网站标志
远程使用管理软件的几种方法
作者:管理员    发布于:2014-11-17 13:34:01    文字:【】【】【
摘要:本文重点介绍了一种安全、稳定的网络形式——虚拟专用网

远程使用管理软件的几种方法
                   本文重点介绍——VPN虚拟专用网

常被客户问到你们软件能不能远程登记?能不能远程签批报告?能不能在异地的分支机构使用?所以想编制这个文件,统一回答这些问题。

这个回答其实不那么容易回答,因为首先用户要依托合适的网络,才能比较好的访问软件,显然直接使用电话线,网速只有几十k的是很难访问的;另外一个问题是现在网络病毒、黑客和好事者那么多,怎么能安全使用这些软件,恐怕问题更多。

首先、了解一下实验室常用的上网方式——数据传输方式

1ADSL是英文Asymmetrical Digital Subscriber Loop(非对称数字用户环路)的英文缩写,ADSL

技术是运行在原有普通电话线上的一种高速宽带技术,它利用现有的一对电话铜线,为用户提供上、

下行非对称的传输速率(带宽)。非对称主要体现在上行速率(最高640Kbps)和下行速率(最高8

Mdps)的非对称性上。

2DSL:(Digital Subscriber Line数字用户环路)技术是基于普通电话线的宽带接入技术,它在

同一铜线上分别传送数据和语音信号,数据信号并不通过电话交换机设备,减轻了电话交换机的负

载;并且不需要拨号,一直在线,属于专线上网方式。DSL包括ADSLRADSLHDSLVDSL等等。

3VDSLVery-high-bit-rate Digital Subscriber loop)是高速数字用户环路,简单地说,VDSL

就是ADSL的快速版本。使用VDSL,短距离内的最大下传速率可达55Mbps,上传速率可达19.2Mbps

甚至更高。

4、光纤接入网:(OAN)是采用光纤传输技术的接入网,即本地交换局和用户之间全部或部分采用光

纤传输的通信系统。光纤具有宽带、远距离传输能力强、保密性好、抗干扰能力强等优点,是未来接

入网的主要实现技术。

5FTTX+LAN接入方式:这是一种利用光纤加五类网络线方式实现宽带接入方案,实现千兆光纤到小

区(大楼)中心交换机,中心交换机和楼道交换机以百兆光纤或五类网络线相连,楼道内采用综合布

线,用户上网速率可达10Mbps,网络可扩展性强,投资规模小。

6ISDN:综合业务数字网是数字传输和数字交换综合而成的数字电话网。它能实现用户端的数字信号进网,并且能提供端到端的数字连接,从而可以用同一个网络承载各种话音和非话音业务。ISDN基本速率接口包括两个能独立工作的64KbB信道和一个16KbD信道,选择ISDN 2B+D端口一个B信道上网,速度可达64Kb/s,比一般电话拨号方式快2.2倍(若Modem的传输速率为28.8Kb/s)。若两个B信道通过软件结合在一起使用时,通信速率则可达到128Kb/s

7DDN数字数据网(DIGITAL DATA NETWORK)。它是利用数字信道提供永久性连接电路,用来传输数据信号的数字传输网络。 可提供速率为N*64KBPSN=123….31)和N*2MBPS的国际、国内高速数据专线业务。可提供的数据业务接口:V.35 RS232RS449RS530X.21G.703X.50等。

第二、了解一下如何低风险的使用互联网

用户在建立了一种数据传输的方式后,就基本满足了远程访问本地软件的条件。由于互联网天生的缺陷——对接入用户没有审查机制,使得我们很容易得出这样的结论——只要使用互联网就会有风险,只是我们应该采取措施尽量降低风险而已。

对于我们普通用户,网络安全主要可以从硬件方面和软件方面进行控制。硬件上主要是客户机(也称终端机)、服务器、硬件防火墙和网络链路安全等。软件上主要是客户机和服务器的防病毒软件和各种应用软件系统的加密技术(这里不做专门探讨)等。而“虚拟专用网络vpn+杀毒软件”可以说是一揽子安全解决方案中最简单、有效的一种。由于杀毒软件的普及,我们这里不再介绍,只是提醒实验室的用户,客户机的安全防护是非常重要的,特别需要强调,客户机不要随便使用不能确定为安全的计算机,比如网吧、宾馆的计算机等,这些计算机很可能存在病毒,同时还可能存在记录键盘鼠标信息的软件,很容易造成泄密问题。

下面我们重点介绍一下虚拟专用网(Virtual Private Network ,简称VPN),其实很多实验室都已经建立了这样的网络系统。

1、虚拟专用网的基本概念和工作模式

虚拟专用网指的是在公用网络上建立专用网络的技术。之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如InternetATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络扩展。

VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?VPN的解决方法是在内网中架设一台VPN服务器,VPN服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此只能称为虚拟专用网。即:VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企业中应用得如此广泛。

2虚拟专用网的优势

  在传统的企业网络配置中,要进行异地局域网之间的互连,传统的方法是租用DDN(数字数据网)专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般通过各种数据传输的方式进入企业的局域网,这样必然带来安全上的隐患。

  虚拟专用网的提出就是来解决这些问题:

  1)使用VPN可降低成本——通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。

  2)传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全和保密性。

  3)连接方便灵活——用户如果想与合作伙伴联网,如果没有虚拟专用网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了虚拟专用网之后,只需双方配置安全连接信息即可。

  4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

1)安全保障,VPN通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有和安全性。

2)服务质量保证VPN可以为不同要求提供不同等级的服务质量保证。

在网络中,服务质量(QoS)是指所能提供的带宽级别。将QoS融入一个VPN,使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法:

  信息包分类,按重要性将数据分组。数据越重要,它的级别越高,当然,它的操作也会优先于同网络中相对次要的数据。

  带宽管理,一个VPN管理员可以监控网络中所有输入输出的数据流,可以允许不同的数据包类获得不同的带宽。其他的带宽控制形式还有:

      通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过,这使得带宽没有得到合理使用。

      公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽,当应用程序需要用更大的数据流,例如下载MP3文件时,它将减少所用带宽以便给其他人访问的机会。

       传输保证为网络中特殊的服务预留出一部分带宽,例如视频会议,IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。

3)可扩充、灵活性VPN支持通过InternetExtranet的任何类型的数据流。

4)可管理性VPN可以从用户和运营商角度方便进行管理。  

3VPN可以按几个标准进行分类

  1)按VPN的协议分类

  VPN的隧道协议主要有三种,PPTPL2TPIPSec,其中PPTPL2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TPIPSec配合使用是目前性能最好,应用最广泛的一种。

  2)按VPN的应用分类

  (1) Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量

  (2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源

  (3) Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接

  3)按所用的设备类型进行分类

  网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙

  (1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可

  (2)交换机式VPN:主要应用于连接用户较少的VPN网络

(3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式

目前经常使用的是带硬件防火墙的路由器式的VPN

4VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术

  1)隧道技术

  实现VPN的最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接,如PPTPL2TP,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是IPinIP,如IPSec,其可靠性及扩展性优于第二层隧道,但没有前者简单直接。

  2)隧道协议

  隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现VPN功能。为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。

  (1)PPTP(点到点隧道协议)是一种用于让远程用户拨号连接到本地的ISP,通过因特网安全远程访问公司资源的新型技术。它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP使用TCP传输控制协议)连接的创建,维护,与终止隧道,并使用GRE(通用路由封装)PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

  (2) L2TP协议:L2TPPPTPL2F(第二层转发)的一种综合。

  (3)IPSec协议:是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。 

  3)加解密技术

  加解密技术是数据通信中一现较成熟的技术,VPN可直接利用现有技术实现加解密。

  4)密匙管理技术

  密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。

  5)使用者与设备身份认证技术

使用者与设备认证及时最常用的是使用者名称与密码或卡片式认证等方式。

 

 

脚注信息

版权所有 Copyright(C)2003-2018 北京世雄科技有限公司

备案号:京ICP备14050499号


技术支持:企尚互联B2BB2C网站编号4284