[摘 要] BYOD應(yīng)用已深入我們的工作和生活，企業(yè)基于網(wǎng)絡(luò)的數(shù)字化應(yīng)用也越來越多，降低成本，用開源軟件安全便捷地解決用戶接入難題是本文主要討論的問題。

　　[關(guān)鍵詞] OpenVPN；PFSENSE；開源；企業(yè)

　　　　[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2014）11- 0056- 01

　　1 概 述
　　網(wǎng)絡(luò)無處不在，企業(yè)員工迫切需要在任何時間任何地點獲取企業(yè)內(nèi)部信息資源，如何從不同系統(tǒng)的個人終端，（Windows、Android、OSX/IOS、Linux）利用現(xiàn)有網(wǎng)絡(luò)，安全便捷接入公司內(nèi)網(wǎng)，這是本文要解決的問題。
　　虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。VPN能夠讓外地員工在當?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)連接企業(yè)VPN服務(wù)器，然后通過VPN服務(wù)器進入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶機之間的通訊數(shù)據(jù)都進行了加密處理。有了數(shù)據(jù)加密，就可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸，就如同專門架設(shè)了一個專用網(wǎng)絡(luò)一樣。但實際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此VPN稱為虛擬專用網(wǎng)絡(luò)，其實質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個數(shù)據(jù)通訊隧道。
　　2 OpenVPN簡介
　　OpenVPN是在Linux下的開源VPN，為用戶提供了易用、高性能的客戶端軟件。OpenVPN允許參與建立VPN的單點使用預(yù)設(shè)的私鑰、第三方證書或者用戶名/密碼來進行身份驗證。有自定義的OpenSSL加密庫，支持SSLv3/TLSv1協(xié)議，支持128位加密。
　　同時，由于OpenVPN的易用性較差，國外團隊基于m0n0wall開發(fā)了名為PFSENSE的開源防火墻和路由平臺。該平臺已在很多公司、大學(xué)和其他組織應(yīng)用。PFSENSE允許用戶在圖形界面下配置OpenVPN功能，極大地方便了VPN系統(tǒng)的安裝。這里我們?yōu)榱撕喕�安裝，以PFSENSE中OpenVPN應(yīng)用為核心進行介紹。
　　3 RADIUS、LDAP支持
　　目前統(tǒng)一認證已經(jīng)成為共識，RADIUS和LDAP是目前應(yīng)用最廣泛的認證授權(quán)協(xié)議，VPN實施前首先考慮能否方便地將現(xiàn)有認證集成到VPN平臺中。PFSENSE在提供OPENVPN服務(wù)的同時可以支持RADIUS、LDAP擴展，使系統(tǒng)管理員能方便地將PFSENSE接入企業(yè)現(xiàn)有的統(tǒng)一認證平臺。
　　4 建設(shè)方案
　　4.1 明確用戶規(guī)模
　　硬件平臺的選擇由用戶規(guī)模決定，特別是一些銷售、服務(wù)類公司，大量員工不是在企業(yè)辦公室內(nèi)工作，而是需要深入到客戶群中，而且這部分員工對信息資源的需求更大，需要隨時隨地訪問ERP等各類企業(yè)內(nèi)部系統(tǒng)和資源，一套方便易用安全的VPN系統(tǒng)必不可少。
　　4.2 選擇合適版本和配套客戶端軟件
　　PFSENSE已發(fā)布了最新2.1版本，該版本無論是系統(tǒng)還是各配套軟件，運行的穩(wěn)定性都非常好，而且整套系統(tǒng)都是開源且免費的，非常適合投資有限的企業(yè)使用，其最大用戶負載僅由系統(tǒng)所安裝的硬件所決定。
　　根據(jù)不同的客戶端類型，Android平臺可以選擇OpenVPN Connect，IOS及Windows平臺都有官方客戶端可以使用。
　　4.3 安裝
　�。�1）下載最新PFSENSE鏡像文件，該鏡像文件已集成操作系統(tǒng)，所以我們只需將其刻錄成CD安裝光盤即可。
　�。�2）準備一臺服務(wù)器甚至可以用舊的臺式機，安裝到虛擬機中也沒有問題。只需將安裝光盤內(nèi)的系統(tǒng)，按提示安裝到相應(yīng)物理或虛擬服務(wù)器中。
　　（3）登錄網(wǎng)頁版的管理頁面，配置OpenVPN服務(wù)，建議初次設(shè)置的用戶使用“Wizards”模式進入“OpenVPN Remote Access Server Setup Wizard”配置，可以減少很多配置過程中出錯的可能。根據(jù)需要配置認證方式，可以選擇本地用戶賬號、RADIUS賬號、LDAP賬號。
　�。�4）根據(jù)提示配置完成后，如果上一步選擇的本地用戶賬號，則在“System： User Manager”里面添加用戶信息即可。
　�。�5）為OpenVPN服務(wù)器映射服務(wù)端口，在公司出口的防火墻上針對OpenVPN的服務(wù)端口做一個相應(yīng)的端口映射，所有用戶通過客戶端訪問防火墻該端口即可。
　　4.4 測試
　　分別在不同終端安裝客戶端軟件，并將配置VPN服務(wù)時PFSENSE系統(tǒng)提供的CA等必需的證書文件復(fù)制到客戶端相應(yīng)位置，即可連接VPN服務(wù)器。目前正在使用的實例，經(jīng)過2年多運行，，服務(wù)非常穩(wěn)定，用戶反映也很好。
　　4.5 培訓(xùn)
　　VPN技術(shù)對初次使用的用戶來說還是稍微復(fù)雜的，特別是客戶端軟件安裝和配置的過程，建議系統(tǒng)管理員制作不同平臺的安裝使用說明文件供用戶參考。