安全遠程訪問系統設計

劉冬喜

（南車成都機車車輛有限公司信息中心，成都610051）

在異地的公司銷售人員、管理人員如何能實現安全遠程訪問總部網絡和應用系統，查閱e-mail或訪問公司內部重要數據，這是企業網管必須解決的問題。南車成都機車車輛有限公司采用Sinfor SSLVPN M5100-S設備建立的安全遠程訪問系統，經過兩年多的運行，效果良好，使身處總部網絡以外的人員，能夠在授權的情況下，方便地進入公司總部網絡系統，運行有關的應用軟件。

1 系統設計

1.1 設計目標

安全遠程訪問系統的設計目標：

（1）安裝簡單，界面友好，使用方便，具有高可用性，適用多種終端設備的接入訪問。

（2）高安全性，高可靠性。SSLVPN（安全套接層虛擬專網）系統的部署使公司IT應用安全可控，眾多員工可依賴該系統的可靠性作為移動辦公和遠程接入的手段。

（3）系統需對應用支持廣泛。機車車輛公司內部IT應用復雜，包括OA、ERP、郵件和特定的應用系統等，部署SSLVPN的目的是支持公司內部眾多IT應用和可預見的其它IT應用，提高員工的工作效率。

（4）對通過認證的用戶進行訪問權限控制，并對用戶訪問做詳細記錄。以備日后審計。

（5）對接入SSLVPN的用戶進行強認證。為防止惡意用戶訪問甚至竊取企業內部存儲眾多的業務信息和商業信息，登錄的用戶除用戶名和口令外，還應與CA數字證書服務器配合，完成對接入用戶的認證。

1.2 設計原理

通過IPSecVPN技術實現大量數據的遠程訪問，曾經為人們提供了一種低運行成本、高生產效率的遠程訪問方式。但是，從遠程通過IPSec通道連接到企業內部網絡可能會增加局域網受到攻擊或被病毒感染的可能。SSLVPN（安全套接層虛擬專網）技術，可以使員工出差時不必攜帶筆記本電腦，僅僅通過一臺接入Internet的計算機就能訪問企業資源，在為企業很好地解決安全性問題的同時提高企業的工作效率。

1.3 SSLVPN原理

SSL（安全套接層）協議是一種在Internet上保證發送信息安全的通用協議。SSL處于應用層，用公鑰加密連接傳輸的數據進行工作。SSL協議指定了在應用程序協議（如HTTP、Telnet和FTP等）和TCP/IP協議之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選的客戶機認證。SSL協議包括握手協議、記錄協議以及警告協議3部分。握手協議負責確定用于客戶機和服務器之間的會話加密參數。記錄協議用于交換應用數據。警告協議用于在發生錯誤時終止兩個主機之間的會話。

SSLVPN是指使用者利用瀏覽器內建的SecureSocketLayer封包處理功能，用瀏覽器連接公司內部SSLVPN服務器，透過網絡封包轉向的方式，使得使用者可以在遠程計算機執行應用程序，讀取公司內部服務器數據。它采用標準的SSL對傳輸中的數據包進行加密，在應用層保護了數據的安全性。高質量的SSLVPN解決方案可保證企業進行全局安全訪問。在不斷擴展的互聯網Web站點之間、遠程辦公室、傳統交易大廳和客戶端間，SSLVPN用戶可以輕松實現安全易用、無需客戶端安裝且配置簡單的遠程訪問，從而降低用戶的總成本并增加遠程用戶的工作效率。

1.4 系統功能

（1）安全遠程訪問系統必須具備支持B/S構架和C/S構架的功能。使出差在外的人員能及時訪問內網用戶資源。

（2）系統具有可靠的安全性能

a. 傳輸的安全性：系統采用標準的SSL協議，無需安裝客戶端，只要接入到內網的計算機斷開與Internet的連接，就立即阻斷了黑客或者病毒的入侵；

b. 認證的安全性：除了最基本的用戶名和密碼外，只要企業建立了相應的安全認證服務器，如LDAP、Radius等，就能實現無縫結合，實現對接入者的身份認證，同時也可以采用USB KEY和動態令牌認證等方法，保證接入用戶的安全和可靠；

c. 單點的安全性：在用戶接入的同時，系統能夠對接入機器的安全性進行全面檢查，避免操作系統過低、未打補丁、未裝殺毒軟件、病毒庫未及時升級、含有某些危險的進程以及注冊表被木馬或者黑客改掉的機器接入到內部網絡中的安全隱患；

d. 權限的安全性：綁定每個人與能訪問到的資源，防止越權訪問的出現，避免泄漏公司重要信息。

（3）系統管理方便，日志豐富。具有完善的后臺管理功能，能方便地實現用戶管理、流量限制、安全設置、數據統計及報表生成等功能。

（4）系統操作簡單，安裝快捷，易維護。客戶端不需安裝配置，直接利用瀏覽器內嵌的SSL協議即可。

2 系統構成

經過測試和對比，系統采用Sinfor SSLVPN M5100-S設備，該設備可以單臂模式部署，拓撲結構如圖1。該部署方式簡單迅速，只需對所連接的交換機配置端口鏡像，在防火墻上針對Sinfor SSLVPN M5100-S設備進行端口映射，對企業原有網絡環境影響小，且達到設計要求。處在公網的用戶可安全方便地通過SSLVPN網絡訪問公司內部網，實現移動辦公和遠程接入。

圖1 SSLVPN系統實施拓撲結構圖

3 系統實現

圖2 角色關聯

（1）設置遠程用戶，對需通過SSLVPN進入公司內部網絡的用戶，預設用戶名、用戶密碼、認證方式、用戶過期時間和用戶日志。

（2）在系統中設置用戶組，將具有相同訪問權限的用戶歸結在同一組中，方便權限設置。

（3）建立可用資源，指定允許遠程用戶訪問的資源，包括資源類型、主機地址和端口范圍。

（4）設置角色信息，把用戶和用戶組需使用的資源關聯起來。如：用戶ldx，通過遠程登錄需要使用公司的OA系統，ldx進入公司局域網后按圖2的方法就可正常使用公司的OA系統。

4 結束語

該系統投入使用后，有效地解決了公司在外人員遠程訪問公司內部資源的安全性問題，解決了公司員工在家辦公的問題，做到資源共享，效果良好，達到設計要求。