SSLVPN網絡技術在企業信息系統中的應用

宋文軒　劉立

【摘要】 文章簡要地概述了SSL VPN技術，針對 SSL VPN網絡技術在企業信息系統中的應用進行了分析與研究，旨在為了利用SSL VPN技術來解決大中型網絡應用中存在的不足，以確保企業信息系統的安全。

【關鍵詞】 SSL VPN 網絡技術 企業 接入方案

一、引言

VPN（Virtual Private Network），虛擬專用網絡指的是在公用網絡上建立專用網絡的技術。近些年來，隨著計算 機網絡技術的快速發展，越來越多的人也需要用到 VPN 來解決遠程訪問內部資源的問題。VPN網絡技術主要是為企業提供易用、低成本、高性能的 安全遠程網絡訪問方式，同時也具有優異的性能，該技術可以支持大量網絡用戶的并發訪問，而且可以適應于各種異構的網絡環境，具有很好的技術兼容性。

二、SSL VPN技術概述

SSL VPN 是解決遠程用戶訪問敏感公司數據最簡單 最安全的解決技術。SSL（安全套接層）協議是一種在互聯網上保證發送信息安全的通用協議，采用B/S結構（瀏覽器/服務器模式）。它處在應用層，SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協議指定了在應用程序協議和TCP/IP 之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選擇的客戶機認證。只要計算機安裝上SSL VPN就可以進行虛擬專用網的應用，那是因為SSL里面內嵌在瀏覽器中，所以不需要安裝客戶端，以方便的通信。

SSL協議可分為兩層：一層是 SSL記錄協議：它建立在可靠的傳輸協議之上，為高層協議提供數據封裝、壓 縮、加密等基本功能的支持。另外一層是SSL握手協議：它建立在SSL記錄協議之上，用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。SSL協議的安全特性包括以下幾個方面：（1）傳輸過程安全。傳輸的過程加密強度是決定了網絡內部數據不被黑客所截獲。數據在傳輸過程加密強度越高，傳輸安全性就越有保障。（2）用戶身份驗證。傳統的用戶名密碼認證比較簡單，不是很安全，SSL協議利用 PKI 體系進行加密，效果比較好。（3）客戶端設備的安全性?？蛻舳擞嬎銠C需要安裝殺毒軟件，防火墻等，來防止SSL VPN 的密碼被木馬盜走，所以SSL VPN 需要對客戶端進行檢測。（4）服務端的日志跟蹤。SSL VPN 服務器應該提供訪問統計和跟蹤功能，網絡管理員可以通過服務端日志來了解系統訪問的具體情況，所以對于服務器來說也是提供了多一種安全保障的方法。

三、SSL VPN網絡技術在企業信息系統中的應用

3.1 遠程接入方案實例

使用SSL VPN設備安裝在企業的 DMZ 區上，IP地址是10.*.*.*，在防火墻上轉換成互聯網的IP地址：203.*.*.*，并開放443號端口。遠程用戶可以使用https：// 203.*.*.* 來訪問企業內部信息系統。針對企業的網絡特點，在實施時可以將企業的一些應用，如郵件系統、OA 系統、文件共享系統等安裝到 SSL VPN上，同時可以通過 Active Directory 進行用戶身份的統一管理。

3.2 接入技術方案

3.2.1 安全接入

SSL VPN設備能夠檢測或評估客戶設備以確保它們遵從公司的安全策略，包括防火墻和防病毒軟件、操作系統和補丁、間諜軟件檢查、設備類型以及網絡配置等，違規設備將被拒絕訪問網絡，或被定向到軟件更新網站。

3.2.2 SSL VPN用戶認證、授權

SSL VPN認證對用戶來說是一個簡單的過程。所有的用戶申請都流經一個專門的服務器：接入點、策略服務點和認證服務點，然后返回用戶。但對于用戶來說，Web瀏覽器是他們訪問資源的唯一接入點。

多種認證方式。對于多個系統可實現單點登錄（Single Sign-On），支持身份聯盟：您可使用一個數字身份來訪問多個部門甚至是整個企業的信息，可以有效降低管理負擔，方便使用。

訪問規則旨在允許用戶訪問資源。所有資產至少都與一個訪問規則相對應，包括認證方法、日期或時間限制以及用戶群成員關系等內容。SSL VPN還在內部系統中與防火墻和訪問控制機制一起實施訪問控制。防火墻在用戶與系統互動時使用，訪問控制與防火墻提供相同的安全性，應用在 IP和端口級別。

3.2.3 對應用的全面支持

支持所有應用，包括基于Web的應用、客戶端/服務器、主機、終接服務器和雙向應用（VoIP、在線協作工具）和文件服務器等。作為軟件解決方案，現有 SSL VPN設備可定制用于支持任何類型的應用。

3.3 SSL VPN 安全接入在應用中的優勢

通過 SSL VPN 實現安全接入，可以“幫助企業提高生產力，改善用戶使用體驗”。安全接入解決方案具有多種優點。

3.3.1 提高信息安全性

（1）防止信息泄漏。由于客戶端與SSL VPN 網關之間實現高強度的加密信息傳輸，因此雖然信息傳輸是通過公網進行的，但是其安全性是可以得到保證的。第三方即使可以得到傳輸數據，但是卻無法得到隱藏到其中的明文信息。因此敏感的信息如業務賬號等被保護起來，杜絕了有效信的泄露。（2）杜絕非法訪問。SSL VPN的訪問要經過認證和授權，充分保證用戶身份的合法性。SSL VPN只允許那些擁有相應權限的用戶進行網絡連接。如果請求連接的用戶沒有合法身份，則 SSL VPN將拒絕其連接請求，從而限制了非法用戶對內網的訪問。（3）保護信息的完整性。SSL VPN使用數字證書進行機密性與完整性參數的協商，它不僅能夠對所傳輸的數據進行機密性的保護，同時也對其提供完整性保護。當在傳輸過程中的數據被篡改之后，SSL VPN是可以檢測到的，如果檢測到數據被篡改，他們就會放棄所接收到的數據。

3.3.2 靈活的用戶管理和訪問控制

提供多種多樣的認證機制和授權訪問機制，存在本地用戶數據庫，可以配置在SSL VPN網關設備上。SSL VPN 組網方案是面向應用的VPN 方案，可以做到基于應用的精細控制，基于用戶和組賦予不同的應用訪問權限，并對相關訪問操作進行審計。這是一般基于網絡的 VPN 所辦不到的。

3.3.3 降低管理和維護成本

SSL VPN方案是無客戶端的方案，由于客戶端采用標準瀏覽器，SSL VPN的網關只需要在企業的數據中心部署，其他的維護操作都是在SP上面進行的，包括用戶的授權，訪問應用的各種配置等操作。它的管理工作屬于集中管理和集中維護模式，可以極大地降低管理和維護成本。

四、結束語

由于現代化網絡技術的迅速擴展，針對遠程安全接入的需求也日益提升。VPN技術為企業用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務，是企業內部網的擴展和延伸。SSL VPN繼承了IPSec VPN的遠程使用與內網使用體驗一致、與應用無關的優點，避免了因有客戶端而導致的使用維護不便、某些網絡條件下無法接通、帶來大量病毒和蠕蟲的入侵、無法與企業現有認證服務器結合、無法審計等問題，從功能上有網絡訪問、網上應用程序、Windows文件共享、移動電子郵件、應用程序訪問、傳統主機、終端服務器等眾多功能。SSL VPN 技術在企業資源管理與配置、信息共享與交互、電子商務等方面都具有很高的應用價值和推廣意義。

參 考 文 獻

[1] 張翠琴. VPN 技術在現代監測網中的應用 [J]. 光盤技術，2008（1）

[2] 王建良. 分布式網絡數據傳輸中VPN技術的研究[J]. 計算機與網絡，2003（13）