劉冬喜

（南車(chē)成都機(jī)車(chē)車(chē)輛有限公司信息中心，成都610051）

在異地的公司銷(xiāo)售人員、管理人員如何能實(shí)現(xiàn)安全遠(yuǎn)程訪問(wèn)總部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，查閱e-mail或訪問(wèn)公司內(nèi)部重要數(shù)據(jù)，這是企業(yè)網(wǎng)管必須解決的問(wèn)題。南車(chē)成都機(jī)車(chē)車(chē)輛有限公司采用Sinfor SSLVPN M5100-S設(shè)備建立的安全遠(yuǎn)程訪問(wèn)系統(tǒng)，經(jīng)過(guò)兩年多的運(yùn)行，效果良好，使身處總部網(wǎng)絡(luò)以外的人員，能夠在授權(quán)的情況下，方便地進(jìn)入公司總部網(wǎng)絡(luò)系統(tǒng)，運(yùn)行有關(guān)的應(yīng)用軟件。

1 系統(tǒng)設(shè)計(jì)

1.1 設(shè)計(jì)目標(biāo)

安全遠(yuǎn)程訪問(wèn)系統(tǒng)的設(shè)計(jì)目標(biāo)：

（1）安裝簡(jiǎn)單，界面友好，使用方便，具有高可用性，適用多種終端設(shè)備的接入訪問(wèn)。

（2）高安全性，高可靠性。SSLVPN（安全套接層虛擬專(zhuān)網(wǎng)）系統(tǒng)的部署使公司IT應(yīng)用安全可控，眾多員工可依賴(lài)該系統(tǒng)的可靠性作為移動(dòng)辦公和遠(yuǎn)程接入的手段。

（3）系統(tǒng)需對(duì)應(yīng)用支持廣泛。機(jī)車(chē)車(chē)輛公司內(nèi)部IT應(yīng)用復(fù)雜，包括OA、ERP、郵件和特定的應(yīng)用系統(tǒng)等，部署SSLVPN的目的是支持公司內(nèi)部眾多IT應(yīng)用和可預(yù)見(jiàn)的其它IT應(yīng)用，提高員工的工作效率。

（4）對(duì)通過(guò)認(rèn)證的用戶(hù)進(jìn)行訪問(wèn)權(quán)限控制，并對(duì)用戶(hù)訪問(wèn)做詳細(xì)記錄。以備日后審計(jì)。

（5）對(duì)接入SSLVPN的用戶(hù)進(jìn)行強(qiáng)認(rèn)證。為防止惡意用戶(hù)訪問(wèn)甚至竊取企業(yè)內(nèi)部存儲(chǔ)眾多的業(yè)務(wù)信息和商業(yè)信息，登錄的用戶(hù)除用戶(hù)名和口令外，還應(yīng)與CA數(shù)字證書(shū)服務(wù)器配合，完成對(duì)接入用戶(hù)的認(rèn)證。

1.2 設(shè)計(jì)原理

通過(guò)IPSecVPN技術(shù)實(shí)現(xiàn)大量數(shù)據(jù)的遠(yuǎn)程訪問(wèn)，曾經(jīng)為人們提供了一種低運(yùn)行成本、高生產(chǎn)效率的遠(yuǎn)程訪問(wèn)方式。但是，從遠(yuǎn)程通過(guò)IPSec通道連接到企業(yè)內(nèi)部網(wǎng)絡(luò)可能會(huì)增加局域網(wǎng)受到攻擊或被病毒感染的可能。SSLVPN（安全套接層虛擬專(zhuān)網(wǎng)）技術(shù)，可以使員工出差時(shí)不必?cái)y帶筆記本電腦，僅僅通過(guò)一臺(tái)接入Internet的計(jì)算機(jī)就能訪問(wèn)企業(yè)資源，在為企業(yè)很好地解決安全性問(wèn)題的同時(shí)提高企業(yè)的工作效率。

1.3 SSLVPN原理

SSL（安全套接層）協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議。SSL處于應(yīng)用層，用公鑰加密連接傳輸?shù)臄?shù)據(jù)進(jìn)行工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議（如HTTP、Telnet和FTP等）和TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶(hù)機(jī)認(rèn)證。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議3部分。握手協(xié)議負(fù)責(zé)確定用于客戶(hù)機(jī)和服務(wù)器之間的會(huì)話(huà)加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會(huì)話(huà)。

SSLVPN是指使用者利用瀏覽器內(nèi)建的SecureSocketLayer封包處理功能，用瀏覽器連接公司內(nèi)部SSLVPN服務(wù)器，透過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，使得使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。它采用標(biāo)準(zhǔn)的SSL對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密，在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。高質(zhì)量的SSLVPN解決方案可保證企業(yè)進(jìn)行全局安全訪問(wèn)。在不斷擴(kuò)展的互聯(lián)網(wǎng)Web站點(diǎn)之間、遠(yuǎn)程辦公室、傳統(tǒng)交易大廳和客戶(hù)端間，SSLVPN用戶(hù)可以輕松實(shí)現(xiàn)安全易用、無(wú)需客戶(hù)端安裝且配置簡(jiǎn)單的遠(yuǎn)程訪問(wèn)，從而降低用戶(hù)的總成本并增加遠(yuǎn)程用戶(hù)的工作效率。

1.4 系統(tǒng)功能

（1）安全遠(yuǎn)程訪問(wèn)系統(tǒng)必須具備支持B/S構(gòu)架和C/S構(gòu)架的功能。使出差在外的人員能及時(shí)訪問(wèn)內(nèi)網(wǎng)用戶(hù)資源。

（2）系統(tǒng)具有可靠的安全性能

a. 傳輸?shù)陌踩裕合到y(tǒng)采用標(biāo)準(zhǔn)的SSL協(xié)議，無(wú)需安裝客戶(hù)端，只要接入到內(nèi)網(wǎng)的計(jì)算機(jī)斷開(kāi)與Internet的連接，就立即阻斷了黑客或者病毒的入侵；

b. 認(rèn)證的安全性：除了最基本的用戶(hù)名和密碼外，只要企業(yè)建立了相應(yīng)的安全認(rèn)證服務(wù)器，如LDAP、Radius等，就能實(shí)現(xiàn)無(wú)縫結(jié)合，實(shí)現(xiàn)對(duì)接入者的身份認(rèn)證，同時(shí)也可以采用USB KEY和動(dòng)態(tài)令牌認(rèn)證等方法，保證接入用戶(hù)的安全和可靠；

c. 單點(diǎn)的安全性：在用戶(hù)接入的同時(shí)，系統(tǒng)能夠?qū)尤霗C(jī)器的安全性進(jìn)行全面檢查，避免操作系統(tǒng)過(guò)低、未打補(bǔ)丁、未裝殺毒軟件、病毒庫(kù)未及時(shí)升級(jí)、含有某些危險(xiǎn)的進(jìn)程以及注冊(cè)表被木馬或者黑客改掉的機(jī)器接入到內(nèi)部網(wǎng)絡(luò)中的安全隱患；

d. 權(quán)限的安全性：綁定每個(gè)人與能訪問(wèn)到的資源，防止越權(quán)訪問(wèn)的出現(xiàn)，避免泄漏公司重要信息。

（3）系統(tǒng)管理方便，日志豐富。具有完善的后臺(tái)管理功能，能方便地實(shí)現(xiàn)用戶(hù)管理、流量限制、安全設(shè)置、數(shù)據(jù)統(tǒng)計(jì)及報(bào)表生成等功能。

（4）系統(tǒng)操作簡(jiǎn)單，安裝快捷，易維護(hù)。客戶(hù)端不需安裝配置，直接利用瀏覽器內(nèi)嵌的SSL協(xié)議即可。

2 系統(tǒng)構(gòu)成

經(jīng)過(guò)測(cè)試和對(duì)比，系統(tǒng)采用Sinfor SSLVPN M5100-S設(shè)備，該設(shè)備可以單臂模式部署，拓?fù)浣Y(jié)構(gòu)如圖1。該部署方式簡(jiǎn)單迅速，只需對(duì)所連接的交換機(jī)配置端口鏡像，在防火墻上針對(duì)Sinfor SSLVPN M5100-S設(shè)備進(jìn)行端口映射，對(duì)企業(yè)原有網(wǎng)絡(luò)環(huán)境影響小，且達(dá)到設(shè)計(jì)要求。處在公網(wǎng)的用戶(hù)可安全方便地通過(guò)SSLVPN網(wǎng)絡(luò)訪問(wèn)公司內(nèi)部網(wǎng)，實(shí)現(xiàn)移動(dòng)辦公和遠(yuǎn)程接入。

圖1 SSLVPN系統(tǒng)實(shí)施拓?fù)浣Y(jié)構(gòu)圖

3 系統(tǒng)實(shí)現(xiàn)

圖2 角色關(guān)聯(lián)

（1）設(shè)置遠(yuǎn)程用戶(hù)，對(duì)需通過(guò)SSLVPN進(jìn)入公司內(nèi)部網(wǎng)絡(luò)的用戶(hù)，預(yù)設(shè)用戶(hù)名、用戶(hù)密碼、認(rèn)證方式、用戶(hù)過(guò)期時(shí)間和用戶(hù)日志。

（2）在系統(tǒng)中設(shè)置用戶(hù)組，將具有相同訪問(wèn)權(quán)限的用戶(hù)歸結(jié)在同一組中，方便權(quán)限設(shè)置。

（3）建立可用資源，指定允許遠(yuǎn)程用戶(hù)訪問(wèn)的資源，包括資源類(lèi)型、主機(jī)地址和端口范圍。

（4）設(shè)置角色信息，把用戶(hù)和用戶(hù)組需使用的資源關(guān)聯(lián)起來(lái)。如：用戶(hù)ldx，通過(guò)遠(yuǎn)程登錄需要使用公司的OA系統(tǒng)，ldx進(jìn)入公司局域網(wǎng)后按圖2的方法就可正常使用公司的OA系統(tǒng)。

4 結(jié)束語(yǔ)

該系統(tǒng)投入使用后，有效地解決了公司在外人員遠(yuǎn)程訪問(wèn)公司內(nèi)部資源的安全性問(wèn)題，解決了公司員工在家辦公的問(wèn)題，做到資源共享，效果良好，達(dá)到設(shè)計(jì)要求。