集團型貿(mào)易企業(yè)網(wǎng)絡(luò)狀況及需求分析
對于寶鋼國際這樣的集團型貿(mào)易企業(yè)來說�����,為強化治理和降低運作成本����,保證信息流通及時快捷,提高競爭力,實現(xiàn)利潤最大化的目標��,無庸質(zhì)疑需要構(gòu)建高效便捷的企業(yè)網(wǎng)絡(luò)。
企業(yè)應(yīng)用系統(tǒng)如OA�����、ERP�、CRM、SCM����、HR等����,無不是構(gòu)建在網(wǎng)絡(luò)平臺之上����,企業(yè)網(wǎng)絡(luò)平臺解決方案應(yīng)同時滿足多種業(yè)務(wù)的需求,并與國際互聯(lián)網(wǎng)相連�。企業(yè)中各業(yè)務(wù)單元和員工通過內(nèi)部網(wǎng)絡(luò)能夠迅速共享并交互信息和知識�,從而將分散的能力轉(zhuǎn)化為團隊和集體解決力量�����,增強企業(yè)的競爭力�。
一�、集團型貿(mào)易企業(yè)網(wǎng)絡(luò)原有狀況分析:
1、與總部通過專線直連:各地分支和駐外機構(gòu)�、協(xié)作單位通過電信專線接到總部���,進行內(nèi)部OA、應(yīng)用系統(tǒng)、信息數(shù)據(jù)交流等多種應(yīng)用;
2、電話撥入:所在地無專線,但需要連入企業(yè)內(nèi)網(wǎng)的單位和個人,采用電話線(包括ISDN)撥入方式���,即計算機連接直撥電話撥入公司總部。
3、通過企業(yè)網(wǎng)站連接總部:即通過登陸企業(yè)網(wǎng)站進行內(nèi)部公文、業(yè)務(wù)處理和信息交流����。由于內(nèi)部系統(tǒng)完全放在公網(wǎng)上����,對網(wǎng)站和應(yīng)用系統(tǒng)的安全技術(shù)性要求相當高����,許多單位不會將核心內(nèi)容和業(yè)務(wù)放到WEB上面,一般用于宣傳和公共信息交流。同時關(guān)聯(lián)協(xié)作單位之間傳輸數(shù)據(jù)也存在許多安全技術(shù)問題。
4�����、由于企業(yè)的迅速發(fā)展和各種應(yīng)用系統(tǒng)推廣和延伸���,有相當數(shù)量新建和未聯(lián)網(wǎng)分支機構(gòu)需要及時加入總部網(wǎng)絡(luò)�。
二、聯(lián)網(wǎng)需求分析:
1����、企業(yè)治理和業(yè)務(wù)發(fā)展迫切需要實現(xiàn)各分支機構(gòu)��、移動人員與總部連通:為建立快速、便捷的信息資迅傳輸通道,消滅信息孤島�,出于企業(yè)總部治理的需要以及各單位協(xié)同商務(wù)等系統(tǒng)的要求���,迫切需要將各分支機構(gòu)連入總部以及實現(xiàn)各單位互連:各種OA辦公系統(tǒng)��、業(yè)務(wù)治理系統(tǒng)、客戶治理系統(tǒng)等應(yīng)覆蓋全部業(yè)務(wù)地點;各種治理����、客戶、經(jīng)營信息等數(shù)據(jù)也須通過網(wǎng)絡(luò)及時傳輸��;另外��,出差工作人員需要及時連接總部系統(tǒng)處理相關(guān)工作����。
2����、網(wǎng)絡(luò)需有效支撐一體化集中治理、信息交流:整體連網(wǎng)后���,信息傳輸必須通暢��、及時,總部與分支機構(gòu)通訊應(yīng)如同在一個局域網(wǎng)內(nèi)部�����,可運行各種治理系統(tǒng)�����,實時采集��、傳輸經(jīng)營和治理數(shù)據(jù),提高治理的準確性和執(zhí)行力。
3���、應(yīng)適應(yīng)企業(yè)不斷發(fā)展和擴充要求:企業(yè)許多分支機構(gòu)不斷擴充,對于新增單位,應(yīng)實現(xiàn)與總部的快速連接�,擴展方便����,提高信息化基礎(chǔ)建設(shè)效率����,降低成本���,增強核心競爭能力��。
4���、簡便����、經(jīng)濟的連網(wǎng)方式:信息化網(wǎng)絡(luò)建設(shè)的投入直接關(guān)系到企業(yè)成本和利潤���,應(yīng)采用實施便捷�����、費用節(jié)約的聯(lián)網(wǎng)方式��。
5、移動用戶快速連接:出差人員無論在國內(nèi)外均可迅速連接企業(yè)中心網(wǎng)絡(luò)�����,保證信息溝通的通暢����,提高工作效率。
6����、安全可靠的網(wǎng)絡(luò)環(huán)境:網(wǎng)絡(luò)應(yīng)當安全可靠����,保護企業(yè)數(shù)據(jù)和秘密��,采用數(shù)據(jù)加密認證等安全措施,保證安全運行。
7、網(wǎng)絡(luò)集中治理���,有效支持業(yè)務(wù)運行:應(yīng)采用集中式網(wǎng)絡(luò)治理系統(tǒng),集中治理各分支網(wǎng)絡(luò)連接權(quán)限、移動用戶訪問權(quán)限�����,開通相關(guān)單位的互連���,為總部與各單位之間信息傳輸���、相關(guān)單位協(xié)同商務(wù)提供便利�����。
VPN聯(lián)網(wǎng)技術(shù)分析
本文討論的虛擬專用網(wǎng)即VPN(Virtual PRivate Network)是以公用網(wǎng)絡(luò)Internet為基礎(chǔ)�����,結(jié)合隧道封裝�����、認證、加密��、訪問控制等多種網(wǎng)絡(luò)安全技術(shù)��,為企業(yè)總部和分支機構(gòu)及移動辦公人員提供安全網(wǎng)絡(luò)連通的技術(shù)��。VPN的主要目標是建立一種低投入���、方便快捷的網(wǎng)絡(luò)互連方式��,替代傳統(tǒng)專線連接和撥號連接�。
一�����、VPN技術(shù)基礎(chǔ)
虛擬專網(wǎng)主要基礎(chǔ)技術(shù)包括隧道技術(shù)���、密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)���。
1�、隧道技術(shù):隧道技術(shù)使得各種內(nèi)部數(shù)據(jù)通過公網(wǎng)在虛擬專用通道內(nèi)進行傳輸�。VPN的數(shù)據(jù)包封裝(隧道)是最常用的公網(wǎng)私有數(shù)據(jù)傳輸技術(shù)。在VPN的發(fā)送節(jié)點將原數(shù)據(jù)打包,添加合法的外層ip包頭,通過公網(wǎng)被傳送到接收端的VPN節(jié)點,該節(jié)點接收后進行拆包處理��,還原數(shù)據(jù)����。
2、密碼技術(shù):密碼技術(shù)即加密隱蔽傳輸信息、認證用戶身份等,是實現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一����,加密網(wǎng)絡(luò)可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)�,并有效對付惡意軟件�����。數(shù)據(jù)加密通過各種加密算法來實現(xiàn)�����。
3�、網(wǎng)絡(luò)訪問控制技術(shù):網(wǎng)絡(luò)訪問控制技術(shù)用于對系統(tǒng)進行安全保護,反抗攻擊�。網(wǎng)絡(luò)訪問控制技術(shù)源自傳統(tǒng)的防火墻功能�����,由于防火墻和VPN均處于公網(wǎng)出口處,在網(wǎng)絡(luò)中的位置基本相同�,因此一個完整的VPN產(chǎn)品應(yīng)同時提供完善的網(wǎng)絡(luò)訪問控制功能��,為系統(tǒng)的安全運營治理提供方便,同時保護用戶投資���。
二、IPSec VPN網(wǎng)絡(luò)安全體系
寶鋼國際的全網(wǎng)VPN建設(shè)�,采用了華為3Com公司的IPSec VPN系統(tǒng)建造虛擬專用網(wǎng)依據(jù)的主要國際標準有IPSec���、L2TP�、PPTP�����、L2F��、SOCKS等。
IPSec VPN技術(shù)屬于三層隧道VPN技術(shù)����。它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu):
網(wǎng)絡(luò)安全協(xié)議�����,大部分應(yīng)用案例采用了ESP或同時使用ESP和AH�����;
密鑰治理協(xié)議����,Internet Key Exchange (IKE)協(xié)議,實現(xiàn)安全協(xié)議的自動安全參數(shù)協(xié)商����;
驗證及加密的算法���,認證算法���,HMAC-md5���、HMAC-SHA-1����;加密算法�,DES、3DES����。
IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議���、確定安全算法和密鑰交換�����,向上提供了訪問控制、數(shù)據(jù)源驗證�����、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)��。同事,該VPN產(chǎn)品采用了經(jīng)過國家密碼治理機構(gòu)認可的產(chǎn)品���。
IPsec主要用于在網(wǎng)絡(luò)層實現(xiàn)VPN的技術(shù),根據(jù)用戶對在內(nèi)部網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全性和處理速度要求的情況,適用于對網(wǎng)絡(luò)數(shù)據(jù)保密要求高的用戶�,是一種端到端的安全實現(xiàn)��,從技術(shù)的角度上說,在端到端客戶的路由器上實現(xiàn)是最安全合理的方式,中間任何一個路由器都不需要做相應(yīng)設(shè)置����。因此�����,它的實現(xiàn)是一種與接入網(wǎng)絡(luò)無關(guān)的VPN技術(shù)。
IPSec的主要特征在于它可以對所有IP級的通信進行加密和認證,正是這一點才使IPSec可以確保包括遠程登錄、客戶/服務(wù)器����、電子郵件�、文件傳輸及Web訪問在內(nèi)多種應(yīng)用程序的安全�。與其他方式相比,IPSec具有明顯優(yōu)勢:IPSec在傳輸層之下,對應(yīng)用程序透明,配置IPSec無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置����。IPSec對終端用戶來說是透明的����,因此不必對用戶進行安全機制的培訓��。
集團型貿(mào)易企業(yè)VPN解決方案實施
一�、網(wǎng)絡(luò)結(jié)構(gòu)及設(shè)備部署
VPN網(wǎng)絡(luò)在連接方式上采用星型網(wǎng)絡(luò)結(jié)構(gòu)���,總部為VPN接入和治理中心,配有因特網(wǎng)專線�����;各分支節(jié)點采用專線或ADSL等方式通過公網(wǎng)與總部連接����,分支機構(gòu)之間采用動態(tài)VPN技術(shù)互聯(lián)����。
總部部署:在總部局域網(wǎng)Internet邊界后面配置兩臺專用VPN網(wǎng)關(guān)設(shè)備互為備份;同時配備總部VPN Manager治理組件,實現(xiàn)對VPN網(wǎng)關(guān)的部署治理和監(jiān)控;
分支機構(gòu)部署:在分支機構(gòu)Internet邊界配置一臺專用VPN網(wǎng)關(guān)設(shè)備,由此兩端的VPN網(wǎng)關(guān)建立IPSec VPN隧道,進行數(shù)據(jù)封裝����、加密和傳輸�;
移動終端子系統(tǒng)部署:為移動辦公的用戶配備VPN客戶端軟件和USB Key硬件認證密鑰�,接入網(wǎng)絡(luò)后進行相關(guān)的身份認證、密鑰協(xié)商以及隧道建立,用戶可以以透明的方式,直接訪問總部局域網(wǎng)內(nèi)部的資源���;
二、VPN網(wǎng)絡(luò)功能與特點
在所有邊界VPN網(wǎng)關(guān)完成相關(guān)配置以后,兩端局域網(wǎng)即可以實現(xiàn)透明相互訪問����,兩端局域網(wǎng)中用戶不會感覺到VPN網(wǎng)絡(luò)的存在���,非常有效的實現(xiàn)兩端局域網(wǎng)的銜接�����,具有以下特點:
1、強大的VPN處理性能:采用專用VPN網(wǎng)關(guān),通過硬件加密處理器可以提供標準加密算法下數(shù)十到數(shù)百Mbps以上的加密吞吐量�����,保證通訊快捷安全���。
2��、豐富的VPN業(yè)務(wù)特性:專用VPN網(wǎng)關(guān)VPN功能豐富,可以支持IPSec���、L2TP、GRE��、MPLS等多種模式VPN����,充分滿足將來系統(tǒng)擴展的需求;網(wǎng)關(guān)設(shè)備支持防火墻�����、AAA����、NAT、QoS等技術(shù)�����,可以確保實現(xiàn)安全的���、高質(zhì)量的私有網(wǎng)絡(luò)���。
3�、良好的NAT功能特性:支持局域網(wǎng)內(nèi)用戶使用私有地址池中的IP地址訪問外部網(wǎng)絡(luò);支持將訪問控制列表與地址����、接口的關(guān)聯(lián)���;支持外部網(wǎng)絡(luò)主機訪問內(nèi)部的設(shè)備。
4、全面的安全保障和QoS保證:具有防火墻安全過濾能力��、組合多種安全認證能力和完善的用戶認證機制,確保所交換信息的可靠性�;支持流分類�����、流量監(jiān)管、流量整形及接口限速��;支持擁塞治理(FIFO���、PQ�����、CQ��、WFQ、CBWFQ���、RTPQ);支持擁塞避免(WRED)�;支持對接入用戶進行精細訪問控制���,靈活控制其可以訪問的網(wǎng)絡(luò)資源的范圍����,極大的滿足了企業(yè)的靈活的安全控制需求����。
5、支持多種Internet接入方式:總部和分支機構(gòu)���、移動用戶可采用ADSL��、寬帶����、WLAN���、GPRS���、CDMA等接入方式���,提供最大限度的靈活性���;
6�、方便安全的移動用戶接入:采用雙因素方式提高用戶身份驗證安全性,采用硬件密鑰方便用戶使用�,減少用戶身份信息被盜用的風險���。同時減少VPN配置治理工作來提高用戶的工作效率�,最終幫助企業(yè)實現(xiàn)優(yōu)化大規(guī)模遠程訪問VPN用戶的部署工作�。
7、動態(tài)VPN配置策略的應(yīng)用:采用先進的動態(tài)VPN技術(shù),���,很好地解決動態(tài)IP及NAT穿越的問題,實現(xiàn)動態(tài)VPN隧道的建立和撤銷,避免星型VPN組網(wǎng)的性能瓶頸,同時簡化配置和部署過程�����。
傳統(tǒng)的VPN連接方式主要有靜態(tài)網(wǎng)狀連接和靜態(tài)星形連接方式��。在簡單的應(yīng)用環(huán)境中可以滿足VPN組網(wǎng)的需求��。但是在數(shù)據(jù)通信模式比較復雜的環(huán)境中,VPN的隧道數(shù)量和配置工作量將急劇增加,因此在設(shè)計VPN方案時����,必須能夠支持動態(tài)建立VPN,通過自動的����、動態(tài)的在所需要的網(wǎng)絡(luò)節(jié)點之間建立VPN通道���,使之具備良好的可維護性和可治理性���,同時提供有保證的網(wǎng)絡(luò)通信性能的前提下�,構(gòu)建全局的VPN網(wǎng)絡(luò),實現(xiàn)數(shù)據(jù)流動需求�����。先進的動態(tài)VPN技術(shù)可以支持穿透NAT/防火墻技術(shù)��,支持動態(tài)IP地址構(gòu)建VPN網(wǎng)絡(luò)��,任何一個網(wǎng)絡(luò)節(jié)點在構(gòu)建隧道時不需要知道其他網(wǎng)絡(luò)節(jié)點VPN設(shè)備的任何信息,只需要配置自己的信息并指定相應(yīng)的VPN策略服務(wù)器就可以。
華為3Com公司專有的動態(tài)VPN不僅支持VPN隧道的自動建立,而且支持多個VPN域�����,大大提高了組網(wǎng)的靈活性����,使用戶充分利用網(wǎng)絡(luò)設(shè)備資源,提高投資回報率。
8���、集中式VPN業(yè)務(wù)治理系統(tǒng):采用圖形化界面的VPN治理工具VPN Manager,輕松構(gòu)建VPN網(wǎng)絡(luò),實現(xiàn)VPN可視化的VPN部署治理以及大規(guī)模的自動部署能力。
VPN業(yè)務(wù)治理系統(tǒng)有效監(jiān)視VPN網(wǎng)絡(luò)的運行�����,并監(jiān)控VPN網(wǎng)絡(luò)性能���,快速定位設(shè)備故障�,從而方便用戶在VPN上開展各項業(yè)務(wù)����。可以靈活展示VPN拓撲�,顯示VPN通道狀態(tài)����,用戶可以很方便地在拓撲上對VPN設(shè)備進行治理���;提供VPN網(wǎng)絡(luò)監(jiān)控功能���,幫助用戶監(jiān)控VPN通道流量及VPN網(wǎng)絡(luò)性能���;提供故障治理功能���,幫助用戶快速定位網(wǎng)絡(luò)故障�����。
利用VPN軟件提供豐富的性能治理功能��,用戶可以直觀監(jiān)控VPN網(wǎng)絡(luò)的運行性能狀態(tài),為用戶網(wǎng)絡(luò)擴容���、及早發(fā)現(xiàn)網(wǎng)絡(luò)隱患提供保障,能夠快速定位網(wǎng)絡(luò)故障�����,以聲光�、Email����、短信等方式及時通知到治理人員。
結(jié)束語
需要強調(diào)指出的是:企業(yè)在建立VPN網(wǎng)絡(luò)的同時,應(yīng)強化內(nèi)部上網(wǎng)治理和規(guī)范����,優(yōu)化網(wǎng)絡(luò)性能��,加強防治計算機病毒和防范各種破壞和攻擊,合理使用因特網(wǎng)資源��,才能為VPN的應(yīng)用提供一個良好的通道���;同時建立制定嚴密的技術(shù)和治理安全措施���,從治理上為網(wǎng)絡(luò)安全運行的提供堅實基礎(chǔ)。
