VPN技术在企业中的应用
2020-12-13马亚琦刘东旭
马亚琦,刘东旭
(河南质量工程职业学院,河南 平顶山 467000)
1 VPN技术概述
虚拟专用网是近年来随着互联网 的发展而迅速崛起的一种技术。以联通、移动等公共网络为基础,在公有网络上搭建符合不同企业需求的虚拟专用网。互联网、帧中继,异步传输模式等可以作为公共网络基础的来创建虚拟专业网。企业传统私有网络的构建方式是通过向网络运营商提出申请,有运营商组织施工架设企业专线来实现连接的,而虚拟专用网不需要架设物理专线,只需在已有的公共网络基础上虚拟一条专用链路就可以实现。这条虚拟链路的创建就可以保证企业间能够建立可靠的安全连接,从而保证数据传输的安全性[1]。
虚拟专用网的特点决定了重点金融企业网络与数据传输网络的融合将有非常重要的作用。管理人员只需通过后台管理界面简单进行虚拟专用网用户增删的操作,完全不需要硬件设备的调整,这使得虚拟专用网的操作灵活性非常强。虚拟专用网支持移动端用户的接入,移动用户可以不受时间地点的限制通过移动设备访问虚拟链路,实时监测虚拟链路的状态。根据企业性质以及对于虚拟专用网性能需求的不同,利用多协议标记交换技术虚拟专用网可以将服务质量分为不同等级应用到不同企业的虚拟专用网用户。公共网络提供的通讯功能,不仅使企业以较低的成本与商业伙伴进行互连,而且大大提高闲时网络资源的再次使用,网络运营商收入也有所增加。
2 虚拟专用网的分类及适用范围
企业虚拟专用网是指利用联通、移动等提供的公用互联网来实现原本只能由广域网物理设备才能实现的拨号上网、数据数字网等。企业虚拟专用网按照应用类型可分为[2]:
(1)数据虚拟专用网
采用远程接入虚拟专用网方式搭建的虚拟专用网解决了企业外出业务人员在需要访问企业内部网络,获取企业保密数据的问题,为了防止非法用户,在访问内部网时需要通过身份验证。通过身份验证和用户权限控制对于经常在外人员和分散的客户来说很有必要。
使用开放系统互联参考模型第二层中的随道技术,企业私有网络数据传输的任务就由建立在公用网络基础之上虚拟专用网隧道连接来实现。虚拟专用网服务所需企业投入的物理设备比较少,只需企业核心网络路由设备支特虚拟专用网的配置就可以了,企业内部员工通过公共交换电话网络登录企业邮件服务器成功后,就可以查看虚拟专用网路由器。
虚拟隧道的搭建方式有两种:一种是网络运营商发起连接,另一种是企业用户发起连接。如果是网络运营商提供虚拟专用拨号网络服务,虚拟隧道建立所需的技术支持由网络运营商负责,网络运营商只需与企业网关建立隧道。如果连接由企业用户发起,企业用户需先通过共交换电话网络等方式接入互联网,然后再通过虚拟专用拨号软件发起连接。
(2)企业内部虚拟专用网
大中型企业的虚拟专用网可通过企业内部虚拟专用网来实现,企业内部虚拟专用网使企业内部各个部门间安全快捷的传递信息。通过在企业间、企业总部和分公司间建立虚拟私有网络,实质上公用网的各个路由器之间传输的用户的私有网络数据都是在虚拟的专用链路来进行。传统的专线网在传输企业私有数据时安全性较差,企业内部虚拟专用网通过公用网络不仅将地理位置上分散的相距较远的各个分公司站点互连在一起,而且数据传输的安全性更有保障。
用于构建企业内部虚拟专用网连接的隧道技术有网络安全协议、通用路由封装协议等。与网络服务商提供的多种网络服务质量机制相结合,网络资源的利用率大大提高。
(3)企业外联虚拟专用网
企业外联虚拟专用网是指虚拟专用网扩展,虚拟专用网不只是在公司部门之间、总公司与分公司之间搭建,与企业有业务往来的长期合作伙伴关系的其他企业之间也可以搭建虚拟专用网。在传统的专线构建方式下,与合作伙伴的互连需要向网络运营商申请架设专线来实现,后期需双方企业投入技术人员进行网络管理与维护,甚至还需要更新和添置支持虚拟专用网的网络设备,随着企业合作伙伴的增多,就需要申请建设多条这样的专线,企业在企业外联虚拟专用网建设与维护的成本就会增加许多,因此企业对于构建企业外联虚拟专用网经常犹豫不决。
为了提高商业效率,解决合作伙伴多且地理位置分散的难题,企业在搭建虚拟专用网时通常是虚拟专用拨号网络与企业内部虚拟专用网的结合,这样做的好处在于既能满足企业分支机构以及外派业务人员随时以不同身份权限获取企业内部信息,也能和合作伙伴之间建立可以控制访问权限的安全连接,以此来传递商业信息和进行业务交流,因此虚拟专用网的搭建要以企业内部网络的需求为依据,构建适合企业发展的网络。
按照实现的层次进行分类,依据是在开放互联参考模型的第二层还是第三层实现隧道,分为二层隧道虚拟专用网和三层隧道虚拟专用网[3]。
3 企业虚拟专用网的设计原则
3.1 安全性
虚拟专用网在搭建时首先要考虑虚拟链路中企业数据传输的安全性,安全性可通过以下几个方面来增强:
(1)隧道与加密技术:多种协议封装在隧道的同时,增强了虚拟专用网的性能,可在面向无连接的企业网络中搭建点到点的逻辑通道。诸如金融企业之类对于信息传输安全性要求颇高,使用加密隧道技术就可以更好的保护数据的安全性,非法窥视与篡改数据的行为被禁止。
(3)数据验证技术:一些非法用户甚至黑客会在公用网络上,通过一些网络嗅探和网络抓包工具非法截获企业用户的商业机密数据包,篡改后会再次发送,导致错误的数据会被接收,给数据收发双方造成重大损失。数据验证的作用就是使接收方可以识别这种篡改,在收到篡改的数据后会将数据抛弃,不会再被欺骗,这种验证方式保证了数据的完整性。
(3)用户验证:虚拟专用网能对用户身份进行验证,合法用户可以成功访问企业资源,非法访问的访问会被禁止。路由器中通过对用户的身份认证、服务授权、用户对各种网络服务用量的计账配置成功后,就可以提供不同用户身份以及访问权限的控制等功能,数据虚拟专用网和企业外联虚拟专用网的应用都离不开用户验证[4]。
3.2 可靠性
虚拟专用网是搭建在公用网之上的虚拟网,其运行的可靠性受到物理外因的影响不大,对于技术力量薄弱的企业,可以将虚拟专用网的运维管理工作进行业务外包,由网络服务供应商进行监管,对于有专业运维技术团队的企业,完全可以胜任保证虚拟专用网可靠而稳定地运行的工作。
3.3 扩展性
随着企业的壮大,合作企业也逐渐增多,外联业务所产生的源源不断商业信息页会促使企业关注虚拟专用网的建设,以此连保障商业机密信息传输的安全性。对于企业构建的虚拟专用网来说,就需要进行快速的配置和部署来应对企业日益增多的客户和合作伙伴之间的商务信息的传输,因此快速高效的搭建针对不同商业合作伙伴的多条虚拟专用网线路是非常重要的。
3.4 经济性
企业发展需控制成本,成本的有效控制是实现利润增长的途径之一,在保证虚拟专用网可扩展性的同时,本着够用稍有冗余的原则,应在搭建企业虚拟专用网之前寻求技术专家做出经济可行性分析,以杜绝过度浪费的投入。