兩大用戶(hù)的VPN部署經(jīng)驗(yàn)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

提起VPN，普通用戶(hù)想到的就是IPSec。事實(shí)上，隨著SSL和MPLS設(shè)備的降價(jià)，兩種新的VPN已經(jīng)開(kāi)始走進(jìn)大型企業(yè)用戶(hù)的視野。

SSL的安全動(dòng)力

之所以把SSL擺在第一位，是因?yàn)樽罱虾Ｒ苿?dòng)通信公司部署了當(dāng)前業(yè)內(nèi)規(guī)模最大、應(yīng)用最復(fù)雜的SSL VPN系統(tǒng)。

無(wú)獨(dú)有偶，上海移動(dòng)SSL VPN項(xiàng)目上線當(dāng)天，恰好是本報(bào)安全巡展上海站的活動(dòng)日。據(jù)上海移動(dòng)SSL VPN項(xiàng)目負(fù)責(zé)人王鵬透露，目前公司已經(jīng)擁有941萬(wàn)戶(hù)移動(dòng)用戶(hù)，作為上海最大的移動(dòng)運(yùn)營(yíng)商，上海移動(dòng)1860客戶(hù)服務(wù)熱線有600多名客戶(hù)服務(wù)人員，客服熱線辦公室內(nèi)的電腦直接連接在內(nèi)部辦公網(wǎng)絡(luò)中，為保證系統(tǒng)的安全，辦公室網(wǎng)絡(luò)不能訪問(wèn)外部網(wǎng)絡(luò)。

但是，由于一些最新的政策和收費(fèi)信息都是直接發(fā)布在上海移動(dòng)公司和總公司網(wǎng)站，同時(shí)客戶(hù)咨詢(xún)的問(wèn)題有很多也是網(wǎng)上服務(wù)系統(tǒng)的問(wèn)題。因此，客戶(hù)服務(wù)人員在接聽(tīng)電話的同時(shí)，還需要訪問(wèn)幾個(gè)固定的外部網(wǎng)站。

“在考慮VPN之前，我們?cè)羞^(guò)兩種技術(shù)方案：第一，使用固定電腦訪問(wèn)外網(wǎng)。但這樣做不僅會(huì)浪費(fèi)大量的服務(wù)時(shí)間，而且也不利于客戶(hù)服務(wù)人員與客戶(hù)及時(shí)交流和溝通，大大降低了服務(wù)質(zhì)量和水平；第二，通過(guò)遠(yuǎn)程桌面的方式訪問(wèn)互聯(lián)網(wǎng)。這樣做，服務(wù)器的負(fù)載很大，需要多臺(tái)服務(wù)器才能實(shí)現(xiàn)，投資成本過(guò)高?！蓖貔i如是說(shuō)。

正是由于上述方案的不足，促使王鵬考慮引入SSL VPN技術(shù)?！癝SL VPN的核心是利用在Web上廣泛使用的SSL技術(shù)在應(yīng)用層構(gòu)建針對(duì)應(yīng)用程序的VPN通道，部署成本比兩種方案更低。而且SSL VPN無(wú)須在客戶(hù)端安裝和設(shè)置任何軟件，只要會(huì)使用瀏覽器上網(wǎng)瀏覽就可以毫無(wú)障礙地使用SSL VPN了。”王鵬如是說(shuō)。

截止到記者發(fā)稿時(shí)，王鵬已經(jīng)完成了對(duì)VPN系統(tǒng)的測(cè)試與部署。據(jù)該項(xiàng)目實(shí)施方SafeNet公司工程師介紹，利用相應(yīng)的iGate SSL VPN解決方案，上海移動(dòng)可以在網(wǎng)絡(luò)傳輸中使用標(biāo)準(zhǔn)的HTTPS協(xié)議，能夠提供安全的網(wǎng)絡(luò)隧道，保證數(shù)據(jù)不會(huì)被截獲和破解。同時(shí)，SSL VPN也不會(huì)受NAT和穿越防火墻問(wèn)題的困擾，任何能連接Internet的方式都可以構(gòu)建SSL VPN通道。另外，由于SSL VPN還可以起到代理服務(wù)器的作用，所有客戶(hù)端的訪問(wèn)都是由VPN設(shè)備轉(zhuǎn)發(fā)，而不能直接訪問(wèn)應(yīng)用服務(wù)器，從而使服務(wù)器不易受到攻擊。

據(jù)王鵬透露，上海移動(dòng)把iGate設(shè)備部署在企業(yè)防火墻之后，所有的客戶(hù)端就可以通過(guò)它來(lái)訪問(wèn)外部網(wǎng)站，不用擔(dān)心由于不能訪問(wèn)互聯(lián)網(wǎng)而無(wú)法答復(fù)客戶(hù)的問(wèn)題了。另外，SSL VPN可以很好地限制用戶(hù)只能訪問(wèn)幾個(gè)特定站點(diǎn)，通過(guò)相應(yīng)的配置，上海移動(dòng)的客戶(hù)服務(wù)人員只需要訪問(wèn)與工作有關(guān)的一些站點(diǎn)就可以解決客戶(hù)的問(wèn)題。

王鵬透露說(shuō)，目前他對(duì)于SSL VPN的安全性還是相當(dāng)滿(mǎn)意的。以身份驗(yàn)證為例，當(dāng)客戶(hù)端進(jìn)行驗(yàn)證的時(shí)候，大部分網(wǎng)絡(luò)應(yīng)用程序會(huì)把標(biāo)明用戶(hù)身份的唯一值或“會(huì)話標(biāo)識(shí)符”存儲(chǔ)在瀏覽器端的某些應(yīng)用程序中。然而，黑客可以通過(guò)盜取會(huì)話標(biāo)識(shí)符來(lái)假冒最終用戶(hù)的身份，從而留下安全隱患。如果有25％的密碼以明文的方式傳播，那么會(huì)有三分之一的會(huì)話標(biāo)識(shí)符會(huì)受到黑客的攻擊。因此，一個(gè)完善的安全應(yīng)用程序應(yīng)該使用標(biāo)準(zhǔn)的加密協(xié)議，如SSL，來(lái)確保網(wǎng)絡(luò)傳輸?shù)耐暾院桶踩?。SSL會(huì)在遠(yuǎn)端用戶(hù)瀏覽器和Web服務(wù)器之間建立安全的通信。

王鵬進(jìn)一步解釋說(shuō)，在客戶(hù)端與應(yīng)用服務(wù)器之間全程啟用SSL協(xié)議，保證了辦公系統(tǒng)中重要數(shù)據(jù)的完整性和安全性。因此，上海移動(dòng)的客服人員在利用SSL實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)的時(shí)候，不僅不會(huì)由于對(duì)外網(wǎng)的訪問(wèn)產(chǎn)生安全隱患，而且，還可以有效地保證客戶(hù)數(shù)據(jù)和信息的安全。

MPLS的出色應(yīng)用

一直以來(lái)，MPLS技術(shù)在具體應(yīng)用中都是雷聲大，雨點(diǎn)小，這與其技術(shù)本身的部署、配置難度有一定關(guān)系。不過(guò)，隨著MPLS實(shí)用化進(jìn)程的延續(xù)，一些基于MPLS VPN的建設(shè)思路卻帶給人眼前一亮的感覺(jué)。

在這方面，政府成了新技術(shù)應(yīng)用的帶頭人。近期，東北某市區(qū)政府為了實(shí)現(xiàn)包括鄉(xiāng)、鎮(zhèn)、局在內(nèi)的全區(qū)電子信息化，提高政府信息網(wǎng)的安全性，著重開(kāi)展了MPLS VPN的建設(shè)工作。

該區(qū)信息化辦公室負(fù)責(zé)人黃主任在接受采訪時(shí)表示，成功的電子政務(wù)建設(shè)必須實(shí)現(xiàn)政務(wù)信息資源整合和政府部門(mén)業(yè)務(wù)流程重構(gòu)的統(tǒng)一，重構(gòu)一個(gè)高效協(xié)調(diào)的嶄新政府工作流程，這是對(duì)傳統(tǒng)政府職能和治理結(jié)構(gòu)的一次革命。而在這個(gè)重構(gòu)過(guò)程中，安全互聯(lián)與服務(wù)品質(zhì)保證都是不可或缺的因素。

據(jù)了解，該區(qū)原有網(wǎng)絡(luò)存在著運(yùn)行不穩(wěn)定、網(wǎng)速慢、病毒泛濫、不安全等問(wèn)題。因此，區(qū)信息中心特意派人走訪了上海、北京等地區(qū)進(jìn)行考察，最后實(shí)施了以區(qū)為骨干、統(tǒng)一平臺(tái)、分布實(shí)施的信息網(wǎng)，真正實(shí)現(xiàn)電子信息化。

黃主任表示，在目前的政府網(wǎng)絡(luò)中，需要連接和管理區(qū)下屬所有的鄉(xiāng)、鎮(zhèn)、街的民政局、衛(wèi)生局、教育局、醫(yī)院等委、辦、局單位，要保證這些網(wǎng)點(diǎn)能夠安全地連接到區(qū)中心上來(lái)。據(jù)悉，這些網(wǎng)點(diǎn)中分布了許多應(yīng)用軟件，因此，要求安全連接需要能夠給應(yīng)用提供合理的響應(yīng)時(shí)間。

另外，在信息網(wǎng)中對(duì)多媒體應(yīng)用的支持也是一個(gè)重要的考慮因素。黃主任認(rèn)為，各個(gè)網(wǎng)點(diǎn)的多媒體應(yīng)用比較頻繁，安全連接需要對(duì)不同的數(shù)據(jù)采用不同的優(yōu)先級(jí)分別對(duì)待。同時(shí)，這種連接能夠有能力對(duì)實(shí)時(shí)數(shù)據(jù)流保留一定的帶寬，對(duì)傳輸延遲能夠保證在所要求的限度內(nèi)，即應(yīng)該在技術(shù)上提供QoS保證。

正是基于以上兩點(diǎn)的考慮，黃主任毅然決然地投入到MPLS VPN的懷抱。據(jù)項(xiàng)目集成商神州數(shù)碼網(wǎng)絡(luò)的工程師透露，整個(gè)系統(tǒng)支持多種MPLS VPN解決方案，在區(qū)政府的網(wǎng)絡(luò)平臺(tái)上為各個(gè)機(jī)關(guān)部門(mén)內(nèi)部提供安全連接服務(wù)，在核心防火墻上支持每VRF的NAT轉(zhuǎn)換功能，從而為區(qū)政府提供統(tǒng)一的Internet出口，并支持完整統(tǒng)一的對(duì)外信息平臺(tái)和對(duì)內(nèi)公共信息平臺(tái)應(yīng)用，保障電子政務(wù)公眾服務(wù)等關(guān)鍵業(yè)務(wù)順利平滑實(shí)施。

令黃主任放心的是，神州數(shù)碼網(wǎng)絡(luò)提供了完整的MPLS VPN配置管理方案，從而支持網(wǎng)管IP的MPLS VPN應(yīng)用，保證了網(wǎng)絡(luò)設(shè)備的安全。黃主任認(rèn)為，支持通過(guò)網(wǎng)管平臺(tái)對(duì)MPLS VPN業(yè)務(wù)的配置管理功能，可以簡(jiǎn)化區(qū)政府網(wǎng)絡(luò)的設(shè)備管理。而利用MPLS VPN技術(shù)，則進(jìn)一步實(shí)現(xiàn)了各部門(mén)網(wǎng)絡(luò)邏輯隔離，保證了各部門(mén)信息的安全性。區(qū)政府的網(wǎng)管人員只要通過(guò)靈活的策略配置，就可以實(shí)現(xiàn)VPN之間的可控訪問(wèn)，從而實(shí)現(xiàn)業(yè)務(wù)工作的協(xié)調(diào)。

最后，黃主任表示，通過(guò)建立MPLS VPN，他們基本實(shí)現(xiàn)了政府?dāng)?shù)據(jù)的QoS保證，而通過(guò)支持MPLS流量工程，做到了對(duì)視頻、語(yǔ)音、多媒體業(yè)務(wù)的服務(wù)控制。據(jù)悉，目前整套MPLS VPN已經(jīng)與內(nèi)部的3D-SMP系統(tǒng)進(jìn)行了整合，從而為區(qū)政府的信息化安全奠定了聯(lián)動(dòng)控制基礎(chǔ)。(ccw-cnw)