一、目标

集团公司目前使用的VPN系统为Cisco PIX防火墙提供的VPN系统，远程用户通过VPN Client可以访问集团公司的MSS Portal。该VPN系统采用的用户认证方式为用户名/口令方式，存在一定的安全隐患，同时它需要安装客户端软件，并对组用户名/密码、登录用户名/密码等进行比较复杂的设置，不方便用户使用。

本技术方案的目标是对集团公司现有VPN进行技术改造，实现以下技术目标：

1、VPN系统不须安装客户端，不需要用户端进行任何配置就能使用。

2、VPN系统提供基于安全密钥的身份认证，安全密钥利用集团正在使用的USB棒。

3、和MSS Portal及OA办公系统结合，进入Portal和OA系统，不需要重复进行认证。

4、支持CDMA移动上网办公。

5、VPN服务器提供图形化的管理配置界面。

二、技术方案

1、SSL VPN与IPSec VPN

目前在VPN领域存在着IPSec VPN和SSL VPN之争，由于员工在外远程访问的机会愈来愈多，使得SSL VPN的重要性日益提升，SSL VPN势将成为远程访问方案的主流；不过，SSL VPN不会取代现有的IPSec VPN，IPSec仍适用于办公室之间的固定式联机，二者会彼此共存。

就在当前大多数远程访问解决方案是利用基于IPSec安全协议的VPN网络的情况下，一种最新的研究表明近乎90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信，另外10%的用户是利用诸如Notes客户端、聊天协议和其它私有客户端应用，属非因特网应用。而这些90%的应用都可以利用一种更加简单的VPN技术——SSL VPN来提供更加有效的解决方案。基于SSL协议的VPN远程访问方案更加容易配置和管理，网络配置成本比起目前主流的IPSec VPN还要低许多，所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。

2、SSL VPN的主要优点

（1）无需安装客户端软件：在大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件。只需通过标准的Web浏览器连接因特网，即可以通过网页访问到企业总部的网络资源。这样无论是从软件协议购买成本上，还是从维护、管理成本上都可以节省一大笔资金，特别是对于大、中型企业和网络服务提供商。

（2）适用大多数设备：基于Web访问的开放体系可以在运行标准的浏览器下可以访问任何设备，包括非传统设备，如可以上网的电话和PDA通讯产品。这些产品目前正在逐渐普及，因为它们在不进行远程访问时也是一种非常理想的现代时尚产品。

（3）适用于大多数操作系统：可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问，不管操作系统是Windows、Macintosh、UNIX还是 Linux。可以对企业内部网站和Web站点进行全面的访问。用户可以非常容易地得到基于企业内部网站的资源，并进行应用。

（4）良好的安全性：用户通过基于SSL的Web访问并不是网络的真实节点，就像IPSec安全协议一样。而且还可代理访问公司内部资源。因此，这种方法可以非常安全的，特别是对于外部用户的访问。

（6）较强的资源控制能力：基于Web的代理访问允许公司为远程访问用户进行详尽的资源访问控制。

（7）可以绕过防火墙和代理服务器进行访问：基于SSL的远程访问方案中，使用NAT（网络地址转换）服务的远程用户或者因特网代理服务的用户可以从中受益，因为这种方案可以绕过防火墙和代理服务器进行访问公司资源，这是采用基于IPSec安全协议的远程访问所很难或者根本做不到的。

3、中国电信SSL VPN技术实现

●集团公司SSL VPN除SSL VPN的基本功能外，须实现下列附加功能：

1、采用USB 棒进行身份认证。

2、权限的分配及管理和微软的Active Directory相结合。

●SSL VPN的工作技术原理：

SSL协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过3个元素来完成：

（1）握手协议：这个协议负责协商用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥。

（2）记录协议：这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个MAC（消息认证代码），然后结果被加密并传输。接受方接受数据并对它解密，校验MAC，解压并重新组合，把结果提供给应用程序协议。

（3）警告协议：这个协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。

SSL VPN通信的握手步骤如下：

第1步，SSL客户机连接至SSL服务器，并要求服务器验证它自身的身份；

第2步，服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链，直到某个根证书颁发机构（CA）。通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性。

第3步，服务器发出一个请求，对客户端的证书进行验证，但是由于缺乏公钥体系结构，当今的大多数服务器不进行客户端认证。

第4步，协商用于加密的消息加密算法和用于完整性检查的哈希函数，通常由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。

第5步，客户机和服务器通过以下步骤生成会话密钥：

•客户机生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对它加密，以送到服务器上。

•服务器用更加随机的数据（客户机的密钥可用时则使用客户机密钥，否则以明文方式发送数据）响应。

•使用哈希函数从随机数据中生成密钥。

三、中国电信SSL VPN的建设

１．部署一台SSL VPN网关（包括主机和相关软件），用户通过SSL VPN网关访问MSS Portal；

２．用户端不用安装任何VPN客户端软件（当然也没有任何配置），当用户使用Internet Explorer访问MSS Portal时，自动使用智能卡对用户的身份进行认证；

四、SSL VPN服务描述

SSL VPN网关上包括三个服务：

1．SSL VPN Gateway服务

负责为远程用户建立安全的访问隧道，并将用户的访问请求转发给后台相应的服务器；

2．Active Directory Authentication 服务

负责对远程用户的VPN请求进行认证，并和微软的Active Directory进行认证通信，防止非法用户的访问；

3．DNS服务

负责为远程用户提供MSS Portal相关域名的DNS解析服务；

五、SSL VPN对现有网络的影响

SSL VPN网关对现有的网络结构几乎不产生影响，不会涉及到路由规划、地址转换等问题，但SSL VPN网关是双网卡的服务器（一个内部IP地址，一个公网IP地址），因此在进行防火墙规则设置时需要注意：

1．内部IP地址

允许该地址访问MSS Portal相关资源，包括Portal、Domino和Active Directory等。

2．公网IP地址

允许远程用户访问公网地址提供的HTTP（TCP 80），HTTPS（TCP 443）和DNS（UDP 53）服务。

北京时代亿信科技有限公司

地址：北京西城区新街口外大街28号B座115室

电话：+86 10 82055353

传真：+86 10 82053091

网站：www.eetrust.com