基于私有云平臺的VPN與域控系統(tǒng)集成研究

陳 源，任少波，曾友東

（航空工業(yè)成都飛機工業(yè)（集團）有限責任公司，四川成都610091）

0 引言

云計算代表了企業(yè)IT 技術(shù)發(fā)展的新方向，儼然成為企業(yè)信息平臺最核心的基礎(chǔ)設(shè)施。云計算的出現(xiàn)和應(yīng)用使企業(yè)組織開發(fā)、部署和管理企業(yè)應(yīng)用程序的方式發(fā)生了根本改變。云計算可以通過自定義產(chǎn)品和服務(wù)的方式來運行企業(yè)的各類信息系統(tǒng)，滿足企業(yè)各類業(yè)務(wù)系統(tǒng)的計算和存儲要求。云計算的應(yīng)用和推廣從根本上改變了傳統(tǒng)企業(yè)IT基礎(chǔ)設(shè)施的建設(shè)模式、建設(shè)周期、運行方式，降低了企業(yè)軟硬件的投入成本。私有云作為一種云模式，得到了廣泛關(guān)注和應(yīng)用，尤其是對數(shù)據(jù)安全有特別要求的企業(yè)。一些跨國公司，分支機構(gòu)遍布世界，人員全球辦公，對如何跨越地理限制協(xié)調(diào)工作存在巨大需求。VPN 技術(shù)利用公共互聯(lián)網(wǎng)建立專門的網(wǎng)絡(luò)通道，為異地員工安全使用公司內(nèi)網(wǎng)提供了技術(shù)支持。VPN 能夠保障通信的私密性，因此可以利用VPN 技術(shù)突破網(wǎng)絡(luò)封鎖訪問公司內(nèi)部受限站點。利用VPN 的隧道技術(shù)和加密技術(shù)，異地員工可以通過互聯(lián)網(wǎng)安全可靠地訪問公司私有云上的數(shù)據(jù)，并使用私有云上的各種計算服務(wù)。大型企業(yè)私有云系統(tǒng)的合法用戶較多，如何對眾多用戶進行授權(quán)管理，降低管理難度，提高管理效率，同時加強安全防范能力是一個亟待解決的問題。域控系統(tǒng)是一種能夠?qū)τ脩羯矸葸M行審核和授權(quán)管理的高效和安全的解決方案。域控系統(tǒng)可以對用戶進行嚴格的身份驗證和審查，對用戶系統(tǒng)環(huán)境進行靈活管理，包括密碼使用策略、軟件安裝策略、軟件使用策略、用戶權(quán)限策略、桌面環(huán)境統(tǒng)一策略等。在私有云平臺上集成VPN技術(shù)和域控系統(tǒng)，為企業(yè)提供了靈活方便、安全可靠的信息基礎(chǔ)設(shè)施。

1 私有云

云計算是一種根據(jù)企業(yè)運行需求進行定制化設(shè)計的信息基礎(chǔ)設(shè)施，在不改變硬件投入的情況下，可以根據(jù)企業(yè)計算需求和存儲需求進行靈活配置，并能夠隨時根據(jù)企業(yè)需求進行配置調(diào)整。用戶的管理和運行成本大大降低。傳統(tǒng)的IT系統(tǒng)建設(shè)過程往往需要經(jīng)歷預(yù)算申請、硬件采購、設(shè)備到貨、機器上架、系統(tǒng)安裝等過程，少則需要一個月，多則可能需要半年才能完成整套系統(tǒng)的部署。在快速迭代的互聯(lián)網(wǎng)時代，這種低效的建設(shè)模式會對企業(yè)業(yè)務(wù)運行帶來巨大的影響。利用云服務(wù)，只需要打開電腦，點擊鼠標就可以完成資源的購置，在線即刻進行業(yè)務(wù)系統(tǒng)的部署和調(diào)整。云計算相對于傳統(tǒng)IT 技術(shù)來說主要有3 點優(yōu)勢：提高效率、降低成本、助力創(chuàng)新［1-2］。

根據(jù)云計算的不同應(yīng)用需求，可以設(shè)計3種云模式，即私有云、公有云以及混合云。公有云由專門的云計算企業(yè)提供完整的云服務(wù)，一臺云服務(wù)器可以為多家企業(yè)提供云服務(wù)。當某個企業(yè)停止訂購公有云服務(wù)時，其租用的云服務(wù)器上的資源將會被清空并提供給其他企業(yè)使用。公有云的優(yōu)點是價格低廉、使用便捷、節(jié)省維護成本；缺點是不夠安全，有文件泄露的風(fēng)險，企業(yè)轉(zhuǎn)移大量數(shù)據(jù)時需要花費很大一筆費用。私有云只為某個企業(yè)提供云服務(wù)，云服務(wù)器不共享，能更好地保證企業(yè)重要數(shù)據(jù)不被破壞和竊取，并有效改善云計算服務(wù)品質(zhì)。不同于公有云的租賃使用方式，企業(yè)對私有云服務(wù)器擁有完整的所有權(quán)和使用權(quán)，可完全控制云服務(wù)器軟件安裝和系統(tǒng)配置工作。私有云服務(wù)器既可以設(shè)置在企業(yè)內(nèi)部，自行配置機房設(shè)施；也可以設(shè)置在外部的數(shù)據(jù)中心，由專業(yè)公司進行服務(wù)器托管。私有云極大地保障了數(shù)據(jù)安全，因而成為眾多對數(shù)據(jù)安全有較高要求的企業(yè)的必然選擇。混合云兼顧了公有云的低成本和私有云的高安全，即混合云中既有公有云又有私有云。公有云上存儲需要公開或者安全性要求低的數(shù)據(jù)，提供公開服務(wù)。私有云上存儲安全要求高的數(shù)據(jù)，不提供企業(yè)以外的云服務(wù)?；旌显剖瞧髽I(yè)在數(shù)據(jù)安全和運行成本之間折中的選擇。

虛擬化和云平臺是云計算的基礎(chǔ)，虛擬化提供資源池化、資源調(diào)度，云平臺提供資源管理、運營等。虛擬化技術(shù)解耦了服務(wù)器硬件和操作系統(tǒng)之間的緊耦合關(guān)系，能夠進行物理資源共享、復(fù)用等操作。虛擬化分為計算虛擬化，即把處理器資源虛擬化；網(wǎng)絡(luò)虛擬化，即用軟件定義網(wǎng)絡(luò)；存儲虛擬化，即把每塊云盤虛擬化成一個存儲池，用戶可根據(jù)需求進行自定義劃分。資源池化可以把單塊容量有限的存儲器虛擬化成一個資源池，而云主機可以自由分配該資源池的資源，形成多個虛擬機。虛擬化平臺中包含了資源調(diào)度的功能，如高可用、熱遷移、動態(tài)資源導(dǎo)讀、彈性伸縮等，能夠讓虛擬機逾越服務(wù)器之間的物理邊界進行資源調(diào)度。但虛擬化沒有解決多地域和多平臺問題，即如何管理分散在不同地域的IT資源，如何用一套平臺體系，統(tǒng)一管理不同資源平臺。云平臺實現(xiàn)了IT資源的統(tǒng)一管理，包括多區(qū)域、異構(gòu)平臺管理、精細化運營。一套完整的私有云是基于虛擬化和云平臺的整合，虛擬化提供資源池化、資源調(diào)度，云平臺提供資源管理、運營等。

2 VPN技術(shù)

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）通常使用互聯(lián)網(wǎng)建立專有網(wǎng)絡(luò)，通過加密技術(shù)保證數(shù)據(jù)安全，在交通混亂的公共信息高速路上設(shè)置了一條安全的綠色數(shù)據(jù)通道。VPN 在企業(yè)總部和分公司之間，在不使用專用物理線路的基礎(chǔ)上，利用互聯(lián)網(wǎng)建立安全通行隧道，虛擬一條通信專線。對于異地機構(gòu)和人員［3-4］，利用VPN 連接到企業(yè)總部，在用戶體驗上和使用公司局域網(wǎng)完全一樣。以前企業(yè)要實現(xiàn)異地辦公，通常需要租用數(shù)字專線或者幀中繼來滿足安全訪問企業(yè)內(nèi)網(wǎng)的要求，但這種方法既費用高昂又不夠靈活，特別是對于需要經(jīng)常出差進行移動辦公的員工。VPN 保證了異地私有云與用戶主機間的安全可靠連接，已經(jīng)成為私有云技術(shù)應(yīng)用不可或缺的技術(shù)。

實現(xiàn)VPN 的主要技術(shù)有隧道通信協(xié)議、數(shù)據(jù)加密技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)等。隧道通信協(xié)議使各種內(nèi)部數(shù)據(jù)包可以通過公共網(wǎng)絡(luò)進行傳輸；數(shù)據(jù)加密技術(shù)可對傳輸?shù)臄?shù)據(jù)進行加密保護，對用戶ID 進行認證、抗否認等；網(wǎng)絡(luò)訪問控制主要用來對網(wǎng)絡(luò)訪問進行保護，并應(yīng)對各種網(wǎng)絡(luò)攻擊。由于當前廣泛使用的IPv4互聯(lián)網(wǎng)協(xié)議中，獨立的IP地址數(shù)量過少，無法保證企業(yè)內(nèi)網(wǎng)用戶都能使用獨立的IP地址。企業(yè)內(nèi)網(wǎng)用戶使用的局域網(wǎng)IP，無法直接通過互聯(lián)網(wǎng)端口向外部傳送數(shù)據(jù)，因此在和外網(wǎng)收發(fā)傳輸數(shù)據(jù)前需要把眾多用戶局域網(wǎng)IP地址轉(zhuǎn)換為企業(yè)對外使用的一個或多個互聯(lián)網(wǎng)IP地址。IP地址轉(zhuǎn)換可以采用靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換、端口更改、數(shù)據(jù)包封裝等方法。VPN通常采用對數(shù)據(jù)包進行封裝的方法，建立安全的通信隧道。在VPN的發(fā)送端對傳輸?shù)脑紨?shù)據(jù)進行打包封裝，增加互聯(lián)網(wǎng)IP 包頭。封裝好的數(shù)據(jù)包在互聯(lián)網(wǎng)被傳輸?shù)絍PN 接收端后需要進行解包處理，識別出原始數(shù)據(jù)后再發(fā)送給接收該包的真正用戶。VPN 廣泛采用了數(shù)據(jù)封包技術(shù)進行內(nèi)外網(wǎng)地址轉(zhuǎn)換。但數(shù)據(jù)封包技術(shù)只能保證數(shù)據(jù)在VPN虛擬通道中準確傳遞，要保證數(shù)據(jù)傳輸?shù)陌踩€必須用到另一項重要的技術(shù)，即數(shù)據(jù)加密。密碼學(xué)和互聯(lián)網(wǎng)的結(jié)合，產(chǎn)生了廣泛應(yīng)用的數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密已經(jīng)成為保障傳遞數(shù)據(jù)安全的不可或缺的重要技術(shù)。數(shù)據(jù)加密采用軟件方法以較小代價保證了數(shù)據(jù)在公共網(wǎng)絡(luò)中傳遞時不被泄露和破解，防止數(shù)據(jù)被竊取。網(wǎng)絡(luò)控制技術(shù)實現(xiàn)了網(wǎng)絡(luò)防火墻功能，任何進出外網(wǎng)的數(shù)據(jù)都會經(jīng)過安全過濾。VPN系統(tǒng)通常需要完備的網(wǎng)絡(luò)訪問控制技術(shù)，以保證網(wǎng)絡(luò)訪問安全可控，便于進行統(tǒng)一管理。

VPN 的部署方式有多種，如遠程訪問VPN、站到站VPN、移動VPN、硬件VPN、VPN 網(wǎng)關(guān)設(shè)備、動態(tài)多點VPN等。遠程訪問VPN的客戶端通信需要先連接到企業(yè)網(wǎng)絡(luò)上的VPN網(wǎng)關(guān)服務(wù)器。網(wǎng)關(guān)要求設(shè)備在授予對內(nèi)部網(wǎng)絡(luò)資源的訪問權(quán)限之前驗證其身份。這種VPN類型通常依賴IP安全（IPsec）或安全套接字層（SSL）來保護連接。站到站VPN 使用網(wǎng)關(guān)設(shè)備將異地（如分公司）的整個網(wǎng)絡(luò)連接到另一個地方（如公司總部）的網(wǎng)絡(luò)。遠程位置中的終端節(jié)點設(shè)備不需要VPN客戶端，因為網(wǎng)關(guān)可以直接處理連接。大多數(shù)通過互聯(lián)網(wǎng)連接的站到站VPN 使用IPsec 協(xié)議，通常使用電信運營商MPLS 云而不是公共互聯(lián)網(wǎng)進行站到站VPN 傳輸，或者在網(wǎng)絡(luò)第三層連接（MPLS IP VPN）或第二層（虛擬專用局域網(wǎng)服務(wù)）的基礎(chǔ)傳輸上運行。

在移動VPN 中，VPN 服務(wù)器公司是訪問企業(yè)網(wǎng)絡(luò)的遠程入口，只允許經(jīng)過身份驗證的授權(quán)客戶端進行安全的隧道式訪問。移動終端的VPN隧道并不與物理IP 地址綁定，而是每個VPN 隧道只綁定一個邏輯IP 地址。無論移動用戶在哪里連接公司內(nèi)網(wǎng)，這個邏輯IP地址都會被固定在移動設(shè)備上。一個有效的移動VPN 可以為用戶提供連續(xù)的服務(wù)，并且可以跨接入技術(shù)和多個公有和私有網(wǎng)絡(luò)進行切換。與嚴格基于軟件的VPN 相比，硬件VPN 除了能增強安全性之外，還可以為大型客戶端負載提供負載均衡。硬件VPN管理通常采用Web瀏覽器界面進行管理。由于硬件VPN 比軟件VPN 成本更高，一般較大的企業(yè)都會選擇硬件VPN，只有用戶不多、過于考慮成本的小型企業(yè)才會選擇軟件VPN。VPN 網(wǎng)關(guān)設(shè)備是具有增強安全功能的網(wǎng)絡(luò)設(shè)備。VPN 網(wǎng)關(guān)設(shè)備也稱為SSL（安全套接字層）VPN 設(shè)備，它是一種路由器，為VPN 提供保護、授權(quán)、身份驗證和加密。動態(tài)多點虛擬專用網(wǎng)（DMVPN）直接在站點之間交換數(shù)據(jù)，用戶不需要直接訪問企業(yè)總部的VPN 服務(wù)器或路由器。每個遠程站點配置了一個VPN 路由器，可以連接到公司的總部設(shè)備VPN 服務(wù)器上，實現(xiàn)對企業(yè)內(nèi)部可用資源的訪問。當兩個遠端用戶需要在彼此之間交換數(shù)據(jù)時（例如VoIP 電話呼叫），兩個用戶可以通過總部VPN 服務(wù)器來進行數(shù)據(jù)傳遞，即在這兩個用戶之間直接創(chuàng)建動態(tài)IPsec VPN隧道。

3 域控系統(tǒng)

域控系統(tǒng)主要用于控制和管理網(wǎng)絡(luò)上的計算機群組，授權(quán)或拒絕某個計算機用戶加入計算機組合。為了保證企業(yè)網(wǎng)絡(luò)訪問可控和企業(yè)私有云數(shù)據(jù)安全，必須對企業(yè)云用戶進行嚴格管理。傳統(tǒng)的對等網(wǎng)系統(tǒng)是一個去中心的系統(tǒng)，所有的計算機用戶身份完全平等，資源相互共享，任何計算機都可不受干預(yù)地加入或退出，無須專門的計算機或服務(wù)器用于管理計算機組合。盡管可以在對等網(wǎng)系統(tǒng)中對一些重要數(shù)據(jù)或文件進行加密處理，但由于網(wǎng)絡(luò)完全開放，極易受到攻擊和破解，無法保證數(shù)據(jù)共享和傳遞的安全。在域控系統(tǒng)中，有專門負責管理計算機用戶加入并對用戶身份進行審核的計算機或服務(wù)器，因此大大提高了私有云的訪問安全性。域控系統(tǒng)相當于給企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)增加了一個負責安全檢查的門衛(wèi)。域控系統(tǒng)會存儲所管理域中的全部賬戶、密碼等關(guān)鍵信息［5-6］。任何用戶對企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問，都需要域控系統(tǒng)對用戶身份進行核查，首先判斷是否屬于該域管理的用戶，再對用戶賬戶和密碼進行比對檢查。只有審查信息完全一致的用戶才可以登錄網(wǎng)絡(luò)系統(tǒng)。域控系統(tǒng)數(shù)據(jù)庫還為每個用戶設(shè)置了專門文件，確保每個用戶都只讀取和修改自己的數(shù)據(jù)，不會破壞其他用戶的專有數(shù)據(jù)。域控系統(tǒng)管理員是超級用戶，他具備所有用戶文件的訪問和修改權(quán)限，并能根據(jù)需要更改某個用戶或文件的訪問權(quán)限，設(shè)置用戶賬戶和密碼。域控系統(tǒng)管理員既要保證各類資源的合理分配，又要負責數(shù)據(jù)的安全管理。域控系統(tǒng)中還包含了用戶權(quán)限的分配情況，任何用戶只有經(jīng)過域管理員的同意并獲得相應(yīng)授權(quán)后才能在私有云上進行軟件安裝、升級、卸載等操作，這樣能夠避免下載和安裝一些不當軟件，避免引起病毒感染或重要文件受損，或者操作用戶數(shù)據(jù)丟失，極大地提高了用戶數(shù)據(jù)的安全性。

4 結(jié)語

私有云逐漸成為眾多企業(yè)IT系統(tǒng)主流選擇。和公有云相比，由于企業(yè)擁有云服務(wù)器所有權(quán)，因此私有云提供的計算和存儲業(yè)務(wù)更加安全可靠。VPN 技術(shù)通過在公共網(wǎng)絡(luò)上使用隧道通信和數(shù)據(jù)加密等技術(shù)，為在地理上分散的公司總部和分支機構(gòu)以及個人遠程辦公提供了訪問企業(yè)內(nèi)網(wǎng)（私有云）的技術(shù)支持，真正突破了企業(yè)地理位置的限制，實現(xiàn)全球協(xié)同辦公。域控系統(tǒng)為私有云用戶管理提供了方便可靠的安全審核和用戶權(quán)限管理。在私有云平臺上集成VPN技術(shù)和域控系統(tǒng)，從而為企業(yè)提供便捷、安全、低成本的IT 信息基礎(chǔ)設(shè)施解決方案，逐漸成為企業(yè)IT基礎(chǔ)設(shè)施建設(shè)的主流解決方案。