扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛管理 来源:zdnet安全频道 2009年1月14日
关键字: 局域网
企业需求
现在有家企业,其有两个办公地址。一个是位于郊区开发区的生产加工厂;另外一个是位于报关中心很近的外贸公司。其实这两家企业,从法律意义上来说,是两家公司。但是,其实其老板就是一个。虽然这两家企业分处两地,但是,企业希望这两家企业的内部网络能够互相访问。具体的来说,需要实现如下需求。
1、开发区的生产企业已经在网络上部署了企业资源计划系统即ERP项目的应用。现在企业希望,在市区的外贸公司仍然可以方便的访问生产企业内网上的ERP系统。另外,在生产加工企业内网上,还部署了文件服务器。企业也希望外贸公司的员工可以正常的对文件服务器进行访问,包括文件的读取与存储。
2、文件备份策略。在生产加工企业,为了终端用户文件的安全,在生产加工企业有文件备份服务器,每天定时的对用户终端的电脑进行备份。本来的话,也可以在外贸企业设立文件备份服务器,但是考虑到外贸公司只有五个员工,若为他们专门设置文件备份服务器的话,那就显得比较浪费。企业希望,他们外贸公司员工终端上的重要文件,也能够备份到生产企业的文件备份服务器上。
现在需求就聚焦在一个点上,如何让两个分处各地的办事处内部网络能够互相访问,同时要保障访问的速度与安全不会出现问题。
一、 利用VPN把分处各地的网络有机的联系起来
若我们想把企业的两个异地内部网络有机的联系起来的话,个人认为比较合理的方式是采用宽带路由器+ADSL拨号的方式,然后再结合VPN(虚拟专用网)技术来实现两个内部网络的连接。这个方式可以实现两个内部网络之间的高速、安全的数据传输。
首先,利用VPN技术可以保障两个内部网络之间数据访问的安全性,如外贸公司在利用VPN技术访问企业的ERP系统查询客户信息或者定单信息的时候,就可以保障这些数据在VPN中传播的安全性。VPN是虚拟专用网的简称,他的基本原理就是在公共网络上,为通信的双方开辟一条独立的通道。在通信的过程中,其他未经授权的数据包是不能闯入这个通道中的;同时,还可以结合数据加密技术,保证在隧道中传输的数据是加密处理过的,就算有些不法之人有这个技术能够闯入这个隧道获得这些数据包,但是因为加密过的,所以,他们取得这些数据包也是一无用处。
其次,利用ADSL拨号上网的方式,基本上可以满足企业在速度方面的需求。ADSL现在的速度还是比较可以的,一般来说,可以达到2M/秒。若企业去申请一个企业帐号的话,速度会更快,当然所需要的带宽越大,其费用也就相对来说比较高。除非企业想在两个办事处之间部署视频会议等应用,否则的话,2M的带宽已经可以满足企业日常两个办事处内部网络之间的互相访问,包括对企业资源计划系统与文件服务器等大型信息化管理系统的正常访问。
其实,有时候我们也不一定要在宽带路由器上实现VPN技术。想现在的服务器,如微软的2003服务器已经可以实现VPN的技术支持。也就是说,现在VPN技术不仅可以在硬件上实现,而且,还可以脱离硬件,通过软件直接实现企业外部用户通过VPN技术访问企业内部的网络及其所部署的信息化应用。
不过,话说回来,利用这个解决方案的话,毕竟是一个折中的方案,外贸公司想要访问生产企业的内部服务器的话,还是会受到一些限制。如首先要保证,外贸企业与生产加工企业的内部用户都能够顺利的访问外部的公共网络,如此的话,才有可能在彼此双方之间建立通信。所以,有时候因为一些意外事故,如地震或者因为施工不小心把光缆挖断了,导致某一方不能顺利访问公共网络的时候,就会产生问题了,他们彼此之间将不能访问,直到这个故障被清除。
另外一个问题就是,在彼此双方都要建立一个VPN的访问监督机制,来稽核利用VPN通道访问企业内部的网络用户是否都是合法的,有没有非法的入侵者。在企业内部网络中,可以通过防火墙等技术手段,把企业的内部服务器及其终端系统跟外面的公共网络隔离开来,从而保障内部网络不受外界的干扰。但是,现在若采用了VPN等外部连接方案的话,若用户帐户与密码泄露,若外部人员就可以轻松的通过虚拟专用网络访问企业内部信息。可见,VPN技术虽然安全性比较高,但是,若帐户与密码泄密的话在,则一切安全技术手段都将没有用处。所以,采用这种解决方案的话,会加重网络管理员在企业网络安全上的管理负担。
二、 利用NAT技术把内部计算机放到网上去
NAT是网络地址转换的简称。他符合国际上的IETF标准。简单的说,NAT技术是把企业内部网络的地址转换成一个外部可以辨别的合法地址,然后,别人就可以根据这个合法地址访问企业内部的计算机。我们都知道,现在公共的IP地址数量非常有限,以前设计者也没有考虑到网络会普及的这么迅速。所以在IP地址缺乏的情况下,有的企业可能只具有一个合法的IP地址。所以,这就限制了企业外部用户对于企业内部计算机的访问。而现在NAT技术,就是把企业内部网络上的电脑通过一定的技术手段跟企业的外部合法地址对应起来。如此的话,外部访问者只要通过访问这个公共的IP地址,而不是电脑的私有地址,就可以找到自己需要的信息。
如现在企业的加工企业有一个FTP服务器,外贸企业需要每天从这个服务器中上传与下载文件。但是,加工企业只有一个合法的IP地址,同时,为了安全的考虑,把FTP服务器是放在企业的内网上,也就是说,FTP服务器是一个私有的地址。一般情况下,外贸公司跟加工企业分属两个不同的网络段,所以,外贸企业的员工是不能访问到FTP服务器的。但是,我们现在有一种技术,可以把这个私有的IP地址跟合法的IP地址对应起来。当外贸企业通过IP地址与端口号或者服务协议访问时,NAT服务器就可以帮助用户找到其内部对应的电脑,然后连过去,让外部人员进行访问内部的FTP服务器。类似的道理,通过这种手段,可以把加工企业内部的文件服务器、ERP系统服务器等等都一一的对应到合法的IP地址上,如此的话,外部就可以通过这个合法的IP地址,进行访问加工企业内部的服务器。
同样,现在NAT技术不仅可以在硬件设备上实现,如思科的路由器上,同时,也可以在软件上实现这个功能。若企业的资金实力雄厚,可以购买专门的NAT服务器来实现这个功能。而若企业的资金有限,觉得购买专业的NAT服务器力不从心的话,则可以采用软件来实现NAT技术。如微软的2003服务器已经可以实现这个技术。不过一分钱一分货,专业的NAT设备的话,其无论从性能,还是从管理上,都上依靠软件模拟实现无法比拟的。所以,企业要根据自己公司的情况,NAT的利用程度及实现的应用不同,进行恰当的选择。若企业要凭借NAT技术实现大型的应用,或者对于安全上要求比较高的话,最好采用专业的NAT服务器设备,以保障在性能与安全上都有一个满意的回报。
NAT有很多工作方式,不过最常用的工作方法为根据端口来转换。利用这种方式的话,所有的信息流看起来好象都来源于同一个IP地址。这个特性可以把企业内部的电脑屏蔽起来。也就是说,外部访问者只知道我现在访问的是一台IP地址为多少多少、端口是什么什么的电脑。但是,其并不清楚,其访问的电脑是哪一台。根据端口来进行转换,这是中小企业采用NAT技术的首选的工作方式。
NAT技术的另外一个比较吸引人的特点就是对于用户来说,是完全透明的。也就是说,我现在外贸公司的员工需要访问公司的FTP服务器时,其并不需要知道我内部电脑的IP地址或者端口,他只需要知道,企业的公网的IP地址,不过,我们一般用的都是域名即可。NAT服务器会根据用户所访问的服务,去自动对应内部的服务器。所以,外贸企业不用去记忆哪些生涩的端口之类的信息。对于他们来说,他们无论是要访问企业的FTP服务器还是访问企业内部的文件服务器,他们都只需要知道一个名称即可。而到底是访问企业内部的哪台电脑的话,这是NAT服务器会自动判断的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。