他们专门盗取某些公司的资料或窃取篡改极具核心价值的商业计划。他们个个武艺高超,在Internet上打家劫舍、为所欲为……人们称之为商业黑客。
为了你公司的数据安全,你需要“数据镖局——VPN”为你保驾。
一、能给我们的工作带来哪些改变
小王是北京一家公司的信息部经理,负责公司内信息系统管理工作,原本一切好好的小王现在却碰到一个大问题,正在犯愁呢。
随着公司的发展壮大,老板先后在上海和广州开办了分公司来进一步发展业务,但各地分公司和总部进行信息沟通时,不能访问公司总部的信息资源的情况时有发生。再则数据万一被黑客截阻、盗走了怎么办?
一些大型跨国公司解决这个问题的方法,就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题,但是费用昂贵,对于小王这样一家小公司来说是无法负担的,能有效解决这个问题的办法当然有——VPN技术。
VPN技术可以利用现有的公用网络(例如Internet)在不同的地域间建立一条虚拟的网络隧道。不同地域的用户使用起来感觉就像在同一个局域网内,而且在这条隧道上传输的数据都可以做高级的加密处理,既方便又安全。
VPN可以被应用到多种场合,像现在很多超市都开始连锁经营,分店遍布全国各大城市,如果使用了VPN,各个分店可以随时和总店进行信息沟通。除了超市外,还有很多连锁经营的药店,它们也同样可以使用VPN,甚至连一些电信运营商的营业点都在使用VPN进行通信,可见VPN的用途有多么广。
二、独树一帜的VPN
VPN的工作原理如图1所示。在不同的设备之间使用VPN技术时,必须有一个统一的标准才能实现互相“理解”,就好像人和人之间沟通时需要有相同的语言一样,所以针对此点也就产生了众多的VPN协议。目前国际上比较流行的VPN协议主要有IPSec、PPTP、L2TP、MPLS、SSL等,这些不同的协议各有它独特的优势和缺陷。国际上众多设备厂商在生产自己的VPN设备时,通常会采用其中一到两种协议来作为该设备所支持的标准,目前使用的最多的当数IPSec和PPTP两种协议。
三、搭建VPN系统
如果用户要组建自己的VPN系统,通常有两种方法可以选择:软件方式或硬件方式。目前较为流行的方式是使用专门的VPN硬件设备,因为使用硬件设备比软件能提供更好的性能,而且现在硬件设备的价格也不贵。但建议最好将组建工作交给厂家负责,因为个人如果没有一定的技术经验往往会架设失败。
小王最终选择了中怡数宽DWnet的SAFEcon50。并请厂商技术人员进行了硬件安装。图2即为小王事例的VPN技术应用拓扑图,图中的虚线部分代表他公司通过Internet建立的VPN隧道。
SAFEcon50属于同类产品中非常典型的一款VPN设备。它集成了路由器和具有VPN功能的防火墙设备,此外SAFEcon50还内置了VPN服务器,它可以和远端网络建立多达70条的IPSec VPN隧道,而且同时可支持10个远端用户使用PPTP VPN协议拨入本地网络。考虑到兼容性等问题,小王决定在分公司等分支机构都使用中怡数宽品牌的VPN设备。
四、VPN典型应用方案
案例一:各分公司之间局域网实现互连
这里仍然以文章开头的案例为例,来详细描述如何在小王所在的总公司与分公司之间建立VPN网络。小王所在的公司最终选用了中怡数宽的VPN防火墙产品SAFEcon50。
①首先小王分别给北京和上海分公司采购了这款产品。由于两个地方的公司目前都已经能访问Internet,所以不用再申请宽带接入线路。先用SAFEcon50替换下两个网络中原有的路由器或其它的上网设备,通常这类设备都会被安装在接入设备(例如:Modem、光纤转发器等)和交换机之间,SAFEcon50也同样,然后连接好所有的网络线,硬件连接也就全部完成。
②下面要做的就是SAFEcon50的设置工作。因为SAFEcon50自带了DHCP服务器,用户的计算机可以自动获取IP地址,从而能省去不少的麻烦。SAFEcon50的管理是基于Web界面的管理方式,所以小王就可以直接使用操作系统自带的浏览器登录到路由器上。
③点击界面左上方的“Setup Wizard”按钮,进行和Internet的连接设置。SAFEcon50会提供一个建立和Internet连接的安装向导,用户只需要按照向导的提示一步步操作即可完成。
④现在要进行的是最关键的部分——VPN参数设置。因为小王要实现两个异地之间的网络互连,所以要使用IPSec VPN协议,这个协议最适合建立多个不同网络之间的互连。图3即为SAFEcon50的IPSec VPN参数设置界面,小王根据自己网络的具体情况进行了参数填写(由于参数配置繁多,这里不一一列举,具体设置方法可参看SAFEcon50的安装手册)。
当做好上述全部工作后,小王公司的总部终于能和上海分公司连通了,员工可以像在同一个局域网内一样互相访问数据。而且整个安装和配置过程仅花掉小王几个小时而已。
