【正文】 成了十分迫切的要求。經(jīng)過(guò)多年的研究虛擬專用網(wǎng) VPN（Virtual Private Network）的概念與市場(chǎng)隨之產(chǎn)生。虛擬專用網(wǎng) VPN 的技術(shù)從 1993 年提出到現(xiàn)在的十幾年里已形成了一套十分完善的安全體系。并有 IAB 和 IEFT標(biāo)準(zhǔn)化組織定義了一系列標(biāo)準(zhǔn)文檔（RFC24xx 系列文檔） 。虛擬專用網(wǎng)是在現(xiàn)存的 Inter 上建立一條私有的加密通道。通過(guò)這條隧道將政府、企業(yè)的分支機(jī)構(gòu)和合作伙伴間連接起來(lái)，構(gòu)建一個(gè)邏輯上獨(dú)立的私有的安全網(wǎng)絡(luò)。對(duì)于使用者來(lái)說(shuō)數(shù)據(jù)的加密都衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 7 頁(yè) 共 42 頁(yè)是透明的，用戶感覺不到有什么不同。其它人即使得到傳輸?shù)男畔?，但是這些信息是加密的信息，他不能知道真正的信息。虛擬專用網(wǎng)的優(yōu)勢(shì)在于。極大的降低了成本由于虛擬專用網(wǎng) VPN 是通過(guò)公共網(wǎng) Inter 上傳輸信息，與租用專線相比，可以節(jié)省大量的費(fèi)用開支。全方位的安全保障虛擬專用網(wǎng) VPN 是建立在一套完整的信息加密，信息認(rèn)證，用戶身份認(rèn)證以及密鑰管理等體系的基礎(chǔ)上，最大限度的保障信息的安全。十分靈活的管理方式由于虛擬專用網(wǎng)在公網(wǎng)建立的虛擬的連接，所以用戶可以靈活的控制與其它方建立和刪除 VPN 隧道。不受物理?xiàng)l件的制約。不影響用戶的正常使用使用 VPN 后，由于 VPN 對(duì)用戶是透明的，所以用戶感覺不到加密隧道的存在。廣泛的通用性目前，比較廣泛采用的 VPN 技術(shù)包括IPSEC、PPTP 、L2TP、MPLS VPN 等。 目前與企事業(yè)單位相關(guān)的 VPN 隧道協(xié)議分三種：點(diǎn)到點(diǎn)隧道協(xié)議 PPTP，第二層隧道協(xié)議 L2TP，網(wǎng)絡(luò)層隧道協(xié)議 IPSec。在所有的 VPN 協(xié)議中，IPsec 提供最好的安全性。IPsec 協(xié)議十分靈活，可以滿足所有網(wǎng)關(guān)到網(wǎng)關(guān)、客戶端到網(wǎng)關(guān)的 VPN 連接。IPSec VPN 技術(shù)是一種通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 8 頁(yè) 共 42 頁(yè)在公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，從而利用公網(wǎng)構(gòu)筑單位專網(wǎng)的組網(wǎng)技術(shù)。它兼?zhèn)淞斯娋W(wǎng)的便捷和專用網(wǎng)的安全，是介于公眾網(wǎng)與專用網(wǎng)之間的一種網(wǎng)。IPSec 協(xié)議是一個(gè)范圍廣泛、開放的 VPN 安全協(xié)議，工作在計(jì)算機(jī)體系結(jié)構(gòu)的網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信。IPSec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行：一種是隧道模式，一種是傳輸模式。在隧道模式下，IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 幀中。傳輸模式是為了保護(hù)端到端的安全性，不會(huì)隱藏路由信息。 IPSec 協(xié)議在傳輸層之下，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。當(dāng)用戶采用了 IPSec VPN 后，無(wú)需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。本網(wǎng)或他網(wǎng)的 ADSL/寬頻用戶，在鐵通注冊(cè) IP VPN 業(yè)務(wù)后，通過(guò)鐵通發(fā)放的私有 License，可以建立內(nèi)部安全的基于 IPSec 標(biāo)準(zhǔn)的 VPN 隧道，通過(guò)數(shù)據(jù)交換實(shí)現(xiàn)內(nèi)部 OA 軟件、內(nèi)部數(shù)據(jù)軟件系統(tǒng)、視頻會(huì)議等各行業(yè)的多種用途。 IP VPN 業(yè)務(wù)性能特點(diǎn) (1). IPSec VPN 綜合認(rèn)證管理平臺(tái)在互聯(lián)互通、資源共享、分布運(yùn)算、集中管理、移動(dòng)性等方面具有很大優(yōu)勢(shì)，使終端間的直接通信大大簡(jiǎn)化。支持基于分組的控制平臺(tái)、呼叫控制與承載相分離，以及各種上層應(yīng)用。(2).采用專用的 IPSec VPN 客戶接入網(wǎng)關(guān)設(shè)備，管理方便、價(jià)格低廉，便于對(duì)中小型單位和價(jià)格敏感型用戶的普及和推廣。另外該終端設(shè)備將互聯(lián)網(wǎng)的諸多應(yīng)用功能——衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 9 頁(yè) 共 42 頁(yè)P(yáng)ROXY、DNS 、FIREWALL、VPN、MAILSERVER 、INTRANET等，直接內(nèi)置到終端，使終端具有更加智能、更富有個(gè)性化的能力。同時(shí)也可以把 IPSec VPN 平臺(tái)與信息化設(shè)備靈活組合，生成豐富多彩的應(yīng)用。(3).接入靈活? 不受互聯(lián)網(wǎng)接入運(yùn)營(yíng)商的限制，支持 ADSL/LAN/Dial up/ISDN 等各種接入方式，互聯(lián)網(wǎng)可到達(dá)的地區(qū)都可以實(shí)現(xiàn)互聯(lián)，開展業(yè)務(wù)。? 能與現(xiàn)有的任何網(wǎng)絡(luò)無(wú)縫接入，如果部分節(jié)點(diǎn)已經(jīng)有了DDN、FRAMERELAY 或 MPLS VPN 等其他 VPN 通道，IPSec 技術(shù)可以無(wú)縫接入到現(xiàn)在的網(wǎng)絡(luò)之中。? 支持動(dòng)態(tài) IP 地址和網(wǎng)狀的網(wǎng)絡(luò)連接，發(fā)展用戶不受城域網(wǎng)建網(wǎng)模式的限制。? IPSec 可擴(kuò)展性強(qiáng)，增加節(jié)點(diǎn)不影響原有的互聯(lián)業(yè)務(wù)。? 支持 NAT 穿越(NATT)，確保城域網(wǎng)內(nèi)采用私網(wǎng) IP 地址時(shí)各用戶節(jié)點(diǎn)的互聯(lián)互通。(4).公專網(wǎng)兼顧通過(guò)用戶終端可自由設(shè)置用戶訪問(wèn)權(quán)限，根據(jù)客戶具體需求既可以僅能訪問(wèn)單位內(nèi)部專網(wǎng)，也可以同時(shí)開通 INTERNET 公眾信息網(wǎng)的訪問(wèn)。(5).易于擴(kuò)容增加 IP VPN 用戶節(jié)點(diǎn)，除了需增加 IP VPN GW 用戶網(wǎng)關(guān)設(shè)備外，僅需申請(qǐng)用戶 license，并在遠(yuǎn)端 IP VPN 用戶管理平臺(tái)上將該license 添加到該單位所在的專用域中，就實(shí)現(xiàn)了新建節(jié)點(diǎn)的擴(kuò)容。衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 10 頁(yè) 共 42 頁(yè)(6).業(yè)務(wù)的安全可靠保證? 滿足用戶的可靠性要求：隧道定時(shí)巡檢機(jī)制，快速自動(dòng)修復(fù)功能，確保互聯(lián)數(shù)據(jù)的安全可靠。? 防攻擊：部署專業(yè)防火墻，可以對(duì)數(shù)據(jù)包采用多維策略過(guò)濾，最大可能地防止黑客攻擊。 I PSec VPN 遠(yuǎn)程接入 MPLS 方案、IPSEC VPNIPSEC VPN是基于IP SEC技術(shù)的VPN，IPSec協(xié)議是一個(gè)范圍廣泛、開放的VPN安全協(xié)議，工作在計(jì)算機(jī)體系結(jié)構(gòu)的網(wǎng)絡(luò)層。它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信 。IPSEC協(xié)議在傳輸層之下，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。當(dāng)用戶采用了IPSEC VPN后，無(wú)需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。例如：應(yīng)用程序這樣的上層軟件不會(huì)受到影響，IPSEC對(duì)終端用戶來(lái)說(shuō)是透明的，因此不必對(duì)用戶進(jìn)行安全機(jī)制的培訓(xùn)。另外如有必要IPSEC也可以為單獨(dú)用戶提供安全保障，保障企業(yè)內(nèi)部的敏感信息。、IPsec VPN 在方案中的功能如果客戶節(jié)點(diǎn)覆蓋全國(guó)多個(gè)城市，在設(shè)計(jì)MPLS方案中必然會(huì)遇到兩個(gè)問(wèn)題：覆蓋問(wèn)題：由于客戶的覆蓋面廣、節(jié)點(diǎn)多，MPLS資源不能夠覆蓋全部的節(jié)點(diǎn)，這樣對(duì)于整體方案來(lái)說(shuō)是一個(gè)非常重要的問(wèn)題，針對(duì)這種情況，可以考慮在運(yùn)營(yíng)商IP網(wǎng)絡(luò)覆蓋不到的地區(qū)，可以使用其他運(yùn)營(yíng)上的互聯(lián)網(wǎng)線路，然后通過(guò)IPSec 技術(shù)接入到最近的國(guó)內(nèi)衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 11 頁(yè) 共 42 頁(yè)或國(guó)際骨干節(jié)點(diǎn)中。選擇最近的骨干節(jié)點(diǎn)接入的理由是當(dāng)前國(guó)內(nèi)運(yùn)營(yíng)商之間互聯(lián)互通的速度比較慢，如果用戶的接入點(diǎn)跨了其他運(yùn)營(yíng)商才接入到本網(wǎng)的話，延時(shí)和速度都會(huì)受到影響。這種通過(guò)就近接入MPLS VPN骨干網(wǎng)絡(luò)，然后通過(guò)骨干網(wǎng)通信的解決方案，也解決了完全使用IPSec VPN解決方案時(shí)不同運(yùn)營(yíng)商之間互聯(lián)比較緊張帶來(lái)的高延時(shí)，低速度的情況。線路備份和分流：在MPLS 覆蓋的節(jié)點(diǎn)如果有一條上網(wǎng)線路提供客戶上網(wǎng)，那么可以通過(guò)IPSec VPN多功能網(wǎng)關(guān)代理客戶上網(wǎng)的同時(shí)，與相應(yīng)的節(jié)點(diǎn)組建VPN隧道，可以實(shí)現(xiàn)對(duì) MPLS VPN鏈路的備份，同時(shí)，針對(duì)不同的應(yīng)用可以考慮采用IPSEC VPN進(jìn)行數(shù)據(jù)的分流，保證MPLS上傳輸?shù)膶Ｓ脭?shù)據(jù)的傳輸效率。、 IPSEC VPN 接入 MPLS 具體實(shí)施方案每個(gè)節(jié)點(diǎn)安裝一臺(tái) IPSec VPN 多功能網(wǎng)關(guān)設(shè)備；在有 MPLS 接入的節(jié)點(diǎn)， IPSEC VPN 網(wǎng)關(guān)與上網(wǎng)線路和局域網(wǎng)連接，作為整個(gè)局域網(wǎng)的代理上網(wǎng)網(wǎng)關(guān)和防火墻使用，同時(shí)建立隧道作為 MPLS 備份鏈路；在沒(méi)有 MPLS 接入的節(jié)點(diǎn)，可以任意申請(qǐng)一條上網(wǎng)線路，接到IPSec VPN 網(wǎng)關(guān)，建立 IPsec 隧道，將該點(diǎn)接入到 MPLS 的大網(wǎng)中；作為智能網(wǎng)關(guān)設(shè)備，IPsec VPN 網(wǎng)關(guān)可以作為一款功能強(qiáng)大的防火墻，對(duì)局域網(wǎng)設(shè)備進(jìn)行上網(wǎng)行為管理； 方案拓?fù)鋱D：衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 12 頁(yè) 共 42 頁(yè)、方案特點(diǎn)從上圖可以看出，通過(guò) IPSec VPN 網(wǎng)關(guān)設(shè)備，實(shí)現(xiàn)了 MPLS 專網(wǎng)和 Inter 的 VPN 網(wǎng)絡(luò)的完美結(jié)合，該結(jié)合方案體現(xiàn)以下優(yōu)勢(shì)和特點(diǎn)：實(shí)現(xiàn)了廉價(jià)高效的 MPLS 備份鏈路；可實(shí)現(xiàn) MPLS 線路無(wú)法覆蓋地區(qū)的應(yīng)用接入；IPsecVPN 隧道的連接可按實(shí)際情況靈活連接；實(shí)現(xiàn)針對(duì)每個(gè)節(jié)點(diǎn)的上網(wǎng)行為管理；、SSL VPN 實(shí)現(xiàn)移動(dòng)應(yīng)用接入在實(shí)現(xiàn)了全部節(jié)點(diǎn)的連接后，SSL VPN 接入針對(duì)特殊個(gè)人的特殊連接行為給予了支持，比如 ：保險(xiǎn)處理人員在特定環(huán)境下的定損理賠，如：告訴公路等，快速靈活的處理方式即給予投保人更多的方便，也大大的提高了保險(xiǎn)公司人員的工作效率，但是，在實(shí)現(xiàn)靈活接入的同時(shí)，也需要保證其鏈接的安全性。衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 13 頁(yè) 共 42 頁(yè)、SSL VPN 介紹SSL 的英文全稱是“Secure Sockets Layer”，中文名為“安全套接層協(xié)議層” ，它是網(wǎng)景（Netscape）公司提出的基于 WEB 應(yīng)用的安全協(xié)議。SSL 協(xié)議指定了一種在應(yīng)用程序協(xié)議（如Http、Tele、NMTP 和 FTP 等）和 TCP/IP 協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為 TCP/IP 連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證、具體實(shí)施方案 升級(jí)需要 SSL 接入節(jié)點(diǎn)的 IPsec VPN 設(shè)備，使其具有 SSL VPN 接入功能； 客戶端使用 IBC Key 進(jìn)行身份認(rèn)證和 SSL 連接； 在終端上開啟 IE 瀏覽器直接連接使用、SSL VPN 方案特點(diǎn)A、 SSL 用戶登錄采用 IBC 密碼體系（商密 9：具體信息參看衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 14 頁(yè) 共 42 頁(yè)IBC 體系說(shuō)明）進(jìn)行數(shù)字簽名和身份認(rèn)證；B、 采用 IPsec SSL 二合一功能設(shè)備，無(wú)需更新設(shè)備；C、適合 PDA 和智能手機(jī)操作系統(tǒng)，終端更靈活；SSL 接入證書機(jī)制，防止釣魚程序，進(jìn)一步保證接入安全性；IBC 認(rèn)證流程： IP VPN 業(yè)務(wù)應(yīng)用協(xié)同辦公(OA)系統(tǒng)應(yīng)用作為衛(wèi)生系統(tǒng)信息化的重要組成部分，協(xié)同辦公(OA)系統(tǒng)一直都是必須的一項(xiàng)業(yè)務(wù)。隨著江西省衛(wèi)生系統(tǒng)的發(fā)展，領(lǐng)導(dǎo)干部不論在家辦公、移動(dòng)辦公、出差監(jiān)管、接受新的監(jiān)管單位、擬建的新監(jiān)管機(jī)構(gòu)均可利用中國(guó)鐵通信息化快車 IP VPN 組建江西省衛(wèi)生系統(tǒng)下屬機(jī)構(gòu)、所有監(jiān)管單位協(xié)同辦公系統(tǒng)，都會(huì)成為一種最快捷、最先進(jìn)、最安全的組網(wǎng)手段及組網(wǎng)形式。采用中國(guó)鐵通信息化快車 IP VPN 業(yè)務(wù)同時(shí)實(shí)現(xiàn)接入、 VPN、防火墻、代理上網(wǎng)等功能。協(xié)同辦公(OA)辦公軟件無(wú)論是基于 B/S 還衛(wèi)生系統(tǒng)全省綜合信息網(wǎng)解決方案第 15 頁(yè) 共 42 頁(yè)是 C/S 的模式，都可以利用 IP VPN 構(gòu)建遠(yuǎn)程實(shí)時(shí)應(yīng)用。而且無(wú)需鋪設(shè)專線，無(wú)需固定 IP 地址