前言
目前隨著多媒體技術(shù)的發(fā)展,多媒體技術(shù)的發(fā)布實(shí)現(xiàn)了移動(dòng)化和無(wú)人值守發(fā)展,而以前束縛移動(dòng)化的發(fā)展主要是傳輸帶寬,在以前,需要用衛(wèi)星通信等技術(shù),隨著3G技術(shù)的發(fā)展,可以實(shí)現(xiàn)通過(guò)3G網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程的信息傳輸,并通過(guò)3G VPN加密技術(shù)實(shí)現(xiàn)了信息的安裝傳輸。
一 VPN的概念
在經(jīng)濟(jì)全球化的今天,越來(lái)越多的單位,開(kāi)始在各地建立分支機(jī)構(gòu),開(kāi)展移動(dòng)業(yè)務(wù),移動(dòng)辦公人員也隨之劇增。在這樣的背景下,這有些移動(dòng)信息需要通過(guò)3G網(wǎng)絡(luò)實(shí)現(xiàn)總部和移動(dòng)分支之間建立連接通道以進(jìn)行信息傳送。
傳統(tǒng)的互聯(lián)方案中,要進(jìn)行遠(yuǎn)地LAN 到 LAN互連,除了租用DDN專(zhuān)線或幀中繼或衛(wèi)星通信之外,并無(wú)更好的解決方法。對(duì)于移動(dòng)用戶與遠(yuǎn)端用戶而言,只能通過(guò)撥號(hào)線路進(jìn)入企業(yè)各自獨(dú)立的局域網(wǎng)。這樣的方案必然導(dǎo)致高昂的長(zhǎng)途線路租用費(fèi)。于是,虛擬專(zhuān)用網(wǎng)VPN(Virtual Private Network)的概念與市場(chǎng)隨之出現(xiàn)。其實(shí)虛擬專(zhuān)用網(wǎng)VPN技術(shù)并不是什么新鮮事物,早在1993年,歐洲虛擬專(zhuān)用網(wǎng)聯(lián)盟(EVUA)就成立了,力圖在全歐洲范圍內(nèi)推廣VPN。然而卻是由于Internet的迅猛發(fā)展為VPN提供了技術(shù)基礎(chǔ),全球化的企業(yè)為VPN提供了市場(chǎng),才使得VPN開(kāi)始遍布全世界。
虛擬專(zhuān)用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過(guò)一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。虛擬專(zhuān)用網(wǎng)通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來(lái),構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺(jué)察到公共網(wǎng)絡(luò)的存在,仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)仿佛是只由本網(wǎng)絡(luò)在獨(dú)占使用,而事實(shí)上并非如此,所以稱之虛擬專(zhuān)用。之所以采用虛擬專(zhuān)用網(wǎng)是因?yàn)閂PN有以下幾方面優(yōu)點(diǎn):
• 降低成本
通過(guò)公用網(wǎng)來(lái)建立VPN與建立DDN、PSTN等專(zhuān)線方式相比,可以節(jié)省大量的費(fèi)用開(kāi)支。
• 容易擴(kuò)展
如果用戶想擴(kuò)大VPN的容量和覆蓋范圍,只需改變一些配置,或增加幾臺(tái)設(shè)備、擴(kuò)大服務(wù)范圍。在遠(yuǎn)程辦公室增加VPN也很簡(jiǎn)單,只需通過(guò)作適當(dāng)?shù)脑O(shè)備配置即可。
• 完全控制主動(dòng)權(quán)
企業(yè)可以利用公網(wǎng)或在網(wǎng)絡(luò)內(nèi)部自己組建管理VPN。如果用戶利用ISP的設(shè)施和服務(wù),那么用戶同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比如,用戶可以把撥號(hào)訪問(wèn)交給ISP去做,由自己負(fù)責(zé)用戶的查驗(yàn)、訪問(wèn)權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。
• 全方位的安全保護(hù)
VPN不僅能在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間建立專(zhuān)用通道,保護(hù)網(wǎng)關(guān)與網(wǎng)關(guān)之間信息傳輸?shù)陌踩夷茉谄髽I(yè)內(nèi)部的用戶與網(wǎng)關(guān)之間、移動(dòng)辦公用戶和網(wǎng)關(guān)之間、用戶與用戶之間建立安全通道,建立全方位的安全保護(hù),保證網(wǎng)絡(luò)的安全。
• 高的性價(jià)比
VPN致力于為網(wǎng)絡(luò)提供整體的安全性,是性能價(jià)格比比較高的安全方式。
• 使用和管理方便
VPN產(chǎn)品可以在網(wǎng)絡(luò)連接中透明地配置,而不需要修改網(wǎng)絡(luò)或客戶端的配置,非常方便使用。VPN產(chǎn)品可以實(shí)現(xiàn)集中管理,也就是在同一個(gè)地方實(shí)現(xiàn)對(duì)不同地方VPN的配置、監(jiān)控和維護(hù)等。
• 投資保護(hù)
基于IPSEC的VPN的標(biāo)準(zhǔn)逐漸被大家接受,用戶網(wǎng)絡(luò)的改造和擴(kuò)展有很好的保護(hù)。
IPSec協(xié)議
IPSec協(xié)議是一個(gè)應(yīng)用廣泛,開(kāi)放的VPN安全協(xié)議。IPSec適應(yīng)向Ipv6遷移,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù),進(jìn)行透明的安全通信。IPSec用密碼技術(shù)提供以下安全服務(wù):接入控制,無(wú)連接完整性,數(shù)據(jù)源認(rèn)證,防重放,加密,防傳輸流分析。 IPSec協(xié)議可以設(shè)置成在兩種模式下運(yùn)行:一種是隧道(tunnel)模式,一種是傳輸(transport)模式。在隧道模式下,IPSec把IPv4數(shù)據(jù)包封裝在安全的IP包中。傳輸模式是為了保護(hù)端到端的安全性,即在這種模式下不會(huì)隱藏路由信息。隧道模式是最安全的,但會(huì)帶來(lái)較大的系統(tǒng)開(kāi)銷(xiāo)。IETF安全工作組完成了IPSec的擴(kuò)展,在IPSec協(xié)議中加上ISAKMP(Internet Security Association and Key Management Protocol)協(xié)議,密鑰分配協(xié)議IKE、Oakley。ISAKMP/IKE/Oakley支持自動(dòng)建立加密、認(rèn)證信道,以及密鑰的自動(dòng)安全分發(fā)和更新。
IPSEC它定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議。IPSec支持一系列加密算法如DES、3DES、IDEA。它檢查傳輸?shù)臄?shù)據(jù)包的完整性,以確保數(shù)據(jù)沒(méi)有被修改,具有數(shù)據(jù)源認(rèn)證功能。IPSec可確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。
二、 BILLION 3G VPN應(yīng)用方案
2.1、需求的提出和分析
一般來(lái)說(shuō),信息發(fā)布系統(tǒng)需要將信息中心的信息推送到各個(gè)信息點(diǎn)或者移動(dòng)顯示服務(wù)點(diǎn),每個(gè)服務(wù)點(diǎn)將配備2-3個(gè)顯示屏,用于日常的信息發(fā)布,各個(gè)服務(wù)點(diǎn)需要與總部的數(shù)據(jù)庫(kù)實(shí)現(xiàn)實(shí)時(shí)的通信,以實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)更新。各個(gè)服務(wù)點(diǎn)分布在全市各個(gè)角落,有些地方距離電信的接入機(jī)房較遠(yuǎn),無(wú)法實(shí)現(xiàn)ADSL接入。特別是一些比較偏遠(yuǎn)的地方,用傳統(tǒng)的有線方式,業(yè)務(wù)無(wú)法開(kāi)展。3G業(yè)務(wù)的推出,由于其具有高帶寬,無(wú)需布線,只要電信運(yùn)營(yíng)商3G網(wǎng)絡(luò)覆蓋到地方,就可以通過(guò)3G實(shí)現(xiàn)上網(wǎng),基于3G的通信就成為一種必要的手段,可以通過(guò)基于3G的VPN,解決ADSL VPN已經(jīng)無(wú)法解決的移動(dòng)性和無(wú)法布線的情況。
由于結(jié)算業(yè)務(wù)涉到信息的安全問(wèn)題,因此在實(shí)現(xiàn)聯(lián)網(wǎng)的時(shí)候,必須考慮數(shù)據(jù)的安全問(wèn)題,由于采用3G 接入,因此必須考慮3G接入安全,除此之外,由于服務(wù)器是通過(guò)電信運(yùn)營(yíng)商的專(zhuān)線方式接入到互聯(lián)網(wǎng),特別容易受到互聯(lián)網(wǎng)上各種攻擊,因此必須考慮總部的服務(wù)器的安全。
目前,VPN技術(shù)做為一種數(shù)據(jù)安全加密技術(shù)在遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)中得到廣泛的應(yīng)用,VPN(VirtualPrivate Network,虛擬私有網(wǎng)絡(luò))是指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng),這里的公用網(wǎng)主要指Internt。為了保障信息在Internet上傳輸?shù)陌踩裕琕PN技術(shù)采用了認(rèn)證、存取控制、機(jī)密性、數(shù)據(jù)完整性等措施,,以保證了信息在傳輸中不被偷看、篡改、復(fù)制。有效保證數(shù)據(jù)的完整和安全,目前主流的VPN技術(shù)主要采用IPSEC VPN,由于IPSEC VPN對(duì)IP層業(yè)務(wù)的良好支持,因此在本方案中,我們建議采用基于3G的IPSEC VPN 來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全互聯(lián)和數(shù)據(jù)安全保護(hù)。
2.2 產(chǎn)品解決方案
根據(jù)項(xiàng)目的實(shí)際情況和應(yīng)用需求,我們建議采用采用基于3G 的IPSEC VPN來(lái)實(shí)現(xiàn)互聯(lián),
具體方案:
在公司總部,建議采用運(yùn)營(yíng)商的光纖專(zhuān)線接入到3G運(yùn)營(yíng)商數(shù)據(jù)機(jī)房,在服務(wù)器前端部署一臺(tái)VPN防火墻,根據(jù)目前的需要的網(wǎng)絡(luò)的規(guī)模,在總部配置一臺(tái)BILLION BIGUARD 30 VPN安全網(wǎng)關(guān),安全網(wǎng)關(guān)的防火墻可以有效防止互聯(lián)網(wǎng)上的各種攻擊和非法訪問(wèn),以保證服務(wù)器的安全,在數(shù)據(jù)傳輸安全方面,啟用防火墻的VPN功能,采用標(biāo)準(zhǔn)的IPSEC 實(shí)現(xiàn)與各分服務(wù)點(diǎn)的網(wǎng)絡(luò)互聯(lián)。BIGUARD 30 VPN防火墻最大支持30條IPSEC 隧道,可以滿足項(xiàng)目目前和以后的擴(kuò)展的需要。
在各服務(wù)點(diǎn),配置一臺(tái)BILLION BIPAC 7402X 3G無(wú)線VPN防火墻,設(shè)備內(nèi)置了3G USB接口,只需要申請(qǐng)一個(gè) 運(yùn)營(yíng)商的3G 貓,實(shí)現(xiàn)3G無(wú)線接入,本地的顯示屏通過(guò)BIPAC 7402X ,通過(guò)運(yùn)營(yíng)商的3G VPDN實(shí)現(xiàn)安全互聯(lián)。通過(guò)IPSEC的VPN與總部的VPN防火墻實(shí)現(xiàn)安全的互聯(lián),這樣,總部和分點(diǎn)形成一個(gè)局域網(wǎng),實(shí)現(xiàn)網(wǎng)對(duì)網(wǎng)互聯(lián)。在3G的接入選擇上,可以選擇可上公網(wǎng)的3G業(yè)務(wù),也可以選擇只可以互聯(lián)的3G VPDN,只可以傳輸數(shù)據(jù),不可以上公網(wǎng),資費(fèi)相對(duì)較低。
三、方案的效果
1、總部配置VPN防火墻,可以有效防止各種黑客攻擊,增強(qiáng)對(duì)服務(wù)器的防護(hù)。
2、實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的上網(wǎng)控制、BILLION的BIPAC 7402X是一臺(tái)功能強(qiáng)大的防火墻,可對(duì)分支的內(nèi)網(wǎng)實(shí)現(xiàn)安全保護(hù)并且可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的PC進(jìn)行管制。
3、通過(guò)3G接入,突破有線的限制,部署快捷,3G VPDN,速度更快,資費(fèi)更低
4、支持多種業(yè)務(wù),由于IPSEC對(duì)IP業(yè)務(wù)的良好的支持,可以在VPN上實(shí)現(xiàn)數(shù)據(jù)安全傳輸和視頻和VOIP,真正實(shí)現(xiàn)3G多媒體通信。
盛達(dá)電業(yè)成立于1973年,為臺(tái)股上市公司(Taiex#3027),是亞洲環(huán)太平洋地區(qū)網(wǎng)絡(luò)通訊設(shè)備及電源設(shè)備與裝置的主要供應(yīng)商之一。旗下之通訊事業(yè)處自1992年成立之來(lái),針對(duì)家庭、電訊工作者和中小型企業(yè)用戶,致力于下一代網(wǎng)絡(luò)設(shè)備和網(wǎng)際網(wǎng)絡(luò)存取裝置的研發(fā)、制造與品牌銷(xiāo)售。盛達(dá)電業(yè)公司的網(wǎng)絡(luò)產(chǎn)品曾多次獲雜志媒體高度肯定,并在歐、美、中東、非洲、亞太地區(qū)等市場(chǎng)擁有廣大的客戶。 2009年3月份起,電源事業(yè)處除線性式電源供應(yīng)器、交換式電源供應(yīng)器與電源變壓器的研發(fā)與制造外,亦積極布局智能電網(wǎng)產(chǎn)品研發(fā)與制造,并于2010年1月起正式更名為「電源暨能源管理事業(yè)處」(Power & Energy Management Division,簡(jiǎn)稱PEM Division)。藉由供應(yīng)智能電網(wǎng)所需更有效率的節(jié)能減碳產(chǎn)品,期為環(huán)境保護(hù)與綠色地球盡一份力量。
盛永達(dá)科技(南京)有限公司是盛達(dá)電業(yè)股份有限公司的中國(guó)大陸分公司;2007年盛永達(dá)科技(南京)有限公司成立于南京, 秉承其一貫的充滿活力、穩(wěn)健踏實(shí)的工作作風(fēng),專(zhuān)注中國(guó),奉獻(xiàn)專(zhuān)業(yè)品質(zhì);致力為中國(guó)的電力公司、通信運(yùn)營(yíng)商、企業(yè)及家庭用戶提供科技領(lǐng)先的產(chǎn)品,適用的定制化解決方案與最完善的本地化服務(wù)。
“海內(nèi)存知己,天涯皆BILLION —— 給您最安心的網(wǎng)絡(luò)解決方案”是盛永達(dá)科技專(zhuān)注為大陸市場(chǎng)用戶奉獻(xiàn)專(zhuān)業(yè)品質(zhì)的體現(xiàn)。