VPN唱响“芝麻开门”

    中国北车集团是原中国铁路机车车辆工业总公司与铁道部脱钩后，重新组建的中央直属大型企业集团，下辖20余个大中型企业，分布在全国各地，总部设在北京。

集团曾经在“八五”期间，以电 话线为主体构建了一个广域网络，但由于线路速度低、可靠性差等原因，限制了其信息化应用的开展。“九五”一开始，北车集团谋求建立一个高速、安全、稳定、可靠、经济的广域网络。开始时，曾经考虑利用铁路部门专有的X.25网络，后由于技术不成熟，很快被否决了。随后，北车集团又将目光转向了中国电信点对点的DDN网络。但是一方面集团下属企业中，有些城市没有开通DDN服务；另外一方面，DDN专线高昂的租用费用，也非集团可以承受，方案就此搁浅。

VPN唱响“芝麻开门”

    “九五”末期，一种利用Internet网络建立逻辑隧道（Tunnel），采用加密和认证技术来保证用户内部网络数据安全传输的技术—VPN（虚拟专网）逐渐成熟。在国外，许多大公司利用VPN构建了跨国的网络系统；在国内，VPN应用逐步展开。“十五”一开始，北车集团总部租用了2M光纤，其下属90%以上的企业也通过各种不同的宽带接入方式，连接了Internet网络。经过详细调研，北车集团确定了以Internet为载体、以VPN技术为核心的广域高速网络的方案，并于2002年8月完成了网络建设。

    网络建成之后，整个北车集团信息化应用效果明显提高，各应用系统的运行更加安全、稳定。除了充分利用网上信息资源之外，集团也在不增加成本的情况下，利用Internet完成了集团内部大量信息的安全传输。此外，集团下属企业、驻外办事机构、出差工作人员以及业务合作伙伴，只需拥有本地ISP的上网权限，就可以访问企业内部资源，处理公司业务，这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说，其意义重大。

防火墙/VPN担当大任

    北车集团虚拟专网是以总部为核心建立的一个星型VPN网络，20余个下属企业分别和集团总部进行VPN连接，每个下属企业可以通过VPN通道安全地和总部服务器进行数据的上传和下载。各下属企业之间也可以进行数据交互，但要通过总部进行VPN通道交换，因此总部可以控制各下属企业之间的数据访问。

    目前，集团总部采用了100M光纤方式接入Internet，其它下属企业采用各自认为是经济实用的宽带方式（如微波、ADSL、DDN、光纤等）接入Internet。集团统一配置VPN网关，实现网关到网关的VPN高速互连通道，同时实现移动客户端到VPN网关的VPN连接，在建立VPN连接的同时，提供数据的加密和认证。

    实现VPN有两种方式，一是将独立的防火墙和独立的VPN网关组合起来构建虚拟专网；二是将防火墙和VPN网关集成在一起构建虚拟专网。采用前一种方式构建专网，可以最大限度地保证已有的防火墙投资，只需配置VPN网关即可建立虚拟专网，但VPN网关的功能基本局限于IPSec数据包的处理和身份认证，没有很强的访问控制功能（状态包过滤、应用级过滤、防DoS攻击等等），同时防火墙无法对VPN的数据流量进行任何访问控制，造成系统安全的脆弱性，在日后虚拟专网的管理、系统扩展、性能上也会造成一系列问题。而采用防火墙/VPN集成的方案可以避免以上问题，它可以保证加密的数据流量在解密后，同样需要经过访问控制策略的检查，保护VPN网关免受入侵威胁。同时，集成防火墙功能的VPN网关，对于经过VPN的流量可进行更细致的访问控制，防火墙和VPN模块之间可以共享用户及组用户的授权信息，减少不必要的冗余。尤其是在大量VPN互连方案中，可以极大地简化配置与管理。北车集团最终选择了防火墙/VPN集成在一起的方案构建集团的虚拟专网。