使用VPN構建安全的CDMA/GPRS無線網絡

一、構建網絡面臨的問題： 越來越多的用戶開始利用CDMA或者GPRS無線網絡將分散在各地的設備構建成互聯互通的網絡，從而完成遠程監控，遠程維護，遠程交易等活動，這確實是一個方便，快速的方法，而且跨越了地域的限制，但在網絡的搭建過程中，客戶會面臨這樣的一些問題： 1、企業網絡的安全：企業網絡連接在 Internet 上，為了防止非法訪問或入侵，充分保護自身網絡資源的安全變得非常重要。 2、身份認證及訪問控制：在網上信息交流的過程中，中心與分散的設備進行互相認證，對其訪問信息進行控制。 3、機密性和完整性：保證網上數據傳輸的過程中涉及的大量保密信息在公開網絡的傳輸過程中不被竊取。 4、安全存儲和審計：由于企業內部對數據安全的敏感性，對數據需要安全的存儲和分析，保證在以后可以進行檢查。 5、用戶漫游：在完成以上的安全設計后，還應該保證用戶是可以漫游的，而且漫游用戶也有安全保障。 二、解決之道： 采用映翰通公司支持VPN的CDMA/GPRS無線路由器搭建安全的網絡。 對于企業來說，VPN 提供了安全、可靠的 Internet 訪問通道，為企業網絡的進一步發展提供了可靠的技術保障。由于采用VPN技術，用戶可以從以下幾方面獲益： 1）實現網絡通信安全 具有高度的安全性，對于現在的網絡是極其重要的。新的服務如在線銀行、在線交易都需要絕對的安全，而 VPN 以多種方式增強了網絡的智能和安全性。首先，它在隧道的起點，在權威的認證服務器上，提供對分布用戶的身份認證。另外，VPN 支持安全和加密協議，如 IPsec。 2）降低成本，投資回報 使用支持VPN的無線路由器可以立即且顯著地降低成本。分散在全國的設備需要連接氣也中心專網時，只需要按數據流量向移動運營商支付流量費，而不需要長途的費用。 3）VPN 的其它優勢 ·簡化網絡設計 企業用戶可以使用 VPN 替代租用線路來實現分支機構的連接。這樣可以將對遠程鏈路進行安裝、配置和管理的任務減少到最小，僅此一點就可以極大地簡化企業廣域網的設計。 ·容易擴展 如果企業想擴大 VPN 的容量和覆蓋范圍。企業需做的事情很少，而且能及時實現。不需要為等待搭建專線耗費寶貴的時間。在遠程對原有的設備增加 VPN 能力也很簡單：接上映翰通的無線路由器就可以了。 ·可隨意與合作伙伴實現 Extranet 在過去，企業如果想與合作伙伴連網，雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路。有了 VPN 之后，這種協商變得非常簡單：在業務上授權對方進行資源共享，通過權威的認證機構實現雙方嚴格的身份認證即可。真正達到了要連就連，要斷就斷。 ·完全控制主動權 借助 VPN，企業可以利用運營商的設施和服務，同時又完全掌握著自己網絡的控制權。企業可以把撥號訪問交給移動運營商去做，由自己負責用戶的身份查驗、訪問權限、安全性和網絡變化管理等重要工作。 ·支持更多新興應用 許多專用網對許多新興應用準備不足，如那些要求高帶寬的多媒體和協作交互式應用。VPN 則可以支持各種高級的應用，如 IP 語音，IP 傳真，還有各種協議，如 IPv6、MPLS、SNMPv3 等。 三、映翰通CDMA/GPRS無線路由器InRouter210的功能特點： 實現工業以太網網絡之間的互訪 作為遠程控制站與中心控制系統之間的CDMA網關及路由器 具備10/100M以太網接口, 以及RS485/232, USB接口 支持VPN功能：PPTP，L2TP，IPSEC 具備多級運行狀態檢測與維護功能 CDMA連接狀況的檢測與維護 VPN網絡狀況的檢測與維護 系統運行狀況檢測與維護: 硬件看門狗功能 具有帶寬管理功能，可進行數據流量管理 具有數據存儲功能用于當連接中斷或通信方脫網時保存重要數據 可通過串口及Web兩種方式配制參數 適應工業與數據采集應用的需求 工業柜內低壓直流供電方式，寬電壓范圍 9~~40V 外殼為卡軌式快速安裝設計 抗干擾設計, 防潮設計 四、采用InRouter210搭建先進完善VPN網絡： 1、使用InRouter210搭建Client/Server VPN網絡可以保護敏感的內部通信： 企業的網絡環境中運行有很多重要服務器：ERP、OA、數據庫服務器等，它們掌握著企業最重要的數據資源。這些服務器當前已經不僅僅局限于向內部員工提供資源訪問，它們同時提供外部用戶的訪問。從這些服務器中被訪問的資源，尤其是敏感的數據信息在很多用戶環境中沒有任何措施來確保其安全。因此從數據本身而言沒有任何安全保證，從服務器本身而言同樣沒有任何安全防范。 因此，用戶需要一種能保護企業網絡內或因特網上的各個關鍵應用服務器的解決方案，它同時提供 Client/Server 之間 VPN 連接，從而提高了企業的安全性。企業可確保各客戶機與運行敏感應用程序（Oracle、SAP 等）以及基于因特網的應用程序（E-Mail，FTP）的服務器之間通信安全。 2、最先進的IPSEC協議方式充分保障安全： InRouter210采用先進的IPSEC協議技術構建VPN網絡。 雖然實現 VPN 的技術和方式很多，但所有的 VPN 均必須保證通過公用網絡平臺傳輸數據的專用性和安全性。用戶可以利用加密技術對經過 VPN 隧道傳輸的數據進行加密，以保證數據僅被指定的發送者和接收者了解，從而保證了數據的私有性和安全性。在安全性方面，由于 VPN 直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業必須確保其 VPN 上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。因此，在搭建 VPN 構架時我們還應充分考慮VPN技術的先進性： 當前 Internet VPN 工業標準為采用 IPSEC 方式來實現。IPSEC 通過了完整的、成熟的技術來充分保證數據的私密性、完整性、不可詆毀性等。利用ＩＰｓｅｃ構筑的ＶＰＮ可以在企業網絡的各站點間提供安全ＩＰ隧道(由隧道模式ＥＳＰ加密并重新構造的新ＩＰ報文的源到目的地址之間的網段稱為安全ＩＰ隧道)，使企業的敏感數據不被偷窺和篡改。ＩＰｓｅｃ因為利用了Ｉｎｔｅｒｎｅｔ固有的可用性而代表了未來的方向。 3、支持CA認證達到更高安全級別 選擇權威的認證機構實現最安全的身份認證：無論是設備之間或用戶之間的身份認證均是建立 VPN 最重要的過程。因此，用戶選擇權威的 CA 中心，選擇有更多相關服務的認證中心是保證用戶利用 VPN 實現安全通信的關鍵。InRouter210支持CA認證功能，為安全要求更高的企業提供了更專業更安全的VPN設備。