淺議VPN技術在中小企業(yè)網絡信息管理中的應用

王偉聰

【摘要】隨著信息時代的來臨，企業(yè)的發(fā)展也日益呈現出產業(yè)多元化、結構分布化、管理信息化的特征。計算機網絡技術不斷提升，信息管理范圍不斷擴大，不論是企業(yè)內部職能部門，還是企業(yè)外部的供應商、分支機構和外出人員，都需要同企業(yè)總部之間建立起一個快速、安全、穩(wěn)定的網絡通信中小企業(yè)所建立的網絡信息管理中心，大部分網絡和信息資源只允許擁有企業(yè)內絡IP地址的授權用戶訪問，對于某些在中小企業(yè)通過撥號等方式上網卻沒有固定IP地址的用戶，無法訪問中小企業(yè)總部資源，該文提出利用vpn技術在企業(yè)內網的基礎上架構一個安全、可靠的專用虛擬網絡 ，專供中小企業(yè)管理系統(tǒng)使用。

【關鍵詞】中小企業(yè) 網絡互聯(lián) vpn技術

【中圖分類號】G633 【文獻標識碼】A 【文章編號】2095-3089（2017）20-0028-01

隨著我國Internet和信息技術的快速發(fā)展 ，人們越來越依賴Internet進行各種數據交換和信息存取，中小企業(yè)網絡化和信息化建設也進一步完善，應用信息系統(tǒng)逐漸豐富，中小企業(yè)信息資源得到飛速的發(fā)展，現在企業(yè)信息管理系統(tǒng)、企業(yè)總部和分公司都離不開信息資源共享。

然而對于中小企業(yè)來說，基于安全和公司信息資源保密并不是無限制地對外開放，中小企業(yè)許多信息資源僅限企業(yè)內訪問。此外，許多中小企業(yè)為了規(guī)范化管理，均采用統(tǒng)一的企業(yè)管理系統(tǒng)在企業(yè)內網上支撐多分公司中小企業(yè)業(yè)務，勢必存在許多安全隱患，為了安全起見一般采用獨立成網，但是這種做法費用高而且不靈活。若能在企業(yè)內網的基礎上架構一個安全、可靠的專用虛擬網絡，專供中小企業(yè)管理系統(tǒng)使用，既廉價又方便。

本文介紹了目前電信公司運用VPN技術來解決以上問題的方案。

1.VPN描述

1.1 VPN的定義 VPN（Virtual Private Network，虛擬專用網）是一種通過對網絡數據進行封包和加密，在公網如因特網上傳輸私有數據，同時保證私有網絡安全性的技術。它是利用公共網絡資源和設備建立一個臨時、安全、邏輯上的專用通道，盡管沒有自己的專用線路，但是這個邏輯上的專用通道卻可以提供和專用網絡同樣的功能。

1.2 VPN的主要特點

1.2.1 網際互聯(lián)安全性高 VPN技術繼承了現有網絡的安全技術，并結合了下一代IPv6的安全特性，通過隧道、認證、接入控制、數據加密技術，利用公網建立互聯(lián)的虛擬專用通道，實現網絡互聯(lián)的安全。

1.2.2 經濟實用、管理簡化 由于VPN獨立于初始協(xié)議，用戶可以繼續(xù)使用傳統(tǒng)設備，保護了用戶在現有硬件和軟件系統(tǒng)上的投資。由于VPN可以完全管理，并且能夠從中央網站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網絡接口所需設備上的開銷和安全配置。

1.2.3 可擴展性好 如果想擴大VPN的容量和覆蓋范圍，管理者只需與新加入的分館簽約，建立賬戶；或者與原有的下級組織重簽合約，擴大服務范圍。在遠程地點增加VPN能力也很簡單，幾條命令就可以使Extranet路由器擁有因特網和VPN能力，路由器還能對工作站自動進行配置。

1.2.4 支持多種應用 由于VPN給我們提供了安全的通道，可以把目前在局域網上的應用直接運用在廣域網上。VPN則可以支持各種高級的應用，如IP語音，IP傳真等。

1.2.5 有效實現網絡資源共建共享 在網絡安全的保證下和認證技術的支持下，可以實現整個VPN體系中互聯(lián)單位的資源共建共享，避免資源重復開發(fā)帶來的巨大浪費，甚至可以實現普通讀者在家用ADSL來訪問公共企業(yè)局域網絡中的全文數據庫。

2.利用VPN實現中小企業(yè)網絡互聯(lián)

要實現對分布在不同地域的信息資源實行更為方便有效的統(tǒng)一規(guī)劃與管理，并有效地利用各總公司與分公司的資源，進行內部業(yè)務交流和開展為企業(yè)員公司工作服務，必須解決兩個問題：第一，要建立企業(yè)網絡間的安全通道，保護鏈路的通訊安全。第二，要根據身份認證實現企業(yè)網絡內部共享資源的訪問控制。利用VPN技術將有效解決上述問題。

2.1 采用自建方式構建VPN網絡 雖然可以通過ISP（Internet Service Provider，網絡服務提供商）的中心交換設備來構建專用通道，但公共中小企業(yè)內部局域網互聯(lián)速度相對較快，所以中小企業(yè)VPN網絡互聯(lián)宜采用自建的方式。其優(yōu)勢如下：①多數公共中小企業(yè)都具備良好的 計算機基礎設施和內聯(lián)局域網，接入因特網帶寬有百兆、甚至千兆，而總館在這方面的優(yōu)勢更加突出。在此基礎上自建VPN，既便捷又經濟。②能使中小企業(yè)互聯(lián)網絡對所有的安全認證、網絡系統(tǒng)以及網絡訪問情況進行控制，建立端到端的安全結構，集成和協(xié)調現有的內部安全技術。③開發(fā)額外的新的應用服務不用通過與ISP協(xié)商。中小企業(yè)信息技術應用人員可得到可持續(xù)性鍛煉和培養(yǎng)。④可以根據需要來配置自己的安全策略，滿足不同級別的安全需要。

2.2 VPN類型的選擇 目前國內高校大多采用IPSec（IP Security）VPN技術來解決外部公司用戶訪問校中小企業(yè)問題。但由于IPSec協(xié)議最初是為了解決點對點的安全問題而制定的。因此在此基礎上建立的遠程接入方案面對越來越多終端站點時，已日漸顯得力不從心。

在此情況下，SSL（Secruity Socket Layer）VPN技術應運而生。SSL VPN的突出優(yōu)勢在于Web安全和移動接入。它可以提供遠程的安全接入，而無需安裝或設定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對SSL VPN公認的三大好處：一是它不需要配置，可以立即安裝立即生效和使用；二是客戶端不需要安裝，直接利用瀏覽器中內嵌的SSL協(xié)議就行；三是兼容性好，可以適用于任何的終端及操作系統(tǒng)。所有的外部公司用戶只需要打開IE瀏覽器訪問中小企業(yè)的Internet IP即可成功接入中小企業(yè)。

但SSL VPN并不能取代IPSec VPN，因為這兩種技術目前應用在不同的領域。SSL VPN考慮的是應用軟件的安全性，更多應用在Web的遠程安全接入方面；而IPSec VPN是在兩個局域網之間通過Intemet建立安全連接，是實現點對點之間的通信。并且，IPSec工作于網絡層，不局限于Web應用。從高校應用來看，由于SSL接人方式下所有用戶的訪問請求都是從SSL VPN設備的LAN口發(fā)起的。對于那些對單個用戶流量有嚴格限制的資源商來說，集群SSL用戶的訪問會被當成一個用戶對待。這樣當集群訪問流量達到資源商限制的數值時，就極易造成該IP被禁用，從而導致所有SSL用戶無法繼續(xù)訪問中小企業(yè)。

為解決這個問題，可以將中小企業(yè)大量的外部公司用戶分為兩類，一類是使用中小企業(yè)資源較為頻繁、訪問數據量較大的用戶（比如業(yè)務員，但用戶數量少）；另一類則是使用次數較少、訪問數據不多的用戶（比如客戶，但用戶將數量多）。通過用戶劃分，我們給企業(yè)管理人員用戶分配IPSec接入方式，這樣就可以把大流量的用戶分配到不同的IP地址上。避免IP流量過大造成IP被禁用問題；而將那些數量眾多但訪問量小的學生用戶分配SSL接入方式。利用SSL VPN無需部署客戶端的特性來降低客戶端的維護工作量，從而實現VPN在中小企業(yè)應用的快速部署。