VPN技術在企業信息管理中的應用研究

【文章摘要】

利用虛擬專用網絡VPN技術，將計算機遠程終端通過Internet接入公司企業網，從而實現遠程網絡用戶對企業內部信息資源的安全訪問。

【關鍵詞】

虛擬專用網；VPN；網絡安全

1 VPN技術簡介

VPN（Virtual Private Network）即虛擬專用網絡，指的是依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商）在公用網絡中建立專用的數據通信網絡的技術，通過對網絡數據的封裝和加密傳輸，在公用網絡上傳輸私有數據的專用網絡。在隧道的發起端（即服務端），用戶的私有數據經過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數據經過拆封和解密之后安全地到達用戶端。

VPN可以提供多樣化的數據、音頻、視頻等服務以及快速、安全的網絡環境，是企業網絡在互聯網上的延伸。該技術通過隧道加密技術達到類似私有網絡的安全數據傳輸功能，具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問，通過安全的數據通道將企業分支機構、遠程用戶、現場服務人員等跟公司的企業網連接起來，構成一個擴展的公司企業網，此外它還提供了對移動用戶和漫游用戶的支持，使網絡時代的移動辦公成為現實。

VPN可以幫助遠程用戶同公司的內部網建立可信的安全連接，并保證數據的安全傳輸，通過將數據流轉移到低成本的網絡上，大幅度地減少了企業、分支機構、供應商和客戶花在信息傳遞環節的時間，降低了企業局域網和Internet安全對接的成本。VPN的應用建立在一個全開放的Internet環境之中，這樣就大大簡化了網絡的設計和管理，滿足了不斷增長的移動用戶和Internet用戶的接入，以實現安全快捷的網絡連接。

2 基于Internet的VPN網絡架構及安全性分析

VPN技術類型有很多種，在互聯網技術高速發展的今天，可以利用Internet網絡技術實現VPN服務器架構以及客戶端連接應用，基于Internet環境的VPN技術具有成本低、安全性好、接入方便等特點，能夠很好的滿足企業對VPN的常規需求。

2.1 Internet環境下的VPN網絡架構 Internet環境下的VPN網絡包括VPN服務器、VPN客戶端、VPN連接、隧道等幾個重要環節。在VPN服務器端，用戶的私有數據經過隧道協議和和數據加密之后在Internet上傳輸，通過虛擬隧道到達接收端，接收到的數據經過拆封和解密之后安全地傳送給終端用戶，最終形成數據交互。

2.2 VPN技術安全性分析 VPN技術主要由三個部分組成：隧道技術，數據加密和用戶認證。隧道技術定義數據的封裝形式，并利用IP協議以安全方式在Internet上傳送；數據加密保證敏感數據不會被盜取；用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術、加密協議和安全密鑰來實現的，以此確保遠程客戶端能夠安全地訪問VPN服務器。

在運行性能方面，隨著企業電子商務活動的激增，信息處理量日益增加，網絡擁塞的現象經常發生，這給VPN性能的穩定帶來極大的影響。因此制定VPN方案時應考慮到能夠對網絡通信進行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略，分配基于數據傳輸重要性的接口帶寬，這樣既能滿足重要數據優先應用的原則，又不會屏蔽低優先級的應用。考慮到網絡設施的日益完善、網絡應用程序的不斷增加、網絡用戶數量的快速增長，對與復雜的網絡管理、網絡安全、權限分配的綜合處理能力是VPN方案應用的關鍵。因此VPN方案要有一個固定的管理策略以減輕管理、報告等方面的負擔，管理平臺要有一個定義安全策略的簡單方法，將安全策略進行合理分布，并能管理大量網絡設備，確保整個運行環境的安全穩定。

3 Windows環境下VPN網絡的設計與應用

企業利用Internet網絡技術和Windows系統設計出VPN網絡，無需鋪設專用的網絡通訊線路，即可實現遠程終端對企業資源的訪問和共享。在實際應用中，VPN服務端需要建立在Windows服務器的運行環境中，客戶端幾乎適用于所有的Windows操作系統。下面以Windows2003系統為例介紹VPN服務器與客戶端的配置。

3.1 Windows 2003系統中VPN服務器的安裝配置 在Windows2003系統中VPN服務稱之為“路由和遠程訪問”，需要對此服務進行必要的配置使其生效。

3.1.1 VPN服務的配置。桌面上選擇“開始”→“管理工具”→“路由和遠程訪問”，打開“路由和遠程訪問”服務窗口；鼠標右鍵點擊本地計算機名，選擇“配置并啟用路由和遠程訪問”；在出現的配置向導窗口點下一步，進入服務選擇窗口；標準VPN配置需要兩塊網卡（分別對應內網和外網），選擇“遠程訪問（撥號或VPN）”；外網使用的是Internet撥號上網，因此在彈出的窗口中選擇“VPN”；下一步連接到Internet的網絡接口，此時會看到服務器上配置的兩塊網卡及其IP地址，選擇連接外網的網卡；在對遠程客戶端指派地址的時候，一般選擇“來自一個指定的地址范圍”，根據內網網段的IP地址，新建一個指定的起始IP地址和結束IP地址。最后，“設置此服務器與RADIUS一起工作”選否。VPN服務器配置完成。

3.1.2 賦予用戶撥入權限設置。默認的系統用戶均被拒絕撥入到VPN服務器上，因此需要為遠端用戶賦予撥入權限。在“管理工具”中打開“計算機管理”控制臺；依次展開“本地用戶和組”→“用戶”，選中用戶并進入用戶屬性設置；轉到“撥入”選項卡，在“選擇訪問權限（撥入或VPN）”選項組下選擇“允許訪問”，即賦予了遠端用戶撥入VPN服務器的權限。

3.2 VPN客戶端配置 VPN客戶端適用范圍更廣，這里以Windows 2003為例說明，其它的Windows操作系統配置步驟類似。

在桌面“網上鄰居”圖標點右鍵選屬性，之后雙擊“新建連接向導”打開向導窗口后點下一步；接著在“網絡連接類型”窗口里選擇“連接到我的工作場所的網絡”；在網絡連接方式窗口里選擇“虛擬專用網絡連接”；接著為此連接命名后點下一步；在“VPN服務器選擇”窗口里，輸入VPN服務端地址，可以是固定IP，也可以是服務器域名；點下一步依次完成客戶端設置。在連接的登陸窗口中輸入服務器所指定的用戶名和密碼，即可連接上VPN服務器端。

3.3 連接后的共享操作 當VPN客戶端撥入連接以后，即可訪問服務器所在局域網里的信息資源，就像并入局域網一樣適用。遠程用戶既可以使用企業OA，ERP等信息管理系統，也可以使用文件共享和打印等共享資源。

4 小結

現代化企業在信息處理方面廣泛地應用了計算機互聯網絡，在企業網絡遠程訪問以及企業電子商務環境中，虛擬專用網（VPN）技術為信息集成與優化提供了一個很好的解決方案。VPN技術利用在公共網絡上建立安全的專用網絡，從而為企業用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務，是企業內部網的擴展和延伸。

【作者簡介】

張雨微（1988—），女，吉林省農安人，同濟大學軟件學院碩士研究生。