集团型贸易企业网络状况及需求分析
对于宝钢国际这样的集团型贸易企业来说,为强化治理和降低运作成本,保证信息流通及时快捷,提高竞争力,实现利润最大化的目标,无庸质疑需要构建高效便捷的企业网络。
企业应用系统如OA、ERP、CRM、SCM、HR等,无不是构建在网络平台之上,企业网络平台解决方案应同时满足多种业务的需求,并与国际互联网相连。企业中各业务单元和员工通过内部网络能够迅速共享并交互信息和知识,从而将分散的能力转化为团队和集体解决力量,增强企业的竞争力。
一、集团型贸易企业网络原有状况分析:
1、与总部通过专线直连:各地分支和驻外机构、协作单位通过电信专线接到总部,进行内部OA、应用系统、信息数据交流等多种应用;
2、电话拨入:所在地无专线,但需要连入企业内网的单位和个人,采用电话线(包括ISDN)拨入方式,即计算机连接直拨电话拨入公司总部。
3、通过企业网站连接总部:即通过登陆企业网站进行内部公文、业务处理和信息交流。由于内部系统完全放在公网上,对网站和应用系统的安全技术性要求相当高,许多单位不会将核心内容和业务放到WEB上面,一般用于宣传和公共信息交流。同时关联协作单位之间传输数据也存在许多安全技术问题。
4、由于企业的迅速发展和各种应用系统推广和延伸,有相当数量新建和未联网分支机构需要及时加入总部网络。
二、联网需求分析:
1、企业治理和业务发展迫切需要实现各分支机构、移动人员与总部连通:为建立快速、便捷的信息资迅传输通道,消灭信息孤岛,出于企业总部治理的需要以及各单位协同商务等系统的要求,迫切需要将各分支机构连入总部以及实现各单位互连:各种OA办公系统、业务治理系统、客户治理系统等应覆盖全部业务地点;各种治理、客户、经营信息等数据也须通过网络及时传输;另外,出差工作人员需要及时连接总部系统处理相关工作。
2、网络需有效支撑一体化集中治理、信息交流:整体连网后,信息传输必须通畅、及时,总部与分支机构通讯应如同在一个局域网内部,可运行各种治理系统,实时采集、传输经营和治理数据,提高治理的准确性和执行力。
3、应适应企业不断发展和扩充要求:企业许多分支机构不断扩充,对于新增单位,应实现与总部的快速连接,扩展方便,提高信息化基础建设效率,降低成本,增强核心竞争能力。
4、简便、经济的连网方式:信息化网络建设的投入直接关系到企业成本和利润,应采用实施便捷、费用节约的联网方式。
5、移动用户快速连接:出差人员无论在国内外均可迅速连接企业中心网络,保证信息沟通的通畅,提高工作效率。
6、安全可靠的网络环境:网络应当安全可靠,保护企业数据和秘密,采用数据加密认证等安全措施,保证安全运行。
7、网络集中治理,有效支持业务运行:应采用集中式网络治理系统,集中治理各分支网络连接权限、移动用户访问权限,开通相关单位的互连,为总部与各单位之间信息传输、相关单位协同商务提供便利。
VPN联网技术分析
本文讨论的虚拟专用网即VPN(Virtual Private Network)是以公用网络Internet为基础,结合隧道封装、认证、加密、访问控制等多种网络安全技术,为企业总部和分支机构及移动办公人员提供安全网络连通的技术。VPN的主要目标是建立一种低投入、方便快捷的网络互连方式,替代传统专线连接和拨号连接。
一、VPN技术基础
虚拟专网主要基础技术包括隧道技术、密码技术和网络访问控制技术。
1、隧道技术:隧道技术使得各种内部数据通过公网在虚拟专用通道内进行传输。VPN的数据包封装(隧道)是最常用的公网私有数据传输技术。在VPN的发送节点将原数据打包,添加合法的外层IP包头,通过公网被传送到接收端的VPN节点,该节点接收后进行拆包处理,还原数据。
2、密码技术:密码技术即加密隐蔽传输信息、认证用户身份等,是实现网络安全的最有效的技术之一,加密网络可以防止非授权用户的搭线窃听和入网,并有效对付恶意软件。数据加密通过各种加密算法来实现。
3、网络访问控制技术:网络访问控制技术用于对系统进行安全保护,反抗攻击。网络访问控制技术源自传统的防火墙功能,由于防火墙和VPN均处于公网出口处,在网络中的位置基本相同,因此一个完整的VPN产品应同时提供完善的网络访问控制功能,为系统的安全运营治理提供方便,同时保护用户投资。
二、IPSec VPN网络安全体系
宝钢国际的全网VPN建设,采用了华为3Com公司的IPSec VPN系统建造虚拟专用网依据的主要国际标准有IPSec、L2TP、PPTP、L2F、SOCKS等。
IPSec VPN技术属于三层隧道VPN技术。它给出了应用于IP层上网络数据安全的一整套体系结构:
网络安全协议,大部分应用案例采用了ESP或同时使用ESP和AH;
密钥治理协议,Internet Key Exchange (IKE)协议,实现安全协议的自动安全参数协商;
验证及加密的算法,认证算法,HMAC-MD5、HMAC-SHA-1;加密算法,DES、3DES。
IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。同事,该VPN产品采用了经过国家密码治理机构认可的产品。
IPsec主要用于在网络层实现VPN的技术,根据用户对在内部网络中传输数据的安全性和处理速度要求的情况,适用于对网络数据保密要求高的用户,是一种端到端的安全实现,从技术的角度上说,在端到端客户的路由器上实现是最安全合理的方式,中间任何一个路由器都不需要做相应设置。因此,它的实现是一种与接入网络无关的VPN技术。
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。与其他方式相比,IPSec具有明显优势:IPSec在传输层之下,对应用程序透明,配置IPSec无需更改用户或服务器系统中的软件设置。IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。
集团型贸易企业VPN解决方案实施
一、网络结构及设备部署
VPN网络在连接方式上采用星型网络结构,总部为VPN接入和治理中心,配有因特网专线;各分支节点采用专线或ADSL等方式通过公网与总部连接,分支机构之间采用动态VPN技术互联。
总部部署:在总部局域网Internet边界后面配置两台专用VPN网关设备互为备份;同时配备总部VPN Manager治理组件,实现对VPN网关的部署治理和监控;
分支机构部署:在分支机构Internet边界配置一台专用VPN网关设备,由此两端的VPN网关建立IPSec VPN隧道,进行数据封装、加密和传输;
移动终端子系统部署:为移动办公的用户配备VPN客户端软件和USB Key硬件认证密钥,接入网络后进行相关的身份认证、密钥协商以及隧道建立,用户可以以透明的方式,直接访问总部局域网内部的资源;
二、VPN网络功能与特点
在所有边界VPN网关完成相关配置以后,两端局域网即可以实现透明相互访问,两端局域网中用户不会感觉到VPN网络的存在,非常有效的实现两端局域网的衔接,具有以下特点:
1、强大的VPN处理性能:采用专用VPN网关,通过硬件加密处理器可以提供标准加密算法下数十到数百Mbps以上的加密吞吐量,保证通讯快捷安全。
2、丰富的VPN业务特性:专用VPN网关VPN功能丰富,可以支持IPSec、L2TP、GRE、MPLS等多种模式VPN,充分满足将来系统扩展的需求;网关设备支持防火墙、AAA、NAT、QoS等技术,可以确保实现安全的、高质量的私有网络。
3、良好的NAT功能特性:支持局域网内用户使用私有地址池中的IP地址访问外部网络;支持将访问控制列表与地址、接口的关联;支持外部网络主机访问内部的设备。
4、全面的安全保障和QoS保证:具有防火墙安全过滤能力、组合多种安全认证能力和完善的用户认证机制,确保所交换信息的可靠性;支持流分类、流量监管、流量整形及接口限速;支持拥塞治理(FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ);支持拥塞避免(WRED);支持对接入用户进行精细访问控制,灵活控制其可以访问的网络资源的范围,极大的满足了企业的灵活的安全控制需求。
5、支持多种Internet接入方式:总部和分支机构、移动用户可采用ADSL、宽带、WLAN、GPRS、CDMA等接入方式,提供最大限度的灵活性;
6、方便安全的移动用户接入:采用双因素方式提高用户身份验证安全性,采用硬件密钥方便用户使用,减少用户身份信息被盗用的风险。同时减少VPN配置治理工作来提高用户的工作效率,最终帮助企业实现优化大规模远程访问VPN用户的部署工作。
7、动态VPN配置策略的应用:采用先进的动态VPN技术,,很好地解决动态IP及NAT穿越的问题,实现动态VPN隧道的建立和撤销,避免星型VPN组网的性能瓶颈,同时简化配置和部署过程。
传统的VPN连接方式主要有静态网状连接和静态星形连接方式。在简单的应用环境中可以满足VPN组网的需求。但是在数据通信模式比较复杂的环境中,VPN的隧道数量和配置工作量将急剧增加,因此在设计VPN方案时,必须能够支持动态建立VPN,通过自动的、动态的在所需要的网络节点之间建立VPN通道,使之具备良好的可维护性和可治理性,同时提供有保证的网络通信性能的前提下,构建全局的VPN网络,实现数据流动需求。先进的动态VPN技术可以支持穿透NAT/防火墙技术,支持动态IP地址构建VPN网络,任何一个网络节点在构建隧道时不需要知道其他网络节点VPN设备的任何信息,只需要配置自己的信息并指定相应的VPN策略服务器就可以。
华为3Com公司专有的动态VPN不仅支持VPN隧道的自动建立,而且支持多个VPN域,大大提高了组网的灵活性,使用户充分利用网络设备资源,提高投资回报率。
8、集中式VPN业务治理系统:采用图形化界面的VPN治理工具VPN Manager,轻松构建VPN网络,实现VPN可视化的VPN部署治理以及大规模的自动部署能力。
VPN业务治理系统有效监视VPN网络的运行,并监控VPN网络性能,快速定位设备故障,从而方便用户在VPN上开展各项业务。可以灵活展示VPN拓扑,显示VPN通道状态,用户可以很方便地在拓扑上对VPN设备进行治理;提供VPN网络监控功能,帮助用户监控VPN通道流量及VPN网络性能;提供故障治理功能,帮助用户快速定位网络故障。
利用VPN软件提供丰富的性能治理功能,用户可以直观监控VPN网络的运行性能状态,为用户网络扩容、及早发现网络隐患提供保障,能够快速定位网络故障,以声光、Email、短信等方式及时通知到治理人员。
结束语
需要强调指出的是:企业在建立VPN网络的同时,应强化内部上网治理和规范,优化网络性能,加强防治计算机病毒和防范各种破坏和攻击,合理使用因特网资源,才能为VPN的应用提供一个良好的通道;同时建立制定严密的技术和治理安全措施,从治理上为网络安全运行的提供坚实基础。