VPN一體化網(wǎng)關(guān)在移動(dòng)辦公的廣泛應(yīng)用

一、 需求的提出

隨著企業(yè)的規(guī)模越來(lái)越大，在全省乃至全國(guó)設(shè)立分公司和辦事處，企業(yè)信息化是企業(yè)在市場(chǎng)競(jìng)爭(zhēng)中的利器，怎樣實(shí)現(xiàn)人、財(cái)、物等信息流在企業(yè)的順暢的流轉(zhuǎn)，ERP和OA辦公自動(dòng)化系統(tǒng)是必不可少的手段，而在以前，采用電信的專(zhuān)線組網(wǎng)方式是費(fèi)用十分昂貴，將給企業(yè)帶來(lái)沉重的負(fù)擔(dān)，而VPN的互聯(lián)方式是一種經(jīng)濟(jì)的手段，具有不受地域限制、安全性高，資費(fèi)經(jīng)濟(jì)等特點(diǎn)，非常適合于現(xiàn)代企業(yè)ERP互聯(lián)和移動(dòng)辦公的需要。

VPN是利用隧道技術(shù)來(lái)實(shí)現(xiàn)數(shù)據(jù)安全傳輸?shù)�。隧道技術(shù)是一種通過(guò)使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)(或負(fù)載)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)楨或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過(guò)互聯(lián)網(wǎng)絡(luò)傳遞。

被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過(guò)公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑稱(chēng)為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過(guò)程。

SSL VPN

SSL協(xié)議是網(wǎng)景公司設(shè)計(jì)的基于Web應(yīng)用的安全協(xié)議，它指定了在應(yīng)用程序協(xié)議(如HTTP，Telnet和FTP等)和TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶(hù)機(jī)認(rèn)證SSL協(xié)議是由SSL記錄協(xié)議、握手協(xié)議、密鑰更改協(xié)議和告警協(xié)議組成，它們共同為應(yīng)用訪問(wèn)連接提供認(rèn)證、加密和防篡改功能。SSL握手協(xié)議主要是用于服務(wù)器和客戶(hù)之間的相互認(rèn)證，協(xié)商加密算法和MAC(MessageAuthenticationCode)算法，用于生成在SSL記錄中發(fā)送的加密密鑰。SSL記錄協(xié)議是為各種高層協(xié)議提供基本的安全服務(wù)，其工作機(jī)制如下：應(yīng)用程序消息被分割成可管理的數(shù)據(jù)塊(可以選擇壓縮數(shù)據(jù))，并產(chǎn)生一個(gè)MAC信息，加密，插入新的文件頭，最后在TCP中加以傳輸;接收端將收到的數(shù)據(jù)解密，做身份驗(yàn)證、解壓縮、重組數(shù)據(jù)報(bào)然后交給高層應(yīng)用進(jìn)行處理。SSL密鑰更改協(xié)議是由一條消息組成，其作用是把未定狀態(tài)拷貝為當(dāng)前狀態(tài)，更新用于當(dāng)前連接的密鑰組。SSL警告協(xié)議主要是用于為對(duì)等實(shí)體傳遞與SSL相關(guān)的告警信息，包括警告、嚴(yán)重和重大等三類(lèi)不同級(jí)別的告警信息。

作為應(yīng)用層協(xié)議，SSL使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性。SSL安全功能組件包括三部分：認(rèn)證(在連接兩端對(duì)服務(wù)器或同時(shí)對(duì)服務(wù)器和客戶(hù)端進(jìn)行驗(yàn)證)，加密(對(duì)通信進(jìn)行加密，只有經(jīng)過(guò)加密的雙方才能交換信息并相互識(shí)別)，完整性檢驗(yàn)(進(jìn)行信息內(nèi)容檢測(cè)，防止被篡改)。保證通信進(jìn)程安全的關(guān)鍵步驟就是對(duì)通信雙方進(jìn)行認(rèn)證，SSL握手協(xié)議負(fù)責(zé)這一進(jìn)程的處理，圖2描述了SSL握手協(xié)議的消息流程。

SSLVPN技術(shù)特點(diǎn)

IPSecVPN和SSLVPN是兩種不同的VPN架構(gòu)，IPSecVPN是工作在網(wǎng)絡(luò)層的，提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信，而SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)和TCP層之間的，從整體的安全等級(jí)來(lái)看，兩者都能夠提供安全的遠(yuǎn)程接入。但是，IPSec VPN技術(shù)是被設(shè)計(jì)用于連接和保護(hù)在信任網(wǎng)絡(luò)中的數(shù)據(jù)流，因此更適合為不同的網(wǎng)絡(luò)提供通信安全保障，而SSL VPN因?yàn)橐韵碌募夹g(shù)特點(diǎn)則更適合應(yīng)用于遠(yuǎn)程分散移動(dòng)用戶(hù)的安全接入。

(1)客戶(hù)端支撐維護(hù)簡(jiǎn)單

對(duì)于大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問(wèn)是不需要在遠(yuǎn)程客戶(hù)端設(shè)備上安裝軟件，只需通過(guò)標(biāo)準(zhǔn)的Web瀏覽器連接因特網(wǎng)，即可以通過(guò)網(wǎng)頁(yè)訪問(wèn)到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。而IPSecVPN需要在遠(yuǎn)程終端用戶(hù)一方安裝特定軟件以建立安全隧道。

(2)提供增強(qiáng)的遠(yuǎn)程安全接入功能

IPSecVPN通過(guò)在兩站點(diǎn)間創(chuàng)建安全隧道提供直接(非代理方式)接入，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問(wèn);一旦隧道創(chuàng)建，用戶(hù)終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中，這會(huì)帶來(lái)很多安全風(fēng)險(xiǎn)，尤其是在接入用戶(hù)權(quán)限過(guò)大的情況下。SSLVPN提供安全、可代理連接。通常SSLVPN的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理服務(wù)器。如果用戶(hù)希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶(hù)在瀏覽器上輸入一個(gè)URL后，連接將被SSL代理服務(wù)器取得，并驗(yàn)證該用戶(hù)的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。

(3)提供更細(xì)粒度的訪問(wèn)控制

SSLVPN能對(duì)加密隧道進(jìn)行細(xì)分，使終端用戶(hù)能夠同時(shí)接入Internet和訪問(wèn)內(nèi)部企業(yè)網(wǎng)資源。另外，SSLVPN還能細(xì)化接入控制功能，提供用戶(hù)級(jí)別的鑒權(quán)，依據(jù)安全策略確保只有授權(quán)的用戶(hù)才能夠訪問(wèn)特定的內(nèi)部網(wǎng)絡(luò)資源，這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSecVPN來(lái)說(shuō)幾乎是不可能實(shí)現(xiàn)的。

(4)能夠穿越NAT和防火墻設(shè)備

SSLVPN工作在傳輸層之上，因而能夠遍歷所有NAT設(shè)備和防火墻設(shè)備，這使得用戶(hù)能夠從任何地方遠(yuǎn)程接入到公司的內(nèi)部網(wǎng)絡(luò)。而IPSecVPN工作在網(wǎng)絡(luò)層上，它很難實(shí)現(xiàn)防火墻和NAT設(shè)備的遍歷，并且無(wú)力解決IP地址沖突。

(5)能夠較好地抵御外部系統(tǒng)和病毒攻擊

SSL是一個(gè)安全協(xié)議，數(shù)據(jù)是全程加密傳輸?shù)�。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)網(wǎng)服務(wù)器和客戶(hù)端，只留下一個(gè)Web瀏覽接口，客戶(hù)端的大多數(shù)木馬病毒感染不到內(nèi)網(wǎng)服務(wù)器。而傳統(tǒng)的IPSecVPN由于實(shí)現(xiàn)的是IP級(jí)別的訪問(wèn)，一旦隧道創(chuàng)建，用戶(hù)終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)都是可以偵測(cè)得到，這就為黑客攻擊提供了機(jī)會(huì)，并且使得局域網(wǎng)能夠傳播的病毒，通過(guò)VPN一樣能夠傳播。

(6)網(wǎng)絡(luò)部署靈活方便

IPSecVPN在部署時(shí)一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處，因而需要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)。而SSLVPN卻有所不同，它一般部署在內(nèi)網(wǎng)中防火墻之后，可以隨時(shí)根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器，因此無(wú)需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。

二、OA辦公自動(dòng)化和移動(dòng)辦公系統(tǒng)

OA辦公自動(dòng)化系統(tǒng)是針對(duì)公司的日常辦公事務(wù)而發(fā)展的企業(yè)信息化的一個(gè)重要方面，它實(shí)現(xiàn)了企業(yè)內(nèi)部的信息們的流轉(zhuǎn)，具體包括企業(yè)的公文起草、流轉(zhuǎn)、審批、歸檔等方面，貫徹企業(yè)日常動(dòng)作的方方面面，在流轉(zhuǎn)的過(guò)程，伴隨著企業(yè)的資金流和物流�？梢哉f(shuō)，OA系統(tǒng)在提高企業(yè)的整體運(yùn)作效率方面發(fā)揮著越來(lái)越重要的作用。而從OA系統(tǒng)的發(fā)展，目前，OA大多數(shù)采用基于微軟的Exchange和IBM的Lotus郵件系統(tǒng)平臺(tái)，利用協(xié)同辦公的套件和其他的協(xié)同的工具，實(shí)現(xiàn)從文件的起草、審批、流轉(zhuǎn)、公告、歸檔等各個(gè)環(huán)節(jié)，并通過(guò)后臺(tái)的數(shù)據(jù)庫(kù)構(gòu)建基于C/S或B/S架構(gòu)的信息系統(tǒng)。OA系統(tǒng)具有過(guò)程流轉(zhuǎn)的特點(diǎn)，必須通過(guò)每一個(gè)環(huán)節(jié)的審批才能轉(zhuǎn)入下一環(huán)節(jié)。但是，如果公司的領(lǐng)導(dǎo)或其他部門(mén)的領(lǐng)導(dǎo)，出差或外出公干，則OA系統(tǒng)就無(wú)法正常流轉(zhuǎn)，影響到公司的日常運(yùn)作。另外一個(gè)方面，有些集團(tuán)公司，分公司與總公司之間需要下傳上報(bào)公司的相關(guān)政策文件，需要及時(shí)流轉(zhuǎn)公司信息流。在目前，只能通過(guò)文件的傳送方式，已經(jīng)遠(yuǎn)遠(yuǎn)不能滿(mǎn)足現(xiàn)代辦公的需要，而OA系統(tǒng)則能發(fā)揮高效率的優(yōu)點(diǎn)。

可以看出，OA系統(tǒng)需要借助現(xiàn)代的網(wǎng)絡(luò)和通信技術(shù)實(shí)現(xiàn)實(shí)時(shí)和信息流的傳遞，對(duì)于OA系統(tǒng)的遠(yuǎn)程互聯(lián)，IROUTER公司推出MH-700 IPSEC+SSL一體化VPN安全網(wǎng)關(guān)，在應(yīng)用方面支持分公司與總部的LAN-TO-LAN和外出的員工以PC-TO-LAN的遠(yuǎn)程訪問(wèn)方式。前一種主要是解決分公司與總公司的OA系統(tǒng)的互聯(lián)，通過(guò)VPN，可以安全傳遞公司內(nèi)部的文件，同時(shí)也可以支持分公司與總部的其他業(yè)務(wù)的開(kāi)展，如VOIP和視頻會(huì)議系統(tǒng)。而PC-TO-LAN主要是解決移動(dòng)辦公的問(wèn)題，外出的領(lǐng)導(dǎo)或銷(xiāo)售人員，可以通過(guò)SSL VPN撥入總部網(wǎng)絡(luò)，建立起安全的VPN隧道，登錄OA系統(tǒng)，在設(shè)定的權(quán)限下來(lái)實(shí)現(xiàn)公文的審批、記轉(zhuǎn)、實(shí)現(xiàn)遠(yuǎn)程的移動(dòng)辦公，解決了以前領(lǐng)導(dǎo)出差，大家等領(lǐng)導(dǎo)批文而耽擱浪費(fèi)時(shí)間的缺點(diǎn)，大大提高企業(yè)的工作效率，由于SSL VPN采用WEB瀏覽器，零客戶(hù)端的方式，可以大大的降低系統(tǒng)的維護(hù)量和簡(jiǎn)化網(wǎng)管人員的管理。

來(lái)源：中國(guó)IT實(shí)驗(yàn)室