陳傳偉

【摘要】 隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)已滲透進(jìn)人類日常生活的方方面面，手機、pad、電腦均可以隨時隨地接入到互聯(lián)網(wǎng)，對于企業(yè)來說，基于互聯(lián)網(wǎng)的移動辦公用戶數(shù)量也在不斷增長，如何保障移動辦公用戶方便、快捷、高效、安全接入到企業(yè)內(nèi)網(wǎng)，已經(jīng)成為當(dāng)前企業(yè)需要研究的重要課題。本文介紹通過SSL VPN技術(shù)構(gòu)建安全高效的企業(yè)移動訪問系統(tǒng)。

【關(guān)鍵字】 SSL VPN 安全 高效

一、業(yè)務(wù)需求

對于企業(yè)來說，員工無論出差、在外開會還是在家里辦公，都有接入企業(yè)內(nèi)網(wǎng)的需求。傳統(tǒng)的IPSEC VPN網(wǎng)絡(luò)存在組網(wǎng)不靈活、需要安裝客戶端軟件、對用戶訪問控制不嚴(yán)格等問題。

SSL VPN 作為新型的輕量級遠(yuǎn)程接入方案，可以為企業(yè)提供一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)資源的解決方案。

二、實現(xiàn)技術(shù)

SSL VPN 技術(shù)，指的是遠(yuǎn)程接入用戶利用標(biāo)準(zhǔn)Web瀏覽器內(nèi)嵌的SSL（Security Socket Layer）封包處理功能，連接企業(yè)內(nèi)部的SSL VPN網(wǎng)關(guān)，然后SSL VPN網(wǎng)關(guān)可以將報文轉(zhuǎn)向給特定的內(nèi)部服務(wù)器，從而使得遠(yuǎn)程接入用戶在通過驗證后，可訪問企業(yè)內(nèi)網(wǎng)特定的服務(wù)器資源。

2.1 SSL VPN系統(tǒng)支持所有網(wǎng)絡(luò)應(yīng)用、全面適應(yīng)各種平臺

借助于瀏覽器技術(shù)，VPN網(wǎng)關(guān)可以支持所有網(wǎng)絡(luò)環(huán)境，只要瀏覽器能夠上網(wǎng)就可以使用SSL VPN。所支持的瀏覽器類型包含Html/Dhtml， Jsp， Asp，Java applet， Active，Cookies等各種Web技術(shù)，支持包括IE、FireFox ，Safari，Google chrome，Opera等主流瀏覽器；同時支持微軟Windows系列等操作系統(tǒng)。為業(yè)務(wù)訪問提供最廣泛的兼容性。

2.2 SSL VPN系統(tǒng)提供安全的身份認(rèn)證

VPN系統(tǒng)支持LocalDB、LDAP/AD、Radius、第三方CA、自建CA、Dkey、短信認(rèn)證（短信貓和短信網(wǎng)關(guān)）、硬件特征碼、動態(tài)令牌多種安全認(rèn)證方式，最大限度地保證了接入用戶的合法性。

移動用戶身份認(rèn)證采用天威誠信CA和 VPN系統(tǒng)相結(jié)合的認(rèn)證方式，用戶使用頒發(fā)證書的USB KEY登錄VPN系統(tǒng)，通過KEY+PING碼的方式實現(xiàn)雙因素認(rèn)證。

2.3客戶端安全檢查從端點開始保障網(wǎng)絡(luò)安全

VPN系統(tǒng)提供遠(yuǎn)程客戶端安全掃描功能，可以要求遠(yuǎn)程計算機必須達(dá)到指定的安全級別，如遠(yuǎn)程計算機必須是XP SP2系統(tǒng)，必須安裝指定的個人版防火墻軟件。

2.4訪問權(quán)限控制功能提供最細(xì)致的權(quán)限管理

VPN系統(tǒng)通過獨特的角色管理功能，提供了細(xì)致到每個URL和不同應(yīng)用的權(quán)限劃分。通過給不同用戶設(shè)置不同角色來分配訪問授權(quán)，一個用戶可以賦予多個角色以適合各種復(fù)雜的組織結(jié)構(gòu)。

基于角色的訪問限制為企業(yè)網(wǎng)絡(luò)提供了較強的安全性。通過行為跟蹤引擎，管理員還可以查看遠(yuǎn)程接入用戶的所有訪問記錄。

三、技術(shù)應(yīng)用

3.1南北多點冗余架構(gòu)，滿足高可用性需求

Web Agent動態(tài)選路，提高南北互訪接入效率；

多臺設(shè)備之間實現(xiàn)冗余及負(fù)載均衡，避免單點故障；

采用HTP協(xié)議技術(shù)能夠顯著提升存在丟包和延時網(wǎng)絡(luò)的傳輸速度。比不采用該技術(shù)提速30%-50%。

？ 動態(tài)壓縮技術(shù)，提高壓縮效率，降低系統(tǒng)負(fù)載，從而提高整體的數(shù)據(jù)處理速度，提高業(yè)務(wù)的訪問速度。

3.2統(tǒng)一域名接入訪問，滿足易用性需求

移動用戶不論身處何地，只要能夠訪問互聯(lián)網(wǎng)，在瀏覽器中輸入URL網(wǎng)址，即可打開VPN登錄頁面，通過身份認(rèn)證后即可訪問企業(yè)內(nèi)網(wǎng)資源。

3.3訪問權(quán)限控制功能提供最細(xì)致的權(quán)限管理

SSL VPN資源控制靈活，可以對用戶的權(quán)限、資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，與第三方認(rèn)證系統(tǒng)（如：radius、AD等）結(jié)合更加便捷。

SSLVPN的安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的?？蛻魧Y源的每一次操作都需要經(jīng)過安全的身份驗證和加密。

3.4異地設(shè)備統(tǒng)一管理

SSL VPN分布式集群通過主節(jié)點和分節(jié)點的分級設(shè)置實現(xiàn)異地統(tǒng)一配置管理。

在整網(wǎng)SSL VPN集群節(jié)點中，只允許擁有一個主節(jié)點設(shè)備，只有主節(jié)點享有配置的權(quán)限，其余加入到該分布式集群網(wǎng)中的SSL VPN設(shè)備通過與主節(jié)點進(jìn)行配置數(shù)據(jù)的同步保證分布式配置數(shù)據(jù)的一致性。配置數(shù)據(jù)在進(jìn)行同步時都是采用加密的形式，保證配置信息的安全性。

四、綜述

本文首先討論了SSL VPN技術(shù)的相關(guān)原理，結(jié)合企業(yè)自身的業(yè)務(wù)需求，實現(xiàn)了集團(tuán)層面的移動訪問系統(tǒng)建設(shè)工作。移動訪問VPN系統(tǒng)上線后，該系統(tǒng)已擁有用戶近5000人，分布在全國各地區(qū)各單位。系統(tǒng)運行穩(wěn)定，是各單位用戶遠(yuǎn)程接入的首要選擇。