虛擬專用網(wǎng)絡(luò)支持遠(yuǎn)程辦公基礎(chǔ)及應(yīng)用策略

王晶晶

2020年春季新型冠狀病毒肺炎疫情對各單位團(tuán)體的正常收假返工造成了延期影響，為減少病毒交叉感染，確保停工不停業(yè)，各單位相繼推出彈性辦公、遠(yuǎn)程辦公的應(yīng)對措施。虛擬專用網(wǎng)絡(luò)作為遠(yuǎn)程辦公的重要途徑再次成為熱點。本文就VPN原理、分類、技術(shù)、實現(xiàn)方式、應(yīng)用原則等進(jìn)行分析，為應(yīng)用VPN支持遠(yuǎn)程辦公提供思路和策略。

一、VPN工作原理

虛擬專用網(wǎng)絡(luò)（簡稱VPN：Virtual Private Network），屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是將位于不同地點的兩個網(wǎng)絡(luò)，通過在公用網(wǎng)絡(luò)上利用加密等技術(shù)虛擬架設(shè)出一個數(shù)據(jù)隧道，實現(xiàn)兩地間的通訊，但兩地間并不需要真正的鋪設(shè)光纜之類的物理線路。（圖一）

通常情況下，VPN網(wǎng)關(guān)采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公網(wǎng)IP接入Internet。假設(shè)網(wǎng)絡(luò)A和網(wǎng)絡(luò)B要通過VPN方式進(jìn)行通信，網(wǎng)絡(luò)A 的終端A訪問網(wǎng)絡(luò)B的服務(wù)器B，終端A發(fā)出的訪問數(shù)據(jù)包的目的地址為服務(wù)器B的內(nèi)部IP地址。首先網(wǎng)絡(luò)A的VPN網(wǎng)關(guān)在接收到終端A發(fā)出的訪問數(shù)據(jù)包時對其目的地址進(jìn)行檢查，如果目標(biāo)地址屬于網(wǎng)絡(luò)B，則將該數(shù)據(jù)包進(jìn)行封裝，構(gòu)造一個新VPN數(shù)據(jù)包轉(zhuǎn)發(fā)至網(wǎng)絡(luò)B的VPN網(wǎng)關(guān)，網(wǎng)絡(luò)B的VPN網(wǎng)關(guān)對接收到的數(shù)據(jù)包進(jìn)行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)A的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對該數(shù)據(jù)包進(jìn)行解包處理，還原成原始的數(shù)據(jù)包。網(wǎng)絡(luò)B的VPN網(wǎng)關(guān)再根據(jù)原始數(shù)據(jù)包目的地址將數(shù)據(jù)包發(fā)送至服務(wù)器B。在服務(wù)器B看來，它收到的數(shù)據(jù)包就和從終端A直接發(fā)過來的一樣。從服務(wù)器B返回終端A的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。（圖二）

二、VPN的分類

VPN根據(jù)接入主體、接入方式、封裝技術(shù)、運營方式等各個環(huán)節(jié)的不同具有多種分類方式。

根據(jù)接入網(wǎng)絡(luò)的主體主要分為遠(yuǎn)程訪問VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN，接入主體分別面向移動辦公和遠(yuǎn)程辦公人員（終端）、企業(yè)各地分支機構(gòu)、企業(yè)客戶和合作伙伴機構(gòu)等，實現(xiàn)不同主體的互聯(lián)互通。

根據(jù)接入網(wǎng)絡(luò)中用戶的接入方式主要分為：專線VPN和撥號VPN（檢查VPDN），專線VPN是為已經(jīng)通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案，是一種“永遠(yuǎn)在線”的VPN，適用于組建網(wǎng)絡(luò)對網(wǎng)絡(luò)的虛擬連接;VPDN為用戶提供通過撥號方式接入ISP建立VPN的方案，是一種“按需連接”的VPN，適用于組建終端對網(wǎng)絡(luò)的虛擬連接。

根據(jù)封裝技術(shù)在網(wǎng)絡(luò)通信模型中分層的不同主要分為第二層隧道協(xié)議（包括PPTP、L2TP、MPLS）、第三層隧道協(xié)議（IPSec、GRE）以及傳輸層（SSL）等。VPN技術(shù)的發(fā)展主要在IPSec VPN（互聯(lián)網(wǎng)安全協(xié)議）、SSL VPN（安全套接層協(xié)議層）和MPLS VPN（多協(xié)議標(biāo)簽交換）三個應(yīng)用上。IPSecVPN為數(shù)據(jù)源提供身份驗證、數(shù)據(jù)完整性檢查及機密性保證機制，是目前最易于擴(kuò)展、完整的技術(shù)方案，但擴(kuò)展性較差，更適合站點到站點的安全連接;SSL VPN利用標(biāo)準(zhǔn)的SSL協(xié)議，客戶只需要連入因特網(wǎng)，不需要安裝和維護(hù)客戶端，通過網(wǎng)頁就可以遠(yuǎn)程辦公訪問SSL VPN內(nèi)網(wǎng)的資源，具有更低的網(wǎng)絡(luò)管理成本和運營成本;MPLS VPN無法像IPSec VPN提供加密、身份驗證和完整性校驗，但具備流量工程和Qos等特性。為了實現(xiàn)網(wǎng)絡(luò)資源利用的最大化和成本的最小化，VPN技術(shù)往往融合使用。

根據(jù)運營方式可以分為自建VPN和外包VPN。企業(yè)可以在內(nèi)部網(wǎng)絡(luò)邊緣自己設(shè)置并維護(hù)VPN網(wǎng)關(guān)設(shè)備，與分支機構(gòu)間建立VPN連接，可采用加密協(xié)議對數(shù)據(jù)加密以保障安全。對運營商而言VPN是透明的，運營商只提供線路支持。也可以把VPN服務(wù)外包給運營商，運營商利用網(wǎng)關(guān)設(shè)備建立VPN網(wǎng)絡(luò)，根據(jù)企業(yè)的要求提供規(guī)劃、設(shè)計、實施和運維客戶的VPN業(yè)務(wù)，VPN網(wǎng)絡(luò)對用戶來說是透明的。

三、VPN的安全技術(shù)

VPN模式在遠(yuǎn)程訪問組網(wǎng)中得到快速應(yīng)用，一方面在于能夠有效降低用戶建立傳統(tǒng)專線的費用而實現(xiàn)互聯(lián)互通，另一方面還源于VPN具有較高的安全性保障，為用戶提供接入的安全、數(shù)據(jù)傳輸?shù)陌踩约皩?nèi)網(wǎng)資源的訪問安全。VPN具有以下安全技術(shù)：

1.隧道技術(shù)。由隧道協(xié)議、乘客協(xié)議和傳輸協(xié)議組成，隧道協(xié)議專門負(fù)責(zé)隧道的建立、保持和卸載功能。

2.加密技術(shù)。通過隧道傳輸?shù)臄?shù)據(jù)在發(fā)送端應(yīng)先加密后傳輸，接收端接到數(shù)據(jù)后先解密。加密技術(shù)可以在任意層進(jìn)行。

3.身份認(rèn)證技術(shù)。是對用戶的合法身份信息進(jìn)行確認(rèn)，對認(rèn)證用戶實現(xiàn)訪問授權(quán)。

4.訪問控制。主要是通過對訪問用戶權(quán)限的管理，對未取得訪問權(quán)限的用戶進(jìn)行控制措施。

四、VPN遠(yuǎn)程辦公案例

目前能夠?qū)崿F(xiàn)VPN功能的設(shè)備非常多，路由器VPN、交換機VPN、防火墻VPN、軟件VPN等，企業(yè)為了保障安全，輔助以安全管理設(shè)備、上網(wǎng)行為管理、可視化安全管控等工具平臺。

下面以某單位疫情期間搭建移動辦公模式為例，介紹快速搭建VPN的方式。該單位利用通信運營商提供的高性能虛擬專有撥號網(wǎng)絡(luò)以及安全可控的應(yīng)用發(fā)布產(chǎn)品，建設(shè)移動辦公系統(tǒng)，滿足特殊時期信息化應(yīng)急要求。該系統(tǒng)采用自主創(chuàng)新的網(wǎng)絡(luò)應(yīng)急箱，提供安全有效的網(wǎng)絡(luò)接入。基于深信服EasyConnect遠(yuǎn)程發(fā)布應(yīng)用，建立SSL VPN通道，通過SSL VPN隧道加密技術(shù)與硬件防火墻嚴(yán)格的訪問控制策略保障數(shù)據(jù)安全。移動終端采用虛擬化沙盒技術(shù)，桌面、應(yīng)用和數(shù)據(jù)均以虛擬形式交付到終端設(shè)備，與設(shè)備原有的個人數(shù)據(jù)和應(yīng)用完全隔離，實現(xiàn)全方位保障移動辦公中的數(shù)據(jù)安全。

五、VPN辦公面臨的主要問題

各單位在搭建遠(yuǎn)程辦公環(huán)境中面臨的挑戰(zhàn)主要有三個方面：一是遠(yuǎn)程辦公配置缺失。單位原本沒有遠(yuǎn)程辦公需求，也沒有相應(yīng)的應(yīng)急方案，遇到像疫情等特殊情況，導(dǎo)致業(yè)務(wù)基本停滯;二是遠(yuǎn)程辦公需求激增與應(yīng)急準(zhǔn)備不足。原有遠(yuǎn)程辦公配置容量不足，只能讓少部分人員遠(yuǎn)程接入，無法支撐大并且和多類型業(yè)務(wù)的遠(yuǎn)程開展;三是數(shù)據(jù)安全隱患大。遠(yuǎn)程辦公環(huán)境下缺少必要的監(jiān)督管控手段和策略，運維管理工作水平較低，數(shù)據(jù)安全得不到完全保障。

六、VPN的應(yīng)用策略

在搭建VPN網(wǎng)絡(luò)時需要充分分析本單位的實際需求和IT建設(shè)基礎(chǔ)，綜合考量多種VPN建設(shè)方案，確保接入、傳輸、訪問各環(huán)節(jié)兼顧“應(yīng)急保障、安全可靠、成本低廉、快捷高效” 等原則。

1.滿足基本應(yīng)急保障。疫情當(dāng)前，很多單位由于缺少這類特殊情況的應(yīng)急準(zhǔn)備，不得不面臨停工停業(yè)的狀態(tài)，即使在正常工作中網(wǎng)絡(luò)通信具有安全備份保障等，仍應(yīng)以此次疫情為契機，健全應(yīng)急方案，滿足特殊情況的應(yīng)急保障。

2.確保內(nèi)部數(shù)據(jù)安全。訪問控制在信息系統(tǒng)安全管理方面有著決定性作用，要充分考慮遠(yuǎn)程訪問用戶人數(shù)、數(shù)據(jù)資源類型、訪問要求、用戶權(quán)限分配等因素，實現(xiàn)遠(yuǎn)程訪問信息系統(tǒng)、訪問用戶的精細(xì)化管控，從而保障內(nèi)部數(shù)據(jù)安全。比如對內(nèi)部信息系統(tǒng)進(jìn)行分類，非涉密辦公系統(tǒng)、郵件系統(tǒng)、監(jiān)控系統(tǒng)等適宜放在VPN上，而重要的生產(chǎn)業(yè)務(wù)系統(tǒng)、財務(wù)報表系統(tǒng)還應(yīng)以專線等形式加強訪問管控，減少遠(yuǎn)程訪問風(fēng)險。

3.高性價比組網(wǎng)方式。各種組網(wǎng)方式、VPN技術(shù)均有利弊，要進(jìn)行充分需求分析，均衡考量安全性、可靠性、高效性、成本控制等因素，搭建高性價比VPN網(wǎng)絡(luò)。不能因為一味追求安全性而加強安全防控，導(dǎo)致擴(kuò)展性、建設(shè)成本、運維成本等上升。

4.加強IT運維能力。VPN接入較專線通信增加了網(wǎng)絡(luò)安全的風(fēng)險因素，這對各單位IT運維管理能力提出了更高的要求，應(yīng)加強IT人員的學(xué)習(xí)培訓(xùn)、操作演練，借助輔助的成熟的運維管控平臺，提高網(wǎng)絡(luò)管理和運維水平，滿足日益發(fā)展的辦公需求和網(wǎng)絡(luò)管理要求。

（作者單位：中國人民銀行銅川市中心支行）