王天石

摘要：隨著網(wǎng)絡技術(shù)和移動互聯(lián)網(wǎng)的高速發(fā)展，大型企業(yè)移動接入需求日益增長，如何保證移動接入安全已成為大型企業(yè)信息化建設中的關鍵問題。在介紹移動接入VPN的技術(shù)及應用的基礎上，比較了SSL VPN與IPSec VPN技術(shù)的優(yōu)勢與不足，探討了SSL VPN的應用模式。通過分析大型企業(yè)的常見移動接入業(yè)務需求，闡述了在大型企業(yè)網(wǎng)絡中部署SSL VPN的設計方案，該方案能夠支持多種移動終端的多因素認證和訪問控制，確保大型企業(yè)移動辦公的安全性、有效性和保密性。對大型企業(yè)實現(xiàn)移動接入具有一定參考價值。

關鍵詞：移動接入；虛擬專用網(wǎng)

引言

在經(jīng)濟全球化日趨深化的今天，企業(yè)之間的競爭越來越激烈，工作節(jié)奏也越來越快。隨著網(wǎng)絡技術(shù)和移動互聯(lián)網(wǎng)的高速發(fā)展，大型企業(yè)移動辦公接入需求日益增長。虛擬專用網(wǎng)絡（VPN）具備低成本、良好的網(wǎng)絡支持等特點，已廣泛應用于擁有分支機構(gòu)的大型企業(yè)。在網(wǎng)絡安全威脅日益嚴峻的今天，如何保障企業(yè)員工安全、穩(wěn)定地進行移動辦公已成為大型企業(yè)信息化建設中的關鍵問題。本文通過分析大型企業(yè)的移動接入需求出發(fā)，分析如何解決其面臨的安全問題，提出適合大型企業(yè)的移動接入系統(tǒng)解決方案，為企業(yè)員工移動辦公提供堅實的網(wǎng)絡安全保障。

1 VPN概述

1.1 VPN定義

VPN被定義為通過一個公用網(wǎng)絡（通常是Internet）建立一個臨時、安全的連接，是一條穿過公用網(wǎng)絡的安全、穩(wěn)定的隧道。VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商與公司內(nèi)部網(wǎng)建立可信、安全的連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)絡的擴展[1-2]。

1.2 常用的VPN技術(shù)

利用封裝和隧道機制，VPN提供給企業(yè)在互聯(lián)網(wǎng)鏈路上搭建端到端的、安全的私有網(wǎng)絡連接的方案。企業(yè)常用的兩種VPN技術(shù)分別是IPSec VPN和SSL VPN。

1.2.1 IPSec VPN

IPSec VPN是一種基于網(wǎng)絡層的VPN技術(shù)，可以支持所有IP應用，用于“站點—站點”或“點—站點”的VPN連接。

1.2.2 SSL VPN

安全套接層 （SSL，securesocketlayer）協(xié)議是一種在客戶端和服務器端之間建立安全通道的協(xié)議，它具有通信雙方身份認證及保護傳輸數(shù)據(jù)的功能。SSL協(xié)議建立在可靠的傳輸層協(xié)議之上（如TCP協(xié)議），并且獨立于應用層協(xié)議。高層的應用協(xié)議（如HTTP、FTP等）可透明地運行于SSL協(xié)議之上。[3]

1.3 IPSEC VPN與SSL VPN對比

從上表可以看出，兩種VPN技術(shù)在不同領域各有優(yōu)勢，應結(jié)合具體應用場景來決定采用何種技術(shù)更有效。在實施兩個不同遠程站點之間的遠程訪問時，一般采用IPSec VPN技術(shù)；在移動辦公用戶遠程接入企業(yè)內(nèi)部網(wǎng)絡時，通常采用SSL VPN技術(shù)。

2 大型企業(yè)移動接入應用需求分析和技術(shù)手段

本章節(jié)將就對大型企業(yè)移動接入需求進行分析，分析可能出現(xiàn)的安全風險，并提出技術(shù)實現(xiàn)手段。

2.1 公司內(nèi)部管理人員

公司內(nèi)部管理人員包括公司領導和一般管理人員。這部分用戶群體遠程接入到公司內(nèi)部網(wǎng)絡主要是批閱OA文件，審核ERP，查詢核心業(yè)務系統(tǒng)信息等。由于其工作需要和工作的特殊性，對移動性要求最高，往往需要在火車站、機場、甚至在出差的路途中進行移動辦公。上述場所往往只具備3G、4G或者是公共wifi等面向社會公眾服務的互聯(lián)網(wǎng)環(huán)境，網(wǎng)絡環(huán)境復雜，安全風險較高，要求VPN在用戶認證和數(shù)據(jù)加密方面應具備較高的安全性。同時，考慮到智能手機的全面普及，用戶使用的便捷性，VPN應支持智能手機、PAD等移動終端的移動接入。

2.2 公司內(nèi)部普通員工

公司內(nèi)部普通員工遠程接入到公司內(nèi)部網(wǎng)絡主要是處理日常事務，包括起草和修改OA文件、起草、流轉(zhuǎn)ERP，訪問各個專業(yè)的業(yè)務系統(tǒng)等。這類群體使用移動辦公接入的特點是：場景較為固定，一般是在家里，偶爾在外出差，對移動要求不太高，但需要訪問的業(yè)務系統(tǒng)范圍很大，幾乎所有的日常辦公系統(tǒng)都可能需要訪問。這就要求SSL VPN應支持多種PC終端的操作系統(tǒng)，尤其要支持多種主流的應用系統(tǒng)的訪問協(xié)議，以滿足用戶遠程訪問不同的業(yè)務系統(tǒng)的需求。

2.3 公司內(nèi)部信息系統(tǒng)運維人員

公司內(nèi)部信息系統(tǒng)運維人員遠程接入到公司內(nèi)部主要是開展信息系統(tǒng)的相關維護和應急操作，包括節(jié)假日期間對公司內(nèi)部信息系統(tǒng)的日常巡檢，以及對故障信息系統(tǒng)的應急處置。這類群體使用移動辦公接入的特點是：場景較為固定，一般是在家里，對移動要求不太高；需要訪問的內(nèi)部資源范圍極大，包括幾乎所有的網(wǎng)絡設備、安全設備、服務器、數(shù)據(jù)庫以及相關的應用系統(tǒng)，對遠程訪問的安全性要求極高。這就要求SSL VPN應支持幾乎所有的網(wǎng)絡、應用和數(shù)據(jù)庫系統(tǒng)的訪問協(xié)議，同時還應區(qū)分不同的運維人員只能訪問各自負責的信息系統(tǒng)，以滿足這類群體的訪問需求。

VPN系統(tǒng)可采用雙因素認證方式進行認證，通過合理權(quán)限劃分，限制不同的運維人員的訪問權(quán)限，結(jié)合堡壘機進行運維管理精細化的授權(quán)和審計，可以實現(xiàn)此類群體安全的接入公司內(nèi)部網(wǎng)絡。

2.4 外部IT運維服務公司的技術(shù)人員

大型企業(yè)信息化建設較早，IT信息系統(tǒng)往往多而雜，時常會使用外部IT運維服務公司的遠程技術(shù)服務，例如應用系統(tǒng)的應急恢復，數(shù)據(jù)庫系統(tǒng)的遠程維護等等。由于此類外部公司眾多，且地點不固定，考慮到成本等原因，上述需求很難采用建立廣域網(wǎng)專線的方式予以實現(xiàn)。

SSL VPN系統(tǒng)可采用雙因素認證方式進行認證，通過合理權(quán)限劃分，嚴格限制其訪問的資源，并結(jié)合堡壘機進行運維管理精細化的授權(quán)和審計，可以實現(xiàn)此類外部人員的較為安全的接入公司內(nèi)部網(wǎng)絡。

3 SSL VPN設計原則

在開展SSL VPN系統(tǒng)的設計時，應遵循以下設計原則：

3.1 安全性：SSL VPN系統(tǒng)在提供給移動辦公用戶以便捷性的同時，也大大增加了企業(yè)的網(wǎng)絡安全防護難度，對企業(yè)的網(wǎng)絡安全保障工作提出了新的挑戰(zhàn)。所以，安全性在SSL VPN系統(tǒng)的設計中是重中之重。

3.2 穩(wěn)定性：SSL VPN系統(tǒng)的穩(wěn)定運行是實現(xiàn)企業(yè)移動辦公的基本保障。企業(yè)應從產(chǎn)品選型、系統(tǒng)設計和方案部署等多個層面統(tǒng)籌考慮，采取多種技術(shù)手段，提升SSL VPN系統(tǒng)的整體穩(wěn)定性。

3.3 便捷性：SSL VPN系統(tǒng)的用戶是時常在外辦公的領導和員工，在保障網(wǎng)絡安全的前提下，應采用先進的技術(shù)手段，盡可能優(yōu)化用戶使用界面，便于用戶的操作和使用，提升用戶的辦公效率和體驗；

3.4 先進性：采用業(yè)界先進、成熟的產(chǎn)品和技術(shù)，支持主流的PC操作系統(tǒng)，支持蘋果、安卓等主流移動終端操作系統(tǒng)和設備，確保系統(tǒng)具有一定的超前性。

3.5 靈活性與可擴展性：系統(tǒng)配置靈活、管理方便，具備較好的可擴展性。

3.6 可管理性：包括SSL VPN系統(tǒng)的配置管理、設備管理和安全管理。有多級組織的大型企業(yè)，還應考慮分級管理功能。

4 SSL VPN常用訪問方式

根據(jù)用戶的訪問權(quán)限，SSL VPN系統(tǒng)主要采用2種方式幫助遠程客戶端實現(xiàn)對企業(yè)內(nèi)部應用服務器的訪問。

4.1 代理服務器模式

SSL VPN運行于代理服務器模式。此時，SSL VPN處于移動辦公用戶和Web服務器之間。對于移動辦公用戶瀏覽器來說，它是一個實現(xiàn)HTTPS協(xié)議的Web服務器；而對于Web服務系統(tǒng)來說，它是一個使用HTTP協(xié)議的客戶端瀏覽器。移動辦公客戶端瀏覽器可以直接使用HTTPS協(xié)議向SSL代理服務器發(fā)出請求并接受服務。目前，大部分瀏覽器都已經(jīng)集成了SSL （HTTPS） 協(xié)議處理功能。因此，移動客戶端在通過SSL VPN訪問Web應用時，可以直接使用瀏覽器完成數(shù)據(jù)加解密，無需其他的配置。這也是人們常說的SSL VPN相對于IPSec VPN的優(yōu)勢所在。該模式適用于移動辦公需求簡單，IT運維能力較弱的中小企業(yè)。[4]

4.2 網(wǎng)絡層連接方式

移動辦公用戶自助手動安裝系統(tǒng)插件，或者直接登錄Web瀏覽器，認證、授權(quán)成功后，SSL VPN系統(tǒng)會自動加載一個小插件，SSL VPN系統(tǒng)將為移動辦公用戶創(chuàng)建一條IP Tunnel，分配一個內(nèi)部網(wǎng)絡的IP地址，從而實現(xiàn)對內(nèi)部網(wǎng)絡資源的訪問。該方式從所支持的協(xié)議類型方面類似IPSec VPN，可以支持幾乎全部的IP應用，包括相對復雜的SAP、Oracle，甚至包括視頻會議等。大型企業(yè)信息化程度高，應用較為龐雜，領導和員工往往需要進行較復雜應用訪問，IT運維能力較強，適用于本模式。

5 大型企業(yè)SSL VPN移動接入設計方案

根據(jù)大型企業(yè)網(wǎng)絡特點，結(jié)合業(yè)務需求和安全防護要求，基于本次提出的移動辦公VPN設計原則，以及應用需求分析和技術(shù)手段，通過對企業(yè)網(wǎng)功能區(qū)的調(diào)整和優(yōu)化，有針對性的構(gòu)建了一套縱深防御體系，具體如圖1所示。

移動終端區(qū)表示了支持移動辦公接入的終端類型，主要由手機和pad等移動終端構(gòu)成，筆記本電腦和臺式機電腦也有可能會用到。運營商網(wǎng)絡表示了用于提供互聯(lián)網(wǎng)接入的電信運營商的通信網(wǎng)絡，包括3G、4G無線通信網(wǎng)、無線wifi網(wǎng)絡以及各種互聯(lián)網(wǎng)公共鏈路。

安全管控區(qū)位于大型企業(yè)互聯(lián)網(wǎng)出口的前沿，用于部署實現(xiàn)邏輯隔離與安全連接的產(chǎn)品和設備，為SSL VPN移動接入系統(tǒng)提供快速的網(wǎng)絡接入和安全防護功能。其中，鏈路負載均衡用于解決不同運營商互訪延遲較高的問題，入侵防御設備用于監(jiān)測和阻斷來自互聯(lián)網(wǎng)的攻擊和入侵，防火墻用于與互聯(lián)網(wǎng)進行訪問控制，VPN網(wǎng)關用于與移動辦公終端設備建立安全的加密隧道，從而實現(xiàn)安全訪問。認證服務區(qū)部署實現(xiàn)用戶統(tǒng)一身份認證平臺和移動設備管理系統(tǒng)，其中用戶統(tǒng)一身份認證平臺用于構(gòu)建企業(yè)統(tǒng)一的用戶身份認證體系，并對移動辦公用戶進行認證、授權(quán)和審計。移動設備管理系統(tǒng)用于對企業(yè)的移動辦公設備進行集中管理和控制。移動辦公系統(tǒng)區(qū)，用于部署大型企業(yè)移動辦公系統(tǒng)，通過該系統(tǒng)實現(xiàn)與現(xiàn)有的內(nèi)部應用系統(tǒng)實現(xiàn)集成，實現(xiàn)移動辦公用戶在手機、pad等設備上進行移動辦公的需求。

對于公司內(nèi)部信息系統(tǒng)運維人員和外部IT運維服務公司的技術(shù)人員的遠程接入訪問，可以通過在SSL VPN系統(tǒng)上配置對應的用戶組和權(quán)限，將其指向企業(yè)內(nèi)部的運維管理審計系統(tǒng)（堡壘機），實現(xiàn)對信息系統(tǒng)運維的雙因素認證、授權(quán)和審計。

通過部署上述技術(shù)措施，滿足了大型企業(yè)的移動辦公業(yè)務需要，提升了移動辦公的安全性，實現(xiàn)了良好的應用效果。一是，實現(xiàn)了用戶的雙因素單點登錄。移動辦公用戶只需在移動辦公設備上登錄VPN，輸入有關用戶認證信息和令牌信息，即可通過互聯(lián)網(wǎng)訪問企業(yè)內(nèi)部業(yè)務應用，系統(tǒng)在后臺自動完成VPN用戶認證、授權(quán)、設備認證、隧道加密等。二是，擁有良好的用戶體驗。出差期間，移動辦公用戶可以使用公共的臺式機或筆記本電腦，通過SSL VPN遠程登錄到企業(yè)內(nèi)部網(wǎng)，訪問業(yè)務系統(tǒng)的方式與其在企業(yè)內(nèi)部網(wǎng)絡中的訪問方式相同，用戶使用習慣不發(fā)生變化。使用手機或pad的用戶在進行移動辦公時，通過專用的移動辦公APP訪問有關業(yè)務系統(tǒng)，可以滿足用戶的基本的移動辦公需要。

6 設備選型

現(xiàn)在市場上的SSL VPN產(chǎn)品眾多，在采購設備時應結(jié)合具體的應用場景予以考慮。一是，設備性能方面，包括設備最大吞吐量、用戶數(shù)、并發(fā)用戶數(shù)等。根據(jù)實際項目經(jīng)驗，宜選擇硬件性能高于當前需求的設備，以便為未來系統(tǒng)擴展留有余地。二是，網(wǎng)絡安全方面，包括系統(tǒng)高可用、用戶認證方式、設備管理認證方式、SSL加密算法、用戶的訪問控制等。建議按照公安部網(wǎng)絡安全等級保護的有關要求逐一對照，保證選擇的產(chǎn)品功能合規(guī)。三是，設備功能方面，包括對主流智能移動終端（如手機、pad）以及多種移動終端操作系統(tǒng)（iOS、安卓等）的支持、對主流桌面終端操作系統(tǒng)的支持（如win7、win8、win10、MAC、linux等）、設備運維管理。四是，分級管理，比如具有多級組織的大型企業(yè)，可以建議統(tǒng)一的移動接入平臺，通過分級管理的方式，實現(xiàn)統(tǒng)一平臺，總部和分支機構(gòu)各自管理用戶分組和權(quán)限。

7 總結(jié)

大型企業(yè)移動接入系統(tǒng)應具備系統(tǒng)安全可靠、用戶使用便捷、較低的采購成本和運營成本、業(yè)務細顆?？刂坪图?分級運維管理等特點。本文對大型企業(yè)移動接入的應用需求進行了深入分析，列舉了對應的技術(shù)手段，并根據(jù)設計原則，提出了有針對性的設計方案。該方案能夠較好地滿足大型企業(yè)的上述要求，從而提升企業(yè)的移動辦公效率，簡化IT運維的復雜程度，實現(xiàn)了發(fā)揮信息化優(yōu)勢，支撐企業(yè)高效發(fā)展的目標，是大型企業(yè)移動辦公接入的理想解決方案。本文僅是作者在工作中的經(jīng)驗總結(jié)，希望文章能夠?qū)Υ蠹业墓ぷ饔兴鶐椭?/p>

參考文獻

[1]孔慶彥，李軍，王革非，王義和，李莉.VPN電子政務網(wǎng)構(gòu)建的設計[J].哈爾濱商業(yè)大學學報（自然科學版），2010（06）：723-725+734

[2]戴宗坤，唐三平.VPN與網(wǎng)絡安全[M].電子工業(yè)出版社，2002

[3]何亞輝.基于SSL協(xié)議的VPN技術(shù)研究及在校園網(wǎng)中的應用[J].重慶理工大學學報（自然科學版），2011（02）：86-90

[4]龍錦遠，陸松年，楊樹堂.SSL VPN技術(shù)研究及系統(tǒng)構(gòu)建[J].《微計算機信息》，2009（36）：103-105.