建立延伸型、实时型企业——SSL VPN堆叠解决方案

　　一、SSL VPN应用背景

　　企业信息化是应用信息技术提升工作效率与管理水平的重要手段，以“工具电子化”为标志的“办公室自动化”，以及以“流程规范化”为标志的“业务流程管理”。前者的典型应用是文字处理、电子表格、财务电算化等，后者的典型应用为各类OA、MIS、SCM、ERP、CRM等。

　　企业正朝着“延伸型企业”与“实时企业”的方向发展。延伸型企业与实时企业的出现，要求企业内外的各种信息能够更好的被汇总与利用，各种应用与流程能够更好的配合与衔接，各个项目、部门及相关组织的人员之间保持良好的沟通。从这两个概念出发，我们又可以把企业信息化的工作分成两部分来考虑，一是指信息化工具的集成，就是企业根据需要逐步把各种应用系统集成在企业经营中的过程;二是指承载这些应用系统的网络平台的建设。这两部分是相互相承、紧密结合的，网络平台的服务对象是各种应用系统，最终为实现“延伸型企业”和“实时型企业”的发展目标服务。网络平台的建设又分为企业内网的建设和企业外联网的建设。

　　二、Billion SSL VPN安全接入网关的解决方案

　　选择SSL VPN技术作为远程接入解决方案。而Billion公司自主研发生产的Billion SSL VPN安全接入网关产品作为迄今为止最先进的远程访问解决方案，因其强大的功能和方便、安全、高性价比等特点，逐渐成为金融、电信以及企业解决不同分支之间互联、移动办公人员、业务合作伙伴远程接入的首选方案。它具备SSL VPN技术所有的特点，同时拥有多项独创的专利技术。用Billion SSL VPN 安全接入网关实现远程接入解决方案网络拓扑如下图所示：

　　本方案中，Billion SSL VPN安全接入网关以旁路模式接入企业总部内网，在企业互联网出口网关上设置地址映射，实现分支机构OA系统资源访问总部OA系统资源时，必须通过Billion SSL VPN安全接入网关做中继;实现后用户的访问过程是这样的：分支机构用户或移动用户通过任何一台可以上网的电脑，通过浏览器登录指定地址(https://IP地址或域名)，建立SSL VPN通道，接入到各种经过授权的资源进行访问。

　　三 、解决方案特点

　　1、不需要安装客户端软件

　　SSL VPN的架构下，是不需要在使用端安装软件。使用者只要利用浏览器，透过网络，即可针对公司资料作存取。

　　2、功能更弹性

　　只要是任何透过浏览器且内嵌SSL的使用的装置，都可以应用SSL VPN做加密保护。这包含了非传统的装置，例如可以支持Web的手机或PDA。

　　3、支持更多操作系统

　　大多数的操作系统只要可以支持标准的浏览器，不论是Windows、Mackintosh、Unix或是Linux，都可以透过SSL VPN做加密保护。

　　4、高安全性

　　使用IPSec的联机方式，每一个使用者端在网络上会被当成一个节点，而此联机会一直处于激活的状态。因此，一但使用者端的计算机被骇客入侵，骇客就可以透过此网络连结进入另一个端点，也就是公司内部。因这样的运作模式，此节点很有可能成为骇客入侵的管道。使用SSL VPN的方式做资料联机则可以避免这样的问题发生。

　　5、中心权限控管

　　所有使用者的远程联机都需要经过SSL VPN网关，也因如此，SSL VPN使用权限控制的机制，提供给网管人员员更容易管理使用者权限的管理接口。

　　6、确实实现远程登入

　　如果今天员工在客户端支持，需要在客户端的网络环境下登入公司的内部网络存取资料，假设他用的是传统的VPN架构，很有可能他的联机要求被客户端的防火墙拦截。因为，这牵涉到地址转换与联机的问题。但要是这位员工使用的是SSL VPN机制，应用程序资料在应用层交换时，都是透过端口80和443。这两个端口通常都是激活的状态，因为一般HTTP联机都是经由这两个端口沟通。对MIS而言，使用SSL VPN提高管理的便利性，既然SSL VPN是应用层的协议，所有资料交换都会透过端口443来处理，MIS人员不再需要在防火墙开启每一个应用程序所需的端口，避免漏洞的窘境，确实实现了远程登入的应用。加上代理服务器的帮助，增加了SSL联机速度和稳定。

　　7、降低企业内防病毒的风险

　　在网络传输中，使用标准的SSL安全协议，能够提供极其安全的网络隧道，保证数据不会被截获和破解;同时也不会受NAT和穿越防火墙问题的困扰，任何能连接Internet的方式都可以构建SSL VPN通道。同时，在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。另外，由于SSL VPN还可以起到代理服务器的作用，所有客户端的访问都是由SSL VPN网关转发，而不能直接访问应用服务器，从而使服务器不易受到攻击。

　　8、对内网应用服务器的保护

　　远程用户以IPSec VPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，都是可以侦探得到，这就提供了黑客攻击的机会。若是采取SSL VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦探出应用系统内部网络情况，所受到的威胁也仅是所联机的这个应用系统，攻击机会相对就减少。

　　四、Billion SSL VPN实现XX集团公司与分公司高效传输

　　Billion SSL VPN给XX集团公司实现如下价值：

　　1、实现XX公司30个分支机构的OA系统资源安全联入总公司OA系统资源，满足了公司营业系统的需求，实时录入和查询，整合了公司整个经营系统;

　　2、XX公司出差人员通过SSL VPN可以随时调取总部OA系统资源信息，不受地域的限制，拓展更多办公资源，及时录入OA系统中;

　　3、简单迅速实现部署，不对原有网络造成任何影响，也更易于维护和管理，降低了网络管理员的维护量。

　　4、高效的流量管理功能保证整个公司传输应用的流畅性;高效稳固的内置防火墙功能保证整个公司在应用服务时更加安全;应用服务的集中，实现企业的业务的延伸性和业务的实时性;

　　五、推荐设备信息

　　型号详细

　　Billion BiGuard S6000广域网WAN接口：2(10/100/1000 Mbps);

　　局域网LAN接口：8(10/100/1000 Mbps)、1 DMZ;

　　USB 2.0接口：2个;

　　RS232串口：1个;

　　RS232 Console 接口：1个;

　　负载均衡及线路备份：负载均衡、绑定传输管理协议 自动线路备份及VPN线路备份;

　　电源：电源供应器: 100 to 240V;

　　Multi-NAT 协议：支持;

　　并发SSL VPN数：100条;

　　并发SSL VPN最大可扩容数：可扩容至200条;

　　关于盛达电业股份有限公司大陆分公司——盛永达科技(南京)有限公司

　　盛永达科技(南京)有限公司为来自台湾的 BILLION 盛达电业股份有限公司(Taiex: 3027)的中国大陆分公司;盛达电业是一家具有35年专业电源及通讯研发实力和国际市场行销经验的全球化公司。2007年盛永达科技(南京)有限公司成立于南京, 秉承其一贯的充满活力、稳健踏实的工作作风，专注中国，奉献专业品质;致力为中国的企业用户,电信公司提供科技领先的产品，同时更协同我们的渠道伙伴提供最适用的定制化解决方案与最完善的本地化服务。“海内存知己,天涯皆BILLION —— 给您最安心的VPN网络解决方案”是盛永达科技专注为大陆市场用户奉献专业品质的体现。

　　盛永达科技相关资讯请参考本公司网站 cn.billion.com。

　　媒体联络 : cnmarketing@billion.com

　　如需更多信息，请致电: (025) 83455305 或(025)8345530 分机836 侯小姐。