葉 菁

（十堰日?qǐng)?bào)社網(wǎng)絡(luò)技術(shù)部，湖北 十堰 442000）

1 背景分析

經(jīng)過(guò)多年的信息化建設(shè)，目前報(bào)社的采編系統(tǒng)、廣告系統(tǒng)、發(fā)行系統(tǒng)、數(shù)字報(bào)系統(tǒng)等信息化系統(tǒng)已初具規(guī)模。但隨著報(bào)社事業(yè)的不斷發(fā)展，所屬各部門(mén)的業(yè)務(wù)量越來(lái)越大，記者站、發(fā)行站增多，傳統(tǒng)的辦公和采編模式越來(lái)越難以滿足要求。具體說(shuō)來(lái)，以下幾個(gè)方面問(wèn)題迫切需要解決:

（1）各縣記者站的各項(xiàng)業(yè)務(wù)要求能實(shí)時(shí)地與總部同步，總部對(duì)記者站采編稿件的及時(shí)性要求越來(lái)越強(qiáng)，同時(shí)所需圖片的數(shù)量也越來(lái)越大，通過(guò)原來(lái)的E-mail的方式向總部傳輸稿件，在穩(wěn)定性、安全性和數(shù)據(jù)量上都已經(jīng)不能滿足實(shí)際應(yīng)用的要求。

（2）在征訂期間，要求各發(fā)行站的數(shù)據(jù)能實(shí)時(shí)地上報(bào)中心數(shù)據(jù)庫(kù)，同時(shí)各站的數(shù)據(jù)也能交互。傳統(tǒng)的做法是每天各站點(diǎn)上下午下班前才能把數(shù)據(jù)上傳到總部，而總部也只能是定時(shí)向各點(diǎn)分發(fā)文件或者數(shù)據(jù)通報(bào)，這樣就使業(yè)務(wù)的發(fā)展受到了局限。

（3）報(bào)社有兩個(gè)印刷點(diǎn)，采用租用網(wǎng)絡(luò)硬盤(pán)方式傳輸，穩(wěn)定性、安全性難以保證。

（4）各記者站、發(fā)行站、移動(dòng)辦公人員如何有效地使用OA系統(tǒng)，及時(shí)得到報(bào)社動(dòng)態(tài)的信息，提高辦公效率問(wèn)題已顯突出。

要解決上述問(wèn)題，關(guān)鍵在于能否實(shí)時(shí)安全地和總部進(jìn)行大批量的數(shù)據(jù)交換，虛擬專(zhuān)用網(wǎng)VPN技術(shù)為解決這些問(wèn)題帶來(lái)了新的方法。應(yīng)用 VPN技術(shù)可以在最大限度保證安全的前提下，‘無(wú)限’延伸報(bào)社新聞采編綜合辦公網(wǎng)絡(luò)，記者可以在任何地方通過(guò)Internet遠(yuǎn)程訪問(wèn)報(bào)社內(nèi)部的網(wǎng)絡(luò)完成采編業(yè)務(wù)，管理人員也可以在任何地方通過(guò)互聯(lián)網(wǎng)連接到報(bào)社中心網(wǎng)絡(luò)來(lái)完成管理業(yè)務(wù)。

2 VPN技術(shù)綜述

（1）簡(jiǎn)介：VPN（Virtual Private Network）即虛擬專(zhuān)用網(wǎng)絡(luò)，指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商）在公用網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸，在公用網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的專(zhuān)用網(wǎng)絡(luò)。在隧道的發(fā)起端（即服務(wù)端），用戶的私有數(shù)據(jù)經(jīng)過(guò)封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地到達(dá)用戶端。

VPN可以提供多樣化的數(shù)據(jù)、音頻、視頻等服務(wù)以及快速、安全的網(wǎng)絡(luò)環(huán)境，是企業(yè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的延伸。該技術(shù)通過(guò)隧道加密技術(shù)達(dá)到類(lèi)似私有網(wǎng)絡(luò)的安全數(shù)據(jù)傳輸功能，具有接入方式靈活、可擴(kuò)充性好、安全性高、抗干擾性強(qiáng)、費(fèi)用低等特點(diǎn)。它能夠提供Internet遠(yuǎn)程訪問(wèn)，通過(guò)安全的數(shù)據(jù)通道將企業(yè)分支機(jī)構(gòu)、遠(yuǎn)程用戶、現(xiàn)場(chǎng)服務(wù)人員等跟企業(yè)的局域網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的企業(yè)網(wǎng)，此外它還提供了對(duì)移動(dòng)用戶和漫游用戶的支持，使網(wǎng)絡(luò)時(shí)代的移動(dòng)辦公成為現(xiàn)實(shí)。

VPN可以幫助遠(yuǎn)程用戶同企址的內(nèi)部網(wǎng)建立可靠的安全連接，保證數(shù)據(jù)的安全傳輸，通過(guò)將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，大幅度減少了企業(yè)、分支機(jī)構(gòu)、供應(yīng)商和客戶花在信息傳遞環(huán)節(jié)的時(shí)間，降低企業(yè)局域網(wǎng)和Internet安全對(duì)接的成本。VPN的應(yīng)用建立在一個(gè)全開(kāi)放的Internet環(huán)境之中，這樣就大大簡(jiǎn)化了網(wǎng)絡(luò)的設(shè)計(jì)和管理，滿足了不斷增長(zhǎng)的移動(dòng)用戶和Internet用戶的接入，以實(shí)現(xiàn)安全快捷的網(wǎng)絡(luò)連接。

（2）基于Internet的VPN網(wǎng)絡(luò)架構(gòu)及安全性分析。VPN技術(shù)類(lèi)型有很多種，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，可以利用Internet網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)VPN服務(wù)器架構(gòu)以及客戶端連接應(yīng)用，基于Internet環(huán)境的VPN技術(shù)具有成本低、安全性好、接入方便等特點(diǎn)，能夠很好的滿足企業(yè)對(duì)VPN的常規(guī)需求。

Internet環(huán)境下的VPN網(wǎng)絡(luò)架構(gòu)：Internet環(huán)境下的VPN網(wǎng)絡(luò)包括VPN服務(wù)器、VPN客戶端、VPN連接、隧道等幾個(gè)重要環(huán)節(jié)。在VPN服務(wù)器端，用戶的私有數(shù)據(jù)經(jīng)過(guò)隧道協(xié)議和數(shù)據(jù)加密之后在Internet上傳輸，通過(guò)虛擬隧道到達(dá)接收端，接收到的數(shù)據(jù)經(jīng)過(guò)拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據(jù)交互。

VPN技術(shù)安全性分析：VPN技術(shù)主要由三個(gè)部分組成，即隧道技術(shù)、數(shù)據(jù)加密和用戶認(rèn)證。隧道技術(shù)定義數(shù)據(jù)的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據(jù)加密保證敏感數(shù)據(jù)不會(huì)被盜??；用戶認(rèn)證則保證未獲認(rèn)證的用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)資源。VPN的實(shí)現(xiàn)必須保證重要數(shù)據(jù)完整、安全地在隧道中進(jìn)行傳輸，因此安全問(wèn)題是VPN技術(shù)的核心問(wèn)題，目前，VPN的安全保證主要是通過(guò)防火墻和路由器，配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn)的，以此確保遠(yuǎn)程客戶端能夠安全地訪問(wèn)VPN服務(wù)器。

3 VPN技術(shù)的應(yīng)用

（1）原則要求。根據(jù)報(bào)業(yè)行業(yè)的特點(diǎn)，對(duì)穩(wěn)定性、安全性和拓展性的指標(biāo)要求就更加具體，以符合行業(yè)特殊的應(yīng)用。①穩(wěn)定性原則:帶寬的要求符合業(yè)務(wù)的需求，性能指標(biāo)的要求。如數(shù)據(jù)吞吐量、并發(fā)進(jìn)程VPN通道等。②安全性原則:要求集成商提供安全方面的解決方案，尤其是兩邊接入端(記者站和總部中心端)，保證異地端接入安全和總部中心能對(duì)異地接入網(wǎng)和個(gè)人電腦進(jìn)行動(dòng)態(tài)檢測(cè)，避免受到異地不安全數(shù)據(jù)的侵害。③拓展性原則:隨著報(bào)社業(yè)務(wù)的不斷發(fā)展，要求數(shù)據(jù)帶寬增加，或者現(xiàn)有業(yè)務(wù)升級(jí)。在這種情況下，提出的方案要有很強(qiáng)的拓展性。

（2）設(shè)計(jì)方案：①對(duì)于數(shù)據(jù)量較大的分支機(jī)構(gòu)適合采用IPSec VPN接入，對(duì)于移動(dòng)辦公人員適合通過(guò)SSL VPN實(shí)現(xiàn)安全接入，因此合理的應(yīng)用方式是IPSec和SSL共同使用。②各發(fā)行站和記者站，用一條至少2MB帶寬的線路設(shè)計(jì)。③客戶端和中心接入端要有可靠的安全保證，在流量管理控制上要有靈活的配置手段。④均衡和冗余要求穩(wěn)定可靠，切換自如;客戶端軟件和硬件也要考慮到對(duì)ISDN,PSTN等鏈路的支持。⑤具有靈活的拓展性來(lái)支持更多新興應(yīng)用。許多專(zhuān)用網(wǎng)對(duì)許多新興應(yīng)用準(zhǔn)備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。隨著以后的業(yè)務(wù)發(fā)展，我們要求VPN可以向上支持各種高級(jí)的應(yīng)用，如IP語(yǔ)音，IP傳真，還有各種協(xié)議，如IPv6,MPLS,SNMPv3等。⑥作為VPN接入方案的重要內(nèi)容——安全方面，我們給以充分的考慮。我們?cè)诜桨冈O(shè)計(jì)時(shí)做到在各異地支網(wǎng)和個(gè)人的電腦上都要有高效的防火墻功能，對(duì)交互的數(shù)據(jù)在加密傳輸之前就能動(dòng)態(tài)地檢測(cè)和分析，把不安全的數(shù)據(jù)進(jìn)行過(guò)濾，并可以對(duì)病毒進(jìn)行清理。

（3）設(shè)備選型。選擇國(guó)內(nèi)專(zhuān)業(yè)VPN廠商深信服科技推出的IPSec/SSL一體化VPN平臺(tái)Sinfor M5100-S。該產(chǎn)品同時(shí)集成了IPSec和SSL VPN功能，利用兩種技術(shù)的集成很好解決了報(bào)社應(yīng)用的需求，同時(shí)一體化的設(shè)計(jì)能夠大幅度降低整個(gè)VPN產(chǎn)品的投入，滿足低成本、高效率IT建設(shè)的需求。①分支機(jī)構(gòu)訪問(wèn)總部 ，既站到站（LAN TO LAN）形式，采用IPSec VPN接入。報(bào)社總部采用一臺(tái)華為深信服Sinfor M5100-S IPSEC/SSL二合一VPN/防火墻網(wǎng)關(guān)作為中心端，分支機(jī)構(gòu)選用深信服P5100 IPSEC VPN/防火墻網(wǎng)關(guān) ，呈網(wǎng)型結(jié)構(gòu)，通過(guò)認(rèn)證密碼統(tǒng)一管理，形成一個(gè)集中管理的虛擬專(zhuān)用網(wǎng)絡(luò)。VPN傳輸使用IPSEC協(xié)議。②移動(dòng)辦公人員訪問(wèn)總部，點(diǎn)對(duì)網(wǎng)（End To Lan）。移動(dòng)辦公人員通過(guò)任意方式從Internet，經(jīng)過(guò)采用USB KEY加帳號(hào)密碼的雙因子認(rèn)證方式接入總部新聞采編綜合辦公網(wǎng)絡(luò) 。SINFOR M5100－S中SSL VPN采用SSL協(xié)議加密建立安全的專(zhuān)用加密通道，除了使用1024位的非對(duì)稱(chēng)密鑰加強(qiáng)安全性，還使用DKEY(USB的身份認(rèn)證設(shè)備)進(jìn)行雙因素身份認(rèn)證，并使用PIN碼保護(hù)DKEY的安全。移動(dòng)用戶訪問(wèn)權(quán)限由網(wǎng)管員預(yù)先錄入到DKEY中。

4 效果

（1）實(shí)現(xiàn)報(bào)社各分支機(jī)構(gòu)聯(lián)入新聞采編綜合辦公網(wǎng)絡(luò)，能夠及時(shí)交換數(shù)據(jù)，增強(qiáng)了數(shù)據(jù)交換的及時(shí)性、保密性、安全性，各項(xiàng)目業(yè)務(wù)的信息化管理程度得到很大的提高。

（2）提高了效率，降低了運(yùn)營(yíng)成本。

（3）對(duì)個(gè)分支機(jī)構(gòu)的網(wǎng)絡(luò)平臺(tái)進(jìn)行了整合，更易于網(wǎng)絡(luò)系統(tǒng)的維護(hù)和管理。

[1]錢(qián)雁斌，陳性元，杜學(xué)繪,等.VPN隧道交換體系結(jié)構(gòu)研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，28（14）：3334-3336.

[2]羅愛(ài)玲，馬范援.虛擬專(zhuān)網(wǎng)安全性的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2004，（8）.