虚拟专用网络技术在办公网络中的应用

一、虚拟专用网络技术的主要特点

虚拟专用网络（VPN）主要包括以下两方面优点：一是虚拟专用网络的安全保证，其本质是建立一个专用的隧道，利用加密技术，完成数据的传输，以最大限度保证数据信息传输的安全可靠；二是虚拟专用网络的灵活性和扩展性，虚拟专用网络技术能够支持各类网络中的数据信息传输。SSLVPN主要包括以下几方面特点：一是不需要任何软件系统的支撑，操作简单方便；二是能够通过身份认证技术对登录到网络中的用户进行访问控制；三是HTTPS协议的使用，能够穿越NAT和防火墙设备，应用SSLVPN的网络结构不会发生变化，因此可以适应复杂的企业应用环境。

二、虚拟专用网络技术应用于企业办公网络的意义

为了提高企业内办公网络的使用效率，虚拟专用网络技术被逐渐引入办公网络中。例如：某个公司投资成立一个子公司，但子公司与总公司不在同一个城市，两个公司之间需要传输重要的数据信息，就可以通过VPN技术建立一个专用通道，从而保证数据信息传输的安全性。如果公司员工需要居家办公时，也可以通过VPN技术与公司内部网络进行连接，获取自己需要的数据信息。通过VPN技术能够将每个登录到虚拟专用网络中的用户信息记录到虚拟专用网络服务器中。由于很多企业属于连锁销售经营模式，通过关系数据库对每个连锁店的销售情况进行统计，并将数据信息传送到总公司的服务器中，为总公司的科学决策和生产计划，以及后期投资提供数据支持。但是，如果总公司与连锁店之间的数据信息传输不采用VPN技术，则非常容易发生数据丢包、延迟等现象，或者数据信息被入侵者窃取，从而造成巨大的经济损失，因此，将VPN技术应用于企业办公网络中，能够有效解决数据信息传输中遇到的各种问题。

三、基于虚拟专用网络技术的汽车集团企业办公网络构建方案

（一）汽车集团企业办公内网的网络架构设计

汽车集团企业办公内网为增加安全防护，配置防火墙、服务器，网络架构采用环形网络。

（二）汽车集团企业办公网络SSLVPN构建体系

SSLVPN技术能够实现用户访问控制、数据信息加密，以及多种网络协议支持等功能，因此，本文构件的SSLVPN系统包括以下几个内容：用户身份认证处理模块、协议处理模块、地址和日志处理模块、用户访问控制模块、数据信息加密模块和密钥管理模块。由图2可知，VPN网关在客户端与虚拟专用网络中间起着分界作用，负责网络安全。SSLVPN网络的工作过程：客户端通过VPN网关发出访问请求，并将访问请求传送到服务器中。SSLVPN网络协议处理模块主要负责的是执行上述过程。用户认证处理模块负责将用户的用户名和密码传送到服务器中，对用户身份进行认证。用户访问控制模块在身份认证完成后，依据安全策略只有授权的用户才允许访问特定的网络资源。并且，用户还可以根据自身的具体需求对通信系统、办公系统、结算系统和各类应用系统发起访问。SSLVPN网络用户端的网络架构指的是由用户通过VPN网关进入到汽车集团企业内部办公网络中，才能够对企业内部办公网络中的信息资源进行访问。SSLVPN网络架构（本文指的是以VPN网关作为分界点的汽车集团企业内部办公网络）体系具体描述为：一是SSLVPN网络的用户身份认证设计。首先，通信双方需要都拥有认证中心的数字证书和公开密钥。其次，认证过程中，服务器将数字证书发送至客户端，认证成功后，客户端才会将自己的数字证书发送回服务器认证，检验成功后，用户身份才为合法身份。并且客户端还能从服务器获得公开密钥。二是SSLVPN网络访问控制模块的设计，SSLVPN网络可以对不同资源进行更为详细的用户访问控制。例如：对于汽车集团企业二级经销以及合作网点来说，如果采用的是IPSECVPN网络，只要用户进入了汽车集团企业内部办公网络，就可以对内部网络中的所有资源进行访问，只是不能访问部分已经设定了特殊权限的信息资源。而SSLVPN网络能够授权给每个用户不同的访问控制权限，即使用户已经进入到汽车集团企业内部办公网络中，但是由于受到访问控制策略的限制，仅仅能够浏览该用户能够浏览的资源，如果需要对某个应用程序发起访问，SSLVPN能够实现对每个用户设定不同的访问权限控制。通过SSLVPN网络的用户身份认证设计和访问控制模块的设计，若要建立一个SSLVPN网络，需要完成以下配置工作：首先，需要配置完成性能较强的VPN防火墙，VPN防火墙的主要作用是将汽车集团企业内部办公网络与外部网络相互隔离开来，起到一个网络闸口的作用。VPN防火墙的最终目的是通过自身的硬件系统对浏览器页面的数据信息进行数据加密，利用USBKey和口令相互结合的方式登录到汽车集团企业内部办公网络中，从而保证远程访问汽车集团企业内部办公网络的合法性和有效性。通过客户端扫描系统完成对远程访问硬件系统的安全控制，根据不同用户的分级身份授权制定相应的访问控制策略，使不同用户根据个人权限访问内部网络信息资源。在结束用户访问过程之后，能够主动清除客户端的访问记录，以及通信过程中的临时文件信息,以保证数据信息不被泄露。根据当前的用户信息数据库对用户角色进行统一管理，建立用户访问权限，iGateSSLVPN4.0版本的VPN防火墙能够将用户身份进行双因素集成的硬件设备，该设备只配备了单一的入口，能够大大提高内部网络信息的安全性，防止外部入侵者进行网络攻击，同时，iGateSSLVPN4.0还具有强大的日志管理功能，能够支持无线网络设备、公钥基础设施认证等。其次，部署CA数字证书服务器，在本文SSLVPN网络的工作流程中介绍了“握手”过程，其中都包括了数字证书的认证，数字证书是通过CA数字证书服务器生成的，并且由CA数字证书服务器进行管理，一般情况下，数字证书认证中心指的就是CA数字证书服务器。CA数字证书服务器是为客户端与网络端建立起相互信任的关系，从而实现双方认可的安全认证体系，在网络中数据信息的加密解密过程由CA数字证书服务器进行安全支持，并且与用户身份认证服务器共同完成用户身份认证过程。最后是对用户身份认证服务器的部署，用户身份认证服务器是对企业内部职工和相关企业、单位，以及分公司、子公司的办公系统的用户进行身份的认证。

（三）基于VPN技术的汽车集团企业办公系统网络拓扑设计

汽车集团企业内部办公网络是以VPN防火墙作为分界点，分为两个子网络：一是骨干网络，骨干网络负责对企业办公系统的数据传输、访问处理和支持服务。二是VPN网络，VPN网络是指用户通过Internet访问企业内部网络办公系统。在Internet下，汽车集团企业员工、企业分公司和子公司，以及合作单位用户可以通过SSLVPN网络经过用户身份认证之后进入到汽车集团企业内部网络的办公系统中。当用户通过SSLVPN网络进入到汽车集团企业内部网络时，骨干网络启动工作。首先，通过“握手”处理经过CA数字证书服务器的用户身份认证之后，再由SSL网络协议完成相关处理，建立起VPN专用通道。再由用户身份认证服务器发出的用户身份认证信息与数据库服务器中存储的用户身份信息进行检验，检验成功后，根据访问策略对资源实施调配，将相关信息反馈到VPN防火墙中。VPN防火墙依据接收的信息开放该用户可以访问的数据信息资源和应用程序。结论综上所述，本文结合VPN技术，提出了一套汽车集团企业内部网络部署方案，根据VPN网络架构和组网模式给出了网络实现过程，对汽车集团企业内部办公网络的建设和发展具有较强的现实指导意义。

作者：欧亚湘 单位：江西信息应用职业技术学院