[摘 要] BYOD應用已深入我們的工作和生活，企業(yè)基于網絡的數字化應用也越來越多，降低成本，用開源軟件安全便捷地解決用戶接入難題是本文主要討論的問題。

　　[關鍵詞] OpenVPN；PFSENSE；開源；企業(yè)

　　　　[中圖分類號] TP393 [文獻標識碼] A [文章編號] 1673 - 0194（2014）11- 0056- 01

　　1 概 述
　　網絡無處不在，企業(yè)員工迫切需要在任何時間任何地點獲取企業(yè)內部信息資源，如何從不同系統(tǒng)的個人終端，（Windows、Android、OSX/IOS、Linux）利用現有網絡，安全便捷接入公司內網，這是本文要解決的問題。
　　虛擬專用網絡（Virtual Private Network，VPN）指的是在公用網絡上建立專用網絡的技術。VPN能夠讓外地員工在當地連上互聯網后，通過互聯網連接企業(yè)VPN服務器，然后通過VPN服務器進入企業(yè)內網。為了保證數據安全，VPN服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密，就可以認為數據是在一條專用的數據鏈路上進行安全傳輸，就如同專門架設了一個專用網絡一樣。但實際上VPN使用的是互聯網上的公用鏈路，因此VPN稱為虛擬專用網絡，其實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。
　　2 OpenVPN簡介
　　OpenVPN是在Linux下的開源VPN，為用戶提供了易用、高性能的客戶端軟件。OpenVPN允許參與建立VPN的單點使用預設的私鑰、第三方證書或者用戶名/密碼來進行身份驗證。有自定義的OpenSSL加密庫，支持SSLv3/TLSv1協議，支持128位加密。
　　同時，由于OpenVPN的易用性較差，國外團隊基于m0n0wall開發(fā)了名為PFSENSE的開源防火墻和路由平臺。該平臺已在很多公司、大學和其他組織應用。PFSENSE允許用戶在圖形界面下配置OpenVPN功能，極大地方便了VPN系統(tǒng)的安裝。這里我們?yōu)榱撕喕惭b，以PFSENSE中OpenVPN應用為核心進行介紹。
　　3 RADIUS、LDAP支持
　　目前統(tǒng)一認證已經成為共識，RADIUS和LDAP是目前應用最廣泛的認證授權協議，VPN實施前首先考慮能否方便地將現有認證集成到VPN平臺中。PFSENSE在提供OPENVPN服務的同時可以支持RADIUS、LDAP擴展，使系統(tǒng)管理員能方便地將PFSENSE接入企業(yè)現有的統(tǒng)一認證平臺。
　　4 建設方案
　　4.1 明確用戶規(guī)模
　　硬件平臺的選擇由用戶規(guī)模決定，特別是一些銷售、服務類公司，大量員工不是在企業(yè)辦公室內工作，而是需要深入到客戶群中，而且這部分員工對信息資源的需求更大，需要隨時隨地訪問ERP等各類企業(yè)內部系統(tǒng)和資源，一套方便易用安全的VPN系統(tǒng)必不可少。
　　4.2 選擇合適版本和配套客戶端軟件
　　PFSENSE已發(fā)布了最新2.1版本，該版本無論是系統(tǒng)還是各配套軟件，運行的穩(wěn)定性都非常好，而且整套系統(tǒng)都是開源且免費的，非常適合投資有限的企業(yè)使用，其最大用戶負載僅由系統(tǒng)所安裝的硬件所決定。
　　根據不同的客戶端類型，Android平臺可以選擇OpenVPN Connect，IOS及Windows平臺都有官方客戶端可以使用。
　　4.3 安裝
　　（1）下載最新PFSENSE鏡像文件，該鏡像文件已集成操作系統(tǒng)，所以我們只需將其刻錄成CD安裝光盤即可。
　�。�2）準備一臺服務器甚至可以用舊的臺式機，安裝到虛擬機中也沒有問題。只需將安裝光盤內的系統(tǒng)，按提示安裝到相應物理或虛擬服務器中。
　�。�3）登錄網頁版的管理頁面，配置OpenVPN服務，建議初次設置的用戶使用“Wizards”模式進入“OpenVPN Remote Access Server Setup Wizard”配置，可以減少很多配置過程中出錯的可能。根據需要配置認證方式，可以選擇本地用戶賬號、RADIUS賬號、LDAP賬號。
　�。�4）根據提示配置完成后，如果上一步選擇的本地用戶賬號，則在“System： User Manager”里面添加用戶信息即可。
　�。�5）為OpenVPN服務器映射服務端口，在公司出口的防火墻上針對OpenVPN的服務端口做一個相應的端口映射，所有用戶通過客戶端訪問防火墻該端口即可。
　　4.4 測試
　　分別在不同終端安裝客戶端軟件，并將配置VPN服務時PFSENSE系統(tǒng)提供的CA等必需的證書文件復制到客戶端相應位置，即可連接VPN服務器。目前正在使用的實例，經過2年多運行，，服務非常穩(wěn)定，用戶反映也很好。
　　4.5 培訓
　　VPN技術對初次使用的用戶來說還是稍微復雜的，特別是客戶端軟件安裝和配置的過程，建議系統(tǒng)管理員制作不同平臺的安裝使用說明文件供用戶參考。