深信服广东网通SSL VPN解决方案

一、需求分析

随着移动数据技术的进步和电子商务模式的发展，选择远程办公的人越来越多。早在2003年，美国就有54%的雇员在企业的局域网之外通过远程接入的方式来实现异地办公。而在中国，通过互联网进行远程办公的员工也日渐增多。

随着中国网通广东省分公司业务量的迅猛发展，越来越多的外部客户、代理商及内部员工需要接入网通内部网络，随时随地的访问网通内部的信息资源（如在线营业系统），如果不加控制的放开信息系统的访问权限，必将使网通的内部网络暴露在可被攻击的环境下。中国网通广东省分公司需要一种安全的接入机制来保障通信的安全，并达到以下要求：

1、直接接入公司内部访问相关的生产及开发资源。
2、提供WEB界面的接入方式，并能够实现Telnet、SSH、FTP及ORACLE等特定端口的访问。
3、采用USB KEY＋密码的双因子认证方式进行认证。
4、支持从各种网络条件下的安全接入。

基于以上需求考虑，广东网通希望采用VPN技术来解决日益突出的安全接入需求。

二、技术方案

1、SSL VPN与IPSec VPN 

目前VPN领域并存着两种主流技术，即IPSec VPN和SSL VPN。由于员工远程访问的机会愈来愈多，SSL VPN的重要性日益提升，也必将成为远程访问的主流方式；不过，SSL VPN不会取代现有的IPSec VPN，IPSec仍适用于办公室等固定网络之间的联机，IPSec和SSL二者会长期共存。

目前多数的远程访问使用了IPSec安全协议，而最新的调查表明，接近90%的企业通过VPN进行的内外网连接都只是用来进行因特网访问和电子邮件通信，另外10%的用户是使用Notes客户端、通信工具和其它私有客户端应用，属非因特网应用。而这些应用都可以利用一种更加简单的VPN技术——SSL VPN来提供。基于SSL协议的VPN远程访问方案更加容易配置和管理，网络配置成本比起目前主流的IPSec VPN还要低许多，所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。

2、SSL VPN的主要优点

1、对应用的支持更广泛。最早期的SSL VPN仅仅支持WEB应用,但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL 隧道中，从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求，从而自动安装不同的插件。

2、对网络的支持更加广泛。早期的SSL VPN无法支持服务器和客户端间的双向访问以及UDP应用,更不支持给移动接入用户分配虚拟IP,无法实现按IP区分的安全审计功能。但现在优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP，并通过SSL 隧道建立层三（Level 3）隧道，实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。

3、对终端的安全性要求更严格。原来的SSL VPN设计初衷是只要有浏览器就能接入，但随着间谍软件和钓鱼软件的威胁加大，在不安全的终端上接入内部网络，将可能造成重要信息从终端泄漏。因此很多SSL VPN加入了客户端安全检查的功能：通过插件对终端操作系统版、安全软件的安装情况进行检查，来分配其接入的权限。