【IT168 专稿】通过VX2100，企业可将位于总部的内部网络应用、档案或子网有选择的发布出来，供其出差在外的人员、下属分支机构或代理商/合作伙伴使用。   

    采用VX2100后，机构和企业不需要再租用专线链路即可实现远程访问及机构互连，甚至任何点均不需要公网固定IP地址也能实现。可根据是否拥有外网固定IP地址来选择连接方式：直连方式（有外网固定IP地址，如专线）和交换方式（无外网固定IP地址，如：ADSL、宽带网、Cable Modem等）。

    直连形式：如果有外网固定IP地址，那么远程用户可以直接访问VX2100，就跟访问网站一样。

    交换形式：如果没有公网固定IP地址，则VX2100可以注册到位于互联网上的交换单元上，访问者将经由交换单元来找到VX2100。这种交换方式不仅可以使内部网络更加安全，而且VX2100可以被放置于内部网络中的任何地点，可以更快速的被部署。别的厂家的同类解决方案是“目录服务”，这看起来类似于网友们较熟悉的DDNS（如：花生壳）服务。目录服务技术通过在各地电信机房的部署目录服务器，在全国范围组成了一个目录服务器集群。这些服务器存储了各个VPN设备的硬件信息，用户信息，当VPN设备开机拨号接入互联网时，它获得的动态IP会自动发往目录服务器，并存在目录服务器的数据库里，与它需要建立VPN的同组的VPN设备也是一样，同时VPN设备会定期将属于自己一个组的其他成员的IP地址下载到本地，这样就可依据各自当前的公网IP建立VPN。我想VX EXCHANGE的本质就是目录服务。  

图1

    VX2100采用基于应用层的代理机制，无需对原有应用程序做任何改动，即可实现内部网络应用的代理发布。它支持所有基于TCP/UDP协议传输的应用程序。 

    VX2100发布单元是整个VX安全访问系统的核心，通常它被部署在网络应用服务器一侧，可方便的将各种内部网络应用安全的发布到外网上，让远程用户使用而不需对网络和应用做任何改动。它所能发布的内部网络应用是：文件资源共享、Browser/Server架构的Web服务，Client/Server架构的应用，例如：ERP、OA、Lotus Notes、MS Exchange Mail、Netmeeting、FTP、Oracle Database、Terminal Service等等。   

    如下表中列举的应用：

图2

    VX2100可以在不对原有应用程序和服务器做任何改动的情况下，让客户端必须在通过VX2100的身份认证后，才能访问相应的内部网络应用。VX2100具有自己的认证数据库，并且内置CA认证功能，可以独立发放数字证书；另外它还具备与用户原有认证数据库相结合的功能，支持PKI数字证书、Windows AD、NTLM、RADIUS、LDAP、ACE Server等外部认证系统。另外在认证手段上，除了支持用户名/密码方式，还支持物理硬件认证方式，比如：USB Key。

    实现数据的加密传输， 它支持多种可选的加密方式，比如对称加密算法、非对称加密算法和摘要算法等。可以让用户自定义选择，可以只采用一种算法，也可以多种算法同时使用。适应不同保密级别的需要。

    部署方案   

   具备三种安装方式：单模式、透明模式、路由模式，可以部署在网络的任意位置。

    （1）单模式：是将VX2100被放置于企业内部网络中的任意位置的一种模式，也就是接在局域网内的交换机上就行。连接方式：VX2100的端口“4”与内部网络相连接。这种模式不改变原网络中的任何设备状态，配置简便、快捷。需要时，插到连接网际网络的内部网络上就可使用。可以使其所在的LAN得到安全的网络保护。这种方式也是最常用的模式，也是本文笔者试用时的模式。

图3

    （2）透明模式：是VX2100被放置于内部网络和网关（防火墙或路由器）之间的位置的一种模式。连接方式：VX2100系列的端口“3”与内部网络相连，而端口“4”与防火墙或路由器相连。特点：配置时不需要变更原有路由器或用户端的任何配置。可以使在其后面的整个企业内网都得到安全的保护。

图4

    （3）路由模式：是VX2100被放置于网关（防火墙或路由器）位置的一种模式，即VX2100充当网关。连接方式：VX2100系列的端口“3”与内部网络相连，VX2100系列的端口“4”与外部网络相连。 特点：在提供发布功能的同时，也提供了防火墙或路由器功能。

图5

    试用  

    笔者试用的这台款是普天的SSL VPN是为一家丰田汽车4S店将要上远程访问的项目，分别是：金蝶的OA和金蝶的K3 ERP，前者B/S架构的应用，后者则是C/S的应用，也就是OA基于网站的应用，可能过WEB浏览器就可以访问，后者则需要在用户处安装应用程序的客户端。显然，B/S架构和C/S架构都是企业目前需要的架构，特别是C/S，对于企业来说，是核心业务。

    系统安装和初次配置

    互联网连接方式是ADSL拨号，本案中VX2100的部署模式采用最简便的单模式，只需将端口接入企业内网中的交换机端口就行，网络的拓朴图就是本文图1所示。因此本案网络实质就是基于动态公网IP的SSL VPN应用，网络的寻址依靠VX EXCHANGE中心交换单元。我们还要用一根双绞跳线将配置电脑与配置端口1相连。

    安装步骤（初始配置）：

    步骤1：在IE浏览器地址栏输入“http://1.1.1.1/admin”，在弹出的窗口界面中输入用户名称Admin和安装VX2000系列时设置的新密码，单击<确认>按钮，进入系统配置导引向导。

图6

步骤2：选择是否重载以前的配置文件。是初次安装或者没有VX2000系列的配置备份文件，请选择“没有备份的配置文件”选项。单击<确认> 进入连接方式的配置。

图7

    步骤3：选择VX2000系列支持的连接方式，我们选择特许连接方式，用户通过UUSwitch/UUExchange的公共IP地址，结合VX2000系列的UUID，定位VX2000系列并访问VX2000系列发布的资源。单击<导入>，导入厂家给机子分配UUID文件。输入UUSwitch/UUExchange服务器中心交换单元的IP地址或域名，填入www.aolc.cn。最后按<继续>键，使当前的连接模式设置应用。

图8

    iSTAR(instant Secure Tunnel Architecture)是UUDynamics公司的远程安全访问控制技术，能快速解决应用程序或文件安全跨越网络和组织边界的问题，结合了IPSEC VPN和SSL VPN的优点，提供企业一个端到端的整体安全解决方案。普天与UUDynamics公司合作，因此它的VX2100产品中有iSTAR技术。

    AOLC(Application OnLine Center)应用在线中心是普天南方电讯与风险投资商合作建设的互联网服务，向广大中小型企业提供免费移动接入公共服务。该平台提供的服务，不仅可增强用户应用系统的安全性，同时可以帮助苦于没有固定公网IP地址的用户很方便地实现安全移动接入。AOLC独有的交换单元，解决了企业没有静态公网IP地址，又要使用SSL VPN的问题，尤其现在IP资源紧张的现状下，可以为企业节省申请静态公网IP地址的高昂费用。AOLC技术提供了基于“发布单元”和“交换单元”的安全信息网络模型，为现代企业用户提供了应用程序或文件存取的发布，控制和管理平台。通过访问AOLC.CN加分配的VXID号组合而得的域名（如：https://www.aolc.cn/gxgy@vpn/），远程用户就能访问企业发布的应用。

    步骤4：单击<浏览>,导入UUID文件，。如果该UUID文件有密码保护，请先选中“密码”，并输入密码。单击<更新>，确认并返回上一界面，点击<应用>。

图9

图10

步骤5：选择VX2000系列在网络中的放置方式。在这里我们选择单模式。

图11

    访问类型设置为“STATIC”时，开启所示界面。

    填入VX2000在企业内网中的IP地址、对应的子网掩码、网关等参数。
可以添加网络中的DNS 服务器到列表中。VX2000系列必须能够到达这些DNS服务器。这样VX2000系列就可通过这些DNS服务器进行域名解析。按<保存>储存。

图12

    单击“步骤2（STEP2）”进行集群的设置。VX2000系列能够以集群的方式进行均衡负载。选中“启用集群”表示启用集群；在本案，我们只有一台VX2100，因此不需要设置什么。

图13

    单击“步骤3（STEP3）”进行代理服务器的设置，默认为“No Proxy”。这里的代理服务器设置和IE的代理服务器设置相似。 No Proxy：表示没有代理服务器,使用NAT或Public IP直接上网，我们选这个；输入完毕后按<保存>进行储存。

图14

    最后单击<应用>，使网络设置生效。单击<确定>结束配置步骤。

图15

    完成初始的网络配置后，再在IE浏览器地址栏输入“http://1.1.1.1/admin”，输入用户名称Admin和安装VX2000系列时设置的新密码，重新登录，进行设置修改、应用发布、系统管理等操作。也可以进入类似这样的网址： https://www.aolc.cn/nst@vpn/rm 打开管理页面，其中www.aolc.cn为UUExchange交换中心单元，nst@vpn为分配给VX2100的UUID。

    管理认证服务器和用户

    “安全域”是用于控制安全访问的逻辑域，同一个域中的用户遵循同样的安全策略。安全域设置包括认证服务器的设置和策略的设置。认证服务器包括身份服务器和属性服务器。身份服务器：用于验证用户身份。系统使用身份服务器验证用户登录时提交的代表用户身份的信息。属性服务器：用于检查用户的属性，以支持应用授权。

    管理员发布应用时可决定该应用授权给哪些用户、组或者角色。系统将根据用户的登录信息从认证服务器来判断该用户所对应的组或角色，然后进行应用授权。

    VX2100系统中有一个默认的安全域：LocalAdmin。LocalAdmin中设置了一个默认的服务器LocalUsers，该服务器中有默认的User/密码：admin/admin。默认的用户admin、服务器和安全域不能被删除。这样可以保证至少有一位具有“只读/更改”权限的用户存在。

    在本例中，我就使用VX2100本机上的默认的认证服务器LocalUsers，因此不需要添加别的第三方认证服务器了，由于认证服务器LocalUsers本来就有的，我们只需要添加用户，但是添加服务器和用户设计成一个连贯的过程，因此还是一步一步来。如下。
添加认证服务器：

    在系统主界面中的“安全管理” 下，单击 “认证管理”。

图16

图17

图18

图19

    发布WEB应用程序

    在管理界面左边，点击“发布”，“添加应用”，在系统应用程序列表框内，您可以看到预置的应用程序，如：Internet Explorer，Outlook，Telnet，Ftp，Netmeeting，pcAnywhere等常用的第三方应用程序。如果列表框内没有需要的应用，我们可以自行定制应用。

    1. 单击<添加>，进入图20所示界面。

图20

    2. 在列表框内选择要发布的应用程序类型，单击<确认> ，进入图21所示界面。

图21

    3. 在“名称”栏中，您可以输入您为这个Internet Explorer应用所取的名称；

    4. 选中“自动运行”，则用户在客户端成功登录后，该应用会在客户端自动运行。不需要用户手动启动。

    5. 在“IP 地址：”栏中输入该应用所对应的服务器IP地址。

    6. 选中“启动公共站点访问”表示远程用户不仅可以通过IE访问上述指定IP地址的Web应用，而且还可以访问该地址以外的站点页面。这对于使用了外部连接的Web应用尤其适用，如果没有选中这个选项，则所有超链接都无法使用。

    7. 在“该应用在用户端机器上的默认路径：”栏中所显示的，是预设的远程用户启动这个应用程序时（此处是Internet Explorer），该应用在远程客户端上对应的路径； 因为本例中的应用为Internet Explorer，所以客户端软件为IE浏览器，预设路径为“%ProgramFiles%\Internet Explorer\iexplorer.exe”；VX2000系列首先会依次在各个驱动盘符的预设路径进行搜索，如果搜索不到该应用程序，则会转到Windows系统环境变量中的默认路径中搜索。如果仍然搜索不到，则启动该应用失败。

    8. 在“用户端机器运行该应用时所需的参数：”栏中所显示的，是指远程用户在使用这个应用程序时，远程用户计算机中的客户端应用软件预设的运行参数；在本例中运行的是Internet Explorer，参数的设置即是允许远程用户访问的URL。

    9. 单击<端口范围>，进入图22所示界面。设置开放的端口。也可以单击<添加>，进入所示界面，添加新的端口。端口设置完成后，单击<返回>返回。

图22

    10. 单击<用户>，根据需要添加用户（/组/角色）。进入图 65所示的窗口；选择用户（/组/角色）所在的安全域。

图23

    11. 配置完成后，在界面上单击<确认>或者<返回>，逐一返回直至图20所示界面，并单击<应用>使保存所有的配置生效。

    发布C/S应用程序

    我们可以添加“Custom”类应用以定制自己的应用。目前VX2000系列中提供三种“Custom（定制）”应用：

    Custom – Multi-station application：远程用户通过VX2000系列 访问多台机器中任一台的指定端口。如此，用户便可访问任一台机器的相同服务。例如，访问多个Web 服务器的Internet Explorer，就是这样的应用。

    Custom – Roaming application：远程用户通过VX2000系列 访问多台机器中的任一台的某一个端口。这时，管理员需要单独指定每一台被访问的机器端口号。通常情况下，用户通过该VX2000系列可以访问任一台机器的任一服务。例如，需要访问多个服务器的ERP软件，需要同时访问数据库服务器、应用服务器等，这时便可使用这一应用。

    Custom – Network drive based C/S：该应用支持远程Client端用户像使用网络驱动器一样访问由VX2000系列发布的共享资源（Client端运行的应用程序已将此共享资源对应为指定的网络映射盘）。例如：现有一个MIS系统，已将Database 的完整路径对应到网络映射盘“N：”，并且管理员在VX2000系列中将该Database 发布。这样，多个Client端用户便可同时对该Database进行操作。

    例：添加“Custom–Roaming application”应用：

    1. 在管理界面左边，点“发布”，“添加应用”，单击<添加>，进入图20所示界面。       

     选择列表框内的Custom–Roaming application，单击<确认>，进入图24所示界面。

图24

    2. 在“名称”栏中，可以输入为这个应用所取的名称；

    3. 选中“自动运行”，则用户在客户端成功登录后，该应用会在客户端自动运行。不需要用户手动启动。

    4. 在“该应用在用户端机器上的默认路径：”栏中所显示的，是指远程用户在使用这个应用程序时，远程用户计算机中的客户端应用软件的路径；

    5. 在“用户端机器运行该应用时所需的参数：”栏中所显示的，是指远程用户在使用这个应用程序时，远程用户计算机中的客户端应用软件预设的运行参数；

    6. 单击<端口范围>，进入图22所示界面。设置开放的端口。也可以单击<添加>，添加新的端口。系统默认开放80端口，单击<添加>或<编辑>键可以添加/编辑新的端口或现有的端口信息。

    7. 单击<用户>，根据需要添加用户（/组/角色）。选择用户（/组/角色）所在的安全域。

    8. 输入“起始端口”和“终止端口”后，单击<确认>完成端口设置。设置完成后，单击返回返回图20界面。并单击<应用>使保存所有的配置生效。