淺議基于深信服網關中SSL VPN技術和Easy Connect在移動辦公中的應用

摘要：隨著信息化和工業化的深度融合，每個企業都根據需要建立了先進的信息化網絡用于提高辦公效率，企業要求員工不止在辦公室工作，還希望他們在出差的酒店、出國調研的路途，甚至在機場的候機廳都能及時訪問公司的協同辦公系統。SSL VPN和Easy Connect技術能滿足無處不在的辦公需求，并進行文件審批，提高工作效率。

關鍵詞：深信服網關;SSL VPN技術;Easy Connect技術;移動辦公

在工業化和信息化深度融合、信息化反哺工業化的背景下，大型企業利用先進的信息化基礎設施和移動互聯網手段，加速業務流程，提高文件流轉效率;通過移動互聯網，實現隨時隨地的業務響應。企業通過基于Internet的網絡數據傳輸平臺，利用VPN技術實現遠程通信，有多種技術，但比較流行的有IPSec VPN和SSL VPN兩種技術，一般固定的、小型分支組網會選擇IPSec VPN接入，而個人PC和移動接入會選擇SSL VPN技術。在移動互聯網時代， IPSec VPN技術，因其固有的特性，不能更好地滿足隨時隨地的辦公需要，通過技術演變成為SSL VPN技術，在深信服網關中和Easy Connect技術結合以后能更完美地解決了各下屬單位與總公司內部網絡的安全連接和無處不在的移動辦公的安全接入問題。

一、原來IPSec VPN技術的缺點

以前大多數公司采用的是傳統的IPSec VPN來解決遠程接入的問題，但是IPSec VPN最初是為了解決Lan to Lan（網絡對網絡）的安全連接而制定的協議，因此在移動互聯網時代面臨的的是End to Lan（點對網絡）的連接技術，所以SSL VPN考慮的是單點接入網絡，是應用點對網絡的接入模式。而IPSec VPN是在兩個局域網之間通過因特網進行的安全連接，保護的是網絡與網絡之間的通信。IPSec實現VPN技術主要在網絡層采用隧道技術，建立一條IP通道，是基于網絡的;而SSL VPN技術主要在應用層采用隧道技術，建立的是一條應用層通道，是基于應用的[1]。所以它們在易用性、安全性、擴展性和訪問控制方面都存在一定的區別，所以IPSec VPN技術在移動互聯網時代中表現出下面一些缺點：[2]

1.客戶端配置問題：在IPSec VPN連接中，每個接入的終端都要安裝相應的IPSec客戶端，并進行繁瑣和復雜的配置。當接入的客戶端大量增加以后，給網絡管理和運維工作帶來巨大挑戰。

2.IPSec VPN在移動互聯網時代面臨的安全問題：傳統的IPSec VPN技術不能很好的解決移動用戶接入到私有網絡的安全控制問題，這就為病毒的傳播和黑客入侵提供了很多可能的途徑。如果在受控的電腦上，比如員工辦公電腦上使用IPSec客戶端則可以通過部署統一的安全策略來解決這個問題，但是如果讓合作伙伴或客戶的電腦或智能終端接入，這就很難控制了。

3.對網絡的支持問題：傳統的IPSec VPN技術在網絡適應性上存在各種各樣的問題，采用一些非常用的端口以后，又給防火墻帶來了復雜的配置工作，因此在IPSec的客戶端上對網絡適應性方面還存在一些問題。

4.對移動設備的支持問題：在移動互聯網時代，移動終端的種類越來越多，因此，IPSec客戶端需要有更多版本才能適應這些各種終端，這顯然是不現實的。

SSL VPN的突出優勢在于Web安全和移動接入，較好的解決了Web的易用性和安全性之間的矛盾，并且很好的適應移動互聯網時代的移動需求。但是SSL VPN并不能取代IPSec VPN，因為這兩種技術的應用領域不同。SSL VPN主要是應用軟件的安全性，更多應用在Web的遠程安全接入方面;而IPSec VPN是在兩個局域網之間通過Internet建立的安全連接，保護點對點之間的通信，同時它并不局限于Web應用，而是構建了局域網之間的虛擬專用網絡，其功能和應用的擴展性更強。

SSL VPN是結合行業標準認證方法和SSL加密技術的一種代理技術，讓使用者更安全地訪問企業內部資源，這種訪問技術使得用戶不需要真正地連接到企業服務器就可以訪問后臺應用和服務。到目前為止，SSL VPN是解決遠程用戶訪問企業敏感數據最簡單、最安全的解決方案，是移動互聯網時代遠程接入的最佳選擇。SSL VPN是為了解決IPSec VPN固有的缺點而不斷改進的，并繼承了IPSec VPN的遠程使用與內部局域網使用相一致的優點，發揮了VPN連接與應用無關的長處，避免了IPSec VPN技術因為有客戶端而導致的使用維護不方便、某些網絡條件下無法接通，帶來大量病毒和蠕蟲的入侵、難以與企業認證服務器相結合、無法審計等問題。SSL VPN技術是基于應用接口方式部署的虛擬專用網，要求的鏈路質量比較高[3]，所以不僅能支持訪問B/S應用功能，還能訪問C/S應用功能。

二、深信服網關中SSL VPN技術的優勢

基于深信服科技的SSL VPN技術在政府、教育、能源、電力、大型集團用戶、郵政、氣象、金融等重要網絡中得到了廣泛的應用，其獨有的技術占據了絕對的優勢，可滿足移動辦公、協同辦公、分支互連、應用虛擬化、APP安全加固等多業務需求，主要有以下優勢：

1.領先的技術。深信服科技公司是國家SSL VPN技術標準的核心制定者，擁有SSL VPN專利技術30多項。安全網關中融入了LZO壓縮技術，可以將帶寬提高到130%以上，給用戶帶來更快的訪問體驗。Web Push技術和多線路技術，成為業內速度最快、安全性和易用性比較突出的解決方案，并且在數據傳輸過程、用戶接入認證、內網權限劃分等三方面可以根據實際需求設置相應的安全性，其簡潔、友好的操作界面為移動辦公用戶提供了最簡化的訪問方式。深信服SSL VPN具備VPN專線技術，防止黑客通過遠程控制，以攻擊用戶電腦作為跳板潛入VPN隧道，從而進入總公司內部網絡，由于現在的安全威脅已經從惡意的攻擊轉為蓄意入侵，進而盜取用戶的機密信息，SSL VPN的專線技術還可以避免把已經感染木馬、間諜軟件的終端設備將一些安全隱患攜帶到公司內網。深信服SSL VPN的客戶端安全準入技術，還可以將不滿足客戶端安全準入規則的客戶端不允許建立SSL VPN隧道接入企業內網，還能對進出的數據流進行過濾，并能及時阻斷DoS攻擊。

2.深信服SSL VPN技術支持所有基于TCP/UDP/ICMP的應用，甚至支持VoIP、視頻等。這樣使得公司內的IT資源能通過SSL VPN技術平滑擴展到世界上任何一個角落，并且對單一IP發起的會話數目進行了限制，通過該特性可以讓世界上任何一個角落的用戶訪問公司內網資源，并支持多種智能終端接入，如支持Windows、Linux、Apple電腦、PDA、智能手機等，并且不需要用戶安裝任何客戶端軟件，從而保證用戶簡單、方便地使用公司內網資源，更好地滿足移動互聯網時代異地辦公的需求。

3.支持雙機備份、多線路復用和智能選路等技術。當公司內大量的用戶使用SSL VPN系統時，如果其中一臺服務器設備出現故障時，另一臺服務器能迅速接管業務，不影響用戶正常使用。一臺服務器可以使用多條公網線路，一方面可以解決跨運營商網絡帶寬的瓶頸問題，另一方面多線路并行還可以增加出口帶寬，線路之間還能實現負載均衡和備份，既提高了訪問效率又節省了單獨使用負載均衡設備的花費。在服務器中，還能保存海量的日志信息，以便設備受到安全攻擊后能追蹤攻擊源。

4.支持多種認證方式。深信服SSL VPN技術除支持傳統的用戶名/密碼認證方式，還支持短信認證、硬件特征碼、動態令牌卡、數字證書、USB-Key等多種認證方式，還能和單位內現有的微軟AD、LDAP、Radius等協議的第三方認證服務器無縫配合使用，完成對用戶的接入認證。通過認證的用戶還能實現細粒度的控制，支持基于角色的權限管理，比如對用戶分組以后，被訪問的資源可以根據資源的IP地址、端口、服務，甚至URL地址和時間進行資源分組，用戶組和資源組之間可以靈活關聯，做到只給合適的用戶授予合適的訪問權限，并對相關訪問操作進行審計。

與IPSec VPN相比，SSL VPN更加適合于客戶端單個設備接入中心網絡的應用要求（如移動辦公），而IPSec VPN則更適用于兩個網絡之間構建安全通道，所以在深信服網關中采用SSL VPN技術搭建的安全接入平臺，通過集中管理各種遠程接入操作行為、嚴格進行訪問控制限制、有效審計操作行為等技術手段，可以有效地提供對用戶接入進行監控管理，極大地提升了遠程用戶接入總公司內網的安全性。當然基于SSL VPN功能的設備往往根據同時在線人數授權收費，所以價格不菲，也可能會存在幾個用戶共享一個VPN賬號。[4]

三、深信服SSL VPN技術與Easy Connect技術完美結合在移動辦公中的應用

Easy Connect技術在相應設備上部署以后，可以進行跨平臺的統一應用發布、移動辦公、移動校園、移動銷售、移動執法、移動稅務、移動醫療、移動采編、移動物流、遠程運維等應用。Easy Connect遠程應用發布技術能幫助用戶在任何時間、任何地點使用任何終端便捷地進行辦公，提高辦公效率。即使單位領導或員工在外出差，通過深信服SSL VPN 和Easy Connect技術，就能將電腦上所有的辦公系統遷移到移動終端上，使用PC、智能手機或PDA快速接入公司內部系統，如協同辦公、合同管理系統、項目管理系統、財務管理系統、ERP、CRM等系統。進行移動辦公、移動審批等，從而讓辦公無處不在。

移動互聯網已經深入人們的生活，但很多辦公軟件無法正常在移動終端上運行，只能運行在PC操作系統上。深信服科技的Easy Connect技術通過在企業內網部署終端服務器，將企業應用程序虛擬化，提供桌面服務。在用戶通過移動終端訪問企業應用時，先訪問企業SSL VPN門戶，通過驗證后啟動C/S客戶端連接終端服務器，在終端服務器上則安裝有企業應用的客戶端程序。在智能終端上就會展現企業的客戶端程序界面，然后進行業務訪問，而真正的業務客戶端程序并沒有安裝在智能終端上，訪問的數據也沒有留存在智能終端中。這樣既能夠實現企業的移動應用，又能夠真正的達到數據防泄漏的目的，即使采用iPhone或iPad訪問時，與內網電腦訪問體驗一致。深信服Easy Connect遠程應用發布技術不用開發App就能將PC上的所有辦公系統遷移到移動終端設備上，能讓用戶在任何時間、任意地點使用安卓智能手機、iPhone/iPad等移動終端設備快速、便捷地遠程訪問Windows應用進行遠程辦公，文件審批，使工作變得更有效率，并能夠實現數據的傳輸安全。傳輸原理如圖1：

該方式中，通過SSL VPN接入，數據經過加密后傳輸，終端服務器與訪問終端之間無需傳輸大量的業務數據，只需將鼠標操作、鍵盤輸入、屏幕滑動和屏幕更新等少量數據通過網絡傳輸，有效保證了數據傳輸和訪問的安全性，因此訪問安全性能大幅提升。并且，Easy Connect使用七種身份認證方式和細粒度的權限控制，有效保障移動用戶操作數據的合規性，可以對網絡進行攔截、只允許某些應用程序運行、禁用客戶端映射選項及某些系統進程等，從而進行更細粒度的權限控制。并且SSL VPN網關部署在公司內網防火墻后面，使得該防火墻只對SSL VPN網關設備開放https端口地址，通常都是使用TCP連接的443端口[5]。

在使用時，用戶只要運行PC或智能終端上的Easy Connect軟件，連接特定的深信服SSL VPN網關地址（因為VPN跨越多個不同網絡，所以該IP地址必須是因特網的外網地址），如圖2，輸入相應的用戶名和密碼，通過認證，即可連接。如圖3：

當通過用戶名和密碼認證后，即可在PC機上像瀏覽因特網資源一樣通過SSL VPN專線訪問公司內網授權的資源。如果是在智能終端上使用，一般需要配合相應的APP，比如昆鋼移動辦公APP，才能達到性能最佳。如圖4：

結論

總之，隨著移動智能終端和移動互聯網的興起，通過在深信服網關中使用SSL VPN技術和EasyConnect應用虛擬化功能完美結合后，可以幫助用戶將現有的IT應用系統直接發布到各種智能終端，在服務器端不需要對業務系統進行大量改造，在用戶端不需要安裝客戶端、零配置的移動接入方式，提高易用性;使用多重加速技術，提高用戶的訪問體驗;采用多種認證組合，保障用戶及應用數據的安全，并且軟件交互處理性能大大提升，業務提交速度明顯加快，還使用備份機制來降低因Internet線路中斷或硬件故障可能帶來的風險，從而搭建靈活的移動辦公平臺，使得移動辦公人員智能終端上可以不受時間和地點限制的辦公。網絡技術人員的管理和維護工作更多集中在終端服務器上，不需要對每個客戶端進行部署及維護，運維管理更加高效便捷，使公司現有的信息化資源發揮最大的功效，更好地服務于企業的發展戰略。

參考文獻：

[1]趙得椿，基于SSL協議的VPN系統安全性分析[J]，工程技術，2017，（11）

[2]深信服科技有限公司，深信服科技SSL VPN產品白皮書，2015年9月

[3]王曉，孫丕波， VPN安全性與地址沖突研究[J]，中國海洋大學學報，2011年3月

[4李鑫，張琴，基于多VPN技術的高校數字化校園網組建研究[J]，山西大同大學學報（自然科學版），2017，（6）

[5]孫中華，基于VPN網的企業辦公安全接入技術[J]，福建電腦，2014，（8）

作者簡介：趙得椿（1982.4---），男，云南瀘西人，昆明工業職業技術學院教師，碩士，計算機副教授、網絡工程師、通信工程師。研究方向：計算機網絡及信息化。