1. 背景

随着业务的扩展，很多企业会出现众多的分支机构和移动办公人员，而将这些有地域限制的终端整合在一个网络中办公是企业信息化的一个必然过程。因为很多的应用系统平台都部署在总部网络，而每个分支机构和移动人员都需要接入总部访问这些应用系统平台（例如：ERP、OA、CRM、E-mail、FTP、WWW、网络存储、VOIP等）。

2. 典型用户问题

总部之外的办公人员通过SSL VPN技术可以方便且安全的访问这些应用系统，大大的提高了工作效率。然而由于办公低端的移动性、办公人员的不确定性，导致网络管理者对非总部员工的安全接入无法有效管理， 主要存在如下问题：

1) VPN用户是安全防护的薄弱点

部署了支持SSL VPN隧道技术的设备，满足了移动用户的安全访问要求，但随之也带来了网络攻击不断、病毒扩散迅速的网络安全隐患。便携式计算机在任何接入点都随意接入互联网，且没有定期杀毒和查木马的习惯。如果员工将感染被病毒或者被种木马的设备接入到公司网络中，将会影响全公司的网络，因为公司网络间的VPN互联，使分支机构和总部的访问像局域网一样方便，病毒和木马的扩散也非常方便。

2) 认证方式单一，安全隐患重重

传统的SSL VPN接入的认证方式，基于用户名和密码，虽然能够防止非授权用户的访问，但仍存在被破解的风险。① 某些人的密码设置简单，很容易被黑客猜中或者破解；② 员工流动性大（比如物流行业），口令密码不能及时关闭，离职员工仍能访问内网；③ 现在黑客获取用户信息的手段多种多样，如果用户在某个论坛的数据库被窃取，黑客马上可以通过撞库方式获取该用户在其他系统的密码。

3) 业务系统种类多，运维管理难度大

随着企业的发展，公司内部的业务系统越来越多，这些不同的系统往往是在不同的时期建设起来的，使用了各种不同的技术和标准，运行在不同的平台上；每个单独的系统都会有自己的安全体系和身份认证系统，进入每个系统都需要进行独立的认证登录，这样的局面不仅给管理上带来了很大的困难，在安全方面也埋下了重大的隐患，网络运维管理者和企业员工都不满意。

4) 跨互联网的局域网应用，业务访问体验差

SSL VPN技术的部署，使得移动办公用户与总部网络之间互相访问就像局域网访问一样，适用于局域网环境，存在大量的小包交互、频繁交互。在跨运营商，或是跨区域、国外网络等长距离传输时，流量经过多个性能不一致的网络，会导致高丢包率、高延时的问题。直接反映到用户应用访问上，就是打开公司主页特别慢，访问OA系统有时打不开，财务报表填完了提交不成功，和总部的同事传文件特别慢等等影响工作情绪及效率的体验。

SSL VPN技术解决了移动办公用户和总部之间数据传输的安全性，但由于上述问题将导致访问安全性较低、影响员工的工作效率，增加运维成本。所以，安全高效的SSL VPN隧道访问技术成为网络管理者关注的焦点。

3. 解决方案

光联集团产品既能提供全方位的安全防护功能，又能够在普通的公共网络基础上组建高安全性的虚拟专用网络，同时提供丰富的认证方式，保障 SSL VPN 接入的安全性和可靠性。

SSL VPN多认证接入方案示意图

SSL VPN安全策略配置：创建SSL VPN用户安全域，将所有SSL VPN用户添加到该安全域，配置针对SSL VPN接入流量的区域安全防护策略，配置IPS、AV等安全模块策略。

SSL VPN多接口配置：部署在企业总部的光联集团设备开启SSL VPN功能，作为SSL VPN接入网关。如果客户有多个运营商接口链路，在配置服务IP和接口时，可以选择多个服务IP和接口，通过不同运营商接入的SSL VPN客户端可选择所在的运营商服务接口IP登陆VPN，提升访问速度。

SSL VPN硬件认证配置：开启硬件认证配置功能，支持硬件收集模式和硬件认证模式，默认选择硬件收集模式，自动收集硬件信息，管理员审核通过后，该账户和硬件信息绑定。

SSL VPN配置证书与USB-KEY认证：在VPN用户管理模块，开启证书/Ukey认证方式。这样用户登录VPN时，需要插入Ukey完成证书校验，才能成功登陆。USB-KEY插入PC后会自动安装驱动，如果没有自动安装，也支持手动安装。

单点登陆配置：对于需要单点登陆的资源（例如OA系统应用）开启单点登陆配置，当远程接入用户登录VPN之后，访问内网OA系统时，无需输入应用系统用户名和密码即可登录，即接入用户只需一次登录（登录VPN）即可访问内部资源，简化登录操作，提升系统易用性。

开启SSL VPN加速功能：保障在网络环境恶劣的情况下，外部通过SSL VPN访问内部资源时，仍能够保持较快的访问体验。

4. 技术优势

1) VPN与防火墙技术完美融合

光联集团产品能够提供SSL VPN隧道技术，在满足移动办公人员安全接入的同时，可以将移动接入用户划分到一个特定的安全域，并对该安全域做针对性的访问控制策略和安全模块过滤。在提供传统防火墙基本防护功能的同时，还能够保持高性能的实现IPS、AV、URL过滤等下一代防火墙的安全防护功能。

2) 硬件特征码绑定

客户终端的硬件信息由CPU和硬盘信息编码组成，该编码代表唯一的硬件终端设备。硬件信息的获取由SSL VPN客户端自动获取并上传到SSL VPN网关，可以实现自动审批或者管理员手动审批。可以限制每个用户拥有的硬件信息个数，以保证安全性。

3) 隧道流量单边加速技术

针对传统TCP“慢上升、快下降”的低效传输机制，光联集团通过单边加速技术优化TCP连接过程。通过拥塞避免机制，加速模块能够快速预估网络中可用带宽，并根据估值确定拥塞避免窗口，最大限度的利用网络带宽；加速模块能够快速检测出丢包，并能快速重传该包，对时延较大，网络状况较差的情况能够有效的提升带宽利用率，从而提供更大的吞吐量。

5. 价值

1) 所有接入流量的安全管控

单纯的VPN设备通过加密将移动办公用户流量从远程接入到总部内网，那么部署在总部安全设备对加密隧道内的流量无法进行安全过滤。只有下一代的安全防护技术与VPN隧道技术的完美结合才能做到无死角的全方位防护。

2) 多因素认证，确保用户安全

口令密码+Ukey+硬件信息绑定的多因素认证方式，保障了接入用户的真实性。即使口令密码泄漏，没有Ukey也不能接入内网；即使获取了口令密码、Ukey硬件，但是使用的电脑不是注册的电脑硬件，仍不能通过VPN登录总部内网，确保内网数据的安全。

3) 单点登陆，用户访问更便捷

移动办公用户从外网成功登陆VPN后，再访问内网资源（比如OA、资料平台）时，无需再次输入用户名密码，直接登陆访问，提高访问效果。

4) 单边加速，提高访问体验

用户不用再担心公共网络质量差导致的访问内网资源慢的问题，随时随地流畅处理公司业务（比如报销填单、资料下载等），提高工作效率。

光联集团SSL VPN的接入部署方案，主要考虑如下几个方面的特性：安全性，打通外网接入的隧道同时，要对隧道内的用户和流量进行完整的安全防护；便捷性，不能因为是加密隧道，反复认证而影响用户的业务处理流程；体验性，不能因为基于互联网的隧道而影响访问速度。

*博客内容为网友个人发布，仅代表博主个人观点，如有侵权请联系工作人员删除。