虛擬專用網路技術在辦公網路中的應用論文

一、虛擬專用網路技術的主要特點

虛擬專用網路（VPN）主要包括以下兩方面優點：一是虛擬專用網路的安全保證，其本質是建立一個專用的隧道，利用加密技術，完成資料的傳輸，以最大限度保證資料資訊傳輸的安全可靠；二是虛擬專用網路的靈活性和擴充套件性，虛擬專用網路技術能夠支援各類網路中的資料資訊傳輸。SSLVPN主要包括以下幾方面特點：一是不需要任何軟體系統的支撐，操作簡單方便；二是能夠通過身份認證技術對登入到網路中的使用者進行訪問控制；三是HTTPS協議的使用，能夠穿越NAT和防火牆裝置，應用SSLVPN的網路結構不會發生變化，因此可以適應複雜的企業應用環境。

二、虛擬專用網路技術應用於企業辦公網路的意義

為了提高企業內辦公網路的使用效率，虛擬專用網路技術被逐漸引入辦公網路中。例如：某個公司投資成立一個子公司，但子公司與總公司不在同一個城市，兩個公司之間需要傳輸重要的資料資訊，就可以通過VPN技術建立一個專用通道，從而保證資料資訊傳輸的安全性。如果公司員工需要居家辦公時，也可以通過VPN技術與公司內部網路進行連線，獲取自己需要的資料資訊。通過VPN技術能夠將每個登入到虛擬專用網路中的使用者資訊記錄到虛擬專用網路伺服器中。由於很多企業屬於連鎖銷售經營模式，通過關係資料庫對每個連鎖店的銷售情況進行統計，並將資料資訊傳送到總公司的伺服器中，為總公司的科學決策和生產計劃，以及後期投資提供資料支援。但是，如果總公司與連鎖店之間的資料資訊傳輸不採用VPN技術，則非常容易發生資料丟包、延遲等現象，或者資料資訊被入侵者竊取，從而造成巨大的經濟損失，因此，將VPN技術應用於企業辦公網路中，能夠有效解決資料資訊傳輸中遇到的各種問題。

三、基於虛擬專用網路技術的汽車集團企業辦公網路構建方案

（一）汽車集團企業辦公內網的網路架構設計

汽車集團企業辦公內網為增加安全防護，配置防火牆、伺服器，網路架構採用環形網路。

（二）汽車集團企業辦公網路SSLVPN構建體系

SSLVPN技術能夠實現使用者訪問控制、資料資訊加密，以及多種網路協議支援等功能，因此，本文構件的SSLVPN系統包括以下幾個內容：使用者身份認證處理模組、協議處理模組、地址和日誌處理模組、使用者訪問控制模組、資料資訊加密模組和金鑰管理模組。由圖2可知，VPN閘道器在客戶端與虛擬專用網路中間起著分界作用，負責網路安全。SSLVPN網路的工作過程：客戶端通過VPN閘道器發出訪問請求，並將訪問請求傳送到伺服器中。SSLVPN網路協議處理模組主要負責的是執行上述過程。使用者認證處理模組負責將使用者的使用者名稱和密碼傳送到伺服器中，對使用者身份進行認證。使用者訪問控制模組在身份認證完成後，依據安全策略只有授權的使用者才允許訪問特定的網路資源。並且，使用者還可以根據自身的具體需求對通訊系統、辦公系統、結算系統和各類應用系統發起訪問。SSLVPN網路使用者端的網路架構指的是由使用者通過VPN閘道器進入到汽車集團企業內部辦公網路中，才能夠對企業內部辦公網路中的資訊資源進行訪問。SSLVPN網路架構（本文指的是以VPN閘道器作為分界點的汽車集團企業內部辦公網路）體系具體描述為：一是SSLVPN網路的使用者身份認證設計。首先，通訊雙方需要都擁有認證中心的數字證書和公開金鑰。其次，認證過程中，伺服器將數字證書傳送至客戶端，認證成功後，客戶端才會將自己的數字證書傳送回伺服器認證，檢驗成功後，使用者身份才為合法身份。並且客戶端還能從伺服器獲得公開金鑰。二是SSLVPN網路訪問控制模組的設計，SSLVPN網路可以對不同資源進行更為詳細的使用者訪問控制。例如：對於汽車集團企業二級經銷以及合作網點來說，如果採用的是IPSECVPN網路，只要使用者進入了汽車集團企業內部辦公網路，就可以對內部網路中的所有資源進行訪問，只是不能訪問部分已經設定了特殊許可權的資訊資源。而SSLVPN網路能夠授權給每個使用者不同的訪問控制權限，即使使用者已經進入到汽車集團企業內部辦公網路中，但是由於受到訪問控制策略的限制，僅僅能夠瀏覽該使用者能夠瀏覽的資源，如果需要對某個應用程式發起訪問，SSLVPN能夠實現對每個使用者設定不同的訪問許可權控制。

通過SSLVPN網路的使用者身份認證設計和訪問控制模組的設計，若要建立一個SSLVPN網路，需要完成以下配置工作：首先，需要配置完成效能較強的vpn的防火牆，vpn的防火牆的主要作用是將汽車集團企業內部辦公網路與外部網路相互隔離開來，起到一個網路閘口的作用。vpn的防火牆的最終目的是通過自身的硬體系統對瀏覽器頁面的資料資訊進行資料加密，利用USBKey和口令相互結合的方式登入到汽車集團企業內部辦公網路中，從而保證遠端訪問汽車集團企業內部辦公網路的合法性和有效性。通過客戶端掃描系統完成對遠端訪問硬體系統的安全控制，根據不同使用者的'分級身份授權制定相應的訪問控制策略，使不同使用者根據個人許可權訪問內部網路資訊資源。在結束使用者訪問過程之後，能夠主動清除客戶端的訪問記錄，以及通訊過程中的臨時檔案資訊，以保證資料資訊不被洩露。根據當前的使用者資訊資料庫對使用者角色進行統一管理，建立使用者訪問許可權，iGateSSLVPN4。0版本的vpn的防火牆能夠將使用者身份進行雙因素整合的硬體裝置，該裝置只配備了單一的入口，能夠大大提高內部網路資訊的安全性，防止外部入侵者進行網路攻擊，同時，iGateSSLVPN4。0還具有強大的日誌管理功能，能夠支援無線網路裝置、公鑰基礎設施認證等。其次，部署CA數字證書伺服器，在本文SSLVPN網路的工作流程中介紹了“握手”過程，其中都包括了數字證書的認證，數字證書是通過CA數字證書伺服器生成的，並且由CA數字證書伺服器進行管理，一般情況下，數字證書認證中心指的就是CA數字證書伺服器。CA數字證書伺服器是為客戶端與網路端建立起相互信任的關係，從而實現雙方認可的安全認證體系，在網路中資料資訊的加密解密過程由CA數字證書伺服器進行安全支援，並且與使用者身份認證伺服器共同完成使用者身份認證過程。最後是對使用者身份認證伺服器的部署，使用者身份認證伺服器是對企業內部職工和相關企業、單位，以及分公司、子公司的辦公系統的使用者進行身份的認證。

（三）基於VPN技術的汽車集團企業辦公系統網路拓撲設計

汽車集團企業內部辦公網路是以vpn的防火牆作為分界點，分為兩個子網路：一是骨幹網路，骨幹網路負責對企業辦公系統的資料傳輸、訪問處理和支援服務。二是VPN網路，VPN網路是指使用者通過Internet訪問企業內部網路辦公系統。在Internet下，汽車集團企業員工、企業分公司和子公司，以及合作單位使用者可以通過SSLVPN網路經過使用者身份認證之後進入到汽車集團企業內部網路的辦公系統中。當用戶通過SSLVPN網路進入到汽車集團企業內部網路時，骨幹網路啟動工作。首先，通過“握手”處理經過CA數字證書伺服器的使用者身份認證之後，再由SSL網路協議完成相關處理，建立起VPN專用通道。再由使用者身份認證伺服器發出的使用者身份認證資訊與資料庫伺服器中儲存的使用者身份資訊進行檢驗，檢驗成功後，根據訪問策略對資源實施調配，將相關資訊反饋到vpn的防火牆中。vpn的防火牆依據接收的資訊開放該使用者可以訪問的資料資訊資源和應用程式。結論綜上所述，本文結合VPN技術，提出了一套汽車集團企業內部網路部署方案，根據VPN網路架構和組網模式給出了網路實現過程，對汽車集團企業內部辦公網路的建設和發展具有較強的現實指導意義。