顧對芳　郭建　刑玉香

摘要：文章介紹了大屯煤電集團遠(yuǎn)程安全接入需求，對遠(yuǎn)程安全接入的必要性進行了研究，提出了基于SSL VPN技術(shù)的遠(yuǎn)程安全接入方案，介紹了遠(yuǎn)程安全接入的實施過程。遠(yuǎn)程安全接入的引用實現(xiàn)了大屯煤電集團駐外分公司、各辦事處員工及出差人員對集團應(yīng)用系統(tǒng)和信息資源的安全訪問，降低了管理維護成本，提高了應(yīng)用系統(tǒng)和信息資源的處理能力。

關(guān)鍵詞：遠(yuǎn)程安全接入；SSL VPN；應(yīng)用系統(tǒng)；信息資源；B/S；C/S 文獻標(biāo)識碼：A

中圖分類號：TD636 文章編號：1009-2374（2015）29-0054-02 DOI：10.13535/j.cnki.11-4406/n.2015.29.027

近年來、隨著信息技術(shù)的飛速發(fā)展和公司信息化建設(shè)的不斷深入，在公司辦公網(wǎng)絡(luò)中已經(jīng)建成了許多關(guān)鍵應(yīng)用系統(tǒng)，這些關(guān)鍵的應(yīng)用系統(tǒng)如OA辦公、ERP、調(diào)度報表、主數(shù)據(jù)、郵件、病毒防護、財務(wù)管理、人力資源管理等系統(tǒng)。公司員工可以輕松通過公司內(nèi)部網(wǎng)訪問這些應(yīng)用系統(tǒng)資源，不僅提高了公司的管理效率，而且促進了各項業(yè)務(wù)的發(fā)展，保證了公司的安全生產(chǎn)。

隨著公司駐外分公司及辦事處的設(shè)立以及遠(yuǎn)程辦公、移動辦公人員的增加，使用遠(yuǎn)程辦公和移動辦公的人也越來越多，更多駐外辦公需要接入到公司的內(nèi)部網(wǎng)絡(luò)中，訪問這些應(yīng)用系統(tǒng)，公司網(wǎng)絡(luò)應(yīng)用中實現(xiàn)遠(yuǎn)程接入的需求變得日益迫切。

1 現(xiàn)狀及存在問題

目前大屯煤電集團所有的應(yīng)用系統(tǒng)和信息資源均布置在集團總部，駐外分公司及辦事處通過網(wǎng)絡(luò)運營商的10M專線接入互聯(lián)網(wǎng)。隨著集團信息化的進一步深入，積累的應(yīng)用系統(tǒng)和信息資源越來越多，包括文件共享、調(diào)度報表、MRP、ERP、主數(shù)據(jù)、OA、郵件、WEB應(yīng)用、病毒防護系統(tǒng)等，這些應(yīng)用系統(tǒng)基于B/S和C/S架構(gòu)。

集團所屬駐外分公司、各辦事處員工及出差人員僅能通過公網(wǎng)訪問有限的資源，而對于只面向內(nèi)部的大多數(shù)應(yīng)用系統(tǒng)和信息資源，則無法獲取。對外開放的應(yīng)用系統(tǒng)如OA辦公自動化系統(tǒng)、郵件系統(tǒng)、MRP系統(tǒng)、ERP系統(tǒng)、法律事務(wù)系統(tǒng)等所使用的公網(wǎng)地址和端口，很容易被黑客或不懷好意的人入侵，易感染病毒，用戶及其訪問的內(nèi)容沒有審計，缺少對訪問內(nèi)部資源用戶身份認(rèn)證和授權(quán)機制，整體安全性較低。這些關(guān)鍵的應(yīng)用系統(tǒng)有些需要使用到某些特殊應(yīng)用端口，而往往這些端口在許多地方被封掉，從而造成移動辦公的人員不能正常訪問一部分公司的關(guān)鍵應(yīng)用系統(tǒng)。

2 SSL VPN遠(yuǎn)程安全接入的必要性

考慮到安全、高可用、實用、可管理、可擴展等因素，為了滿足該集團駐外分公司、各辦事處員工及出差人員訪問內(nèi)部資源其日常辦公的需求，急需建立一個遠(yuǎn)程安全接入的平臺。

VPN是一種在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺，它可以提供遠(yuǎn)程的安全接入，而終端用戶無需安裝或設(shè)置客戶端軟件。目前，對SSL VPN公認(rèn)的三大好處是：第一個好處來自于它的簡單性，它不需要配置，可以立即安裝、立即生效；第二個好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；第三個好處是兼容性好，可以適用于任何終端及操作系統(tǒng)。所有的遠(yuǎn)程用戶只需要打開瀏覽器即可成功接入集團總部內(nèi)部網(wǎng)絡(luò)。

采用SSL VPN接入方式不需要再安裝任何客戶端軟件，操作使用方便，另外，SSL VPN對接入用戶的訪問權(quán)限可以進行控制，可以做到嚴(yán)格授權(quán)。

3 方案設(shè)計

本次安全接入的目標(biāo)是應(yīng)用遠(yuǎn)程接入技術(shù)實現(xiàn)駐外分公司及各辦事處對公司關(guān)鍵應(yīng)用系統(tǒng)的安全訪問，使駐外人員可隨時接入到公司內(nèi)部網(wǎng)絡(luò)中，并建成一個統(tǒng)一、便捷、高效的內(nèi)部網(wǎng)絡(luò)平臺。

SSL VPN與IPSec VPN是目前流行的兩種因特網(wǎng)遠(yuǎn)程安全接入技術(shù)，它們之間具有類似的功能特性，但也存在很大不同。

IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能，是實現(xiàn)多專用網(wǎng)安全連接的最佳選項，而SSL VPN的“零客戶端”架構(gòu)特別適合于遠(yuǎn)程用戶連接，用戶可通過任何Web瀏覽器訪問企業(yè)網(wǎng)Web應(yīng)用。IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點接入，但能實現(xiàn)Web或非Web類企業(yè)應(yīng)用訪問。

因此，集團公司選定了SSL VPN方式，同時，為了避免網(wǎng)絡(luò)沖突，集團對所屬企業(yè)、駐外分公司及各辦事處的網(wǎng)絡(luò)進行統(tǒng)一部署方案，系統(tǒng)的結(jié)構(gòu)如圖1所示：

總體設(shè)計思路如下：（1）在集團總部內(nèi)網(wǎng)部署高性能的SSL VPN網(wǎng)關(guān)；（2）在駐外機構(gòu)及各辦事處，辦公人員通過遠(yuǎn)程接入到公司內(nèi)部網(wǎng)，訪問關(guān)鍵應(yīng)用系統(tǒng)資源；（3）在集團總部SSL VPN網(wǎng)關(guān)上配置用戶角色及相應(yīng)的訪問權(quán)限；（4）網(wǎng)關(guān)上設(shè)置可以自動生成系統(tǒng)日志和用戶操作日志等。

4 實施方案

根據(jù)總體部署，我們在公司現(xiàn)有的防火墻后面部署了一臺SSL VPN-Plus設(shè)備，由防火墻來轉(zhuǎn)發(fā)所有對內(nèi)部應(yīng)用系統(tǒng)的SSL連接請求到SSL VPN-Plus上，由SSL VPN-Plus來處理用戶的認(rèn)證、授權(quán)以及信息的加/解密工作，而正常的網(wǎng)絡(luò)訪問流量通過防火墻的相關(guān)策略直接處理，由于防火墻的安全隔離作用，可以有效隔離大部分來自網(wǎng)絡(luò)的攻擊掃描行為，一方面保障了內(nèi)部網(wǎng)絡(luò)及服務(wù)器的安全，另一方面也可以有效保障VPN-Plus本身的安全性。SSL VPN-Plus工作在單臂模式，遠(yuǎn)程用戶通過HTTPS協(xié)議安全連接到SSL VPN-Plus進行加/解密信息交換以及用戶認(rèn)證，并獲得應(yīng)用資源訪問授權(quán)。當(dāng)應(yīng)用服務(wù)器增加時，不需要更改任何防火墻或者路由器策略，也不需要更改任何網(wǎng)絡(luò)拓?fù)?，只需要在SSL VPN-Plus上增加相應(yīng)的策略，即可實現(xiàn)遠(yuǎn)程用戶的安全訪問，大大提高了易用性。

對于一般的用戶而言，由于防火墻的NAT以及訪問控制策略的限制，用戶能夠接觸到的只是SSL VPN-Plus，而不可能接觸到實際的內(nèi)部網(wǎng)絡(luò)應(yīng)用服務(wù)器，所有對內(nèi)網(wǎng)應(yīng)用的請求會被防火墻直接強制轉(zhuǎn)移到SSL VPN-Plus上，SSL VPN-Plus此時會和用戶端發(fā)起SSL-VPN協(xié)商并進行進一步的通訊處理，由于防火墻的隔離以及SSL-VPN的限制，用戶不會直接訪問到應(yīng)用服務(wù)器，大大提高了系統(tǒng)的安全性。

5 實施效果

采用SSL VPN-Plus遠(yuǎn)程安全接入方案后，實現(xiàn)了大屯煤電集團駐外分公司、各辦事處員工及出差人員對集團OA辦公自動化系統(tǒng)、財務(wù)系統(tǒng)、ERP系統(tǒng)、主數(shù)據(jù)等關(guān)鍵應(yīng)用系統(tǒng)的安全訪問，員工無論是在駐外分公司、各辦事處，還是任何可以訪問INTERNET的地方都可以進行安全的應(yīng)用操作和業(yè)務(wù)處理，大大降低了管理維護成本，提高了大屯煤電集團內(nèi)部應(yīng)用系統(tǒng)和信息資源的處理能力，提高了工作效率。

項目的實施不僅滿足了大屯煤電集團遠(yuǎn)程安全接入的需求，填補了駐外分支、辦事處及出差人員無法安全訪問集團內(nèi)部全部應(yīng)用系統(tǒng)及信息資源的空缺，同時系統(tǒng)還支持Telnet、SSH、VNC和windows RDP等應(yīng)用，降低了管理和維護成本，減少了很多對內(nèi)網(wǎng)的攻擊，達到了對集團公司內(nèi)部網(wǎng)的最大防護。

參考文獻

[1] 介斐.企業(yè)遠(yuǎn)程接入方式[J].石油化工建設(shè)，2007，2009，（3）.

[2] 鄭潔.VPN技術(shù)在圖書館網(wǎng)絡(luò)互聯(lián)中的應(yīng)用[J].中小企業(yè)管理與科技，2009，（24）.

[3] 朱祥華.VPN技術(shù)在企業(yè)遠(yuǎn)程辦公中的研究與應(yīng)用[J].信息安全與技術(shù)，2011，（1）.

作者簡介：顧對芳（1981-），女，陜西渭南人，徐州中礦大華洋通信設(shè)備有限公司工程師，研究方向：煤礦自動化產(chǎn)品和軟件的研發(fā)。

（責(zé)任編輯：陳 倩）