他們專門盜取某些公司的資料或竊取篡改極具核心價值的商業計劃。他們個個武藝高超,在Internet上打家劫舍、為所欲為……人們稱之為商業黑客。
為了你公司的數據安全,你需要“數據鏢局——VPN”為你保駕。
一、能給我們的工作帶來哪些改變
小王是北京一家公司的信息部經理,負責公司內信息系統管理工作,原本一切好好的小王現在卻碰到一個大問題,正在犯愁呢。
隨著公司的發展壯大,老板先后在上海和廣州開辦了分公司來進一步發展業務,但各地分公司和總部進行信息溝通時,不能訪問公司總部的信息資源的情況時有發生。再則數據萬一被黑客截阻、盜走了怎么辦?
一些大型跨國公司解決這個問題的方法,就是在各個公司之間租用運營商的專用線路。這個辦法雖然能解決問題,但是費用昂貴,對于小王這樣一家小公司來說是無法負擔的,能有效解決這個問題的辦法當然有——VPN技術。
VPN技術可以利用現有的公用網絡(例如Internet)在不同的地域間建立一條虛擬的網絡隧道。不同地域的用戶使用起來感覺就像在同一個局域網內,而且在這條隧道上傳輸的數據都可以做高級的加密處理,既方便又安全。
VPN可以被應用到多種場合,像現在很多超市都開始連鎖經營,分店遍布全國各大城市,如果使用了VPN,各個分店可以隨時和總店進行信息溝通。除了超市外,還有很多連鎖經營的藥店,它們也同樣可以使用VPN,甚至連一些電信運營商的營業點都在使用VPN進行通信,可見VPN的用途有多么廣。
二、獨樹一幟的VPN
VPN的工作原理如圖1所示。在不同的設備之間使用VPN技術時,必須有一個統一的標準才能實現互相“理解”,就好像人和人之間溝通時需要有相同的語言一樣,所以針對此點也就產生了眾多的VPN協議。目前國際上比較流行的VPN協議主要有IPSec、PPTP、L2TP、MPLS、SSL等,這些不同的協議各有它獨特的優勢和缺陷。國際上眾多設備廠商在生產自己的VPN設備時,通常會采用其中一到兩種協議來作為該設備所支持的標準,目前使用的最多的當數IPSec和PPTP兩種協議。
三、搭建VPN系統
如果用戶要組建自己的VPN系統,通常有兩種方法可以選擇:軟件方式或硬件方式。目前較為流行的方式是使用專門的VPN硬件設備,因為使用硬件設備比軟件能提供更好的性能,而且現在硬件設備的價格也不貴。但建議最好將組建工作交給廠家負責,因為個人如果沒有一定的技術經驗往往會架設失敗。
小王最終選擇了中怡數寬DWnet的SAFEcon50。并請廠商技術人員進行了硬件安裝。圖2即為小王事例的VPN技術應用拓撲圖,圖中的虛線部分代表他公司通過Internet建立的VPN隧道。
SAFEcon50屬于同類產品中非常典型的一款VPN設備。它集成了路由器和具有VPN功能的防火墻設備,此外SAFEcon50還內置了VPN服務器,它可以和遠端網絡建立多達70條的IPSec VPN隧道,而且同時可支持10個遠端用戶使用PPTP VPN協議撥入本地網絡。考慮到兼容性等問題,小王決定在分公司等分支機構都使用中怡數寬品牌的VPN設備。
四、VPN典型應用方案
案例一:各分公司之間局域網實現互連
這里仍然以文章開頭的案例為例,來詳細描述如何在小王所在的總公司與分公司之間建立VPN網絡。小王所在的公司最終選用了中怡數寬的VPN防火墻產品SAFEcon50。
①首先小王分別給北京和上海分公司采購了這款產品。由于兩個地方的公司目前都已經能訪問Internet,所以不用再申請寬帶接入線路。先用SAFEcon50替換下兩個網絡中原有的路由器或其它的上網設備,通常這類設備都會被安裝在接入設備(例如:Modem、光纖轉發器等)和交換機之間,SAFEcon50也同樣,然后連接好所有的網絡線,硬件連接也就全部完成。
②下面要做的就是SAFEcon50的設置工作。因為SAFEcon50自帶了DHCP服務器,用戶的計算機可以自動獲取IP地址,從而能省去不少的麻煩。SAFEcon50的管理是基于Web界面的管理方式,所以小王就可以直接使用操作系統自帶的瀏覽器登錄到路由器上。
③點擊界面左上方的“Setup Wizard”按鈕,進行和Internet的連接設置。SAFEcon50會提供一個建立和Internet連接的安裝向導,用戶只需要按照向導的提示一步步操作即可完成。
④現在要進行的是最關鍵的部分——VPN參數設置。因為小王要實現兩個異地之間的網絡互連,所以要使用IPSec VPN協議,這個協議最適合建立多個不同網絡之間的互連。圖3即為SAFEcon50的IPSec VPN參數設置界面,小王根據自己網絡的具體情況進行了參數填寫(由于參數配置繁多,這里不一一列舉,具體設置方法可參看SAFEcon50的安裝手冊)。
當做好上述全部工作后,小王公司的總部終于能和上海分公司連通了,員工可以像在同一個局域網內一樣互相訪問數據。而且整個安裝和配置過程僅花掉小王幾個小時而已。
