一、概述
SOHO(在家办公),远程办公是现在流行的办公方式,但是作为一个企业要实现这样的办公方式的代价是巨大的。首先,她要拥有自己的接入服务器,并且申请多条电话线路,这样才可以同时让多个员工同时接入;另外,员工在外要接入公司,如果出差外地,还需要拨打长途电话,费用很高。
随着互联网的发展,宽带接入的推广,企业都纷纷通过上网,于是出现了其他方式可以替代远程办公的方式来获得公司资料的办法,比如电子邮件,FTP等,但是这些传送方式经过了互联网,安全上面就没有保证,有可能导致被别人窃取重要信息。另外如果出差在外地的员工需要实时了解公司的资料,或者回到自己办公那台机器上去取重要资料就只有通过长途电话的方式了。
在宽带接入如火如荼的今天,有没有什么办法可以简单实现远程办公, 而所需要的费用很低,并且用户不需要拨打长途电话,还有信息传送是安全的呢?答案是肯定的,利用MPS网关服务器的PPTP虚拟专网功能,就可以满足该要求。采用了虚拟专网接入后,新的问题就会产生,就是万一员工泄露的自己的账号和密码,那么就会导致整个内部网络被黑客进入以及破坏,这就需要对通过虚拟专网接入的用户进行严格的管理和限制,MPS网关服务器的PPTP服务能够很方便地解决这个问题。
MSP网关服务器支持同时多路PPTP的接入,而且在网关服务器端不需要专线接入,可以用普通的ADSL,支持动态IP。在客户端,Windows的用户不需要另外加装任何软件,win2k/winXP用户直接用windows提供的PPTP,而win95/98的用户只需要打一个补丁就可以使用了。
下面就用一个实际的例子介绍MPS网关如何实现远程办公解决方案。
二、企业远程办公设计方案
该需求是这样的,广州一家网络产品销售的企业,主要是从事产品代理、贸易方面的,该企业代理的产品众多,每天的产品资料和价格都在不停的更新,所有资料为了安全起见(商业秘密)都放在公司的数据库中,由于其客户遍及全国各地,所以他的员工都是经常出差在外,以前为了最快获得公司的最新资料,报价最初采用传真的办法获得信息,然后发展到每天通过拨打长途电话联接回公司的服务器实现的,后来有了互联网后,就才采用电子邮件的方式。但是这些办法都只能够实现单向的信息交流,而且存在信息传送速度慢,有可能丢失等情况导致失去商机,那么现在我们就基于MPS网关服务器,帮他们设计一个高性价比的远程办公解决方案。
具体的网络结构图如下:
首先,该公司申请一条ADSL的宽带接入,不需要申请专线方式,也就是说动态IP就可以了,当然如果需要一定数量以上的用户同时访问,建议还是采用专线的方式。然后,ADSL Modem后面接一台MPS800E或者MPS-1600EX网关服务器,采用那种型号就要具体看多少用户同时接入的数量。配置好该服务器上的PPTP虚拟专网后,在外需要远程办公的员工,只需要接入当地的互联网,然后利用PPTP建立一条安全的通信通道,就可以访问回公司的资源。
另外,MPS网关服务器还可以设定通过PPTP进入公司内部网络的安全规则,可以指定访问那些服务器,而其他内部网络机器不可以访问;可以设定访问时间,访问具体的服务等,实现对远程访问的综合管理功能。
那么为什么要采用MPS系列的网关产品呢?MPS系列到底是否已经能够安全远程访问,该产品的安全性以及有些什么功能?下面我们就来介绍一下该产品的功能特点,你就明白了。
三、MPS企业网关功能特点
3.1 支持各种宽带联网方式
MPS系列网关服务器(以下简称MPS)支持各种宽带的接入方式,包括中国电信的ADSL、LAN网络快车,视讯宽带的CableModem、盈通的e家宽、网通的L2TP拨号、长城宽带以及各种城域网的接入方式。MPS支持各种接入的协议,包括PPPoE、DHCP、L2TP、PPTP等。支持各种接入模式的灵活组合,可以配置复杂的网络接入。一般的网络共享器只能支持单一接入模式,遇到复杂的接入就无可奈何。比如:网通的L2TP拨号接入,首先需要从DHCP服务器分配一个IP地址(这个地址并非公网的IP地质),然后再通过L2TP协议连接到出口服务器,才能获得真正的公网IP地址和互联网通信。MPS可以灵活的组合各种接入拨号,因而可以支持运行商提供的各种复杂接入方式。 MPS具备连接的断线自动重连功能,MPS网关一经设置,就可进入自动的工作状态。线路中断或者IP变换后,系统自动重新连接,完全无需人工干预,完善的故障检测和自动重连功能保证你可以轻松的畅游互联网。
3.2 特有的宽带线路捆绑功能
MPS支持多路宽带接入的捆绑,也就是说,一个MPS设备,可以同时使用2条或者3条线路接入,捆绑后共享给整个企业用户,提高用户的上网访问速度,并且节省了多台网络服务器。当然啦,这里的捆绑并不可能实现单条线路的速度增加,但是对于多线路同时访问,就可以使用到总体带宽。
3.3 支持大量连接的互联网共享功能
无论何种宽带接入方式,都可以通过MPS的NAT(网络地址转换)功能为内部网用户提供互联网的共享。而且该共享方式是透明的。如果用户是利用MPS的DHCP功能进行IP地址分配,就已经可以共享互联网,如果不是的,就只需要把网关设置为MPS的对内接口的IP地址就可以了。
局域网络里面的主机通过网关共享设备访问互联网时,共享设备要为每个TCP/IP连接维护连接的信息。MPS提供对大量并发连接访问的支持能力。MPS的不同型号可以支持数以万计的并发连接。也就是可以支持局域网内成百上千的主机通过单一IP地址对互联网进行访问。MPS-1600EX可以最多可以支持640,000的并发连接,完全可以支撑大型企业用户局域网络所有机器共享访问互联网的需求。
3.4 优越的网络吞吐性能
MPS服务器支持2M——100M的各种接入模式。MPS-800系列可以支持10M以上的数据吞吐量。MPS-1600EX可以支持 100M以上的数据吞吐能力。在设置防火墙规则后和流量控制规则后,数据吞吐能力没有明显的下降。已经可以满足企业级用户的宽带接入需求。
3.5 强大的防火墙功能
MPS提供基于状态监测的包过滤防火墙功能,通过简单的管理界面,可以方便、灵活地设置过滤规则。
包过滤功能作用在网络层和传输层,它可以根据分组包头源地址,目的地址和端口号、协议类型、标志位等众多信息对 数据包进行监控,确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
MPS防火墙可以实现双向的网络地址转换,即源地址转换和目的地址转换。局域网的主机通过源地址转换后通过唯一合法的IP地址访问外部,实现对外地址伪装,也就是上面提供的网络共享功能。目的地址转换,可以把对宽带接入的唯一合法地址的访问映射入局域网内部。只要拥有一个合法IP地址,你就可以在局域网内架设你的WWW服务器,邮件服务器,省去了托管主机的管理不变的麻烦,把网站搬回你家门口。
包过滤不需要用户软件的支撑,也不要求对客户机做特别的设置,也没有必要对用户做任何培训。当数据通过防火墙上时,用户甚至感觉不到包过滤功能的存在,只有在有些包在禁入和禁出时,用户才认识到网络上存在着防火墙。包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户作任何操作的前提下完成包过滤。
MPS防火墙的高级功能可以防止各种拒绝服务(DOS)攻击(Syn flood、ICMP flood、UDP flood、Ping of Death、IP哄骗、Land Attack、tear drop? Attack、IP地址扫描、Win Nuke Attack等)。MPS驻守你的宽带入口,可以有效的阻挡黑客的恶意入侵,让你不再担心你的内部网络被非法入侵,公司的数据被非法窃取。
3.6 高性能的带宽管理功能
带宽管理技术是一种高层次的网络管理技术,可以对网络实时的传输速度进行测量,对网络拥塞情况进行监测并按照预先定义的优先级别,保证关键业务的网络带宽占用,从而避免了当网络产生瓶颈时,对一些关键业务的影响。这也正是我们所讲的QoS (Quality of Service)。MPS可以根据不同的IP地址和服务类别设置不同的带宽限制和优先级别,保证重要用户的带宽流量。
当网络空闲时,MPS可以相应提高访问的带宽,但前提是不影响高级别服务或用户的网络带宽。即系统保证所分配带宽的最低值,在高级别网络应用不用带宽的情况下,可以自动加大低端到服务器用户的带宽,以最大程度利用现有的网络资源。通过这个功能,就可以限制网吧用户的最高速度,而即使他在下载的时候,也不影响其他用户上网和进行网络游戏。
3.7专业的VPN功能
所谓虚拟专网就是利用互联网,通过数据加密的方式,分布在不同地理位置的网络建立安全的通信网络。
MPS使用我们自行开发了采用基于IP数据隧道的天匙(SkyKey)虚拟专网系统,为用户提供VPN功能。在组建VPN时,可以采用多种加密算法(56Bits BLOWFISH、DES、168Bits 3DES、MD5、RC4、SHA1、IDEA)对数据加密,保证数据安全传输。另外该系统支持多个网络互连的虚拟专网连接方式,只需要有一个中心连接点,其他网络都连上去这个中心点,就可以实现各个网络之间连起来的虚拟局域网。
为了实现和其他厂家的互连,MPS支持多种的VPN协议,PPTP、L2TP、IPSEC 。MPS可以作为PPTP、L2TP的客户端连接PPTP或者L2TP服务器,实现VPN连接。IPSEC VPN支持以Share Key的模式和标准IPSEC的设备互连。
另外,MPS还支持Microsoft 的PPTP协议,允许MS的客户端可以直接通过PPTP协议建立VPN连接,访问公司资源,实现远程办公。对于需要更安全的PPTP服务,我们还有专门的PPTP 网关产品,该产品和Radius结合,可以对PPTP的用户进入访问记录和统计。 |
