论文部分内容阅读
摘 要:某中型跨区域公司发展现状,该公司急需建立一套安全、快捷、经济的应用系统访问及资源共享方式,使分部及外勤员工能够像访问局域网一样安全、便捷地使用公司的办公系统和内部资源。本文设计和实现了一套适合该公司现状并能满足其使用需求的VPN网络方案。经过测试,验证了本文设计方案可行、有效。
关键词:VPN专网 IPSEC VPN SSL VPN
一、引言
在信息化时代,一般企业都已经建立有一套自己的内网办公系统,通过信息共享提高了办公效率。但是随着企业发展壮大,一些企业会在其他地区建立下属机构,为了便于集团统一管理以及资源共享,很多时候异地的机构也会产生访问总部内网系统的需求,由于内网只能在本地访问外地分支无法连接。建立企业VPN专网是解决此类问题的一个较好的解决方案。总部设置东部某省会城市的A房产中介公司近两年迅速发展壮大,已经在各区都建立了分公司。而公司的ERP、财务管理、HRMIS和FTP等系统还只可在总公司的内网访问,而分部及外勤员工还不能这些应用系统资源。为适应公司发展现状公司急需建立一套安全、快捷、经济的应用系统访问及资源共享方式,使分部及外勤员工能够像访问局域网一样安全、便捷地使用公司的办公系统和内部资源。
二、VPN专网需求分析与方案设计
A公司现有员工近300人,总公司设有总经理办公室、人力资源部、财务部、综合部、市场部和信息部,应用系统包括ERP、财务管理、HRMIS和FTP。下辖7个分公司。总部局域网由核心层、汇聚层和接入层组成,通过思科RV180企业路由器接入百兆电信宽带。各区分部内网由核心层和接入层搭建,通过思科RV110接入电信宽带。这些应用系统部署在企业总部的内网中,总部员工在内网能访问这些应用系统,开能实时进行业务处理。企业需求有以下几点:(1)公司的应用系统只能在公司总部访问和使用,总公司职能部门不能时时了解分公司的运行状况,分公司也无法使用应用系统,上下级工作交流主要经电子信息形式,效率低且信息不够安全。(2)外勤或者出差员工在外执行工作任务时具有调配总公司网络资源、上报信息等需求,公司领导也需要及时沟通、审批文件、做出决策,这需要一种安全有效的网络方式进行支持。(3)不同岗位的工作人员需要根据自己的工作开通不同的工作权限,防止工作混乱。使用VPN技术建立公司级别的“专线”网络能够满足上诉三个公司需求。使用VPN技术搭建公司专网时企业只需要一次性支付一定VPN网络设计和硬件设备费用,相比其他方案有较大的成本优势,并行信息安全性也能得到保障。企业级VPN专网设计一般选用IPSEC VPN或者SSL VPN两种形式。
IPSEC是一种保护个人信息安全的在公共网络上传播的通信安全规范,它使用了安全协议认证头(AH)和封装安全载荷(ESP) ,密钥交换(I KE)、安全联盟(SA)及加密和验证算法等[2]。基于IPSEC的VPN网络工作在OSI的第三层,是一种端到端形式的安全专网方案,通过加密技术以及验证机制提供信源验证、访问控制、数据加密以及离线数据完整性验证等服务。这种形式比较适合总部和分支机构互联。
SSL是一套工作在第七层的保障网络信息安全的网络协议,其基本工作原理是使用公钥加密技术通过SSL连接网络数据[3]。SSL VPN工作在应用层和传输层之间,它通过浏览器自带的封包处理功能,连接到公司内部的SSL VPN服务器,再通过网络封包转向的方式,使连入的计算机可以使用内网的应用系统或者使用内网资源。在数据安全方面SSL VPN通过安全套接层加密方式在应用层保障了访问数据安全。这种形式比较适合外勤和出差员工通过浏览器实现总部系统和资源的连接和使用。
通过对VPN实现方式的比较和分析结合A公司的规模和需求等实际情况,本文确定了IPSEC VPN+SSL VPN的解决方案,IPSEC形式用于实现总公司到分公司的網络连接,SSL 形式用于实现外勤和出差人员与公司总部的连接,整天的设计方案如图1所示。
图1 公司VPN网络整体设计方案
三、VPN专网搭建与测试
在对当前市场主流VPN设备进行调研和比较后,本方案选择了深信服的二合一网关VPN3050构建A公司的专网,VPN3050在性能、价格、功能和安全方面都能满足该公司的要求。
1.在功能上VPN3050面向中型企业市场,是一种IPSEC与SSL二合一的网关设备,既支持分公司通过IPSEC形式连接公司总部,又支持外勤出差人员通过SSL形式连接公司总部。
2.性能方面深信服VPN3050具有6个千兆电口,防火墙吞吐量≥900Mbps,最大并发会话数≥100万,SSL-VPN加密速度≥250Mbps,并发SSL用户数≥1200,IPSecVPN加密速度≥350Mbps,IPSec-VPN隧道数≥5200。支持基于TCP、UDP、ICMP的应用,支持主流操作系统浏览器以及全面支持智能手机和移动终端。完全能够满足中型企业的数据处理需要。公司的VPN专网搭建完成后,需要对网络的延时性能进行测试,看能否满足企业的要求,测试内容为分公司和外勤人员ping总公司各种应用系统的相应速度。测试结果如表1所示。
表1 网络性能测试结果
四、结语
本文分析某中型企业网络系统的现状,根据其特点和需求提出了一种IPSEC+SSL的VPN组网方案,搭建后经过网络测试表明本方案满足了该公司不同场景下的使用需求,达到了预期目标。
参考文献:
[1]孙世明. 基于VPN的远程粮情测控系统设计与实现[D]. 西安工业大学, 2015.
[2]葛莉, 赵超. VPN在校园网中的集成应用[J]. 电子设计工程, 2015(17):22-25.
[3]单家凌, 谢志成, 赵崇劲. 基于SSL技术的VPN网关在无线网络中的应用[J]. 计算机系统应用, 2014, 23(2):60-64.
关键词:VPN专网 IPSEC VPN SSL VPN
一、引言
在信息化时代,一般企业都已经建立有一套自己的内网办公系统,通过信息共享提高了办公效率。但是随着企业发展壮大,一些企业会在其他地区建立下属机构,为了便于集团统一管理以及资源共享,很多时候异地的机构也会产生访问总部内网系统的需求,由于内网只能在本地访问外地分支无法连接。建立企业VPN专网是解决此类问题的一个较好的解决方案。总部设置东部某省会城市的A房产中介公司近两年迅速发展壮大,已经在各区都建立了分公司。而公司的ERP、财务管理、HRMIS和FTP等系统还只可在总公司的内网访问,而分部及外勤员工还不能这些应用系统资源。为适应公司发展现状公司急需建立一套安全、快捷、经济的应用系统访问及资源共享方式,使分部及外勤员工能够像访问局域网一样安全、便捷地使用公司的办公系统和内部资源。
二、VPN专网需求分析与方案设计
A公司现有员工近300人,总公司设有总经理办公室、人力资源部、财务部、综合部、市场部和信息部,应用系统包括ERP、财务管理、HRMIS和FTP。下辖7个分公司。总部局域网由核心层、汇聚层和接入层组成,通过思科RV180企业路由器接入百兆电信宽带。各区分部内网由核心层和接入层搭建,通过思科RV110接入电信宽带。这些应用系统部署在企业总部的内网中,总部员工在内网能访问这些应用系统,开能实时进行业务处理。企业需求有以下几点:(1)公司的应用系统只能在公司总部访问和使用,总公司职能部门不能时时了解分公司的运行状况,分公司也无法使用应用系统,上下级工作交流主要经电子信息形式,效率低且信息不够安全。(2)外勤或者出差员工在外执行工作任务时具有调配总公司网络资源、上报信息等需求,公司领导也需要及时沟通、审批文件、做出决策,这需要一种安全有效的网络方式进行支持。(3)不同岗位的工作人员需要根据自己的工作开通不同的工作权限,防止工作混乱。使用VPN技术建立公司级别的“专线”网络能够满足上诉三个公司需求。使用VPN技术搭建公司专网时企业只需要一次性支付一定VPN网络设计和硬件设备费用,相比其他方案有较大的成本优势,并行信息安全性也能得到保障。企业级VPN专网设计一般选用IPSEC VPN或者SSL VPN两种形式。
IPSEC是一种保护个人信息安全的在公共网络上传播的通信安全规范,它使用了安全协议认证头(AH)和封装安全载荷(ESP) ,密钥交换(I KE)、安全联盟(SA)及加密和验证算法等[2]。基于IPSEC的VPN网络工作在OSI的第三层,是一种端到端形式的安全专网方案,通过加密技术以及验证机制提供信源验证、访问控制、数据加密以及离线数据完整性验证等服务。这种形式比较适合总部和分支机构互联。
SSL是一套工作在第七层的保障网络信息安全的网络协议,其基本工作原理是使用公钥加密技术通过SSL连接网络数据[3]。SSL VPN工作在应用层和传输层之间,它通过浏览器自带的封包处理功能,连接到公司内部的SSL VPN服务器,再通过网络封包转向的方式,使连入的计算机可以使用内网的应用系统或者使用内网资源。在数据安全方面SSL VPN通过安全套接层加密方式在应用层保障了访问数据安全。这种形式比较适合外勤和出差员工通过浏览器实现总部系统和资源的连接和使用。
通过对VPN实现方式的比较和分析结合A公司的规模和需求等实际情况,本文确定了IPSEC VPN+SSL VPN的解决方案,IPSEC形式用于实现总公司到分公司的網络连接,SSL 形式用于实现外勤和出差人员与公司总部的连接,整天的设计方案如图1所示。
图1 公司VPN网络整体设计方案
三、VPN专网搭建与测试
在对当前市场主流VPN设备进行调研和比较后,本方案选择了深信服的二合一网关VPN3050构建A公司的专网,VPN3050在性能、价格、功能和安全方面都能满足该公司的要求。
1.在功能上VPN3050面向中型企业市场,是一种IPSEC与SSL二合一的网关设备,既支持分公司通过IPSEC形式连接公司总部,又支持外勤出差人员通过SSL形式连接公司总部。
2.性能方面深信服VPN3050具有6个千兆电口,防火墙吞吐量≥900Mbps,最大并发会话数≥100万,SSL-VPN加密速度≥250Mbps,并发SSL用户数≥1200,IPSecVPN加密速度≥350Mbps,IPSec-VPN隧道数≥5200。支持基于TCP、UDP、ICMP的应用,支持主流操作系统浏览器以及全面支持智能手机和移动终端。完全能够满足中型企业的数据处理需要。公司的VPN专网搭建完成后,需要对网络的延时性能进行测试,看能否满足企业的要求,测试内容为分公司和外勤人员ping总公司各种应用系统的相应速度。测试结果如表1所示。
表1 网络性能测试结果
四、结语
本文分析某中型企业网络系统的现状,根据其特点和需求提出了一种IPSEC+SSL的VPN组网方案,搭建后经过网络测试表明本方案满足了该公司不同场景下的使用需求,达到了预期目标。
参考文献:
[1]孙世明. 基于VPN的远程粮情测控系统设计与实现[D]. 西安工业大学, 2015.
[2]葛莉, 赵超. VPN在校园网中的集成应用[J]. 电子设计工程, 2015(17):22-25.
[3]单家凌, 谢志成, 赵崇劲. 基于SSL技术的VPN网关在无线网络中的应用[J]. 计算机系统应用, 2014, 23(2):60-64.