兩大用戶的VPN部署經(jīng)驗

申請免費試用、咨詢電話：400-8352-114

提起VPN，普通用戶想到的就是IPSec。事實上，隨著SSL和MPLS設備的降價，兩種新的VPN已經(jīng)開始走進大型企業(yè)用戶的視野。

SSL的安全動力

之所以把SSL擺在第一位，是因為最近上海移動通信公司部署了當前業(yè)內(nèi)規(guī)模最大、應用最復雜的SSL VPN系統(tǒng)。

無獨有偶，上海移動SSL VPN項目上線當天，恰好是本報安全巡展上海站的活動日。據(jù)上海移動SSL VPN項目負責人王鵬透露，目前公司已經(jīng)擁有941萬戶移動用戶，作為上海最大的移動運營商，上海移動1860客戶服務熱線有600多名客戶服務人員，客服熱線辦公室內(nèi)的電腦直接連接在內(nèi)部辦公網(wǎng)絡中，為保證系統(tǒng)的安全，辦公室網(wǎng)絡不能訪問外部網(wǎng)絡。

但是，由于一些最新的政策和收費信息都是直接發(fā)布在上海移動公司和總公司網(wǎng)站，同時客戶咨詢的問題有很多也是網(wǎng)上服務系統(tǒng)的問題。因此，客戶服務人員在接聽電話的同時，還需要訪問幾個固定的外部網(wǎng)站。

“在考慮VPN之前，我們曾有過兩種技術方案：第一，使用固定電腦訪問外網(wǎng)。但這樣做不僅會浪費大量的服務時間，而且也不利于客戶服務人員與客戶及時交流和溝通，大大降低了服務質(zhì)量和水平；第二，通過遠程桌面的方式訪問互聯(lián)網(wǎng)。這樣做，服務器的負載很大，需要多臺服務器才能實現(xiàn)，投資成本過高?！蓖貔i如是說。

正是由于上述方案的不足，促使王鵬考慮引入SSL VPN技術?！癝SL VPN的核心是利用在Web上廣泛使用的SSL技術在應用層構建針對應用程序的VPN通道，部署成本比兩種方案更低。而且SSL VPN無須在客戶端安裝和設置任何軟件，只要會使用瀏覽器上網(wǎng)瀏覽就可以毫無障礙地使用SSL VPN了?！蓖貔i如是說。

截止到記者發(fā)稿時，王鵬已經(jīng)完成了對VPN系統(tǒng)的測試與部署。據(jù)該項目實施方SafeNet公司工程師介紹，利用相應的iGate SSL VPN解決方案，上海移動可以在網(wǎng)絡傳輸中使用標準的HTTPS協(xié)議，能夠提供安全的網(wǎng)絡隧道，保證數(shù)據(jù)不會被截獲和破解。同時，SSL VPN也不會受NAT和穿越防火墻問題的困擾，任何能連接Internet的方式都可以構建SSL VPN通道。另外，由于SSL VPN還可以起到代理服務器的作用，所有客戶端的訪問都是由VPN設備轉發(fā)，而不能直接訪問應用服務器，從而使服務器不易受到攻擊。

據(jù)王鵬透露，上海移動把iGate設備部署在企業(yè)防火墻之后，所有的客戶端就可以通過它來訪問外部網(wǎng)站，不用擔心由于不能訪問互聯(lián)網(wǎng)而無法答復客戶的問題了。另外，SSL VPN可以很好地限制用戶只能訪問幾個特定站點，通過相應的配置，上海移動的客戶服務人員只需要訪問與工作有關的一些站點就可以解決客戶的問題。

王鵬透露說，目前他對于SSL VPN的安全性還是相當滿意的。以身份驗證為例，當客戶端進行驗證的時候，大部分網(wǎng)絡應用程序會把標明用戶身份的唯一值或“會話標識符”存儲在瀏覽器端的某些應用程序中。然而，黑客可以通過盜取會話標識符來假冒最終用戶的身份，從而留下安全隱患。如果有25％的密碼以明文的方式傳播，那么會有三分之一的會話標識符會受到黑客的攻擊。因此，一個完善的安全應用程序應該使用標準的加密協(xié)議，如SSL，來確保網(wǎng)絡傳輸?shù)耐暾院桶踩?。SSL會在遠端用戶瀏覽器和Web服務器之間建立安全的通信。

王鵬進一步解釋說，在客戶端與應用服務器之間全程啟用SSL協(xié)議，保證了辦公系統(tǒng)中重要數(shù)據(jù)的完整性和安全性。因此，上海移動的客服人員在利用SSL實現(xiàn)遠程訪問的時候，不僅不會由于對外網(wǎng)的訪問產(chǎn)生安全隱患，而且，還可以有效地保證客戶數(shù)據(jù)和信息的安全。

MPLS的出色應用

一直以來，MPLS技術在具體應用中都是雷聲大，雨點小，這與其技術本身的部署、配置難度有一定關系。不過，隨著MPLS實用化進程的延續(xù)，一些基于MPLS VPN的建設思路卻帶給人眼前一亮的感覺。

在這方面，政府成了新技術應用的帶頭人。近期，東北某市區(qū)政府為了實現(xiàn)包括鄉(xiāng)、鎮(zhèn)、局在內(nèi)的全區(qū)電子信息化，提高政府信息網(wǎng)的安全性，著重開展了MPLS VPN的建設工作。

該區(qū)信息化辦公室負責人黃主任在接受采訪時表示，成功的電子政務建設必須實現(xiàn)政務信息資源整合和政府部門業(yè)務流程重構的統(tǒng)一，重構一個高效協(xié)調(diào)的嶄新政府工作流程，這是對傳統(tǒng)政府職能和治理結構的一次革命。而在這個重構過程中，安全互聯(lián)與服務品質(zhì)保證都是不可或缺的因素。

據(jù)了解，該區(qū)原有網(wǎng)絡存在著運行不穩(wěn)定、網(wǎng)速慢、病毒泛濫、不安全等問題。因此，區(qū)信息中心特意派人走訪了上海、北京等地區(qū)進行考察，最后實施了以區(qū)為骨干、統(tǒng)一平臺、分布實施的信息網(wǎng)，真正實現(xiàn)電子信息化。

黃主任表示，在目前的政府網(wǎng)絡中，需要連接和管理區(qū)下屬所有的鄉(xiāng)、鎮(zhèn)、街的民政局、衛(wèi)生局、教育局、醫(yī)院等委、辦、局單位，要保證這些網(wǎng)點能夠安全地連接到區(qū)中心上來。據(jù)悉，這些網(wǎng)點中分布了許多應用軟件，因此，要求安全連接需要能夠給應用提供合理的響應時間。

另外，在信息網(wǎng)中對多媒體應用的支持也是一個重要的考慮因素。黃主任認為，各個網(wǎng)點的多媒體應用比較頻繁，安全連接需要對不同的數(shù)據(jù)采用不同的優(yōu)先級分別對待。同時，這種連接能夠有能力對實時數(shù)據(jù)流保留一定的帶寬，對傳輸延遲能夠保證在所要求的限度內(nèi)，即應該在技術上提供QoS保證。

正是基于以上兩點的考慮，黃主任毅然決然地投入到MPLS VPN的懷抱。據(jù)項目集成商神州數(shù)碼網(wǎng)絡的工程師透露，整個系統(tǒng)支持多種MPLS VPN解決方案，在區(qū)政府的網(wǎng)絡平臺上為各個機關部門內(nèi)部提供安全連接服務，在核心防火墻上支持每VRF的NAT轉換功能，從而為區(qū)政府提供統(tǒng)一的Internet出口，并支持完整統(tǒng)一的對外信息平臺和對內(nèi)公共信息平臺應用，保障電子政務公眾服務等關鍵業(yè)務順利平滑實施。

令黃主任放心的是，神州數(shù)碼網(wǎng)絡提供了完整的MPLS VPN配置管理方案，從而支持網(wǎng)管IP的MPLS VPN應用，保證了網(wǎng)絡設備的安全。黃主任認為，支持通過網(wǎng)管平臺對MPLS VPN業(yè)務的配置管理功能，可以簡化區(qū)政府網(wǎng)絡的設備管理。而利用MPLS VPN技術，則進一步實現(xiàn)了各部門網(wǎng)絡邏輯隔離，保證了各部門信息的安全性。區(qū)政府的網(wǎng)管人員只要通過靈活的策略配置，就可以實現(xiàn)VPN之間的可控訪問，從而實現(xiàn)業(yè)務工作的協(xié)調(diào)。

最后，黃主任表示，通過建立MPLS VPN，他們基本實現(xiàn)了政府數(shù)據(jù)的QoS保證，而通過支持MPLS流量工程，做到了對視頻、語音、多媒體業(yè)務的服務控制。據(jù)悉，目前整套MPLS VPN已經(jīng)與內(nèi)部的3D-SMP系統(tǒng)進行了整合，從而為區(qū)政府的信息化安全奠定了聯(lián)動控制基礎。(ccw-cnw)