VPN技术在企业网构建中的应用
李向阳 塔里木大学信息工程学院
[摘 要] 本文中主要通过路由器端以及PC机中服务器端和客户端的相关配置,采用IPSec协议构建中小型企业VPN虚拟专用网。该VPN虚拟专用网建成后大幅度提升了网络潜力,消除以前企业内网用户与其它Internet用户共用同一通讯网络所带来的安全方面的顾虑,从而为企业提供了一个高安全性、高性能、高可用性和多协议稳定共存的网络通信环境。
[关键词] VPN技术 路由器 IPSec协议 虚拟专用网 构建
对于21世纪的企业来说,为强化管理和降低运作成本,保证信息流通及时快捷,提高竞争力,实现企业利润最大化的目标,无疑需要构建高效便捷的企业网络应用系统。企业中各业务单元和员工通过内部网络能够迅速共享并交互信息知识,从而将分散的能力转化为团队和集体力量,增强企业的竞争力。
VPN是一种相当实用的企业网络优化运用技术。基于这种技术的产品已经广受青睐,不少企业用户也开始筹划组建自己的VPN网络。现VPN技术的应用已经非常普遍,已成为企业组建本企业广域网、建立移动办公机制的主流网络技术。
一、意义、目标和总体方案
1.设计意义
通过功能模块的设计,企业使用VPN技术组建网络可以带来以下好处:
(1)降低费用:首先远程用户可以通过向当地的ISP申请账户登录到Internet,以Internet作为隧道与企业内部专用网络相连,通信费用大幅度降低;其次企业可以节省购买和维护通讯设备的费用。(2)增强的安全性:VPN 使用三个方面的技术保证了通信的安全性:通道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务端,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
(3)网络协议支持:VPN支持最常用的网络协议,基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。这意味着通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。(4)IP地址安全:因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只看到公用的IP地址,看不到数据包内包含的专有网络地址。因此远程专用网络上指定的地址是受到保护的。
2.设计目标
VPN相对于专线而言,在价格上有着绝对的优势;相对于普通PSTN拨号连接,VPN在安全性、保密性上更胜一筹。企业通过使用VPN技术组建网络,可以保证数据在传输过程中的安全性和QOS(服务质量保证)。VPN具有很好的扩展性,当网络扩充与远程办公室、国际区域、远程计算机、漫游的移动用户以及由于商务要求的商务伙伴等连接或是变更网络结构时,企业只需依靠提供VPN服务的ISP就可以随时扩大VPN的容量和覆盖范围,因此可以大幅度降低数据通信的费用。
3.总体方案
使用基于IPSEC协议的VPN技术组建企业网,通过双方路由器
端的设置,Windows 2000 Server 服务器的配置和客户端端拨号软件的设置。使得一个企业总部与分公司或者是合作伙伴能够使用现有网络连接建立虚拟隧道连接。通过设置账号,密码以及权限,移动办公人员可以随时随地通过接入Internet,查看企业内部资料。
二、具体设计方案
1.需求分析
在本文设计的企业模型中,企业内部以及各分支机构网络运行有多种企业应用,如总部内建设WWW、文档共用服务、视频会议系统、电子邮件系统、企业办公自动化系统、公司ERP系统等。公司在未来可能开发更多的内部应用,如Client/Server模式的应用(TCP、UDP或TCP/UDP协议的应用),公司通过防火墙接入Internet。而目前公司所有应用仅限于公司局域网内,出差员工不能访问。
随着企业规模的扩大,业务量也随之逐渐增加,各地分公司、办事处的业务部门之间的信息交互也日渐频繁,部门间经常需要传递一些重要的数据和信息,对于数据在网络中的传输过程中的安全性要求显得越来越重要。目前仅仅依靠Modem拨号、ADSL以及专线的组网模式已经越来越不适应本企业对信息传输平台的要求了。为了实现在整个企业范围内,能实时地与各异地分支机构互联。能够很好地为各分支机构提供各类现存服务,急需建设覆盖各个异地分支机构的信息服务网络。
根据企业情况,可以从经济、安全、经营方面考虑该企业的建网需求。
(1)从经济角度考虑,电信提供的专线组网方式费用比较昂贵。企业在其他城市设立了许多家分支机构,同时拥有紧密型的合作伙伴,相关需要联网的网点数目比较多,分部地区比较广,信息交互比较频繁,每月的巨额通讯费用和专线租用费会给该企业带来很大的压力。
(2)从安全方面考虑,电信提供的DDN、ADSL等传输平台没有经过加密处理,重要数据和信息均是以明文在网上传输,如果别有用心的人篡改、窃取甚至破坏企业数据,将给企业造成不可估量的损失。
(3)从经营角度考虑,该企业需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台,来满足企业信息频繁传输的需要,增加企业的工作效率,提高企业的服务质量,加快企业的信息化建设,适应企业的快速发展,提升企业的良好形象。
根据对该企业网络需求进行的深入了解和分析,此次VPN网络方案实施将在保留原有网络环境的情况下,将需要提供以下的一些具体的设置以满足该企业需求:
①实现总公司内部区域网络互联,以及分公司、各分支机构和办事处的内部区域网络互联;
②客户、合作伙伴或分公司可以安全访问公司授权访问的企
《商场现代化》2009年3月(上旬刊)总第568期
12
商业科技
业内部网络资源;
③出差员工利用笔记本或公共电脑(如机场候机厅的电脑)也能够较安全地访问公司内部网络资源;
(4)总部内网保证至少100台电脑接入Internet,还要考虑到公司以后的发展接入点的增加,同时实现一级分部通过相关设备在连到总部网络的同时还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关资讯等要求;
(5)可以提供公司出差人员在各地通过互联网和公司网络实现网络互联,还提供访问公司FTP服务器,连接公司ERP系统提交与查询相关资讯等需求;
(6)在各分支机构和总公司之间创造一个集成化的办公环境,为工作人员提供多功能的桌面办公环境,解决办公人员处理不同事务需要使用不同工作环境的问题;
(7)支持不同机构间资讯传递,解决由人工传送纸介质或磁介质资讯的问题,实现工作效率和可靠性的有效提高;
综上所述,如何快捷地解决该企业的企业联网问题,如何有效地降低企业的巨额通讯费用,如何很好地解决信息的共享和信息的安全问题是本方案重点讨论要解决的问题,使整个网络的互联性得到极大提高,使整个网络的安全性达到一个全面加强。通过综合比较,采用VPN方式组网具有投资成本低、高带宽、高可靠性、高安全性以及灵活的可扩展性的优点,因此,采用VPN方式组网对该企业来说是现实可行的,完全可以满足企业的业务需要。本次设计中采用IPSec VPN方式构架虚拟网络,从而实现安全高效的连接。
2.企业网络总体规划
在该设计模型中,总部和各地分支机构以及相关的合作伙伴的边界路由器上均具有一个固定的真实IP,各地分支机构及移动用户采用多种接入方式:ADSL, Modem等接入Internet。通过安全网关在internet上构建企业内部虚拟专用网络,并解决企业内部移动用户的远程接入问题。
(1)企业总部接入方案设计。企业总部是整个企业的核心部分,重要信息的交互、共享,重要数据的频繁传输,组成了该企业的业务流。随着企业信息化程度的不断加深,各种应用系统会逐步得到应用。E-mail邮件系统,业务数据传输系统、视频会议系统、随之而来,信息安全问题也会成为企业关注的焦点。目前,该企业总部的内部网络,通过电信网络直接接入Internet。考虑以后总部业务需求的发展和承担的重要任务,在总部要安装VPN服务器,在网络出口处配置VPN功能路由器。
(2)分支机构及合作伙伴接入方案设计。由于各地分支机构需要与该企业总部进行大量的信息交换,并且随着办公自动化系统的应用加深,物流、资金流在企业Intranet网上的频繁传输,为了保证总部与分支机构、总部与合作伙伴之间进行安全的信息传输,我们可以根据各机构的不同情况,分别对路由器进行配置。通过配置,分支机构可以拥有对总部访问的全部权限,而合作伙伴只能查看部分资源。
(3)移动用户的远程安全接入方案设计。在外出差的移动用户可以通过安装在笔计本上的客户端拨号软件,随时通过接入当地的ISP。接入Internet后,使用该软件和远端的安全网关建立加密隧道,安全接入公司总部和各个分公司,在任何地方使用公司内部的OA系统。
3.企业网络拓扑图设计
本设计中,由于企业下属的分支机构和合作伙伴数量较多,
5.路由器端Ipsec VPN配置的实现
路由器端Ipsec VPN配置中采用IPSEC方式连接,需要配置一条虚拟隧道,通过隧道虚地址以及访问控制列表的建立,形成一条安全可靠的数据通道,数据在其中传送。
6.Windows 2000下VPN的实现
为了实现移动办公用户能够随时随地接入企业内部局域网,查看公司内部最新资源,在本次设计中采用了自愿隧道技术建立临时的VPN隧道,企业内部网络中必须有一台基于Windows 2000Server的VPN服务器。VPN服务器一方面连接企业内部专用网络,另一方面要连接到Internet,这就要求VPN服务器必须拥有一个公共的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP(Internet Service Provider,服务提供商)将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。
主要有三个步骤:
(1)配置VPN服务器,使之能够接受VPN接入。(2)VPN客户端(Win2000)的配置。
(3)建立客户端与服务器间的VPN连接。
当VPN客户机通过虚拟拨号和VPN服务器连接成功,VPN客户机就成了VPN服务器所在局域网的一部分。在此局域网内,任意一台计算机均可以根据权限访问其他计算机上的软硬件共享资源,操作方法和普通局域网完全一样。
三、关键技术
1.IKE的配置
用于在两个通信实体协商和建立安全相关,交换密钥。安全4.路由器端口及地址规划
本设计中实现了公司总部Router A与两个分公司的 Router B、Router C以及合作伙伴Router D的VPN互连;通过服务器和客户端的相关设置,实现移动办公用户与总部服务器的VPN连接。
下表为相关的端口和IP设置。在拓扑图中只选择了部分的公司作为说明的对象。通过需求分析以及企业网络的整体规划,得出VPN网络拓扑图如图1所示:
13《商场现代化》2009年3月(上旬刊)总第568期商业科技
相关是IPSec中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证,且这些通信实体都能支持相同的加密算法,成功地交换了会话密钥,可以开始利用 IPSec 进行安全通信。IPSec协议本身没有提供在通信实体间建立安全相关的方法,利用 IKE建立安全相关。IKE定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式。
2.预共享密钥
这个参数在路由器的VPN基本设置。对应在计算机的IP安全策略里的身份认证中的预共享密钥设置。
3.ACL的配置:(Access Control List,访问控制表)
用户和设备可以访问的那些现有服务和信息的列表。用户必须具有相应的授权才能修改目标的ACL。通常要求用户提供注册姓名和口令,它是用来保证系统安全性的一种手段。在本设计中,使用该技术实现了通过访问控制列表允许或控制特定IP的访问规则,保证了数据传输的安全性。
四、设计结果及作用
VPN网络建成以后,大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理,另一方面,企业甚至可以不必建立自己的广域网和接入网维护系统,而将这一繁重的任务交由专业的ISP来完成;VPN提高了整个企业网的互联性,良好的扩展性使得企业更好、更快地适应Internet经济的发展,把握商机;另外,在VPN应用中,通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。
参考文献:
[1]吕晓波:VPN技术详解[EB/OL].www.1inkwan.com
[2]王 达:虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004:5~8
[3]王 群 李馥娟:局域网一点通[M]. 北京:海洋出版社,2001:47~48
[4]黄芙菊 赵 鑫:局域网组建、管理与维护[M].北京:电子工业出版社,2004:66~67
[5]刘 浏 李平均 薛 可:无线局域网环境下的安全体系结构研究.计算机工程,2004:73~75
[6]吴丽华 史烈:基于VPN 技术的安全无线局域网的构建. 计算机工程,2005:14~15
[7]张 勇:运用VPN技术构建企业专用网络[J].煤炭工程,2003:75~77
[8]戴芦生:虚拟专用网技术及其实现[J].安徽电子信息职业技术学院学报,2004,:267~269
[9]刘繁华:VPN技术在“校校通”中的应用研究[J].广西教育,2003:36~38
[10]任小军:IPSec关键技术的研究.虚拟专网和IPSec协议.通信技术,2002:41~47
[11]李 别:构建虚拟专用网(VPN)的技术策略.中国西部科技,2004:4~7
[12]王 朗:利用VPN 技术实现合并图书馆分馆互联.现代图书情报技术,2004:35~38
[13]楚艳萍 季 超:VPN连接的建立和配置.河南大学学报(自然科学版),2003:80~81
Web2.0环境下SNS的发展策略探析黄 锐 孙 娜 中国传媒大学媒体管理学院
[摘 要] 本文分析了在Web2.0环境下发展起来的社会网络服务(SNS)的商业价值及盈利模式。结合我国SNS发展现状,认为我国SNS发展策略应该在盈利模式创新、市场细分、文化理念等方面有所突破。
[关键词] Web2.0 社交网络服务(SNS) 发展策略
在互联网飞速发展的Web2.0时代,网络用户开始追求更加实用、真实的应用体验,渴望将虚拟网络和现实社会有机结合,于是社会网络服务(Social Networking Services,SNS)应运而生。近几年,我国的SNS热潮风起云涌,不仅建构起一个又一个庞大、有机的网络社会,而且也带来了无限商机。
一、基于Web2.0的SNS概述
Web2.0的概念是在2004年提出的,目前并没有一个统一的定义。中国互联网协会对Web2.0的定义是“Web2.0是互联网的一次理念和思想体系的升级换代,由原来的自上而下的由少数资源控制者集中控制主导的互联网体系,转变为自下而上的、由广大用户集体智慧和力量主导的互联网体系。Web2.0将互联网的主导权交还个人,充分发掘个人的积极性参与到体系中来,广大个人所贡献的智慧和个人联系形成的社群的影响,替代了原来少数人所控制和制造的影响,从而极大解放了个人的创作和贡献的潜能,使得互联网的创造力上升到了新的量级”。Web2.0 超越了大众传播, 并结合了人际传播, 是无处不包含人际传播的大众传播方式。
SNS的产生和发展与“六度分隔理论”(Six Degree ofSeparation)密切相关。按照六度分隔理论,每个个体的社交圈都不断放大,最后成为一个大型网络。2002 年哥伦比亚大学Watts教授开展了“小世界研究计划”,验证了“六度分隔”不仅在物理世界,而且在虚拟世界同样适用 。后来有人根据这种理论,创立了面向社会性网络的互联网服务,进行网络社交拓展,这就是所谓的SNS网络。
对SNS的理解,可以从不同的角度来看。从技术角度来看,SNS是一个采用P2P技术构建的、基于个人的网络基础服务;从社交行为看,SNS服务将人们的线下关系链搬移到网上,再与其他人的关系链交互而形成更大的关系链。用户主要是跟熟人互动,如果遇到可以深聊的陌生人就能扩大人际圈子,此后通过对彼此的关注维系人际关系。
基于Web2.0产生的SNS应用集中体现了web2.0 的传播特点,它是一种为用户提供信息展示、交流与共享的平台,并注重用户关系管理的服务形式。该服务使互联网应用模式从传统的“人机对话”转变为“人与人对话”。
《商场现代化》2009年3月(上旬刊)总第568期
14
因篇幅问题不能全部显示,请点此查看更多更全内容