VPN解决方案

4．VPN技术

目前市场主流厂商：Cisco、华为、深信服、Juniper、ArrayNetworks、天融信、东软

4.1 SSL VPN内网访问安全解决方案

应用背景: 现在，随着移动存储技术及商务模式的发展，选择远程办公的人越来越多。随着中国经济的腾飞，企事业单位对员工移动办公、远程接入总部内网办公的需求越来越强，特别是WLAN技术、无线技术的发展更加剧了这种趋势。如何实现网络中的数据隔离、服务器隔离，构建安全的业务子网，供组织日常办公，这已成为IT管理者面临的重大挑战。

问题分析: 在移动办公、分支机构、第三方机构接入业务子网，如何保障接入及接入后的访问安全问题时，IT管理者碰到以下问题：

使用无线通讯接入的员工，其WLAN账号WPA和WEP容易被人破解，这可能会给内部业务子网带来非法访问问题。而目前的业务局域网及子网，其对非法接入的用户无法做隔离，这样会造成组织内部资源信息的泄漏。

目前组织的局域网及子网，无法对内部众多的访问提供细致的身份认证与权限访问，这样可能造成越权访问，给组织信息资源访问带来混乱。现有的网络也无法在访问过程中对传输的数据加密，这无法保证数据的安全性。

随着内网服务器的安全等级的进一步提升，传统的服务器的认证已经不能满足新的安全要求，这种认证仍然存在着账号被窃取的风险。我们对内部的服务器需要做逻辑隔离，这样就可以做到按权限访问，保障业务系统运用到合适的人手中。

SSL VPN业务内网及子网构建方案：

典型案例：

如上图所示，该方案在组织总部内网，以单臂模式部署SSL VPN设备。SSL VPN对接入总部用户进行精确的的身份认证，然后对确定身份的用户进行权限划分，通过逻辑隔离服务器，让不同身份的用户接入不同的应用服务器，使用不同的业务系统及资源。

1

K2MG-EHSWI++04-001 环境、健康安全、企业社会责任目标指标

这样可以有效保障无线接入客户通过SSL VPN认证，访问总部关联的资源；而分支的A、B、C部门的工作人员，通过SSL VPN接入到总部，不同部门的人员接入不同服务器，不同权限的人员只能访问相应授权的服务器，这样可以防止越权访问；而总部的A、B、C、D、E服务器，在SSL VPN的保护下，分支机构、移动办公用户等通过公网接入时，只有授权的客户才能访问服务器，这有效保证了服务器的安全访问。

目前，无线接入组织业务内网、子网的应用逐渐增多，业务系统的应用日趋丰富，相应的服务器也不断增多。通过SSL VPN，企事业单位可以建立的安全可靠远程接入访问机制，构建专业的业务局域网及子网，这样驻外人员、移动办公人员、第三方合作伙伴及客户，可以凭借合法精确的访问权限，访问自己能访问的特定服务器与业务系统，进一步加快并优化自己的业务流程。

4.2 基于VPN技术的OA系统在医院的应用解决方案

行业背景：

数字化医院是一种基于现代信息技术全新的医疗服务和医院管理模式，是现代医疗发展的必然趋势。医院也正是基于这一信息技术发展的需要，在打造数字化医院，实现医疗服务的数字化、网络化、信息化，即通过计算机科学和现代网络通信技术及数据库技术，为医院所属各部门提供病人信息和管理信息的收集、存储、处理、提取和数据交换，并满足所有授权用户的功能需求。

而办公自动化(OA)是将现代化办公和计算机网络功能结合起来的一种新型办公方式，是当前新技术革命中一个非常活跃和具有很强生命力的技术应用领域，是信息化社会的产物，是数字化医院必不可少的基本组件。通过VPN网络远程连接，属于医院组织机构内部的人员在不同的院区可不受时间、地点限制地协同工作，通过OA系统所实行的交换式网络应用，使信息的传递更加快捷和方便，从而极大地扩展了办公手段，实现了办公的高效率。

面临的问题：

1. 数据传输方式存在安全隐患

当前，许多医院之间通过互联网实现了医疗数据共享，并且在医院内部部署了覆盖全院范围的无线网络，方便医生在临床诊断时使用移动终端接入HIS系统。

然而，如果终端和受理服务器、数据库服务器之间的访问通过公网线路直接进行，那么数据就存在着被篡改和窃取的风险。由于医疗数据涉及病人隐私和敏感信息，可能被别有用心者觊觎，而HTTP传输方式本身存在固有的缺陷，因此迫切需要一种既安全又方便的接入解决方案。

2

K2MG-EHSWI++04-001 环境、健康安全、企业社会责任目标指标

2. 缺乏对身份的认证和对终端安全的保证

由于医疗数据涉及病人隐私和敏感信息，因此，对接入访问者合法身份的识别至关重要。现有的静态认证方式过于简单，如用户名/密码认证方式，存在 被窃取、暴力破解的风险。此外，对接入医疗应用系统的终端的安全级别也需要严格把关，避免感染病毒、携带木马的不安全终端被黑客利用，窃取篡改病人信息。 另外，由于无线网络的应用，外来的未授权移动终端极有可能通过不正当的手段接入医院无线网络。

因此，如何有效识别接入者的身份，判断接入终端的安全，将访问权限限定于合法终端，是保障医疗信息安全需要考虑的问题之一。

3. HIS系统安全缺陷带来的风险

当前，由于很多医院的HIS系统等都不是用纯C语言进行编写，基本上都是基于二层来开发，因此很容易通过反编译对原来的程序文件进行修改，从而 改变原有程序对每个用户的访问权限控制。比如某个护士通过HIS系统的权限分配，使得她只能读取病人的病历，而无法对其进行修改，而如果有人通过反编译以 后，可以对源程序进行修改，从而改变这个用户的权限，比如除了读取病历之外，还能做修改、删除等。

因此，选择一个能弥补以上短板的接入方案，使用某些技术手段消除风险，是医疗信息化中不可回避的问题。

VPN技术与OA结合在医疗行业中的应用： VPN部署方式如下：

当前，许多医院之间通过互联网实现了医疗数据共享，并且在医院内部部署了覆盖全院范围的无线网络，方便医生在临床诊断时使用移动终端接入HIS 系统。然而，如果终端和受理服务器、数据库服务器之间的访问通过Internet线路直接进行，那么数据就存在着被篡改和窃取的风险。由于医疗数据涉及病人隐私和敏感信息，现存的HTTP传输方式有着固有的缺陷，所以选用安全、可靠、易用的VPN便能消除该安全隐患，避免医疗纠纷。

加之传统专用线路(如DDN)因其高昂的成本和长期的使用费，常常令医院望而却步。而无所不在的Internet服务融合无可比拟的低价位的VPN，正是解决医院远程办公和集团医疗资源共享的最佳方案。

医院部署了HIS业务系统服务器和数据服务器，使用VPN建立加密隧道，实现业务系统的访问和数据同步。同时，使用SSL VPN实现了移动接入，方便医生在非工作状态时接入总院内部网络进行远程办公。

3

K2MG-EHSWI++04-001 环境、健康安全、企业社会责任目标指标

4.3 IPSEC+SSL VPN第三方网络接入解决方案

项目背景：

企事业单位的IT支撑体系一般由内部网络+第三方业务网络组成。目前很多企事业单位的第三方业务网络占据着越来越重要的位置，如何使用VPN技术，组建安全经济的第三方接入网络，让上游供应商、下层代理商等第三方机构可以高效使用业务系统，不断优化企事业单位的业务流程。

现在的企事业单位的内部网络主要有OA、ERP、CRM等系统，负责处理、优化内部业务流程；而第三方业务网络则主要解决企业与客户、合作伙伴、监督机构及其他的第三方单位进行业务数据的交互（如税务行业的网上报税、统计行业的工业直报、银行行业的网上银行、制造行业的供应系统等）。

解决方案：

在建立第三方业务网络时，我们可以通过IPSec VPN、SSL VPN整合的方式组建安全经济的网络互联，以方便第三方安全接入。

如上图，整个方案只需投入一套VPN设备，部署完成后第三方单位就可以通过SSL VPN或IPSec VPN的方式安全地接入企事业单位业务内网中。其中，对于有一定网络规模、需要固定接入的第三方合作伙伴或用户，可以在第三方网络中架构IPSec VPN设备，通过IPSec VPN将两个局域网连接起来；而对于接入地点不固定、有移动办公需求的用户，则可以使用SSL VPN的方式接入，从而满足业务的多元化。

方案价值：

有效降低了企业的线路、硬件设备采购成本

采用IPSec VPN、SSL VPN相结合的方式企事业单位可以在总部、大型分支机构部署硬件VPN而在规模较小、较为分散的分支机构及个人用户，则通过SSL VPN的形式接入总部内网，这样可有效节省组网成本。而且这样一来，企事业单位可以将业务系统、服务器集中在总部以进行数据集中，

4

K2MG-EHSWI++04-001 环境、健康安全、企业社会责任目标指标

这样可有效节约IT成本及维护，并且这种组网方式降低了企业对光纤、专线的依赖，大大降低了带宽成本。

让第三方接入更安全可控

第三方合作伙伴、用户因为业务合作等，其接入时，企事业单位必须得对其身份进行严格认证，对不同权限的身份分配不同等级的业务访问权限，比如一般的供应商，我们只会让他们看到供销业务系统等，而不会让他访问CRM、财务系统等，让合适的人访问合适的资源。

组建可持续发展的业务网

当企事业单位的业务网络规模扩大，第三方接入的需求增加时，SSL VPN提供集群功能，使企事业单位并不需要购买更高端的设备来替换原有的SSL VPN，而只需在总部部署另外的一台SSL VPN，和原有SSL VPN设备结合起来使用，即可有效的平衡多个VPN设备之间的负载，帮助设备以最大效率进行工作，满足移更多的第三方接入。

4.4 酒店行业VPN解决方案

项目背景：

酒店行业是一个特殊的服务行业，它每天面对着高中低端各类客户，处理着人来人往的食宿、商务等服务。当酒店业务发展到一定阶段时，我们必然要走向区域性、全国性的连锁模式，只有将业务分支建立在合适的地方，酒店集团才有机会获得充足的业务机会。

存在的问题及需求分析：如何将各地酒店业务网络连网，将各个酒店所用的业务系统整合起来，以使得相应的客户信息管理与维护、酒店日常收支管理、各类业务应用系统可以安全、整合地管理；使相应的客户信息、财务信息可以方便查询，以便酒店可以更方便地接待客户并提供满意服务；而且，各地酒店如何接入总部系统与资源库，总部与各地酒店、各地酒店如何沟通……这些都是连锁酒店希望解决的问题。

为了实现现有网络情况下的总部与分支酒店的互联。酒店的重点需求集中在建成后网络的稳定性上，要求所构建的网络必须保证足够的稳定性来支撑酒店的运营业务。同时，对于网络的稳定性要求从诸多方面得到体现，这样就能保证网络在某一方面出现问题时，也能利用其他技术手段来支持网络连接的稳定性。

在满足了稳定性的同时，酒店对整个网络的安全性、可操控性也有要求。酒店总部要对下属的分支酒店进行接入互联，以实现他们与总部的互联；并且要充分的保证网络的稳定性，这样就能保证在线路不稳定的情况下也能保证网络数据的正常传输，为业务的正常运营提供保证。

5

K2MG-EHSWI++04-001 环境、健康安全、企业社会责任目标指标

解决方案:

基于VPN产品的高性价比和灵活的扩展能力,采用VPN线路的方式来实现各地酒店系统与总部各业务系统的远程接入和互联。

部署拓扑图如下：

通过在酒店集团总部部署两台SSL VPN设备，集团总部在多线路情况下，能够达到多线路的负载均衡和自动选路，并且可以在两台设备之间完成主备设备的快速切换，这有效保证了网络连接的稳定性。事实上，总部部署的SSL VPN设备既可以实现与下属酒店分支机构的网络互联，也可以实现驻外人员对于总部业务系统、各资源服务器的远程接入。

因为酒店网站的服务器也将会放在总部VPN设备下，所以，集团部署的VPN设备必须保证外网的用户能够在作了NAT转换之后也能正常访问，能够有效的抵御病毒、木马、DOS、ARP等攻击行为，且能够支持后续的新建酒店的稳定接入，这对总部部署的VPN性能提出了较高的要求。

通过在总部部署了两台SSL VPN设备，各分支酒店部署IPSec VPN设备，实现了分支酒店的办公组与总部的网络互访，并且能够对总部多线路带宽进行自动选路，这有效保证了总部与各分支酒店网络互联的速度。

酒店集团在各分支酒店部署VPN业务网络时，也考虑了在最优性价比的情况下支持线路备份的情况，这保证在一条线路出现问题的情况下仍然能过对内网进行一个快速的访问。事实上，各分支酒店既可以通过硬件VPN与总部完成业务互访，也可以通过SSL VPN远程接入总部业务系统 。

你脸上云淡风轻，谁也不知道你牙咬得多紧。你笑得没心没肺，没人知道你哭起来只能无声落泪。

6