魏珍珍

目前各行各業(yè)對(duì)VPN設(shè)備的應(yīng)用尚廣，多數(shù)企事業(yè)單位通過(guò)搭建內(nèi)部網(wǎng)絡(luò)，提高了整體的工作效率。而林業(yè)部門目前的信息數(shù)字化程度并不高，且管理系統(tǒng)效率低下。因此，各部門急需搭建高效安全的虛擬網(wǎng)絡(luò)來(lái)改觀現(xiàn)狀。本文擬采用美國(guó)NETGEAR公司的VPN防火墻設(shè)備提出建立專用虛擬網(wǎng)絡(luò)的設(shè)計(jì)方案，旨在為現(xiàn)有的林業(yè)資源管理提供高效助力。

一、引言

森林資源是人類經(jīng)濟(jì)社會(huì)實(shí)現(xiàn)可持續(xù)發(fā)展的堅(jiān)實(shí)基礎(chǔ)之一。如何保護(hù)森林資源，發(fā)展森林資源是林業(yè)的一切工作進(jìn)行之前需要考慮的問題。對(duì)于森林資源的管理會(huì)貫穿對(duì)森林的培育、養(yǎng)護(hù)、利用全過(guò)程，是當(dāng)前林業(yè)工作的核心。各級(jí)林業(yè)主管部門應(yīng)當(dāng)緊抓對(duì)森林資源的管理，方能實(shí)現(xiàn)長(zhǎng)久的可持續(xù)發(fā)展。步入21世紀(jì)以后，現(xiàn)代信息化技術(shù)被應(yīng)用到了各個(gè)專業(yè)領(lǐng)域中。而利用信息技術(shù)建立的森林資源管理系統(tǒng)大大地提高了林業(yè)部門的工作效率和管理能力。在這之中，虛擬專用網(wǎng)技術(shù)起到了至關(guān)重要的作用。

二、林業(yè)部門現(xiàn)有信息化網(wǎng)絡(luò)建設(shè)現(xiàn)狀

總的來(lái)看，各單位部門已經(jīng)基本完成了網(wǎng)絡(luò)鋪建，但大部分用來(lái)傳遞非重要文件或者是連接外網(wǎng)，原有的辦公模式并沒有發(fā)生改變。并且不能在一個(gè)穩(wěn)定且安全的模式下實(shí)現(xiàn)上級(jí)部門與下級(jí)部門之間的內(nèi)部聯(lián)系。而由于數(shù)字林業(yè)中業(yè)務(wù)數(shù)據(jù)與日俱增，現(xiàn)有林業(yè)資源管理系統(tǒng)存在運(yùn)行效率低下、操作繁瑣、功能不完善等問題，難以滿足當(dāng)前海量數(shù)據(jù)瀏覽、數(shù)據(jù)管理、質(zhì)量控制以及成果驗(yàn)收等需求。

依此現(xiàn)狀，筆者提出以下幾個(gè)要點(diǎn)。

實(shí)現(xiàn)各級(jí)部門之間的內(nèi)部局域網(wǎng)互聯(lián)，保證信息安全、穩(wěn)定地傳輸。

實(shí)現(xiàn)無(wú)紙化信息辦公，將原有的信息資料全部導(dǎo)入云端。并結(jié)合要點(diǎn)一，做到各部門在內(nèi)網(wǎng)能即時(shí)訪問資料庫(kù)。另一方面也是減少資源消耗，降低辦公成本。

建立穩(wěn)定的資源數(shù)據(jù)庫(kù)及內(nèi)網(wǎng)統(tǒng)一的通訊系統(tǒng)。且數(shù)據(jù)庫(kù)需也需要相應(yīng)的檢索系統(tǒng)，提高辦公效率。

從技術(shù)層面上來(lái)說(shuō)，可以通過(guò)V P N技術(shù)附著在Internet上實(shí)現(xiàn)虛擬內(nèi)網(wǎng)專用。以各單位原有的局域網(wǎng)網(wǎng)關(guān)為基礎(chǔ)，添加VPN設(shè)備后即可聯(lián)網(wǎng)運(yùn)營(yíng)。VPN（虛擬專用網(wǎng)絡(luò)）通過(guò)公用網(wǎng)絡(luò)Internet建立安全、穩(wěn)定的連接.很多企事業(yè)單位借此進(jìn)行內(nèi)部網(wǎng)的擴(kuò)展，提供網(wǎng)絡(luò)接入。

三、VPN建設(shè)方案選擇

（一）針對(duì)不同級(jí)別林業(yè)部門選用不同的VPN應(yīng)用方案

對(duì)于上級(jí)林業(yè)局，考慮到建設(shè)統(tǒng)一的數(shù)據(jù)庫(kù)和超量的數(shù)據(jù)吞吐率，采用帶VPN功能的防火墻或?qū)拵酚善?，具體依照下屬部門的整體工作量與初期預(yù)算來(lái)做選擇。

而一般的下屬部門和工作人員移動(dòng)端由于總體數(shù)量龐大，并不適合逐個(gè)安裝VPN設(shè)備。因而采用在移動(dòng)端或主機(jī)上安裝VPN客戶端的方式來(lái)參與網(wǎng)絡(luò)。

（二）網(wǎng)絡(luò)設(shè)計(jì)特性

1.設(shè)計(jì)網(wǎng)絡(luò)應(yīng)具有可靠性

為保證林業(yè)部門在今后的運(yùn)作中，不受到網(wǎng)絡(luò)運(yùn)營(yíng)設(shè)備的突然事件影響，必須考慮在整個(gè)網(wǎng)絡(luò)布設(shè)中增加冗余數(shù)據(jù)備份和即時(shí)恢復(fù)功能。因此在主線布設(shè)之外，還需布設(shè)一條PSTN備用副線。當(dāng)主線出現(xiàn)故障時(shí)，路由器可以自動(dòng)激活撥號(hào)備用線路。

2.設(shè)計(jì)網(wǎng)絡(luò)應(yīng)具有良好的安全性

大部分在林業(yè)局網(wǎng)絡(luò)中互傳的數(shù)據(jù)都具有保密性，如何確保信息的傳遞在虛擬網(wǎng)絡(luò)上具有安全性是一個(gè)重要問題。因此，使用的VPN設(shè)備應(yīng)具有防火墻、數(shù)據(jù)加密訪問權(quán)限限制、網(wǎng)絡(luò)攻擊檢測(cè)等防御手段。

3.設(shè)計(jì)網(wǎng)絡(luò)應(yīng)具有可擴(kuò)展性

為未來(lái)林業(yè)部門的發(fā)展著想，網(wǎng)絡(luò)系統(tǒng)的建設(shè)應(yīng)當(dāng)考量是否能接受納入未來(lái)的各種新型信息。其次，對(duì)于新增部門VPN虛擬網(wǎng)絡(luò)接入是否方便都是需需要考慮的問題，這些直接關(guān)系到運(yùn)營(yíng)成本和長(zhǎng)期的維護(hù)成本。那么就需要選擇兼容性強(qiáng)、可容納通道多的VPN網(wǎng)關(guān)設(shè)備。

四、虛擬專用網(wǎng)的設(shè)計(jì)

（一）廣域網(wǎng)技術(shù)選擇

本設(shè)計(jì)方案是將多個(gè)不同區(qū)域位置的網(wǎng)絡(luò)連接形成統(tǒng)一的內(nèi)部虛擬網(wǎng)絡(luò)。從而從而實(shí)現(xiàn)不同部門之間的跨區(qū)域數(shù)據(jù)共享、文件傳輸、相互交流。上級(jí)林業(yè)局采用DDN固定IP地址接入，而下級(jí)林業(yè)局則采用ADSL撥號(hào)接入的方式。一方面是考慮到整體的運(yùn)作費(fèi)用不能太高，而另一方面是為了方便未來(lái)的更多下級(jí)節(jié)點(diǎn)接入內(nèi)部網(wǎng)絡(luò)。

如果需要進(jìn)一步的節(jié)省經(jīng)濟(jì)開支，可以舍棄鋪設(shè)專線網(wǎng)絡(luò)的方案，而是整體附著于運(yùn)營(yíng)商網(wǎng)絡(luò)。無(wú)論是上級(jí)部門還是下級(jí)部門及個(gè)人用戶，都通過(guò)運(yùn)營(yíng)商網(wǎng)絡(luò)連接虛擬內(nèi)網(wǎng)，這樣做的好處是整體建設(shè)費(fèi)用更低，但后期運(yùn)營(yíng)維護(hù)會(huì)比較麻煩，且安全性也較低。

（二）廣域網(wǎng)設(shè)備的選用

本設(shè)計(jì)方案采用LAN→TO→LAN的VPN組網(wǎng)方式，在各部門的VPN網(wǎng)件設(shè)備配置上使用NETGEAR的產(chǎn)品。市林業(yè)局推薦配備一臺(tái)NETGEAR的RXN3205VPN或者是FVL328VPN，它們的網(wǎng)絡(luò)吞吐量都可達(dá)50Mbps。而縣局則配備FVS318v3即可，它最大可支持8VPN通道。各工各單位工作人員只需在移動(dòng)端安裝對(duì)應(yīng)的VPN軟件就可連入網(wǎng)絡(luò)進(jìn)行工作。

（三）方案特點(diǎn)

建設(shè)費(fèi)用低廉。整個(gè)VPN網(wǎng)絡(luò)傳遞效率快，圖形化界面操作簡(jiǎn)單。

安全性高。NETGEAR支持IPSEC協(xié)議和AES、DES、3DES三種加密算法，同時(shí)還可以通過(guò)共享秘鑰來(lái)進(jìn)行身份認(rèn)證。提高了內(nèi)部網(wǎng)絡(luò)的安全性。而在數(shù)據(jù)傳輸?shù)倪^(guò)程中，通過(guò)產(chǎn)品內(nèi)置的防火墻硬件和先進(jìn)的狀態(tài)檢測(cè)功能，可以實(shí)現(xiàn)網(wǎng)絡(luò)地址的轉(zhuǎn)換，保證安全。還可以防止例如Ping包攻擊的網(wǎng)絡(luò)攻擊手段，確保了各分支機(jī)構(gòu)的用網(wǎng)安全。

設(shè)備兼容性高。NETGEAR的這兩款VPN產(chǎn)品都獲得了VPNC的各項(xiàng)認(rèn)證，保證了它們的各項(xiàng)功能標(biāo)準(zhǔn)以及零件細(xì)部與不同廠家之間的產(chǎn)品具有一定的兼容性。

擴(kuò)展鋪設(shè)方便。在主網(wǎng)絡(luò)鋪設(shè)完畢后，如果以后要加入新的網(wǎng)點(diǎn)接入使用，只需添加新的基站，增配VPN設(shè)備即可。且總地來(lái)說(shuō)，成本得到了降低。相比于以往的通訊手段，利用Internet來(lái)建立VPN虛擬內(nèi)部網(wǎng)絡(luò)，節(jié)省了大量的通訊費(fèi)用。

優(yōu)化工作形式。當(dāng)整個(gè)網(wǎng)絡(luò)體系建設(shè)完成后，下級(jí)部門無(wú)需經(jīng)過(guò)復(fù)雜的交流程序來(lái)獲批方案或者是資源數(shù)據(jù)交換。通過(guò)內(nèi)網(wǎng)交流，整個(gè)林業(yè)部門的工作效率將得到大大的提升。

五、保證VPN資源共享的有效性

（一）VPN內(nèi)接用戶地址的管理

為了防止VPN的IP地址重復(fù)引發(fā)數(shù)據(jù)沖突，最好對(duì)每個(gè)用戶的地址和用戶名進(jìn)行統(tǒng)一調(diào)配和分發(fā)管理。利用融合了IPSEC和SSL協(xié)議的VPN網(wǎng)關(guān)來(lái)布設(shè)VPN虛擬內(nèi)網(wǎng)，從主線到支線，構(gòu)建統(tǒng)一的資源共享平臺(tái)。這種方案可以實(shí)現(xiàn)較高的運(yùn)作效率和較低的運(yùn)作搭設(shè)費(fèi)用，同時(shí)也更加安全。

（二）指派專人對(duì)VPN專網(wǎng)進(jìn)行管理

為了實(shí)現(xiàn)無(wú)縫對(duì)接和數(shù)據(jù)實(shí)時(shí)共享，不僅需要強(qiáng)大的VPN設(shè)備支持，還需要完備的管理制度。無(wú)論是上級(jí)林業(yè)局的主設(shè)備還是下級(jí)部門的客戶端及成千上萬(wàn)個(gè)操作終端，都需要得到日常的維護(hù)。這就需要相關(guān)管理人員具有一定的工作能力、專業(yè)知識(shí)和管理素養(yǎng)，只有通過(guò)日常維護(hù)，整套系統(tǒng)才能長(zhǎng)期運(yùn)行。

（三）基于已有的網(wǎng)關(guān)設(shè)備搭建安全防御系統(tǒng)

無(wú)論是線上資源庫(kù)還是部門間的信息交流都需要得到安全保障。在整個(gè)內(nèi)網(wǎng)中應(yīng)設(shè)置實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，對(duì)不規(guī)范行為進(jìn)行捕捉。在無(wú)人看管的情況下，從防御病毒庫(kù)中自動(dòng)挑選防御措施。迅速鎖定危險(xiǎn)源，保障內(nèi)網(wǎng)設(shè)備和資源庫(kù)的安全。系統(tǒng)進(jìn)行24小時(shí)無(wú)縫監(jiān)測(cè)，并將所有監(jiān)測(cè)結(jié)果按防范等級(jí)匯聚在同一數(shù)據(jù)庫(kù)中。

六、總結(jié)

放眼未來(lái)，任何企事業(yè)單位都是要向全面信息化、數(shù)字化發(fā)展的。而森林作為地區(qū)可持續(xù)發(fā)展的重要指標(biāo)，提高林業(yè)部門的工作效率，增強(qiáng)林業(yè)資源管理的管理能力是勢(shì)在必行的。合理運(yùn)用網(wǎng)絡(luò)技術(shù)對(duì)現(xiàn)有的運(yùn)營(yíng)環(huán)境做出改變，對(duì)于未來(lái)林業(yè)的發(fā)展是有很大幫助的。

作者單位：郯城縣自然資源和規(guī)劃局