应用VPN技术构建企业信息化平台

　　宝钢股份贸易分公司 许刚

　　集团型贸易企业网络状况及需求分析

　　对于宝钢国际这样的集团型贸易企业来说，为强化管理和降低运作成本，保证信息流通及时快捷，提高竞争力，实现利润最大化的目标，无庸质疑需要构建高效便捷的企业网络

　　企业应用系统如OA、ERP、CRM、SCM、HR等，无不是构建在网络平台之上，企业网络平台解决方案应同时满足多种业务的需求，并与国际互联网相连。企业中各业务单元和员工通过内部网络能够迅速共享并交互信息和知识，从而将分散的能力转化为团队和集体解决力量，增强企业的竞争力。

　　一、集团型贸易企业网络原有状况分析:

　　1、与总部通过专线直连:各地分支和驻外机构、协作单位通过电信专线接到总部，进行内部OA、应用系统、信息数据交流等多种应用;

　　2、电话拨入:所在地无专线，但需要连入企业内网的单位和个人，采用电话线(包括ISDN)拨入方式，即计算机连接直拨电话拨入公司总部。

　　3、通过企业网站连接总部:即通过登陆企业网站进行内部公文、业务处理和信息交流。由于内部系统完全放在公网上，对网站和应用系统的安全技术性要求相当高，许多单位不会将核心内容和业务放到WEB上面，一般用于宣传和公共信息交流。同时关联协作单位之间传输数据也存在许多安全技术问题。

　　4、由于企业的迅速发展和各种应用系统推广和延伸，有相当数量新建和未联网分支机构需要及时加入总部网络。

　　二、联网需求分析:

　　1、企业管理和业务发展迫切需要实现各分支机构、移动人员与总部连通:为建立快速、便捷的信息资迅传输通道，消灭信息孤岛，出于企业总部管理的需要以及各单位协同商务等系统的要求，迫切需要将各分支机构连入总部以及实现各单位互连:各种OA办公系统、业务管理系统、客户管理系统等应覆盖全部业务地点;各种管理、客户、经营信息等数据也须通过网络及时传输;另外，出差工作人员需要及时连接总部系统处理相关工作。

　　2、网络需有效支撑一体化集中管理、信息交流:整体连网后，信息传输必须通畅、及时，总部与分支机构通讯应如同在一个局域网内部，可运行各种管理系统，实时采集、传输经营和管理数据，提高管理的准确性和执行力。

　　3、应适应企业不断发展和扩充要求:企业许多分支机构不断扩充，对于新增单位，应实现与总部的快速连接，扩展方便，提高信息化基础建设效率，降低成本，增强核心竞争能力。

　　4、简便、经济的连网方式:信息化网络建设的投入直接关系到企业成本和利润，应采用实施便捷、费用节约的联网方式。

　　5、移动用户快速连接:出差人员无论在国内外均可迅速连接企业中心网络，保证信息沟通的通畅，提高工作效率。

　　6、安全可靠的网络环境:网络应当安全可靠，保护企业数据和秘密，采用数据加密认证等安全措施，保证安全运行。

　　7、网络集中管理，有效支持业务运行:应采用集中式网络管理系统，集中管理各分支网络连接权限、移动用户访问权限，开通相关单位的互连，为总部与各单位之间信息传输、相关单位协同商务提供便利。

　　VPN联网技术分析

　　本文讨论的虚拟专用网即VPN(Virtual Private Network)是以公用网络Internet为基础，结合隧道封装、认证、加密、访问控制等多种网络安全技术，为企业总部和分支机构及移动办公人员提供安全网络连通的技术。VPN的主要目标是建立一种低投入、方便快捷的网络互连方式，替代传统专线连接和拨号连接。

　　一、VPN技术基础

　　虚拟专网主要基础技术包括隧道技术、密码技术和网络访问控制技术。

　　1、隧道技术:隧道技术使得各种内部数据通过公网在虚拟专用通道内进行传输。VPN的数据包封装(隧道)是最常用的公网私有数据传输技术。在VPN的发送节点将原数据打包，添加合法的外层IP包头，通过公网被传送到接收端的VPN节点，该节点接收后进行拆包处理，还原数据。

　　2、密码技术:密码技术即加密隐蔽传输信息、认证用户身份等，是实现网络安全的最有效的技术之一，加密网络可以防止非授权用户的搭线窃听和入网，并有效对付恶意软件。数据加密通过各种加密算法来实现。

　　3、网络访问控制技术:网络访问控制技术用于对系统进行安全保护，抵抗攻击。网络访问控制技术源自传统的防火墙功能，由于防火墙和VPN均处于公网出口处，在网络中的位置基本相同，因此一个完整的VPN产品应同时提供完善的网络访问控制功能，为系统的安全运营管理提供方便，同时保护用户投资。

　　二、 IPSec VPN网络安全体系

　　宝钢国际的全网VPN建设，采用了华为3Com公司的IPSec VPN系统建造虚拟专用网依据的主要国际标准有IPSec、L2TP、PPTP、L2F、SOCKS等。

　　IPSec VPN技术属于三层隧道VPN技术。它给出了应用于IP层上网络数据安全的一整套体系结构:

　　网络安全协议，大部分应用案例采用了ESP或同时使用ESP和AH;

　　密钥管理协议，Internet Key Exchange (IKE)协议，实现安全协议的自动安全参数协商;

　　验证及加密的算法，认证算法，HMAC-MD5、HMAC-SHA-1;加密算法，DES、3DES。

　　IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。同事，该VPN产品采用了经过国家密码管理机构认可的产品。

　　IPsec主要用于在网络层实现VPN的技术，根据用户对在内部网络中传输数据的安全性和处理速度要求的情况，适用于对网络数据保密要求高的用户，是一种端到端的安全实现，从技术的角度上说，在端到端客户的路由器上实现是最安全合理的方式，中间任何一个路由器都不需要做相应设置。因此，它的实现是一种与接入网络无关的VPN技术。

　　IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。与其他方式相比，IPSec具有明显优势:IPSec在传输层之下，对应用程序透明，配置IPSec无需更改用户或服务器系统中的软件设置。IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。