VPN技術助力報社信息化發(fā)展

葉 菁

（十堰日報社網(wǎng)絡技術部，湖北 十堰 442000）

1 背景分析

經(jīng)過多年的信息化建設，目前報社的采編系統(tǒng)、廣告系統(tǒng)、發(fā)行系統(tǒng)、數(shù)字報系統(tǒng)等信息化系統(tǒng)已初具規(guī)模。但隨著報社事業(yè)的不斷發(fā)展，所屬各部門的業(yè)務量越來越大，記者站、發(fā)行站增多，傳統(tǒng)的辦公和采編模式越來越難以滿足要求。具體說來，以下幾個方面問題迫切需要解決:

（1）各縣記者站的各項業(yè)務要求能實時地與總部同步，總部對記者站采編稿件的及時性要求越來越強，同時所需圖片的數(shù)量也越來越大，通過原來的E-mail的方式向總部傳輸稿件，在穩(wěn)定性、安全性和數(shù)據(jù)量上都已經(jīng)不能滿足實際應用的要求。

（2）在征訂期間，要求各發(fā)行站的數(shù)據(jù)能實時地上報中心數(shù)據(jù)庫，同時各站的數(shù)據(jù)也能交互。傳統(tǒng)的做法是每天各站點上下午下班前才能把數(shù)據(jù)上傳到總部，而總部也只能是定時向各點分發(fā)文件或者數(shù)據(jù)通報，這樣就使業(yè)務的發(fā)展受到了局限。

（3）報社有兩個印刷點，采用租用網(wǎng)絡硬盤方式傳輸，穩(wěn)定性、安全性難以保證。

（4）各記者站、發(fā)行站、移動辦公人員如何有效地使用OA系統(tǒng)，及時得到報社動態(tài)的信息，提高辦公效率問題已顯突出。

要解決上述問題，關鍵在于能否實時安全地和總部進行大批量的數(shù)據(jù)交換，虛擬專用網(wǎng)VPN技術為解決這些問題帶來了新的方法。應用 VPN技術可以在最大限度保證安全的前提下，‘無限’延伸報社新聞采編綜合辦公網(wǎng)絡，記者可以在任何地方通過Internet遠程訪問報社內(nèi)部的網(wǎng)絡完成采編業(yè)務，管理人員也可以在任何地方通過互聯(lián)網(wǎng)連接到報社中心網(wǎng)絡來完成管理業(yè)務。

2 VPN技術綜述

（1）簡介：VPN（Virtual Private Network）即虛擬專用網(wǎng)絡，指的是依靠ISP（Internet服務提供商）和其他NSP（網(wǎng)絡服務提供商）在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術，通過對網(wǎng)絡數(shù)據(jù)的封裝和加密傳輸，在公用網(wǎng)絡上傳輸私有數(shù)據(jù)的專用網(wǎng)絡。在隧道的發(fā)起端（即服務端），用戶的私有數(shù)據(jù)經(jīng)過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地到達用戶端。

VPN可以提供多樣化的數(shù)據(jù)、音頻、視頻等服務以及快速、安全的網(wǎng)絡環(huán)境，是企業(yè)網(wǎng)絡在互聯(lián)網(wǎng)上的延伸。該技術通過隧道加密技術達到類似私有網(wǎng)絡的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問，通過安全的數(shù)據(jù)通道將企業(yè)分支機構、遠程用戶、現(xiàn)場服務人員等跟企業(yè)的局域網(wǎng)連接起來，構成一個擴展的企業(yè)網(wǎng)，此外它還提供了對移動用戶和漫游用戶的支持，使網(wǎng)絡時代的移動辦公成為現(xiàn)實。

VPN可以幫助遠程用戶同企址的內(nèi)部網(wǎng)建立可靠的安全連接，保證數(shù)據(jù)的安全傳輸，通過將數(shù)據(jù)流轉移到低成本的網(wǎng)絡上，大幅度減少了企業(yè)、分支機構、供應商和客戶花在信息傳遞環(huán)節(jié)的時間，降低企業(yè)局域網(wǎng)和Internet安全對接的成本。VPN的應用建立在一個全開放的Internet環(huán)境之中，這樣就大大簡化了網(wǎng)絡的設計和管理，滿足了不斷增長的移動用戶和Internet用戶的接入，以實現(xiàn)安全快捷的網(wǎng)絡連接。

（2）基于Internet的VPN網(wǎng)絡架構及安全性分析。VPN技術類型有很多種，在互聯(lián)網(wǎng)技術高速發(fā)展的今天，可以利用Internet網(wǎng)絡技術實現(xiàn)VPN服務器架構以及客戶端連接應用，基于Internet環(huán)境的VPN技術具有成本低、安全性好、接入方便等特點，能夠很好的滿足企業(yè)對VPN的常規(guī)需求。

Internet環(huán)境下的VPN網(wǎng)絡架構：Internet環(huán)境下的VPN網(wǎng)絡包括VPN服務器、VPN客戶端、VPN連接、隧道等幾個重要環(huán)節(jié)。在VPN服務器端，用戶的私有數(shù)據(jù)經(jīng)過隧道協(xié)議和數(shù)據(jù)加密之后在Internet上傳輸，通過虛擬隧道到達接收端，接收到的數(shù)據(jù)經(jīng)過拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據(jù)交互。

VPN技術安全性分析：VPN技術主要由三個部分組成，即隧道技術、數(shù)據(jù)加密和用戶認證。隧道技術定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會被盜??；用戶認證則保證未獲認證的用戶無法訪問網(wǎng)絡資源。VPN的實現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術、加密協(xié)議和安全密鑰來實現(xiàn)的，以此確保遠程客戶端能夠安全地訪問VPN服務器。

3 VPN技術的應用

（1）原則要求。根據(jù)報業(yè)行業(yè)的特點，對穩(wěn)定性、安全性和拓展性的指標要求就更加具體，以符合行業(yè)特殊的應用。①穩(wěn)定性原則:帶寬的要求符合業(yè)務的需求，性能指標的要求。如數(shù)據(jù)吞吐量、并發(fā)進程VPN通道等。②安全性原則:要求集成商提供安全方面的解決方案，尤其是兩邊接入端(記者站和總部中心端)，保證異地端接入安全和總部中心能對異地接入網(wǎng)和個人電腦進行動態(tài)檢測，避免受到異地不安全數(shù)據(jù)的侵害。③拓展性原則:隨著報社業(yè)務的不斷發(fā)展，要求數(shù)據(jù)帶寬增加，或者現(xiàn)有業(yè)務升級。在這種情況下，提出的方案要有很強的拓展性。

（2）設計方案：①對于數(shù)據(jù)量較大的分支機構適合采用IPSec VPN接入，對于移動辦公人員適合通過SSL VPN實現(xiàn)安全接入，因此合理的應用方式是IPSec和SSL共同使用。②各發(fā)行站和記者站，用一條至少2MB帶寬的線路設計。③客戶端和中心接入端要有可靠的安全保證，在流量管理控制上要有靈活的配置手段。④均衡和冗余要求穩(wěn)定可靠，切換自如;客戶端軟件和硬件也要考慮到對ISDN,PSTN等鏈路的支持。⑤具有靈活的拓展性來支持更多新興應用。許多專用網(wǎng)對許多新興應用準備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應用。隨著以后的業(yè)務發(fā)展，我們要求VPN可以向上支持各種高級的應用，如IP語音，IP傳真，還有各種協(xié)議，如IPv6,MPLS,SNMPv3等。⑥作為VPN接入方案的重要內(nèi)容——安全方面，我們給以充分的考慮。我們在方案設計時做到在各異地支網(wǎng)和個人的電腦上都要有高效的防火墻功能，對交互的數(shù)據(jù)在加密傳輸之前就能動態(tài)地檢測和分析，把不安全的數(shù)據(jù)進行過濾，并可以對病毒進行清理。

（3）設備選型。選擇國內(nèi)專業(yè)VPN廠商深信服科技推出的IPSec/SSL一體化VPN平臺Sinfor M5100-S。該產(chǎn)品同時集成了IPSec和SSL VPN功能，利用兩種技術的集成很好解決了報社應用的需求，同時一體化的設計能夠大幅度降低整個VPN產(chǎn)品的投入，滿足低成本、高效率IT建設的需求。①分支機構訪問總部 ，既站到站（LAN TO LAN）形式，采用IPSec VPN接入。報社總部采用一臺華為深信服Sinfor M5100-S IPSEC/SSL二合一VPN/防火墻網(wǎng)關作為中心端，分支機構選用深信服P5100 IPSEC VPN/防火墻網(wǎng)關 ，呈網(wǎng)型結構，通過認證密碼統(tǒng)一管理，形成一個集中管理的虛擬專用網(wǎng)絡。VPN傳輸使用IPSEC協(xié)議。②移動辦公人員訪問總部，點對網(wǎng)（End To Lan）。移動辦公人員通過任意方式從Internet，經(jīng)過采用USB KEY加帳號密碼的雙因子認證方式接入總部新聞采編綜合辦公網(wǎng)絡 。SINFOR M5100－S中SSL VPN采用SSL協(xié)議加密建立安全的專用加密通道，除了使用1024位的非對稱密鑰加強安全性，還使用DKEY(USB的身份認證設備)進行雙因素身份認證，并使用PIN碼保護DKEY的安全。移動用戶訪問權限由網(wǎng)管員預先錄入到DKEY中。

4 效果

（1）實現(xiàn)報社各分支機構聯(lián)入新聞采編綜合辦公網(wǎng)絡，能夠及時交換數(shù)據(jù)，增強了數(shù)據(jù)交換的及時性、保密性、安全性，各項目業(yè)務的信息化管理程度得到很大的提高。

（2）提高了效率，降低了運營成本。

（3）對個分支機構的網(wǎng)絡平臺進行了整合，更易于網(wǎng)絡系統(tǒng)的維護和管理。

[1]錢雁斌，陳性元，杜學繪,等.VPN隧道交換體系結構研究[J].計算機工程與設計，2007，28（14）：3334-3336.

[2]羅愛玲，馬范援.虛擬專網(wǎng)安全性的研究與實現(xiàn)[J].計算機工程，2004，（8）.