农行四川省分行SSL VPN案例

客户背景

       中国农业银行是四大国有独资商业银行之一，在全球1000家大银行中名列第25位,是入选《财富》500强的大型企业。在四川，中国农业银行辖21个市、州分行，185个县级支行，2000余个营业网点，3万名员工，机构遍布城乡，是四川省金融服务网点最多，网络覆盖面最广，服务功能最全的国有商业银行。

    在新的经济环境下, 农行四川省分行需要其员工在任何地点、任何时间访问各种IT资源，满足其开展全省业务的需要，在与其他国有大型银行及新兴中小银行的竞争中立于不败之地。目前，农行四川省分行已部署有OA系统、邮件系统、文件数据共享系统等，但这些应用系统只局限在内网的访问和使用。如何让出差在外、在家办公的员工访问应用系统，在任何地点都产生收益，是农行四川省分行亟待解决的一大问题。

技术需求

从技术角度看，农行四川省分行分别从安全性、可控性、易用性等方面提出了相应要求：

1.     安全性：如果需要向外网用户开放部分内网资源，数据传输的安全性首先要得到保障。其中，用户身份验证的安全性需着重考虑，如不能有效识别用户的身份，使得非法用户接入内网，将给银行带来巨大的安全隐患。

2.     可控性：对通过身份验证的接入用户所访问的内网资源必须可控，即能做到为不同用户分配不同的访问权限，并且能够对用户的访问日志进行详尽记录，以便查询、汇总和审计。

3.     易用性：方案的部署是为了方便用户的使用，提升工作效率，所以要保证客户使用简单方便，并能够适应各种网络接入环境。

解决方案

农行四川省分行从一开始的技术方案选型阶段就已经明确表示：专线一方面不能解决移动接入的问题，同时费用高昂；采用老式拨号接入的方案，部署复杂，且权限无法控制，只有采用VPN技术才是理想的解决措施。

而在农行四川省分行的进一步选型过程中，发现传统的IPSec VPN需要安装客户端软件，在接入用户的访问权限控制方面也不够完善；而SSL VPN无需客户端的安装和配置，一些优秀的产品还支持将多种身份识别方式进行组合，并提供严格的访问权限控制，满足了该行对安全性、可控行和易用性的要求。

在通过对国内外多款SSL VPN的综合比较后，农行四川省分行最终选择了同深信服合作，部署其领先的M5400-S SSL VPN远程接入系统。M5400-S是千兆级的SSL VPN网关，支持多种身份认证方式和详细的日志记录，可满足近千名用户同时登录，在国内金融系统的应用较为广泛。