虚拟专用网络支持远程办公基础及应用策略

2020-07-23 06:59王晶晶
现代企业 2020年6期
关键词:网关数据包办公

王晶晶

2020年春季新型冠状病毒肺炎疫情对各单位团体的正常收假返工造成了延期影响,为减少病毒交叉感染,确保停工不停业,各单位相继推出弹性办公、远程办公的应对措施。虚拟专用网络作为远程办公的重要途径再次成为热点。本文就VPN原理、分类、技术、实现方式、应用原则等进行分析,为应用VPN支持远程辦公提供思路和策略。

一、VPN工作原理

虚拟专用网络(简称VPN:Virtual Private Network),属于远程访问技术,简单地说就是将位于不同地点的两个网络,通过在公用网络上利用加密等技术虚拟架设出一个数据隧道,实现两地间的通讯,但两地间并不需要真正的铺设光缆之类的物理线路。(图一)

通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。假设网络A和网络B要通过VPN方式进行通信,网络A 的终端A访问网络B的服务器B,终端A发出的访问数据包的目的地址为服务器B的内部IP地址。首先网络A的VPN网关在接收到终端A发出的访问数据包时对其目的地址进行检查,如果目标地址属于网络B,则将该数据包进行封装,构造一个新VPN数据包转发至网络B的VPN网关,网络B的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络A的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理,还原成原始的数据包。网络B的VPN网关再根据原始数据包目的地址将数据包发送至服务器B。在服务器B看来,它收到的数据包就和从终端A直接发过来的一样。从服务器B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。(图二)

二、VPN的分类

VPN根据接入主体、接入方式、封装技术、运营方式等各个环节的不同具有多种分类方式。

根据接入网络的主体主要分为远程访问VPN、内联网VPN和外联网VPN,接入主体分别面向移动办公和远程办公人员(终端)、企业各地分支机构、企业客户和合作伙伴机构等,实现不同主体的互联互通。

根据接入网络中用户的接入方式主要分为:专线VPN和拨号VPN(检查VPDN),专线VPN是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案,是一种“永远在线”的VPN,适用于组建网络对网络的虚拟连接;VPDN为用户提供通过拨号方式接入ISP建立VPN的方案,是一种“按需连接”的VPN,适用于组建终端对网络的虚拟连接。

根据封装技术在网络通信模型中分层的不同主要分为第二层隧道协议(包括PPTP、L2TP、MPLS)、第三层隧道协议(IPSec、GRE)以及传输层(SSL)等。VPN技术的发展主要在IPSec VPN(互联网安全协议)、SSL VPN(安全套接层协议层)和MPLS VPN(多协议标签交换)三个应用上。IPSecVPN为数据源提供身份验证、数据完整性检查及机密性保证机制,是目前最易于扩展、完整的技术方案,但扩展性较差,更适合站点到站点的安全连接;SSL VPN利用标准的SSL协议,客户只需要连入因特网,不需要安装和维护客户端,通过网页就可以远程办公访问SSL VPN内网的资源,具有更低的网络管理成本和运营成本;MPLS VPN无法像IPSec VPN提供加密、身份验证和完整性校验,但具备流量工程和Qos等特性。为了实现网络资源利用的最大化和成本的最小化,VPN技术往往融合使用。

根据运营方式可以分为自建VPN和外包VPN。企业可以在内部网络边缘自己设置并维护VPN网关设备,与分支机构间建立VPN连接,可采用加密协议对数据加密以保障安全。对运营商而言VPN是透明的,运营商只提供线路支持。也可以把VPN服务外包给运营商,运营商利用网关设备建立VPN网络,根据企业的要求提供规划、设计、实施和运维客户的VPN业务,VPN网络对用户来说是透明的。

三、VPN的安全技术

VPN模式在远程访问组网中得到快速应用,一方面在于能够有效降低用户建立传统专线的费用而实现互联互通,另一方面还源于VPN具有较高的安全性保障,为用户提供接入的安全、数据传输的安全以及对内网资源的访问安全。VPN具有以下安全技术:

1.隧道技术。由隧道协议、乘客协议和传输协议组成,隧道协议专门负责隧道的建立、保持和卸载功能。

2.加密技术。通过隧道传输的数据在发送端应先加密后传输,接收端接到数据后先解密。加密技术可以在任意层进行。

3.身份认证技术。是对用户的合法身份信息进行确认,对认证用户实现访问授权。

4.访问控制。主要是通过对访问用户权限的管理,对未取得访问权限的用户进行控制措施。

四、VPN远程办公案例

目前能够实现VPN功能的设备非常多,路由器VPN、交换机VPN、防火墙VPN、软件VPN等,企业为了保障安全,辅助以安全管理设备、上网行为管理、可视化安全管控等工具平台。

下面以某单位疫情期间搭建移动办公模式为例,介绍快速搭建VPN的方式。该单位利用通信运营商提供的高性能虚拟专有拨号网络以及安全可控的应用发布产品,建设移动办公系统,满足特殊时期信息化应急要求。该系统采用自主创新的网络应急箱,提供安全有效的网络接入。基于深信服EasyConnect远程发布应用,建立SSL VPN通道,通过SSL VPN隧道加密技术与硬件防火墙严格的访问控制策略保障数据安全。移动终端采用虚拟化沙盒技术,桌面、应用和数据均以虚拟形式交付到终端设备,与设备原有的个人数据和应用完全隔离,实现全方位保障移动办公中的数据安全。

五、VPN办公面临的主要问题

各单位在搭建远程办公环境中面临的挑战主要有三个方面:一是远程办公配置缺失。单位原本没有远程办公需求,也没有相应的应急方案,遇到像疫情等特殊情况,导致业务基本停滞;二是远程办公需求激增与应急准备不足。原有远程办公配置容量不足,只能让少部分人员远程接入,无法支撑大并且和多类型业务的远程开展;三是数据安全隐患大。远程办公环境下缺少必要的监督管控手段和策略,运维管理工作水平较低,数据安全得不到完全保障。

六、VPN的应用策略

在搭建VPN网络时需要充分分析本单位的实际需求和IT建设基础,综合考量多种VPN建设方案,确保接入、传输、访问各环节兼顾“应急保障、安全可靠、成本低廉、快捷高效” 等原则。

1.满足基本应急保障。疫情当前,很多单位由于缺少这类特殊情况的应急准备,不得不面临停工停业的状态,即使在正常工作中网络通信具有安全备份保障等,仍应以此次疫情为契机,健全应急方案,满足特殊情况的应急保障。

2.确保内部数据安全。访问控制在信息系统安全管理方面有着决定性作用,要充分考虑远程访问用户人数、数据资源类型、访问要求、用户权限分配等因素,实现远程访问信息系统、访问用户的精细化管控,从而保障内部数据安全。比如对内部信息系统进行分类,非涉密办公系统、邮件系统、监控系统等适宜放在VPN上,而重要的生产业务系统、财务报表系统还应以专线等形式加强访问管控,减少远程访问风险。

3.高性价比组网方式。各种组网方式、VPN技术均有利弊,要进行充分需求分析,均衡考量安全性、可靠性、高效性、成本控制等因素,搭建高性价比VPN网络。不能因为一味追求安全性而加强安全防控,导致扩展性、建设成本、运维成本等上升。

4.加强IT运维能力。VPN接入较专线通信增加了网络安全的风险因素,这对各单位IT运维管理能力提出了更高的要求,应加强IT人员的学习培训、操作演练,借助辅助的成熟的运维管控平台,提高网络管理和运维水平,满足日益发展的办公需求和网络管理要求。

(作者单位:中国人民银行铜川市中心支行)

猜你喜欢
网关数据包办公
Sharecuse共享办公空间
X-workingspace办公空间
SmartSniff
U-CUBE共享办公空间
应对气候变化需要打通“网关”
一种实时高效的伺服控制网关设计
基于Zigbee与TCP的物联网网关设计
视觉注意的数据包优先级排序策略研究
移动IPV6在改进数据包发送路径模型下性能分析
广场办公