安全远程访问系统设计

刘冬喜

（南车成都机车车辆有限公司信息中心，成都610051）

在异地的公司销售人员、管理人员如何能实现安全远程访问总部网络和应用系统，查阅e-mail或访问公司内部重要数据，这是企业网管必须解决的问题。南车成都机车车辆有限公司采用Sinfor SSLVPN M5100-S设备建立的安全远程访问系统，经过两年多的运行，效果良好，使身处总部网络以外的人员，能够在授权的情况下，方便地进入公司总部网络系统，运行有关的应用软件。

1 系统设计

1.1 设计目标

安全远程访问系统的设计目标：

（1）安装简单，界面友好，使用方便，具有高可用性，适用多种终端设备的接入访问。

（2）高安全性，高可靠性。SSLVPN（安全套接层虚拟专网）系统的部署使公司IT应用安全可控，众多员工可依赖该系统的可靠性作为移动办公和远程接入的手段。

（3）系统需对应用支持广泛。机车车辆公司内部IT应用复杂，包括OA、ERP、邮件和特定的应用系统等，部署SSLVPN的目的是支持公司内部众多IT应用和可预见的其它IT应用，提高员工的工作效率。

（4）对通过认证的用户进行访问权限控制，并对用户访问做详细记录。以备日后审计。

（5）对接入SSLVPN的用户进行强认证。为防止恶意用户访问甚至窃取企业内部存储众多的业务信息和商业信息，登录的用户除用户名和口令外，还应与CA数字证书服务器配合，完成对接入用户的认证。

1.2 设计原理

通过IPSecVPN技术实现大量数据的远程访问，曾经为人们提供了一种低运行成本、高生产效率的远程访问方式。但是，从远程通过IPSec通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。SSLVPN（安全套接层虚拟专网）技术，可以使员工出差时不必携带笔记本电脑，仅仅通过一台接入Internet的计算机就能访问企业资源，在为企业很好地解决安全性问题的同时提高企业的工作效率。

1.3 SSLVPN原理

SSL（安全套接层）协议是一种在Internet上保证发送信息安全的通用协议。SSL处于应用层，用公钥加密连接传输的数据进行工作。SSL协议指定了在应用程序协议（如HTTP、Telnet和FTP等）和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议3部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

SSLVPN是指使用者利用浏览器内建的SecureSocketLayer封包处理功能，用浏览器连接公司内部SSLVPN服务器，透过网络封包转向的方式，使得使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的SSL对传输中的数据包进行加密，在应用层保护了数据的安全性。高质量的SSLVPN解决方案可保证企业进行全局安全访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间，SSLVPN用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问，从而降低用户的总成本并增加远程用户的工作效率。

1.4 系统功能

（1）安全远程访问系统必须具备支持B/S构架和C/S构架的功能。使出差在外的人员能及时访问内网用户资源。

（2）系统具有可靠的安全性能

a. 传输的安全性：系统采用标准的SSL协议，无需安装客户端，只要接入到内网的计算机断开与Internet的连接，就立即阻断了黑客或者病毒的入侵；

b. 认证的安全性：除了最基本的用户名和密码外，只要企业建立了相应的安全认证服务器，如LDAP、Radius等，就能实现无缝结合，实现对接入者的身份认证，同时也可以采用USB KEY和动态令牌认证等方法，保证接入用户的安全和可靠；

c. 单点的安全性：在用户接入的同时，系统能够对接入机器的安全性进行全面检查，避免操作系统过低、未打补丁、未装杀毒软件、病毒库未及时升级、含有某些危险的进程以及注册表被木马或者黑客改掉的机器接入到内部网络中的安全隐患；

d. 权限的安全性：绑定每个人与能访问到的资源，防止越权访问的出现，避免泄漏公司重要信息。

（3）系统管理方便，日志丰富。具有完善的后台管理功能，能方便地实现用户管理、流量限制、安全设置、数据统计及报表生成等功能。

（4）系统操作简单，安装快捷，易维护。客户端不需安装配置，直接利用浏览器内嵌的SSL协议即可。

2 系统构成

经过测试和对比，系统采用Sinfor SSLVPN M5100-S设备，该设备可以单臂模式部署，拓扑结构如图1。该部署方式简单迅速，只需对所连接的交换机配置端口镜像，在防火墙上针对Sinfor SSLVPN M5100-S设备进行端口映射，对企业原有网络环境影响小，且达到设计要求。处在公网的用户可安全方便地通过SSLVPN网络访问公司内部网，实现移动办公和远程接入。

图1 SSLVPN系统实施拓扑结构图

3 系统实现

图2 角色关联

（1）设置远程用户，对需通过SSLVPN进入公司内部网络的用户，预设用户名、用户密码、认证方式、用户过期时间和用户日志。

（2）在系统中设置用户组，将具有相同访问权限的用户归结在同一组中，方便权限设置。

（3）建立可用资源，指定允许远程用户访问的资源，包括资源类型、主机地址和端口范围。

（4）设置角色信息，把用户和用户组需使用的资源关联起来。如：用户ldx，通过远程登录需要使用公司的OA系统，ldx进入公司局域网后按图2的方法就可正常使用公司的OA系统。

4 结束语

该系统投入使用后，有效地解决了公司在外人员远程访问公司内部资源的安全性问题，解决了公司员工在家办公的问题，做到资源共享，效果良好，达到设计要求。