4.3.5 内联网、外联网和虚拟专网
因特网不仅是一个庞大的互连网络,而且实质上也包含了更多的东西。因特网被定义为不只是在世界范围内彼此互相连接的计算机,也包括了它所提供的服务和特性。此外,因特网还定义了一种特定的做事方法,在员工与公司之间共享信息和资源。随着20世纪90年代因特网应用的急剧膨胀,许多人认识到用于因特网上的技术和工艺,如果也能应用于内部公司网络将会非常也效。术语“内联网”(intranet)就是表示功能像专用因特网的内部网络。它来源于前缀“intra”(在内),意思是内部。当然,再进一步扩展问题的范围,如果将内联网扩展为允许接入它的人或者组织不严格地来自本组织内部,还包括了总公司外部的人或者组织机构,这时被称为外联网(extranet)。当然,“extra(外部)”是一个前缀,意思是在外面或者在远处。所以,外联网是一种内部的、专用的互连网络,但不是完全是内部的。一个外联网一个扩展的内联网,才是一种真正的互连网络,像因特网一样工作。一个外联网不是公共的,不对所有人开放,即它会被一个专门的组织所控制。
对于很多需要向各地扩展的机构来说,虚拟专用网(Virtual Private Network,VPN)的使用很重要。VPN是一种专用网络,它将因特网这样的公共网络作为传输媒介,以传递数据并连接远程站点和用户,在公司内部网络到远程用户之间建立虚拟连接,而不需要租用专门线路。安全性是企业安装VPN的主要理由,其他理由包括可以扩展网络的性能和地理界限,同时又能削减费用。因为VPN通常可以覆盖较长的距离,所以它见于广域网应用。
一个典型的VPN在公司的总部可能有一个主局域网,在远程分支机构或工厂也存一些局域网。另外,商业伙伴和远程办公人员或野外作业者也建有局域网。为了避免敏感数据和通信遭受外界损害,VPN利用了它所依托的实体网络所提供的多种安全机制,如防火墙、加密系统、认证、授权和审计服务器。同时,VPN也是无线组网安全需求的理想解决方案,因为它们提供了无线局域网上的封装、认证和完整的加密技术(见图4-19)。
图4-19 VPN
根据网络连接方式的不同,VPN分为以下几种。
(1)远程访问(Remote Access VPN):外地用户对企业局域网进行访问。外地用户在他们的计算机中安装VPN客户端软件,然后通过拨号,接入由第三方建立的网络访问服务器,来同企业局域网建立连接。这种VPN经由因特网服务提供商(ISP),在外地用户与企业网络之间建立了安全的、经过加密的连接。
远程访问VPN与传统的远程访问网络(Remote Access Network)相对应。在远程访问VPN方式下,远程用户不需要通过长途电话拨号到企业网络的远程接入端口,而是拨号接入到用户所在地的ISP,利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。当然,随着4G接入的不断应用,使用无线方式和VPN接入企业内部网络已经变得非常方便。
远程访问VPN最适用于企业内部经常有流动人员远程办公的情况。在外人员拨号接入到用户所在地的ISP,就可以与企业的VPN网关建立私有的隧道连接。国内部分院校的网络数字化信息资源,对访问者的位置(网络地址)有限制,在外部的员工或学生就需要利用远程访问虚拟专网才能访问学校内部提供的网络资源。
(2)内联虚拟专网(Intranet VPN):与企业内联网相对应。在内联虚拟专网方式下,企业两个异地机构的局域网互连不租用专线,而是各分支机构网络利用VPN特性,在GBP上组建跨地域的内联虚拟专网,利用因特网的线路保证网络的互连性;同时利用隧道、加密等VPN特性,保证信息在整个内联虚拟专网上安全传输,拥有与专用网络相同的安全性、可管理性和可靠性。
(3)外联虚拟专网(Extranet VPN):与政府网、教育网所构成的外联网(Extranet)相对应。它与内联虚拟专网没有本质的区别,但由于是不同集团用户的网络相互通信,因此要更多地考虑设备的互连、地址的协调、安全策略的协商等问题。
利用VPN技术可以组建安全的外联网,既可以向公众、企业、学校等团体提供有效的信息服务,又可以保证自身的内部网络的安全。外联虚拟专网通过一个使用专用连接的共享基础设施,可将公众、上下游企业、政府等团体连接到企业内部网。外联虚拟专网拥有与专用网络的相同安全、可管理性和可靠性。