|
|
BizVNN服务在不改变现有IPv4基础网络设施,不改变已经部署了的NAT或其它设备,也即不改变任何中间设备和网络环境的基础上,使得网络上的任意机器获得端到端的连通,使得任意网络应用获得安全的端到端的互通。BizVNN服务的目的就是要使得主机或设备(无论是否处于私网)之间可以获得端到端的完全透明性,并且支持部署任何网络应用!
1. 行业背景
随着经济全球化趋势和中国加入WTO,使得市场更加开放和竞争更加激烈。国内外市场环境要求国内的企业集团公司在经营理念与管理模式上能有较高层次的突破,以求在国际化竞争中保持优势。
本解决方案介绍的新疆某公司(以下简称新疆公司)隶属于某大型集团,公司需要通过专线与集团其它异地部门交换数据,目前新疆公司需要支持本身下属的分支也同时需要与公司进行大量的数据交换。
2. 行业需求
新疆公司业务范围的拓展,旧有的专线方式已只能满足其与集团其它异地部门的业务传输需要。新疆地区本地的分支部门同时需要与新疆公司进行的数据交换则因为频繁性和数据量,不再合适使用相对低速的传统专线。因此,公司迫切需要启用一套基于当今的ADSL接入,借助互联网的先进的企业网路远程安全接入系统。
该系统方案所强调的要求如下:
能实现公司与其分支部门的实时远程安全访问。
各分支的数据能够快捷方便的上传、集中到公司,及时反馈审核。
各分支的数据甚至能够直接上传、集中到集团,并及时反馈。
能节省大量以往专线互联的成本,降低企业运营的资金投入。
系统能够确保传输数据的安全及高效。
3. 方案比较
3.1 BIZVNN解决方案
虚拟本地网(BIZVNN)技术就成为一个很好的解决方式。虚拟本地网(BIZVNN)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的ADSL等宽带线路,连接上本地的 Internet ,各地的机构就可以互相传递信息;同时企业还可以利用 Internet 的拨号接入设备,让自己的用户拨号到 Internet 上,就可以连接进入企业网中。使用VNN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等优点。VNN无疑将会成为今后企业网络发展的趋势。
通过BIZVNN系统搭建的平台,使得异地的业务人员、出差在外的移动人员,安装 BIZVNN软件后,只需随时接入 Internet ,通过授权,访问相应的资源。公司和各业务点可分别设定允许接入的用户访问。
如图1
与传统的VPN比较,BIZVNN同样拥有安全的加密数据隧道的同时,具有如下优点:
无服务器:减少要维护的设备数。减少安全威胁。
高可靠性:由于没有一个或多个服务器,任何一台电脑的故障不会影响其它电脑的正常工作。
提高系统的整体带宽吞吐量:由于各台电脑各自直接访问有关的服务器,整体的带宽要大于系统中最小的带宽。只有在各地的用户都同时访问总部的服务器时,这时的系统整体带宽才等于总部的带宽。
提高网络速度:采用了内核驱动技术及数据流实时压缩算法(LZO)可以使带宽利用率高达90%以上,特别适合于邮件、文档文件、数据库等应用。文档在传输过程中,最大压缩比可达180%。
提高系统的灵活性:当在一个或多个地方增加了服务器或用户,不需对系统配置作任何改动。而通常的VPN,当在某一个分支机构里架设了新的服务器,需要重新考虑系统的架构以决定是在分支机构再加VPN服务器还是要求用户接入不同的服务器以访问不同的服务。
低成本快速增加带宽:如果要提高带宽,可以简单地多加一条或几条Internet接入服务即可。这些服务也可以采用不同的服务商的,从而提高系统的可靠性以及解决由于网通到电信之间的网路瓶颈。使用BIZVNN,无需改动装在用户机器上的程序的配置,对员工的正常使用不产生任何影响。
基于用户的访问控制:BIZVNN账号采用域名形式,因此除了可以通过本地防火墙对BIZVNN网卡进行基于数据报文的访问控制外,还可以特别地在BIZVNN管理界面中基于用户帐号进行访问控制。
3.2 VPN解决方案
IPSEC VPN的建构可以让企业实现互通,让企业在互联网之上构建出私有网络,能保证这个私有网络即使借助于公网也能实现数据通讯的保密性和完整性;同时VPN 大多同时实现了基于IP的访问控制。VPN解决方案大多包含了三个组成部分:VPN硬件或者软件网关;VPN远程访问客户端VRC;安全集中管理器SCM。其部署图示意如下:(图中包含了企业总部网络和2个分支机构,以及2个移动办公用户和一个非法黑客)
当今企业典型VPN解决方案略图
如图2
通过VPN解决方案,企业网络可以实现“固定端机器到固定端”、“移动用户到固定边界”和“固定边界到固定边界”的互通,但是无法实现“移动用户到移动用户”的互通。并且:
-VPN需要专用服务器
VPN解决方案中需要专用服务器,并且往往不止一个。服务器的引入需要更改企业原先的网络结构,部署是需要复杂的配置,使用时需要大量的专业维护知识。
-VPN服务器需要静态公网地址
无论企业原先有没有静态公网地址,VPN服务器的引入都需要企业申请这样的地址。
-VPN用户间相互连接
基于IP访问。VPN解决方案需要总部和分支的私网的网络地址不能在同一个网段,这是部署和使用VPN时的一个限制,而目前大多企业都是处于私有网络中(网络中机器地址为192.168.*或者10.**),这个限制是个麻烦。
-VPN用户间数据传输延迟
VPN数据都经过隧道封装,任意用户间数据传输都至少是用户A数据首先到VPN服务器,然后再由VPN服务器到用户B,大多数时候更是用户A数据首先到VPN服务器A,然后由VPN服务器A到VPN服务器B,最后才由VPN服务器B到用户B。
-VPN系统安全的脆弱性
VPN服务器的主要功能是加解密数据包、密钥交换和身份认证,没有很强的访问控制和自身防护功能(全状态包过滤、应用级过滤、防DoS攻击等等)。VPN与防火墙的布署方式现实中常使用下列两种形式:防火墙在VPN网关之前、防火墙与VPN网关并列。由于通过VPN网关的流量都被加密,所以无论以何种方式部署,通过VPN网关的数据流量都无法保证应用级或者内容上的安全性,无法进行恶意代码、病毒过滤拦截与扫描,防火墙也无法对VPN的数据流量进行任何访问控制,由此带来安全和管理上的一系列问题。
当通过VPN接入内网的人员众多,包括分支机构、移动办公人员、合作伙伴等等,VPN解决方案中服务器集中转发数据会给网络速度带来明显影响而导致无法部署许多应用;而其部署和维护上的限制和复杂性更是对企业网络管理增加很多成本;安全上的脆弱性会严重影响到内部网络的安全。
4. 网络架构与拓朴图
要建立一个信息化网络传输解决方案,最佳解决方案就是在公司、分支部门之间建立一个BIZVNN局域网络,使得公司及各业务点之间能够利用现有的 Internet 来建立新疆公司内部之间的专有网络,进行安全的业务数据传递。
根据BIZVNN解决方案以及新疆公司对Web数据访问的需求,在新疆公司的属于集团专线网络的机器上安装上BIZVNN和CCPROXY(代理公司及分支的Web数据到集团专有网络中),然后在需要访问的分支部分机器上安装BIZVNN的客户端。
如图 3 所示:
在新疆公司连接分支和集团的代理服务器上,可以使用防火墙对VNN接入进行控制,也可以通过VNN内置的安全访问机制进行安全控制;所有分支到代理服务器的数据都是被VNN加密过的。
5. 解决方案优势
公司与各下辖分支之间可以进行数据的安全连接,利用隧道加密的技术,保证所有Web数据和访问都是安全的,分支部分的使用者可通过互联网远程访问新疆公司,从而访问到集团网络,身份经过授权后即可调用公司服务器和集团网络。
使公司原有基于Web的软件和系统能通过BIZVNN传输进行跨地区互联互通,大大增强了管理功能,提升日常工作的效率。
各分支通常采取数据集中汇总到集团总部的中央数据库,各分支BIZVNN联接后,可以与公司的服务器保持实时、不间断的联系。
6. 实施效果
BIZVNN网络建设连接之后,就可以使新疆公司各分支在访问公司业务,甚至集团业务时变得自由、简单、灵活和安全。
[ 本帖最后由 garnett_wu 于 2006-9-13 10:29 编辑 ] |
|
发表于 2006-9-13 10:26:31
发表于 2006-9-13 16:04:00