三棵树超市的的VPN网络建成后,逻辑上将7个在物理位置上不同的网络构成统一的公司内部网,这样就可以采用统一的公司财务数据服务器,总部与分部的财务人员就可以使用统一的数据库,这样大大提升了公司财务的工作效率,双方可以进行数据共享、文件传送。
过去固定IP地址的月租很贵,使得VPN产品只有银行、大型企业等少数行业能用得起;现在通过动态VPN防火墙FVS318,有联网需要的中小企业也能够轻松实现远程异地联网。
现阶段电信运营商提供的接入方式有虚拟拨号和专线接入两种常用的方式,如表所示。
两种接入方式的差别就是提供给前者的是动态IP,后者是静态IP。虚拟拨号月租是120元,专线月租是2000元。两者的费用相差16倍多,这是很悬殊的差别。因此,采用NETGEAR FVS318来组建此网络,单从月租方面,美国网件的VPN产品就为客户节省了许多开支。
本方案全部采用美国网件公司的FVL318 ProSafe VPN宽带路由器系列网络产品。FVL318产品最大的特点是能同时启动多达8个IPSec VPN隧道,动态域名解析技术可支持VPN网络的任意一方用动态地址来组建VPN网络,从而降低运营成本,提高网络的安全性。
1.VPN服务器,一台计算机或设备,用来接收和验证VPN连接的请求,处理数据打包和解包工作。
2.VPN客户端,一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。
3.VPN数据通道,一条建立在公用网络上的数据连接。
注意所谓的服务器和客户端,在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。这个概念在两个网络之间的连接尤其明显。
1、由于SSL VPN 采用了SSL(Security socket layer)协议,该协议是介于介于HTTP层及TCP层的安全协议。
2、通过SSL VPN是接入企业内部的应用,而不是企业的整个网络。如果是IPSEC的VPN网络,客户通过vpn是联入的整个企业网络。没有控制的联入整个企业的网络是非常危险的。
3、由于采用SSL 安全协议在网络中传输,所以gateway上的防火墙来讲,只需要打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网来的攻击的可能性。
4、数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算法比如DES,3DES,RSA等等也有自己的加密算法。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
5、Session保护功能:现在所有的SSL VPN 基本上都能够做到这个功能,就是在会话停止一段时间以后自动停止会话,如果需要继续访问则要从新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击;
1、 首先由于SSL VPN一般在GATEWAY上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上,这样对于GATEWAY来讲,这需要开通443 这样的端口到SSL VPN即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。
2、 不改变防病毒策略:从另外一个角度来讲,如果您采用了IPSEC VPN的产品,当客户端有一台电脑通过VPN联入网络后,该网络的防病毒的策略将被彻底破坏,应为联入内部网络的电脑并不受原来公司的防病毒策略的保护,而ssl vpn 就没有这个问题,SSL VPN需要访问的数据是事先被允许的;
3、不改变防火墙策略:基本原理同防病毒。还是从IPSEC的角度来讲,如果当客户端有一台电脑通过VPN联入网络后,如果该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部网络的跳板,而ssl vpn就没有这个问题。
阶段一:动态域名解析+端口映射
由于采用专线和固定IP的方式投入成本比较高,客户在现有的ADSL宽带上网方式(动态IP)基础上,结合动态域名解析+端口映射的方式解决分公司远程访问K3 数据库的问题,在出口的路由器上做端口映射,映射到K3服务器上,出差人员和外地分公司随时随地接入总部K3的数据库进行操作。但是这种方式基本上把整个K3服务器暴露在公网上, 这种传统的数据传输方法对于现在网络上的黑客技术的防御能力是相当有限的,根本没有安全性可言,安全性比较令人担心;另外动态域名解析寻址方式的不稳定性,导致分公司经常无法正常稳定的访问总部数据,于是客户开始寻找一种安全稳定的互联方式。
阶段二:硬件VPN方式
从安全性和经济性考虑,客户采购了一款市面上低价位的硬件VPN的产品,利用VPN搭建的虚拟专用隧道安全传输K3数据, 安全的问题随之解决了,但是随着公司的不断壮大,数据传输交互的频繁、用户的增多,上马新的应用系统……,目前的VPN方式已不能满足需求:
1、稳定性:VPN虽然安全,但由于网络带宽窄,环境不稳定等因素,再加上普通VPN本身的加密使用数据传输变慢等原因,很难做一些大数据量的功能使用(特别是K3这类的大型数据库),而且经常断线,操作起来变得异常困难,最终导致工作效率很低甚至根本无法使用。
2、速度:一般远程接入解决方案只提供"接入"的网络功能, 在应用数据传输上却有着天壤之别!,一般远程访问是用户在自己的笔记本上安装K3的客户端,然后远程接入办公,访问K3服务器。这时应用层的数据是从K3的服务器通过网络传向K3的客户端,问题也就在这里,由于某些业务数据量很大,经常拥塞住网络,而基于TCP/IP的网络本身具有数据流量管理,大量的数据很可能被丢弃。.由于大量的数据量的传输,很可能造成网络瘫痪,甚至连访问WEB都不行!
3、移动的支持:一般笔记本是无线上网的,无线上网理论上号称可以达到几百K,但实
际往由于线路接入环境不同相差很大,一般是一百K左右,甚至几十K,几K.这样,由于大量的数据量的传输,很可能造成网络瘫痪,甚至连访问WEB都不行!因此,这样的方案很容易出现问题.不能充分发挥VPN的特长.也不适合远程接入办公的需求。
4、集中分类管理接入用户:公司上马了新的应用系统也需要远程投入使用,对于接入用户访问权限的管理成了一个问题,公司的各应用系统的使用是有权限要求的,比如用户U1只能访问K3系统,用户U2只能访问A3系统,如何保证远程用户接入后安全的访问各种应用系统也成了急待解决的问题。
5、简单易用:对于C/S结构的软件,需要在远程接入的PC上安装客户端,使得操作和维护都比较复杂。
因此,这样的方案很容易出现问题.不能充分发挥VPN的特长.也不适合远程接入办公的需求. 客户故寻需求一种能够实现K3等管理软件高速稳定传输数据、简单易用经济、并且能够集中分类管理远程接入用户的解决方案。
三、解决方案设计与实现
3.1解决方案
“超级连接VPN+KRun”方案基于现在Internet基础,以低成本的接入方式即可实现各类应用系统的跨网段实施、文件共享、打印机共享、网络邻居、TELNET、信使消息、内网Web、FTP访问、网络电话、网络视频会议等功能。
本方案重点要解决的是在客户现有网络环境中,稳定、高速、安全、经济的远程互联运行并且安全管理接入用户使用应用系统的问题。在深圳总部内网一台装有windows 2000 server以上的服务器安装”超级连接VPN”总部版同时架设KRun服务器,做为整个VPN网络的管理中心,总部应用软件数据库服务器的网关指向安装总部版机器;在各地分公司内网一台装有windows 2000的计算机上安装”超级连接VPN”分支版软件,网内其他机器的网关指向安装分支版的机器,即可带动整个局域网联入深圳总部;在外出差人员和老总携带的笔记本上安装Hlink移动版即可实现,分公司和在外出差人员的。