随着SSL和MPLS设备的降价,两种新的VPN已经开始走进大型企业用户的视野。
提起VPN,普通用户想到的就是IPSec。事实上,随着SSL和MPLS设备的降价,两种新的VPN已经开始走进大型企业用户的视野。
SSL的安全动力
之所以把SSL摆在第一位,是因为最近上海移动通信公司部署了当前业内规模最大、应用最复杂的SSL VPN系统。
无独有偶,上海移动SSL VPN项目上线当天,恰好是本报安全巡展上海站的活动日。据上海移动SSL VPN项目负责人王鹏透露,目前公司已经拥有941万户移动用户,作为上海最大的移动运营商,上海移动1860客户服务热线有600多名客户服务人员,客服热线办公室内的电脑直接连接在内部办公网络中,为保证系统的安全,办公室网络不能访问外部网络。
但是,由于一些最新的政策和收费信息都是直接发布在上海移动公司和总公司网站,同时客户咨询的问题有很多也是网上服务系统的问题。因此,客户服务人员在接听电话的同时,还需要访问几个固定的外部网站。
“在考虑VPN之前,我们曾有过两种技术方案:第一,使用固定电脑访问外网。但这样做不仅会浪费大量的服务时间,而且也不利于客户服务人员与客户及时交流和沟通,大大降低了服务质量和水平;第二,通过远程桌面的方式访问互联网。这样做,服务器的负载很大,需要多台服务器才能实现,投资成本过高。”王鹏如是说。
正是由于上述方案的不足,促使王鹏考虑引入SSL VPN技术。“SSL VPN的核心是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道,部署成本比两种方案更低。而且SSL VPN无须在客户端安装和设置任何软件,只要会使用浏览器上网浏览就可以毫无障碍地使用SSL VPN了。”王鹏如是说。
截止到记者发稿时,王鹏已经完成了对VPN系统的测试与部署。据该项目实施方SafeNet公司工程师介绍,利用相应的iGate SSL VPN解决方案,上海移动可以在网络传输中使用标准的HTTPS协议,能够提供安全的网络隧道,保证数据不会被截获和破解。同时,SSL VPN也不会受NAT和穿越防火墙问题的困扰,任何能连接Internet的方式都可以构建SSL VPN通道。另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端的访问都是由VPN设备转发,而不能直接访问应用服务器,从而使服务器不易受到攻击。
据王鹏透露,上海移动把iGate设备部署在企业防火墙之后,所有的客户端就可以通过它来访问外部网站,不用担心由于不能访问互联网而无法答复客户的问题了。另外,SSL VPN可以很好地限制用户只能访问几个特定站点,通过相应的配置,上海移动的客户服务人员只需要访问与工作有关的一些站点就可以解决客户的问题。
王鹏透露说,目前他对于SSL VPN的安全性还是相当满意的。以身份验证为例,当客户端进行验证的时候,大部分网络应用程序会把标明用户身份的唯一值或“会话标识符”存储在浏览器端的某些应用程序中。然而,黑客可以通过盗取会话标识符来假冒最终用户的身份,从而留下安全隐患。如果有25%的密码以明文的方式传播,那么会有三分之一的会话标识符会受到黑客的攻击。因此,一个完善的安全应用程序应该使用标准的加密协议,如SSL,来确保网络传输的完整性和安全性。SSL会在远端用户浏览器和Web服务器之间建立安全的通信。
王鹏进一步解释说,在客户端与应用服务器之间全程启用SSL协议,保证了办公系统中重要数据的完整性和安全性。因此,上海移动的客服人员在利用SSL实现远程访问的时候,不仅不会由于对外网的访问产生安全隐患,而且,还可以有效地保证客户数据和信息的安全。
MPLS的出色应用
一直以来,MPLS技术在具体应用中都是雷声大,雨点小,这与其技术本身的部署、配置难度有一定关系。不过,随着MPLS实用化进程的延续,一些基于MPLS VPN的建设思路却带给人眼前一亮的感觉。
在这方面,政府成了新技术应用的带头人。近期,东北某市区政府为了实现包括乡、镇、局在内的全区电子信息化,提高政府信息网的安全性,着重开展了MPLS VPN的建设工作。
该区信息化办公室负责人黄主任在接受采访时表示,成功的电子政务建设必须实现政务信息资源整合和政府部门业务流程重构的统一,重构一个高效协调的崭新政府工作流程,这是对传统政府职能和治理结构的一次革命。而在这个重构过程中,安全互联与服务品质保证都是不可或缺的因素。
据了解,该区原有网络存在着运行不稳定、网速慢、病毒泛滥、不安全等问题。因此,区信息中心特意派人走访了上海、北京等地区进行考察,最后实施了以区为骨干、统一平台、分布实施的信息网,真正实现电子信息化。
黄主任表示,在目前的政府网络中,需要连接和管理区下属所有的乡、镇、街的民政局、卫生局、教育局、医院等委、办、局单位,要保证这些网点能够安全地连接到区中心上来。据悉,这些网点中分布了许多应用软件,因此,要求安全连接需要能够给应用提供合理的响应时间。
另外,在信息网中对多媒体应用的支持也是一个重要的考虑因素。黄主任认为,各个网点的多媒体应用比较频繁,安全连接需要对不同的数据采用不同的优先级分别对待。同时,这种连接能够有能力对实时数据流保留一定的带宽,对传输延迟能够保证在所要求的限度内,即应该在技术上提供QoS保证。
正是基于以上两点的考虑,黄主任毅然决然地投入到MPLS VPN的怀抱。据项目集成商神州数码网络的工程师透露,整个系统支持多种MPLS VPN解决方案,在区政府的网络平台上为各个机关部门内部提供安全连接服务,在核心防火墙上支持每VRF的NAT转换功能,从而为区政府提供统一的Internet出口,并支持完整统一的对外信息平台和对内公共信息平台应用,保障电子政务公众服务等关键业务顺利平滑实施。
令黄主任放心的是,神州数码网络提供了完整的MPLS VPN配置管理方案,从而支持网管IP的MPLS VPN应用,保证了网络设备的安全。黄主任认为,支持通过网管平台对MPLS VPN业务的配置管理功能,可以简化区政府网络的设备管理。而利用MPLS VPN技术,则进一步实现了各部门网络逻辑隔离,保证了各部门信息的安全性。区政府的网管人员只要通过灵活的策略配置,就可以实现VPN之间的可控访问,从而实现业务工作的协调。
最后,黄主任表示,通过建立MPLS VPN,他们基本实现了政府数据的QoS保证,而通过支持MPLS流量工程,做到了对视频、语音、多媒体业务的服务控制。据悉,目前整套MPLS VPN已经与内部的3D-SMP系统进行了整合,从而为区政府的信息化安全奠定了联动控制基础。