基于虛擬化技術的企業專用網絡建設

譚金柱

（中國石油天然氣第一建設有限公司，洛陽 471000）

1 引言

公司作為中石油工程建設企業，項目多且分布比較分散，大部分信息系統部署在互聯網之上，對于互聯網用戶來說是完全可見的，安全防御手段有限。經過多年的信息化建設，公司的基礎網絡設施建設已經趨于成熟，建設自己的專用網絡，將能更有效地、更大限度地抵御來自互聯網對網絡系統的安全威脅，保證信息傳輸的安全，這是公司加強信息安全建設的重要一步。虛擬專用網技術既能保證信息傳輸的安全，又能避免產生高昂的費用，提供了完美的解決方案。

2 系統技術原理分析

2.1 VPN的定義

VPN（Virtual Private Network）被定義為通過一個公共網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公共網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網絡建立可信的安全連接，并保證數據的安全傳輸。通過將數據流轉移到低成本的網絡上，一個企業的虛擬專用網解決方案也將大幅度的減少用戶花費在遠程網絡連接上的費用。

2.2 VPN的設計目標

在實際應用中，一般來說一個高效、成功的VPN應具備以下幾個特點：安全保障；服務質量保證；可擴充性和靈活性；可管理性。

2.3 SSL VPN的優勢

SSL VPN的優勢來自于HTTP的廣泛應用，這類B/S架構管理軟件只安裝在服務器端上，用戶界面主要事務邏輯在服務器端完全通過WWW瀏覽器實現。極少部分事務邏輯在前端（Browser）實現，所有的客戶端可以只有瀏覽器。（1）零客戶端。客戶端的區別是SSL VPN最大的優勢。（2）安全性。SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的安全。（3）訪問控制。SSL VPN重點在于保護具體的敏感數據，可以根據用戶的不同身份，給予不同的訪問權限。（4）經濟性。只需在總部放置一臺硬件設備就可以實現所有用戶的遠程安全訪問接入。

3 系統研究

3.1 系統研究的目的和意義

VPN以其獨具特色的優勢贏得了越來越多的企業的青睞，令企業可以較少地關注網絡的運行與維護，而更多地致力于企業的商業目標的實現。在大多數情況下，VPN的實現方法都可以應用于每個公司。即使不需要使用加密數據，也可節省開支。VPN相對于專線而言，在價格上有著絕對的優勢；相對于普通PSTN撥號連接，VPN在安全性、保密性上更勝一籌。

3.2 系統實驗研究結果

如圖1所示，企業總部在出口防火墻后面部署一臺SSL VPN安全網關設備，企業在外人員、分支機構等遠程用戶要訪問公司內部服務器群的資源時，就會先和SSL VPN網關建立連接，SSL VPN服務器根據遠程用戶提供的身份識別組件來判斷是否允許訪問內部網絡資源，以及分配何種訪問權限給用戶。

圖1 SSL VPN的基本部署方式

安全虛擬專用網（SSL VPN）是一種在VPN上運行的安全套接字層技術，他在網絡瀏覽器通過https訪問。它允許用戶建立從任何連接到互聯網的瀏覽器到內部服務器的安全可靠的遠程接入。

圖2 SSL VPN工作過程簡圖

如圖2所示，遠程用戶使用WEB瀏覽器通過SSL VPN服務器來訪問企業內部網絡中的資源，SSL VPN服務器在這里相當于一個數據中轉服務器，所有訪問都經過SSL VPN服務器的認證后，轉發給內網的應用服務器，從應用服務器發往瀏覽器的數據經過SSL VPN服務器加密后送回瀏覽器。在WEB瀏覽器和SSL VPN服務器之間，利用SSL協議構建了一條安全隧道。

3.3 系統實際應用情況

目前公司VPN系統已經在全公司范圍內推廣使用，所有的分支機構均可申請開通VPN系統訪問權限，對集團公司信息系統（見圖3）的訪問已經全部轉移至公司VPN系統，公司自建信息系統（見圖4）也可通過VPN系統訪問，安全高效。VPN賬號的申請全部通過OA系統協同辦公申請流程辦理，大大提高了賬號辦理的效率，解決了集團公司賬號辦理周期長的問題（集團賬號開通需要一周左右），現已開通VPN賬號1200多個，同時最大在線訪問人數可達到500人，應用效果良好。

3.4 創新點

一是虛擬專用網及所屬用戶帳戶和權限完全由公司控制，賬號的狀態能實時監測和管理，具有良好的安全性；二是對信息系統的訪問實現全面覆蓋，不僅支持公司自建信息系統，同時支持對集團公司統建信息系統的訪問，并且兼容usbkey等第三方認證方式。

圖3 集團公司信息系統

圖4 公司自建信息系統

4 解決的關鍵技術

一是解決虛擬專用網與集團公司廣域網和公司現有網絡的無縫對接，保證外部用戶對集團公司廣域網和公司總部網絡資源的順利訪問；二是解決虛擬專用網對集團公司統建信息系統及公司自建信息系統的兼容問題，保證通過虛擬專用網能夠順利訪問所有在用信息系統；三是解決虛擬專用網對集團公司usbkey、數字證書等第三方認證方式的兼容，保證用戶對特殊信息系統的訪問。

5 經濟效益和社會效益分析

公司目前的網絡結構屬于傳統型局域網架構，網絡結構簡單，只有公司機關辦公樓與集團公司廣域網連接，分公司與項目部完全通過互聯網訪問公司自建系統，通過集團公司VPN系統訪問集團公司統建系統，集團公司VPN系統存在帶寬低、并發賬號少的缺陷，廣域網外用戶訪問效率低，時常出現無法訪問的情況，因此組建虛擬專用網將解決外部人員訪問信息系統和傳輸數據安全的問題，將大大提高全公司范圍的辦公效率。

在全公司推廣使用企業虛擬網絡，提高信息傳輸的安全性；省去了分支機構租用專用線路的費用，每年節省租用專線的費用約90萬元（每條2M專線鏈路費用3萬元/年，30個重點項目）；實現與集團公司廣域網無縫連接，可以擴展集團公司VPN系統，縮短VPN賬號的辦理流程，提升工作效率。