VPN在中小型企业ERP系统安全网络架构中的应用

由此可见，借助VPN技术联网具有安全、高效、可靠等优越性。

#p#

2、企业网络现状以及VPN需求分析

在本应用的企业模型中，该企业的组织机构为：一个企业总部，企业总部内设六个独立核算的分公司;在工业园区设有一家分公司;在外地设有两个驻外办事处。该企业目前的网络状况为：企业总部组建了单独的局域网，并采用光纤接入互联网，企业总部内建设有Client/Server模式的ERP系统}工业园区的分公司组建了它单独的局域网，通过ADSL方式接入互联网，未上ERP系统，两个办事处也采用ADSL方式接入互联网，同样未上ERP系统。换句话说，目前，公司ERP系统仅限于企业总部局域网内，其他机构、出差人员都不能访问企业本部的ERP系统。然而，企业总部需要及时了解分公司、驻外办事处的运营信息，出差在外的企业决策人员、销售人员也需在出差地及时了解企业的运营信息，以便为后续决策提供依据。

要满足此要求，首先需将企业的所有机构借助于Internet联网，然后在企业总部以外其他机构的主机上安装ERP客户端软件，每天通过网络及时地将ERP客户端录入的企业运营数据传输至位于企业总部的ERP服务器上。由于ERP系统中的很多数据涉及到企业的商业机密，因此，必须确保这些机密信息在网络中安全传输。然而，由于目前Internet的开放性以及TCP/IP协议的脆弱性无法保证企业ERP系统中的数据在传输过程中的安全性。换句话说，仅仅依靠电信提供的ADSL虚拟拨号、DDN数字专线等组网模式是不能适应此企业对信息传输平台的要求的，因为这峰传输平台没有经过加密处理，重要的ERP数据均是以明文在网上传输的，如果别有用心的人篡改、窃取甚至破坏企业ERP数据，将给企业造成不可估量的损失。

基于企业的上述需求并考虑到VPN技术的特点，拟采用“基于VPN技术、通过Internet组网”的方式来组建此企业的“私有”网络。

目前，有两种主流的VPN技术。第一种是基于网络层的IPSec VPN，第二种是基于应用层的SSL VPN。由于该企业所选用的ERP系统基于C/S体系结构，而非B/S体系结构，所以，选用IPsec VPN技术实现该企业的组网目标。此次VPN网络方案实施将在保留原有网络环境的情况下，提供以下一些具体的设置以满足该企业的需求。

3、企业VPN建设网络拓朴图及实施

3.1 方案设计与实施

(1)企业总部接入方案设计。该企业本部部署一台Billion BiGuard 30 VPN硬件网关，连接电信接入互联网，为其工业园区分公司、驻外办事处及移动用户提供VPN接入功能。它整合了包括双WAN口之负载平衡和自动线路备份、VPN及防火墙，能建立办公网络环境，使分公司通过远程拨号及远程连接访问总公司并能使用户的网络安全地连接到Internet，不必担心入侵者攻击。支持并发30条IPSec通道，可支持250台电脑同时上网需求。

(2)企业的工业园区分公司接入方案设计。由于其分公司需要与该企业总部进行大量的信息交换，尤其是ERP系统中物流、资金流在网上的频繁传输。为了保证企业总部与分公司之间进行安全的信息传输，在分公司局域网与互联网接口处，部署Billion BiGuard 10 VPN安全网关，直接与ISP提供的接入设备相连。BillionBiGuard 10 VPN网关完成接入互联网、代理内部主机访问互联网信息及为内部主机提供功能完善的防火墙保护等功能的同时，向本部Billion BiGuard 30 VPN安全网关建立VPN安全隧道，实现跨地域网络互联互通，完成分公司ERP资源信息向企业本部ERP服务器的传送以及其他信息安全共享。

(3)有局域网的驻外办事处接入方案设计。如果驻外办事处有多台主机，且巳构成局域网，可部署BillionBiGuard 2 VPN安全网关，直接与ISP提供的接入设备相连。其他工作过程同上述(2)。

(4)只有单台主机的办事处以及移动用户的远程安全接入方案设计。如果驻外办事处只有单台主机，可通过在其主机上安装Billion BiGuard C01 VPN客户端软件，客户端软件启动后以VPN拨号方式向企业本部VPN网关进行身份认证，认证通过后建立相应的VPN隧道。在外出差的移动用户可以通过安装在笔计本上的BillionBiGuard C01 VPN客户端软件，随时通过当地的ISP接入Internet，使用VPN客户端软件与远端的安全网关建立加密隧道，安全接入公司总部和分公司，在任何地方使用公司内部的ERP系统。

该企业VPN建设完成后的拓扑结构如图1所示。

#p#

3.2方案实施的效果

(1)跨地域网络瓦联，构建“私有的”网络基础平台VPN实现了跨地域网络互联，将远程的工业园区公司、驻外办事处以及移动用户全部连接到企业总部局域网中，远程用户可以安全，便捷地访问公司内网中的ERP系统。

(2)保障网络及信息安全

VPN采用国际标准的数字证书确认远端接入用户的合法身份，远程用户经过严格的身份认证之后连入局域网中，ERP服务器和ERP客户端之间通过隧道封装、加密、动态密钥管理等机制，杜绝了数据在互联网传输过程中的各种安全隐患，远程用户所有的ERP数据均通过高位加密的VPN隧道以密文形式传输到企业总部的ERP服务器中，在VPN隧道中传翰的数据对Internet上的用户来讲是完全不可见的，不用担心数据泄露问题。

隧道内高强度认证和加密算法确保了企业总部ERP服务器及数据在传输过程中的高度安全。

(3)满足移动办公需求，实现随时随地移动办公

VPN专网可以满足远程和移动用户的办公需求，远程及移动用户只要能够接入互联网，就可以利用YPN客户端软件直接与中心网关建立安全加密隧道，通过加密隧道随时随地访问ERP服务器，大大提高了员工的工作效率。

同时，通过ERP系统访问权限设置，实现对不同角色的用户分配不同的访问权限，杜绝非授权用户非法访问敏感信息。移动用户一旦启动客户端软件并正确建立VPN链道后，就可以根据中心网关为其分配的权限，访问相应的内部网络资源，且只能访问权限明确允许的资源，进一步确保网络及信息安全。

(4)灵活接入、轻松扩展的专网应用平台

企业VPN专网具备灵活的扩展性。当需要增加新的网络节点时，只需再部署相应的VPN设备或安装相应的客户端软件即可。该企业的VPN专网构建基于IPSec标准，在网络模型的第三层(网络层)实现对数据包的封装和加密，而对于上层的应用完全透明，这样使得此VPN专网平台具有良好的可扩展性。

4、展望

通过对企业VPN专网的成功构建，确保企业本部与其分支机构之间实时的业务联系，确保企业核心业务数据在互联网上传输的安全性，保障企业信息安全和应用的扩展性，推动企业网络应用的发展，为企业未来的发展奠定了坚实的基础。