摘要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)化管理已經(jīng)進(jìn)入到國(guó)有企業(yè)，尤其是一些大型企業(yè)在全國(guó)有多個(gè)分支機(jī)構(gòu)，這就要求企業(yè)網(wǎng)絡(luò)具備一定的移動(dòng)化辦公能力，即在遠(yuǎn)程用戶端也可訪問(wèn)企業(yè)內(nèi)部辦公網(wǎng)絡(luò)，實(shí)現(xiàn)真正的遠(yuǎn)程辦公，本文以SSL VPN技術(shù)為基礎(chǔ)，分析該技術(shù)對(duì)于移動(dòng)辦公的優(yōu)勢(shì)，并提出了整體解決方案。

關(guān)鍵詞：SSL VPN；技術(shù)優(yōu)勢(shì)；整體方案

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 15-0000-02

1 SSL VPN技術(shù)概述

VPN在辦公網(wǎng)絡(luò)中的應(yīng)用是一種對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加密與傳輸?shù)姆绞剑垂玫木W(wǎng)絡(luò)環(huán)境中完成一種相對(duì)私有的數(shù)據(jù)傳輸模式，從邏輯上構(gòu)成了一個(gè)“專用”的網(wǎng)絡(luò)。其更像是一種服務(wù)功能，即為客戶提供專用的網(wǎng)絡(luò)所具備的功能，但是本身不是以獨(dú)立的物理網(wǎng)絡(luò)出現(xiàn)。因此VPN至少應(yīng)具備以下功能：加密數(shù)據(jù)，完成安全化傳輸，保證在公用網(wǎng)絡(luò)中傳遞的數(shù)據(jù)不會(huì)被其他人所截獲并破譯；可以實(shí)現(xiàn)信息認(rèn)證和身份認(rèn)證，保證用戶信息的安全與合法性，并可以跟蹤用戶登錄數(shù)據(jù)；實(shí)現(xiàn)訪問(wèn)控制，即針對(duì)不同的用戶等級(jí)劃分權(quán)限，控制對(duì)系統(tǒng)的訪問(wèn)與資源調(diào)用。

可見(jiàn)，VPN技術(shù)是一種虛擬的專用化技術(shù)，就是在公用網(wǎng)絡(luò)上建立一個(gè)專屬與企業(yè)的辦公網(wǎng)絡(luò)技術(shù)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的共同發(fā)展，越來(lái)愈多的企業(yè)愿意借助VPN技術(shù)來(lái)解決無(wú)線辦公與網(wǎng)絡(luò)安全問(wèn)題。如金融機(jī)構(gòu)、大中型企業(yè)這些國(guó)有企業(yè)的這些企業(yè)因?yàn)橐?guī)模較大且人員跨區(qū)域工作的情況頻繁，但是在其他區(qū)域工作的時(shí)候就會(huì)離開(kāi)辦公核心網(wǎng)絡(luò)，因此需要從外部對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行訪問(wèn)，此時(shí)就需要借助更安全而快速的網(wǎng)絡(luò)技術(shù)來(lái)完成對(duì)資源調(diào)用與共享，而VPN技術(shù)可以為企業(yè)提供更加簡(jiǎn)單且安全的遠(yuǎn)程網(wǎng)絡(luò)技術(shù)，同時(shí)具有其優(yōu)異性能，因?yàn)榇隧?xiàng)技術(shù)可以支持大量的網(wǎng)絡(luò)并發(fā)，且可以應(yīng)用于各種異構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)，體現(xiàn)出的是較好的兼容性。VPN技術(shù)目前安全協(xié)議劃分可也分為以下幾種：隧道協(xié)議（PPTP）是一種是一種對(duì)多協(xié)議模式進(jìn)行支持的虛擬網(wǎng)絡(luò)技術(shù)，其工作屬于第二層，是微軟聯(lián)合相關(guān)的網(wǎng)絡(luò)設(shè)備供應(yīng)商共同開(kāi)發(fā)的VPN技術(shù)；L2TP協(xié)議是一種在PPTP和第二層轉(zhuǎn)發(fā)相互結(jié)合的協(xié)議，具有兩個(gè)突出的協(xié)議優(yōu)勢(shì)，由IETF開(kāi)的技術(shù)，現(xiàn)在已經(jīng)為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)；IPSec是在IETF基礎(chǔ)上形成的一種開(kāi)放式標(biāo)準(zhǔn)框架，其目標(biāo)是確保網(wǎng)絡(luò)層面上的流量安全；SSL協(xié)議即安全套接技術(shù)，是一種高層次的安全協(xié)議，SSL最為常見(jiàn)的安全Web瀏覽協(xié)議的模式，也可以稱之為HTTPS；還有一種是MPLS即多協(xié)議標(biāo)簽變換協(xié)議，是一種基于分組交換技術(shù)，是從切換標(biāo)簽和ARIS業(yè)務(wù)等拓展而形成的。這些VPN協(xié)議各有其特征，本文將研究的是SSL在企業(yè)移動(dòng)辦公中的應(yīng)用優(yōu)質(zhì)與解決方案。

2 Array SSL VPN的優(yōu)勢(shì)與特征分析

在實(shí)施過(guò)程中，Array SSL VPN對(duì)于企業(yè)而言有突出的應(yīng)用優(yōu)勢(shì)和技術(shù)特征，其用戶端不需要安裝專用的VPN軟件，隨時(shí)訪問(wèn)Array SSL VPN所使用的標(biāo)準(zhǔn)瀏覽器，如IE等，就可以借助與SSL VPN完成對(duì)辦公自動(dòng)網(wǎng)絡(luò)的訪問(wèn)。本地與異地員工都可以通過(guò)此模式訪問(wèn)公司核心網(wǎng)絡(luò)，也可以拓展為無(wú)線網(wǎng)絡(luò)設(shè)備的接入，這些訪問(wèn)都可以實(shí)現(xiàn)對(duì)辦公系統(tǒng)的資源調(diào)用與共享，SSL VPN可以成功的通過(guò)防火墻處理地質(zhì)轉(zhuǎn)換問(wèn)題，使用效果十分便利。具體看其優(yōu)勢(shì)如下：

支持單點(diǎn)訪問(wèn)：在某國(guó)有企業(yè)的辦公系統(tǒng)中，以往的登錄模式都需要口令與用戶明的方式進(jìn)行登錄與資源共享，這樣的操作相對(duì)麻煩也容易導(dǎo)致用戶名和密碼泄露，在Array SSL VPN協(xié)議支持下，可以實(shí)現(xiàn)單點(diǎn)接入，讓用戶訪問(wèn)不同的網(wǎng)站是就需要登錄一次，一次認(rèn)證，這樣就降低了網(wǎng)絡(luò)管理的復(fù)雜程度。

提供有效數(shù)據(jù)加密：在Array SSL VPN系統(tǒng)在接入辦公系統(tǒng)時(shí)都需要經(jīng)過(guò)加密，其加密的算法中公鑰算法、私鑰算法、消息認(rèn)證等都可以達(dá)到較好的加密效果，保證了數(shù)據(jù)的安全性。

底層數(shù)據(jù)安全性高：在移動(dòng)辦公過(guò)程中，底層數(shù)據(jù)安全是尤為重要的，Array SPX所提供的VPN產(chǎn)品具有相對(duì)獨(dú)立的操作系統(tǒng)，采用核心專利技術(shù)對(duì)系統(tǒng)進(jìn)行構(gòu)建，其保護(hù)了三個(gè)模塊（HTTP解析器、Proxy Engine、TCP/IP Stack。這就使得Array的SPX系列具有應(yīng)用前端設(shè)備所能提供的最為先進(jìn)的連接復(fù)用技術(shù)，可以極大程度的降低服務(wù)器的工作負(fù)載，同時(shí)提高了應(yīng)用服務(wù)器所體現(xiàn)的響應(yīng)能力。Array Network 所提供的SSL VPN產(chǎn)品很多都具備了一定的硬件加速能力，在SPX增加了HTTP硬件壓縮設(shè)備，Array的硬件SSL在增加速度的同時(shí)也可與進(jìn)行加密，即SSL握手和加密傳輸都可得到硬件加速，給CPU提供更多的資源空間來(lái)處理高層功能，這些結(jié)合Speed Stack技術(shù)讓Array所提供的VPN具有比擬的優(yōu)勢(shì)。

安全檢測(cè)控制：Array客戶端的安全保護(hù)模塊在安全管理中可以自動(dòng)的檢測(cè)客戶端的狀態(tài)，并且按照事先設(shè)定的策略完成對(duì)客戶端登陸的管理，分配不同的訪問(wèn)策略?？蛻舳税踩K還可以啟動(dòng)安全桌面功能，在退出的時(shí)候清除痕跡，以此提高安全性能。這就有利與國(guó)有企業(yè)在應(yīng)用中保證要害部門(mén)的安全性。

3 Array SSL VPN的移動(dòng)辦公的整體解決方案

在利用SSL VPN實(shí)現(xiàn)移動(dòng)化辦公的時(shí)候，主要面對(duì)的是多用戶端的情況，即在辦公中存在多個(gè)外部訪問(wèn)客戶端。如某企業(yè)網(wǎng)絡(luò)構(gòu)建中，其需要對(duì)遠(yuǎn)程的用戶進(jìn)行接入，企業(yè)選擇的是Array Network所推出的SPX產(chǎn)品來(lái)完成對(duì)網(wǎng)絡(luò)構(gòu)建，以此保證移動(dòng)辦公網(wǎng)絡(luò)的安全性與性能。

Array Network提供的安全接入綜合考慮該企業(yè)系統(tǒng)的功能與要求，為了適當(dāng)?shù)臄U(kuò)展空間，采用的是Array Network中SPX系列中的SPX4800，并在此基礎(chǔ)上拓展為6000人并發(fā)等級(jí)，然后按照這個(gè)要求拓展一個(gè)整體解決方案，完成對(duì)企業(yè)移動(dòng)辦公的需求。方案中利用Site2site可以實(shí)現(xiàn)對(duì)不同節(jié)點(diǎn)之間的無(wú)縫連接，以此完成靈活的訪問(wèn)和用戶權(quán)限控制；而ATF功能則保證了內(nèi)網(wǎng)用戶的訪問(wèn)與管理。

以公司總部與某個(gè)分公司的連接為例，在總部設(shè)置一臺(tái)Array SSL VPN設(shè)備啟動(dòng)L3 VPN功能，實(shí)現(xiàn)對(duì)總部本地網(wǎng)絡(luò)中所需要的辦公、信息交互、資源管理的功能，并完成對(duì)外的發(fā)布，方便公司的員工在本地對(duì)企業(yè)內(nèi)網(wǎng)的訪問(wèn)；同時(shí)在分公司也部署一臺(tái)Array SSL VPN設(shè)備，讓分公司的員工也可隨時(shí)訪問(wèn)本地的相關(guān)資料。

然后將二者所布置的相關(guān)設(shè)備進(jìn)行激活，激活其Site2site功能，使得兩個(gè)節(jié)點(diǎn)之間建立一個(gè)VPN通道，實(shí)現(xiàn)兩地資源的安全性互訪。對(duì)兩端所發(fā)布的資源進(jìn)行細(xì)致化監(jiān)測(cè)，可以控制到網(wǎng)絡(luò)與主機(jī)、應(yīng)用等。Array SSL VPN設(shè)備接收到HTTP流量的時(shí)候，都會(huì)發(fā)出重定向的信息，也就是客戶界面會(huì)自動(dòng)重新定向并認(rèn)證界面；客戶必須在相應(yīng)的界面上輸入自身的用戶名與密碼才能被系統(tǒng)獲準(zhǔn)訪問(wèn)，同時(shí)在用戶名和密碼在提交審核的過(guò)程中，其信息都是以加密方式進(jìn)行傳遞。

Array Network在提供點(diǎn)對(duì)點(diǎn)的SSL VPN的時(shí)候，也會(huì)為系統(tǒng)提供遠(yuǎn)程安全接入：用戶首先進(jìn)入的是遠(yuǎn)程VPN系統(tǒng)，然后才能進(jìn)入到業(yè)務(wù)辦理系統(tǒng)中，由主服務(wù)其提供相關(guān)的信息服務(wù)，方便外部用戶安全的使用企業(yè)提供的管理系統(tǒng)、OA系統(tǒng)、郵件系統(tǒng)等等。

在SSL VPN網(wǎng)關(guān)布置的時(shí)候可以按照原有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行調(diào)整，SPX網(wǎng)關(guān)在網(wǎng)絡(luò)的邊緣可以采用單臂或者雙臂的結(jié)構(gòu)形式，可以放置在防火墻后面或者DMZ區(qū)，防火墻需要對(duì)SSL VPN網(wǎng)關(guān)開(kāi)放相應(yīng)的端口，這樣就可控制外部攻擊或者內(nèi)部的惡意操作。

4 結(jié)束語(yǔ)

SSL技術(shù)對(duì)于保證國(guó)企移動(dòng)辦公的幫助幫助較大，尤其是利用Array SSL VPN可以幫助企業(yè)的多個(gè)分支結(jié)構(gòu)在辦公中實(shí)現(xiàn)對(duì)內(nèi)部與外部網(wǎng)絡(luò)資源的訪問(wèn)；同時(shí)保證了用戶在遠(yuǎn)程異地的信息上傳與下載的安全性。當(dāng)網(wǎng)絡(luò)管理人員在外網(wǎng)時(shí)，Array SSL VPN的L3 VPN隧道功能可以幫助他們完成對(duì)網(wǎng)絡(luò)舍不得遠(yuǎn)程安全維護(hù)，這樣就保證了整個(gè)辦公網(wǎng)絡(luò)的靈活性和安全性。

參考文獻(xiàn)：

[1]李強(qiáng)，劉梟.VPN技術(shù)在企業(yè)組網(wǎng)中的應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2010，（19）

[2]苑寧.淺析VPN技術(shù)在企業(yè)網(wǎng)絡(luò)建設(shè)中的應(yīng)用[J].甘肅科技，2011，（16）

[3]張宓.采用SSL VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程辦公自動(dòng)化[J].科技風(fēng)，2011，（12）

[4]尋大勇. SSL VPN網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究[J].通信技術(shù)，2009，（01）

[5]呂維新. SSL VPN技術(shù)在移動(dòng)辦公平臺(tái)建設(shè)中的應(yīng)用[J].云南電業(yè)，2009，（02）

[6]褚光輝，李曉昕.基于SSL的VPN實(shí)現(xiàn)及其安全性分析[J].天中學(xué)刊，2009，（02）