虛擬專用網絡支持遠程辦公基礎及應用策略

王晶晶

2020年春季新型冠狀病毒肺炎疫情對各單位團體的正常收假返工造成了延期影響，為減少病毒交叉感染，確保停工不停業，各單位相繼推出彈性辦公、遠程辦公的應對措施。虛擬專用網絡作為遠程辦公的重要途徑再次成為熱點。本文就VPN原理、分類、技術、實現方式、應用原則等進行分析，為應用VPN支持遠程辦公提供思路和策略。

一、VPN工作原理

虛擬專用網絡（簡稱VPN：Virtual Private Network），屬于遠程訪問技術，簡單地說就是將位于不同地點的兩個網絡，通過在公用網絡上利用加密等技術虛擬架設出一個數據隧道，實現兩地間的通訊，但兩地間并不需要真正的鋪設光纜之類的物理線路。（圖一）

通常情況下，VPN網關采取雙網卡結構，外網卡使用公網IP接入Internet。假設網絡A和網絡B要通過VPN方式進行通信，網絡A 的終端A訪問網絡B的服務器B，終端A發出的訪問數據包的目的地址為服務器B的內部IP地址。首先網絡A的VPN網關在接收到終端A發出的訪問數據包時對其目的地址進行檢查，如果目標地址屬于網絡B，則將該數據包進行封裝，構造一個新VPN數據包轉發至網絡B的VPN網關，網絡B的VPN網關對接收到的數據包進行檢查，如果發現該數據包是從網絡A的VPN網關發出的，即可判定該數據包為VPN數據包，并對該數據包進行解包處理，還原成原始的數據包。網絡B的VPN網關再根據原始數據包目的地址將數據包發送至服務器B。在服務器B看來，它收到的數據包就和從終端A直接發過來的一樣。從服務器B返回終端A的數據包處理過程和上述過程一樣，這樣兩個網絡內的終端就可以相互通訊了。（圖二）

二、VPN的分類

VPN根據接入主體、接入方式、封裝技術、運營方式等各個環節的不同具有多種分類方式。

根據接入網絡的主體主要分為遠程訪問VPN、內聯網VPN和外聯網VPN，接入主體分別面向移動辦公和遠程辦公人員（終端）、企業各地分支機構、企業客戶和合作伙伴機構等，實現不同主體的互聯互通。

根據接入網絡中用戶的接入方式主要分為：專線VPN和撥號VPN（檢查VPDN），專線VPN是為已經通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案，是一種“永遠在線”的VPN，適用于組建網絡對網絡的虛擬連接;VPDN為用戶提供通過撥號方式接入ISP建立VPN的方案，是一種“按需連接”的VPN，適用于組建終端對網絡的虛擬連接。

根據封裝技術在網絡通信模型中分層的不同主要分為第二層隧道協議（包括PPTP、L2TP、MPLS）、第三層隧道協議（IPSec、GRE）以及傳輸層（SSL）等。VPN技術的發展主要在IPSec VPN（互聯網安全協議）、SSL VPN（安全套接層協議層）和MPLS VPN（多協議標簽交換）三個應用上。IPSecVPN為數據源提供身份驗證、數據完整性檢查及機密性保證機制，是目前最易于擴展、完整的技術方案，但擴展性較差，更適合站點到站點的安全連接;SSL VPN利用標準的SSL協議，客戶只需要連入因特網，不需要安裝和維護客戶端，通過網頁就可以遠程辦公訪問SSL VPN內網的資源，具有更低的網絡管理成本和運營成本;MPLS VPN無法像IPSec VPN提供加密、身份驗證和完整性校驗，但具備流量工程和Qos等特性。為了實現網絡資源利用的最大化和成本的最小化，VPN技術往往融合使用。

根據運營方式可以分為自建VPN和外包VPN。企業可以在內部網絡邊緣自己設置并維護VPN網關設備，與分支機構間建立VPN連接，可采用加密協議對數據加密以保障安全。對運營商而言VPN是透明的，運營商只提供線路支持。也可以把VPN服務外包給運營商，運營商利用網關設備建立VPN網絡，根據企業的要求提供規劃、設計、實施和運維客戶的VPN業務，VPN網絡對用戶來說是透明的。

三、VPN的安全技術

VPN模式在遠程訪問組網中得到快速應用，一方面在于能夠有效降低用戶建立傳統專線的費用而實現互聯互通，另一方面還源于VPN具有較高的安全性保障，為用戶提供接入的安全、數據傳輸的安全以及對內網資源的訪問安全。VPN具有以下安全技術：

1.隧道技術。由隧道協議、乘客協議和傳輸協議組成，隧道協議專門負責隧道的建立、保持和卸載功能。

2.加密技術。通過隧道傳輸的數據在發送端應先加密后傳輸，接收端接到數據后先解密。加密技術可以在任意層進行。

3.身份認證技術。是對用戶的合法身份信息進行確認，對認證用戶實現訪問授權。

4.訪問控制。主要是通過對訪問用戶權限的管理，對未取得訪問權限的用戶進行控制措施。

四、VPN遠程辦公案例

目前能夠實現VPN功能的設備非常多，路由器VPN、交換機VPN、防火墻VPN、軟件VPN等，企業為了保障安全，輔助以安全管理設備、上網行為管理、可視化安全管控等工具平臺。

下面以某單位疫情期間搭建移動辦公模式為例，介紹快速搭建VPN的方式。該單位利用通信運營商提供的高性能虛擬專有撥號網絡以及安全可控的應用發布產品，建設移動辦公系統，滿足特殊時期信息化應急要求。該系統采用自主創新的網絡應急箱，提供安全有效的網絡接入。基于深信服EasyConnect遠程發布應用，建立SSL VPN通道，通過SSL VPN隧道加密技術與硬件防火墻嚴格的訪問控制策略保障數據安全。移動終端采用虛擬化沙盒技術，桌面、應用和數據均以虛擬形式交付到終端設備，與設備原有的個人數據和應用完全隔離，實現全方位保障移動辦公中的數據安全。

五、VPN辦公面臨的主要問題

各單位在搭建遠程辦公環境中面臨的挑戰主要有三個方面：一是遠程辦公配置缺失。單位原本沒有遠程辦公需求，也沒有相應的應急方案，遇到像疫情等特殊情況，導致業務基本停滯;二是遠程辦公需求激增與應急準備不足。原有遠程辦公配置容量不足，只能讓少部分人員遠程接入，無法支撐大并且和多類型業務的遠程開展;三是數據安全隱患大。遠程辦公環境下缺少必要的監督管控手段和策略，運維管理工作水平較低，數據安全得不到完全保障。

六、VPN的應用策略

在搭建VPN網絡時需要充分分析本單位的實際需求和IT建設基礎，綜合考量多種VPN建設方案，確保接入、傳輸、訪問各環節兼顧“應急保障、安全可靠、成本低廉、快捷高效” 等原則。

1.滿足基本應急保障。疫情當前，很多單位由于缺少這類特殊情況的應急準備，不得不面臨停工停業的狀態，即使在正常工作中網絡通信具有安全備份保障等，仍應以此次疫情為契機，健全應急方案，滿足特殊情況的應急保障。

2.確保內部數據安全。訪問控制在信息系統安全管理方面有著決定性作用，要充分考慮遠程訪問用戶人數、數據資源類型、訪問要求、用戶權限分配等因素，實現遠程訪問信息系統、訪問用戶的精細化管控，從而保障內部數據安全。比如對內部信息系統進行分類，非涉密辦公系統、郵件系統、監控系統等適宜放在VPN上，而重要的生產業務系統、財務報表系統還應以專線等形式加強訪問管控，減少遠程訪問風險。

3.高性價比組網方式。各種組網方式、VPN技術均有利弊，要進行充分需求分析，均衡考量安全性、可靠性、高效性、成本控制等因素，搭建高性價比VPN網絡。不能因為一味追求安全性而加強安全防控，導致擴展性、建設成本、運維成本等上升。

4.加強IT運維能力。VPN接入較專線通信增加了網絡安全的風險因素，這對各單位IT運維管理能力提出了更高的要求，應加強IT人員的學習培訓、操作演練，借助輔助的成熟的運維管控平臺，提高網絡管理和運維水平，滿足日益發展的辦公需求和網絡管理要求。

（作者單位：中國人民銀行銅川市中心支行）