【IT168 解决方案】

    需求分析

    以INTERNET为代表的全球性信息化浪潮日趋高涨，信息网络技术的应用日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。政府及事业单位一直是中国信息化的先行者，政府网络的建设已经比较完善。随着“电子政务”建设的进一步深入，从2003年以来、政府信息化建设重点变化明显，电子政务业务系统的受重视程度继续加强；而办公自动化、信息安全和政府门户网站建设的受重视程度显著加强。

    按照政府网络管理的要求，政府内网和外网必须物理隔离、以保障含有国家机密信息的“内网”的绝对安全。但随着电子政务、网上政府、政府自身的信息化业务系统等的发展，政府与自身各分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得尤为必要。

    政府部门的相关局、处往往遍布于城市的各区县，也经常需要与所管辖的事业单位交互信息。同时，政府人员的出差移动办公需求也日益迫切。许多情况下政府机构往往采取最传统的“远程拨号”方式实现远程机构的网络接入和访问，但速度和质量很差、安全性实际也缺乏保障，严重影响和制约了电子政务、网上政府等政府部门信息化的发展。

    随着网络技术的发展，宽带的普及，基于宽带INTERNET的VPN互联方式以其低成本、高效率的解决方案正日益受到推崇。而深信服科技SINFOR VPN又以其多项独创的技术，极高的性价比应用于越来越多的政府及事业单位。

    VPN组网方案

    如今随着网络发展及普及，政府行业单位也从原来单机到局域网并扩展到广域网，把分布在各地的系统内单位通过网络互连起来，从整体上提高了办事效率。随着移动通讯技术突飞猛进的进步，商务模式也在不断发生变化，远程办公/移动办公的人数逐渐增加，基于远程的移动办公已经成为一种潮流。为了便于用户既能很好的解决网间互连，又能便捷的推广移动办公应用，深信服科技创新性的推出了IPSEC/SSL 一体化VPN平台：SINFOR M5100-S, 以下是某个政府机关移动办公应用的一个网络系统结构示意图：

    产品选型

    随着移动通讯技术的进步和商务模式的发展，选择远程办公/移动办公的人越来越多。据统计2003年全美就有54%的雇员平时在家时通过远程接入的方式来办公，这个比例在未来的两年内将会上升到80%。而在中国，这种远程接入办公的趋势也同样越来越明显。SSL VPN是近期兴起的新技术，解决了远程接入的安全问题。

    SSL VPN的突出优势在于Web安全和移动接入。SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSL VPN公认的三大好处是：首先来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，可以适用于任何的终端及操作系统。

    但SSL VPN并不能取代IPSec VPN。因为，这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSec VPN是在两个局域网之间通过Internet建立的安全连接，保护的是点对点之间的通信，并且，它不局限于Web应用，而是构建了局域网之间的虚拟专用网络，功能和应用的扩展性更强。

    深信服科技创新性的推出了IPSEC/SSL 一体化VPN平台：SINFOR M5100-S。首先M5100-S具备完整的VPN功能，内置企业级防火墙。同时，M5100-S将SSL加密隧道与基于USB Key的双因素身份认证相结合，通过任何标准 Web浏览器为用户提供到公司内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员，可以在任何场所、通过任何终端，无需在客户终端安装任何软件(如果需要使用DKEY做双因素认证，则需要在线安装DKEY驱动)，就可以安全的访问公司内部资源。这样就省去的管理员的维护大量客户端的诸多麻烦，网络管理成本也随之降低。

    方案效果

    采用深信服科技的M5100-S构建VPN网络后，很好的解决了政府以及事业单位远程办公/移动办公的需求，达到的效果如下：

    1、实现了政府以及事业单位整体的互联，使分散的部门连到统一的VPN网络。满足政府行业整体网络实时互联互通的要求，实现各个点的VPN互联，构建完整的基础网络平台，并可根据权限的设定和网络拓扑的需要分别设定接入节点和权限控制，增强内部基础网络的稳定性和可靠性。 

    2、 确保数据传输的安全可靠、接入用户的严格认证。总部与各个分点之间，通过Internet，无需更改原有的网络结构、按照实际的运作流程，构建完善、稳定、高效的VPN网络，保障信息化系统的日常运行。 

    3、 建成标准统一、功能完善、安全可靠的政务网络与信息平台；形成电子政务安全保障体系。建设的重点任务是：加快建设政务内外网平台；整合信息资源；建设和完善宏观经济管理、金关、金税、金财、金卡、金盾和社会保障等十二个业务系统。形成结构合理、功能完善、管理规范、安全可靠、灵活实用的网络基础支撑体系

    4、在价格上非常低廉，通过原有的ADSL线路就解决网络互联问题，替代了专线互联的传统模式，大大的节省了开支。

    方案特点

    深信服科技推出了IPSEC/SSL 一体化VPN平台：SINFOR M5100-S，不仅能很好地解决政府以及事业单位网间互连的问题，又能便捷的推广移动办公的应用。首先M5100-S具备M5100的全部功能和技术特点，内置企业级防火墙，可以与S5100、M5400、M5100之间互连互通，也可以与SINFOR DLAN系列软件VPN互连互通，方便了各地政府以及事业单位根据自身的实际环境、按需选择产品模块，构建量身定制的VPN网络。其构建的VPN网络具有如下特点：

    1、拥有深信服科技推出的SINFOR M5100网关产品的所有功能特点，并且可以和M5100、S5100、M5400、以及SINFOR DLAN软件VPN产品互连互通，拥有完整的IPSEC VPN的功能。

    2、在移动客户端，无需安装任何客户端软件，便可以使用SINFOR M5100－S 的SSL功能。 

    3、完全的网络兼容性和设备兼容性。借助于浏览器技术，SINFOR M5100－S可以支持所有网络环境，只要浏览器能够上网就可以使用SSL VPN。采用Java技术实现对扩展应用的支持，由于Java的跨平台特性，因此SINFOR M5100－S可以运行于任何支持SSL协议和Java的终端设备上。

    4、广泛的Web应用支持。除了对B/S应用的全面支持，SINFOR M5100－S功能还使用应用转换技术支持FTP等需要双向访问的应用，通过应用转换技术，将使用Web界面提供该应用的支持。对于大多数C/S应用，SINFOR M5100－S采用基于Java的SINFOR Proxy来实现端口代理支持。通过应用转换和端口代理，SINFOR M5100－S可以支持绝大多少常见C/S应用，包括网上邻居、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等。