基于SSL VPN技術構建企業移動訪問系統

陳傳偉

【摘要】 隨著互聯網的快速發展，網絡已滲透進人類日常生活的方方面面，手機、pad、電腦均可以隨時隨地接入到互聯網，對于企業來說，基于互聯網的移動辦公用戶數量也在不斷增長，如何保障移動辦公用戶方便、快捷、高效、安全接入到企業內網，已經成為當前企業需要研究的重要課題。本文介紹通過SSL VPN技術構建安全高效的企業移動訪問系統。

【關鍵字】 SSL VPN 安全 高效

一、業務需求

對于企業來說，員工無論出差、在外開會還是在家里辦公，都有接入企業內網的需求。傳統的IPSEC VPN網絡存在組網不靈活、需要安裝客戶端軟件、對用戶訪問控制不嚴格等問題。

SSL VPN 作為新型的輕量級遠程接入方案，可以為企業提供一套可管理、可認證、安全的遠程訪問企業內網資源的解決方案。

二、實現技術

SSL VPN 技術，指的是遠程接入用戶利用標準Web瀏覽器內嵌的SSL（Security Socket Layer）封包處理功能，連接企業內部的SSL VPN網關，然后SSL VPN網關可以將報文轉向給特定的內部服務器，從而使得遠程接入用戶在通過驗證后，可訪問企業內網特定的服務器資源。

2.1 SSL VPN系統支持所有網絡應用、全面適應各種平臺

借助于瀏覽器技術，VPN網關可以支持所有網絡環境，只要瀏覽器能夠上網就可以使用SSL VPN。所支持的瀏覽器類型包含Html/Dhtml， Jsp， Asp，Java applet， Active，Cookies等各種Web技術，支持包括IE、FireFox ，Safari，Google chrome，Opera等主流瀏覽器；同時支持微軟Windows系列等操作系統。為業務訪問提供最廣泛的兼容性。

2.2 SSL VPN系統提供安全的身份認證

VPN系統支持LocalDB、LDAP/AD、Radius、第三方CA、自建CA、Dkey、短信認證（短信貓和短信網關）、硬件特征碼、動態令牌多種安全認證方式，最大限度地保證了接入用戶的合法性。

移動用戶身份認證采用天威誠信CA和 VPN系統相結合的認證方式，用戶使用頒發證書的USB KEY登錄VPN系統，通過KEY+PING碼的方式實現雙因素認證。

2.3客戶端安全檢查從端點開始保障網絡安全

VPN系統提供遠程客戶端安全掃描功能，可以要求遠程計算機必須達到指定的安全級別，如遠程計算機必須是XP SP2系統，必須安裝指定的個人版防火墻軟件。

2.4訪問權限控制功能提供最細致的權限管理

VPN系統通過獨特的角色管理功能，提供了細致到每個URL和不同應用的權限劃分。通過給不同用戶設置不同角色來分配訪問授權，一個用戶可以賦予多個角色以適合各種復雜的組織結構。

基于角色的訪問限制為企業網絡提供了較強的安全性。通過行為跟蹤引擎，管理員還可以查看遠程接入用戶的所有訪問記錄。

三、技術應用

3.1南北多點冗余架構，滿足高可用性需求

Web Agent動態選路，提高南北互訪接入效率；

多臺設備之間實現冗余及負載均衡，避免單點故障；

采用HTP協議技術能夠顯著提升存在丟包和延時網絡的傳輸速度。比不采用該技術提速30%-50%。

？ 動態壓縮技術，提高壓縮效率，降低系統負載，從而提高整體的數據處理速度，提高業務的訪問速度。

3.2統一域名接入訪問，滿足易用性需求

移動用戶不論身處何地，只要能夠訪問互聯網，在瀏覽器中輸入URL網址，即可打開VPN登錄頁面，通過身份認證后即可訪問企業內網資源。

3.3訪問權限控制功能提供最細致的權限管理

SSL VPN資源控制靈活，可以對用戶的權限、資源、服務、文件進行更加細致的控制，與第三方認證系統（如：radius、AD等）結合更加便捷。

SSLVPN的安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。

3.4異地設備統一管理

SSL VPN分布式集群通過主節點和分節點的分級設置實現異地統一配置管理。

在整網SSL VPN集群節點中，只允許擁有一個主節點設備，只有主節點享有配置的權限，其余加入到該分布式集群網中的SSL VPN設備通過與主節點進行配置數據的同步保證分布式配置數據的一致性。配置數據在進行同步時都是采用加密的形式，保證配置信息的安全性。

四、綜述

本文首先討論了SSL VPN技術的相關原理，結合企業自身的業務需求，實現了集團層面的移動訪問系統建設工作。移動訪問VPN系統上線后，該系統已擁有用戶近5000人，分布在全國各地區各單位。系統運行穩定，是各單位用戶遠程接入的首要選擇。