摘要：利用虛擬專用網絡技術，將計算機遠程終端通過Internet接入公司企業(yè)網，從而實現(xiàn)遠程網絡用戶對企業(yè)內部信息資源的安全訪問。
關鍵詞：虛擬專用網遠程訪問網絡安全
0引言
隨著信息時代的來臨，企業(yè)的發(fā)展也日益呈現(xiàn)出產業(yè)多元化、結構分布化、管理信息化的特征。計算機網絡技術不斷提升，信息管理范圍不斷擴大，不論是企業(yè)內部職能部門，還是企業(yè)外部的供應商、分支機構和外出人員，都需要同企業(yè)總部之間建立起一個快速、安全、穩(wěn)定的網絡通信環(huán)境。怎樣建立外部網絡環(huán)境與內部網絡環(huán)境之間的安全通信，實現(xiàn)企業(yè)外部分支機構遠程訪問內部網絡資源，成為當前很多企業(yè)在信息網絡化建設方面亟待解決的問題。
1技術簡介
（VirtualPrivateNetwork）即虛擬專用網絡，指的是依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商）在公用網絡中建立專用的數(shù)據通信網絡的技術，通過對網絡數(shù)據的封裝和加密傳輸，在公用網絡上傳輸私有數(shù)據的專用網絡。在隧道的發(fā)起端（即服務端），用戶的私有數(shù)據經過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數(shù)據經過拆封和解密之后安全地到達用戶端。
可以提供多樣化的數(shù)據、音頻、視頻等服務以及快速、安全的網絡環(huán)境，是企業(yè)網絡在互聯(lián)網上的延伸。該技術通過隧道加密技術達到類似私有網絡的安全數(shù)據傳輸功能，具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問，通過安全的數(shù)據通道將企業(yè)分支機構、遠程用戶、現(xiàn)場服務人員等跟公司的企業(yè)網連接起來，構成一個擴展的公司企業(yè)網，此外它還提供了對移動用戶和漫游用戶的支持，使網絡時代的移動辦公成為現(xiàn)實。
隨著互聯(lián)網技術和電子商務的蓬勃發(fā)展，基于Internet的商務應用在企業(yè)信息管理領域得到了長足發(fā)展。根據企業(yè)的商務活動，需要一些固定的生意伙伴、供應商、客戶也能夠訪問本企業(yè)的局域網，從而簡化信息傳遞的路徑，加快信息交換的速度，提高企業(yè)的市場響應速度和決策速度。同時，圍繞企業(yè)自身的發(fā)展戰(zhàn)略，企業(yè)的分支機構越來越多，企業(yè)需要與各分支機構之間建立起信息相互訪問的渠道。面對越來越復雜的網絡應用和日益突出的信息處理問題，技術無疑給我們提供了一個很好的解決思路。可以幫助遠程用戶同公司的內部網建立可信的安全連接，并保證數(shù)據的安全傳輸，通過將數(shù)據流轉移到低成本的網絡上，大幅度地減少了企業(yè)、分支機構、供應商和客戶花在信息傳遞環(huán)節(jié)的時間，降低了企業(yè)局域網和Internet安全對接的成本。的應用建立在一個全開放的Internet環(huán)境之中，這樣就大大簡化了網絡的設計和管理，滿足了不斷增長的移動用戶和Internet用戶的接入，以實現(xiàn)安全快捷的網絡連接。
2基于Internet的網絡架構及安全性分析
技術類型有很多種，在互聯(lián)網技術高速發(fā)展的今天，可以利用Internet網絡技術實現(xiàn)服務器架構以及客戶端連接應用，基于Internet環(huán)境的技術具有成本低、安全性好、接入方便等特點，能夠很好的滿足企業(yè)對的常規(guī)需求。
2.1Internet環(huán)境下的網絡架構Internet環(huán)境下的網絡包括服務器、客戶端、連接、隧道等幾個重要環(huán)節(jié)。在服務器端，用戶的私有數(shù)據經過隧道協(xié)議和和數(shù)據加密之后在Internet上傳輸，通過虛擬隧道到達接收端，接收到的數(shù)據經過拆封和解密之后安全地傳送給終端用戶，最終形成數(shù)據交互?；贗nternet環(huán)境的企業(yè)網絡拓撲結構如下圖所示。
2.2技術安全性分析技術主要由三個部分組成：隧道技術，數(shù)據加密和用戶認證。隧道技術定義數(shù)據的封裝形式，并利用IP協(xié)議以安全方式在Internet上傳送；數(shù)據加密保證敏感數(shù)據不會被盜取；用戶認證則保證未獲認證的用戶無法訪問網絡資源。的實現(xiàn)必須保證重要數(shù)據完整、安全地在隧道中進行傳輸，因此安全問題是技術的核心問題，目前，的安全保證主要是通過防火墻和路由器，配以隧道技術、加密協(xié)議和安全密鑰來實現(xiàn)的，以此確保遠程客戶端能夠安全地訪問服務器。
在運行性能方面，隨著企業(yè)電子商務活動的激增，信息處理量日益增加，網絡擁塞的現(xiàn)象經常發(fā)生，這給性能的穩(wěn)定帶來極大的影響。因此制定方案時應考慮到能夠對網絡通信進行控制來確保其性能。我們可以通過管理平臺來定義管理策略，分配基于數(shù)據傳輸重要性的接口帶寬，這樣既能滿足重要數(shù)據優(yōu)先應用的原則，又不會屏蔽低優(yōu)先級的應用?？紤]到網絡設施的日益完善、網絡應用程序的不斷增加、網絡用戶數(shù)量的快速增長，對與復雜的網絡管理、網絡安全、權限分配的綜合處理能力是方案應用的關鍵。因此方案要有一個固定的管理策略以減輕管理、報告等方面的負擔，管理平臺要有一個定義安全策略的簡單方法，將安全策略進行合理分布，并能管理大量網絡設備，確保整個運行環(huán)境的安全穩(wěn)定。

3Windows環(huán)境下網絡的設計與應用
企業(yè)利用Internet網絡技術和Windows系統(tǒng)設計出網絡，無需鋪設專用的網絡通訊線路，即可實現(xiàn)遠程終端對企業(yè)資源的訪問和共享。在實際應用中，服務端需要建立在Windows服務器的運行環(huán)境中，客戶端幾乎適用于所有的Windows操作系統(tǒng)。下面以Windows2003系統(tǒng)為例介紹服務器與客戶端的配置。
3.1Windows2003系統(tǒng)中服務器的安裝配置在Windows2003系統(tǒng)中服務稱之為“路由和遠程訪問”，需要對此服務進行必要的配置使其生效。
3.1.1服務的配置。桌面上選擇“開始”→“管理工具”→“路由和遠程訪問”，打開“路由和遠程訪問”服務窗口；鼠標右鍵點擊本地計算機名，選擇“配置并啟用路由和遠程訪問”；在出現(xiàn)的配置向導窗口點下一步，進入服務選擇窗口；標準配置需要兩塊網卡（分別對應內網和外網），選擇“遠程訪問（撥號或）”；外網使用的是Internet撥號上網，因此在彈出的窗口中選擇“”；下一步連接到Internet的網絡接口，此時會看到服務器上配置的兩塊網卡及其IP地址，選擇連接外網的網卡；在對遠程客戶端指派地址的時候，一般選擇“來自一個指定的地址范圍”，根據內網網段的IP地址，新建一個指定的起始IP地址和結束IP地址。最后，“設置此服務器與RADIUS一起工作”選否。服務器配置完成。
3.1.2賦予用戶撥入權限設置。默認的系統(tǒng)用戶均被拒絕撥入到服務器上，因此需要為遠端用戶賦予撥入權限。在“管理工具”中打開“計算機管理”控制臺；依次展開“本地用戶和組”→“用戶”，選中用戶并進入用戶屬性設置；轉到“撥入”選項卡，在“選擇訪問權限(撥入或)”選項組下選擇“允許訪問”，即賦予了遠端用戶撥入服務器的權限。
3.2客戶端配置客戶端適用范圍更廣，這里以Windows2003為例說明，其它的Windows操作系統(tǒng)配置步驟類似。
在桌面“網上鄰居”圖標點右鍵選屬性，之后雙擊“新建連接向導”打開向導窗口后點下一步；接著在“網絡連接類型”窗口里選擇“連接到我的工作場所的網絡”；在網絡連接方式窗口里選擇“虛擬專用網絡連接”；接著為此連接命名后點下一步；在“服務器選擇”窗口里，輸入服務端地址，可以是固定IP，也可以是服務器域名；點下一步依次完成客戶端設置。在連接的登陸窗口中輸入服務器所指定的用戶名和密碼，即可連接上服務器端。
3.3連接后的共享操作當客戶端撥入連接以后，即可訪問服務器所在局域網里的信息資源，就像并入局域網一樣適用。遠程用戶既可以使用企業(yè)OA，ERP等信息管理系統(tǒng)，也可以使用文件共享和打印等共享資源。
4小結
現(xiàn)代化企業(yè)在信息處理方面廣泛地應用了計算機互聯(lián)網絡，在企業(yè)網絡遠程訪問以及企業(yè)電子商務環(huán)境中，虛擬專用網()技術為信息集成與優(yōu)化提供了一個很好的解決方案。技術利用在公共網絡上建立安全的專用網絡，從而為企業(yè)用戶提供了一個低成本、高效率、高安全性的資源共享和互聯(lián)服務，是企業(yè)內部網的擴展和延伸。技術在企業(yè)資源管理與配置、信息的共享與交互、供應鏈集中管理、電子商務等方面都具有很高的應用價值，在未來的企業(yè)信息化建設中具有廣闊的前景。
參考文獻:
[1]閆曉弟，耶健.基于的電子資源遠程訪問系統(tǒng)的研究與實現(xiàn).情報雜志.2009(8).
[2]王桐.IP及Internet分類研究.華中師范大學學報(自然科學版).2009(3).