湖北武汉深信服SSLVPN远程办公解决方案

1.概述

1.1. 组织的IT业务接入远程移动化

20世纪末，信息技术席卷全球，各个组织的相关生产经营活动通过IT技术来承载，使得整个社会的沟通与业务效率得到了长足的提升，从政府到事业组织、企业，从办公系统到业务管理、生产制造，信息技术已经完全渗透到组织的方方面面。

IT系统服务于组织的业务目标，员工在组织机构内接入IT系统后，可高效完成业务流程中的工作；但是，固定接入IT系统已经不足以满足需求，员工需要随时随地的远程移动接入。

1. 组织的管理层、员工在工作时间外出出差之后，需要及时处理业务相关的工作，否则业务效率会受到较大影响。

2. 组织的某些流程必须支持远程移动接入才能完成，例如销售分销合作伙伴接入、边远常驻员工接入、移动执法时信息交互等等。

3. 由于组织的业务效率提升的需要，在非工作时间需要远程接入IT系统处理业务相关工作，例如紧急业务审批等。

IT业务系统不论是CS模式，还是BS模式，不论是PC接入还是智能终端接入，都需要考虑远程移动接入，与固定接入方式互补，真正的将IT业务系统的潜力发挥出来。

1.2. 员工接入设备移动化

随着IT技术的发展，组织的员工的办公计算机设备从台式计算机到便携式的笔记本电脑的转变，而随着移动互联网的发展，员工的办公设备又从笔记本电脑演变为移动智能终端。

1.企业IT化移动接入：由于组织业务移动化的需求，企业给员工配置了便携式笔记本电脑，这种设备具备良好的移动计算和远程接入能力。

2. 消费化移动设备接入：随着人们消费水平的提高和计算机设备的成本降低，特别是移动互联网的发展，使得个人购置的移动式计算机和手机能够用来处理工作相关的工作，BYOD模式受到组织和员工的追捧，消费化的BYOD设备一样具备远程接入能力。

3.员工已经完全移动化，不论是通过组织配发，还是员工BYOD自带，使得IT业务的移动接入具备良好的基础。

1.3.  VPN远程移动接入技术成熟

VPN（Virtual Private Network）是虚拟专用网的简称，虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术，实现低成本、高安全地解决数据传输及应用发布平台。VPN 架构中采用了多种安全机制，如身份认证技术（Authentication）、加解密技术（Encryption）、密钥管理技术、隧道技术（Tunneling）等。通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。

端点接入VPN包含多个技术，如IPSec、PPTP、L2TP、OpenVPN、SSL VPN等，经过多年的发展，已完全成熟。

不同的VPN技术有各自的特点。IPSec采用专用的传输协议承载，主要用来进行用于网络到网络的网络互联，经过Xauth协议扩展、IKEv2增强之后，支持端点接入；PPTP是PPP协议的扩展，是一种点对点的VPN接入协议；L2TP实在PPP基础上的一种进一步优化，较多用于运营商的VPDN业务，对运营商核心网支持良好，可通过与IPSec结合支持加密；OpenVPN是一种开源的VPN技术，主要场景是设备的远程VPN接入，主要用于个人VPN接入场景。

SSL VPN是VPN的主流技术之一，即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。

SSL协议是基于WEB应用的安全协议，它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。

相对于IPSec VPN等其他传统的VPN技术而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，非常适用于远程移动办公、无专门管理人员的分支接入等场景。而从OSI七层模型来看，SSL VPN是基于第七层应用层的VPN技术，相对于传统的IPSec VPN（三层网络层）、L2TP（二层数据链路层）、PPTP（二层数据链路层）等VPN连接方式，SSL VPN在对应用权限的划分上可做得更为细致，数据传递机制也不是简单的封装转发，从整体业务发布安全性的角度上来说安全系数更高。同时基于SSL VPN部署的灵活性、使用的灵活性等特质，从安全防护方面，SSL VPN可引申出网络逻辑隔离、服务器隔离保护、应用系统强认证等多种安全解决方案，为用户提供多方面价值。