VPN 在企业网络的运作模式
VPN在企业网络系统下的运作模式,依其用途可以区分为三大类:
1.总公司跟分公司内部网络联机(Site to Site VPN )。
2.远程存取(Point to Site VPN)。
3.公司跟外部网络建立VPN。
以某个企业在台湾台北设有总公司,同时建置其数据库及网际网络服务,在台湾台中、高雄有服务据点,中国大陆苏州、广东东筦有制造工厂,同时有营业及服务人员使用笔记型计算机散布在世界各地服务客户,它的网络架构图如下:
VPN信道建立目标:
1、台湾台中、高雄分公司同时会有2部计算机以上同时存取公司进销存系统。
2、中国大陆苏州、广东东筦的生管系统可以跟总公司数据库主机资料同步。
3、在外业务或服务人员,随时可以进入生管系统查询客户订单的生产流程。
4、所有人员都可以使用公司的电子邮件服务器。
5、总公司使用两条ADSL 双向512Kbps,固定IP地址。
6、分公司及工厂使用计时制的ADSL 调制解调器。
7、在外面的营业及服务人员使用任何可以上网的工具,如Modem、ISDN、ADSL等。
总公司跟分公司内部网络联机(Site to Site VPN )
不论是分公司或工厂,每个地方同一时间内都有超过2台以上的计算机会对总公司内部网络的数据库主机做存取动作,所以采用Site to Site VPN 的建置方式,所谓Site to Site VPN 就是利用防火墙内建的VPN功能或专属的VPN设备,透过网际网络建立信道,让两端的计算机都可以互相通讯,例如,总公司的IP网段为 192.168.1.0/24,分公司的IP网段为192.168.2.0/24,一但建立信道,总公司跟分公司的计算机好象透过两个路由器及长途数据专线连接起来,分公司的计算机直接存取总公司的网络资源,而不需要执行任何外挂的软件。
在这个范例中,总公司采用ShareTech公司所生产的BM-188A产品,当作总公司的防火墙及VPN设备,ShareTech BM-188A除了具有上述两种功能外,又有频宽管理及2 WAN 线路负载平衡的能力,因为总公司负责所有分公司数据链路的重责大任,所以设备必须能整合两个不同线路供货商的网际网络服务,确保所有服务不中断。分公司及工厂则依其使用者多寡,采用ShareTech所生产的FW-3180A或FW -2190防火墙及VPN设备。整体网络建构示意图如下:
在这个范例中,建立4条VPN信道,将5个地方的网络连接在一起,不论是在哪个地方,都可以存取总公司的数据库主机,而不管网际网络上的实体IP变化。使用的技术是IPSec,IPSec是由IETF所提出的IP层通讯安全保密架构,几乎所有市面上的防火墙、路由器都有支持它,所以应用面相当广。
远程存取(Point to Site VPN)
网际网络快速发展及笔记型计算机取代桌上型计算机的趋势,让行动办公室不再是高不可攀的方式,企业为数众多在外打拼的人员,如何让他们跟公司的互动更加密切,更快速地了解生产进度、销货情形。除了传统的电子邮件及实时通讯软件外,是否还有其它方法,让这一些人能够实时地、安全地进入公司的ERP系统、进销存系统操作企业机密的资料。一般的做法是将这些资料以WEB的方式或使用特定Port号直接进入系统中操作,但是这样等于撤守防火墙的防线,开大门请有心人士直接攻击主机,如何在安全、保密、方便及预算中取得非常好的的平衡点,Point to Site 形式的VPN联机是一个最好的答案。
以上面的企业组织为例,除了既有的ShareTech BM-188A防火墙+VPN设备外,再使用Microsoft的 PPTP Client端程序,所以不需要添购额外的软件及硬件,建议系统架构图如下:
在外人员取得IP地址是总公司内部的一部份网段,所以PPTP建立的VPN就好象透过网际网络拉了一条无线长的网络线给笔记型计算机,当然可以使用公司内部的资源,又因为所有资料在网际网络上传递都有加密,所以安全性获得确保。
公司跟外部网络建立VPN
不同的企业之间如何利用网际网络降低沟通成本及人事操作,网络连接是最好的方式,但是不同企业间建立的VPN信道并不像上面两种联机方式那么简单,因为一但建立两端的VPN联机,所有两端的计算机、主机都会畅通无阻,没有任何管制,这对属于企业内部编制人员而言,不会有太大困扰,但是对于不同公司之间,对于资料的安全性就要详加考虑,当然建立VPN信道的技术及方法并没有改变。以Site to Site技术建立的VPN 信道为例,将原本建立到内部网络的IPSec VPN转到对非军事区去,透过防火墙管制非军事区的IP到内部网络行为就可以获得初步的管理效果,如果能在非军事区建立两层的防火墙,对于这样的运用会更安全。
