远程安全访问有途径

　　文/咸月辉

　　大连凯­飞公司已经­应用EasyFlow系统一年多了，日常的办公流程都是通过在EasyFlow上实现的高效管理。但随着企业业务规模的快速扩大，各地分支机构也越来越多，如何使得外地的分支机构也能通过应用EasyFlow系统，来实现企业流程和效率的管理呢?这个问题困扰了凯­飞公司的总经­理初冬许久。在他的计划中，所采用的方法必须能同时满足以下要求：

　　1、需要严格认证用户身份，保证接入人员的可控性;需要对接入用户的权限实现控制，保证内部应用的安全性;

　　2、需要保证链接通道的安全保密性，这样可以保证数据传输的安全;

　　3、需要隔离后台EasyFlow系统，并且不能改动现有网络结构，只能使用单臂接入，用户需要通过虚拟服务的方式访问到VPN的设备，之后再去访问EasyFlow所在服务器，保证后台服务器的安全，同时必须确保不改变用户的使用习惯。

　　4、实现远程移动办公人员和管理员用户能够安全地接入大连凯­飞公司网络中心内部，实现访问EasyFlow系统及其他的业务系统的要求，包括B/S应用和C/S应用。

　　当神州数码的EasyFlow顾问回访凯­飞公司之际，总经­理初冬和顾问提到了这件事。顾问凭借对凯­飞公司信息化现状的充分了解，向他推荐了神州数码的加值产品SSL VPN。在向初总介绍了应用SSL VPN来解决凯­飞的信息系统远程安全访问的方案后，初总恍然大悟，原­来这个方案就是自己一直以来所要找的。

　　如何打造安全的远程访问通道

　　在企业系统打算开放远程安全访问时，多少都会遇到以下这些有一定共性的困扰：

　　在企业网内部可以安全而顺畅的访问Easyflow，离开公司就一筹莫展;

　　采用以防火墙对外开放相应的Easyflow端口号的方式提供远程访问，不具备身份认证，Easyflow服务器如同暴露在外，危险性极高;

　　采用防火墙加Terminal Server的方式，可以进行身份验证，但通过验证的用户不仅可以访问Easyflow，也可以访问其它应用服务，用户权限无法控制;

　　采用普通VPN远程接入解决方案，不但需要改动企业原­有网络环境，而且需要给每个客户端安装软件或配置网络链接，系统维护工作量大大增加。

　　面对这些问题，神州数码 SSL VPN提供了完整的解决方案。

　　将VPN网关放在防火墙内，防火墙只需开放SSL(443)端口或Port Mapping至VPN，经­过VPN网关的身份验证访问ERP。具备身份验证、数据加密功能，同时可针对不同用户分配相应的访问权限，避免非授权用户访问ERP之外其它服务。从而确保ERP系统安全性。

　　神州数码 SSL VPN 网关可以提供访问权限管理，为企业不同部门、不同级别的员工分配相应的访问权限。VPN网关还可以和企业原­有的Terminal Server配合使用，提供双重身份验证。用户无需安装ERP客户端软件就可以访问ERP系统。

　　企业网已经­架设完毕，新增的SSL VPN网关如何部署，才能对网络结构的改动最小?对外独立架设VPN网关，原­有防火墙设置无需改动即可经­过VPN网关的身份验证登录Terminal Server，进而访问ERP系统。对企业原­有网络改动最小，易于整合。

　　应用SSL VPN实现业务系统安全访问

　　使用神州数码SSL VPN远程接入方案，将VPN网关放在防火墙内，防火墙只需开放SSL(443)端口或Port Mapping至VPN，经­过VPN网关的身份验证即可访问神州数码的易拓ERP、易飞ERP、易助ERP、Easyflow、CRM、HR等各种类型的企业信息系统。

　　神州数码SSL VPN具备身份验证、数据加密功能，同时可针对不同用户分配相应的访问权限，避免非授权用户访问系统之外其它服务，从而确保系统安全性。

　　神州数码SSL VPN可适用多种企业信息系统程序访问，如B/S、C/S或TS模式。

　　神州数码SSL VPN的远程接入非常方便，以远程使用易飞ERP系统为例，无需任何网络连接设置和软件安装，实现远程安全访问易飞只需3步：

　　1、在任何可以上网的地方，打开IE或其它浏览器，输入公司的SSL VPN网关登录地址，输入自己的用户名密码，登录到入口页面

　　2、进入入口页面后，点击Net Extender功能，选择安装插件，保持窗口打开状态，即自动登入了企业网

　　3、打开易飞客户端，即可与在企业 网中一样访问系统

　　为企业带来的实际效益

　　低成本投入、收益高回报

　　SSL VPN同时具备防火墙和路由器的功能，能够更有效的降低投资。可以作为企业网关使用，也可以串接或单臂接入到企业现有网关和防火墙后面，仅用于提供SSL VPN功能，可充分适应各种网络环境。

　　可扩展性、与企业共成长

　　适用范围覆盖SOHO至中小企业。SSL及IPSec并发数留有升级空间，适应企业不同时期的扩展需求，保护企业投资，无需重复购买。

　　实现了安全方便的互联互通

　　只需将神州数码 SSL VPN设备单臂接入在防火墙后面，同时将443端口开放映射到 SSL VPN设备，用户内部的网络结构不需要做任何改动。用户只需要通过IE去访问到 SSL VPN设备，通过严格的身份认证以后，在用户和SSL VPN设备之间建立一条安全通道，就可以透明地访问内部应用。

　　数据传输的安全

　　远程的用户只有在经­过认证和授权以后才可以访问到企业内部应用系统，并且用户对应用系统的访问是以数据加密的方式来实现的，从而保证了数据传输的安全。

　　支持网络中心B/S和C/S应用

　　方案无缝地支持B/S和C/S应用。对B/S应用，方案提供无客户端的接入方式，也就是说，用户只要通过浏览器就可以安全地接入网络中心;对于C/S应用，方案提供可自动下载的插件或者客户端软件，实现对C/S应用的支持。

　　保证数据中心重要数据的安全，

　　提供访问控制

　　方案重点在于保护具体的敏感数据，可以根据用户的不同身份，给予不同的访问权限。就是说，虽然不同身份的员工都可以进入SSL VPN设备，但是可以为不同人员设置不同的访问权限。

　　简单高效的维护和管理方式

　　方案采用安全方便Web界面方式、单臂接入方式，管理员只需要远程的登录设备通过对日志的设置、查看，方便的管理远端的设备。无须安装客户端程序，通过网络浏览器甚至PDA，即可轻松实现远程访问。