企业远程接入方式

●　　

Petroleum and Chemical Construction石油化工建设

Vol. 29 No.3Jun. 2007

企业信息化

企业远程接入方式

介　　斐

（　河南化学工业高级技工学校，河南开封　４７５００２）

摘　　要主要讨论企业远程接入方式的选择，从经济性、便利性、安全性等方面对传统专线接入方式进行剖

析，阐述ＶＰＮ作为新一代Ｉｎｔｅｒｎｅｔ安全技术逐步取代传统专线接入方式的必然性，同时针对目前流行的ＩＰＳＥＣ　ＶＰＮ和ＳＳＬ　ＶＰＮ两类ＶＰＮ技术的优缺点进行比较，探寻两类ＶＰＮ各自适应的不同应用模式，为企业选择远程接入方式提出建议。

关键词企业远程接入　　专线　　ＶＰＮ

中图分类号　Ｔ－１９　　　　文献标识码　Ｂ　　　文章编号　　１６７２－９３２３（２００７）０３－０００５－０３

１　概述

伴随企业信息化建设步伐的推进，在企业内部网络中，逐步建立起了与业务特点相适应的关键应用系统，这些关键应用系统常包括：办公自动化ＯＡ系统、ＥＲＰ系统、行业业务应用系统、财务管理系统、人力资源管理系统、内部ＦＴＰ系统等（见下图）。信息化的发展使用户可以通过企业内部网络，访问这些关键应用系统的资源，从而提高了企业生产和管理效率，促进了业务的发展。

图１　　企业内部网络关键应用系统

伴随因特网的接入和应用的普及，越来越多的企业通过与因特网连接，一方面为员工提供访问因特网，快速获取信息的途径；另一方面，建立企业门户网站，作为对外宣传和业务处理的窗口。　业务的发展促进了企业规模的扩大，随着异地分支机构和出差员工数量增加，更多用户要求能够快捷便利地接入到企业的内部网络中，访问关键应用系统，获取相关的数据资源，企业网络应用中实现远程接入的需求变得日益迫切。２　专线与ＶＰＮ两种技术的选择

在考虑远程接入方便性的同时，决不能忽视安全性方面的问题。因为关键应用系统和数据，属于企业内

欢迎访问：《中国化工建设网》　 www.cccenr.org

部敏感的重要信息资产，它们在企业内部网络这样可

信度和可控性较好的网络环境中，安全性能够得到基本的保障。一旦这些信息资产要跨越企业内部网络的边界，对外部网络提供访问的时候，一系列安全性问题就凸现出来。

目前基于网络数据安全传输的方式主要有两种：专线和ＶＰＮ。在ＶＰＮ还没有大规模普及之前，企业之间为了保证数据传送的安全性，一般都是采用称之为专线的点对点的物理线路连接。从Ｘ．２５、帧中继到现在的ＤＤＮ，从技术上讲已经具有相当的安全性，但同时也暴露出可扩展性不高、不够灵活、可使用的带宽太窄等不少问题。

实现安全的远程接入，应当从多个角度考虑具体需求。从经济角度考虑，电信提供的专线组网方式费用比较昂贵，尤其是距离较长、带宽要求较高的专用网络线路，其所需的租用费用往往更高，对于少数大型企业来说，可以负担和接受，然而对于绝大多数企业，特别是中小规模企业来说，建立专用网，实现分支机构的互连，或者移动用户的远程接入，是不太现实的选择。

从安全方面考虑，电信提供的ＤＤＮ、ＡＤＳＬ等传输平台没有经过加密处理，重要数据和信息均是以明文在网上传输，如果别有用心的人利用　Ｓｎｉｆｆｅｒ　等网络监听分析工具，极易篡改、窃取甚至破坏企业数据，给企业造成不可估量的损失；由于传输平台没有认证功能，企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏，都会对企业的信息和数据造成很大的威胁；由于传输平台没有访问控制和安全隔离的功能，给外部非法人员提供了入侵的

６５

Ｐ＆ＣＣ

Petroleum and Chemical Construction石油化工建设

２００７年第２９卷第３期

机会，非法人员可以通过专用的黑客程序（此类工具在Ｉｎｔｅｒｎｅｔ　上可以任意下载），或者盗取授权员工的访问权限，进入公司网络系统内部，让“企业巨人折戟沉沙，使系统安全溃于蚁穴”。

从管理方面考虑，　企业处于快速发展阶段，拥有的连锁网点和计算机终端较多，面临最紧迫的问题就是信息的汇总、连锁网点的信息交互以及计算机终端的集中管理。　ＤＤＮ　、　ＡＤＳＬ　等组网方式由于本身的技术，不可能提供强大的管理平台，也不可能解决大规模的应用和管理问题。

从经营角度考虑，　企业需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台，来满足企业信息频繁传输的需要，增加企业的工作效率，提高企业的服务质量，加快企业的信息化建设，适应企业的快速发展，提升企业的良好形象。

对于众多的建设施工企业来说，希望能够有一种同时兼顾较好的经济性、便利性、安全性的远程接入解决方案出现。因此，必须采用新的技术来满足企业安全、快速、数据共享的需求，而ＶＰＮ作为新一代Ｉｎｔｅｒｎｅｔ安全技术，能够提供简单、廉价、安全、可靠的Ｉｎｔｅｒｎｅｔ访问通道。

３　ＩＰＳＥＣ　ＶＰＮ与ＳＳＬ　ＶＰＮ　的比较

ＳＳＬ　ＶＰＮ与ＩＰＳｅｃ　ＶＰＮ是目前流行的两类Ｉｎｔｅｒｎｅｔ远程安全接入技术，它们具有类似功能特性，但也存在很大不同。

长久以来，企业一般都是通过部署　ＩＰＳｅｃ　ＶＰＮ来为移动用户和商业合作伙伴提供访问其后台服务和资源的远程接入通道。ＩＰＳｅｃ　ＶＰＮ彻底改变了远程员工和业务合作伙伴连接到公司的方式，因为它在远程员工或者业务合作伙伴与相连接的公司之间建立了一条安全通道。ＩＰＳｅｃ　ＶＰＮ可以连接两个不同的公司或组织，便于企业对企业的交易，从而真正为企业提高生产效率，为投资方降低成本。但尽管ＩＰＳｅｃ　ＶＰＮ给网络连接和安全带来了重大好处，事实上其功能存在一定。随着客户端用户人数的增长，为他们安装ＩＰＳｅｃＶＰＮ客户端和提供技术支持的工作已经让众多网络管理员不堪重负。另外，ＩＰＳｅｃ　隧道也为攻击者留下了打通企业防火墙并直接威胁中心网络所可以利用的通道。

由于ＩＰＳｅｃ　ＶＰＮ的这些缺点，出现了一种新的安全远程访问－－ＳＳＬ　ＶＰＮ，作为ＩＰＳｅｃ的替代技术。虽然仍提供远程员工和业务合作伙伴所需的安全访问，　但ＳＳＬ　ＶＰＮ　不需要安装其他的客户端软件，只要有支持ＳＳＬ的浏览器就行，自然也就不需要对客户端进行

６６

维护和支持了，这不但节省了　ＩＴ人员大量的时间和精力，同时也意味着远程用户在进行远程访问时不会再受到地域的，不论是在公共网吧或是在商业合作伙伴那里，甚至是随手借一台笔记本，只要有网络，远程访问就没问题。更重要的是，ＳＳＬ　ＶＰＮ的实现不需要任何连入企业的开放的隧道，ＳＳＬ　　ＶＰＮ　会对每个连接执行相应的安全策略，并能依据不同的用户身份、地域和设备为其分配访问相应资源的权限，如果再配上良好的安全控制策略，那么在管理员没有明确许可的情况下所有资源都将受到保护并被禁止访问。另外，在安全性上ＳＳＬ　ＶＰＮ　要胜过　ＩＰＳｅｃ。所有ＳＳＬ　ＶＰＮ的连接，甚至包括类似ＩＰＳｅｃ风格的第三层隧道，都要受到相应的访问控制策略的，这样管理员就可以对某些特定资源的访问，而不像ＩＰＳｅｃ那样，一旦用户连入后整个网络都暴露在他面前。

相比之下，ＳＳＬ　ＶＰＮ　具有三大好处：（１）　使用方便，不需要配置，可以立即安装和使用；（２）　无需客户端，直接使用内嵌的ＳＳＬ协议，而且几乎所有的浏览器都支持ＳＳＬ协议；

（３）　兼容性好，支持电脑、ＰＤＡ、智能手机、３Ｇ手机等一系列终端设备及大量移动用户接入的应用。

ＳＳＬ的“零客户端”解决方案被认为是实现远程接入的最大优势，这对缺乏维护大型ＩＰＳｅｃ配置资源的用户来说的确如此。但ＳＳＬ方案也有不足，只适合Ｓｉｔｅ－ｔｏ－ＬＡＮ（点对网）的连接，无法解决ＬＡＮ　ｔｏ　ＬＡＮＶＰＮ　的需求。它仅支持以代理方式访问基于Ｗｅｂ或特定的客户端／服务器的应用。由服务器直接操纵的应用，如Ｎｅｔ　Ｍｅｅｔｉｎｇ以及一些客户书写的应用程序，将无法进行访问。

图２　　ＳＳＬ　ＶＲＮ网关与ＩＰＳ　ＶＰＮ网关

由上面的比较可以得出结论：ＩＰＳｅｃ　ＶＰＮ比较适合在异地拥有较多分支机构的施工企业，通过ＶＰＮ隧道进行站点之间的连接，交换大容量的数据。企业有一定的规模，并且在ＩＴ建设、管理和维护方面拥有一定经验的员工。企业的数据比较敏感，要求安全级别较高。企业员工不能随便通过任意一台电脑就访问企业

欢迎访问：《中国化工建设网》　 www.cccenr.org

介　斐　　　企业远程接入方式

内部信息，移动办公员工的笔记本或电脑要配置防火墙和杀毒软件。而ＳＳＬ　ＶＰＮ更适合那些需要很强灵活性的施工企业，员工需要在不同地点都可以轻易的访问公司内部资源，并可能通过各种移动终端或设备进行连接。企业的ＩＴ维护水平较低，员工对ＩＴ技术了解甚少，并且ＩＴ方面的投资不多。

其实，ＳＳＬ和ＩＰＳｅｃ可以共存：公平地讲，企业没有必要现在就立即抛弃所有ＩＰＳｅｃ　ＶＰＮ　设备而以ＳＳＬ　ＶＰＮ替换，不过现在开始部署ＳＳＬ　ＶＰＮ　并朝这方面迁移还是很有意义的。　ＩＰＳｅｃ　ＶＰＮ和ＳＳＬ　ＶＰＮ完全可以共存并在功能上互补，这样从一个平台迁移到另一个平台的过程就可以更平稳一些。

就算对那些已经在ＩＰＳｅｃ　ＶＰＮ　上投入大量资金的企业来说，往ＳＳＬ　ＶＰＮ　上迁移也是有充分理由的。因为对于ＩＰＳｅｃ　ＶＰＮ来说，在每个客户身上所花的技术支持费用要远远超过ＳＳＬ　ＶＰＮ，而在这方面节省的资金就足够抵消用于购买新设备的开支了。由于　ＳＳＬ　ＶＰＮ　所有的东西都集中在一起，长远来看管理起来更加容易；而且ＳＳＬ　ＶＰＮ　基于客户的浏览器，一旦有策略方面的变

（上接第６１页）

动时，客户的下一次连接就能自动适应相应的变动。

４　结论

远程访问型ＶＰＮ采用灵活的ＳＳＬ协议更为适宜，ＳＳＬ　ＶＰＮ的＂零客户端＂架构特别适合于远程用户连接，用户可通过任何Ｗｅｂ浏览器访问企业网Ｗｅｂ应用。而站点互连型ＶＰＮ往往采用透明性较好的ＩＰＳｅｃ协议，ＩＰＳｅｃＶＰＮ提供完整的网络层连接功能，因而是实现多专用网安全连接的最佳选择。ＩＰＳｅｃ　ＶＰＮ和ＳＳＬ　ＶＰＮ面向不同的应用模式，它们之间是互补而非竞争的关系。用户在考虑采用哪种技术时经常会遇到两难的选择，即安全性与使用便利的冲突。事实上没有哪一种技术是完美的，不能简单地给ＩＰＳｅｃ与ＳＳＬ方案的优劣下定论。用户在关注应用方案本身的同时，还应考虑远程机器外围设备的安全性，如是否配置有个人防火墙和反病毒防护系统。用户需要综合评估商务应用需求，以决定采纳哪类ＶＰＮ策略。只有用户明确了自己的需求，才能选择到适合自己的解决方案。

（收稿日期：２００７－０２－２８）

弧焊用交流电流，熔化极氩弧焊采用直流反接。焊丝选

用ＳＡｌＭｇ３或ＳａｌＭｇ５。焊接方法和工艺见表２。

表２　焊接方法及工艺

焊接方法手工钨极氩弧焊

焊接位置对弧焊纵缝平焊环缝横焊纵缝立焊

半动化氩焊自熔极弧

钨极直径ｍｍ

焊接电流Ａ

焊接电压Ｖ１２～１４

焊速Ｃｍ／ｍｉｎ１０～１２

焊丝直氩气流量喷嘴直径（ｍｍ）（Ｌ／ｍｉｎ）径（ｍｍ）３～５

１０～１４

１４～１６

备注钨极端部烧结成园珠型

３．０～４．０７０～１１０

４．０１８０～２５０１８～２２８～１２１．６１４～２０１４～１６

４．０２００～３００１８～２２１２～１６１．６１４～２０１４～１６

４．０～５．０２４０～３００１８～２２１０～１６１．６１４～２０１４～１６

横竖对接平对焊角　接

２６０～３５０２１～２２３０～４０１．６２０１８

３００～４００２３～２４３０～４０１．６２０１８

２４０～３００２３～２４３２～４５１．２２０～３０５０～５５

５．３　焊接要求

对弧氩弧焊时，两把焊要对准同一熔池且保持同步。两把焊的参数要选择一致。双面焊时，应采取砂轮清根。手工氩弧焊焊丝不应离开氩气保护区，焊丝和焊缝表面夹角为１５°，焊与焊缝表面夹角小于８０°～９０°。如发现焊缝熔入其它材料时，应将该部位焊缝全部铲除，方可再次施焊。５．４　防焊接变形措施

由于焊接变形大，为防止焊接过程中点固焊崩开，先粗点再加点成密集点焊。除焊缝两头点固焊以外，每

欢迎访问：《中国化工建设网》　 www.cccenr.org

米焊缝需点焊５处，每度不小于５０ｍｍ。

５．５选择合理的焊接顺序

每条纵缝分成三段，退焊，每段由下向上焊接。采用胀圈与筒体内侧环缝上方紧贴，每条环缝至少有４对焊工沿环缝圆均布，同时、同方向、同速焊接，焊丝长度约１０００ｍｍ，每焊完一根焊丝，进行一回退焊。手工钨极氩弧焊的电压：在不产生短路的情况下，采用短弧焊接，焊接变形小。将筒体和锥底内侧焊缝打磨平整、光滑。６　抛光

由于在施工中注意了表面保护，钢板的表面粗糙度满足了图纸的要求，所以只是对焊缝等局部进行了抛光。将筒体和锥底内侧焊缝打磨至母材平齐，表面平整、光滑。用抛光叶轮打磨焊道表面，打磨宽度不宜超过热影响区边缘５ｍｍ，打磨边缘应呈直线，粗糙度不低于图纸要求。

７　结束语

经过制定合理的组装工艺方案，对铝料仓的成品保护、工装胎具的使用以及铝合金的焊接几方面进行了控制，保证了产品质量。

参考文献

ＳＨＪ５１３－９０《不锈钢、铝制料仓施工及验收规范》ＨＧＪ２２２－９２《铝及铝合金焊接技术规程》

（收稿日期：２００７－０２－１２）

６７