企業防SARS解決方案後續報導-安全的專用通道—VPN

這次SARS疫情來的猛烈，很多企業面臨到員工可能隨時會居家隔離的風險。與其等到那時候才想到要應變，許多企業現在就積極地尋找解決的方案，讓員工不但在辦公室內能夠正常運作，回到家中依然可以讓企業營運運作自如，使得企業虛擬私人網路VPN在這一陣子又開始熱門起來。但是，企業主真的了解該怎麼建置、找誰建置才是最適合企業的嗎？

虛擬私人網路VPN（Virtual Private Network），利用穿隧技術（Tunneling）與加解密技術，在Internet之上建立了一條秘密通道供私人使用。穿隧技術所利用的協定主要有三種：IPsec、PPTP、L2TP。目前企業常使用的VPN為MPLS VPN及IPsec VPN。而VPN環境的建置可分為五種模式：Site-to-Site、Client-to-Site、Server-to-Server、Client-to-Server、Client-to-Client。

一些大型企業或是跨國企業，在規畫企業網路時期，大多都已經將VPN的建置放在第一或第二階段進行，對那些企業來說，VPN是企業必備的基礎網路架構，確實有存在的必要。但是對於在臺灣佔大多數的中小型企業來說，VPN的建置只是個可有可無的進階網路建設，對他們而言，並沒有急迫的需要。但是面臨到SARS的恐慌，許多企業面臨著人員被隔離的風險，各企業都想盡辦法要能夠在這種情況之下依然可以保持企業正常運作。突然之間，過去曾經熱門過的VPN又開始流行了起來，但是許多企業並不知道自己適不適合架設VPN服務，或是該尋求哪些協力廠商，建置何種VPN服務。不能夠明確找到需求的狀況之下，往往只能從價格與基本服務為考量，這種盲目的投資反而會造成日後更多的麻煩。VPN帶給企業的優勢
決定是否需要建置VPN

建置良好的VPN環境，藉由穿隧技術，可以提升企業各據點之間資料傳遞的安全性，防禦在網際網路上無止盡的入侵與竊聽。藉由ISP業者的協助，也能夠提供較快的傳遞速度，這兩點是VPN最大的優勢。基於這兩項VPN所提供的優勢，還能夠發展出其他不同的優點。

將VoIP與視訊會議功能建置於VPN環境之中，能夠藉著VPN提供的QoS功能，將聲音封包的優先順序調至最高。因為聲音與數據的表現方式與特性不同，聲音是即時性的，傳遞上不能有太多的延遲，延遲過久會造成溝通上的困難，而數據屬於非即時性的，只要分割出的封包能夠完全接收，就可以百分之百還原成原資料，因此聲音封包的優先順序一定要高於數據封包，只要VPN通道上有聲音封包通過，數據封包會自動暫停，將所有頻寬讓給聲音封包，等所有聲音封包通過後，再繼續傳遞數據封包。而視訊封包亦然，但優先順序為最高，才能保證影像傳遞的品質。

在一般網際網路上，如果同時執行線上通話與大量資料存取時，則會發現通話品質明顯降低，這是因為不同資料封包，擁有相同的優先順序所造成的結果。希望藉由網路進行線上通話或視訊會議的企業，可以使用VPN原有優勢，將所需求的功能發揮到極致。

最常用在網際網路上傳遞資訊的保密方式，是使用公開或私人密鑰的加解密方式，雖然可以做到資料的加解密，但是卻無法保證資料是否會遺失。建置VPN環境，則能夠擁有專屬通道，加強資料在傳遞上的安全性，將資料被竊取的風險降至最低。

該如何選擇是否需要建置VPN及建置方式，是許多企業頗為困擾的問題。我們建議企業先考量以下七個面向：

企業據點數量
VPN對企業最重要的應用有兩種，Site-to-Site及Client-to-Site。在Site-to-Site的部分，取決於企業據點的數量。企業據點的數量越多，需要交換的資訊也越多，在交換內部資訊的過程中，就需要利用VPN獨特的安全性與保密性，作為企業內部資訊交換的專屬通道，防止機密資料外洩或被竊取。

需要加密傳遞的資料量
企業在網際網路上交換資訊是日漸普遍的趨勢，而交換的資料量增加，安全問題也隨之浮現。當需要將企業商業機密資料，藉由網際網路傳遞給分公司、子公司或是合作夥伴時，就必須留意資料在傳遞過程中被竊取的問題，單單針對資料進行加密，並不能完全保障資料的安全。因此所傳遞的資料量越龐大，就越需要建置VPN作為傳遞通道。

需要存取內部資料的頻率
當企業員工時常不在公司內部（如：業務員、在外開會的主管等），卻必須隨時得知企業內部重要資訊時，光只是由電話、電子郵件並不能有效掌握資訊的安全性與完整性。畢竟，電話之中並不能得到完整的流程圖，電子郵件不能保證一定是正確的資料。因此，這類員工的人數越多時，越需要架設VPN環境，以利員工在企業外部環境時，依然能夠即時獲得安全且完整的內部資料。

衡量真正所需功能
在網路環境中，頻寬管理是很重要的因素。藉由VPN的建置，可以讓頻寬得到最有效的管理與使用。然而許多人有一種觀念，當需要何種功能時，再架設相關環境。企業各據點間需要節省通信費用，就架設VoIP環境；時常需要開會，為了節省交通費用，就採購視訊會議設備，影響的是企業必須不斷的提升頻寬而沒有實質的效果。在沒有找出企業真正的需求時，就貿然投資。這種作法的結果往往導致成本提升、維護費用的增加，而成效卻不彰。

企業網路的成熟度
VPN主要優勢在於在不同網段之間，建立一個專屬且安全的通道。雖然專屬通道就像在網際網路上專用的資訊高速公路，但是企業內部網路依然是一個決定性的重點。內部網路環境不夠健全，即使建立好VPN通道，外部使用者依然無法得到所需的資料，甚至不得其門而入。一般企業內部網路最常使用的，大多是以存取Exchange Server，做為內部文件資料共享與管理的伺服器。主管及員工倘若鮮少使用內部網路交換各種資訊，就算外部環境建置再好，依然無法得到應有的成效。要能夠將VPN發揮出最大的成效，企業本身必須先做好e化，達到內部網路可存取所需資料的時候，再建置VPN。

建置VPN的預算
任何建設都是需要成本花費的，特別是與網際網路相關的建置，一旦決策錯誤，所浪費的成本可能是數以倍計。在VPN的建置上，一次性成本包括：硬體設備、網路設定費用、顧問費用等；經常性成本包括：網路連線費用、硬體維護費用、人事成本等。企業本身必須對此進行評估，有多少預算可以用在建置VPN上，再依據預算控管所需功能的時程並尋找服務廠商。

後續維護或加值服務
VPN的建置大多是屬於一次性建置，然而相關的教育訓練、硬體維修、頻寬管理、諮詢服務等，都是企業在尋找VPN廠商時應留意的事項。另外針對建置VPN環境之後，廠商是否可免費提供或優惠的加值服務，也是可供企業參考的決策因素。如何建置VPN

建置VPN環境與建立一般網路環境不完全相同，除了必要的網路頻寬之外，有時還需要搭配的硬體設備才能夠使用。如果企業內部網路環境過於複雜，就必須要由專業系統整合廠商提供服務才能夠達到所要求的目標。在建置VPN的方法上，我們可概括分為三類：與ISP業者合作、自行採購硬體與系統整合廠商。

ISP業者的服務
目前ISP業者，主要提供MPLS VPN服務，不另外搭售或租借硬體。在建置上，各企業據點間需要使用同一家，或彼此合作的ISP業者提供的網際網路連線服務，藉此以建置VPN環境。主要的設定由ISP業者的機房端負責，企業各據點僅需申請該ISP業者的ADSL、專線甚至撥接服務即可。目前臺灣各ISP業者都建議使用雙向512kb以上的ADSL連結VPN。適合對VPN有需求，但不需要花費大量成本的企業。

自行採購硬體
各企業據點間可自行購買適合硬體以建置VPN環境，硬體設定部分需由員工自行處理，並且需要自行申請網際網路連線服務，但是仍須注意硬體與現有網路環境是否搭配。較適合企業擁有能力優良的MIS人員。

系統整合業者
系統整合業者可統整ISP業者提供的服務，與硬體設備廠商的產品，搭配上長久以來執行專案的經驗，提供給企業完整的VPN解決方案。企業僅需提出對VPN的需求，系統整合業者即可進行各種面向進行評估分析，並為企業量身打造VPN環境。

從建置VPN的地點而言，若企業據點分布在臺灣各地，除了資料交換之外沒有其他特別需求，可採用ISP業者所提供的VPN服務。除了免去維護的成本之外，還有建置難度低、速度快、成本較為低廉等優點。僅需要第一次申裝的設定費用，及每個月的連線費用，不需要另外花費太多成本。

如果企業有海外的據點，則必須考量當地ISP業者，與企業總部所在地的ISP業者是否有合作關係。以兩岸三地為例，臺灣的ISP業者，大多僅限於在沿海的大都市有提供VPN服務，如果企業據點不在沿海幾個大都市，或許就較難使用臺灣ISP業者所提供的服務。這時候，或許就應該考慮使用全球性ISP業者（如AOL、AT&T）或是藉由硬體建置VPN。

從VPN的加密性而言，使用硬體設備建置出IPsec VPN環境，會比MPLS VPN有更高的安全性，但是連線速度無法兼顧，適合需要保密性高，對連線速度較不要求，並且資訊部門有足夠人力的企業。自行採購硬體設備建置VPN環境，除了可以避免跨網的建置難度，及保密性之外，還可以視需要加裝相關的網路設備（如VoIP閘道器、視訊會議設備等），以提升功能。而硬體廠商也會針對產品，推出基本的解決方案套餐供企業選擇。

如果企業無法分派人力資源建置VPN環境，而ISP業者所提供的服務又不足以應付企業需求，則可以選擇與系統整合業者合作，由SI評估分析企業需求與環境，企業僅需要針對SI所提出的建議方案做出決策，即可建置出VPN環境。但是由於系統整合業者必須要花費較多時間與業者溝通，以對整體網路環境作最佳的規畫，企業在建置的時候需要考量到時效問題。本地ISP業者vs.跨國ISP業者
VPN將成企業基本網路建設

企業需要網際網路服務時，需要得到ISP業者的協助，才能夠存取網際網路上無遠弗屆的資源，但是那只是針對單純的網際網路環境而言。ISP業者主要提供MPLS VPN的服務，所有的維護與設定都交給ISP業者，企業可以減少支出與維護的費用。

但是，只有VPN環境中各端點都是使用該ISP業者的連線服務才能完全達到這種優勢，會有這種困擾產生的原因在於網路控管的問題。當VPN環境完全建置在ISP業者的網段上時，所有的設定僅需要透過ISP業者的機房處理即可，但是當跨網段進行VPN設定時，單方面進行機房部分的相關設定是不能達到所要的效果，必須要雙方面能夠彼此配合進行設定才能完成。這也是為什麼目前由臺灣ISP業者所推出的兩岸三地VPN，大多只延伸到沿岸臺商較多的大都市。

另外一方面，有一些跨國的ISP業者，在世界各地都具有營運中心或合作廠商。本身就具有相當好的協調性，可以進行許多相關的跨網段設定。對那些業者來說，跨地區的VPN設定都可以在他們能夠控管的網段中完成，相較起來難度較低。這也是跨地區建置VPN時，值得思考的方向。

網際網路的盛行，已經使得原有的商業溝通模式丕變，各個企業都能夠快速且便利的傳遞資訊。但是在如此方便的溝通管道上，已經存在著各種風險與阻礙。單就資訊傳遞的角度而言，各地區之間原有的連接頻寬，已經隨著使用量不斷增加而有不足的趨勢，雖然各地區已經展開各種不同的對策，包括提升對外頻寬、增加代理伺服器的使用、控管資訊流量等措施，但是卻明顯跟不上需求的步調。另外，在網際網路上，潛伏著不少伺機而動的駭客，隨時有可能竊取、竊聽或竄改企業機密文件，造成企業不小的損失。

對企業而言，有許多資訊傳遞必須講求時效性與安全性，現有網際網路已經開始不能滿足企業嚴格的需求。對此，許多企業開始重新省視VPN的功能性，並且希望藉由建置VPN環境，能夠帶給企業更大的好處。此外，不論是企業體間各據點的縱向溝通，亦或是與合作夥伴的橫向聯繫，甚至是高機動性員工的臨時存取，VPN都佔有越來越重要的地位。

過去，隨著網路環境與使用習慣的不斷改變，到今日使用網際網路讓溝通變得快速且便利，這種特性讓網際網路成為企業通訊的基本建設，不久的將來，隨著企業越來越重視安全性與穩定性，兼具這兩種優勢的VPN，將會成為企業網路的基本建設。文⊙羅健豪安全vs.便利

企業對資料傳遞的要求相當高，既希望傳遞的速度能夠越快越好，又希望能夠有相當的安全性，但是魚與熊掌不可兼得，企業必須選擇兩者之中最重要的項目。VPN與一般網際網路相比，本身具有一定的安全性，並且藉由專屬通道上的QoS機制，可以在網際網路上享有一定的速度。但是MPLS VPN上傳遞的資料，除了專屬通道之外，並沒有太多的加解密機制。雖然可以有效的防範外來入侵與竊聽，但是卻無法防範資料外洩與竊取。

使用IPsec VPN可以對資料加密，增加資料傳遞上的安全性，但是加解密的過程會增加伺服器的負載量，經過加解密的數據封包又較原始封包大，增加傳遞所需的時間。

自行架設IPsec的問題：Firewall vs. NAT
在擁有相當程度的MIS人員的企業中，或許會考慮自行建置VPN環境，以節省成本花費並享有足夠的安全性，但是卻經常會遇到一種困擾，如何在現有的網路架構下，以更動最少的方式架設最高效能的VPN。目前大多數的企業都會架設防火牆（Firewall），以阻擋外來攻擊；同時因為公用IP的不足，所以會使用NAT功能，來應付企業內部眾多電腦的IP需求，但因企業內外IP環境不同，造成許多建置的問題。

一個有LAN環境、Firewall、路由器與伺服器的環境中，Firewall與IPsec裝置的建置方式大概可分為七種，各種都有其優缺點。另外搭配上NAT環境都採用虛擬IP的方式更不容易掌握。在進行網路規畫的時候，首先就必須注意到，兩端的網路環境是否相同（兩端都是企業內部網路或是一端是伺服器）、舊有設備是否足以使用、網路的可用性、是否需要控管解密後的封包、內部網路是否有不使用TCP/IP的服務等問題。如此規畫後進行實作時才不會遇到層層阻礙。

不論是採用何種建置方式，企業都必須要針對需求進行調整，否則只是徒增MIS人員的困擾並增加成本支出。而以目前的硬體效能而言，都逐漸的走向一機多用，在選購的時候，需要注意是否合乎自己的需求，甚至是未來的擴充性。

中華電信VPN服務
中華電信針對台商提供兩岸三地的VPN服務，採用MPLS架構，建置容易。中華電信在VPN服務上，提供了包括寬頻語音、視訊會議、隨選視訊（VOD）、多點廣播、互動式遠距教學及遠距監看等服務，都是以VPN環境為基礎架構所延伸出的加值服務。

中華電信在國內具有總計35Gbps以上的頻寬，國外頻寬也有高達1.75Gbps以上的頻寬。並且具有專業工程師，足以應付任何突發狀況，全年全天候進行維護監控，保證網路可以正常運作。

除了一般VPN服務外，另外提供了許多加值服務，如：網頁電話、網頁熱線、虛擬撥接專用網路、網路監視服務、企業電子信箱、即時語音會議室、視訊會議及遠距教學等。讓採用中華電信VPN的企業用戶，能夠以最經濟的價格，享受高品質的企業專屬網路服務。

第一線VPN服務
第一線具有大陸地區、香港及臺灣兩岸三地的第二類電信業務執照，藉由遍布大中華地區的IP骨幹網路，可提供企業VPN服務。第一線的VPN服務採用MPLS架構，建置便利，具有委外服務的特點，可大幅降低企業網路建置與維護管理的成本，同時具備可與硬體搭配的擴充性，能夠簡化跨網域建置VPN環境的複雜程度。第一線的服務範圍目前主要有臺灣各地、北京、上海、廣州、香港等，將來更計畫擴展至大中華區各大都市。

此次SARS疫情爆發，許多詢問的客戶有接近百分之八十都有視訊整合的需求，而現有客戶中，也有近百分之十的客戶額外要求視訊服務，可見現有客戶已逐漸能接受對視訊設備的投資。由於視訊、語音等多媒體的大量運用，也有許多客戶要求增加頻寬，使需求規格從原有的256~512Kbps，快速提升至Mbps等級，也因此第一線推出了Mega IP VPN專案，讓客戶可以享受到高頻寬的服務。

Seednet VPN服務
數位聯合電信Seednet針對企業VPN推出了MPLS VPN服務，可整合第三層的IP路由及第二層的標籤交換成單一系統，因此能夠輕易地解決Internet上路由的問題，能夠增加傳輸的速度。另一方面也提供了相當於第二層網路（Frame Relay/ATM）的安全性。

在兩岸三地方面，Seednet考量到臺商對於兩岸資訊傳遞的基本需求，藉由Seednet的VPN服務，企業可以享受到VoIP、視訊會議、系統整合及客戶管理、Call Center及遠距教學等加值服務。Seednet本身因應SARS疫情，便充分利用自身優勢，讓員工輪流上班，在家工作的員工可利用Seednet ADSL，透過VPN、異地辦公室等相關機制，使得營運不中斷。

北電網路SARS解決方案
這次SARS事件牽連甚廣，而北電網路也遇到許多客戶反應，員工在家上班以分散風險的狀況下，如何能夠讓員工所有的運作都能夠像在公司上班一樣，不論是電話聯繫、單據簽核、存取公司內部資料庫與共享資源等，都能夠正常無礙，同時具有絕對的保密性及安全性。北電網路基於上述理由，撇開傳統將完全相同的設備，建置於不同地點的作法，改採將辦公室裡通訊及網路環境，完全複製到個人居家環境的辦法。

這種作法說來容易，但是實際上運用卻有一定難度。首先最大的問題就是如何將公司內部的分機號碼轉接至員工家中，卻不必另外負擔高額的通話費用。北電網路為因應這些需求，推出了BCM短期租用方案。BCM通訊網路整合交換器全名為Business Communications Manager，是一套完整、獨立的系統，可提供企業平順地導入網際網路協定的環境。不同於一般數位式的電話設備，網路電話是直接連接在數據網路上，透過BCM，企業便能將通訊與數據網路的線路，輕易地合而為一。

透過北電網路的VPN設備（Contivity系列），搭配上BCM，可以讓企業完整地將通訊與數據網路連接至員工家中，不但能夠提供安全便捷的工作環境外，還能夠讓企業營運持續運作，除了員工辦公地點不同外，幾乎不會有任何差異。