安全遠(yuǎn)程訪問系統(tǒng)設(shè)計(jì)

劉冬喜

（南車成都機(jī)車車輛有限公司信息中心，成都610051）

在異地的公司銷售人員、管理人員如何能實(shí)現(xiàn)安全遠(yuǎn)程訪問總部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)，查閱e-mail或訪問公司內(nèi)部重要數(shù)據(jù)，這是企業(yè)網(wǎng)管必須解決的問題。南車成都機(jī)車車輛有限公司采用Sinfor SSLVPN M5100-S設(shè)備建立的安全遠(yuǎn)程訪問系統(tǒng)，經(jīng)過兩年多的運(yùn)行，效果良好，使身處總部網(wǎng)絡(luò)以外的人員，能夠在授權(quán)的情況下，方便地進(jìn)入公司總部網(wǎng)絡(luò)系統(tǒng)，運(yùn)行有關(guān)的應(yīng)用軟件。

1 系統(tǒng)設(shè)計(jì)

1.1 設(shè)計(jì)目標(biāo)

安全遠(yuǎn)程訪問系統(tǒng)的設(shè)計(jì)目標(biāo)：

（1）安裝簡單，界面友好，使用方便，具有高可用性，適用多種終端設(shè)備的接入訪問。

（2）高安全性，高可靠性。SSLVPN（安全套接層虛擬專網(wǎng)）系統(tǒng)的部署使公司IT應(yīng)用安全可控，眾多員工可依賴該系統(tǒng)的可靠性作為移動(dòng)辦公和遠(yuǎn)程接入的手段。

（3）系統(tǒng)需對應(yīng)用支持廣泛。機(jī)車車輛公司內(nèi)部IT應(yīng)用復(fù)雜，包括OA、ERP、郵件和特定的應(yīng)用系統(tǒng)等，部署SSLVPN的目的是支持公司內(nèi)部眾多IT應(yīng)用和可預(yù)見的其它IT應(yīng)用，提高員工的工作效率。

（4）對通過認(rèn)證的用戶進(jìn)行訪問權(quán)限控制，并對用戶訪問做詳細(xì)記錄。以備日后審計(jì)。

（5）對接入SSLVPN的用戶進(jìn)行強(qiáng)認(rèn)證。為防止惡意用戶訪問甚至竊取企業(yè)內(nèi)部存儲眾多的業(yè)務(wù)信息和商業(yè)信息，登錄的用戶除用戶名和口令外，還應(yīng)與CA數(shù)字證書服務(wù)器配合，完成對接入用戶的認(rèn)證。

1.2 設(shè)計(jì)原理

通過IPSecVPN技術(shù)實(shí)現(xiàn)大量數(shù)據(jù)的遠(yuǎn)程訪問，曾經(jīng)為人們提供了一種低運(yùn)行成本、高生產(chǎn)效率的遠(yuǎn)程訪問方式。但是，從遠(yuǎn)程通過IPSec通道連接到企業(yè)內(nèi)部網(wǎng)絡(luò)可能會(huì)增加局域網(wǎng)受到攻擊或被病毒感染的可能。SSLVPN（安全套接層虛擬專網(wǎng)）技術(shù)，可以使員工出差時(shí)不必?cái)y帶筆記本電腦，僅僅通過一臺接入Internet的計(jì)算機(jī)就能訪問企業(yè)資源，在為企業(yè)很好地解決安全性問題的同時(shí)提高企業(yè)的工作效率。

1.3 SSLVPN原理

SSL（安全套接層）協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議。SSL處于應(yīng)用層，用公鑰加密連接傳輸?shù)臄?shù)據(jù)進(jìn)行工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議（如HTTP、Telnet和FTP等）和TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議3部分。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)和服務(wù)器之間的會(huì)話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會(huì)話。

SSLVPN是指使用者利用瀏覽器內(nèi)建的SecureSocketLayer封包處理功能，用瀏覽器連接公司內(nèi)部SSLVPN服務(wù)器，透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，使得使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。它采用標(biāo)準(zhǔn)的SSL對傳輸中的數(shù)據(jù)包進(jìn)行加密，在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。高質(zhì)量的SSLVPN解決方案可保證企業(yè)進(jìn)行全局安全訪問。在不斷擴(kuò)展的互聯(lián)網(wǎng)Web站點(diǎn)之間、遠(yuǎn)程辦公室、傳統(tǒng)交易大廳和客戶端間，SSLVPN用戶可以輕松實(shí)現(xiàn)安全易用、無需客戶端安裝且配置簡單的遠(yuǎn)程訪問，從而降低用戶的總成本并增加遠(yuǎn)程用戶的工作效率。

1.4 系統(tǒng)功能

（1）安全遠(yuǎn)程訪問系統(tǒng)必須具備支持B/S構(gòu)架和C/S構(gòu)架的功能。使出差在外的人員能及時(shí)訪問內(nèi)網(wǎng)用戶資源。

（2）系統(tǒng)具有可靠的安全性能

a. 傳輸?shù)陌踩裕合到y(tǒng)采用標(biāo)準(zhǔn)的SSL協(xié)議，無需安裝客戶端，只要接入到內(nèi)網(wǎng)的計(jì)算機(jī)斷開與Internet的連接，就立即阻斷了黑客或者病毒的入侵；

b. 認(rèn)證的安全性：除了最基本的用戶名和密碼外，只要企業(yè)建立了相應(yīng)的安全認(rèn)證服務(wù)器，如LDAP、Radius等，就能實(shí)現(xiàn)無縫結(jié)合，實(shí)現(xiàn)對接入者的身份認(rèn)證，同時(shí)也可以采用USB KEY和動(dòng)態(tài)令牌認(rèn)證等方法，保證接入用戶的安全和可靠；

c. 單點(diǎn)的安全性：在用戶接入的同時(shí)，系統(tǒng)能夠?qū)尤霗C(jī)器的安全性進(jìn)行全面檢查，避免操作系統(tǒng)過低、未打補(bǔ)丁、未裝殺毒軟件、病毒庫未及時(shí)升級、含有某些危險(xiǎn)的進(jìn)程以及注冊表被木馬或者黑客改掉的機(jī)器接入到內(nèi)部網(wǎng)絡(luò)中的安全隱患；

d. 權(quán)限的安全性：綁定每個(gè)人與能訪問到的資源，防止越權(quán)訪問的出現(xiàn)，避免泄漏公司重要信息。

（3）系統(tǒng)管理方便，日志豐富。具有完善的后臺管理功能，能方便地實(shí)現(xiàn)用戶管理、流量限制、安全設(shè)置、數(shù)據(jù)統(tǒng)計(jì)及報(bào)表生成等功能。

（4）系統(tǒng)操作簡單，安裝快捷，易維護(hù)?？蛻舳瞬恍璋惭b配置，直接利用瀏覽器內(nèi)嵌的SSL協(xié)議即可。

2 系統(tǒng)構(gòu)成

經(jīng)過測試和對比，系統(tǒng)采用Sinfor SSLVPN M5100-S設(shè)備，該設(shè)備可以單臂模式部署，拓?fù)浣Y(jié)構(gòu)如圖1。該部署方式簡單迅速，只需對所連接的交換機(jī)配置端口鏡像，在防火墻上針對Sinfor SSLVPN M5100-S設(shè)備進(jìn)行端口映射，對企業(yè)原有網(wǎng)絡(luò)環(huán)境影響小，且達(dá)到設(shè)計(jì)要求。處在公網(wǎng)的用戶可安全方便地通過SSLVPN網(wǎng)絡(luò)訪問公司內(nèi)部網(wǎng)，實(shí)現(xiàn)移動(dòng)辦公和遠(yuǎn)程接入。

圖1 SSLVPN系統(tǒng)實(shí)施拓?fù)浣Y(jié)構(gòu)圖

3 系統(tǒng)實(shí)現(xiàn)

圖2 角色關(guān)聯(lián)

（1）設(shè)置遠(yuǎn)程用戶，對需通過SSLVPN進(jìn)入公司內(nèi)部網(wǎng)絡(luò)的用戶，預(yù)設(shè)用戶名、用戶密碼、認(rèn)證方式、用戶過期時(shí)間和用戶日志。

（2）在系統(tǒng)中設(shè)置用戶組，將具有相同訪問權(quán)限的用戶歸結(jié)在同一組中，方便權(quán)限設(shè)置。

（3）建立可用資源，指定允許遠(yuǎn)程用戶訪問的資源，包括資源類型、主機(jī)地址和端口范圍。

（4）設(shè)置角色信息，把用戶和用戶組需使用的資源關(guān)聯(lián)起來。如：用戶ldx，通過遠(yuǎn)程登錄需要使用公司的OA系統(tǒng)，ldx進(jìn)入公司局域網(wǎng)后按圖2的方法就可正常使用公司的OA系統(tǒng)。

4 結(jié)束語

該系統(tǒng)投入使用后，有效地解決了公司在外人員遠(yuǎn)程訪問公司內(nèi)部資源的安全性問題，解決了公司員工在家辦公的問題，做到資源共享，效果良好，達(dá)到設(shè)計(jì)要求。