vpn 專屬網路 - fisc.com.tw · 33 靈活運用金融跨行服務vpn 專屬網路│專題報導...
TRANSCRIPT
32 財金資訊季刊∕No.74∕2013.04
專題報導│靈活運用金融跨行服務 VPN 專屬網路
靈活運用金融跨行服務
VPN專屬網路
陳志成∕財金資訊公司系統部網路組組長
一、前言
隨著網際網路日益廣泛使用、以及網路寬
頻普及化,帶動用戶對網路需求日益殷切,相
形之下,網路安全及相關應用更形重要,尤其
是面對「網路無國界」全球化的挑戰,網路所
衍生之商品與服務隨著需求而不斷推陳出新,
究應如何建置既安全又符成本之傳輸管道,以
利遠端使用者經由健全完善之加密保護及防火
牆等功能,可確保其安全地進行互訪與存取,
已為刻不容緩的議題,而「虛擬私有網路」
(Virtual Private Network,簡稱 VPN)便因此
孕育而生。
所謂「VPN 網路」係指建立一個安全的連
接通道,使網路或計算機之間能安全地進行相
互訪問與存取的一種方式。它之所以稱為「虛
擬」是因為,相對於實際兩點之間鋪設的實體
線路,此種連線方式屬於一種非實體存在的限
制性連線,使彼此欲傳遞的資料透過公眾網路
(如:PSTN(Public Switched Telephone
Network,公共交換電話網)、INTERNET、
3G/GPRS(General Packet Radio Service,
通用封包無線服務))或電信供應商(Internet
Service Provider,簡稱 ISP)提供之 VPN 網
路,打造出如同在兩點之間直接傳遞的情境,
就像其間存在著一條專屬的「通道」(tunnel)
一般,也因此又稱為「通道技術(tunneling)」。
在早期,VPN 網路是利用成本低廉的公眾網絡
(通常是網際網路)連接遠程站點或用戶的私
人網路;而不是使用一個專用的、實時的線路
連接(如:租用專屬線路);時至今日,VPN
網路已透過 ISP 業者提供的服務,擴大應用在
各大型企業,使之就像是在虛擬的公眾網路上
建立一個個封閉的安全通道,把企業各分據點
之網路連接起來,形成一個企業虛擬的內部網
路環境,而提供此種服務之 ISP 業者,會針對
不同公司或不同應用之安全通道加裝特殊之封
包資訊,以區隔不同資料流之虛擬網路,並確
保駭客無法進入該封閉的通道,因此在通道裡
的所有資料都會受到保護,稱之為 MPLS VPN
(Multi-Protocol Label Switching VPN)。隨
著通訊技術的進步,VPN 提供了方便、價廉又
安全的專屬通道,傲視其他網路,成為企業的
寵兒。
二、VPN 之種類
以使用方式來區分,VPN 大致可分為 (一)
遠端存取型、(二)互相連結型兩類,簡要說明
如下:
www.fisc.com.tw 33
靈活運用金融跨行服務 VPN 專屬網路│專題報導
(一) 遠端存取型 VPN
目的: 提供企業員工自外部安全地存取公司內
部資源。
一般而言,企業員工在辦公室網路環境
中,多是透過安全的連線,以確保 ERP
(Enterprise Resource Planning,企業資源規
劃 ) 、 CRM ( Customer Relationship
Management,客戶關係管理)或資料庫裡的
資料,能安全地利用專屬的加密傳輸進行存
取。至於在公司以外的環境,基於網路傳輸的
安全考量,員工如果要透過終端設備或行動裝
置自外部與企業內部連接,以存取資源,相關
資訊與安全人員就必須事先建妥員工登入認證
及 VPN 連線設定等管控與授權的工作,預防不
當連線或資料外洩等情事發生。
在早期,針對諸如此類的需求,企業本身
須建置一套專屬之遠端連線系統,結合了防火
牆、登錄認證與安全政策伺服器( VPN
Server),以提供外部員工安全的連線作業環
境,如圖 1 所示。
近幾年,ISP 業者推出了 MDVPN(Mobile
Data Virtual Private Network),稱為企業專
屬行動數據網路解決方案,可讓企業員工以行
動裝置採無線方式(WiFi/3G/GPRS)行動上
網時,從 ISP 業者之基地台直接連接電信業者
的機房,再透過企業申裝之 VPN 線路及路由與
企業內部連結,如此,員工即便在辦公室以外
的場所,也能隨時、隨地存取企業內部資訊系
統的資源,如圖 2 所示。
圖 1 企業自建遠端 VPN 連線示意圖
圖 2 ISP 業者提供遠端 MDVPN 連線示意圖
34 財金資訊季刊∕No.74∕2013.04
專題報導│靈活運用金融跨行服務 VPN 專屬網路
無論企業採行何種方案,遠端存取型 VPN
皆係透過公眾網路使員工連接至企業內部,基
於安全考慮,企業除應事先訂定連線與作業管
控相關安全政策與存取原則外,尚應隨時監管
與稽核其使用狀況,以維護公司資訊安全之正
常運作。
(二) 互相連結型 VPN
目的: 提供企業網路對企業網路間彼此的存
取。
一般而言,互相連結型 VPN 指的是企業本
身或企業與企業之間,因多個單點對單點
(Point-to-Point)或局域對局域(Site-to-Site)
之連線需求,導致線路成本過高,因此轉而尋
求成本低廉卻仍能提供安全、穩定傳輸之連線
作法。
近幾年來, ISP 業者競相推出 MPLS
VPN,用意即欲取代早期成本過高之專線連結
方式。簡單地說,MPLS VPN 為一多點對多點
(Any-to-Any)的 VPN 網路,企業只須將設立
於各處之分公司,共同申請電路連上 ISP 業者
之 MPLS VPN 骨幹網路,相同的 VPN 群組內
任何一點即可互相通信。相較於早期單點至單
點之專線連結,常因跨越行政區域(如:縣∕
市或國家)而被 ISP 業者收取極高之連線月租
費,若改採用 MPLS VPN 骨幹網路,僅須各分
公司與 ISP 業者當地機房連接,可大幅降低連
線費用;此外,由 ISP 業者構成的 VPN 骨幹,
係以私有(Private)IP 進行連線分配,可供進
行連線之 IP 數量非常充足,只要事先有良好的
網路規劃,企業不須利用 NAT(Network
Address Translation,網址轉換技術)來轉換
IP,後續架構擴充亦易於進行。
時至今日,ISP 業者推出之 MPLS VPN 備
有多種費率級距可供企業選用,倘企業總部(頭
端)或有架設網站及應用服務之各分點,若其
使用網路流量較大,則可使用專線、FTTB
(Fiber To The Building,光纖到大樓)等高
頻寬的電路,搭配對應之路由器進行交換介
接;反之,則可選擇成本低廉之 xDSL 電路搭
配對應之交換器進行介接(MPLS VPN 網路架
構概念如圖 3 所示)。
圖 3 MPLS VPN 連線架構示意圖
www.fisc.com.tw 35
靈活運用金融跨行服務 VPN 專屬網路│專題報導
三、選用 VPN 網路之效益
VPN 的基本構想,就是在公眾網際網路上
提供企業私有網路之服務,雖然傳遞企業內部
電子信息所使用的是網際網路,但仍可滿足企
業所需要的網路品質與通信安全。然而,安全
技術只是 VPN 應用的基本條件,真正吸引具有
固接專線企業用戶採用 VPN 商品的直接因
素,是網路效能及經濟效益。採行 VPN 應用之
企業主可以降低軟硬體的投資成本、減少長距
離的語音及數據通信成本、降低網路維運成
本,且網路架構的擴充更具彈性,以及簡化廣
域網路互連的複雜性。有關虛擬私有網路
(VPN)與傳統私有網路之優劣比較,詳如表
1 所示。
表 1 虛擬私有網路(VPN)與傳統私有網路之優劣比較
虛擬私有網路(VPN) 傳統私有網路
通訊與設備費用 低。使用公眾網路 高。使用專屬線路與設備。
安 全 性 高。使用加密技術。 高。使用私有線路與設備。
品 質 取決於電信 ISP業者所提供之品質。* 高。擁有專屬頻寬。
擴 充 性 高。具擴充能力。 差。不易於擴充與調整。
管 理 高。易於管理。 差。受限於對點單位。
*目前 ISP 業者已可提供保證頻寬之 MPLS VPN 線路。
四、實務應用
VPN 因其便利、經濟、安全等特性,已廣
泛應用於各行業,遠端存取型 VPN 多應用於餐
飲、仲介、保全等零售性質的作業,而互相連
結型 VPN 之應用者則屬金融、壽險、電信、跨
國企業等據點多且廣的機構,茲舉三例說明
VPN 之實際應用。
(一) 跨國及跨時區金融業運用 VPN 打造無
遠弗屆之跨國網路
銀行之營業據點遍及臺灣各縣市及全球各
地,其海外服務據點為了提供最佳的金融服
務,皆透過資訊網路連結至國內總行之資料中
心。為確保金融資料的安全性與可靠性,各海
外分點係以 MPLS VPN 線路搭配 Internet(如
圖 4 所示),同時做到資料分流與線路備援,
但 Internet 為公眾網路,考量到資料的保密
性,海外分點須各具備一套 VPN 資料加密機
制,確保金融資料在 Internet 公眾網路傳輸中
不致遭到竊取與修改。採用 Internet Protocol
Security(簡稱 IPsec)技術不但同時兼具認證
與保密功能,更能結合目前海外據點動態路
由,做到以國內總行之資料中心為優先路徑,
當線路中斷或資料中心設備故障時,能自動切
換到備援中心,保障服務的可靠性。對於動態
或臨時性營業據點的建立,也提供一套簡單的
VPN 網路佈署機制,將預先設定好的海外據點
路由器連結至 Internet 上,再於中心端啟動預
設好的帳號密碼,就完成 VPN 的建立。此機制
36 財金資訊季刊∕No.74∕2013.04
專題報導│靈活運用金融跨行服務 VPN 專屬網路
除了可應付臨時動態的需求外,對於海外設備
故障需要汰換時,也無需技術人員至當地處
理,加快了故障排除的時間。這樣的自動化架
構對於跨國與跨時區的金融服務產業,提供了
最佳的服務保障與最短的災難回復機制。
圖 4 MPLS VPN 搭配 Internet 線路運作示意圖
(二) 老字號壽險業運用 VPN 打造全新的企
業網路
壽險業中老字號的壽險公司,一改以往給
人的傳統印象,在其民營化的過程中,不斷地
進行企業的改革再造,首先是將企業運作全面
電腦網路化,提升工作效率。除了對內運用資
訊網路科技之外,對外也透過網路與客戶迅速
地進行互動,以提供客戶滿意的服務。然而,
在轉型的過程中,也遇到了與大部分金融公司
相同的瓶頸,亦即總公司原先採用數據專線及
Frame Relay,以點對點的方式使用專線連接
各分公司,費用偏高且頻寬受限。
以往舊有的企業內部網路大都採用自建的
方式,各個分公司使用專線連接總公司,形成
內部網路,但是企業必須自行維護整體網路,
專線的頻寬選擇不多且費用過高,無法因應新
的服務型態需求。為了改善舊有網路不足的現
象,有些壽險公司改採了 ISP 業者的 VPN 網
路,建置優勢的 VPN 企業內部網路,如圖 5
所示。
1. 多點對多點擴充性佳及節省費用
MPLS VPN 為 Any to Any 網路架構,任
何一個節點只要申請電路連接 VPN 網路,即可
直接連通,擬新增或移除任一點均很容易,比
傳統專線 VPN 建置方式可節省長途數據專線
租用費用及後續網路設備管理維護的成本。
2. ISP 業者提供多種線路供選用
客戶可依應用及頻寬需求,申請專線、
ADSL(Asymmetric Digital Subscriber Line,
非對稱數位用戶線路)、FTTB、乙太專線等多
種接取線路,構成 VPN 網路,迅速佈建企業內
部資訊網路。
www.fisc.com.tw 37
靈活運用金融跨行服務 VPN 專屬網路│專題報導
3. 企業內部資料傳輸快速、穩定且安全
企業內所有連上 VPN 的電腦,都可以同時
分享企業內的網路資源。實體線路與 Internet
完全隔離,資料傳輸穩定,並有效阻絕駭客及
網路病毒等入侵攻擊。
圖 5 企業 VPN 網路示意圖
(三) 財金資訊公司運用 VPN 線路打造服務
不打烊之金流網路
財金資訊公司(以下稱財金公司)負責金
融跨行服務網路之維運,為因應國際標準的更
迭,計劃性地將網路之連線架構由原 X.25 網路
轉移至 TCP/IP 網路,並自 95 年起與 ISP 業者
合作,導入了具備雲端概念的 VPN 網路,運用
MPLS VPN 之特性,由 ISP 業者提供專屬跨行
金融運作之「財金 VPN 雲」,搭配 IPsec 安全
機制,並輔以高可用性之動態路由自動切換,
陸續完成了財金公司主∕備中心第三路由之建
立及大型主機跨行業務之高可用度連線架構調
整,現正接續辦理開放式系統業務之高可用度
連線架構調整;同時間,金融跨行業務之參加
單位,如有異地備援中心須連結財金公司主∕
備中心之需求者,只須於其備援中心所在地申
請連通「財金 VPN 雲」即可(如圖 6 所示)。
1. 增進金融跨行網路之安全性
財金 VPN 雲除採用 ISP 業者 MPLS VPN
加裝特殊封包表頭以區隔不同資料流之安全機
制外,更於此虛擬線路上與參加單位建立
IPsec 傳輸通道,使加入金融跨行 VPN 雲之參
加單位,彼此之間不受電腦病毒、蠕蟲攻擊或
擴散之影響,增進金融跨行網路之安全性。
2. 提升金融跨行網路之可使用度
財金公司主要備援線路為 VPN 線路,結合
IPsec 安全機制及動態路由自動切換功能,不
論是因主要專線障礙,或是啟動異地備援作
業,皆能自動切換至備援 VPN 線路運作,於第
一時間完成網路連通,大幅提升了金融跨行網
路之可使用度。
38 財金資訊季刊∕No.74∕2013.04
專題報導│靈活運用金融跨行服務 VPN 專屬網路
3. 降低網路建置與維運之成本
財金公司為金融跨行網路連線運作之樞
紐,若全體參加單位皆維持以傳統點對點專
線,分別連接財金主∕備中心,其線路建置與
維運之成本將極為可觀;而改採用 VPN 線路,
除可享有 Any to Any 之連線效益外,尚可有多
種連線速率與費率可供參加單位自行依作業需
求選用,可降低金融跨行網路建置與維運之成
本。
圖 6 財金公司跨行網路架構示意圖
五、結語
綜上所述,VPN 網路歷經多年的使用,變
得更加強大、更實惠,傳輸上也快得多。從早
期虛擬私有網路為一般企業及學術等單位使用
在公共開放的網際網路上,提供安全且專屬之
通訊連結網路之主要技術,演進到近幾年由
ISP 業者推出以 MPLS 技術提供、成本低廉之
VPN 線路,使得長期以來投入大量成本維運之
企業私有專屬網路有了另一項更好的選擇,更
因為其經濟且安全的特性,現已躍升為一般企
業的最佳選擇。
財金公司所秉持「持續改善與精進」的精
神,以及與金融跨行服務之全體參加單位所建
立密不可分的夥伴關係,奠立金融跨行網路持
續穩定運作之基石。今後,財金公司仍將持續
努力,運用更先進、更便利及更安全的連線技
術,並與合作夥伴協力互助,共同提供社會大
眾「24 小時全年無休」不中斷之金融服務。
參考文獻∕資料來源
1. 「財金資訊股份有限公司 6.5 FISC 網路之建立」
規格書
2. 維基百科網站,en.wikipedia.org
3. 中華電信數據通信分公司(Hi Link)