【IT168 专稿】作为新一代无线通信网络运营商，上海长城金点定位测控有限公司致力于地面定位测控和数据通信两大业务，通过提供专业级的定位测控和无限数据通信技术，在城市应急联动、物流配送、智慧交通、导航定位、人员监控和工业设备远程监测等诸多领域提供基于位置的各类LBS应用咨询服务。

    应用需求
    目前公司的网络架构为：本地网与应用网组成业务核心，是整个公司的工作网，业务数据和服务内容都由这个网络提供；呼叫中心、操作网和对外服务网则通过低端的二层交换机完成简单连接。公司网络与外部主要有两个边界：一个是与SDH传输网络的边界，一个是与互联网间的边界。公司办公网有自己的互联网出口，并且与内部其他网络没有连接。

    近来，随着公司业务的迅速拓展和移动办公的盛行，在外出差的员工、分支机构的相关人员以及合作伙伴等随时随地远程接入内部网络的安全需求与日俱增，上海长城金点公司迫切需要部署全新的远程接入解决方案，构建更加安全、高效的资源共享平台，实现便捷而安全的远程局域网接入和访问。

    部署有效的解决方案
    通过对多家安全厂商的解决方案进行对比分析，公司最终选择了凹凸科技Succendo® SSL VPN网关，认为其具有突出的功能优势，兼具稳定的性能和良好的性价比。

    针对公司的应用现状和要求，凹凸科技从可靠性、安全性以及易于管理的角度进行了分析，为公司首先部署了一台Succendo® 502 SSL-VPN网关，为公司的终端服务对象提供安全可靠的VPN远程接入服务。该网关设备配置在公司防火墙后面，采用旁路方式与后端服务器群组连接（如下图所示）。除了支持常规的Web、FTP、VNC等应用外，它对客户特有的CCP应用也提供了完美的支持。

    该解决方案成功部署后，上海长城金点公司认为其在整合公司的应用系统资源、构建专用的远程传输绿色通道方面发挥了重要作用，同时实现了对远程网络访问的集中控制和保护，在使用、管理、维护方便的基础上，创造了安全便捷的网络环境，并大大提高了公司运营效率。

    多种访问模式实现差异化服务
    上海长城金点公司的远程接入解决方案面对的是不同要求的客户，包括为内部员工提供对一些关键应用的访问服务，让IT人员能够通过其进行网络管理，以及为合作伙伴开放某一个专门的受SSL保护的Web服务等。为了满足不同用户群体的远程访问要求，Succendo® SSL VPN为上海长城金点公司的远程用户提供了四种接入模式：目的地址映射（DNAT），为企业提供网络层的服务映射，使得企业可以通过Succendo® SSL VPN网关对外提供一些开放的服务；虚拟服务（Virtual Service），在Succendo® SSL VPN网关上为用户提供基于SSL加密的服务代理，这种应用模式可以保护上海长城金点公司的一些公开访问服务；代理服务（Proxy），帮上海长城金点公司企业实现任意基于TCP的应用延伸到Internet可以到达的地方，实现移动办公；网络连接（Network Connector），帮助出差在外的员工随时随地访问企业内部网络的任意资源，帮助IT人员对企业网络实现远程维护。

    满足多种应用需求
    Succendo® SSL VPN网关提供网络连接访问方式，客户端登录系统之后，实现了客户端同Intranet之间的网络层面的互连，客户端可以从服务器上获取Intranet的IP地址。这样从逻辑上看，远程客户就好像是在上海长城金点公司企业内部网络一样，因此网络连接访问方式可以承载任何基于IP的应用。同时，Succendo® SSL VPN网关可以实现在网络连接基础上的细粒度的访问控制，可以根据角色来实现对不同用户访问上海长城金点公司的不同服务进行控制。在精细控制的基础上，Succendo® SSL VPN网关还可以允许通过网络连接登陆的用户之间相互访问，为远程用户提供了局域网应用体验。

    提供多个IP连接地址
    Succendo® SSL VPN网关支持多个ISP接入功能，这样上海长城金点公司的技术工程师可以将接口标注为Internal接口或者External接口；如果为External接口，那么就可以为该接口制定默认网关，如果有多个External接口有默认网关，那么就可以实现连接多个ISP，同时Succendo® SSL VPN网关能够根据各个IP地址不同的连通性情况来决定使用哪一个IP地址作为连接的地址，从而保证远程用户能够得到较好的使用体验。

    双机备份保障远程接入
    Succendo® SSL VPN网关支持双机热备，可以提供主从、主主两种业务模式，Succendo® SSL VPN的高可用性可以在不同的型号之间也能实现，只要软件版本相同即可，这样即使上海长城金点公司未来需要增加SSL VPN网关设备，也可以最大限度地保护已有投资。

    多种安全措施保障认证安全
    Succendo® SSL VPN网关提供多种安全措施来保障用户口令的安全，保障了上海长城金点公司远程接入的安全性。首先，对本地用户的口令的保存是保存“哈希”结果，保证用户的口令在系统中的安全性；其次，可以支持远程认证用户，使得管理员可以集中精力确保认证服务器的安全即可；第三，支持用户超时和重认证机制，保证用户端在一段时间内没有使用的时候关闭客户端以避免被人误用；第四，支持动态口令，比如RSA SecureID、Secure Computing等，使得用户可以选择安全性更高的口令系统；第五，支持用户登录验证的图形附加码功能，使得用系统避免了对用户口令的字典式供给；最后，支持对登陆密码的“哈希”计算来防止口令并重放和窃听的攻击。