梁静宇，郭建明

（经纬股份公司榆次分公司信息工程部，山西 晋中 030601）

文章通过对现在流行的SSL VPN和IPSec VPN两种技术分析，探讨企业如何应用该技术，实现分散在不同地域的各分支机构之间、总部与各分支机构之间的信息传递及共享的解决方案。

1 认识IPSec VPN

1.1 IPSec VPN简述

IPSec VPN指采用IPSec协议来实现远程接入的一种VPN技术。IPSec协议是通过相应的隧道技术来实现VPN的。协议包括网络认证协议、封装安全载荷协议、密钥管理协议和用于网络认证及加密的一些算法协议等应用于IP层上网络数据安全的一整套体系。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。IPSec最大的特点就是数据传输过程的安全性能得到完全保证。这就要求在远程接入客户端必须安装和配置IPSec客户端软件和接入设备，虽然提高了数据传输安全级别，但对企业局域网的防火墙等硬件设备及客户端软件要求也随之提高，否则当病毒或黑客利用已连接的客户机会很容易攻击企业局域网。

1.2 IPSec VPN应用优势

IPSec协议工作于网络层，通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，远程客户端会被自动分配虚拟的企业内部局域网IP地址，使其置身于企业内部网，远程客户端通过相应授权将拥有和内部网用户一样的权限和操作功能，实现异地网络的互通，比如网上邻居、网络共享以及大型C/S结构的程序应用等等。

IPSec技术中，客户端至站点、站点对站点、客户端至客户端连接所使用的技术是完全相同的。目前，大多数的IPSec VPN网关设备集成了防火墙及路由功能，网管配置网络时，只需在同一设备进行调试，简化了调试配置复杂的工作。

1.3 IPSec VPN不足

很多人认为安装客户端软件是IPSec VPN的不足之一，会给网管带来繁重的工作，但笔者认为这个问题随着技术的进步，一些IPSec客户端软件能实现自动安装，不需要用户参与，很大程度上减轻了网管的负担。关键是部署IPSec需要对基础设施进行重大改造，在运行和长期维护两个方面成本相对较高。IPSec VPN不支持公共Internet站点接入，对只有WEB级应用的企业，投入这方面的网络建设就有些浪费了。

2 认识SSL VPN

2.1 SSL VPN简述

SSL VPN是解决远程用户访问公司数据最简单、最安全的解决技术。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议，它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议，它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

2.2 SSL VPN应用优势

随着企业信息化的应用程序大量转向WEB应用模式，对仅限于运用Web浏览器接入的应用非常适用。其应用优势体现在：①实施方便，只需要安装配置好中心网关即可，其余的客户端是免安装的；②容易维护，网管只要对设备网关维护就可以了；③安全可靠，SSL是一个安全协议，数据是全程加密传输的。由于SSL网关隔离了内部服务器和客户端，只留下一个Web浏览接口，客户端的大多数病毒木马感染不到内部服务器。

2.3 SSL VPN不足

SSL VPN用户仅限于运用Web浏览器接入，这对新型基于Web的商务应用软件比较合适，但它限制了非Web应用访问，使得一些文件操作功能难于实现，如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL网关或其他办法来支持非Web应用，但实现成本高且复杂，难以实现。见图1。

图1 SSL VPN实现过程

3 SSL VPN和IPSec VPN企业应用分析

IPSec和SSL两者的实质是应用范围不同并不是互相排斥的技术，实际上两者通常部署在同一个企业中。它们之间的决定因素并不是在于每种协议可以做什么，而是在于每种协议的部署用于实现什么目标。只有考虑到每种部署的成本与效益，以及每种技术设计用于解决什么问题，工作人员才会作出明确的部署选择。下面以笔者所在单位具体的实例分析如何组建适合自己企业的VPN部署方案。

3.1 企业网络的需求

笔者所在公司属于股份公司的下属分公司，具有完整的企业体系，信息化建设已有近25年的历程，随着业务的不断扩张及分子公司与总公司之间信息化数据的统一集成，公司需要对企业网络进行拓展，满足ERP、CRM、SRM、OA、Email等在不同地域中发生的业务或工作安排数据能及时、准确、安全地传递，同时满足分公司同总公司业务的数据传递。

公司对应用程序及应用需求作了分析，第一，企业内部ERP系统采用C/S结构，客户端ERP软件连接数据库需要通过TCP/IP配置，并在数据库服务器建立监听器用于监听客户端向数据库服务器端提出的连接请求；同时ERP系统程序不断地在更新，需要在客户端复制新的更新程序，因此必须能实现文件传输功能；由于企业扩能，3个生产车间处在离主厂区10 km外的开发区内，必须能保证这3个车间能通过网络应用企业所有的信息化应用。第二，CRM、SRM、OA、Email等采用B/S结构通过浏览器方式进行业务工作，这样要求网络能支持远程用户随时随地地访问上述系统进行工作。第三，分公司财务定时向总公司传财务凭证，需要和总公司数据库相连实现数据及时准确安全交换。第四，网络部署能满足未来几年内技术的发展及企业的发展。

3.2 方案分析

根据网络的应用需求，从网络成本、网络安全、接入网络、网络运维管理等方面全面分析如何部署最适合企业的VPN方案。

3.2.1 网络成本

网络配置或拓展“成本”是一个关键考虑因素，企业要求ERP系统必须满足分散在不同区域的生产车间的正常使用，因此，IPSec VPN则是符合逻辑且最经济高效的选择。然而，通过浏览器访问B/S结构的应用程序，则SSL VPN是最经济高效的选择。因此，最好选择的网络设备及部署能同时兼容IPSec VPN与SSL VPN两种功能。管理员可以利用现有的网络资源，花最少的钱对网络进行拓补实现功能的最大化。

3.2.2 网络安全

SSL和IPSec这两种协议所要实现的目标非常相似而且它们都提供安全密钥交换，并在传输过程中提供强大的数据保护，都能有效地保护网络流量安全，都有强大的加密和认证功能，每种协议都支持领先的加密、数据完整性和认证技术，例如：3-DES、128 位 RC4、AES、MD5 或 SHA-1。

3.2.3 接入网络

IPSec VPN的作用是实现企业LAN或其中VLAN的虚拟扩展，这种接入对于分散型的车间、厂房、库房等管理非常有效，各站点间部署中的用户与企业LAN中的用户都采用相同的安全限制。而SSL VPN应用业务可以解决来自不可控制的端点的用户（如移动办公用户）接入特定的企业资源（CRM、OA等）。

3.2.4 网络运维管理

网络维护管理复杂程度是企业必须面对的关键因素，针对需要接入专用服务器和子网的可信用户组，管理员为其进行IPSec VPN设置；如果部署要求逐用户/用户组或资源进行接入控制，管理员为其进行SSL VPN设置。新的接入管理能力可允许动态认证和角色映射，并提供极为灵活的基于资源的认证，从而以高效的方式满足企业的安全策略。

综合上述分析，企业最终采用了IPSec VPN与SSL VPN相结合的部署方案来满足企业的需求。企业内部使用具有SSL和IPSec二合一的VPN（FVS336G）设备实现SSL及IPSEC VPN功能。

图2 网络拓补图

远程移动用户、ERP应用用户等，通过SSL协议进行WEB访问，客户端不需要安装和配置，只需在VPN设置哪种类型的访问控制和安全级别（全通道模式、分离通道模式和端口转发模式）。经过测试最终选定采用分离通道模式，这个模式允许远程客户可以完全访问在VPN设备后面的局域网，同时将Web访问交给终端用户的本地连接实现。在这种模式下，远程客户端使用一个不同于NETGEAR的LAN子网的IP地址，它然后将被路由到局域网子网上。对于站点与站点之间的网络部署如分公司与总公司之间的数据交换、文件传输以及财务凭证传递等可以通过站点对站点配置或FVS336G VPN客户端软件来创建IPSec通道。详细配置过程和参数设置略。

经过测试，这种二合一VPN网络部署能很好地解决企业的需求，并有一定的扩展能力，各项网络指标稳定、安全，远程连接用户的应用程序执行效率与在内部网内运行无明显差别，用户反映良好，完全满足企业各层面信息化的需求。

4 总结

总之，用户在分析适合自己企业选用IPSEC和SSL VPN哪种网络部署时，一定要先搞清楚每种技术最适合解决哪些问题、部署和管理IPSec VPN和SSL VPN有哪些要求、它们各自的使用范围及每种协议部署用于实现什么目标等，并结合企业的实际网络需求，根据实际需求制定性价比、安全、运维管理最适合企业的VPN部署，使工作人员能够接入企业资源，以实现最高的工作效率。