù)在企業(yè)網(wǎng)絡(luò)建設(shè)中的應(yīng)用

本文網(wǎng)址：http://www.oesoe.com/html/support/11121512242.html