VPN 技术在港口企业中的应用

时间：2024-05-17

郭健

（1、大连海事大学，辽宁大连 116026 2、天津港信息技术发展有限公司，天津 300000）

随着Internet 在企业领域应用的不断深化，VPN 作为一种廉价安全的组网方案越来越受到人们的青睐。在全球范围内，VPN 已经得到快速发展。目前，VPN 产品和技术已相当成熟，如何将VPN 技术引入错综复杂的港口生产业务中成为了港口信息部门的研究课题。

1 VPN 技术介绍

1.1 什么是 VPN

VPN(Virtual Private Network)是指采用隧道技术以及加密、身份认证等方法，在公用网络上构建专用网络，数据通过安全的“加密管道”在公用网络中传播。VPN 又称虚拟专网，指的是依靠ISP（Internet 服务提供商）和其它NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术。IETF 草案理解基于IP 的VPN 为：使用IP 机制仿真出一个私有的广域网是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet 公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。目前VPN 主要采用4 项技术保证安全，即：隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

1.2 VPN 是怎样工作的

VPN 实现的关键技术是隧道，而隧道又是靠隧道协议来实现数据封装的。VPN 将企业网的数据封装在隧道中，通过公网Internet 进行传输。因此，VPN 技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道协议中最为典型的有IPSEC、L2TP、PPTP 等。其中IPSEC 属于第三层隧道协议，L2TP、PPTP 属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP 数据包是被封装在哪种数据包中在隧道中传输。VPN 系统使分散布局的专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息，使敏感的数据不会被窃听。

1.3 怎样实现VPN 联网

VPN 的联网方式大致有三种：固定IP 与固定IP；固定IP 与动态IP；动态IP 与动态IP。第一种的联网方式是比较传统的方式，技术上实现最容易实现，目前的防火墙等设备就可以实现这种功能;第二种的VPN 联网方式，对于目前大多数专业的VPN 厂商也基本能解决;而第三种方式即动态IP 与动态IP 之间的VPN 通讯却成了很多厂商和科研机构望而却步的技术难题，实现起来并解决大规模的实际应用就更加困难。VPN 通过IPSEC 隧道协议对IP 数据报进行封装，使之在INTERNET上传输，就好像一条通道一样；VPN使用DES 加密算法保证机密性，MD5 信息摘要算法保证完整性，充分保证了数据的安全。现在VPN 已成为非常流行的远程连接技术。

2 港口生产需求分析

2.1 企业现状

国内某港口是我国北方重要的客货运输港，承载着我国北方内陆贸易的重要任务。该港口在内陆地区建立了多个无水港，使得内陆地区的客户不必亲临港口就可以办理相关业务，以便促进内陆地区进出口贸易的发展，从而进一步提升港口的生产服务水平。

目前，该港口业务主要存在以下问题:

2.1.1 各个无水港与总部间的数据交换不畅、总部和各无水港的数据交流途径简单，而且在数据交换过程中存在安全隐患。拨号连接的方式速度慢、稳定性差，严重堵塞了现有的交流渠道。2.1.2 各个无水港与总部间的数据交换时间固定，不能实现信息的实时获取。总部对各无水港的数据不能实时获取，各无水港也得不到总部的及时指导。2.1.3 没有足够的财力构建DDN/SDH专网。如果总部与各个无水港之间为了业务需要采用DDN/SDH 专线，则要面临昂贵的运营及维护费用，这对于该港口来说是无法承受的。

2.2 企业需求

虚拟专用网是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网络。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的业务上，而不是网络上。

3 VPN 解决方案

3.1 VPN 技术比较

目前企业实现VPN 联网方案主要有SSL VPN 和IPSec VPN 两种技术。后者出现较早，技术较成熟，但成本较高、维护复杂；前者则因为无需安全VPN 客户端的便利性及低成本，迅速得到了广泛应用。因此，SSL VPN 能否完全替代IPSec VPN 成为业界近年多有讨论的话题。目前，随着SSL VPN 实用主义特征不断加强，今后整个VPN 市场的一个显著趋势就是SSL VPN替代IPSec VPN，只是在某些高端市场的特定领域除外。

3.2 VPN 的四种场景

应该说，VPN 技术的广泛应用与当前企业的发展现状直接相关，有四种场景是VPN 的典型适用对象。第一种是员工的外出办公。越来越多员工会通过随身携带的笔记本、PDA，甚至包括使用手机进行远程移动办公，但是，企业的信息系统往往不能够提供足够的安全性。第二种是远程办事处接入。远程办事处涉及到很多场景，有的办事处只有一、两个人，属于业务单一型机构；有的办事处有七、八个人，是一个完全独立的小型局域网，业务范围涉及财务、销售等多种类型。第三种是远程局域网接入。这种场景其实也是IPSEC VPN 的主要应用，即把两个远程局域网组合成一个虚拟的子网，实现网络之间的互通。此应用多在总部与下级单位，或者总部与分、子公司之间。第四种则是网络接入方式多种多样，用户群体存在多种类型，由于用户的权限各有差异，所能登录的应用系统也就各有不同。这时，通过应用系统本身的访问控制或防火墙的网络访问控制是无法应付这种场景的，因为用户群体不一定，分布的范围也无法确定。应该说，无论哪一种场景，都可对应不同规模的企业，同时，不同规模企业对于安全需求的程度也有所差异，这就导致了SSL VPN 和IPSec VPN 目前各有其应用的现状。

3.3 方案规划

与IPSEC VPN 相比，SSL VPN 更加适用于单机接入总部网络的应用需求，其使用标准的浏览器，无需安装客户端程序，即可通过SSL VPN隧道接入总部网络访问应用。而IPSEC VPN 则适用于两个固定的局域网之间构建安全通道，同时SSL VPN 的算法在某些层面的安全性没有IPSec VPN 那么高。虽说IPSec VPN 的强项在于远程局域网的接入，把各个不同虚拟的子网结合在一块。但随着SSL VPN 技术的发展，SSL VPN在这一层面已经完全能够替代IPSEC VPN 了，也就是说现在的SSL VPN 产品都能够实现Site to Site（子网之间的组网）。因此，选择带有SSL VPN 功能的防火墙产品部署在港口总部，各无水港通过互联网采用专用机登陆的方式联入总部，这样既发挥了SSL VPN 的灵活性和易维护性，又保证了港口总部网络的安全性，同时控制了投资成本。