SSL VPN实现企业实现业务平台的扩展

　　随着信息化建设的展开，日常工作的开展早已不局限于传统的办公桌前，在酒店里，在下基层调研的路途中，在机场候机室，随时随地都可能出现需要立即处理的事情，需要及时访问公司的内部资源如0A等。如何保障出差在外人员通过公网连接进局域网内部进行资源访问的安全性，又满足总公司和各下属分公司之间及时的信息共享的需求?这个问题困扰着公司的IT管理人员。

　　IPSec与SSL二合一VPN，可以同时圆满地解决总公司和各下属单位的纵向安全连接以及移动办公的安全接入问题，使已有的信息化资源发挥出最大的功效。

　　深信服二合一vpn网管的优势

　　1. 安全性

　　当员工在外地与总部联系的时候，可能需要传一些商业上的机密文件给总部，也有可能需要从总部得到一些内部的信息。如果在传输过程中如果出现数据丢失，或者是数据被盗取的现象将给公司带来很大的损失，因此我们在使用VPN办公时第一要注意的就是安全问题。深信服VPN必须得通过多种认证手段从源头来降低安全风险。

　　USB DKEY认证

　　深信服SSL VPN安全网关采用SSL协议加密建立安全的专用加密通道，除了使用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外，还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证，并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN(IPSec和SSL)系统，安全方便。

　　短信认证

　　无线技术的突飞猛进给网络世界又带来一次巨大的革命，其灵活可靠的特点吸引了所有人的视线，因此，依靠无线通讯技术的短信认证技术也应运而生。短信认证技术是一种革新型认证解决方案，此认证系统分为手机短信终端和短信认证服务器两部份。终端用户在既有移动电话和PDA的基础上，通过手机短信获得双因素用户认证访问代码，就能够安全地访问网络资源。

　　硬件绑定

　　传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺陷，深信服 SSL VPN使用了深信服公司的专利技术-基于PC硬件特征的证书认证系统(HARDCA)来实现基于硬件的认证。该认证原理是将用户账号与其所在计算机硬件信息(如CPU、硬盘、网卡等)进行绑定，即便用户账号意外泄露，由于非法用户无法使用与此账号事先绑定的那台计算机，因而不会造成非法用户接入。

　　动态令牌认证

　　动态令牌是技术领先的一种双因素强身份认证体系，采用用户PIN码+动态令牌码构成完整用户口令，令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成，每分钟改变一次，而且是一次性密码(密码使用后立即失效，不能重复使用)。由于实际上的安全问题都和密码有关，盗窃和破解密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题，为用户的使用提供了极高的安全性保证。

　　2. 稳定性

　　多线路技术实现线路备份，保证VPN线路稳定

　　深信服 SSL VPN支持多达6条线路的线路备份和负载均衡，大大提高了VPN网络的稳定性。由于VPN的稳定性是依赖于线路本身的稳定性，若采用单条线路，一旦中断，将造成整个VPN系统陷入瘫痪。通过多线路带宽迭加及复用技术，将多条线路、不同方式接入方式的上网线路实现带宽迭加和互为备份，保证了整个系统的持续可靠运行。若任何一条线路出现故障，深信服 SSL VPN可以将数据无缝切换到其他正常线路，不会影响SSL VPN用户的接入和访问。并且若故障线路恢复正常，VPN的连接隧道将自动愈合。这一切都是系统自动进行，无需人工干预，保证了用户的重要应用持续、不间断地稳定运行。

　　双机热备，保证VPN网络稳定性

　　深信服 SSL VPN安全网关内置了双机热备系统，其工作原理如下：

　　当SSL VPN网关启动时，系统会自动监听Console上是否相应的信号。若有检测到另外一台SSL VPN网关的信号时，表明有备份设备存在。则此时SSL VPN网关会自动协商主备信息，其中一台的设为主设备，另一台设备为备份设备。若主设备配置发生变化，比如有新的用户增加或者删除等情况时，主设备会通过console口发出指令通知备份设备，备份设备则同步更新相应的配置信息。因而通过console口，两台SSL VPN网关实现了实时的信息同步，达到双机热备的效果。

　　当主设备发生故障时，备份设备在5秒内没有收到来自主设备的信号，则备份设备认为主设备出现故障，随即启动相应服务程序，切换为主设备状态。而这一切对于客户端来说，都是自动进行的，整个过程无需人工手动干预。

　　深信服 SSL VPN安全网关内置了双机热备技术，在性能强大的同时，保证了VPN网络稳定、高效地运行。

　　自动恢复，提高网络适应能力

　　深信服 SSL VPN提供了看门狗提供自动恢复功能和配置备份功能，支持ADSL断线重拨功能。若由于线路中断而造成的VPN隧道中断，一旦线路恢复，深信服 SSL VPN随即将自动恢复，无需人工干预。

　　3. 快速性

　　多线路智能选路技术，选择最快的连接线路

　　目前，大规模VPN网络往往都是跨运营商的。但是跨运营商的网络环境较高的调包率，较大延时，严重影响了VPN的应用效果。

　　深信服 SSL VPN安全网关采用了多线路智能选路的功能，解决了国内跨运营商部署VPN网络时遇到的调包率高小，延迟大的问题。只要在VPN总部端申请多条运营商线路，采用深信服 SSL VPN的多线路版本。对于分布到不同运营商网络的远程接入用户，当发送一个连接请求到SSL VPN硬件网关时，SSL VPN会自动迁移到最快的线路上，完美解决跨运营商之间连接调包率高，延迟大的问题。

　　多线路智能选择最优线路功能

　　基于硬件的高效压缩算法，提高访问速度

　　传统的SSL数据传送都是经过没有压缩的，这样会导致客户端访问Web资源和C/S应用时速度低下。深信服 SSL VPN安全网关通过内置基于硬件的压缩算法和硬件加速卡，提升了网络的吞吐量。

　　深信服 SSL VPN安全网关采用了基于硬件的GZIP和LZO高速流压缩算法，对所有的VPN数据先压缩后传送，大大提高了终端用户在使用Web资源和C/S应用时的访问速度，减少下载时间和网络流量。尤其当终端用户在CDMA等移动网络上使用VPN时，效果更为明显，速度可以提高一倍以上。

　　网络拓展

　　案例介绍

　　中国网通广东省分公司VPN设计方案

　　业务的发展使移动办公成为必然。随着中国网通广东省分公司业务量的迅猛发展，越来越多的外部客户、代理商及内部员工需要接入网通内部网络，随时随地的访问网通内部的信息资源(如在线营业系统)，如果不加控制的放开信息系统的访问权限，必将使网通的内部网络暴露在可被攻击的环境下。

　　中国网通广东省分公司需要一种安全的接入机制来保障通信的安全，并达到以下要求：

　　1、直接接入公司内部访问相关的生产及开发资源。

　　2、提供WEB界面的接入方式，并能够实现Telnet、SSH、FTP及ORACLE等特定端口的访问。

　　3、采用USB KEY+密码的双因子认证方式进行认证。

　　4、支持从各种网络条件下的安全接入。

　　基于以上需求考虑，广东网通希望采用VPN技术来解决日益突出的安全接入需求。

　　经过对在线营业系统的安全需求分析，广东网通最终采用了深信服科技SSL VPN 高端产品M5800-S，该产品除具备SSL VPN的全部功能和技术特点，还内置有企业级防火墙和IPSec VPN功能。同时，M5800-S将SSL加密技术与基于USB Key的双因素身份认证相结合，通过从任何标准 Web浏览器接入，用户可实现到公司内部网络和应用程序的远程安全接入。对经常外出的移动办公人员，可以在任何场所、通过任何终端，无需安装任何VPN客户端软件就可以安全的访问公司内部资源。并且，基于USB Key的认证方式，可以同时应用于IPSec VPN和SSL VPN客户端中，省去了管理员维护大量IPSec和SSL客户端的诸多麻烦，网络管理成本也随之降低。

　　深信服 SSL VPN 给广东网通公司实现的价值

　　1、实现广东网通公司全省各营业网点安全联入公司在线营业系统，实时录入和查询，整合了在线营业业务系统;

　　2、广东网通公司业务人员通过SSL VPN可以随时调取总部CRM系统客户信息，不受地域的限制，拓展更多客户资源，及时录入CRM系统中;

　　3、简单迅速实现部署，不对原有网络造成任何影响，也更易于维护和管理，降低了网络管理员的维护量。