A是一家大型的国际集团,拥有3家上市子公司、7个研发中心和20余个生产基地,办事处和员工遍布全球。在A集团中心机房的服务器集群中部署了ERP系统、客户关系管理系统(CRM)、邮件系统、办公自动化系统、文件服务器,以及一些定制化的集团应用。集团规模不断扩大,已有50%的人员分布在企业总部以外,而且这一比率还在不断增加。人员在远离总部的同时,他们离中心机房中的各种应用也“越来越远”。集团总部的人员同样也在随时远离总部,在家、在会场、机场、酒店、甚至在亲友家中,他们试图利用各种设备,自己攒的兼容机、公司配备的笔记本、会场酒店提供的主机、自带的PDA、MSCE操作系统的移动电话、甚至是亲属家的电脑,接入到总部的内网。这些人不是IT专家,但业务的不可中断性激发了他们的移动办公需求。
SSLVPN工作在传输层和应用层之间,使用了浏览器自带的SSL协议,当集团的员工希望连接到总部网络时,可以尽情使用手头任何可接入Internet的设备。通过在浏览器中输入总部SSLVPN的网络地址,ActiveX控件会自动被下载并安装,利用管理员发布的帐号和密码,员工就可以随时接入到内网。传统的SSLVPN只支持以web为基础的应用,而如今的SSLVPN取得了很大的进步,通过端口转发和应用重定向技术,在客户端访问常用的C/S应用已经轻而易举。有些SSLVPN产品走得更远,通过在客户端和总部建立全三层的隧道实现了网络扩展,你甚至可以在手持设备上使用Voip,通过SSH和Telnet管理局域网的网络设备,从你隔壁办公室的电脑中下载其共享的mp3。如果员工是在公共场所使用SSL登陆,当客户端长时间没有操作时,SSLVPN会自动注销其用户,避免主机被其他人利用。当客户端退出SSL后,其访问的记录和保存在浏览器中的Cache也会被自动清除,使访问不留痕迹。
对于合作伙伴的接入,SSLVPN利用其所在网络层的优势,可以保证“端点到应用的安全”。在合作伙伴接入前,SSLVPN便启用了其端点安全性扫描功能,通过对远程终端操作系统、注册表、进程、防火墙和杀毒软件的检测,确保了终端的安全策略符合管理员的要求才可接入。另外,如今SSLVPN配备的丰富认证功能已经带来了更好的接入灵活性和不可伪造性,CA证书、USBKEY、动态令牌、短信密码,这些机制让合法用户的身份得到了最大程度的保障。对于A集团来说,其原料供应商、经销商、投资人需要访问的应用系统各不相同,网络管理人员可以将不同类型的合作伙伴归为不同的用户组,再为各个用户组映射其需要访问的资源。SSLVPN部署在防火墙等设备的内侧,通过把需要合作伙伴访问的资源映射到SSLVPN,网关处只需要开放443端口(HTTPS)即可,而不用开放任何有关内部资源的端口。当外部受到攻击时,黑客只能攻击到SSLVPN为止,而内部应用对其来说是不可见的。当合作伙伴接入后,只能访问管理员授权的应用。而通过IPSec接入,整个集团的内网将暴露在合作伙伴的屏幕上,无非给攻击和内容泄漏敞开了大门。