基于SSL VPN實現安全共享疾控單位之間的數據

葉添飛

摘要：為了解決安全地傳輸和共享不同單位之間業務數據的問題，通過SSL VPN和ftp相結合的方式，采用天融信VPN多合一網關和微軟的IIS來部署，實現了在互聯網上安全地傳輸數據，建立了數據共享平臺。

關鍵詞：SSL VPN;ftp;傳輸數據;安全;共享

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）19-0040-02

Data Safely Sharing among CDCs based on SSL VPN

YE Tian-fei

（Guangzhou Center for Disease Control and Prevention， Guangzhou 510440， China）

Abstract： To solve the problem of safely transmitting and sharing business data between different units. With the combination of SSL VPN and ftp， TOPSEC VPN multi-in-one gateway and Microsoft's IIS are employed to deploy data transmission on the Internet. A data sharing platform was established to make the safe transmission of data on the Internet a reality.

Key words： SSL VPN; ftp; data transmission; safe; share

1 背景

隨著時代的發展，因特網走入千家萬戶。企事業分部與總部的員工用QQ、郵件等網絡工具很方便地開展業務。但是，有些工具是明文傳輸數據或者存放在軟件廠商的服務器上，這使得傳輸的數據存在被竊取和被篡改的風險。疾控單位之間，由于業務方面的往來，各區疾控中心與市疾控中心有時候需要共享一些業務上的數據。如果直接通過發郵件或云盤等方式，會存在泄露的風險，也不符合相關規定;區疾控中心與市疾控中心之間拉網絡專線，又大費周折，費用較高，不太現實。VPN技術的出現，恰好解決了這個問題。

2 VPN及相關產品介紹

2.1 VPN介紹

VPN（Virtual Private Network）即虛擬專用網絡，通過一些協議在互聯網上建立專用網絡，通訊雙方搭建一條安全可靠的隧道[1]，數據通過加密在隧道傳輸，用戶可以通過隧道傳輸業務數據到公司總部內網，不必擔心業務數據的泄露問題。

常見的VPN主要有SSL VPN和IPSec VPN。SSL VPN主要用在遠程用戶與公司總部內部網絡的場景中，IPSec VPN主要用在網絡與網絡之間[2]。根據本文的需求，顯然采用SSL VPN更為合適。

SSL（Secure Sockets Layer）就是安全套接層協議，是網景公司開發的安全傳輸協議，在萬維網中得到廣泛的使用。它位于OSI模型的傳輸層和應用層之間[3]，通過密鑰加密的方式來傳輸數據。SSL協議分為兩層：上層為SSL握手協議（SSL Handshake Protocol），下層是SSL記錄協議（SSL Record Protocol）。SSL握手協議的功能是通訊雙方在建立連接的過程中，進行身份認證、協商加密算法等。SSL記錄協議的功能是對數據進行封裝、壓縮和加密等。

SSL VPN就是采用了SSL的VPN技術。遠程用戶通過瀏覽器內置的Secure Socket Layer封包處理功能，連接公司總部的VPN網關，使用網絡封包轉向的方式，進而訪問公司總部內的服務器。在遠程用戶與VPN網關通訊的過程中，所有的數據包都通過SSL加密，保證了數據的安全。由于大部分瀏覽器都集成了SSL協議，所以部署SSL VPN的時候非常方便快捷，無須安裝客戶端[4]。遠程用戶直接在瀏覽器輸入VPN網關的網址，安裝插件即可使用。

2.2 天融信VPN網關

本文采用天融信VPN多合一網關來部署，該網關包含了IPSec VPN和SSL VPN。它的系統架構屬于開放式的，各種功能如防火墻、入侵檢測等采用模塊化的設計，安全性高，容易擴展各種功能，容易管理，不管在單位內部，還是在外出差，都能連上VPN網關，進行各種操作。天融信是中國領先的網絡安全、大數據與云服務提供商，在網絡安全防火墻方面，連續多年在國內保持第一。天融信VPN網關的操作界面簡潔，功能強大，有用戶認證、防火墻、虛擬專網、SSL VPN等幾大模塊，可以搭建出各種虛擬專用網絡。

2.3 Internet Information Server和ftp

本文的數據共享平臺采用ftp（File Transfer Protocol）服務器，方便各區疾控中心用戶上傳和下載數據。ftp服務器采用Windows自帶的IIS（Internet Information Server即互聯網信息服務）里 ftp服務功能[5]。IIS是微軟公司提供的基于Windows的互聯網基本服務，包含了Web服務和ftp服務等。在Windows 2000、Windows Server 2003等版本及以上都附帶有IIS，可以很方便地部署Web站點或者ftp站點。

ftp即文件傳輸協議，是用于在網絡上進行文件傳輸的一套標準協議，它工作在OSI模型的第七層即應用層，使用TCP的連接方式。ftp客戶端與ftp服務器在建立連接前要經過三次握手的過程，建立了可靠的連接，保證了數據傳輸的可靠性。ftp基于客戶-服務器（Client-Server）模型，客戶端與服務器建立兩個連接通道。一個是控制通道，用于傳送控制信息，如命令和響應。另一個是數據通道，用于數據傳輸。這種方式大大提高了ftp的效率。