SSLVPN解决方案

20世纪末,信息技术席卷全球,各个组织的相关生产经营活动通过IT技术来承载,使得整个社会的沟通与业务效率得到了长足的提升,从政府到事业组织、企业,从办公系统到业务管理、生产制造,信息技术已经完全渗透到组织的方方面面。

IT系统服务于组织的业务目标,员工在组织机构内接入IT系统后,可高效完成业务流程中的工作;但是,固定接入IT系统已经不足以满足需求,员工需要随时随地的远程移动接入。

  • 组织的管理层、员工在工作时间外出出差之后,需要及时处理业务相关的工作,否则业务效率会受到较大影响。
  • 组织的某些流程必须支持远程移动接入才能完成,例如销售分销合作伙伴接入、边远常驻员工接入、移动执法时信息交互等等。
  • 由于组织的业务效率提升的需要,在非工作时间需要远程接入IT系统处理业务相关工作,例如紧急业务审批等。

IT业务系统不论是CS模式,还是BS模式,不论是PC接入还是智能终端接入,都需要考虑远程移动接入,与固定接入方式互补,真正的将IT业务系统的潜力发挥出来。

SSLVPN远程接入架构
SSLVPN远程接入架构

员工接入设备移动化

随着IT技术的发展,组织的员工的办公计算机设备从台式计算机到便携式的笔记本电脑的转变,而随着移动互联网的发展,员工的办公设备又从笔记本电脑演变为移动智能终端。

  • 企业IT化移动接入:由于组织业务移动化的需求,企业给员工配置了便携式笔记本电脑,这种设备具备良好的移动计算和远程接入能力。
  • 消费化移动设备接入:随着人们消费水平的提高和计算机设备的成本降低,特别是移动互联网的发展,使得个人购置的移动式计算机和手机能够用来处理工作相关的工作,BYOD模式受到组织和员工的追捧,消费化的BYOD设备一样具备远程接入能力。

员工已经完全移动化,不论是通过组织配发,还是员工BYOD自带,使得IT业务的移动接入具备良好的基础。

VPN远程移动接入技术成熟

VPN(Virtual Private Network)是虚拟专用网的简称,虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术,实现低成本、高安全地解决数据传输及应用发布平台。VPN架构中采用了多种安全机制,如身份认证技术(Authentication)、加解密技术(Encryption)、密钥管理技术、隧道技术(Tunneling)等。通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。

端点接入VPN包含多个技术,如IPSec、PPTP、L2TP、OpenVPN、SSL VPN等,经过多年的发展,已完全成熟。

不同的VPN技术有各自的特点。IPSec采用专用的传输协议承载,主要用来进行用于网络到网络的网络互联,经过Xauth协议扩展、IKEv2增强之后,支持端点接入;PPTP是PPP协议的扩展,是一种点对点的VPN接入协议;L2TP是在PPP基础上的一种进一步优化,较多用于运营商的VPDN业务,对运营商核心网支持良好,可通过与IPSec结合支持加密;OpenVPN是一种开源的VPN技术,主要场景是设备的远程VPN接入,主要用于个人VPN接入场景。

SSL VPN是VPN的主流技术之一,即指采用SSL(Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB应用的安全协议,它包括:服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSL VPN就可以免于安装客户端。

相对于IPSec VPN等其他传统的VPN技术而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应性强等特点,非常适用于远程移动办公、无专门管理人员的分支接入等场景。而从OSI七层模型来看,SSL VPN是基于第七层应用层的VPN技术,相对于传统的IPSec VPN(三层网络层)、L2TP(二层数据链路层)、PPTP(二层数据链路层)等VPN连接方式,SSL VPN在对应用权限的划分上可做得更为细致,数据传递机制也不是简单的封装转发,从整体业务发布安全性的角度上来说安全系数更高。同时,基于SSL VPN部署的灵活性、使用的灵活性等特质,从安全防护方面,SSL VPN可引申出网络逻辑隔离、服务器隔离保护、应用系统强认证等多种安全解决方案,为用户提供多方面价值。

需求分析

远程接入办公

网上业务的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。为了实现人们的远程办公,需要保证人员外出时可以安全访问企业内部网络进行日常操作,并同时确保数据的安全。因此必须在选择方法时,充分考虑多种接入方式以及各个接入方式的安全性。

对于像核心系统,核心部门有大量的出差办公人员需要实现安全接入总部并传送数据。如何将这些移动的用户有效的连入总部,成为目前需要解决的首要问题,保障网络接入安全即可实现整网安全、高效互联要求。

分支互联组网

目前大型分支已经采用专线与总部进行互联,但部分中小分支由于较为分散,仍采用公网线路直接与总部互联访问服务器。这种将服务器直接挂在公网上并对外开放端口的方式,造成整体服务器区安全防护水平降低,若是遭到网络攻击服务器风险大。而如核心系统等重要系统所跑的数据都采用明文的方式在公网上传输,易遭到信息窃取、篡改等威胁。

专网中数据进行加密

目前在总部与大型分支之间已经采用专线实现组网,保证内网系统访问数据与互联网的安全隔离。但是在专网内同样存在信息安全级别不同的应用系统数据,如核心部门的业务系统数据安全级别较高,从信息安全规划及权限的安全方面进行考虑,需要在原有的专网中对不同安全级别的应用系统进行逻辑隔离、安全加密、权限划分。

应用系统认证保护

核心系统是涉及企业重要信息的系统之一,属于信息安全级别要求较高的应用系统。目前该系统仅依靠本身的用户名密码进行认证,单一的认证方式存在遭到密码窃取、越权访问的威胁,进而造成系统本身的信息安全威胁。需要对该应用系统进行安全增强,对人员登录系统的身份确认、访问系统的行为进行安全保证。

服务器区/办公网与生产网网络隔离

按照网络的安全级别要求来区分,服务器区/生产网是安全级别要求较高的,若是遭到非法接入、越权滥访、网络攻击等威胁将对整个企业造成巨大的损失。从风险规避的角度来看,需要对接入服务器区/生产网的人员身份、访问权限、访问行为进行三方面的保障。

合作伙伴移动接入

随着业务规模的扩大,业务系统也在不断延伸,除了建设内部自己使用的业务系统外,还建立了大量供第三方人员使用的业务系统,比如上游供应商的接入系统、下游代理商的接入系统、第三方维护人员的接入系统等,这些业务系统对整合和规范业务运作流程提供重大的帮助,进一步提高了业务运作效率。

随着信息化的建设的深入,逐步建设了规范化的网络管理,但是第三方接入也面临众多不可控风险:如身份认证单一、接入终端安全性无法控制、数据易被窃取、越权访问、恶意访问无法追踪、访问速度慢。

移动APP VPN安全接入

企业已经为业务系统开发针对智能终端iOS及Android的APP,员工在出差移动办公接入企业内部网时,如何保障数据传输安全性;如何才能够简便的方式将加密与APP更紧密的融合在一起,而不增加企业APP开发难度;如何对保留在终端的数据进行加密,避免终端遗失后对企业平稳运行造成不必要的风险……这些都是企业IT管理者需要考虑的问题。

钉钉/企业微信OA系统接入

随着移动互联网应用的发展,企业的员工的手机上都安装有用于及时通信的互联网应用,特别是微信、钉钉等软件。企业可以利用此类软件作为移动业务的入口,通过VPN加密传输和安全认证,让员工安全接入到企业内部系统,快速便捷地实现企业的OA、CRM等业务系统的移动化。

运维现状需求分析

安全认证登录
安全认证登录

问题分析

安全性问题

身份认证安全

现有系统采用的是较为单一的用户名密码认证方式,安全强度不高,极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破,导致核心数据的泄漏问题。尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。

终端访问安全

一旦远程终端通过VPN接入到了总部的网络,总部的安全域延伸到了远程终端。虽然在总部网络中有防火墙、IPS、防毒墙等一系列安全防御设备,但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低,而总部的防护设备又往往不能抵御VPN隧道中的威胁。为了保证整体安全防御水平,就需要对接入的终端主机的安全水平采取一定的控制措施。

例如金融交易系统等包含重要数据的业务系统,当用户通过远程接入的方式访问到这些系统时,由于系统交互、缓存等原因往往会在终端主机上保存部分应用数据,容易导致重要数据人为或是无意的泄漏,存在重大的信息安全隐患。如何让用户能方便快捷的远程办公的同时保障重要应用系统、核心数据的不外泄,是IT管理人员需要考虑的一个非常重要的方面。

权限划分安全

总部内网中有众多的应用系统,若是没有采用合理的访问权限控制机制,将重要服务器暴露在所有内网甚至外网用户面前,容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏,同时,开放的权限环境也将给重要的服务器开放了攻击通道,一旦遭到攻击后果将难以估量。所以,对于不同的应用系统需要对访问人员做好细致的访问权限控制。

应用访问审计安全

为了避免重要的信息系统的访问安全风险,做到有据可查,同时也为了了解应用系统的使用情况,需要对应用的访问采取必要的审计措施,了解何时何地何人访问了哪些应用系统。

业务数据迁移智能终端访问安全性

随着将业务系统迁移到BYOD终端,业务数据呈现于移动智能终端设备上,如何避免重要的业务数据随着智能终端丢失而造成泄密的风险,如何保障业务数据通过BYOD访问安全性,需要对业务系统迁移至智能终端访问做必要的安全措施。

远程访问速度问题

影响用户远程办公的最主要因素就是访问速度问题,拖滞的访问速度将大大影响用户的访问体验及办公效率,网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。

跨运营商访问问题

国内固网运营商为南电信北网通的格局,跨运营商访问时往往存在较为严重的丢包现象,一旦遇到丢包导致的频繁的重传将大大拖慢了访问速度。尤其是对于遍布各地远程接入用户而言,线路的运营商环境也多种多样,需要寻求一种方式解决跨运营商高丢包导致的速度问题。

高丢包、高延时访问问题

无线、偏远地区等高丢包、高延时的恶劣网络环境下的接入速度异常地慢,严重影响了远程办公的效率。如何在高丢包、高延时的网络环境下同样保证较高的访问质量提高工作效率?

手持移动终端访问问题

许多领导、员工已经采用PDA、智能手机等手持移动终端进行移动办公,但手持移动终端的受3G信号的制约,其访问速度往往不如有线网络。对于手持移动终端使用的最多的是B/S架构的应用,但现在B/S架构往往是针对电脑进行设计的,一旦使用PDA、智能手机访问,往往出现页面变形、图像过大等现象,影响用户体验的同时,过大的页面冗余数据量也拖慢了用户的访问速度。

大量重复冗余数据量

应用系统的使用往往存在大量的冗余数据,如同样的页面、文件中的相同的元素、系统每次交互的相同数据,这些冗余数据量的传输占用了大量的带宽资源,拖慢应用响应速度,影响了工作效率。

使用者终端易用性问题

在考虑到安全接入方式的时候,尤其需要考虑到终端易用性问题。需要接入到总部应用系统访问的人员普遍的IT水平都不高,复杂的软件端安装、参数调配都是非常不合适的。同时,接入应用系统的核心为办公,就需要提供一种最便利、最简单的接入方式,最大程度地方便接入人员的办公。

在一体化办公平台中往往需要使用到多个应用系统进行办公,远程用户在面对众多的应用系统时就需要记忆众多的用户名密码并依次登录才能办公,效率低下的同时,还容易混淆。

企业业务系统迁移至智能终端时,企业为智能终端系统Android、iOS开发业务系统APP,能否将VPN SDK包直接嵌入业务系统中,避免拨号连接VPN,再次启动APP,提高用户办公效率。

业务稳定性问题

远程发布的业务系统将直接关系到企业的业务能否正常运营、工作能否正常开展的问题,需要保证高可靠、高可用的稳定性。而VPN作为发布业务系统的基础平台,同样需要保证高稳定的运行以支撑整个业务的持续稳定。

整网设备管理便利性问题

需要接入到总部的部分远程分支没有配备专门的IT管理人员,在构建VPN网络时需要考虑到客户端维护成本问题,若是在分支端采用设备架设的方式则必须派专员去对设备进行维护,造成管理成本的上升。

企业的规模较为庞大,处于地域、组织架构等管理需要,面对不同的用户组需要由不同的管理员进行管理,保障信息安全的同时亦可提高管理效率。

部署方案

资源访问控制
资源访问控制

部署模式

SSLVPN解决方案采用灵活的部署模式,可根据企业实际网络架构选择最适合的部署方式。主要部署模式包括:网关模式、桥接模式和旁路模式。

  • 网关模式:SSLVPN设备部署在网络出口处,所有远程访问流量必须经过SSLVPN网关,实现集中管控。
  • 桥接模式:SSLVPN设备透明桥接在网络中,不改变现有网络拓扑,适合对网络改动敏感的环境。
  • 旁路模式:SSLVPN设备旁路部署,仅处理SSLVPN接入流量,不影响正常网络流量。

高可用性设计

为确保业务的连续性,SSLVPN系统支持双机热备部署模式。主备设备之间通过心跳线进行状态检测,当主设备发生故障时,备用设备自动接管业务,切换时间不超过3秒,确保远程接入服务不中断。

  • 支持主备模式(Active-Standby)和负载均衡模式(Active-Active)。
  • 自动同步配置信息和会话状态。
  • 支持VRRP、HSRP等高可用性协议。
  • 故障自动切换,无需人工干预。

安全认证体系

SSLVPN解决方案提供多层次的身份认证体系,确保只有合法用户才能接入企业内部网络:

  • 用户名密码认证:支持本地认证、LDAP/AD域认证、RADIUS认证等多种方式。
  • 双因子认证:支持短信验证码、动态令牌(OTP)、数字证书、USB Key等。
  • 生物识别认证:支持指纹、人脸等生物特征认证方式。
  • 单点登录(SSO):支持与企业现有身份管理系统无缝对接,实现一次认证、多处访问。

终端安全检查

SSLVPN系统在用户接入前对接入终端进行安全合规检查,确保终端环境安全可靠:

  • 操作系统版本检查:验证终端OS版本是否符合企业安全基线要求。
  • 杀毒软件检测:确认终端已安装并运行指定版本的杀毒软件。
  • 补丁状态检查:检查关键安全补丁是否已安装。
  • 硬盘加密检测:验证终端硬盘是否启用加密保护。
  • 不合规终端处理:可配置拒绝接入、隔离访问或限制访问范围等策略。

细粒度访问控制与传输加密

基于角色的访问控制

基于角色的访问控制(RBAC)机制,确保用户只能访问其权限范围内的资源:

  • 基于用户/用户组的资源访问授权。
  • 支持基于时间、地点、终端类型的访问策略。
  • 应用级访问控制:精确到具体应用系统的访问权限管理。
  • 数据级访问控制:支持对敏感数据的访问、下载、打印权限控制。

传输加密与优化

SSLVPN采用业界标准的SSL/TLS加密协议,确保数据传输安全:

  • 支持SSL 3.0/TLS 1.0/1.1/1.2/1.3协议版本。
  • 支持AES-256、3DES、RC4等加密算法。
  • 支持国密SM2/SM3/SM4算法,满足国内合规要求。
  • TCP优化:通过数据压缩、连接复用等技术提升传输效率。
  • UDP over TCP:解决UDP被运营商限制的问题。

审计与监控

完善的审计和监控功能,帮助企业实时掌握远程接入情况:

  • 用户登录/登出日志:记录用户接入时间、IP地址、终端信息。
  • 访问行为日志:记录用户访问的资源、操作行为。
  • 实时监控大屏:可视化展示当前在线用户数、流量统计、系统负载等。
  • 告警机制:异常登录、越权访问等行为实时告警。
  • 报表导出:支持多种格式的审计报告导出。

方案优势

SSLVPN解决方案凭借以下核心优势,为企业提供安全、高效、便捷的远程接入体验。

  • 部署简单:无需安装客户端,浏览器即可接入,大大降低部署和维护成本。
  • 安全性高:采用SSL协议加密传输,支持多种强身份认证方式,从终端检查到访问控制全流程安全保障。
  • 权限精细:基于应用层的访问控制,可精确到具体页面和操作级别,远超传统VPN的网络层控制。
  • 兼容性强:支持Windows、macOS、Linux、iOS、Android等主流操作系统和浏览器。
  • 性能优化:内置数据压缩、缓存优化、TCP加速等技术,即使在弱网环境下也能保证良好的访问体验。
  • 易于管理:提供可视化管理界面,支持集中配置和监控,降低运维复杂度。
  • 可扩展性好:支持水平扩展,可根据用户规模灵活增加设备节点。
  • 合规性强:满足等保2.0、数据安全法等法规要求,支持国密算法。

联系我们

华南腾飞专业集成通信网络及网络安全建设,拥有十几年以上施工及实施经验,为广大客户解决了通信网络及网络安全各种难题,得到了广大客户的广泛认可。我司免费为直接客户及工程集成商提供全套解决方案及报价,欢迎全国广大客户来人来电咨询业务!

24小时联系信息

Copyright © 2011-2026 www.hntfkj.cn 深圳市华南腾飞科技有限公司 All Rights Reserved.