SSL VPN技术在企业远程办公系统中的应用

【摘要】传统的主流IPSecVPN在实现安全远程访问时存在诸多缺陷，导致新的SSL VPN技术的兴起。本文先介绍了VPN技术，通过对比SSL VPN及IPSec VPN，说明SSL VPN作为企业网远程接入技术的优越性，并结合实例描述了SSL VPN实际部署方案。

【关键词】SSL VPN；IPSec VPN；企业；远程办公

当前，随着信息技术的发展，加剧了企业内部员工及合作伙伴间的信息交互，如何通过互联网访问企业内部系统，实现远程办公成为企业发展的必然要求。因公网传输的非加密性，使得安全性及保密性极差，虚拟专用网（VPN）以其公网连接、加密传输的优势，越来越多被企业所青睐。VPN技术包括L2TP、PPTP、IPsec VPN及SSL VPN等。在早期的企业远程办公系统中，主要是选用IPSec VPN，但因IPSecVPN存在通信性能较低、需安装专用客户端软件、安装维护困难、实际全面支持的系统比较少等缺陷，所以近几年，随着SSL VPN技术的发展，越来越多的企业倾向于采用SSL VPN构建企业远程办公，基于此，本文就SSL VPN的应用进行粗浅探讨，以供参考。

1 VPN技术概述

所谓VPN，即虚拟专用网或虚拟私用网，是一种充分利用隧道、认证、加密等技术手段，使用户以利用现有的Internet公共网络安全地远程访问公司的内部资源，相当于在远程结点及企业专网建立了专线，将远程的机构移动办公人员等接入到内部的专网，并保证私有数据的安全传输。VPN并非真正的专线网络，而是采用数据加密技术、身份认证技术、隧道技术及密钥技术等对通信数据保护，避免私有数据被篡改、泄露及复制。其包括以下两层含义，一是“虚拟的”，即用户实际上并不存在一个独立专用的网络，既不需要建设或租用专线，也不需要装备专用的设备，而是将其建立在分布广泛的公共网络上，就能组成一个属于自己专用的网络；二是“专用的”，相对于“公用的”来说，它强调私有性和安全可靠性。

2 SSLVPN技术极其优越性

SSL VPN是一种利用数据封装技术，基于SSL/ILS协议的强加密算法和认证机制来构造安全可靠的VPN的一种方案，其通过SSL加密隧道与双因子身份认证相结合来保护通信双方的数据。所有商业Web浏览器默认在所有支持HTTPS（基于SSL/ILS的HTTP）的操作系统上可用。

远程终端与web服务器建立连接时，实际上先与SSLVPN网关服务器建立连接。SSLVPN网关服务器在远程终端和web服务器之间提供信息转发服务，同时进行着加密解密的操作。对于远程终端来讲，SSLVPN网关服务器是支持SSL/ILS的Web服务器；对于web服务器而言，SSLVPN网关服务器又是客户端。在公共网络中（如Internet），远程终端先与SSLVPN关服务器间建立安全的连接，传递密文信息；在内部网络上，SSLVPN网关服务器与Web服务器不再建立SSL/ILS连接，直接传递明文信息。

可以说，SSL VPN是当前业界解决远程用户访问公司数据最安全简单的解决技术，任何安装了浏览器的用户电脑均可使用SSLVPN通过公网方便地远程接入企业内网。此外，SSL VPN还支持由企业可管理设备或家用Pc、公共Internet接入PC等非管理设备的接入，与IPSec VPN相较，其性能的优越性如表1所示：

3 实例分析

3.1概述

某集团公司局域网目前已和30多个处室、10多个二级单位的网络联通，形成了一个大型的局域网，网络设备也已经基本具备。因业务的扩展，领导或业务人员经常在外办公，为了能合理利用网络及内部资源，需提供一个单可行的远程接人方案，把移动用户接人到内网，同时对这些用户能有效进行管理。VPN技术可以很好地实现这一功能，经如上分析可见，相对于传统的IPSec VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。因此，本方案拟选用SSLVPN模式，其系统环境拓扑图见图1。

在OA系统实际布署中使用了4台服务器，分别为2台应用服务器、1台文件服务器及1台数据服务器。这4台服务器同1台汇聚交换机相连。SSL VPN接在出口防火墙上，采用的是旁路法相连。该法优势在于断开或调试VPN时，不会影响整个网络结构。局域网内部访问OA系统时，只要拥有访问OA系统的用户名和密码即可直接访问。依据安全控制策略为分散移动用户提供从外部访问内网资源的安全访问通道。