IPSEC+SSL VPN一体化网关在移动办公的应用

2006-4-13　发布方：广州柏华　网友评论 0 条　点击进入论坛

　　【解决方案】随着企业的规模越来越大，在全省乃至全国设立分公司和办事处，企业信息化是企业在市场竞争中的利器，怎样实现人、财、物等信息流在企业的顺畅的流转，ERP和OA办公自动化系统是必不可少的手段，而在以前，采用电信的专线组网方式是费用十分昂贵，将给企业带来沉重的负担，而VPN的互联方式是一种经济的手段，具有不受地域限制、安全性高，资费经济等特点，非常适合于现代企业ERP互联和移动办公的需要。

　　VPN是利用隧道技术来实现数据安全传输的。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

　　被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。

1 SSL VPN

　　SSL协议是网景公司设计的基于Web应用的安全协议，它指定了在应用程序协议(如HTTP，Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证

　　SSL协议是由SSL记录协议、握手协议、密钥更改协议和告警协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主要是用于服务器和客户之间的相互认证，协商加密算法和MAC(MessageAuthenticationCode)算法，用于生成在SSL记录中发送的加密密钥。SSL记录协议是为各种高层协议提供基本的安全服务，其工作机制如下：应用程序消息被分割成可管理的数据块(可以选择压缩数据)，并产生一个MAC信息，加密，插入新的文件头，最后在TCP中加以传输；接收端将收到的数据解密，做身份验证、解压缩、重组数据报然后交给高层应用进行处理。SSL密钥更改协议是由一条消息组成，其作用是把未定状态拷贝为当前状态，更新用于当前连接的密钥组。SSL警告协议主要是用于为对等实体传递与SSL相关的告警信息，包括警告、严重和重大等三类不同级别的告警信息。

　　作为应用层协议，SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。SSL安全功能组件包括三部分：认证(在连接两端对服务器或同时对服务器和客户端进行验证)，加密(对通信进行加密，只有经过加密的双方才能交换信息并相互识别)，完整性检验(进行信息内容检测，防止被篡改)。保证通信进程安全的关键步骤就是对通信双方进行认证，SSL握手协议负责这一进程的处理，图描述了SSL握手协议的消息流程。

2、SSL VPN技术特点

　　IPSecVPN和SSLVPN是两种不同的VPN架构，IPSecVPN是工作在网络层的，提供所有在网络层上的数据保护和透明的安全通信，而SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间的，从整体的安全等级来看，两者都能够提供安全的远程接入。但是，IPSec VPN技术是被设计用于连接和保护在信任网络中的数据流，因此更适合为不同的网络提供通信安全保障，而SSL VPN因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。

    (1)客户端支撑维护简单
    对于大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件，只需通过标准的Web浏览器连接因特网，即可以通过网页访问到企业内部的网络资源。而IPSecVPN需要在远程终端用户一方安装特定软件以建立安全隧道。
    (2)提供增强的远程安全接入功能
    IPSecVPN通过在两站点间创建安全隧道提供直接(非代理方式)接入，实现对整个网络的透明访问；一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，这会带来很多安全风险，尤其是在接入用户权限过大的情况下。SSLVPN提供安全、可代理连接。通常SSLVPN的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将连接映射到不同的应用服务器上。
    (3)提供更细粒度的访问控制
    SSLVPN能对加密隧道进行细分，使终端用户能够同时接入Internet和访问内部企业网资源。另外，SSLVPN还能细化接入控制功能，提供用户级别的鉴权，依据安全策略确保只有授权的用户才能够访问特定的内部网络资源，这种精确的接入控制功能对远程接入IPSecVPN来说几乎是不可能实现的。
    (4)能够穿越NAT和防火墙设备
    SSLVPN工作在传输层之上，因而能够遍历所有NAT设备和防火墙设备，这使得用户能够从任何地方远程接入到公司的内部网络。而IPSecVPN工作在网络层上，它很难实现防火墙和NAT设备的遍历，并且无力解决IP地址冲突。
    (5)能够较好地抵御外部系统和病毒攻击
    SSL是一个安全协议，数据是全程加密传输的。另外，由于SSL网关隔离了内网服务器和客户端，只留下一个Web浏览接口，客户端的大多数木马病毒感染不到内网服务器。而传统的IPSecVPN由于实现的是IP级别的访问，一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，内部网络所连接的应用系统都是可以侦测得到，这就为黑客攻击提供了机会，并且使得局域网能够传播的病毒，通过VPN一样能够传播。
    (6)网络部署灵活方便
    IPSecVPN在部署时一般放置在网络网关处，因而需要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构。而SSLVPN却有所不同，它一般部署在内网中防火墙之后，可以随时根据需要，添加需要VPN保护的服务器，因此无需影响原有网络结构。

OA办公自动化和移动办公系统

　　OA办公自动化系统是针对公司的日常办公事务而发展的企业信息化的一个重要方面，它实现了企业内部的信息们的流转，具体包括企业的公文起草、流转、审批、归档等方面，贯彻企业日常动作的方方面面，在流转的过程，伴随着企业的资金流和物流。可以说，OA系统在提高企业的整体运作效率方面发挥着越来越重要的作用。而从OA系统的发展，目前，OA大多数采用基于微软的Exchange和IBM的Lotus邮件系统平台，利用协同办公的套件和其他的协同的工具，实现从文件的起草、审批、流转、公告、归档等各个环节，并通过后台的数据库构建基于C/S或B/S架构的信息系统。OA系统具有过程流转的特点，必须通过每一个环节的审批才能转入下一环节。但是，如果公司的领导或其他部门的领导，出差或外出公干，则OA系统就无法正常流转，影响到公司的日常运作。另外一个方面，有些集团公司，分公司与总公司之间需要下传上报公司的相关政策文件，需要及时流转公司信息流。在目前，只能通过文件的传送方式，已经远远不能满足现代办公的需要，而OA系统则能发挥高效率的优点。

　　可以看出，OA系统需要借助现代的网络和通信技术实现实时和信息流的传递，对于OA系统的远程互联，IROUTER公司推出MH-700 IPSEC+SSL一体化VPN安全网关，在应用方面支持分公司与总部的LAN-TO-LAN和外出的员工以PC-TO-LAN的远程访问方式。前一种主要是解决分公司与总公司的OA系统的互联，通过VPN，可以安全传递公司内部的文件，同时也可以支持分公司与总部的其他业务的开展，如VOIP和视频会议系统。而PC-TO-LAN主要是解决移动办公的问题，外出的领导或销售人员，可以通过SSL VPN拨入总部网络，建立起安全的VPN隧道，登录OA系统，在设定的权限下来实现公文的审批、记转、实现远程的移动办公，解决了以前领导出差，大家等领导批文而耽搁浪费时间的缺点，大大提高企业的工作效率，由于SSL VPN采用WEB浏览器，零客户端的方式，可以大大的降低系统的维护量和简化网管人员的管理。

　　MH-700同时是一台功能强大的防火墙，具有防止黑客攻击的手段，可以对内部的访问做限制，增强的带宽管理功能可以方便网管，并且可以支持限制BT-等恶意抢占带宽行为，一举几得，为中小企业提供一种安全接入的新的手段。

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表