大屯煤电集团分公司远程安全接入方案研究

　　近年来、随着信息技术的飞速发展和公司信息化建设的不断深入，在公司办公网络中已经建成了许多关键应用系统，这些关键的应用系统如OA办公、ERP、调度报表、主数据、邮件、病毒防护、财务管理、人力资源管理等系统。公司员工可以轻松通过公司内部网访问这些应用系统资源，不仅提高了公司的管理效率，而且促进了各项业务的发展，保证了公司的安全生产。

　　随着公司驻外分公司及办事处的设立以及远程办公、移动办公人员的增加，使用远程办公和移动办公的人也越来越多，更多驻外办公需要接入到公司的内部网络中，访问这些应用系统，公司网络应用中实现远程接入的需求变得日益迫切。

　　1 现状及存在问题

　　目前大屯煤电集团所有的应用系统和信息资源均布置在集团总部，驻外分公司及办事处通过网络运营商的10M专线接入互联网。随着集团信息化的进一步深入，积累的应用系统和信息资源越来越多，包括文件共享、调度报表、MRP、ERP、主数据、OA、邮件、WEB应用、病毒防护系统等，这些应用系统基于B/S和C/S架构。

　　集团所属驻外分公司、各办事处员工及出差人员仅能通过公网访问有限的资源，而对于只面向内部的大多数应用系统和信息资源，则无法获取。对外开放的应用系统如OA办公自动化系统、邮件系统、MRP系统、ERP系统、法律事务系统等所使用的公网地址和端口，很容易被黑客或不怀好意的人入侵，易感染病毒，用户及其访问的内容没有审计，缺少对访问内部资源用户身份认证和授权机制，整体安全性较低。这些关键的应用系统有些需要使用到某些特殊应用端口，而往往这些端口在许多地方被封掉，从而造成移动办公的人员不能正常访问一部分公司的关键应用系统。

　　2 SSL VPN远程安全接入的必要性

　　考虑到安全、高可用、实用、可管理、可扩展等因素，为了满足该集团驻外分公司、各办事处员工及出差人员访问内部资源其日常办公的需求，急需建立一个远程安全接入的平台。

　　VPN是一种在公用网络上建立专用网络的技术，VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，它可以提供远程的安全接入，而终端用户无需安装或设置客户端软件。目前，对SSL VPN公认的三大好处是：第一个好处来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，可以适用于任何终端及操作系统。所有的远程用户只需要打开浏览器即可成功接入集团总部内部网络。

　　采用SSL VPN接入方式不需要再安装任何客户端软件，操作使用方便，另外，SSL VPN对接入用户的访问权限可以进行控制，可以做到严格授权。

　　3 方案设计

　　本次安全接入的目标是应用远程接入技术实现驻外分公司及各办事处对公司关键应用系统的安全访问，使驻外人员可随时接入到公司内部网络中，并建成一个统一、便捷、高效的内部网络平台。

　　SSL VPN与IPSec VPN是目前流行的两种因特网远程安全接入技术，它们之间具有类似的功能特性，但也存在很大不同。

　　IPSec VPN提供完整的网络层连接功能，是实现多专用网安全连接的最佳选项，而SSL VPN的"零客户端"架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网Web应用。IPSec VPN需要软件客户端支撑，不支持公共Internet站点接入，但能实现Web或非Web类企业应用访问。

　　因此，集团公司选定了SSL VPN方式，同时，为了避免网络冲突，集团对所属企业、驻外分公司及各办事处的网络进行统一部署方案。

　　总体设计思路如下：（1）在集团总部内网部署高性能的SSL VPN网关；（2）在驻外机构及各办事处，办公人员通过远程接入到公司内部网，访问关键应用系统资源；（3）在集团总部SSL VPN网关上配置用户角色及相应的访问权限；（4）网关上设置可以自动生成系统日志和用户操作日志等。

　　4 实施方案

　　根据总体部署，我们在公司现有的防火墙后面部署了一台SSL VPN-Plus设备，由防火墙来转发所有对内部应用系统的SSL连接请求到SSL VPN-Plus上，由SSLVPN-Plus来处理用户的认证、授权以及信息的加/解密工作，而正常的网络访问流量通过防火墙的相关策略直接处理，由于防火墙的安全隔离作用，可以有效隔离大部分来自网络的攻击扫描行为，一方面保障了内部网络及服务器的安全，另一方面也可以有效保障VPN-Plus本身的安全性。SSL VPN-Plus工作在单臂模式，远程用户通过HTTPS协议安全连接到SSL VPN-Plus进行加/解密信息交换以及用户认证，并获得应用资源访问授权。当应用服务器增加时，不需要更改任何防火墙或者路由器策略，也不需要更改任何网络拓扑，只需要在SSL VPN-Plus上增加相应的策略，即可实现远程用户的安全访问，大大提高了易用性。

　　对于一般的用户而言，由于防火墙的NAT以及访问控制策略的限制，用户能够接触到的只是SSL VPN-Plus,而不可能接触到实际的内部网络应用服务器，所有对内网应用的请求会被防火墙直接强制转移到SSLVPN-Plus上，SSL VPN-Plus此时会和用户端发起SSL-VPN协商并进行进一步的通讯处理，由于防火墙的隔离以及SSL-VPN的限制，用户不会直接访问到应用服务器，大大提高了系统的安全性。

　　5 实施效果

　　采用SSL VPN-Plus远程安全接入方案后，实现了大屯煤电集团驻外分公司、各办事处员工及出差人员对集团OA办公自动化系统、财务系统、ERP系统、主数据等关键应用系统的安全访问，员工无论是在驻外分公司、各办事处，还是任何可以访问INTERNET的地方都可以进行安全的应用操作和业务处理，大大降低了管理维护成本，提高了大屯煤电集团内部应用系统和信息资源的处理能力，提高了工作效率。

　　项目的实施不仅满足了大屯煤电集团远程安全接入的需求，填补了驻外分支、办事处及出差人员无法安全访问集团内部全部应用系统及信息资源的空缺，同时系统还支持Telnet、SSH、VNC和windows RDP等应用，降低了管理和维护成本，减少了很多对内网的攻击，达到了对集团公司内部网的最大防护。

　　参考文献：
　　[1] 介斐。企业远程接入方式[J].石油化工建设，2007,2009,（3）。
　　[2] 郑洁。VPN技术在图书馆网络互联中的应用[J].中小企业管理与科技，2009,（24）。
　　[3] 朱祥华。VPN技术在企业远程办公中的研究与应用[J].信息安全与技术，2011,（1）。