1.前言

　　随着全球信息化的浪潮及宽带网络建设的飞速发展，具有跨区域远程办公及内部信息平台远程共享的企业也是越来越多，并且这种企业运营模式也逐渐成为现代企业的需要。另外，企业之间的业务来往也越来越多的依赖于网络。

　　由于互联网的开放性和通信协议原始设计的局限性，所有信息采用明文传输，从而导致互联网的安全性问题日益严重。非法访问、网络攻击等频频发生，给公司的正常运行带来安全隐患甚至不可估量的损失，因此必须利用信息安全技术来确保网络的安全问题。

　　MPSec SSL600因特办公隧道系统是利用传输层安全协议(Transport Layer Security，简称TLS)来实现的一款应用级网络传输安全产品，实现将企业网的应用系统安全地进行延伸，访问企业网应用系统的用户可以是固定用户，也可以是移动用户。MPSec SSL600因特办公隧道系统采用高强度的加密算法，高可靠性的安全机制以及完善的管理和配置策略，为信息的安全传输提供以下主要功能：通信双方的身份认证、传输信息的加密及信息的完整性验证。

　　迈普公司是一家规模较大的IT公司，包括公司总部(成都)、北京分公司、28个办事处分布在全国各省会城市，拥有员工1000多名，其中长期出差员工占三分之一左右。随着业务的深入和发展、公司规模的扩大，公司总部和办事处之间的交流也越来越多。公司总部在INTERNET网上建立了EIP业务应用系统，全公司员工通过该系统实现信息交流、项目申报、日志提交等，部分工作涉及到公司市场机密，一旦出现网络安全问题，将给公司带来巨大损失。现在， 保证EIP应用系统的安全问题受到公司高层领导的高度重视，要求通过建设安全网络，实现网络的安全。

　　2.网络解决方案描述

　　通过深入分析迈普公司现有的网络模式和EIP业务流程，保证对现有网络的不做大的改动，同时节约设备投资，建议采用MPSec SSL600因特办公隧道系统来组建该安全网络。

　　2.1 网络拓扑结构

　　

　　2.2 网络实施方案

　　MPSec SSL600因特办公隧道系统主要由SSL隧道网关(MPSec SSL 600)和SSL隧道客户端软件(MPSec SSL600 Client)组成。另外用户还需要向证书颁发机构(如CA中心或者MPSec CMS证书管理系统)为SSL隧道网关和SSL隧道客户端申请数字证书。

　　网络实施方案如下：

　　1)安装证书管理服务器(MPSec CMS)

　　MPSec CMS服务器为安全代理网关及各远程固定用户或移动用户颁发数字证书，数字证书中绑定了各自的身份信息。在安全代理网关与各远程用户或移动用户之间的网络传输中使用数字证书进行身份验证及信息的加密传输。

　　将证书管理服务器安装在方便管理员使用的子网中，其具体步骤如下：

　　安装证书管理系统

　　分配管理员并颁发相应的管理员证书

　　安装证书管理客户端

　　为远程用户或移动用户颁发证书

　　所颁发的证书分发的各远程用户或移动用户手中

　　2)安装MPSec SSL600系统

　　在网络的边缘加入安全代理网关(MPSec SSL600)，安全代理网关位于防火墙之后，可以利用现有的公网IP地址做NAT，使远程用户或移动用户通过公网能够访问到安全代理网关，再由安全代理网关访问ERP服务器。

　　3)安装MPSec SSL600 Client 客户端

　　在远程固定用户或移动用户的客户端机器上安装安全传输代理客户端软件。以此来实现由安全代理网关服务器对客户端用户身份的认证、安全代理网关服务器与远程用户或移动用户客户端机器之间的信息加密传输。

　　其具体实施步骤如下：

　　远程固定用户或移动用户下载并安装MPSec SSL600 Client软件包;

　　远程用户或移动用户的证书拿到之后，即可启用安全传输。

　　4)本方案实施说明

　　EIP服务器与MPSec SSL600因特办公隧道系统可以并行一段时间，到各远程用户或移动用户已经熟悉新的访问方式之后，即可关闭对ERP服务器的直接明文访问，完全使用加密访问。

　　MPSec SSL600因特办公隧道系统对于除EIP系统以外的网络应用系统(如其它常用的公网服务器)不做加密和验证处理。

　　2.3 网络方案安全特点

　　防止信息泄露

　　由于安全传输客户端与安全代理网关之间实现高强度的加密信息传输，因此虽然信息传输是通过公网进行的，但是其安全性是可以得到保证的。第三方即使可以得到传输数据，但是却无法得到隐藏到其中的明文信息。因此其有效的信息被保护起来，杜绝了有效信息的泄露。

　　防止非法访问

　　由于用户必须向MPSec CMS申请数字证书，因此MPSec CMS系统对所有的合法用户进行集中管理，充分保证用户身份的合法性。安全代理网关只允许那些拥有MPSec CMS所签发的数字证书的用户进行网络连接。如果请求连接的用户没有合法身份，则安全代理网关将拒绝其连接请求，从而限制了非法用户对机密信息的访问。

　　保护信息的完整性

　　安全代理网关与安全传输代理客户端之间使用数字证书进行机密性与完整性参数的协商，它不仅能够对所传输的数据进行机密性的保护，同时也对其提供完整性保护。当在传输过程中的数据被篡改之后，安全代理网关与安全传输代理是可以检测到的，如果检测到数据被篡改，他们就会放弃所接收到的数据。

　　防止用户假冒

　　用户的身份信息已经不仅仅是用用户名与口令来标识了，他使用存贮在数字证书中的非对称密钥的公钥来标识用户的身份。因此第三方无论使用什么手段得到用户名与口令也无济于事，因为真正的用户信息是在安全性很好的IC中存放的，所以用户只要保管好自己的IC卡，就不用担心非法用户的假冒。

　　保证系统的可用性

　　本方案使用内网、外网相互隔离，只开放所需服务的方式来实现，这样客户端只能通过授权使用所开放的服务，除该服务之外的其它服务都无从访问，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。

　　2.4 网络方案的优点

　　不影响原来的网络拓朴

　　采用本方案不需要对原来的网络拓朴进行改变，只需要为安全代理网关分配一内一外两个IP地址即可实现。

　　网络信息传输的机密性与完整性

　　安全代理网关主要实现用户客户端与服务器端的信息传输安全，通过高强度的加密机制来保证用户数据的安全性，其密码长度可达128或168位。

　　用户接入内部网络的身份认证

　　远程用户接入内部网络时需要进行身份认证，这个认证系统由三部分组成，用户作为持证者，安全代理网关服务器作为验证者，证书管理服务器作为发证者。客户端与服务器端通过双向的身份认证来保证信息传输对端的身份，及在他们之间进行传输的信息的安全性。

　　实现针对目标服务的代理

　　安全代理网关采用针对特定目标服务的代理，对除指定的服务之外的其它服务全部进行屏弊，使内网中对外暴露的服务达到最小，从而提高内网的安全性。

　　可以代理标准服务，也可以代理自定义服务

　　安全代理网关不仅可以代理标准的服务(如，http、ftp等)，也可以代理普通的基于C/S模式的特定服务。

　　远程用户或移动用户对内部信息的访问不受所处位置的影响

　　远程用户或移动用户在任何可以连接Internet的地方都可以安全访问公司内部机密信息，其访问不受地理位置的影响。