VPN唱响“芝麻开门”
中国北车集团是原中国铁路机车车辆工业总公司与铁道部脱钩后,重新组建的中央直属大型企业集团,下辖20余个大中型企业,分布在全国各地,总部设在北京。
集团曾经在“八五”期间,以电 话线为主体构建了一个广域网络,但由于线路速度低、可靠性差等原因,限制了其信息化应用的开展。“九五”一开始,北车集团谋求建立一个高速、安全、稳定、可靠、经济的广域网络。开始时,曾经考虑利用铁路部门专有的X.25网络,后由于技术不成熟,很快被否决了。随后,北车集团又将目光转向了中国电信点对点的DDN网络。但是一方面集团下属企业中,有些城市没有开通DDN服务;另外一方面,DDN专线高昂的租用费用,也非集团可以承受,方案就此搁浅。
VPN唱响“芝麻开门”
“九五”末期,一种利用Internet网络建立逻辑隧道(Tunnel),采用加密和认证技术来保证用户内部网络数据安全传输的技术—VPN(虚拟专网)逐渐成熟。在国外,许多大公司利用VPN构建了跨国的网络系统;在国内,VPN应用逐步展开。“十五”一开始,北车集团总部租用了2M光纤,其下属90%以上的企业也通过各种不同的宽带接入方式,连接了Internet网络。经过详细调研,北车集团确定了以Internet为载体、以VPN技术为核心的广域高速网络的方案,并于2002年8月完成了网络建设。
网络建成之后,整个北车集团信息化应用效果明显提高,各应用系统的运行更加安全、稳定。除了充分利用网上信息资源之外,集团也在不增加成本的情况下,利用Internet完成了集团内部大量信息的安全传输。此外,集团下属企业、驻外办事机构、出差工作人员以及业务合作伙伴,只需拥有本地ISP的上网权限,就可以访问企业内部资源,处理公司业务,这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说,其意义重大。
防火墙/VPN担当大任
北车集团虚拟专网是以总部为核心建立的一个星型VPN网络,20余个下属企业分别和集团总部进行VPN连接,每个下属企业可以通过VPN通道安全地和总部服务器进行数据的上传和下载。各下属企业之间也可以进行数据交互,但要通过总部进行VPN通道交换,因此总部可以控制各下属企业之间的数据访问。
目前,集团总部采用了100M光纤方式接入Internet,其它下属企业采用各自认为是经济实用的宽带方式(如微波、ADSL、DDN、光纤等)接入Internet。集团统一配置VPN网关,实现网关到网关的VPN高速互连通道,同时实现移动客户端到VPN网关的VPN连接,在建立VPN连接的同时,提供数据的加密和认证。
实现VPN有两种方式,一是将独立的防火墙和独立的VPN网关组合起来构建虚拟专网;二是将防火墙和VPN网关集成在一起构建虚拟专网。采用前一种方式构建专网,可以最大限度地保证已有的防火墙投资,只需配置VPN网关即可建立虚拟专网,但VPN网关的功能基本局限于IPSec数据包的处理和身份认证,没有很强的访问控制功能(状态包过滤、应用级过滤、防DoS攻击等等),同时防火墙无法对VPN的数据流量进行任何访问控制,造成系统安全的脆弱性,在日后虚拟专网的管理、系统扩展、性能上也会造成一系列问题。而采用防火墙/VPN集成的方案可以避免以上问题,它可以保证加密的数据流量在解密后,同样需要经过访问控制策略的检查,保护VPN网关免受入侵威胁。同时,集成防火墙功能的VPN网关,对于经过VPN的流量可进行更细致的访问控制,防火墙和VPN模块之间可以共享用户及组用户的授权信息,减少不必要的冗余。尤其是在大量VPN互连方案中,可以极大地简化配置与管理。北车集团最终选择了防火墙/VPN集成在一起的方案构建集团的虚拟专网。
技术护航保应用
经过对多种国内外产品的现场测试,北车集团最终选定了美国NetScreen的集防火墙/VPN于一体的产品,并选择了北京安泰成发科技公司作为供货商。NetScreen产品 拥有专有芯片和多总线体系结构,同时内嵌高速RISC cpu和专用软件。NetScreen全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器,使用状态检查的方法来实现动态的包过滤与链路层代理。同时,该防火墙集成了VPN功能,保证了数据在传输过程中的加密和解密。NetScreen产品支持IPSec标准,提供用户和信息的认证。另外,该产品允许用户在远程实现加密通信,并且这种VPN功能不影响性能。
集团总部是虚拟专网的核心,它负责和20余个下属企业进行VPN通信。因此集团决定在总部配置一台NetScreen 204设备。 NetScreen 204能提供1000个VPN通道,防火墙速度达200M,3DES数据加密处理速度为200M,并发的数据会话可达128000个。
在下属企业的网络中,根据其交换数据量选择配置NetScreen 204或NetScreen 25产品。其中,NetScreen 25提供1000个VPN通道的连接能力,防火墙速度达100M,3DES数据加密处理速度为20M,并发的数据会话可达4000个,可以满足目前下属企业的数据量要求。
由于下属企业联入Internet采用不同的方式,存在着静态或动态IP地址连接到Internet的两种情况。对于静态IP地址连接到Internet的企业,按照一般网关到网关的方式实现与总部静态的VPN连接,对于动态IP地址连接到Internet的企业,利用NetScreen产品在外网接口上提供PPPoE特性,与集团总部建立动态的VPN 通道,从而可以建立整个集团的高速虚拟专网。
在NetScreen产品配置中,可以把网络原有的Proxy服务器放在NetScreen防火墙的DMZ区,对外提供一个公有地址,对内用私有地址和防火墙内部的主机进行通信。 在保护内部网络的同时,内部主机利用防火墙通过私有的通道和总部的数据服务器通信,无论是上传还是下载,整个过程是经过高度加密的,利用3DES/MD5加密/认证算法,可以较高级别地保证交易数据的完整性、安全性和保密性。VPN的建立是和防火墙的系统策略相关的,访问Internet的数据不走VPN的通道,可以实现VPN连接和Internet访问的同时处理。在防火墙的系统配置中,网络用户的Internet访问通过地址转化NAT的方式进行,并且可以设定两种应用的不同带宽,保证VPN通道数据的带宽为最大,从而使访问Internet的数据流量完全不影响私网数据的传送。
对于出差与家庭用户可以通过在计算机上安装NetScreen Remote VPN软件,配置相应的VPN策略,用户只需拨通本地ISP,即可与集团总部实现VPN连接,访问集团总部网络资源。为了预防由于Internet网络出现故障影响集团虚拟专网的使用,集团在总部NetScreen 204提供的DMZ区配置了一台远程访问服务器,开通16部电话用于远程VPN通讯。
