VPN技术在大型企业中的应用

VPN技术在大型企业中的应用

王天石

（中国人民大学信息学院，北京100872）

摘要：随着网络技术和移动互联网的高速发展，大型企业移动接入需求日益增长，如何保证移动接入安全已成为大型企业信息化建设中的关键问题。在介绍移动接入VPN的技术及应用的基础上，比较了SSLVPN与IPSecVPN技术的优势与不足，探讨了SSLVPN的应用模式。通过分析大型企业的常见移动接入业务需求，阐述了在大型企业网络中部署SSLVPN的设计方案，该方案能够支持多种移动终端的多因素认证和访问控制，确保大型企业移动办公的安全性、有效性和保密性。对大型企业实现移动接入具有一定参考价值。

关键词：移动接入；虚拟专用网

在经济全球化日趋深化的今天，企业之间的竞争越来越激烈，工作节奏也越来越快。随着网络技术和移动互联网的高速发展，大型企业移动办公接入需求日益增长。虚拟专用网络（VPN）具备低成本、良好的网络支持等特点，已广泛应用于拥有分支机构的大型企业。在网络安全威胁日益严峻的今天，如何保障企业员工安全、稳定地进行移动办公已成为大型企业信息化建设中的关键问题。本文通过分析大型企业的移动接入需求出发，分析如何解决其面临的安全问题，提出适合大型企业的移动接入系统解决方案，为企业员工移动办公提供坚实的网络安全保障。

1VPN概述

1.1VPN定义

VPN被定义为通过一个公用网络(通常是Internet)建立一个临时、安全的连接,是一条穿过公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司内部网建立可信、安全的连接,并保证数据的安全传输。虚拟专用网是对企业内部网络的扩展^[1-2]。

1.2常用的VPN技术

利用封装和隧道机制，VPN提供给企业在互联网链路上搭建端到端的、安全的私有网络连接的方案。企业常用的两种VPN技术分别是IPSecVPN和SSLVPN。

1.2.1IPSecVPN

IPSecVPN是一种基于网络层的VPN技术，可以支持所有IP应用，用于“站点—站点”或“点—站点”的VPN连接。

1.2.2SSLVPN

安全套接层(SSL，securesocketlayer)协议是一种在客户端和服务器端之间建立安全通道的协议，它具有通信双方身份认证及保护传输数据的功能。SSL协议建立在可靠的传输层协议之上(如TCP协议)，并且独立于应用层协议。高层的应用协议(如HTTP、FTP等)可透明地运行于SSL协议之上。^[3]

1.3IPSECVPN与SSLVPN对比

选项

SSLVPN

IPSECVPN

OSI

应用层

网络层

部署方式

集中部署

点对点部署

点对多点部署

管理难度

只需要管理核心节点

核心节点和分支节点都需管理

方案实现

个人移动办公接入

站点与站点之间互联

身份验证

单向身份认证

双向身份认证

数字证书

双向身份认证

数字证书

加密

强加密

强加密

全程安全性

端到端安全

从客户到VPN网关全程加密

VPN网关之间通道加密

可访问性

选用于任何时间、任何地点访问

限制适用于已经定义好受控用户的访问

成本

低（无需任何附加客户端软件）

高（需要管理客户端软件）

安装

即插即用安装

无需任何附加的硬件安装

需要安装专用的客户端软件

通常需要较长时间的配置

易用性

对用户非常友好

无需终端用户的培训

易用性强

对没有相应技术的用户比较困难

需要培训

易用性较差

支持的应用

所有基于IP协议的服务

所有基于IP协议的服务

用户

客户、合作伙伴用户、远程用户、供应商等

适用于企业内部大量用户

并发使用

2大型企业移动接入应用需求分析和技术手段

本章节将就对大型企业移动接入需求进行分析，分析可能出现的安全风险，并提出技术实现手段。

2.1公司内部管理人员

公司内部管理人员包括公司领导和一般管理人员。这部分用户群体远程接入到公司内部网络主要是批阅OA文件，审核ERP，查询核心业务系统信息等。由于其工作需要和工作的特殊性，对移动性要求最高，往往需要在火车站、机场、甚至在出差的路途中进行移动办公。上述场所往往只具备3G、4G或者是公共wifi等面向社会公众服务的互联网环境，网络环境复杂，安全风险较高，要求VPN在用户认证和数据加密方面应具备较高的安全性。同时，考虑到智能手机的全面普及，用户使用的便捷性，VPN应支持智能手机、PAD等移动终端的移动接入。

2.2公司内部普通员工

公司内部普通员工远程接入到公司内部网络主要是处理日常事务，包括起草和修改OA文件、起草、流转ERP，访问各个专业的业务系统等。这类群体使用移动办公接入的特点是：场景较为固定，一般是在家里，偶尔在外出差，对移动要求不太高，但需要访问的业务系统范围很大，几乎所有的日常办公系统都可能需要访问。这就要求SSLVPN应支持多种PC终端的操作系统，尤其要支持多种主流的应用系统的访问协议，以满足用户远程访问不同的业务系统的需求。

2.3公司内部信息系统运维人员

公司内部信息系统运维人员远程接入到公司内部主要是开展信息系统的相关维护和应急操作，包括节假日期间对公司内部信息系统的日常巡检，以及对故障信息系统的应急处置。这类群体使用移动办公接入的特点是：场景较为固定，一般是在家里，对移动要求不太高；需要访问的内部资源范围极大，包括几乎所有的网络设备、安全设备、服务器、数据库以及相关的应用系统，对远程访问的安全性要求极高。这就要求SSLVPN应支持几乎所有的网络、应用和数据库系统的访问协议，同时还应区分不同的运维人员只能访问各自负责的信息系统，以满足这类群体的访问需求。

VPN系统可采用双因素认证方式进行认证，通过合理权限划分，限制不同的运维人员的访问权限，结合堡垒机进行运维管理精细化的授权和审计，可以实现此类群体安全的接入公司内部网络。

2.4外部IT运维服务公司的技术人员

大型企业信息化建设较早，IT信息系统往往多而杂，时常会使用外部IT运维服务公司的远程技术服务，例如应用系统的应急恢复，数据库系统的远程维护等等。由于此类外部公司众多，且地点不固定，考虑到成本等原因，上述需求很难采用建立广域网专线的方式予以实现。

SSLVPN系统可采用双因素认证方式进行认证，通过合理权限划分，严格限制其访问的资源，并结合堡垒机进行运维管理精细化的授权和审计，可以实现此类外部人员的较为安全的接入公司内部网络。

3SSLVPN设计原则

在开展SSLVPN系统的设计时，应遵循以下设计原则：

3.1安全性：SSLVPN系统在提供给移动办公用户以便捷性的同时，也大大增加了企业的网络安全防护难度，对企业的网络安全保障工作提出了新的挑战。所以，安全性在SSLVPN系统的设计中是重中之重。

3.2稳定性：SSLVPN系统的稳定运行是实现企业移动办公的基本保障。企业应从产品选型、系统设计和方案部署等多个层面统筹考虑，采取多种技术手段，提升SSLVPN系统的整体稳定性。

3.3便捷性：SSLVPN系统的用户是时常在外办公的领导和员工，在保障网络安全的前提下，应采用先进的技术手段，尽可能优化用户使用界面，便于用户的操作和使用，提升用户的办公效率和体验；

3.4先进性：采用业界先进、成熟的产品和技术，支持主流的PC操作系统，支持苹果、安卓等主流移动终端操作系统和设备，确保系统具有一定的超前性。

3.5灵活性与可扩展性:系统配置灵活、管理方便，具备较好的可扩展性。

3.6可管理性：包括SSLVPN系统的配置管理、设备管理和安全管理。有多级组织的大型企业，还应考虑分级管理功能。

4SSLVPN常用访问方式

根据用户的访问权限，SSLVPN系统主要采用2种方式帮助远程客户端实现对企业内部应用服务器的访问。

4.1代理服务器模式

SSLVPN运行于代理服务器模式。此时，SSLVPN处于移动办公用户和Web服务器之间。对于移动办公用户浏览器来说，它是一个实现HTTPS协议的Web服务器；而对于Web服务系统来说，它是一个使用HTTP协议的客户端浏览器。移动办公客户端浏览器可以直接使用HTTPS协议向SSL代理服务器发出请求并接受服务。目前，大部分浏览器都已经集成了SSL(HTTPS)协议处理功能。因此，移动客户端在通过SSLVPN访问Web应用时，可以直接使用浏览器完成数据加解密，无需其他的配置。这也是人们常说的SSLVPN相对于IPSecVPN的优势所在。该模式适用于移动办公需求简单，IT运维能力较弱的中小企业。^[4]

4.2网络层连接方式

移动办公用户自助手动安装系统插件，或者直接登录Web浏览器，认证、授权成功后，SSLVPN系统会自动加载一个小插件，SSLVPN系统将为移动办公用户创建一条IPTunnel，分配一个内部网络的IP地址，从而实现对内部网络资源的访问。该方式从所支持的协议类型方面类似IPSecVPN，可以支持几乎全部的IP应用，包括相对复杂的SAP、Oracle，甚至包括视频会议等。大型企业信息化程度高，应用较为庞杂，领导和员工往往需要进行较复杂应用访问，IT运维能力较强，适用于本模式。

5大型企业SSLVPN移动接入设计方案

根据大型企业网络特点，结合业务需求和安全防护要求，基于本次提出的移动办公VPN设计原则，以及应用需求分析和技术手段，通过对企业网功能区的调整和优化，有针对性的构建了一套纵深防御体系，具体如图1所示。

图1

移动终端区表示了支持移动办公接入的终端类型，主要由手机和pad等移动终端构成，笔记本电脑和台式机电脑也有可能会用到。运营商网络表示了用于提供互联网接入的电信运营商的通信网络，包括3G、4G无线通信网、无线wifi网络以及各种互联网公共链路。

安全管控区位于大型企业互联网出口的前沿，用于部署实现逻辑隔离与安全连接的产品和设备，为SSLVPN移动接入系统提供快速的网络接入和安全防护功能。其中，链路负载均衡用于解决不同运营商互访延迟较高的问题，入侵防御设备用于监测和阻断来自互联网的攻击和入侵，防火墙用于与互联网进行访问控制，VPN网关用于与移动办公终端设备建立安全的加密隧道，从而实现安全访问。认证服务区部署实现用户统一身份认证平台和移动设备管理系统，其中用户统一身份认证平台用于构建企业统一的用户身份认证体系，并对移动办公用户进行认证、授权和审计。移动设备管理系统用于对企业的移动办公设备进行集中管理和控制。移动办公系统区，用于部署大型企业移动办公系统，通过该系统实现与现有的内部应用系统实现集成，实现移动办公用户在手机、pad等设备上进行移动办公的需求。

对于公司内部信息系统运维人员和外部IT运维服务公司的技术人员的远程接入访问，可以通过在SSLVPN系统上配置对应的用户组和权限，将其指向企业内部的运维管理审计系统（堡垒机），实现对信息系统运维的双因素认证、授权和审计。

通过部署上述技术措施，满足了大型企业的移动办公业务需要，提升了移动办公的安全性，实现了良好的应用效果。一是，实现了用户的双因素单点登录。移动办公用户只需在移动办公设备上登录VPN，输入有关用户认证信息和令牌信息，即可通过互联网访问企业内部业务应用，系统在后台自动完成VPN用户认证、授权、设备认证、隧道加密等。二是，拥有良好的用户体验。出差期间，移动办公用户可以使用公共的台式机或笔记本电脑，通过SSLVPN远程登录到企业内部网，访问业务系统的方式与其在企业内部网络中的访问方式相同，用户使用习惯不发生变化。使用手机或pad的用户在进行移动办公时，通过专用的移动办公APP访问有关业务系统，可以满足用户的基本的移动办公需要。

6设备选型

现在市场上的SSLVPN产品众多，在采购设备时应结合具体的应用场景予以考虑。一是，设备性能方面，包括设备最大吞吐量、用户数、并发用户数等。根据实际项目经验，宜选择硬件性能高于当前需求的设备，以便为未来系统扩展留有余地。二是，网络安全方面，包括系统高可用、用户认证方式、设备管理认证方式、SSL加密算法、用户的访问控制等。建议按照公安部网络安全等级保护的有关要求逐一对照，保证选择的产品功能合规。三是，设备功能方面，包括对主流智能移动终端（如手机、pad）以及多种移动终端操作系统（iOS、安卓等）的支持、对主流桌面终端操作系统的支持（如win7、win8、win10、MAC、linux等）、设备运维管理。四是，分级管理，比如具有多级组织的大型企业，可以建议统一的移动接入平台，通过分级管理的方式，实现统一平台，总部和分支机构各自管理用户分组和权限。

7总结

大型企业移动接入系统应具备系统安全可靠、用户使用便捷、较低的采购成本和运营成本、业务细颗粒控制和集中/分级运维管理等特点。本文对大型企业移动接入的应用需求进行了深入分析，列举了对应的技术手段，并根据设计原则，提出了有针对性的设计方案。该方案能够较好地满足大型企业的上述要求，从而提升企业的移动办公效率，简化IT运维的复杂程度，实现了发挥信息化优势，支撑企业高效发展的目标，是大型企业移动办公接入的理想解决方案。本文仅是作者在工作中的经验总结，希望文章能够对大家的工作有所帮助。

参考文献

[1]孔庆彦,李军,王革非,王义和,李莉.VPN电子政务网构建的设计[J].哈尔滨商业大学学报(自然科学版),2010(06):723-725+734

[2]戴宗坤,唐三平.VPN与网络安全[M].电子工业出版社,2002

[3]何亚辉.基于SSL协议的VPN技术研究及在校园网中的应用[J].重庆理工大学学报(自然科学版),2011(02):86-90

[4]龙锦远,陆松年,杨树堂.SSLVPN技术研究及系统构建[J].《微计算机信息》,2009(36):103-105.