如何讓自身資源得到更有效的利用，實(shí)現(xiàn)隨時(shí)隨地的安全訪問(wèn)，是每個(gè)企業(yè)都希望做到的。然而，要想做到“保持原有網(wǎng)絡(luò)結(jié)構(gòu)和簡(jiǎn)化變更設(shè)置，同時(shí)加強(qiáng)可用性”，又不是一件容易的事。為此，很多產(chǎn)品和方案提供商在實(shí)際運(yùn)作過(guò)程中都表現(xiàn)得十分小心謹(jǐn)慎，特別是對(duì)于電力公司這樣龐大的網(wǎng)絡(luò)系統(tǒng)而言，如何做到平滑過(guò)渡、實(shí)現(xiàn)“牽一發(fā)而不動(dòng)全局”，的確有著不小的難度。

　　方案應(yīng)用單位概況

　　山西省電力公司是華北電網(wǎng)有限公司的全資子公司。承擔(dān)著全省的電力生產(chǎn)、建設(shè)、調(diào)度、經(jīng)營(yíng)及電力規(guī)劃研究等任務(wù)。下屬單位遍布全省，其中包括供電所、生產(chǎn)企業(yè)、科研院校等近百家之多，這也促使他們建成了目前這個(gè)規(guī)模龐大的信息通訊網(wǎng)絡(luò)。

　　在歷時(shí)兩年的山西省電力主干通信網(wǎng)工程建設(shè)中，共架設(shè)OPGW光纜1551公里，它可以滿(mǎn)足山西省電力公司到各供電分公司500千伏變電站間的各種業(yè)務(wù)傳輸?shù)囊螅谷‰娏ο到y(tǒng)實(shí)現(xiàn)區(qū)域成環(huán)、干線成網(wǎng)的光纖網(wǎng)絡(luò)，并有效地保證了電力調(diào)度、通信系統(tǒng)的同步暢通。但是，網(wǎng)絡(luò)覆蓋面積過(guò)于寬廣，也直接造成了訪問(wèn)安全性、維護(hù)方便性以及系統(tǒng)運(yùn)行穩(wěn)定性等多方面問(wèn)題。

　　早在2006年伊始，電力行業(yè)的企業(yè)就制定了各自的“十一五”信息化建設(shè)規(guī)劃和實(shí)施計(jì)劃，其中特別提出了“把加強(qiáng)信息化標(biāo)準(zhǔn)建設(shè)和信息安全建設(shè)作為基本保障體系進(jìn)行重點(diǎn)實(shí)施”。所以，在山西電力公司信息網(wǎng)改造的過(guò)程中，企業(yè)管理者打算著重解決遠(yuǎn)程訪問(wèn)的安全性與有效性問(wèn)題。由此，計(jì)劃與實(shí)施工作相繼展開(kāi)。

　　需求描述

　　山西電力系統(tǒng)日常業(yè)務(wù)的基本要求是，保證指定員工隨時(shí)隨地通過(guò)互聯(lián)網(wǎng)對(duì)電力系統(tǒng)的內(nèi)部網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)。所以，出于這一需求的考慮，他們希望產(chǎn)品和方案都能解決安全、穩(wěn)定、有效的數(shù)據(jù)傳輸問(wèn)題，同時(shí)也要滿(mǎn)足電力公司總體上對(duì)于產(chǎn)品安全性及其部署實(shí)施方案的一些特殊要求。

　　據(jù)衛(wèi)士通公司的中華衛(wèi)士SSL VPN產(chǎn)品經(jīng)理直言不諱地介紹道，“與很多大型國(guó)有企業(yè)類(lèi)似，山西電力的網(wǎng)絡(luò)系統(tǒng)相對(duì)來(lái)說(shuō)是比較復(fù)雜的，其中尤以覆蓋面廣和網(wǎng)絡(luò)運(yùn)行繁忙表現(xiàn)最為突出，所以我們很難對(duì)其大動(dòng)干戈，而實(shí)施局部調(diào)整就成為了最好的解決辦法。”與此同時(shí)，山西電力相關(guān)負(fù)責(zé)同志也表達(dá)出了相近的觀點(diǎn)，“對(duì)于網(wǎng)絡(luò)改造，我們的要求很明確：第一，最好不要對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的配置參數(shù)作修改，如果必須修改，只能做有限的和局部修改;第二，不能影響到我們用戶(hù)信息系統(tǒng)的正常使用，即施工時(shí)不得斷網(wǎng);第三，我們的終端用戶(hù)也最好不要作配置上的修改，如果有，只能是極少的，而且修改難度不要太高，最好是他們自己就可以修改或是系統(tǒng)自動(dòng)修改。”

　　應(yīng)對(duì)方案

　　綜合比較了多種解決方案后，衛(wèi)士通公司認(rèn)為采用中華衛(wèi)士SSL VPN來(lái)一種比較適合山西電力信息網(wǎng)安全改造需求的方案，原因是這種方案無(wú)需客戶(hù)端軟件，同時(shí)支持并聯(lián)接入和串聯(lián)接入兩種接入方式，可以簡(jiǎn)化用戶(hù)操作，并且實(shí)現(xiàn)方便部署。

　　中華衛(wèi)士SSL VPN支持旁路代理和在線轉(zhuǎn)發(fā)兩種接入方式。在旁路代理方式中，SSL VPN并接入內(nèi)部網(wǎng)絡(luò)。它的好處是用戶(hù)不需要改變?nèi)魏蔚木W(wǎng)絡(luò)配置，只要為SSL VPN分配兩個(gè)IP地址，分別連接內(nèi)部網(wǎng)絡(luò)和企業(yè)網(wǎng)關(guān)路由器/防火墻即可。這種部署方式不會(huì)中斷企業(yè)服務(wù)，也不需要改變應(yīng)用服務(wù)器的路由設(shè)置，因此旁路代理方式可以非常平滑地將中華衛(wèi)士SSL VPN部署到現(xiàn)有的企業(yè)信息系統(tǒng)網(wǎng)絡(luò)中，這是其最大的優(yōu)勢(shì)。

　　在線轉(zhuǎn)發(fā)方式需要將SSL VPN串接在企業(yè)應(yīng)用服務(wù)器組同企業(yè)網(wǎng)關(guān)路由器/防火墻之間。這種部署方式的好處在于SSL VPN能夠完全控制從互聯(lián)網(wǎng)到企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，因而避免了因?yàn)榉阑饓ι喜呗耘渲玫氖д`導(dǎo)致互聯(lián)網(wǎng)訪問(wèn)直接到達(dá)應(yīng)用服務(wù)器的問(wèn)題。但是這種方式的問(wèn)題在于，部署過(guò)程中必須暫時(shí)中斷企業(yè)內(nèi)部網(wǎng)絡(luò)同互聯(lián)網(wǎng)之間的連接，可以說(shuō)是利弊各半。

　　巧妙部署

　　在實(shí)施改造的過(guò)程中，結(jié)合用戶(hù)的需求和網(wǎng)絡(luò)拓?fù)涞膶?shí)現(xiàn)情況來(lái)選擇合適的接入位置，是非常重要的，所以，如圖1所示，衛(wèi)士通公司的相關(guān)技術(shù)人員，根據(jù)山西電力網(wǎng)絡(luò)的實(shí)際情況，做出如下分析：首先，如果將SSL VPN部署在路由器A前端，會(huì)增加用戶(hù)投資成本，而后端又會(huì)影響到GSR的配置以及整個(gè)網(wǎng)絡(luò)參數(shù)的調(diào)整;其次，如果部署在主交換機(jī)和防火墻之間，會(huì)大大增加SSL VPN的工作壓力，增加網(wǎng)絡(luò)的不穩(wěn)定性因素。所以最終，他們得出結(jié)論，只有與主交換機(jī)并聯(lián)才是最可取的方案。

　　具體操作是：在主交換機(jī)上面配置路由，將目的為服務(wù)器組的數(shù)據(jù)包轉(zhuǎn)給SSL VPN，同時(shí)也要配置一條到達(dá)SSL VPN的路由。如果主交換機(jī)能夠支持原地址路由，就可以在上面設(shè)置一條路由將內(nèi)網(wǎng)訪問(wèn)服務(wù)器組的數(shù)據(jù)包直接路由到服務(wù)器網(wǎng)絡(luò)而不要經(jīng)過(guò)SSL VPN，這樣可以減輕SSL VPN的壓力。

　　便捷為本

　　此次方案從設(shè)計(jì)到實(shí)施的整個(gè)過(guò)程，都圍繞著“保持原有網(wǎng)絡(luò)結(jié)構(gòu)和簡(jiǎn)化變更設(shè)置以及加強(qiáng)可用性”的指導(dǎo)思想來(lái)進(jìn)行。由于采用了中華衛(wèi)士SSL VPN來(lái)實(shí)施改造，使得整個(gè)系統(tǒng)在安全性提升的同時(shí)，完全沒(méi)有影響到用戶(hù)的正常使用;由于采用了無(wú)客戶(hù)端軟件的解決方案，用戶(hù)只需通過(guò)游覽器就可以訪問(wèn)VPN服務(wù)，所以沒(méi)有帶來(lái)任何使用上的不便;由于方案特別提供了客戶(hù)端應(yīng)用綁定的功能，所以在B/S應(yīng)用的同時(shí)，它也支持多種基于TCP或UDP協(xié)議的C/S結(jié)構(gòu)應(yīng)用;由于支持同WindoWS AD/LDAP服務(wù)器之間的賬號(hào)同步，所以便于電力系統(tǒng)網(wǎng)絡(luò)管理員制定更加詳細(xì)的訪問(wèn)控制規(guī)則，同時(shí)它亦可支持第三方CA證書(shū)的導(dǎo)入。另外，與基于IPSec VPN的解決方案相比，SSL VPN只需要維護(hù)中心節(jié)點(diǎn)的SSL VPN設(shè)備即可。而無(wú)須維護(hù)客戶(hù)端的好處就在于，它可以大大削減網(wǎng)絡(luò)部署和維護(hù)的費(fèi)用，用較低的成本實(shí)現(xiàn)了較高的訪問(wèn)安全性。

　　目前，山西電力的近200名員工都做到了通過(guò)安全通道熟練地訪問(wèn)內(nèi)網(wǎng)信息，同時(shí)他們也可以隨時(shí)隨地的訪問(wèn)任何經(jīng)過(guò)中心授權(quán)的目標(biāo)文件，由此各部門(mén)的工作效率都得到了顯著提升。而中華衛(wèi)士SSL VPN在山西電力公司網(wǎng)絡(luò)系統(tǒng)的改造中，也最終實(shí)現(xiàn)了便利接入與遠(yuǎn)程安全的最佳均衡性，它讓網(wǎng)絡(luò)的使用者和管理者都體會(huì)到了高科技應(yīng)用所帶來(lái)的益處!

文章作者：比特網(wǎng)