顧對(duì)芳　郭建　刑玉香

摘要：文章介紹了大屯煤電集團(tuán)遠(yuǎn)程安全接入需求，對(duì)遠(yuǎn)程安全接入的必要性進(jìn)行了研究，提出了基于SSL VPN技術(shù)的遠(yuǎn)程安全接入方案，介紹了遠(yuǎn)程安全接入的實(shí)施過程。遠(yuǎn)程安全接入的引用實(shí)現(xiàn)了大屯煤電集團(tuán)駐外分公司、各辦事處員工及出差人員對(duì)集團(tuán)應(yīng)用系統(tǒng)和信息資源的安全訪問，降低了管理維護(hù)成本，提高了應(yīng)用系統(tǒng)和信息資源的處理能力。

關(guān)鍵詞：遠(yuǎn)程安全接入；SSL VPN；應(yīng)用系統(tǒng)；信息資源；B/S；C/S 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類號(hào)：TD636 文章編號(hào)：1009-2374（2015）29-0054-02 DOI：10.13535/j.cnki.11-4406/n.2015.29.027

近年來、隨著信息技術(shù)的飛速發(fā)展和公司信息化建設(shè)的不斷深入，在公司辦公網(wǎng)絡(luò)中已經(jīng)建成了許多關(guān)鍵應(yīng)用系統(tǒng)，這些關(guān)鍵的應(yīng)用系統(tǒng)如OA辦公、ERP、調(diào)度報(bào)表、主數(shù)據(jù)、郵件、病毒防護(hù)、財(cái)務(wù)管理、人力資源管理等系統(tǒng)。公司員工可以輕松通過公司內(nèi)部網(wǎng)訪問這些應(yīng)用系統(tǒng)資源，不僅提高了公司的管理效率，而且促進(jìn)了各項(xiàng)業(yè)務(wù)的發(fā)展，保證了公司的安全生產(chǎn)。

隨著公司駐外分公司及辦事處的設(shè)立以及遠(yuǎn)程辦公、移動(dòng)辦公人員的增加，使用遠(yuǎn)程辦公和移動(dòng)辦公的人也越來越多，更多駐外辦公需要接入到公司的內(nèi)部網(wǎng)絡(luò)中，訪問這些應(yīng)用系統(tǒng)，公司網(wǎng)絡(luò)應(yīng)用中實(shí)現(xiàn)遠(yuǎn)程接入的需求變得日益迫切。

1 現(xiàn)狀及存在問題

目前大屯煤電集團(tuán)所有的應(yīng)用系統(tǒng)和信息資源均布置在集團(tuán)總部，駐外分公司及辦事處通過網(wǎng)絡(luò)運(yùn)營(yíng)商的10M專線接入互聯(lián)網(wǎng)。隨著集團(tuán)信息化的進(jìn)一步深入，積累的應(yīng)用系統(tǒng)和信息資源越來越多，包括文件共享、調(diào)度報(bào)表、MRP、ERP、主數(shù)據(jù)、OA、郵件、WEB應(yīng)用、病毒防護(hù)系統(tǒng)等，這些應(yīng)用系統(tǒng)基于B/S和C/S架構(gòu)。

集團(tuán)所屬駐外分公司、各辦事處員工及出差人員僅能通過公網(wǎng)訪問有限的資源，而對(duì)于只面向內(nèi)部的大多數(shù)應(yīng)用系統(tǒng)和信息資源，則無法獲取。對(duì)外開放的應(yīng)用系統(tǒng)如OA辦公自動(dòng)化系統(tǒng)、郵件系統(tǒng)、MRP系統(tǒng)、ERP系統(tǒng)、法律事務(wù)系統(tǒng)等所使用的公網(wǎng)地址和端口，很容易被黑客或不懷好意的人入侵，易感染病毒，用戶及其訪問的內(nèi)容沒有審計(jì)，缺少對(duì)訪問內(nèi)部資源用戶身份認(rèn)證和授權(quán)機(jī)制，整體安全性較低。這些關(guān)鍵的應(yīng)用系統(tǒng)有些需要使用到某些特殊應(yīng)用端口，而往往這些端口在許多地方被封掉，從而造成移動(dòng)辦公的人員不能正常訪問一部分公司的關(guān)鍵應(yīng)用系統(tǒng)。

2 SSL VPN遠(yuǎn)程安全接入的必要性

考慮到安全、高可用、實(shí)用、可管理、可擴(kuò)展等因素，為了滿足該集團(tuán)駐外分公司、各辦事處員工及出差人員訪問內(nèi)部資源其日常辦公的需求，急需建立一個(gè)遠(yuǎn)程安全接入的平臺(tái)。

VPN是一種在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)，VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，它可以提供遠(yuǎn)程的安全接入，而終端用戶無需安裝或設(shè)置客戶端軟件。目前，對(duì)SSL VPN公認(rèn)的三大好處是：第一個(gè)好處來自于它的簡(jiǎn)單性，它不需要配置，可以立即安裝、立即生效；第二個(gè)好處是客戶端不需要安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；第三個(gè)好處是兼容性好，可以適用于任何終端及操作系統(tǒng)。所有的遠(yuǎn)程用戶只需要打開瀏覽器即可成功接入集團(tuán)總部?jī)?nèi)部網(wǎng)絡(luò)。

采用SSL VPN接入方式不需要再安裝任何客戶端軟件，操作使用方便，另外，SSL VPN對(duì)接入用戶的訪問權(quán)限可以進(jìn)行控制，可以做到嚴(yán)格授權(quán)。

3 方案設(shè)計(jì)

本次安全接入的目標(biāo)是應(yīng)用遠(yuǎn)程接入技術(shù)實(shí)現(xiàn)駐外分公司及各辦事處對(duì)公司關(guān)鍵應(yīng)用系統(tǒng)的安全訪問，使駐外人員可隨時(shí)接入到公司內(nèi)部網(wǎng)絡(luò)中，并建成一個(gè)統(tǒng)一、便捷、高效的內(nèi)部網(wǎng)絡(luò)平臺(tái)。

SSL VPN與IPSec VPN是目前流行的兩種因特網(wǎng)遠(yuǎn)程安全接入技術(shù)，它們之間具有類似的功能特性，但也存在很大不同。

IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能，是實(shí)現(xiàn)多專用網(wǎng)安全連接的最佳選項(xiàng)，而SSL VPN的“零客戶端”架構(gòu)特別適合于遠(yuǎn)程用戶連接，用戶可通過任何Web瀏覽器訪問企業(yè)網(wǎng)Web應(yīng)用。IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點(diǎn)接入，但能實(shí)現(xiàn)Web或非Web類企業(yè)應(yīng)用訪問。

因此，集團(tuán)公司選定了SSL VPN方式，同時(shí)，為了避免網(wǎng)絡(luò)沖突，集團(tuán)對(duì)所屬企業(yè)、駐外分公司及各辦事處的網(wǎng)絡(luò)進(jìn)行統(tǒng)一部署方案，系統(tǒng)的結(jié)構(gòu)如圖1所示：

圖1 遠(yuǎn)程安全接入網(wǎng)絡(luò)結(jié)構(gòu)圖

總體設(shè)計(jì)思路如下：（1）在集團(tuán)總部?jī)?nèi)網(wǎng)部署高性能的SSL VPN網(wǎng)關(guān)；（2）在駐外機(jī)構(gòu)及各辦事處，辦公人員通過遠(yuǎn)程接入到公司內(nèi)部網(wǎng)，訪問關(guān)鍵應(yīng)用系統(tǒng)資源；（3）在集團(tuán)總部SSL VPN網(wǎng)關(guān)上配置用戶角色及相應(yīng)的訪問權(quán)限；（4）網(wǎng)關(guān)上設(shè)置可以自動(dòng)生成系統(tǒng)日志和用戶操作日志等。

4 實(shí)施方案

根據(jù)總體部署，我們?cè)诠粳F(xiàn)有的防火墻后面部署了一臺(tái)SSL VPN-Plus設(shè)備，由防火墻來轉(zhuǎn)發(fā)所有對(duì)內(nèi)部應(yīng)用系統(tǒng)的SSL連接請(qǐng)求到SSL VPN-Plus上，由SSL VPN-Plus來處理用戶的認(rèn)證、授權(quán)以及信息的加/解密工作，而正常的網(wǎng)絡(luò)訪問流量通過防火墻的相關(guān)策略直接處理，由于防火墻的安全隔離作用，可以有效隔離大部分來自網(wǎng)絡(luò)的攻擊掃描行為，一方面保障了內(nèi)部網(wǎng)絡(luò)及服務(wù)器的安全，另一方面也可以有效保障VPN-Plus本身的安全性。SSL VPN-Plus工作在單臂模式，遠(yuǎn)程用戶通過HTTPS協(xié)議安全連接到SSL VPN-Plus進(jìn)行加/解密信息交換以及用戶認(rèn)證，并獲得應(yīng)用資源訪問授權(quán)。當(dāng)應(yīng)用服務(wù)器增加時(shí)，不需要更改任何防火墻或者路由器策略，也不需要更改任何網(wǎng)絡(luò)拓?fù)?，只需要在SSL VPN-Plus上增加相應(yīng)的策略，即可實(shí)現(xiàn)遠(yuǎn)程用戶的安全訪問，大大提高了易用性。

對(duì)于一般的用戶而言，由于防火墻的NAT以及訪問控制策略的限制，用戶能夠接觸到的只是SSL VPN-Plus，而不可能接觸到實(shí)際的內(nèi)部網(wǎng)絡(luò)應(yīng)用服務(wù)器，所有對(duì)內(nèi)網(wǎng)應(yīng)用的請(qǐng)求會(huì)被防火墻直接強(qiáng)制轉(zhuǎn)移到SSL VPN-Plus上，SSL VPN-Plus此時(shí)會(huì)和用戶端發(fā)起SSL-VPN協(xié)商并進(jìn)行進(jìn)一步的通訊處理，由于防火墻的隔離以及SSL-VPN的限制，用戶不會(huì)直接訪問到應(yīng)用服務(wù)器，大大提高了系統(tǒng)的安全性。

5 實(shí)施效果

采用SSL VPN-Plus遠(yuǎn)程安全接入方案后，實(shí)現(xiàn)了大屯煤電集團(tuán)駐外分公司、各辦事處員工及出差人員對(duì)集團(tuán)OA辦公自動(dòng)化系統(tǒng)、財(cái)務(wù)系統(tǒng)、ERP系統(tǒng)、主數(shù)據(jù)等關(guān)鍵應(yīng)用系統(tǒng)的安全訪問，員工無論是在駐外分公司、各辦事處，還是任何可以訪問INTERNET的地方都可以進(jìn)行安全的應(yīng)用操作和業(yè)務(wù)處理，大大降低了管理維護(hù)成本，提高了大屯煤電集團(tuán)內(nèi)部應(yīng)用系統(tǒng)和信息資源的處理能力，提高了工作效率。

項(xiàng)目的實(shí)施不僅滿足了大屯煤電集團(tuán)遠(yuǎn)程安全接入的需求，填補(bǔ)了駐外分支、辦事處及出差人員無法安全訪問集團(tuán)內(nèi)部全部應(yīng)用系統(tǒng)及信息資源的空缺，同時(shí)系統(tǒng)還支持Telnet、SSH、VNC和windows RDP等應(yīng)用，降低了管理和維護(hù)成本，減少了很多對(duì)內(nèi)網(wǎng)的攻擊，達(dá)到了對(duì)集團(tuán)公司內(nèi)部網(wǎng)的最大防護(hù)。

參考文獻(xiàn)

[1] 介斐.企業(yè)遠(yuǎn)程接入方式[J].石油化工建設(shè)，2007，2009，（3）.

[2] 鄭潔.VPN技術(shù)在圖書館網(wǎng)絡(luò)互聯(lián)中的應(yīng)用[J].中小企業(yè)管理與科技，2009，（24）.

[3] 朱祥華.VPN技術(shù)在企業(yè)遠(yuǎn)程辦公中的研究與應(yīng)用

[J].信息安全與技術(shù)，2011，（1）.

基金項(xiàng)目：江蘇省科技成果轉(zhuǎn)化資金項(xiàng)目（BA2010058）。

作者簡(jiǎn)介：顧對(duì)芳（1981-），女，陜西渭南人，徐州中礦大華洋通信設(shè)備有限公司工程師，研究方向：煤礦自動(dòng)化產(chǎn)品和軟件的研發(fā)。

（責(zé)任編輯：陳 倩）