VPN 技術在港口企業中的應用

郭 健

（1、大連海事大學，遼寧 大連 116026 2、天津港信息技術發展有限公司，天津 300000）

隨著Internet 在企業領域應用的不斷深化，VPN 作為一種廉價安全的組網方案越來越受到人們的青睞。在全球范圍內，VPN 已經得到快速發展。目前，VPN 產品和技術已相當成熟，如何將VPN 技術引入錯綜復雜的港口生產業務中成為了港口信息部門的研究課題。

1 VPN 技術介紹

1.1 什么是 VPN

VPN(Virtual Private Network)是指采用隧道技術以及加密、身份認證等方法，在公用網絡上構建專用網絡，數據通過安全的“加密管道”在公用網絡中傳播。VPN 又稱虛擬專網，指的是依靠ISP（Internet 服務提供商）和其它NSP（網絡服務提供商）在公用網絡中建立專用的數據通信網絡的技術。IETF 草案理解基于IP 的VPN 為：使用IP 機制仿真出一個私有的廣域網是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的長途數據線路，而是使用Internet 公眾數據網絡的長途數據線路。所謂專用網絡，是指用戶可以為自己制定一個最符合自己需求的網絡。目前VPN 主要采用4 項技術保證安全，即：隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。

1.2 VPN 是怎樣工作的

VPN 實現的關鍵技術是隧道，而隧道又是靠隧道協議來實現數據封裝的。VPN 將企業網的數據封裝在隧道中，通過公網Internet 進行傳輸。因此，VPN 技術的復雜性首先建立在隧道協議復雜性的基礎之上。隧道協議中最為典型的有IPSEC、L2TP、PPTP 等。其中IPSEC 屬于第三層隧道協議，L2TP、PPTP 屬于第二層隧道協議。第二層隧道和第三層隧道的本質區別在于用戶的IP 數據包是被封裝在哪種數據包中在隧道中傳輸。VPN 系統使分散布局的專用網絡架構在公共網絡上安全通信。它采用復雜的算法來加密傳輸的信息，使敏感的數據不會被竊聽。

1.3 怎樣實現VPN 聯網

VPN 的聯網方式大致有三種：固定IP 與固定IP；固定IP 與動態IP；動態IP 與動態IP。第一種的聯網方式是比較傳統的方式，技術上實現最容易實現，目前的防火墻等設備就可以實現這種功能;第二種的VPN 聯網方式，對于目前大多數專業的VPN 廠商也基本能解決;而第三種方式即動態IP 與動態IP 之間的VPN 通訊卻成了很多廠商和科研機構望而卻步的技術難題，實現起來并解決大規模的實際應用就更加困難。VPN 通過IPSEC 隧道協議對IP 數據報進行封裝，使之在INTERNET上傳輸，就好像一條通道一樣；VPN使用DES 加密算法保證機密性，MD5 信息摘要算法保證完整性，充分保證了數據的安全。現在VPN 已成為非常流行的遠程連接技術。

2 港口生產需求分析

2.1 企業現狀

國內某港口是我國北方重要的客貨運輸港，承載著我國北方內陸貿易的重要任務。該港口在內陸地區建立了多個無水港，使得內陸地區的客戶不必親臨港口就可以辦理相關業務，以便促進內陸地區進出口貿易的發展，從而進一步提升港口的生產服務水平。

目前，該港口業務主要存在以下問題:

2.1.1 各個無水港與總部間的數據交換不暢、總部和各無水港的數據交流途徑簡單，而且在數據交換過程中存在安全隱患。撥號連接的方式速度慢、穩定性差，嚴重堵塞了現有的交流渠道。2.1.2 各個無水港與總部間的數據交換時間固定，不能實現信息的實時獲取。總部對各無水港的數據不能實時獲取，各無水港也得不到總部的及時指導。2.1.3 沒有足夠的財力構建DDN/SDH專網。如果總部與各個無水港之間為了業務需要采用DDN/SDH 專線，則要面臨昂貴的運營及維護費用，這對于該港口來說是無法承受的。

2.2 企業需求

虛擬專用網是對企業內部網的擴展，可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸，一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在網絡連接上的費用。同時，這將簡化網絡的設計和管理，加速連接新的用戶和網絡。另外，虛擬專用網還可以保護現有的網絡投資。隨著用戶的商業服務不斷發展，企業的虛擬專用網解決方案可以使用戶將精力集中到自己的業務上，而不是網絡上。

3 VPN 解決方案

3.1 VPN 技術比較

目前企業實現VPN 聯網方案主要有SSL VPN 和IPSec VPN 兩種技術。后者出現較早，技術較成熟，但成本較高、維護復雜；前者則因為無需安全VPN 客戶端的便利性及低成本，迅速得到了廣泛應用。因此，SSL VPN 能否完全替代IPSec VPN 成為業界近年多有討論的話題。目前，隨著SSL VPN 實用主義特征不斷加強，今后整個VPN 市場的一個顯著趨勢就是SSL VPN替代IPSec VPN，只是在某些高端市場的特定領域除外。

3.2 VPN 的四種場景

應該說，VPN 技術的廣泛應用與當前企業的發展現狀直接相關，有四種場景是VPN 的典型適用對象。第一種是員工的外出辦公。越來越多員工會通過隨身攜帶的筆記本、PDA，甚至包括使用手機進行遠程移動辦公，但是，企業的信息系統往往不能夠提供足夠的安全性。第二種是遠程辦事處接入。遠程辦事處涉及到很多場景，有的辦事處只有一、兩個人，屬于業務單一型機構；有的辦事處有七、八個人，是一個完全獨立的小型局域網，業務范圍涉及財務、銷售等多種類型。第三種是遠程局域網接入。這種場景其實也是IPSEC VPN 的主要應用，即把兩個遠程局域網組合成一個虛擬的子網，實現網絡之間的互通。此應用多在總部與下級單位，或者總部與分、子公司之間。第四種則是網絡接入方式多種多樣，用戶群體存在多種類型，由于用戶的權限各有差異，所能登錄的應用系統也就各有不同。這時，通過應用系統本身的訪問控制或防火墻的網絡訪問控制是無法應付這種場景的，因為用戶群體不一定，分布的范圍也無法確定。應該說，無論哪一種場景，都可對應不同規模的企業，同時，不同規模企業對于安全需求的程度也有所差異，這就導致了SSL VPN 和IPSec VPN 目前各有其應用的現狀。

3.3 方案規劃

與IPSEC VPN 相比，SSL VPN 更加適用于單機接入總部網絡的應用需求，其使用標準的瀏覽器，無需安裝客戶端程序，即可通過SSL VPN隧道接入總部網絡訪問應用。而IPSEC VPN 則適用于兩個固定的局域網之間構建安全通道，同時SSL VPN 的算法在某些層面的安全性沒有IPSec VPN 那么高。雖說IPSec VPN 的強項在于遠程局域網的接入，把各個不同虛擬的子網結合在一塊。但隨著SSL VPN 技術的發展，SSL VPN在這一層面已經完全能夠替代IPSEC VPN 了，也就是說現在的SSL VPN 產品都能夠實現Site to Site（子網之間的組網）。因此，選擇帶有SSL VPN 功能的防火墻產品部署在港口總部，各無水港通過互聯網采用專用機登陸的方式聯入總部，這樣既發揮了SSL VPN 的靈活性和易維護性，又保證了港口總部網絡的安全性，同時控制了投資成本。

4 結束語

運用了成熟的技術、低成本的投入、安全的數據通道等特點，使得VPN 技術在港口企業得到了全面地應用，VPN 技術也一定會成功地被其他行業廣泛應用。

[1]張增爍.企業VPN 虛擬專用網技術應用研究[J].網絡安全技術與應用,2009-05-15.