淺議基于深信服網(wǎng)關(guān)中SSL VPN技術(shù)和Easy Connect在移動(dòng)辦公中的應(yīng)用

摘要：隨著信息化和工業(yè)化的深度融合，每個(gè)企業(yè)都根據(jù)需要建立了先進(jìn)的信息化網(wǎng)絡(luò)用于提高辦公效率，企業(yè)要求員工不止在辦公室工作，還希望他們?cè)诔霾畹木频?、出?guó)調(diào)研的路途，甚至在機(jī)場(chǎng)的候機(jī)廳都能及時(shí)訪問(wèn)公司的協(xié)同辦公系統(tǒng)。SSL VPN和Easy Connect技術(shù)能滿足無(wú)處不在的辦公需求，并進(jìn)行文件審批，提高工作效率。

關(guān)鍵詞：深信服網(wǎng)關(guān);SSL VPN技術(shù);Easy Connect技術(shù);移動(dòng)辦公

在工業(yè)化和信息化深度融合、信息化反哺工業(yè)化的背景下，大型企業(yè)利用先進(jìn)的信息化基礎(chǔ)設(shè)施和移動(dòng)互聯(lián)網(wǎng)手段，加速業(yè)務(wù)流程，提高文件流轉(zhuǎn)效率;通過(guò)移動(dòng)互聯(lián)網(wǎng)，實(shí)現(xiàn)隨時(shí)隨地的業(yè)務(wù)響應(yīng)。企業(yè)通過(guò)基于Internet的網(wǎng)絡(luò)數(shù)據(jù)傳輸平臺(tái)，利用VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程通信，有多種技術(shù)，但比較流行的有IPSec VPN和SSL VPN兩種技術(shù)，一般固定的、小型分支組網(wǎng)會(huì)選擇IPSec VPN接入，而個(gè)人PC和移動(dòng)接入會(huì)選擇SSL VPN技術(shù)。在移動(dòng)互聯(lián)網(wǎng)時(shí)代， IPSec VPN技術(shù)，因其固有的特性，不能更好地滿足隨時(shí)隨地的辦公需要，通過(guò)技術(shù)演變成為SSL VPN技術(shù)，在深信服網(wǎng)關(guān)中和Easy Connect技術(shù)結(jié)合以后能更完美地解決了各下屬單位與總公司內(nèi)部網(wǎng)絡(luò)的安全連接和無(wú)處不在的移動(dòng)辦公的安全接入問(wèn)題。

一、原來(lái)IPSec VPN技術(shù)的缺點(diǎn)

以前大多數(shù)公司采用的是傳統(tǒng)的IPSec VPN來(lái)解決遠(yuǎn)程接入的問(wèn)題，但是IPSec VPN最初是為了解決Lan to Lan（網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)）的安全連接而制定的協(xié)議，因此在移動(dòng)互聯(lián)網(wǎng)時(shí)代面臨的的是End to Lan（點(diǎn)對(duì)網(wǎng)絡(luò)）的連接技術(shù)，所以SSL VPN考慮的是單點(diǎn)接入網(wǎng)絡(luò)，是應(yīng)用點(diǎn)對(duì)網(wǎng)絡(luò)的接入模式。而IPSec VPN是在兩個(gè)局域網(wǎng)之間通過(guò)因特網(wǎng)進(jìn)行的安全連接，保護(hù)的是網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的通信。IPSec實(shí)現(xiàn)VPN技術(shù)主要在網(wǎng)絡(luò)層采用隧道技術(shù)，建立一條IP通道，是基于網(wǎng)絡(luò)的;而SSL VPN技術(shù)主要在應(yīng)用層采用隧道技術(shù)，建立的是一條應(yīng)用層通道，是基于應(yīng)用的[1]。所以它們?cè)谝子眯?、安全性、擴(kuò)展性和訪問(wèn)控制方面都存在一定的區(qū)別，所以IPSec VPN技術(shù)在移動(dòng)互聯(lián)網(wǎng)時(shí)代中表現(xiàn)出下面一些缺點(diǎn)：[2]

1.客戶端配置問(wèn)題：在IPSec VPN連接中，每個(gè)接入的終端都要安裝相應(yīng)的IPSec客戶端，并進(jìn)行繁瑣和復(fù)雜的配置。當(dāng)接入的客戶端大量增加以后，給網(wǎng)絡(luò)管理和運(yùn)維工作帶來(lái)巨大挑戰(zhàn)。

2.IPSec VPN在移動(dòng)互聯(lián)網(wǎng)時(shí)代面臨的安全問(wèn)題：傳統(tǒng)的IPSec VPN技術(shù)不能很好的解決移動(dòng)用戶接入到私有網(wǎng)絡(luò)的安全控制問(wèn)題，這就為病毒的傳播和黑客入侵提供了很多可能的途徑。如果在受控的電腦上，比如員工辦公電腦上使用IPSec客戶端則可以通過(guò)部署統(tǒng)一的安全策略來(lái)解決這個(gè)問(wèn)題，但是如果讓合作伙伴或客戶的電腦或智能終端接入，這就很難控制了。

3.對(duì)網(wǎng)絡(luò)的支持問(wèn)題：傳統(tǒng)的IPSec VPN技術(shù)在網(wǎng)絡(luò)適應(yīng)性上存在各種各樣的問(wèn)題，采用一些非常用的端口以后，又給防火墻帶來(lái)了復(fù)雜的配置工作，因此在IPSec的客戶端上對(duì)網(wǎng)絡(luò)適應(yīng)性方面還存在一些問(wèn)題。

4.對(duì)移動(dòng)設(shè)備的支持問(wèn)題：在移動(dòng)互聯(lián)網(wǎng)時(shí)代，移動(dòng)終端的種類越來(lái)越多，因此，IPSec客戶端需要有更多版本才能適應(yīng)這些各種終端，這顯然是不現(xiàn)實(shí)的。

SSL VPN的突出優(yōu)勢(shì)在于Web安全和移動(dòng)接入，較好的解決了Web的易用性和安全性之間的矛盾，并且很好的適應(yīng)移動(dòng)互聯(lián)網(wǎng)時(shí)代的移動(dòng)需求。但是SSL VPN并不能取代IPSec VPN，因?yàn)檫@兩種技術(shù)的應(yīng)用領(lǐng)域不同。SSL VPN主要是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面;而IPSec VPN是在兩個(gè)局域網(wǎng)之間通過(guò)Internet建立的安全連接，保護(hù)點(diǎn)對(duì)點(diǎn)之間的通信，同時(shí)它并不局限于Web應(yīng)用，而是構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，其功能和應(yīng)用的擴(kuò)展性更強(qiáng)。

SSL VPN是結(jié)合行業(yè)標(biāo)準(zhǔn)認(rèn)證方法和SSL加密技術(shù)的一種代理技術(shù)，讓使用者更安全地訪問(wèn)企業(yè)內(nèi)部資源，這種訪問(wèn)技術(shù)使得用戶不需要真正地連接到企業(yè)服務(wù)器就可以訪問(wèn)后臺(tái)應(yīng)用和服務(wù)。到目前為止，SSL VPN是解決遠(yuǎn)程用戶訪問(wèn)企業(yè)敏感數(shù)據(jù)最簡(jiǎn)單、最安全的解決方案，是移動(dòng)互聯(lián)網(wǎng)時(shí)代遠(yuǎn)程接入的最佳選擇。SSL VPN是為了解決IPSec VPN固有的缺點(diǎn)而不斷改進(jìn)的，并繼承了IPSec VPN的遠(yuǎn)程使用與內(nèi)部局域網(wǎng)使用相一致的優(yōu)點(diǎn)，發(fā)揮了VPN連接與應(yīng)用無(wú)關(guān)的長(zhǎng)處，避免了IPSec VPN技術(shù)因?yàn)橛锌蛻舳硕鴮?dǎo)致的使用維護(hù)不方便、某些網(wǎng)絡(luò)條件下無(wú)法接通，帶來(lái)大量病毒和蠕蟲(chóng)的入侵、難以與企業(yè)認(rèn)證服務(wù)器相結(jié)合、無(wú)法審計(jì)等問(wèn)題。SSL VPN技術(shù)是基于應(yīng)用接口方式部署的虛擬專用網(wǎng)，要求的鏈路質(zhì)量比較高[3]，所以不僅能支持訪問(wèn)B/S應(yīng)用功能，還能訪問(wèn)C/S應(yīng)用功能。

二、深信服網(wǎng)關(guān)中SSL VPN技術(shù)的優(yōu)勢(shì)

基于深信服科技的SSL VPN技術(shù)在政府、教育、能源、電力、大型集團(tuán)用戶、郵政、氣象、金融等重要網(wǎng)絡(luò)中得到了廣泛的應(yīng)用，其獨(dú)有的技術(shù)占據(jù)了絕對(duì)的優(yōu)勢(shì)，可滿足移動(dòng)辦公、協(xié)同辦公、分支互連、應(yīng)用虛擬化、APP安全加固等多業(yè)務(wù)需求，主要有以下優(yōu)勢(shì)：

1.領(lǐng)先的技術(shù)。深信服科技公司是國(guó)家SSL VPN技術(shù)標(biāo)準(zhǔn)的核心制定者，擁有SSL VPN專利技術(shù)30多項(xiàng)。安全網(wǎng)關(guān)中融入了LZO壓縮技術(shù)，可以將帶寬提高到130%以上，給用戶帶來(lái)更快的訪問(wèn)體驗(yàn)。Web Push技術(shù)和多線路技術(shù)，成為業(yè)內(nèi)速度最快、安全性和易用性比較突出的解決方案，并且在數(shù)據(jù)傳輸過(guò)程、用戶接入認(rèn)證、內(nèi)網(wǎng)權(quán)限劃分等三方面可以根據(jù)實(shí)際需求設(shè)置相應(yīng)的安全性，其簡(jiǎn)潔、友好的操作界面為移動(dòng)辦公用戶提供了最簡(jiǎn)化的訪問(wèn)方式。深信服SSL VPN具備VPN專線技術(shù)，防止黑客通過(guò)遠(yuǎn)程控制，以攻擊用戶電腦作為跳板潛入VPN隧道，從而進(jìn)入總公司內(nèi)部網(wǎng)絡(luò)，由于現(xiàn)在的安全威脅已經(jīng)從惡意的攻擊轉(zhuǎn)為蓄意入侵，進(jìn)而盜取用戶的機(jī)密信息，SSL VPN的專線技術(shù)還可以避免把已經(jīng)感染木馬、間諜軟件的終端設(shè)備將一些安全隱患攜帶到公司內(nèi)網(wǎng)。深信服SSL VPN的客戶端安全準(zhǔn)入技術(shù)，還可以將不滿足客戶端安全準(zhǔn)入規(guī)則的客戶端不允許建立SSL VPN隧道接入企業(yè)內(nèi)網(wǎng)，還能對(duì)進(jìn)出的數(shù)據(jù)流進(jìn)行過(guò)濾，并能及時(shí)阻斷DoS攻擊。

2.深信服SSL VPN技術(shù)支持所有基于TCP/UDP/ICMP的應(yīng)用，甚至支持VoIP、視頻等。這樣使得公司內(nèi)的IT資源能通過(guò)SSL VPN技術(shù)平滑擴(kuò)展到世界上任何一個(gè)角落，并且對(duì)單一IP發(fā)起的會(huì)話數(shù)目進(jìn)行了限制，通過(guò)該特性可以讓世界上任何一個(gè)角落的用戶訪問(wèn)公司內(nèi)網(wǎng)資源，并支持多種智能終端接入，如支持Windows、Linux、Apple電腦、PDA、智能手機(jī)等，并且不需要用戶安裝任何客戶端軟件，從而保證用戶簡(jiǎn)單、方便地使用公司內(nèi)網(wǎng)資源，更好地滿足移動(dòng)互聯(lián)網(wǎng)時(shí)代異地辦公的需求。

3.支持雙機(jī)備份、多線路復(fù)用和智能選路等技術(shù)。當(dāng)公司內(nèi)大量的用戶使用SSL VPN系統(tǒng)時(shí)，如果其中一臺(tái)服務(wù)器設(shè)備出現(xiàn)故障時(shí)，另一臺(tái)服務(wù)器能迅速接管業(yè)務(wù)，不影響用戶正常使用。一臺(tái)服務(wù)器可以使用多條公網(wǎng)線路，一方面可以解決跨運(yùn)營(yíng)商網(wǎng)絡(luò)帶寬的瓶頸問(wèn)題，另一方面多線路并行還可以增加出口帶寬，線路之間還能實(shí)現(xiàn)負(fù)載均衡和備份，既提高了訪問(wèn)效率又節(jié)省了單獨(dú)使用負(fù)載均衡設(shè)備的花費(fèi)。在服務(wù)器中，還能保存海量的日志信息，以便設(shè)備受到安全攻擊后能追蹤攻擊源。

4.支持多種認(rèn)證方式。深信服SSL VPN技術(shù)除支持傳統(tǒng)的用戶名/密碼認(rèn)證方式，還支持短信認(rèn)證、硬件特征碼、動(dòng)態(tài)令牌卡、數(shù)字證書、USB-Key等多種認(rèn)證方式，還能和單位內(nèi)現(xiàn)有的微軟AD、LDAP、Radius等協(xié)議的第三方認(rèn)證服務(wù)器無(wú)縫配合使用，完成對(duì)用戶的接入認(rèn)證。通過(guò)認(rèn)證的用戶還能實(shí)現(xiàn)細(xì)粒度的控制，支持基于角色的權(quán)限管理，比如對(duì)用戶分組以后，被訪問(wèn)的資源可以根據(jù)資源的IP地址、端口、服務(wù)，甚至URL地址和時(shí)間進(jìn)行資源分組，用戶組和資源組之間可以靈活關(guān)聯(lián)，做到只給合適的用戶授予合適的訪問(wèn)權(quán)限，并對(duì)相關(guān)訪問(wèn)操作進(jìn)行審計(jì)。

與IPSec VPN相比，SSL VPN更加適合于客戶端單個(gè)設(shè)備接入中心網(wǎng)絡(luò)的應(yīng)用要求（如移動(dòng)辦公），而IPSec VPN則更適用于兩個(gè)網(wǎng)絡(luò)之間構(gòu)建安全通道，所以在深信服網(wǎng)關(guān)中采用SSL VPN技術(shù)搭建的安全接入平臺(tái)，通過(guò)集中管理各種遠(yuǎn)程接入操作行為、嚴(yán)格進(jìn)行訪問(wèn)控制限制、有效審計(jì)操作行為等技術(shù)手段，可以有效地提供對(duì)用戶接入進(jìn)行監(jiān)控管理，極大地提升了遠(yuǎn)程用戶接入總公司內(nèi)網(wǎng)的安全性。當(dāng)然基于SSL VPN功能的設(shè)備往往根據(jù)同時(shí)在線人數(shù)授權(quán)收費(fèi)，所以價(jià)格不菲，也可能會(huì)存在幾個(gè)用戶共享一個(gè)VPN賬號(hào)。[4]

三、深信服SSL VPN技術(shù)與Easy Connect技術(shù)完美結(jié)合在移動(dòng)辦公中的應(yīng)用

Easy Connect技術(shù)在相應(yīng)設(shè)備上部署以后，可以進(jìn)行跨平臺(tái)的統(tǒng)一應(yīng)用發(fā)布、移動(dòng)辦公、移動(dòng)校園、移動(dòng)銷售、移動(dòng)執(zhí)法、移動(dòng)稅務(wù)、移動(dòng)醫(yī)療、移動(dòng)采編、移動(dòng)物流、遠(yuǎn)程運(yùn)維等應(yīng)用。Easy Connect遠(yuǎn)程應(yīng)用發(fā)布技術(shù)能幫助用戶在任何時(shí)間、任何地點(diǎn)使用任何終端便捷地進(jìn)行辦公，提高辦公效率。即使單位領(lǐng)導(dǎo)或員工在外出差，通過(guò)深信服SSL VPN 和Easy Connect技術(shù)，就能將電腦上所有的辦公系統(tǒng)遷移到移動(dòng)終端上，使用PC、智能手機(jī)或PDA快速接入公司內(nèi)部系統(tǒng)，如協(xié)同辦公、合同管理系統(tǒng)、項(xiàng)目管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、ERP、CRM等系統(tǒng)。進(jìn)行移動(dòng)辦公、移動(dòng)審批等，從而讓辦公無(wú)處不在。

移動(dòng)互聯(lián)網(wǎng)已經(jīng)深入人們的生活，但很多辦公軟件無(wú)法正常在移動(dòng)終端上運(yùn)行，只能運(yùn)行在PC操作系統(tǒng)上。深信服科技的Easy Connect技術(shù)通過(guò)在企業(yè)內(nèi)網(wǎng)部署終端服務(wù)器，將企業(yè)應(yīng)用程序虛擬化，提供桌面服務(wù)。在用戶通過(guò)移動(dòng)終端訪問(wèn)企業(yè)應(yīng)用時(shí)，先訪問(wèn)企業(yè)SSL VPN門戶，通過(guò)驗(yàn)證后啟動(dòng)C/S客戶端連接終端服務(wù)器，在終端服務(wù)器上則安裝有企業(yè)應(yīng)用的客戶端程序。在智能終端上就會(huì)展現(xiàn)企業(yè)的客戶端程序界面，然后進(jìn)行業(yè)務(wù)訪問(wèn)，而真正的業(yè)務(wù)客戶端程序并沒(méi)有安裝在智能終端上，訪問(wèn)的數(shù)據(jù)也沒(méi)有留存在智能終端中。這樣既能夠?qū)崿F(xiàn)企業(yè)的移動(dòng)應(yīng)用，又能夠真正的達(dá)到數(shù)據(jù)防泄漏的目的，即使采用iPhone或iPad訪問(wèn)時(shí)，與內(nèi)網(wǎng)電腦訪問(wèn)體驗(yàn)一致。深信服Easy Connect遠(yuǎn)程應(yīng)用發(fā)布技術(shù)不用開(kāi)發(fā)App就能將PC上的所有辦公系統(tǒng)遷移到移動(dòng)終端設(shè)備上，能讓用戶在任何時(shí)間、任意地點(diǎn)使用安卓智能手機(jī)、iPhone/iPad等移動(dòng)終端設(shè)備快速、便捷地遠(yuǎn)程訪問(wèn)Windows應(yīng)用進(jìn)行遠(yuǎn)程辦公，文件審批，使工作變得更有效率，并能夠?qū)崿F(xiàn)數(shù)據(jù)的傳輸安全。傳輸原理如圖1：

該方式中，通過(guò)SSL VPN接入，數(shù)據(jù)經(jīng)過(guò)加密后傳輸，終端服務(wù)器與訪問(wèn)終端之間無(wú)需傳輸大量的業(yè)務(wù)數(shù)據(jù)，只需將鼠標(biāo)操作、鍵盤輸入、屏幕滑動(dòng)和屏幕更新等少量數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸，有效保證了數(shù)據(jù)傳輸和訪問(wèn)的安全性，因此訪問(wèn)安全性能大幅提升。并且，Easy Connect使用七種身份認(rèn)證方式和細(xì)粒度的權(quán)限控制，有效保障移動(dòng)用戶操作數(shù)據(jù)的合規(guī)性，可以對(duì)網(wǎng)絡(luò)進(jìn)行攔截、只允許某些應(yīng)用程序運(yùn)行、禁用客戶端映射選項(xiàng)及某些系統(tǒng)進(jìn)程等，從而進(jìn)行更細(xì)粒度的權(quán)限控制。并且SSL VPN網(wǎng)關(guān)部署在公司內(nèi)網(wǎng)防火墻后面，使得該防火墻只對(duì)SSL VPN網(wǎng)關(guān)設(shè)備開(kāi)放https端口地址，通常都是使用TCP連接的443端口[5]。

在使用時(shí)，用戶只要運(yùn)行PC或智能終端上的Easy Connect軟件，連接特定的深信服SSL VPN網(wǎng)關(guān)地址（因?yàn)閂PN跨越多個(gè)不同網(wǎng)絡(luò)，所以該IP地址必須是因特網(wǎng)的外網(wǎng)地址），如圖2，輸入相應(yīng)的用戶名和密碼，通過(guò)認(rèn)證，即可連接。如圖3：

當(dāng)通過(guò)用戶名和密碼認(rèn)證后，即可在PC機(jī)上像瀏覽因特網(wǎng)資源一樣通過(guò)SSL VPN專線訪問(wèn)公司內(nèi)網(wǎng)授權(quán)的資源。如果是在智能終端上使用，一般需要配合相應(yīng)的APP，比如昆鋼移動(dòng)辦公APP，才能達(dá)到性能最佳。如圖4：

結(jié)論

總之，隨著移動(dòng)智能終端和移動(dòng)互聯(lián)網(wǎng)的興起，通過(guò)在深信服網(wǎng)關(guān)中使用SSL VPN技術(shù)和EasyConnect應(yīng)用虛擬化功能完美結(jié)合后，可以幫助用戶將現(xiàn)有的IT應(yīng)用系統(tǒng)直接發(fā)布到各種智能終端，在服務(wù)器端不需要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行大量改造，在用戶端不需要安裝客戶端、零配置的移動(dòng)接入方式，提高易用性;使用多重加速技術(shù)，提高用戶的訪問(wèn)體驗(yàn);采用多種認(rèn)證組合，保障用戶及應(yīng)用數(shù)據(jù)的安全，并且軟件交互處理性能大大提升，業(yè)務(wù)提交速度明顯加快，還使用備份機(jī)制來(lái)降低因Internet線路中斷或硬件故障可能帶來(lái)的風(fēng)險(xiǎn)，從而搭建靈活的移動(dòng)辦公平臺(tái)，使得移動(dòng)辦公人員智能終端上可以不受時(shí)間和地點(diǎn)限制的辦公。網(wǎng)絡(luò)技術(shù)人員的管理和維護(hù)工作更多集中在終端服務(wù)器上，不需要對(duì)每個(gè)客戶端進(jìn)行部署及維護(hù)，運(yùn)維管理更加高效便捷，使公司現(xiàn)有的信息化資源發(fā)揮最大的功效，更好地服務(wù)于企業(yè)的發(fā)展戰(zhàn)略。

參考文獻(xiàn)：

[1]趙得椿，基于SSL協(xié)議的VPN系統(tǒng)安全性分析[J]，工程技術(shù)，2017，（11）

[2]深信服科技有限公司，深信服科技SSL VPN產(chǎn)品白皮書，2015年9月

[3]王曉，孫丕波， VPN安全性與地址沖突研究[J]，中國(guó)海洋大學(xué)學(xué)報(bào)，2011年3月

[4李鑫，張琴，基于多VPN技術(shù)的高校數(shù)字化校園網(wǎng)組建研究[J]，山西大同大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，（6）

[5]孫中華，基于VPN網(wǎng)的企業(yè)辦公安全接入技術(shù)[J]，福建電腦，2014，（8）

作者簡(jiǎn)介：趙得椿（1982.4---），男，云南瀘西人，昆明工業(yè)職業(yè)技術(shù)學(xué)院教師，碩士，計(jì)算機(jī)副教授、網(wǎng)絡(luò)工程師、通信工程師。研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及信息化。