VPN方案确保企业信息安全--案例解析

鸿鹄

我们在第上期期介绍了VPN的概念、VPN为企业用户带来的好处和VPN的软硬之争（虚拟世界的专属通道—VPN为企业省钱(图)）。对于企业用户来说，要实现VPN连接，企业内部网络中必须有一台基于Windows NT或Windows Server 2003的VPN服务器，该服务器一方面连接企业内部专用网络，另一方面连接Internet，这就要求VPN服务器要有一个公共的IP地址，当客户机通过VPN连接与专用网络中所有计算机进行通讯时，先由ISP将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目的地。VPN不但降低了企业的办公费用，而且增强了网络安全性，下面我们就来看看不同企业的VPN解决方案。 重庆冠忠新城公司的VPN方案　　企业需求：重庆冠忠（新城）公共交通有限公司（以下简称重庆冠忠新城公司）现有10个下属单位，从各单位的网络布局看，均采用ISP所提供的基础网络连接到互联网。为了实现统一管理，现要建一个企业专用网络，将10个下属单位纳入到专用网络平台统一管理，以便于协同开展工作，提高管理的水平。如果采用专线的方式搭建企业专用网络，则需要很大一笔开销，为了解决这一问题，公司打算通过采取基于Internet的VPN（虚拟专用网）解决。从该公司的下属单位来看，除个别初具规模的单位已建设了独立的内部局域网外，大部分单位采用的是单机拨号接入，个别负责人则采用移动方式拔号入网。要建立起统一的企业专用网接入平台，必须保证VPN应用多种方式接入的兼容性。另一方面，对于公交公司等非专业IT机构来说，IT从业人员电脑操作水平不高，要求在每个下属单位、机构中安排高级别的IT管理人员是不明智的，越是智能化，操作越简单的VPN方案对运输企业来说越容易普及。
　　方案分析：根据重庆冠忠新城公司的网络环境特征，以冰峰网络ICEFLOW F系列VPN产品作为中心设备，凡具备局域网的下属单位，推荐采用ICEFLOW R系列VPN产品与总公司互连，其它有移动办公需求的工作点，则采用ICEFLOW VPN客户端连接到总公司（图1）。



   
    该方案的实施，前提是必须完成公交公司下属单位的统一管理工作，通过VPN的互联管理，对用户组资源合理分配、建立规范组策略、安排监管监控负责人等。由于冰峰VPN产品与原有网络结构兼容，不必对现有的网络进行改造。通过对下属单位的远程互联，重庆冠忠新城公司轻松具备了多网段接入的统一平台，对于各种应用软件、管理系统、远程应用服务等都能轻松接驳。通过VPN接入平台与各项系统的完善搭配，在各应用节点上的工作人员都能够在不改变原始授权的情况下，轻松执行安全操作。 云南钢材物流中心的VPN方案
　　企业需求：云南钢材物流中心是集交易、融资、信息、仓储、加工为一体的大型专业化钢材物流平台，随着业务的高速成长，企业原有的网络结构已经不能满足需求。为更有效地管理交易、运输等业务，加强合作伙伴间的联系，云南钢材物流中心开始寻求更为安全、高速、智能且经济性较强的VPN网络，希望轻松高效地管理庞大的业务资源，增强市场竞争力。中心网络主管丘先生指出，云南钢材物流中心目前大概有20多名移动办公的业务员工，关系来往密切的合作伙伴有10多家，且还有3个大的企业卖场，也希望能与总部进行VPN连接实现资源共享。
　　方案分析：经过反复讨论，该中心VPN组网需求如下：VPN连机质量实时稳定，具备简易操作、弹性配置等特性，具备高度的企业信息安全性和一定的扩展性。根据企业需求，侠诺科技为云南钢材物流中心规划了VPN组网方案，具体的VPN网络拓朴结构如图2。



   
    云南省钢材物流中心本部作为中心端，统筹内外运营事宜，需要具备更优秀的网络环境，因此组建了内部网和外部网。中心本部内部上网采用侠诺新一代千兆共享产品GQF1150，四条6MB网通ADSL汇聚接入，下接核心交换机连接到各部门的PC提供局域网上网服务。并通过VLAN划分不同的子网，有效防止病毒传播的同时，也便于对内部网用户的管理。而对于外部资源访问服务等，则采用了侠诺SSL/IPSec VPN复合式防火墙——SSL002作为中心端接入设备，ERP、OA、业务管理等系统服务器直连SSL002，提供微软终端、远程桌面、VPN网络等信息远程共享服务。中心端网管根据远程用户不同的身份，划分不同的群组，以设置权限区隔，达到保护机密信息资源的目的。
　　钢材市场的业务人员及企业合作伙伴，则采用SSL VPN方式接入，无须安装客户端即可轻松安全远程访问企业服务资源。而对于相对较大型的分支外卖场，则采用IPsec VPN或SSL VPN方式，灵活调整。华东师范大学的VPN方案
　　企业需求：随着信息化的发展，华东师范大学迫切需要一个系统，对数字图书馆远程接入、校务管理系统接入和WLAN接入进行管理。
　　华东师范大学的校园数字图书馆的用户群一是本校师生，另外就是校外的移动授权用户。为了保证数据信息的知识产权，浏览者的IP地址必须是已缴纳版权费的本校内网地址。但是数字图书馆的应用必须拓展接入范围，方便广大师生浏览，而与国外图书馆的合作却限制了外网接入，只能保证校内IP地址的应用。因此要拓展数字图书馆的接入范围，就必须通过VPN的方式，将校外移动用户逻辑上接入校园网，通过分配校内虚拟地址访问校外图书馆。
　　随着教育信息化的应用逐渐规模化，华东师范大学的校务系统和办公自动化系统发展迅速，如网上排课系统、学校公告发布、邮件系统等都是典型的应用。如果校务管理人员和教师不在校园网内，就会出现了安全访问的问题，如何提供数据加密、认证授权机制，同时又是安全方便、快捷的VPN通道访问就显得非常关键了。
　　WLAN无线接入已经成为广泛采用的网络接入手段，华东师范大学为了方便广大师生上网，提供了WLAN接入。对于WLAN的访问，最主要的安全问题包括非授权的访问、黑客攻击等，因此在部署WLAN时要考虑的主要因素就是用户认证授权和安全访问控制等。
　　方案分析：针对华东师范大学的网络状况和信息化需求，Array Networks提供了统一的解决方案，部署了SPX5000设备，SPX5000完成了SSL VPN服务，提供数字化图书管、无线上网管理、远程校务系统以及办公自动化系统接入，具体拓扑示意图如图3。



   
    1.通过SSL VPN功能模块L3VPN实现数字图书馆的接入
　　通过部署Array Networks 的SSL VPN网关SPX5000，大学师生从校外公网接入数字图书馆须经过SSL VPN的认证和授权，这样就保障了本校授权人员的使用。经过授权的外网用户，无论是通过电信还是其它ISP远程登录VPN 网关设备，均可通过SSL VPN隧道接入校园网内。这时，该用户无论是访问校内还是校外数字图书馆，都不会再有限制了。
    2.通过SSL VPN公网远程访问校务系统
　　组建VPN网络时为校园办公系统分配一个SSL VPN门户，具有独立的域名和IP地址。使用SSL VPN接入的师生，只须登录此SSL VPN门户，经过认证和授权，即可打开L3VPN通道，通过此隧道访问校务系统如排课系统等，或查看校内的办公信息等。另外，校园网的网络维护人员也可以通过SSL VPN隧道远程维护校园网的软硬件设备，尤其是在出现故障的情况下，网管维护人员可以马上接入，无论是在家还是出差，都可以即时保证信息化系统稳定工作。
    3.对WLAN接入用户的管理控制和计费
　　在不同的大楼部署Array Networks的SSL VPN接入网关SPX，作为WLAN汇聚设备，接入WLAN的终端被导入到SSL VPN的门户上进行认证、审计。将流量导入到SSL VPN门户是通过对连接AP的交换机进行的，华东师范大学采用的是华为3COM的交换机，它具有流量导向功能，这样即可强制接入WLAN的终端首先访问SSL VPN，从而建立L3VPN通道来接入校园网。


   
    用户在登录WLAN时，SSL VPN网关SPX5000会将用户名、密码等信息通过Radius协议提交给城市热点计费服务器进行认证，从而决定用户接入是否被允许（图4）。同时，SPX5000还会将分配给用户的内网IP地址、用户何时登录、退出提交给Radius服务器进行计费。同时，SSL VPN还可以和计费系统一起配合来控制WLAN接入用户的访问权限，允许或禁止他访问某些网段，是否可以访问公网等。
　　编后：如果你是企业的网络管理员或CIO，如果你正在为企业的信息安全发愁，请关注VPN的相关解决方案。如果你在使用企业安全设备方面有什么疑惑或经验，对VPN解决方案有什么疑问等，均可以给我们来信，邮箱是：chenp-vip@tom.com 。

15326903121

lijun19901206

学习学习

网络求知者

再见...那放肆的

有案例吗