陈传伟

【摘要】 随着互联网的快速发展，网络已渗透进人类日常生活的方方面面，手机、pad、电脑均可以随时随地接入到互联网，对于企业来说，基于互联网的移动办公用户数量也在不断增长，如何保障移动办公用户方便、快捷、高效、安全接入到企业内网，已经成为当前企业需要研究的重要课题。本文介绍通过SSL VPN技术构建安全高效的企业移动访问系统。

【关键字】 SSL VPN 安全 高效

一、业务需求

对于企业来说，员工无论出差、在外开会还是在家里办公，都有接入企业内网的需求。传统的IPSEC VPN网络存在组网不灵活、需要安装客户端软件、对用户访问控制不严格等问题。

SSL VPN 作为新型的轻量级远程接入方案，可以为企业提供一套可管理、可认证、安全的远程访问企业内网资源的解决方案。

二、实现技术

SSL VPN 技术，指的是远程接入用户利用标准Web浏览器内嵌的SSL（Security Socket Layer）封包处理功能，连接企业内部的SSL VPN网关，然后SSL VPN网关可以将报文转向给特定的内部服务器，从而使得远程接入用户在通过验证后，可访问企业内网特定的服务器资源。

2.1 SSL VPN系统支持所有网络应用、全面适应各种平台

借助于浏览器技术，VPN网关可以支持所有网络环境，只要浏览器能够上网就可以使用SSL VPN。所支持的浏览器类型包含Html/Dhtml， Jsp， Asp，Java applet， Active，Cookies等各种Web技术，支持包括IE、FireFox ，Safari，Google chrome，Opera等主流浏览器；同时支持微软Windows系列等操作系统。为业务访问提供最广泛的兼容性。

2.2 SSL VPN系统提供安全的身份认证

VPN系统支持LocalDB、LDAP/AD、Radius、第三方CA、自建CA、Dkey、短信认证（短信猫和短信网关）、硬件特征码、动态令牌多种安全认证方式，最大限度地保证了接入用户的合法性。

移动用户身份认证采用天威诚信CA和 VPN系统相结合的认证方式，用户使用颁发证书的USB KEY登录VPN系统，通过KEY+PING码的方式实现双因素认证。

2.3客户端安全检查从端点开始保障网络安全

VPN系统提供远程客户端安全扫描功能，可以要求远程计算机必须达到指定的安全级别，如远程计算机必须是XP SP2系统，必须安装指定的个人版防火墙软件。

2.4访问权限控制功能提供最细致的权限管理

VPN系统通过独特的角色管理功能，提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。

基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎，管理员还可以查看远程接入用户的所有访问记录。

三、技术应用

3.1南北多点冗余架构，满足高可用性需求

Web Agent动态选路，提高南北互访接入效率；

多台设备之间实现冗余及负载均衡，避免单点故障；

采用HTP协议技术能够显著提升存在丢包和延时网络的传输速度。比不采用该技术提速30%-50%。

？ 动态压缩技术，提高压缩效率，降低系统负载，从而提高整体的数据处理速度，提高业务的访问速度。

3.2统一域名接入访问，满足易用性需求

移动用户不论身处何地，只要能够访问互联网，在浏览器中输入URL网址，即可打开VPN登录页面，通过身份认证后即可访问企业内网资源。

3.3访问权限控制功能提供最细致的权限管理

SSL VPN资源控制灵活，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统（如：radius、AD等）结合更加便捷。

SSLVPN的安全通道是在客户到所访问的资源之间建立的，确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

3.4异地设备统一管理

SSL VPN分布式集群通过主节点和分节点的分级设置实现异地统一配置管理。

在整网SSL VPN集群节点中，只允许拥有一个主节点设备，只有主节点享有配置的权限，其余加入到该分布式集群网中的SSL VPN设备通过与主节点进行配置数据的同步保证分布式配置数据的一致性。配置数据在进行同步时都是采用加密的形式，保证配置信息的安全性。

四、综述

本文首先讨论了SSL VPN技术的相关原理，结合企业自身的业务需求，实现了集团层面的移动访问系统建设工作。移动访问VPN系统上线后，该系统已拥有用户近5000人，分布在全国各地区各单位。系统运行稳定，是各单位用户远程接入的首要选择。