基于虚拟化技术的企业专用网络建设

谭金柱

（中国石油天然气第一建设有限公司，洛阳 471000）

1 引言

公司作为中石油工程建设企业，项目多且分布比较分散，大部分信息系统部署在互联网之上，对于互联网用户来说是完全可见的，安全防御手段有限。经过多年的信息化建设，公司的基础网络设施建设已经趋于成熟，建设自己的专用网络，将能更有效地、更大限度地抵御来自互联网对网络系统的安全威胁，保证信息传输的安全，这是公司加强信息安全建设的重要一步。虚拟专用网技术既能保证信息传输的安全，又能避免产生高昂的费用，提供了完美的解决方案。

2 系统技术原理分析

2.1 VPN的定义

VPN（Virtual Private Network）被定义为通过一个公共网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案也将大幅度的减少用户花费在远程网络连接上的费用。

2.2 VPN的设计目标

在实际应用中，一般来说一个高效、成功的VPN应具备以下几个特点：安全保障；服务质量保证；可扩充性和灵活性；可管理性。

2.3 SSL VPN的优势

SSL VPN的优势来自于HTTP的广泛应用，这类B/S架构管理软件只安装在服务器端上，用户界面主要事务逻辑在服务器端完全通过WWW浏览器实现。极少部分事务逻辑在前端（Browser）实现，所有的客户端可以只有浏览器。（1）零客户端。客户端的区别是SSL VPN最大的优势。（2）安全性。SSL安全通道是在客户到所访问的资源之间建立的，确保端到端的安全。（3）访问控制。SSL VPN重点在于保护具体的敏感数据，可以根据用户的不同身份，给予不同的访问权限。（4）经济性。只需在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入。

3 系统研究

3.1 系统研究的目的和意义

VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。在大多数情况下，VPN的实现方法都可以应用于每个公司。即使不需要使用加密数据，也可节省开支。VPN相对于专线而言，在价格上有着绝对的优势；相对于普通PSTN拨号连接，VPN在安全性、保密性上更胜一筹。

3.2 系统实验研究结果

如图1所示，企业总部在出口防火墙后面部署一台SSL VPN安全网关设备，企业在外人员、分支机构等远程用户要访问公司内部服务器群的资源时，就会先和SSL VPN网关建立连接，SSL VPN服务器根据远程用户提供的身份识别组件来判断是否允许访问内部网络资源，以及分配何种访问权限给用户。

图1 SSL VPN的基本部署方式

安全虚拟专用网（SSL VPN）是一种在VPN上运行的安全套接字层技术，他在网络浏览器通过https访问。它允许用户建立从任何连接到互联网的浏览器到内部服务器的安全可靠的远程接入。

图2 SSL VPN工作过程简图

如图2所示，远程用户使用WEB浏览器通过SSL VPN服务器来访问企业内部网络中的资源，SSL VPN服务器在这里相当于一个数据中转服务器，所有访问都经过SSL VPN服务器的认证后，转发给内网的应用服务器，从应用服务器发往浏览器的数据经过SSL VPN服务器加密后送回浏览器。在WEB浏览器和SSL VPN服务器之间，利用SSL协议构建了一条安全隧道。

3.3 系统实际应用情况

目前公司VPN系统已经在全公司范围内推广使用，所有的分支机构均可申请开通VPN系统访问权限，对集团公司信息系统（见图3）的访问已经全部转移至公司VPN系统，公司自建信息系统（见图4）也可通过VPN系统访问，安全高效。VPN账号的申请全部通过OA系统协同办公申请流程办理，大大提高了账号办理的效率，解决了集团公司账号办理周期长的问题（集团账号开通需要一周左右），现已开通VPN账号1200多个，同时最大在线访问人数可达到500人，应用效果良好。

3.4 创新点

一是虚拟专用网及所属用户帐户和权限完全由公司控制，账号的状态能实时监测和管理，具有良好的安全性；二是对信息系统的访问实现全面覆盖，不仅支持公司自建信息系统，同时支持对集团公司统建信息系统的访问，并且兼容usbkey等第三方认证方式。

图3 集团公司信息系统

图4 公司自建信息系统

4 解决的关键技术

一是解决虚拟专用网与集团公司广域网和公司现有网络的无缝对接，保证外部用户对集团公司广域网和公司总部网络资源的顺利访问；二是解决虚拟专用网对集团公司统建信息系统及公司自建信息系统的兼容问题，保证通过虚拟专用网能够顺利访问所有在用信息系统；三是解决虚拟专用网对集团公司usbkey、数字证书等第三方认证方式的兼容，保证用户对特殊信息系统的访问。

5 经济效益和社会效益分析

公司目前的网络结构属于传统型局域网架构，网络结构简单，只有公司机关办公楼与集团公司广域网连接，分公司与项目部完全通过互联网访问公司自建系统，通过集团公司VPN系统访问集团公司统建系统，集团公司VPN系统存在带宽低、并发账号少的缺陷，广域网外用户访问效率低，时常出现无法访问的情况，因此组建虚拟专用网将解决外部人员访问信息系统和传输数据安全的问题，将大大提高全公司范围的办公效率。

在全公司推广使用企业虚拟网络，提高信息传输的安全性；省去了分支机构租用专用线路的费用，每年节省租用专线的费用约90万元（每条2M专线链路费用3万元/年，30个重点项目）；实现与集团公司广域网无缝连接，可以扩展集团公司VPN系统，缩短VPN账号的办理流程，提升工作效率。