陈 源，任少波，曾友东

（航空工业成都飞机工业（集团）有限责任公司，四川成都610091）

0 引言

云计算代表了企业IT 技术发展的新方向，俨然成为企业信息平台最核心的基础设施。云计算的出现和应用使企业组织开发、部署和管理企业应用程序的方式发生了根本改变。云计算可以通过自定义产品和服务的方式来运行企业的各类信息系统，满足企业各类业务系统的计算和存储要求。云计算的应用和推广从根本上改变了传统企业IT基础设施的建设模式、建设周期、运行方式，降低了企业软硬件的投入成本。私有云作为一种云模式，得到了广泛关注和应用，尤其是对数据安全有特别要求的企业。一些跨国公司，分支机构遍布世界，人员全球办公，对如何跨越地理限制协调工作存在巨大需求。VPN 技术利用公共互联网建立专门的网络通道，为异地员工安全使用公司内网提供了技术支持。VPN 能够保障通信的私密性，因此可以利用VPN 技术突破网络封锁访问公司内部受限站点。利用VPN 的隧道技术和加密技术，异地员工可以通过互联网安全可靠地访问公司私有云上的数据，并使用私有云上的各种计算服务。大型企业私有云系统的合法用户较多，如何对众多用户进行授权管理，降低管理难度，提高管理效率，同时加强安全防范能力是一个亟待解决的问题。域控系统是一种能够对用户身份进行审核和授权管理的高效和安全的解决方案。域控系统可以对用户进行严格的身份验证和审查，对用户系统环境进行灵活管理，包括密码使用策略、软件安装策略、软件使用策略、用户权限策略、桌面环境统一策略等。在私有云平台上集成VPN技术和域控系统，为企业提供了灵活方便、安全可靠的信息基础设施。

1 私有云

云计算是一种根据企业运行需求进行定制化设计的信息基础设施，在不改变硬件投入的情况下，可以根据企业计算需求和存储需求进行灵活配置，并能够随时根据企业需求进行配置调整。用户的管理和运行成本大大降低。传统的IT系统建设过程往往需要经历预算申请、硬件采购、设备到货、机器上架、系统安装等过程，少则需要一个月，多则可能需要半年才能完成整套系统的部署。在快速迭代的互联网时代，这种低效的建设模式会对企业业务运行带来巨大的影响。利用云服务，只需要打开电脑，点击鼠标就可以完成资源的购置，在线即刻进行业务系统的部署和调整。云计算相对于传统IT 技术来说主要有3 点优势：提高效率、降低成本、助力创新［1-2］。

根据云计算的不同应用需求，可以设计3种云模式，即私有云、公有云以及混合云。公有云由专门的云计算企业提供完整的云服务，一台云服务器可以为多家企业提供云服务。当某个企业停止订购公有云服务时，其租用的云服务器上的资源将会被清空并提供给其他企业使用。公有云的优点是价格低廉、使用便捷、节省维护成本；缺点是不够安全，有文件泄露的风险，企业转移大量数据时需要花费很大一笔费用。私有云只为某个企业提供云服务，云服务器不共享，能更好地保证企业重要数据不被破坏和窃取，并有效改善云计算服务品质。不同于公有云的租赁使用方式，企业对私有云服务器拥有完整的所有权和使用权，可完全控制云服务器软件安装和系统配置工作。私有云服务器既可以设置在企业内部，自行配置机房设施；也可以设置在外部的数据中心，由专业公司进行服务器托管。私有云极大地保障了数据安全，因而成为众多对数据安全有较高要求的企业的必然选择。混合云兼顾了公有云的低成本和私有云的高安全，即混合云中既有公有云又有私有云。公有云上存储需要公开或者安全性要求低的数据，提供公开服务。私有云上存储安全要求高的数据，不提供企业以外的云服务。混合云是企业在数据安全和运行成本之间折中的选择。

虚拟化和云平台是云计算的基础，虚拟化提供资源池化、资源调度，云平台提供资源管理、运营等。虚拟化技术解耦了服务器硬件和操作系统之间的紧耦合关系，能够进行物理资源共享、复用等操作。虚拟化分为计算虚拟化，即把处理器资源虚拟化；网络虚拟化，即用软件定义网络；存储虚拟化，即把每块云盘虚拟化成一个存储池，用户可根据需求进行自定义划分。资源池化可以把单块容量有限的存储器虚拟化成一个资源池，而云主机可以自由分配该资源池的资源，形成多个虚拟机。虚拟化平台中包含了资源调度的功能，如高可用、热迁移、动态资源导读、弹性伸缩等，能够让虚拟机逾越服务器之间的物理边界进行资源调度。但虚拟化没有解决多地域和多平台问题，即如何管理分散在不同地域的IT资源，如何用一套平台体系，统一管理不同资源平台。云平台实现了IT资源的统一管理，包括多区域、异构平台管理、精细化运营。一套完整的私有云是基于虚拟化和云平台的整合，虚拟化提供资源池化、资源调度，云平台提供资源管理、运营等。

2 VPN技术

虚拟专用网络（Virtual Private Network，VPN）通常使用互联网建立专有网络，通过加密技术保证数据安全，在交通混乱的公共信息高速路上设置了一条安全的绿色数据通道。VPN 在企业总部和分公司之间，在不使用专用物理线路的基础上，利用互联网建立安全通行隧道，虚拟一条通信专线。对于异地机构和人员［3-4］，利用VPN 连接到企业总部，在用户体验上和使用公司局域网完全一样。以前企业要实现异地办公，通常需要租用数字专线或者帧中继来满足安全访问企业内网的要求，但这种方法既费用高昂又不够灵活，特别是对于需要经常出差进行移动办公的员工。VPN 保证了异地私有云与用户主机间的安全可靠连接，已经成为私有云技术应用不可或缺的技术。

实现VPN 的主要技术有隧道通信协议、数据加密技术和网络访问控制技术等。隧道通信协议使各种内部数据包可以通过公共网络进行传输；数据加密技术可对传输的数据进行加密保护，对用户ID 进行认证、抗否认等；网络访问控制主要用来对网络访问进行保护，并应对各种网络攻击。由于当前广泛使用的IPv4互联网协议中，独立的IP地址数量过少，无法保证企业内网用户都能使用独立的IP地址。企业内网用户使用的局域网IP，无法直接通过互联网端口向外部传送数据，因此在和外网收发传输数据前需要把众多用户局域网IP地址转换为企业对外使用的一个或多个互联网IP地址。IP地址转换可以采用静态转换、动态转换、端口更改、数据包封装等方法。VPN通常采用对数据包进行封装的方法，建立安全的通信隧道。在VPN的发送端对传输的原始数据进行打包封装，增加互联网IP 包头。封装好的数据包在互联网被传输到VPN 接收端后需要进行解包处理，识别出原始数据后再发送给接收该包的真正用户。VPN 广泛采用了数据封包技术进行内外网地址转换。但数据封包技术只能保证数据在VPN虚拟通道中准确传递，要保证数据传输的安全还必须用到另一项重要的技术，即数据加密。密码学和互联网的结合，产生了广泛应用的数据加密技术。数据加密已经成为保障传递数据安全的不可或缺的重要技术。数据加密采用软件方法以较小代价保证了数据在公共网络中传递时不被泄露和破解，防止数据被窃取。网络控制技术实现了网络防火墙功能，任何进出外网的数据都会经过安全过滤。VPN系统通常需要完备的网络访问控制技术，以保证网络访问安全可控，便于进行统一管理。

VPN 的部署方式有多种，如远程访问VPN、站到站VPN、移动VPN、硬件VPN、VPN 网关设备、动态多点VPN等。远程访问VPN的客户端通信需要先连接到企业网络上的VPN网关服务器。网关要求设备在授予对内部网络资源的访问权限之前验证其身份。这种VPN类型通常依赖IP安全（IPsec）或安全套接字层（SSL）来保护连接。站到站VPN 使用网关设备将异地（如分公司）的整个网络连接到另一个地方（如公司总部）的网络。远程位置中的终端节点设备不需要VPN客户端，因为网关可以直接处理连接。大多数通过互联网连接的站到站VPN 使用IPsec 协议，通常使用电信运营商MPLS 云而不是公共互联网进行站到站VPN 传输，或者在网络第三层连接（MPLS IP VPN）或第二层（虚拟专用局域网服务）的基础传输上运行。

在移动VPN 中，VPN 服务器公司是访问企业网络的远程入口，只允许经过身份验证的授权客户端进行安全的隧道式访问。移动终端的VPN隧道并不与物理IP 地址绑定，而是每个VPN 隧道只绑定一个逻辑IP 地址。无论移动用户在哪里连接公司内网，这个逻辑IP地址都会被固定在移动设备上。一个有效的移动VPN 可以为用户提供连续的服务，并且可以跨接入技术和多个公有和私有网络进行切换。与严格基于软件的VPN 相比，硬件VPN 除了能增强安全性之外，还可以为大型客户端负载提供负载均衡。硬件VPN管理通常采用Web浏览器界面进行管理。由于硬件VPN 比软件VPN 成本更高，一般较大的企业都会选择硬件VPN，只有用户不多、过于考虑成本的小型企业才会选择软件VPN。VPN 网关设备是具有增强安全功能的网络设备。VPN 网关设备也称为SSL（安全套接字层）VPN 设备，它是一种路由器，为VPN 提供保护、授权、身份验证和加密。动态多点虚拟专用网（DMVPN）直接在站点之间交换数据，用户不需要直接访问企业总部的VPN 服务器或路由器。每个远程站点配置了一个VPN 路由器，可以连接到公司的总部设备VPN 服务器上，实现对企业内部可用资源的访问。当两个远端用户需要在彼此之间交换数据时（例如VoIP 电话呼叫），两个用户可以通过总部VPN 服务器来进行数据传递，即在这两个用户之间直接创建动态IPsec VPN隧道。

3 域控系统

域控系统主要用于控制和管理网络上的计算机群组，授权或拒绝某个计算机用户加入计算机组合。为了保证企业网络访问可控和企业私有云数据安全，必须对企业云用户进行严格管理。传统的对等网系统是一个去中心的系统，所有的计算机用户身份完全平等，资源相互共享，任何计算机都可不受干预地加入或退出，无须专门的计算机或服务器用于管理计算机组合。尽管可以在对等网系统中对一些重要数据或文件进行加密处理，但由于网络完全开放，极易受到攻击和破解，无法保证数据共享和传递的安全。在域控系统中，有专门负责管理计算机用户加入并对用户身份进行审核的计算机或服务器，因此大大提高了私有云的访问安全性。域控系统相当于给企业内部网络系统增加了一个负责安全检查的门卫。域控系统会存储所管理域中的全部账户、密码等关键信息［5-6］。任何用户对企业内部网络的访问，都需要域控系统对用户身份进行核查，首先判断是否属于该域管理的用户，再对用户账户和密码进行比对检查。只有审查信息完全一致的用户才可以登录网络系统。域控系统数据库还为每个用户设置了专门文件，确保每个用户都只读取和修改自己的数据，不会破坏其他用户的专有数据。域控系统管理员是超级用户，他具备所有用户文件的访问和修改权限，并能根据需要更改某个用户或文件的访问权限，设置用户账户和密码。域控系统管理员既要保证各类资源的合理分配，又要负责数据的安全管理。域控系统中还包含了用户权限的分配情况，任何用户只有经过域管理员的同意并获得相应授权后才能在私有云上进行软件安装、升级、卸载等操作，这样能够避免下载和安装一些不当软件，避免引起病毒感染或重要文件受损，或者操作用户数据丢失，极大地提高了用户数据的安全性。

4 结语

私有云逐渐成为众多企业IT系统主流选择。和公有云相比，由于企业拥有云服务器所有权，因此私有云提供的计算和存储业务更加安全可靠。VPN 技术通过在公共网络上使用隧道通信和数据加密等技术，为在地理上分散的公司总部和分支机构以及个人远程办公提供了访问企业内网（私有云）的技术支持，真正突破了企业地理位置的限制，实现全球协同办公。域控系统为私有云用户管理提供了方便可靠的安全审核和用户权限管理。在私有云平台上集成VPN技术和域控系统，从而为企业提供便捷、安全、低成本的IT 信息基础设施解决方案，逐渐成为企业IT基础设施建设的主流解决方案。