ERP是英文Enterprise Resourse Planning的缩写,中文意思是企业资源计划系统。它是一个建立在信息技术基础上、以管理会计为核心的信息系统。它集信息技术与先进的管理思想于一身,将企业内部所有资源整合在一起,对采购、生产、成本、库存、分销、运输、财务、人力资源等进行规划和合理调配,力求达到企业资源的最佳组合,从而最大化地创造社会财富。它是一个为企业决策层及员工提供决策运行手段的管理平台,可以说它是企业在信息时代生存、发展的基石。
中小型企业的ERP系统一般采用C/S(客户机/服务器)体系结构,架构于企业内网Intranet上。然而,随着企业的不断发展,许多中小型企业在总部以外的工业园区、经济技术开发区等地又设立了分公司;此外,为了扩大业务量,还在外地设立了办事处。如何将这些分公司、驻外办事处等的运营信息及时地传至企业总部,以便企业决策层及员工能据此做出正确的决策。此外,由于ERP系统中的大量数据都涉及到企业商业机密,这些ERP数据在网络传输过程中一旦被人截取,可能会给企业带来巨大的经济损失。如何保证数据安全、可靠地传输?这些都涉及到企业如何联网的问题。安全、可靠、高效的网络平台是ERP成功运行的有力保障。
1、VPN技术
虚拟专用网(Virtual Private Network.简称VPN)是指在公用网络上建立专用网络的技术。之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如Intemet、ATM、帧中继等)上的逻辑网络,用户数据在逻辑链路中传输。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输;VPN还可用于不断增长的移动用户的全球互联网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路。
VPN技术是一种安全、高效的网络技术,它融合了多方面的先进技术,其中最具代表性和起到核心作用的技术主要包括隧道技术、加解密技术、密钥管理技术、身份认证技术和访问控制技术,多种技术的紧密结合保证了构建于公共网络上的虚拟内部网络的有效连通性和安全性。常用VPN的工作流程大体如下:
(1)主机发送信息到连接骨干网络的VPN设备,VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过,对需要加密的数据,VPN设备对整个数据包进行加密并附上数字签名。
(2)VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
(3)VPN设备对加密后的数据、验证包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输,当数据包到达目标VPN设备时,解封装数据包,核对数字签名,数字签名被核对无误后,再解密数据包。
由此可见,借助VPN技术联网具有安全、高效、可靠等优越性。
#p#
2、企业网络现状以及VPN需求分析
在本应用的企业模型中,该企业的组织机构为:一个企业总部,企业总部内设六个独立核算的分公司;在工业园区设有一家分公司;在外地设有两个驻外办事处。该企业目前的网络状况为:企业总部组建了单独的局域网,并采用光纤接入互联网,企业总部内建设有Client/Server模式的ERP系统}工业园区的分公司组建了它单独的局域网,通过ADSL方式接入互联网,未上ERP系统,两个办事处也采用ADSL方式接入互联网,同样未上ERP系统。换句话说,目前,公司ERP系统仅限于企业总部局域网内,其他机构、出差人员都不能访问企业本部的ERP系统。然而,企业总部需要及时了解分公司、驻外办事处的运营信息,出差在外的企业决策人员、销售人员也需在出差地及时了解企业的运营信息,以便为后续决策提供依据。
要满足此要求,首先需将企业的所有机构借助于Internet联网,然后在企业总部以外其他机构的主机上安装ERP客户端软件,每天通过网络及时地将ERP客户端录入的企业运营数据传输至位于企业总部的ERP服务器上。由于ERP系统中的很多数据涉及到企业的商业机密,因此,必须确保这些机密信息在网络中安全传输。然而,由于目前Internet的开放性以及TCP/IP协议的脆弱性无法保证企业ERP系统中的数据在传输过程中的安全性。换句话说,仅仅依靠电信提供的ADSL虚拟拨号、DDN数字专线等组网模式是不能适应此企业对信息传输平台的要求的,因为这峰传输平台没有经过加密处理,重要的ERP数据均是以明文在网上传输的,如果别有用心的人篡改、窃取甚至破坏企业ERP数据,将给企业造成不可估量的损失。
基于企业的上述需求并考虑到VPN技术的特点,拟采用“基于VPN技术、通过Internet组网”的方式来组建此企业的“私有”网络。
目前,有两种主流的VPN技术。第一种是基于网络层的IPSec VPN,第二种是基于应用层的SSL VPN。由于该企业所选用的ERP系统基于C/S体系结构,而非B/S体系结构,所以,选用IPsec VPN技术实现该企业的组网目标。此次VPN网络方案实施将在保留原有网络环境的情况下,提供以下一些具体的设置以满足该企业的需求。
3、企业VPN建设网络拓朴图及实施
3.1 方案设计与实施
(1)企业总部接入方案设计。该企业本部部署一台Billion BiGuard 30 VPN硬件网关,连接电信接入互联网,为其工业园区分公司、驻外办事处及移动用户提供VPN接入功能。它整合了包括双WAN口之负载平衡和自动线路备份、VPN及防火墙,能建立办公网络环境,使分公司通过远程拨号及远程连接访问总公司并能使用户的网络安全地连接到Internet,不必担心入侵者攻击。支持并发30条IPSec通道,可支持250台电脑同时上网需求。
(2)企业的工业园区分公司接入方案设计。由于其分公司需要与该企业总部进行大量的信息交换,尤其是ERP系统中物流、资金流在网上的频繁传输。为了保证企业总部与分公司之间进行安全的信息传输,在分公司局域网与互联网接口处,部署Billion BiGuard 10 VPN安全网关,直接与ISP提供的接入设备相连。BillionBiGuard 10 VPN网关完成接入互联网、代理内部主机访问互联网信息及为内部主机提供功能完善的防火墙保护等功能的同时,向本部Billion BiGuard 30 VPN安全网关建立VPN安全隧道,实现跨地域网络互联互通,完成分公司ERP资源信息向企业本部ERP服务器的传送以及其他信息安全共享。
(3)有局域网的驻外办事处接入方案设计。如果驻外办事处有多台主机,且巳构成局域网,可部署BillionBiGuard 2 VPN安全网关,直接与ISP提供的接入设备相连。其他工作过程同上述(2)。
(4)只有单台主机的办事处以及移动用户的远程安全接入方案设计。如果驻外办事处只有单台主机,可通过在其主机上安装Billion BiGuard C01 VPN客户端软件,客户端软件启动后以VPN拨号方式向企业本部VPN网关进行身份认证,认证通过后建立相应的VPN隧道。在外出差的移动用户可以通过安装在笔计本上的BillionBiGuard C01 VPN客户端软件,随时通过当地的ISP接入Internet,使用VPN客户端软件与远端的安全网关建立加密隧道,安全接入公司总部和分公司,在任何地方使用公司内部的ERP系统。
该企业VPN建设完成后的拓扑结构如图1所示。
#p#
3.2方案实施的效果
(1)跨地域网络瓦联,构建“私有的”网络基础平台VPN实现了跨地域网络互联,将远程的工业园区公司、驻外办事处以及移动用户全部连接到企业总部局域网中,远程用户可以安全,便捷地访问公司内网中的ERP系统。
(2)保障网络及信息安全
VPN采用国际标准的数字证书确认远端接入用户的合法身份,远程用户经过严格的身份认证之后连入局域网中,ERP服务器和ERP客户端之间通过隧道封装、加密、动态密钥管理等机制,杜绝了数据在互联网传输过程中的各种安全隐患,远程用户所有的ERP数据均通过高位加密的VPN隧道以密文形式传输到企业总部的ERP服务器中,在VPN隧道中传翰的数据对Internet上的用户来讲是完全不可见的,不用担心数据泄露问题。
隧道内高强度认证和加密算法确保了企业总部ERP服务器及数据在传输过程中的高度安全。
(3)满足移动办公需求,实现随时随地移动办公
VPN专网可以满足远程和移动用户的办公需求,远程及移动用户只要能够接入互联网,就可以利用YPN客户端软件直接与中心网关建立安全加密隧道,通过加密隧道随时随地访问ERP服务器,大大提高了员工的工作效率。
同时,通过ERP系统访问权限设置,实现对不同角色的用户分配不同的访问权限,杜绝非授权用户非法访问敏感信息。移动用户一旦启动客户端软件并正确建立VPN链道后,就可以根据中心网关为其分配的权限,访问相应的内部网络资源,且只能访问权限明确允许的资源,进一步确保网络及信息安全。
(4)灵活接入、轻松扩展的专网应用平台
企业VPN专网具备灵活的扩展性。当需要增加新的网络节点时,只需再部署相应的VPN设备或安装相应的客户端软件即可。该企业的VPN专网构建基于IPSec标准,在网络模型的第三层(网络层)实现对数据包的封装和加密,而对于上层的应用完全透明,这样使得此VPN专网平台具有良好的可扩展性。
4、展望
通过对企业VPN专网的成功构建,确保企业本部与其分支机构之间实时的业务联系,确保企业核心业务数据在互联网上传输的安全性,保障企业信息安全和应用的扩展性,推动企业网络应用的发展,为企业未来的发展奠定了坚实的基础。
