大屯煤電集團遠程安全接入的研究與應用

顧對芳　郭建　刑玉香

摘要：文章介紹了大屯煤電集團遠程安全接入需求，對遠程安全接入的必要性進行了研究，提出了基于SSL VPN技術的遠程安全接入方案，介紹了遠程安全接入的實施過程。遠程安全接入的引用實現了大屯煤電集團駐外分公司、各辦事處員工及出差人員對集團應用系統和信息資源的安全訪問，降低了管理維護成本，提高了應用系統和信息資源的處理能力。

關鍵詞：遠程安全接入；SSL VPN；應用系統；信息資源；B/S；C/S 文獻標識碼：A

中圖分類號：TD636 文章編號：1009-2374（2015）29-0054-02 DOI：10.13535/j.cnki.11-4406/n.2015.29.027

近年來、隨著信息技術的飛速發展和公司信息化建設的不斷深入，在公司辦公網絡中已經建成了許多關鍵應用系統，這些關鍵的應用系統如OA辦公、ERP、調度報表、主數據、郵件、病毒防護、財務管理、人力資源管理等系統。公司員工可以輕松通過公司內部網訪問這些應用系統資源，不僅提高了公司的管理效率，而且促進了各項業務的發展，保證了公司的安全生產。

隨著公司駐外分公司及辦事處的設立以及遠程辦公、移動辦公人員的增加，使用遠程辦公和移動辦公的人也越來越多，更多駐外辦公需要接入到公司的內部網絡中，訪問這些應用系統，公司網絡應用中實現遠程接入的需求變得日益迫切。

1 現狀及存在問題

目前大屯煤電集團所有的應用系統和信息資源均布置在集團總部，駐外分公司及辦事處通過網絡運營商的10M專線接入互聯網。隨著集團信息化的進一步深入，積累的應用系統和信息資源越來越多，包括文件共享、調度報表、MRP、ERP、主數據、OA、郵件、WEB應用、病毒防護系統等，這些應用系統基于B/S和C/S架構。

集團所屬駐外分公司、各辦事處員工及出差人員僅能通過公網訪問有限的資源，而對于只面向內部的大多數應用系統和信息資源，則無法獲取。對外開放的應用系統如OA辦公自動化系統、郵件系統、MRP系統、ERP系統、法律事務系統等所使用的公網地址和端口，很容易被黑客或不懷好意的人入侵，易感染病毒，用戶及其訪問的內容沒有審計，缺少對訪問內部資源用戶身份認證和授權機制，整體安全性較低。這些關鍵的應用系統有些需要使用到某些特殊應用端口，而往往這些端口在許多地方被封掉，從而造成移動辦公的人員不能正常訪問一部分公司的關鍵應用系統。

2 SSL VPN遠程安全接入的必要性

考慮到安全、高可用、實用、可管理、可擴展等因素，為了滿足該集團駐外分公司、各辦事處員工及出差人員訪問內部資源其日常辦公的需求，急需建立一個遠程安全接入的平臺。

VPN是一種在公用網絡上建立專用網絡的技術，VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，它可以提供遠程的安全接入，而終端用戶無需安裝或設置客戶端軟件。目前，對SSL VPN公認的三大好處是：第一個好處來自于它的簡單性，它不需要配置，可以立即安裝、立即生效；第二個好處是客戶端不需要安裝，直接利用瀏覽器中內嵌的SSL協議就行；第三個好處是兼容性好，可以適用于任何終端及操作系統。所有的遠程用戶只需要打開瀏覽器即可成功接入集團總部內部網絡。

采用SSL VPN接入方式不需要再安裝任何客戶端軟件，操作使用方便，另外，SSL VPN對接入用戶的訪問權限可以進行控制，可以做到嚴格授權。

3 方案設計

本次安全接入的目標是應用遠程接入技術實現駐外分公司及各辦事處對公司關鍵應用系統的安全訪問，使駐外人員可隨時接入到公司內部網絡中，并建成一個統一、便捷、高效的內部網絡平臺。

SSL VPN與IPSec VPN是目前流行的兩種因特網遠程安全接入技術，它們之間具有類似的功能特性，但也存在很大不同。

IPSec VPN提供完整的網絡層連接功能，是實現多專用網安全連接的最佳選項，而SSL VPN的“零客戶端”架構特別適合于遠程用戶連接，用戶可通過任何Web瀏覽器訪問企業網Web應用。IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點接入，但能實現Web或非Web類企業應用訪問。

因此，集團公司選定了SSL VPN方式，同時，為了避免網絡沖突，集團對所屬企業、駐外分公司及各辦事處的網絡進行統一部署方案，系統的結構如圖1所示：

圖1 遠程安全接入網絡結構圖

總體設計思路如下：（1）在集團總部內網部署高性能的SSL VPN網關；（2）在駐外機構及各辦事處，辦公人員通過遠程接入到公司內部網，訪問關鍵應用系統資源；（3）在集團總部SSL VPN網關上配置用戶角色及相應的訪問權限；（4）網關上設置可以自動生成系統日志和用戶操作日志等。

4 實施方案

根據總體部署，我們在公司現有的防火墻后面部署了一臺SSL VPN-Plus設備，由防火墻來轉發所有對內部應用系統的SSL連接請求到SSL VPN-Plus上，由SSL VPN-Plus來處理用戶的認證、授權以及信息的加/解密工作，而正常的網絡訪問流量通過防火墻的相關策略直接處理，由于防火墻的安全隔離作用，可以有效隔離大部分來自網絡的攻擊掃描行為，一方面保障了內部網絡及服務器的安全，另一方面也可以有效保障VPN-Plus本身的安全性。SSL VPN-Plus工作在單臂模式，遠程用戶通過HTTPS協議安全連接到SSL VPN-Plus進行加/解密信息交換以及用戶認證，并獲得應用資源訪問授權。當應用服務器增加時，不需要更改任何防火墻或者路由器策略，也不需要更改任何網絡拓撲，只需要在SSL VPN-Plus上增加相應的策略，即可實現遠程用戶的安全訪問，大大提高了易用性。

對于一般的用戶而言，由于防火墻的NAT以及訪問控制策略的限制，用戶能夠接觸到的只是SSL VPN-Plus，而不可能接觸到實際的內部網絡應用服務器，所有對內網應用的請求會被防火墻直接強制轉移到SSL VPN-Plus上，SSL VPN-Plus此時會和用戶端發起SSL-VPN協商并進行進一步的通訊處理，由于防火墻的隔離以及SSL-VPN的限制，用戶不會直接訪問到應用服務器，大大提高了系統的安全性。

5 實施效果

采用SSL VPN-Plus遠程安全接入方案后，實現了大屯煤電集團駐外分公司、各辦事處員工及出差人員對集團OA辦公自動化系統、財務系統、ERP系統、主數據等關鍵應用系統的安全訪問，員工無論是在駐外分公司、各辦事處，還是任何可以訪問INTERNET的地方都可以進行安全的應用操作和業務處理，大大降低了管理維護成本，提高了大屯煤電集團內部應用系統和信息資源的處理能力，提高了工作效率。

項目的實施不僅滿足了大屯煤電集團遠程安全接入的需求，填補了駐外分支、辦事處及出差人員無法安全訪問集團內部全部應用系統及信息資源的空缺，同時系統還支持Telnet、SSH、VNC和windows RDP等應用，降低了管理和維護成本，減少了很多對內網的攻擊，達到了對集團公司內部網的最大防護。

參考文獻

[1] 介斐.企業遠程接入方式[J].石油化工建設，2007，2009，（3）.

[2] 鄭潔.VPN技術在圖書館網絡互聯中的應用[J].中小企業管理與科技，2009，（24）.

[3] 朱祥華.VPN技術在企業遠程辦公中的研究與應用

[J].信息安全與技術，2011，（1）.

基金項目：江蘇省科技成果轉化資金項目（BA2010058）。

作者簡介：顧對芳（1981-），女，陜西渭南人，徐州中礦大華洋通信設備有限公司工程師，研究方向：煤礦自動化產品和軟件的研發。

（責任編輯：陳 倩）