兩大用戶的VPN部署經驗

申請免費試用、咨詢電話：400-8352-114

提起VPN，普通用戶想到的就是IPSec。事實上，隨著SSL和MPLS設備的降價，兩種新的VPN已經開始走進大型企業(yè)用戶的視野。

SSL的安全動力

之所以把SSL擺在第一位，是因為最近上海移動通信公司部署了當前業(yè)內規(guī)模最大、應用最復雜的SSL VPN系統。

無獨有偶，上海移動SSL VPN項目上線當天，恰好是本報安全巡展上海站的活動日。據上海移動SSL VPN項目負責人王鵬透露，目前公司已經擁有941萬戶移動用戶，作為上海最大的移動運營商，上海移動1860客戶服務熱線有600多名客戶服務人員，客服熱線辦公室內的電腦直接連接在內部辦公網絡中，為保證系統的安全，辦公室網絡不能訪問外部網絡。

但是，由于一些最新的政策和收費信息都是直接發(fā)布在上海移動公司和總公司網站，同時客戶咨詢的問題有很多也是網上服務系統的問題。因此，客戶服務人員在接聽電話的同時，還需要訪問幾個固定的外部網站。

“在考慮VPN之前，我們曾有過兩種技術方案：第一，使用固定電腦訪問外網。但這樣做不僅會浪費大量的服務時間，而且也不利于客戶服務人員與客戶及時交流和溝通，大大降低了服務質量和水平；第二，通過遠程桌面的方式訪問互聯網。這樣做，服務器的負載很大，需要多臺服務器才能實現，投資成本過高?！蓖貔i如是說。

正是由于上述方案的不足，促使王鵬考慮引入SSL VPN技術?！癝SL VPN的核心是利用在Web上廣泛使用的SSL技術在應用層構建針對應用程序的VPN通道，部署成本比兩種方案更低。而且SSL VPN無須在客戶端安裝和設置任何軟件，只要會使用瀏覽器上網瀏覽就可以毫無障礙地使用SSL VPN了。”王鵬如是說。

截止到記者發(fā)稿時，王鵬已經完成了對VPN系統的測試與部署。據該項目實施方SafeNet公司工程師介紹，利用相應的iGate SSL VPN解決方案，上海移動可以在網絡傳輸中使用標準的HTTPS協議，能夠提供安全的網絡隧道，保證數據不會被截獲和破解。同時，SSL VPN也不會受NAT和穿越防火墻問題的困擾，任何能連接Internet的方式都可以構建SSL VPN通道。另外，由于SSL VPN還可以起到代理服務器的作用，所有客戶端的訪問都是由VPN設備轉發(fā)，而不能直接訪問應用服務器，從而使服務器不易受到攻擊。

據王鵬透露，上海移動把iGate設備部署在企業(yè)防火墻之后，所有的客戶端就可以通過它來訪問外部網站，不用擔心由于不能訪問互聯網而無法答復客戶的問題了。另外，SSL VPN可以很好地限制用戶只能訪問幾個特定站點，通過相應的配置，上海移動的客戶服務人員只需要訪問與工作有關的一些站點就可以解決客戶的問題。

王鵬透露說，目前他對于SSL VPN的安全性還是相當滿意的。以身份驗證為例，當客戶端進行驗證的時候，大部分網絡應用程序會把標明用戶身份的唯一值或“會話標識符”存儲在瀏覽器端的某些應用程序中。然而，黑客可以通過盜取會話標識符來假冒最終用戶的身份，從而留下安全隱患。如果有25％的密碼以明文的方式傳播，那么會有三分之一的會話標識符會受到黑客的攻擊。因此，一個完善的安全應用程序應該使用標準的加密協議，如SSL，來確保網絡傳輸的完整性和安全性。SSL會在遠端用戶瀏覽器和Web服務器之間建立安全的通信。

王鵬進一步解釋說，在客戶端與應用服務器之間全程啟用SSL協議，保證了辦公系統中重要數據的完整性和安全性。因此，上海移動的客服人員在利用SSL實現遠程訪問的時候，不僅不會由于對外網的訪問產生安全隱患，而且，還可以有效地保證客戶數據和信息的安全。

MPLS的出色應用

一直以來，MPLS技術在具體應用中都是雷聲大，雨點小，這與其技術本身的部署、配置難度有一定關系。不過，隨著MPLS實用化進程的延續(xù)，一些基于MPLS VPN的建設思路卻帶給人眼前一亮的感覺。

在這方面，政府成了新技術應用的帶頭人。近期，東北某市區(qū)政府為了實現包括鄉(xiāng)、鎮(zhèn)、局在內的全區(qū)電子信息化，提高政府信息網的安全性，著重開展了MPLS VPN的建設工作。

該區(qū)信息化辦公室負責人黃主任在接受采訪時表示，成功的電子政務建設必須實現政務信息資源整合和政府部門業(yè)務流程重構的統一，重構一個高效協調的嶄新政府工作流程，這是對傳統政府職能和治理結構的一次革命。而在這個重構過程中，安全互聯與服務品質保證都是不可或缺的因素。

據了解，該區(qū)原有網絡存在著運行不穩(wěn)定、網速慢、病毒泛濫、不安全等問題。因此，區(qū)信息中心特意派人走訪了上海、北京等地區(qū)進行考察，最后實施了以區(qū)為骨干、統一平臺、分布實施的信息網，真正實現電子信息化。

黃主任表示，在目前的政府網絡中，需要連接和管理區(qū)下屬所有的鄉(xiāng)、鎮(zhèn)、街的民政局、衛(wèi)生局、教育局、醫(yī)院等委、辦、局單位，要保證這些網點能夠安全地連接到區(qū)中心上來。據悉，這些網點中分布了許多應用軟件，因此，要求安全連接需要能夠給應用提供合理的響應時間。

另外，在信息網中對多媒體應用的支持也是一個重要的考慮因素。黃主任認為，各個網點的多媒體應用比較頻繁，安全連接需要對不同的數據采用不同的優(yōu)先級分別對待。同時，這種連接能夠有能力對實時數據流保留一定的帶寬，對傳輸延遲能夠保證在所要求的限度內，即應該在技術上提供QoS保證。

正是基于以上兩點的考慮，黃主任毅然決然地投入到MPLS VPN的懷抱。據項目集成商神州數碼網絡的工程師透露，整個系統支持多種MPLS VPN解決方案，在區(qū)政府的網絡平臺上為各個機關部門內部提供安全連接服務，在核心防火墻上支持每VRF的NAT轉換功能，從而為區(qū)政府提供統一的Internet出口，并支持完整統一的對外信息平臺和對內公共信息平臺應用，保障電子政務公眾服務等關鍵業(yè)務順利平滑實施。

令黃主任放心的是，神州數碼網絡提供了完整的MPLS VPN配置管理方案，從而支持網管IP的MPLS VPN應用，保證了網絡設備的安全。黃主任認為，支持通過網管平臺對MPLS VPN業(yè)務的配置管理功能，可以簡化區(qū)政府網絡的設備管理。而利用MPLS VPN技術，則進一步實現了各部門網絡邏輯隔離，保證了各部門信息的安全性。區(qū)政府的網管人員只要通過靈活的策略配置，就可以實現VPN之間的可控訪問，從而實現業(yè)務工作的協調。

最后，黃主任表示，通過建立MPLS VPN，他們基本實現了政府數據的QoS保證，而通過支持MPLS流量工程，做到了對視頻、語音、多媒體業(yè)務的服務控制。據悉，目前整套MPLS VPN已經與內部的3D-SMP系統進行了整合，從而為區(qū)政府的信息化安全奠定了聯動控制基礎。(ccw-cnw)