VPN(通用10篇)
VPN是什么意思?
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”.顾名思义,虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.----
这一个VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”.顾名思义,虚拟专用网络我们可以把他理解成是虚拟出来的企业内部专线.他可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或者是多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是他并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止 Arp病毒)等硬件设备.VPN技术原是(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)具有的重要技术之一,目前在交换机,防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)设备或者是WINDOWS2000等软件(soft)里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网.虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的,安全的连接,是一条穿过混乱的公用网络的安全,稳定的隧道.虚拟专用网是对企业内部网的扩展.虚拟专用网可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入,以实现安全连接;可以用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充.针对不相同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN),企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络,企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应.VPN有什么用?
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
客户端的配置相对简单, XP和WIN2000的系统只需要在“网络连接”属性里点击“创建一个新的连接”, 按向导一步步走, 网络连接类型选“连接到我的工作场所的网络”;下一步选“虚拟专用网络连接”;下一步连接名任意指定;下一步是否初始化可以选择不初始化任何连接 (这样比较简洁) ;下一步输入你的VPN服务器的IP地址或域名, 一般是输入IP地址的, 正确输入。这里给一个小技巧提示, 打开该连接的属性, 如右图:
其他设置采用默认配置即可, 在“网络”选项卡里选“TCP/IP属性”, 再点“高级”, “在远程网络上使用默认网关”这一可选项默认是选中的, 改为不选, 这样可以使你的客户机保持正常的Internet连接, 否则你会发现你的本机只能访问远程网络了。
2 服务器的配置
服务器的配置相对复杂一些, 不同的操作系统设置是不一样的, 下面我们以Windows 2000和Windows XP为例分别说明一下:
1) Windows 2000中需要启动“管理工具”中的“路由和远程访问”, 如下图:
选择“配置并启用远程路由访问”, 在公共设置中选择“手动配置服务器”即可。结束向导后, 路由和远程访问就配置完成了, 一般这样就可以了。这里给一个小提示, 如果你的局域网里还有子网, 你可以在下图 (左) 的“静态路由”里添加相应的网关地址, 使拨入用户可以访问这些子网。
接下来打开“网络和拨号连接”, 会多出一个“传入的连接”, 如下图 (右) :
打开其属性, 在“常规”选项里用默认的配置即可;在“用户”选项里可以添加选择有远程访问权限的用户 (就是你在远程拨号连接时必须输入的用户名及密码) ;在“网络”选项里设置远程计算机拨入的TCP/IP属性, 如右图:
要实现远程访问本地网络。“网络访问”下的选项当然用该勾上;地址分配最好选择指定, 你可以设置上你本地网络一段不用的IP地址;“允许呼叫的计算机指定其IP地址”看你的喜好了, 无关大局。
2) 在Windows XP中需要启动服务中的“Routing and Remote Access”, 该服务默认是禁用的, 更改启动类型为自动, 并启动该服务即可。这时查看你的网络连接, 会多出一个“传入的连接”项, 之后的设置与Windows 2000相似, 此处就不再叙述了。
3 路由器的设置
设置好服务端和客户端只是完成了最基本的设置, 除非客户端能直接连接到服务端, 也就是说除非服务端直接接在互联网上并有固定的IP或者域名, 否则这样简单的设置是不可能建立VPN通道的。目前较多的互联网接入方式是ADSL拨号+路由器, 即由路由器管理互联网的接入, 局域网架设在路由器之后。这样就需要在路由器上设置一下, 以允许VPN连接通过。如下图 (左) :
在路由器的虚拟服务器中设置, 其中, 1723为PPTP协议的默认端口, 指向的IP地址即为局域网内的VPN服务器。
其次, 拨号上网每次的IP地址都是不同的, 为此我们需要做DDNS, 即动态域名解析, 它的作用是将你的固定域名与不固定的IP地址进行绑定, 大多数的路由器是支持的, 如上图 (右) :
去花生壳网站注册一个用户并申请免费域名, 在上图中填写你注册的用户名及密码, 选中“启用DDNS”, 登录即可。这样你在远程用客户端连接时, 可以填入VPN服务器的当前IP地址 (通过Ping你申请的免费域名得到) , 也可以直接填入该域名。
如果你的路由器不支持DDNS或者你没有使用路由器, 那你可以在服务器端安装花生壳客户端, 登录后保持一直在线即可。
摘要:VPN的英文全称是“Virtual Private Network”, 翻译过来就是“虚拟专用网络”。顾名思义, 虚拟专用网络可以理解成是虚拟出来的私有专线。虚拟专用网 (VPN) 被定义为通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。远程访问虚拟网 (Access VPN) 可以帮助你轻松地在家里、办公场所、外地等不同的环境里轻松地进行互相访问, 仿佛这些环境并没有被物理分开一样。作者因从事网络工作, 在这个问题上做了一些应用实践, 得到一些心得, 在此与各位朋友交流, 希望能互相学习促进。另外, 作者只是利用操作系统及家庭SOHO路由器的简单功能来实现的, 并没有使用专业的VPN路由器, 对大型或有严格加密要求的网络并不适用。
评选理由:鞭的由来与锏相同,惟戬必双用,鞭则有单双软硬之分,但是现在普遍所见都是软鞭。鞭要求演习者在身法上转折圆活,刚柔合度;步伐轻捷奋迅,与手法紧密配合。软鞭是软硬兼施的兵器,其特点是身械协调性强,演练者强,既要有击打速度,又要体现灵巧的方法。尤其舞动时,上下翻飞,相击作响,如银蛇飞舞,使人眼光撩乱。方正VPN安全网关是集VPN(虚拟专用网)和防火墙功能于一体的硬件网关设备,同时具有VPN客户端和集中管理软件,整个系统采用先进的认证、加密、访问控制和隧道封装技术,支持策略集中统一管理,可谓软硬兼施,灵活方便。
产品简介:方正VPN安全网关是集VPN(虚拟专用网)和防火墙功能于一体的硬件网关设备,是采用先进的认证、加密、访问控制和隧道封装技术,支持策略集中统一管理,能满足企业总部和分支之间、企业和合作伙伴之间、移动办公用户和企业之间安全连接的需求,还可作为专线的备份线路。适用于静态地址、动态地址、NAT穿越等各种应用环境。适用于静态地址、动态地址、NAT穿越等各种应用环境,能够满足从大型企业集团到中小型企业、政府机关、行业用户的各种组网要求。
方正VPN系统由三部分组成:VPN安全网关、安全管理中心SecuwayCenter2000和VPN客户端SecuwayClient2000。整个系统采用模块化设计,用户可以根据实际需要灵活配置。对于中小企业,由于VPN设备不多,也可以不采用SecuwayCenter2000,直接采用网关自带的GateAdminPro管理软件进行安装、配置,从而最大限度地节省用户的投资,减少系统的维护量。
方正VPN安全网关特点:
独创的芯片级设计思想
独创的芯片级设计是方正VPN在稳定性、安全性和性能方面得以出色表现的坚实基础。它独特的体系结构消除了传统VPN系统中由于使用通用处理器、通用操作系统而导致的自身安全漏洞、稳定隐患和性能瓶颈,同时依然提供了基于完全状态检测的网络通信安全。
使用超级VPN加速芯片
采用芯片级的设计,极大地提高了自身的可靠性和效率。 使用针对VPN高强度运算优化的超级芯片,VPN通讯速度达到软件模拟的10倍以上。
获得专利的黑区安全体系
可灵活提供了一个安全的监视区域,并提供与其他网络安全技术的联动接口。黑区可帮助管理员对整个网络进行安全监控,能够与众多主流入侵检测系统无缝联动,并联合其他安全产品形成立体网络安全体系。
强大的集中管理功能
利用SecuwayCenter2000安全管理中心可对VPN策略、VPN隧道、VPN客户端进行有效的管理。同时SecuwayCenter2000还是证书分发中心、身份认证中心、日志信息收集和分析中心。通过SecuwayCenter2000对VPN网络进行有效的管理。安全管理中心包括SecuwayCenter2000管理中心、SQLServer 数据库和Radius服务器。
独一无二的自毁保护
提供国际先进理念的物理安全,可保证不因人为的物理损坏而导致策略失效和敏感信息泄密,符合国际和国内标准所规定的安全系统本身高安全性的要求。
多ISP线路接入
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
使用隧道传递的数据(或负载)可以是不同协议的数据桢(此字不正确)或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。
新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。
注意隧道技术是指包括数据封装,传输和解包在内的全过程。
1、点对点隧道协议(PPTP)
点对点隧道协议(PPTP,Point-to-point Tunneling Protocol)是一种用于让远程用户拨号连接到本地ISP,通过因特网安全远程访问公司网络资源的新型技术。PPTP对PPP协议本身并没有做任何修改,只是使用PPP拨号连接,然后获取这些PPP包,并把它们封装进GRE头中。PPTP使用PPP协议的PAP或CHAP(MS-CHAP)进行认证,另外也支持Microsoft公司的点到点加密技术(MPPE)。PPTP支持的是一种客户-LAN型隧道的VPN实现。
传统网络接入服务器(NAS)执行以下功能:它是PSTN或ISDN的本地接口,控制着外部的MODEM或终端适配器:它是PPP链路控制协议会话的逻辑终点;它是PPP认证协议的执行者;它为PPP多链路由协议进行信道汇聚管理;它是各种PPP网络控制协议的逻辑终点。PPTP协议将上述功能分解成由两部分即PAC(PPTP接入集中器)和PNS(PPTP网络服务器)来分别执行。这样一来,拨号PPP链路的终点就延伸至PNS。
PPTP协议正是利用了“NAS功能的分解”这样的机制支持在因特网上的VPN实现。ISP的NAS将执行PPTP协议中指定的PAC的功能。而企业VPN中心服务器将执行PNS的功能,通过PPTP,远程拥护首先拨号到本地ISP的NAS,访问企业的网络和应用,而不再需要直接拨号至企业的网络,这样,由GRE将PPP报文封装成IP报文就可以在PAC-PNS之间经由因特网传递,即在PAC和PNS之间为用户的PPP会话建立一条PPTP隧道。
建立PPTP连接,首先需要建立客户端与本地ISP的PPP连接。一旦成功的接入因特网,下一步就是建立PPTP连接。从最顶端PPP客户端、PAC 和PNS服务器之间开始,由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中,所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道,因此PAC只起着通过PPP连接进因特网的入口点的作用。从技术上讲,PPP包从PPTP隧道的一端传输到另一端,这种隧道对用户是完全透明的。
PPTP具有两种不同的工作模式,即被动模式和主动模式。被动模式的PPTP会话通过一个一般是位于ISP处的前端处理器发起,在客户端不需要安装任何与PPTP有关的软件。在拨号连接到ISP的过程中,ISP为用户提供所有的相应服务和帮助。被动方式的好处是降低了对客户的要求,缺点是限制了客户对因特网其他部分的访问。
主动方式是由客户建立一个与网络另外一端服务器直接连接的PPTP隧道,这种方式不需要ISP的参与,不再需要位于ISP处的前端处理器,ISP只提供透明的传输通道。这种方式的优点是客户拥有对PPTP的绝对控制,缺点是对用户的要求较高,并需要在客户端安装支持PPTP的相应软件。
通过PPTP,远程用户经由因特网访问企业的网络和应用,而不再需要直接拨号至企业的网络。这样大大的减少了建立和维护专用远程线路的费用。且为企业提供了充分的安全保证。另外,PPTP还在IP网络中支持IP协议。PPTP“隧道”将IP、IPX、APPLE-TALK等协议封装在IP包中,使用户能够运行基于特定网络协议的应用程序。同时,“隧道”采用现 有的安全检测和认证策略,还允许管理员和用户对数据进行加密,使数据更加安全。PPTP还提供了灵活的IP地址管理。如果企业专用的网络使用未经注册的IP地址,那么PNS将把此地址和企业专用地址联系起来。
PPTP协议是一个为中小企业提供的VPN解决方案,但PPTP协议在实现上存在着重大安全隐患。有研究表明其安全性甚至比PPP还要弱,因此不适用于需要一定安全保证的通信。如果条件允许,用户最好选择完全能够替代PPTP的下一代二层协议L2TP。
2、第二层转发(L2F)
L2F由Cisco公司在1998年5月提交给IETF,RFC2341对L2F有详细的阐述。L2F可以在多种介质(如AMT、帧中继、IP网)上建立多协议的安全虚拟专用网。它将链路层的协议(如HDLC,PPP,ASYNC等)封装起来传送。因此,网络的链路层完全独立于用户的链路层协议。L2F远端用户能够通过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接:NAS根据用户名等信息,发起第二重连接,呼叫用户网络的服务器。在这种方式下隧道的建立和配置对用户是完全透明的。L2F允许拨号接入服务器发送PPP帧传输并通过WAN连接到达L2F服务器。L2F服务器将包去封装后把它们接入到公司自己的网络中。
3、二层隧道协议(L2TP)
L2TP协议的前身是Microsoft公司的点到点隧道协议(PPTP)和Cisco公司的二层转发协议(L2F)。PPTP协议是一个为中小企业提供的VPN解决方案。但PPTP协议在实现上存在着重大安全隐患,有研究表明其安全性甚至比PPP还要弱,因此不适用于需要一定安全保证的通信。L2F协议是一种安全通信隧道协议,但它的主要缺陷是没有把标准加密方法包括在内,因此它也已经成为一个过时的隧道协议。IETF的开放标准L2TP协议结合了PPTP协议和L2F的优点,特别适合组建远程接入方式的VPN,已经成为事实上的工业标准。
远程拨号的用户通过本地PSTN、ISDN或PLMN拨号,利用ISP提供的VPDN特服号,接入ISP在当地的接入服务器(NAS)。NAS通过当地的VPDN的管理系统(如认证系统),对用户身份进行认证,并获得用户对应的企业安全网关(CPE)的隧道属性(如企业网关的IP地址等)。NAS根据获得的这些信息,采用适当的隧道协议封装上层协,议建立一个位于NAS和LNS(本地网络服务器)之间的虚拟转网。
4、多协议标记交换(MPLS)
MPLS为每个IP包加上一个固定长度的标签,并根据标签值转发数据包。MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道是十分容易的。同时,MPLS是一种完备的网络技术,可以用它来建立起VPN成员之间简单而高效的VPN。MPLS VPN适用于实现对服务质量、服务等级的划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。
CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。CE路由器不使用MPLS,它可以只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。PE路由器是与用户CE路由器相连的服务提供者边缘路由器。PE实际上就是MPLS中的边缘标记交换路由器(LER),它需要能够支持BGP协议,一种或几种IGP路由协议以及MPLS协议,需要能够执行IP包检查、协议转换等功能。
用户站点是指这样一组网络或子网,它们是用户网络的一部分并且通过一条或多条PE/CE链路接至VPN。一组共享相同路由信息的站点就构成了VPN。一个站点可以同时位于不同的几个VPN之中。
从MPLS VPN网络的结构可以看到,与前几种VPN技术不同,MPLS VPN网络中的主角虽然仍然是边缘路由器(此时是MPLS网络的边缘LSR),但是它需要公共IP网内部的所有相关路由都能够支持MPLS,所以这种技术对网络有较为特殊的要求。
5、IP安全(IPSec)
IPSec是专门为IP设计提供安全服务的一种协议(其实是一种协议族)。IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等。
IPSec主要由AH(认证头)、ESP(封装安全载荷)、IKE(因特网密钥交换)三个协议组成,各协议之间的关系如下图所示
①AH为IP数据包提供无连接的数据完整性和数据源身份认证,同时具有防重放攻击的能力。数据完整性校验通过消息认证码(如MD5)产生的校验来保证;数据源身份认证通过在待认证数据中加入一个共享密钥来实现;AH报头中的序列号可以防止重放攻击。
②ESP为IP数据包提供数据的保密性(加密)、无连接的数据完整性、数据源身份认证以及防重放攻击保护。其中的数据保密性是ESP的基本功能,而数据源身份证、数据完整性检验以及重放保护都是可选的。
③AH和ESP可以单独使用,也可以结合使用,甚至嵌套使用。通过这些组合方式,可以在两台主机、两台安全网关(防火墙和路由器),或者主机与安全网关之间使用。
④解释域(DOI)将所有的IPSec协议捆绑在一起,是IPSec安全参数的主要数据库。
⑤密钥管理包括IKE协议和安全联盟(SA)等部分。IKE提供密钥确定、密钥管理。它在通信系统之间建立安全联盟,是一个产生和交换密钥材料并协调IPSec参数框架。
IPSec可以在主机、路由器/防火墙(创建一个安全网关)或两者中同时实施和部署。用户可以根据对安全服务的要求决定究竟在什么地方实施。、为实现在专用或公共IP网络上的安全传输,IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。
6、通用路由封装(GRE)
通用路由协议封装(GRE)是由Cisco和NetSmiths等公司1994年提交给IETF的,标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GER隧道协议。
GER规定了如何用一种网络协议去封装另一种网络协议的方法。GER的隧道由两端的 源IP和目的IP来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。通过GER,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。GER只提供了数据包的封装,并没有加密功能来防止网络侦听和攻击,所以在实际环境中经常与IPSec在一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。GER的实施策略以及网络结构与IPSec非常相似,只需要网络边缘的接入设备支持GER协议即可。GER封装的格式如下图。
第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于实现专线VPN业务,L2TP主要用于实现拨号VPN业务(但也可以用于实现专线VPN业务),当然这些协议之间本身不是冲突的,而是可以结合使用的。
镇统计站完成VPN内网接入工作
为充分发挥统计网络优势,提高乡镇统计信息化建设水平,开展多方位的统计对外宣传,进一步拓宽统计信息服务领域,近日,乡镇统计内网接入工作进行现场安装调试,截止目前,我镇的VPN网已成功接入。乡镇统计站内网的接入,能够满足乡镇统计工作站与市旗两级进行数据传输的各种要求,随时可以在网上查阅各种资料,及时了解最新统计工作动态,为进一步提高统计人员业务素质和工作效率将会发挥积极作用。
[关键词]房地产项目 全过程 跟踪审计
近年来,我国房地产业从“支柱产业”逐渐沦落为宏观调控的重点对象,去除泡沫、稳定房价、压缩房地产商利润空间成为政府的政策导向,房地产业将很快会告别暴利时代,行业利润将会理性回归,行业的竞争将趋于白热化,只有那些极少数具备卓越的精细化管理优势,拥有强大资本和畅通的融资渠道,拥有先进管理理念的地产商才会脱颖而出,做强做大。在这样的大背景下,房地产企业的内部审计部门作为企业内部独立评价机构,应积极创新审计思路,通过有效的审计监督和诊断,提高企业管理水平,为企业增加价值。
一、开展项目全过程跟踪审计的必要性
开发项目具有周期长、投资额大、控制环节多等特点,建设过程中的投资决策、设计、销售、采购、招标、施工、监理等任何一个环节出现漏洞,都可能导致无法挽回的损失,直接影响项目的投资效益。因此有必要对项目进行全过程、全方位的监控。
长期以来,开发企业对项目的全程审计不很重视,审计部门的精力主要停留在工程竣工结算的审核以及项目终结后效益的分析考核上,这样做往往是亡羊补牢。这种事后审计,对于审计发现的问题有的已无法整改,或不具备整改的条件;有的整改起来比较被动,通过开展全过程跟踪审计就可以及时发现项目实施过程中出现的问题,及时提出整改方案和措施,实现项目效益的最大化。
二、对项目全过程审计的内容及审计思路
开发项目全过程跟踪审计根据项目开发流程和工作特点,可划分为三个阶段,投资决策及设计阶段、项目实施阶段、项目终结阶段。
(一)项目投资决策及设计阶段的审计。
1.开发项目可行性分析是项目投资前期工作的核心和重点,也是项目决策的重要依据,审计中应对可行性分析报告进行全面的审查,重点关注以下内容:
(1)结合企业的战略发展要求分析项目的投资环境、项目定位、市场前景、资金运作、经济效益、社会效益、面临的风险及防范措施等关键内容。
(2)复核可研报告中的基础数据、相关参数、经济指标等,确定项目建设在经济上的效益性和经济性。
2.设计阶段是开发项目成本管理的重点环节,据有关研究表明,设计对工程造价的影响程度达到75%以上,显而易见,优良的设计是有效控制工程造价的关键,项目的工期、质量能否保证,投资能否节约,在很大程度上也取决于设计质量的优劣。该阶段审计应关注:(1)是否建立完善的择优机制选择设计单位;(2)审查是否采用了“限额设计”法,各专业指标是否分解到位,是否设立了较强的设计审查小组,是否有相应的奖罚机制来确保设计质量;(3)分析设计方案是否运用了价值工程进行优化,设计选用的材料设备是否符合项目定位。[!--empirenews.page--]
(二)项目实施阶段的审计
项目进入实施阶段,审计的思路就是依据项目目标,定期审查项目阶段性目标完成情况,分析项目执行是否偏离目标,针对存在的问题提出改进措施,具体来讲,应围绕以下几方面开展审计工作。[1][2]下一页
1.审查项目目标。项目开发的目标大体分为:销售目标、进度目标、成本控制目标、质量目标、融资目标、费用控制目标。审计中应对项目目标的编制深度、目标的可落实性、可考查性,可行性进行审查,从而形成项目实施过程审计的目标评价体系。
2.实施有效的评估。分阶段对各项目标完成情况进行评估,审计中应主要集中于分析实际绩效与目标的偏差,分析产生偏差的原因。审计的内容分两个方面:一是量化的目标完成效果,这方面的审查比较客观;二是审查责任人对偏差产生后的应对措施,以及纠正行动方案的合理性,即评估责任人应对变化的能力。
3.发现偏差,立刻督促项目管理组织予以纠正。在定期的项目管理审计中,若发现当前的工作可能影响阶段目标的完成,从而影响到项目总体目标,就必须立刻督促项目管理组织提出纠正行动方案。
4.对项目目标调整的审查应是项目实施过程中审计的重点。既要允许项目管理组织根据实际情况,在必要的情况下调整工作目标,又要防止项目组夸大客观事实、随意调整项目目标。在审计工作中,要重点把握调整目标的程序性、出现偏差与目标的关联性以及项目责任人员的主观努力性。
(三)项目终结阶段的审计
项目终结后,要集中审查项目的实际结果和决策目标是否一致、偏差是否合理;对项目的投资决策、实施过程等环节进行事后审查,以全新的角度审计项目的全过程。
1.重新审查项目投资决策的科学性,尤其要审查投资决策的预见性。对项目实施中出现的新情况必须认真分析,哪些是应该能够预见的,哪些是无法预见的。
2.重新审查对预见的风险因素采取措施的科学性、合理性。即审查企业的变化管理中的防范风险的能力。
3.重新审查企业的项目管理能力。审查项目责任人在项目实施中职责履行情况,项目完成情况与项目决策目标的偏差,项目绩效指标与房地产行业平均水平的偏差。
三、对开发项目关键环节的审计
众所周知,开发项目投资构成中,建安投资占的比重很大,在建安环节中,尽管节约投资的可能性已经很小,但浪费投资的可能性却很大。因而要对建安环节进行重点监控。在审计中,侧重把握以下三个方面。
(一)工程招投标的审计。应当注重审查工程建设项目在勘察、施工、供货、监理等合作单位的选定时,是否实行了招投标制,是否按照“公开、公平、公正”的原则进行招投标。审计应重点审查招投标程序的合法性及操作的规范性,审查投标单位资质和条件的有效性,审查招标小组评标办法的合理性,审查工程标底的合理性。通过实施项目招投标的审计,从源头上降低工程造价,提高项目的投资效益。[!--empirenews.page--]
(二)项目合同的审计。建设合同是明确双方当事人权利义务的有效依据,也是确保工程质量、进度、造价的关键文件,因此审计应重点关注项目工程建设是否遵守“先订合同,后施工”原则,有无无合同施工的现象,合同是否响应招投标文件,合同条款是否齐全严谨,如定额套用、费用计取、材料供应、工期进度等主要条款是否明确等。
虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接方式。这种跨越公共互联网络建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。
使用VPN技术可以解决在当今远程通讯量日益增大,企业全国甚至全球运作广泛分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的通讯的问题。
1 概念
VPN的英文全称是“Virtual Private Network”,顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的内部专线。VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个单位内部网之间建立一条专有的通讯线路。
VPN的基本概念:隧道,加密以及认证
· 隧道——隧道是在公网上传递私有数据的一种方式;安全隧道是指在公网上几方之间进行数据传输中,保证数据安全及完整的技术
· 加密——保证数据传输过程中的安全
· 认证——保证VPN通讯方的身份确认及合法
2 虚拟专用网络的基本用途
通过Internet实现远程用户访问,虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。
与使用专线拨打长途连接企业的网络接入服务器(NAS)不同,虚拟专用网络用户首先拨通本地ISP的NAS,然后利用VPN软件或硬件与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Internet或其它公共互联网络的虚拟专用网络(如图1所示)。
3 隧道技术基础
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。注意隧道技术是指包括数据封装,传输和解包在内的全过程。
隧道所使用的传输网络可以是任何类型的公共互联网络。目前较为成熟的技术包括:
(1) IP网络上的SNA隧道技术
当系统网络结构(SystemNetworkArchitecture)的数据流通过企业IP网络传送时,SNA数据帧将被封装在UDP和IP协议包头中。
(2) IP网络上的NovellNetWareIPX隧道技术
当一个IPX数据包被发送到NetWare服务器或IPX路由器时,服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。另一端的IP-TO-IPX路由器在去除UDP和IP包头之后,把数据包转发到IPX目的地。
(3) 点对点隧道协议(PPTP)
PPTP协议允许对IP,IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。
(4) 第2层隧道协议(L2TP)
L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据包传递的任意网络发送,如IP,X.25,帧中继或ATM。
(5) 安全IP(IPSec)隧道模式
IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。
(6) 安全套接层协议SSL
SSL(Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它主要适用于点对点之间的信息传输,是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。
(7) 隧道协议
为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IP overIP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。
隧道协议和基本隧道要求如下:
① 用户验证:第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前,隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。
② 令牌卡(Tokencard)支持:通过使用扩展验证协议(EAP),第2层隧道协议能够支持多种验证方法,包括一次性口令(one-timepassword),加密计算器(cryptographic calculator)和智能卡等。第3层隧道协议也支持使用类似的方法,例如IPSec协议通过ISAKMP/Oakley公共密钥证书验证。
③ 动态地址分配:第2层隧道协议支持在网络控制协议(NCP)协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。
④ 数据压缩:第2层隧道协议支持基于PPP的数据压缩方式。例如,微软的PPTP和L2TP方案使用微软点对点加密协议(MPPE)。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。
⑤ 数据加密:第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。
⑥ 密钥管理:作为第2层协议的MPPE依靠验证用户时生成的密钥,定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥,同样对其进行定期更新。
⑦ 多协议支持:第2层隧道协议支持多种负载数据协议,从而使隧道客户能够访问使用IP,IPX,或NetBEUI等多种协议企业网络。相反,第3层隧道协议,如IPSec隧道模式只能支持使用IP协议的目标网络。
4 隧道类型
4.1 自愿隧道(Voluntarytunnel)
用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。
自愿隧道技术为每个客户创建独立的隧道。FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享,而不必为每个客户建立一条新的隧道。因此,一条隧道中可能会传递多个客户的数据信息,只有在最后一个隧道用户断开连接之后才终止整条隧道。
4.2 强制隧道(Compulsorytunnel)
由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时,用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。
因为客户只能使用由FEP创建的隧道,所以称为强制隧道。一旦最初的连接成功,所有客户端的数据流将自动的通过隧道发送。使用强制隧道,客户端计算机建立单一的PPP连接,当客户拨入NAS(Network Attached Storage:网络附属存储)时,一条隧道将被创建,所有的数据流自动通过该隧道路由。可以配置FEP为所有的拨号客户创建到指定隧道服务器的隧道,也可以配置FEP基于不同的用户名或目的地创建不同的隧道。
5 高级安全功能
虽然Internet为创建VPN提供了极大的方便,但是需要建立强大的安全功能以确保企业内部网络不受到外来攻击,确保通过公共网络传送的企业数据的安全。对称加密与非对称加密(专用密钥与公用密钥)。
对称加密,或专用密钥(也称做常规加密)由通信双方共享一个秘密密钥。发送方在进行数学运算时使用密钥将明文加密成密文。接受方使用相同的密钥将密文还原成明文。RSA RC4算法,数据加密标准(DES),国际数据加密算法(IDEA)以及Skipjack加密技术都属于对称加密方式。
非对称加密,或公用密钥,通讯各方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥,任何人都可以获得公用密钥。专用密钥和公用密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。
公用密钥加密技术允许对信息进行数字签名。数字签名使用发送一方的专用密钥对所发送信息的某一部分进行加密。接受方收到该信息后,使用发送方的公用密钥解密数字签名,验证发送方身份。
5.1 证书
使用对称加密时,发送和接收方都使用共享的加密密钥。必须在进行加密通讯之前,完成密钥的分布。使用非对称加密时,发送方使用一个专用密钥加密信息或数字签名,接收方使用公用密钥解密信息。公用密钥可以自由分布给任何需要接收加密信息或数字签名信息的一方,发送方只要保证专用密钥的安全性即可。
5.2 扩展验证协议(EAP)
由于PPP协议只能提供有限的验证方式。EAP是由IETF提出的PPP协议的扩展,允许连接使用任意方式对一条PPP连接的有效性进行验证。EAP支持在一条连接的客户和服务器两端动态加入验证插件模块。
5.3 交易层安全协议(EAP-TLS)
EAP-TLS是基于公用密钥证书的验证方式。使用EAP-TLS,客户向拨入服务器发送一份用户方证书,同时,服务器把服务器证书发送给客户。用户证书向服务器提供了强大的用户识别信息;服务器证书保证用户已经连接到预期的服务器。用户方证书可以被存放在拨号客户PC中,或存放在外部智能卡。无论那种方式,如果用户不能提供没有一定形式的用户识别信息(PIN号或用户名和口令),就无法访问证书。
5.4 IPSEC
IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密,同时确保数据的完整性。按照IETF的规定,不采用数据加密时,IPSEC使用验证包头(AH)提供验证来源验证(source authentication),确保数据的完整性;IPSEC使用封装安全负载(ESP)与加密一道提供来源验证,确保数据完整性。
5.5 协商安全关联(NegotiatedSecurityAssociation)
一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。
5.6 验证包头
通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。
5.7 封装安全包头
为了保证数据的保密性并防止数据被第3方窃取,封装安全负载(ESP)提供了一种对IP负载进行加密的机制。
5.8 扩展性
通过使用循环DNS在同属一个安全地带(securityperimeter)的VPN隧道服务器之间进行请求分配,可以实现容余和负荷平衡。一个安全地带只具有一个对外域名,但拥有多个IP地址,负荷可以在所有的IP地址之间进行任意的分配。
5.9 RADIUS
远程验证用户拨入服务(RADIUS)协议是管理远程用户验证和授权的常用方法。RADIUS是一种基于UDP协议的超轻便(lightweight)协议。
5.10 记费,审计和报警
为有效的管理VPN系统,网络管理人员应当能够随时跟踪和掌握以下情况:系统的使用者,连接数目,异常活动,出错情况,以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费,审计和报警或其它错误提示具有很大帮助。
6 结论
如本文所述,虚拟专用网络(VPN)是一门新型的网络技术,它为我们提供了一种通过公用网络(如最大的公用因特网)安全地对企业内部专用网络进行远程访问的连接方式。虽然上述通讯过程发生公共互联网络上,但是用户端如同使用专用网络进行通讯一样建立起安全的连接。
摘要:虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接,并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。VPN利用公共网络基础设施,通过一定的技术手段,达到类似私有专网的数据安全传输。
关键词:虚拟专用网络,隧道技术,加解密技术
参考文献
[1]王达,何艳辉,王珂,等.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[2]何宝宏.IP虚拟专用网技术[M].北京:人民邮电出版社,2002.4.
TeamViewer对于PC远程协助就是不错的解决方案,现在它提供的Android与iOS的应用程序就能很好地建立移动设备与PC之间的特殊通道。
首先,在需要远程协助的PC安装TeamViewer软件。安装步骤虽然简单,但是需要用户注意的是,在选择安装类型这一步骤时选择“Yes”建立无人值守,以便用户随时访问远程PC,并注意选择“使用TeamViewer VPN”用来创建安全的VPN远程控制链接。之后程序会自动弹出设置无人值守安装向导,依次设置PC用户名与预定义密码,以后无需在PC端操作即可使用Android或iOS设备远程控制了。
完成安装后,运行TeamViewer即可获得一个远程连接ID,在移动终端连接PC主机时,只需将刚获得的ID与预定义密码输入即可,不用操控PC端获得TeamViewer随机生成的连接密码。
接下来,就在手机或平板电脑中下载并安装移动版的TeamViewer应用。运行应用后,在登录界面中输入远程PC的ID与预设密码,也可以通过“伙伴”功能,直接输入预设的PC用户名与密码连接。
触控“连接至伙伴”按钮,即可看到PC端桌面,可以通过触屏操作来控制鼠标、图标的拖动以及屏幕的缩放,双手指点击可实现鼠标右键功能。
番禺中小型企业客户关怀暨VPN业务
推介会活动策划
一、活动概述
(1)活动背景:
为配合政企VPN业务的推广,利用客户关怀的契机,向中小型客户推介该业务。
(2)活动目标:
加强沟通,培养市场、拉动业务量。
(3)目标客户类型:
中小型客户话费较高的150户目标客户。
二、活动策略
思考:如何实现活动目标?
1.如何加强客户沟通?
2.如何稳定并发展市场?
3.如何拉动业务量?
解决:通过关怀活动提升客户的黏性
1、活动主题契合目标客户;
2、活动内容深受客户喜欢。
活动主题:感谢有你,乐享好礼
——番禺中小型企业客户关怀暨VPN业务推介会 “感谢有你,乐享好礼“表明活动的价值所在,直触客户内心 “感谢”可带给首要客户一种尊崇感
“好礼”直接给受邀客户以吸引力
“中小型企业客户关怀暨VPN业务推介会”表明活动主题。
设计需求:活动主画面;邀请函;会场横幅。
三、活动策划
(1)总体概述
活动主题:感谢有你,乐享好礼
——番禺中小型企业客户关怀暨VPN业务推介会
活动说明:邀请番禺内中小型客户话费较高的150户目标客户,参加答谢暨
推介会,借此机会与客户多沟通、回馈优质客户,并趁机宣传VPN业务。
活动地点:番禺宾馆(广东省市桥街大北路130号)活动时间:2011年6月25日(周日)邀请人数:150人左右
邀请对象:番禺内中小型客户话费较高的150户目标客户 邀请方式:客户经理邀请函上门邀请
执行要点:答谢会重点注意突出对优质客户的感谢及产品给客户带来的价值,关怀活动注意现场安全及协调,悉心照顾到每一个客户!
(2)沟通会流程安排
(3)会议前准备
1、会议相关物料准备
会场宣传物料、到场礼品、宣传单张等
2、会场地址指引及客户身份确认
在邀请函上印上会场的地图,以便客户能顺利到达会场。同时为了确保到场的客户与客户经理提供的客户名单一致,要求客户在邀请函上盖上该公司的公章或业务章。
(4)礼品方案
1.问答礼品:高级黑釉手工茶具;多功能双人野餐包;韩国进口情侣陶瓷杯 2.纪念礼品:雪砂飞壶咖啡套装
此外,可考虑将电信此次产品作为奖品,如赠送三个月的免费宽带或半年的免费天翼3G套餐等。
(5)会议后跟踪与回访
1.由客户经理对其邀请的客户进行电话跟踪及上门拜访,趁热打铁,紧贴式
营销进一步掌握客户的产品使用情况。
2.回访目的为了解现存客户的产品使用情况,总结活动效果,对于活跃度仍
然没有提升的客户了解其活跃度不高的原因,并制订与调整相应的策略。
四、费用预算
关键词:VPN技术;隧道技术;安全技术
中图分类号:TP309.2 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
The Application of VPN Technology in Enterprise
Wang Hengxiang
(Tietong,Fujian Branch,Fuzhou350003,China)
Abstract:The typical application of VPN technology has made the detailed analysis and discussion.
Keywords:VPN technology;Channel technology;Safety technology
当前以Internet为标志的信息技术革命,正以惊人的速度改变着人们的生产、工作、学习和生活方式,全球信息化建设都处于一个高速发展的阶段,信息孤岛和信息共享安全已成为企业信息化建设过程中两个比较突出的问题。实现企业集团不同地点网络的互联有两种选择:一是组建传统的企业专用网络,二是组建VPN网络。前者需要采购相应的网络设备,租用或自建传输线路,进行网络的规划和建设以及网络建成后的维护和管理,成本高昂,通常适合于实力雄厚的大型企业集团;而对于中小企业来说,这高昂的成本开销是难以接受的,于是伴随着降低建网成本的市场需求,加之国内的IP资源有限的现状,企业的另一种选择-基于动态IP的VPN技术-悄然登场了,利用VPN组网成了企业网络建设性价比最高的解决方案。
一、VPN技术简介
VPN(虚拟专用网络,Virtual Private Network)是一种利用公共网络来构建的专用网络技术,“虚拟”这一概念是相对传统私有网络的构建方式而言的,VPN是用公共网络来实现远程的广域连接,通过它企业可以以更低的成本连接远程分支机构;或者在公共的骨干网络上承载不同的专用网络。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。简单地说VPN就是通过专用的隧道技术在公共数据网络上仿真一条点到点的专线技术。VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。目前,CPE-based VPN主要包含两种技术:隧道技术与安全技术。
(一)隧道技术
隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议有4种:点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5,它们在OSI七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
(二)安全技术
VPN是在不安全的Internet中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
1.认证技术。认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。
2.加密技术。IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密算法,如DES、3DES等。DES密钥长度为56位,容易被破译,3DES使用三重加密增加了安全性。
3.密钥交换和管理。VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。
二、VPN在企业中的应用
VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同,要仔细选择。
(一)Access VPN(远程访问VPN)
客户端到网关。VPN允许远程通讯方,销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明,用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接,进行数据的传输。远程用户拨号接入到本地的ISP,它适用于流动人员远程办公,可大大降低电话费。SOCKSv5协议比较适合这类连接。
(二)Intranet VPN(企业内部VPN)
网关到网关。它适用于公司两个异地机构的局域网互连,在Internet上组建世界范围内的企业网。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接,因此,在这类组网方式中用得最多。
(三)Extranet VPN(扩展的企业内部VPN)
与合作伙伴企业网构成Extranet。由于不同公司的网络相互通信,所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属于网关到网关的连接,选择IPSec协议是明智之举。使用VPN技术可以解决在当今远程通讯量日益增大,企业全球运作广泛分布的情况下,员工需要访问中央资源,企业相互之间必须进行及时和有效的通讯的问题。VPN可以实现不同网络的组件和资源之间的相互连接,能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。对中小企业来说,VPN是实现自建专网向利用运营商网络方向发展的重要技术,通过部署VPN,利用地理范围覆盖广阔,骨干网络带宽很高的运营商网络可以提供满足企业网络互连的需求,企业因此省去建设费用高昂的专有网络。对于建设了专用网络的大企业集团,利用MPLS VPN可以实现数据、语音、视频的多业务承载和、不同业务系统之间的隔离。MPLS VPN在保证不同业务的QOS和业务系统的安全隔离方面具有天然的优势。VPN组网应是企业信息化网络建设中性价比最高的解决方案。
参考文献:
[1]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002,9
【VPN】推荐阅读:
