iGate助绍兴联通实现安全远程访问

地点：中国联通有限公司绍兴分公司

主人公： SafeNet iGate SSL VPN远程访问解决方案

场景：中国联通有限公司绍兴分公司主要承担中国联通在绍兴地区的电信建设和业务发展，包括长话、市话、移动通信和数据等其它增值业务。

症状：根据市场需要，应广大商要求，绍兴联通采用了基于Internet的直接缴费模式，取得了良好效果。

但随着业务量扩大，整个销售系统的安全使用问题也暴露出来。其中包括：客户端认证―系统软件中虽然设置了用户名+密码的认证方式，但是用户名和密码往往比较容易被盗用和破译；网络传输―由于这套业务受理系统通过Internet来连接网点和绍兴联通公司的数据中心，所有内容都会在Internet上传输，这种基于标准Http协议的明文传输很容易被截获；服务器被攻击―为了能让最终用户可以访问数据中心的服务器，绍兴联通需要把服务器的访问权限公布在Internet上。这给黑客留下了攻击和侵入的契机。

分析：根据系统的需求，绍兴联通提出了几种不同的解决方案。构建专网―通过专网，使得所有销售点和绍兴联通数据中心直接相连，以保证网络传输的安全性。但这对于客户端的认证，仍然无法增加任何强度；另外，这样的连接方式相当于把所有销售点的电脑直接接入数据中心服务器的内网，为病毒、蠕虫等威胁由此进入服务器而造成更严重危害提供了可能。

IPSec VPN系统已发展了多年，它可以在客户端和总部局域网之间利用Internet建立一条IPSec隧道，一定程度上提高了认证的安全强度。但使用IPSec VPN也存在着局限性。首先，每一个客户端都需要安装客户端软件，大大增加了销售人员的工作难度。其次，由于IPSec VPN的通道建立在网络层，在Internet中传输会遇到大量NAT和穿越防火墙问题，增加了连接VPN困难。另外，客户端的电脑直接连入数据中心内部网络，有可能会将病毒、蠕虫等威胁带入数据中心。

与传统的IPSec VPN不同，SSL VPN无需在客户端安装和设置任何软件，只要会使用浏览器上网浏览就可以毫无障碍地使用SSL VPN。同时，它不会受NAT和穿越防火墙问题的困扰，任何能连接Internet的方式都可以构建SSL VPN通道。同时，在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。另外，由于SSL VPN还有服务器的作用，所有客户端的访问都由iGate转发，从而使服务器不易受到攻击。

处方：经过方案比较，绍兴联通最终选择了SafeNet公司的SafeEnterprise SSL iGate产品来保护充值卡在线销售系统，实现安全远程访问。

治疗及康复：所有的访问都会使用SSL加密协议传递到iGate之后，由iGate再与服务器通信。而iGate的接入只需要使用一根网线连接到服务器所在内部网络的交换机即可，所有网络配置中的更改只是在防火墙上将原来解析到服务器内部网络地址的访问转向iGate。

百宝箱：客户端集成了iKey双因素认证令牌（需要同时提供令牌和PIN码进行认证）。而SafeNet公司的iGate是目前市场上唯一直接集成了客户端双因素认证令牌的SSL VPN，并且拥有iKey硬件才能通过认证。用户在连接VPN通道时，需要把iKey插入电脑的USB接口，然后输入自己设定的PIN码才能通过认证。另外，SafeEnterprise SSL iGate里面内置了SafeNet独有的CryptoSwift加速卡，专门针对SSL加解密运算，即使有大量并发的SSL连接也不会造成访问延迟。

用户点评：使用SafeEnterprise SSL iGate保护后的在线业务受理系统，操作员在使用过程中需要插入iKey并输入PIN码即可完成验证，能够和原有系统很好结合。目前绍兴联通已经在其所属的所有网点使用了SafeEnterprise SSL iGate构建的安全远程访问系统来保护其在线业务受理系统及现金缴费系统。