背景分析
    伴隨著SSL VPN技術(shù)在各個(gè)行業(yè)領(lǐng)域的迅速普及應(yīng)用，由冰峰網(wǎng)絡(luò)自主研發(fā)的SSL VPN也迅速普及推廣開(kāi)來(lái)。“百事可樂(lè)”作為一名世界500強(qiáng)企業(yè)中的食品加工行業(yè)巨頭，作為與ICEFLOW長(zhǎng)期合作的伙伴，百事可樂(lè)（上海）有限公司于08年初，再次選用冰峰SSLVPN改進(jìn)了原有網(wǎng)絡(luò)接入體系，在保證原有的冰峰IPSec VPN應(yīng)用基礎(chǔ)上實(shí)現(xiàn)SSL VPN移動(dòng)接入的升級(jí)。
    百事可樂(lè)采用的ICEFLOW SSL VPN解決方案，是利用SSL（安全套接層）協(xié)議、認(rèn)證、加密、完整性驗(yàn)證技術(shù)，使用戶能夠無(wú)需在最終用戶PC上預(yù)裝客戶端軟件，即可靈活安全的接入企業(yè)資源、VPN和外聯(lián)網(wǎng)。此解決方案主要特點(diǎn)為：
     SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通，任何安裝瀏覽器的機(jī)器都可以使用SSL VPN，網(wǎng)絡(luò)部署靈活方便。
     提高訪問(wèn)控制能力，安全易用以及高額的投資回報(bào)率。
     提升C/S應(yīng)用程序的加速執(zhí)行，為應(yīng)用程序向B/S結(jié)構(gòu)提供過(guò)渡。
     便于大規(guī)模單點(diǎn)接入管理，用戶授權(quán)與安全認(rèn)證進(jìn)一步加強(qiáng)。
     Web資源發(fā)布更加集中、簡(jiǎn)便。
     在原系統(tǒng)上升級(jí)，降低設(shè)備成本投入。
    百事可樂(lè)公司的原有應(yīng)用基礎(chǔ)以IPSec VPN為主，目的在于將全國(guó)各分公司的局域網(wǎng)進(jìn)行統(tǒng)一互聯(lián)，并拓展為一個(gè)整體的協(xié)同合作局域網(wǎng)，保證內(nèi)部資源的共用性與統(tǒng)一管理。在移動(dòng)接入方法，僅僅是采用了低安全性的PPTP方式進(jìn)行互聯(lián)，雖然在應(yīng)用上體現(xiàn)了簡(jiǎn)單易用，但其低安全性與B/S結(jié)構(gòu)的應(yīng)用數(shù)據(jù)，并不能很好的實(shí)施。

    新系統(tǒng)組網(wǎng)

     如上圖所示：
    百事公司數(shù)據(jù)中心通過(guò)公司防火墻和ICEFLOW S系列產(chǎn)品接在Internet，一方面實(shí)現(xiàn)遠(yuǎn)程移動(dòng)用戶撥入功能，另一方面，通過(guò)自身帶有的防火墻和入侵防護(hù)功能，承擔(dān)對(duì)局域網(wǎng)的安全保護(hù)工作，為了使整個(gè)網(wǎng)絡(luò)具備多重安全防護(hù)，ICEFLOW S系列產(chǎn)品支持多線路（ISP）智能選路和負(fù)載均衡功能，可同時(shí)連接多個(gè)運(yùn)營(yíng)商，并智能選擇運(yùn)營(yíng)商，有效提高連接的可靠性和性能。
     原有系統(tǒng)部局：百事公司的原有網(wǎng)絡(luò)體系是以IPSec VPN為基礎(chǔ)，將全國(guó)各分公司的局域網(wǎng)進(jìn)行統(tǒng)一的互聯(lián)，并將其拓展成為一個(gè)協(xié)同合作的大范圍局域網(wǎng)，保證內(nèi)部資源的共用性與統(tǒng)一管理，對(duì)C/S結(jié)構(gòu)應(yīng)用的合作管理尤其有效。在移動(dòng)接入方面，僅僅是采用了低安全性的PPTP方式進(jìn)行互聯(lián)，所以網(wǎng)絡(luò)的低安全性與B/S結(jié)構(gòu)的應(yīng)用數(shù)據(jù)因此不能很好的配合實(shí)施。
     新系統(tǒng)部局：在采用冰峰SSL VPN解決方案后，冰峰為百事公司在網(wǎng)絡(luò)體系上實(shí)行IPSec/SSL雙效兼容的全面升級(jí)，通過(guò)用戶名密碼+USB KEY的雙重安全認(rèn)證的方式支持移動(dòng)用戶的接入，并且提供無(wú)需客戶端接入的Web SSL VPN應(yīng)用，滿足大規(guī)模的移動(dòng)接入的需要，提高了員工辦公的工作效率，并且還保證大規(guī)模接入同時(shí)的訪問(wèn)管理的控制能力，為C/S轉(zhuǎn)B/S過(guò)渡提供基礎(chǔ)，加速了C/S程序下的應(yīng)用效率。
    系統(tǒng)網(wǎng)絡(luò)的主要功能特點(diǎn)：
    安全：
    SSL安全接入，采用1024位非對(duì)稱密鑰進(jìn)行身份認(rèn)證過(guò)程加密，保證安全。
    支持“8+6”策略及多種雙因子認(rèn)證方式。
    賬號(hào)輸錯(cuò)自動(dòng)鎖定，保障安全。
   自動(dòng)客戶端安全掃描。能依據(jù)客戶端操作系統(tǒng)安裝殺毒軟件情況、安全補(bǔ)丁版本、防火墻配置等因素來(lái)評(píng)估客戶端安全級(jí)別，并根據(jù)不同安全級(jí)別分配不同的權(quán)限，防止客戶端的不安全因素通過(guò)SSL VPN傳播到內(nèi)部網(wǎng)絡(luò)而產(chǎn)生安全隱患。
內(nèi)置CA系統(tǒng)，可為企業(yè)搭建自用CA中心，頒發(fā)企業(yè)專有的數(shù)字證書。
    可控：
    集中式授權(quán)，便于管理。
     細(xì)粒度訪問(wèn)控制，細(xì)化控制到目標(biāo)應(yīng)用程序和目標(biāo)主機(jī)端口。
    實(shí)時(shí)監(jiān)控用戶接入和系統(tǒng)運(yùn)行狀況、強(qiáng)制中斷用戶、實(shí)時(shí)統(tǒng)計(jì)和URL過(guò)濾。
    簡(jiǎn)單實(shí)用的組策略，支持地址組、用戶組、時(shí)間組等多種分組方式，每種分組可配置多種組策略。
    全面細(xì)致的用戶訪問(wèn)控制，單用戶和組用戶流量實(shí)時(shí)控制、組用戶并發(fā)限制、用戶累計(jì)流量限制等。
    撥入訪問(wèn)時(shí)段控制，可對(duì)單一用戶或批量用戶設(shè)置撥入時(shí)段。
    完善的日志管理和故障定位功能，能對(duì)系統(tǒng)運(yùn)行實(shí)時(shí)監(jiān)控和報(bào)警。提供訪問(wèn)日志、告警日志、錯(cuò)誤日志、調(diào)試日志、防火墻日志、VPN日志、移動(dòng)用戶日志、系統(tǒng)日志等多種日志。
    強(qiáng)大的客戶端安全控制。支持客戶端緩存清空、Cookie清除、訪問(wèn)記錄清除，支持超時(shí)檢測(cè)和自動(dòng)斷線功能，拔除USB Key后，自動(dòng)關(guān)閉VPN連接并清空數(shù)據(jù)。
    可將VPN設(shè)為默認(rèn)網(wǎng)關(guān)，全面控制用戶的上網(wǎng)行為。
    兼容
    支持多達(dá)五種移動(dòng)接入方式，全面支持客戶端到中心以及客戶端與客戶端之間的網(wǎng)絡(luò)訪問(wèn)能力，涵蓋不同用戶的不同需求。
    支持全網(wǎng)連接，適用于基于TCP和UDP協(xié)議的所有C/S和B/S應(yīng)用，無(wú)縫透明的支持WebDav、 文件共享、EMail、Lotus Notes、Telnet服務(wù)、Web訪問(wèn)、FTP下載、遠(yuǎn)程終端、Citrix、流媒體、數(shù)據(jù)庫(kù)等現(xiàn)有企業(yè)應(yīng)用。
    集成VPN、路由器、防火墻、上網(wǎng)行為控制，性價(jià)比極高。
    獨(dú)特的網(wǎng)絡(luò)訪問(wèn)機(jī)制，可解析企業(yè)內(nèi)網(wǎng)專有域名。
    支持與現(xiàn)有用戶數(shù)據(jù)庫(kù)的快速結(jié)合，支持本地認(rèn)證、LDAP、Active Directory、RADIUS、自定義用戶數(shù)據(jù)庫(kù)等多種統(tǒng)一身份認(rèn)證平臺(tái)，快速實(shí)現(xiàn)用戶授權(quán)工作。
    支持AES、DES、3DES、MD5 、RC4、RSA等高強(qiáng)度安全算法，支持加載擴(kuò)展安全模塊。
    支持多瀏覽器及多系統(tǒng)平臺(tái)操作。
    無(wú)需更改網(wǎng)絡(luò)和防火墻設(shè)置，與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)無(wú)縫融合。
    提供遠(yuǎn)程鏡像技術(shù)，實(shí)現(xiàn)C/S轉(zhuǎn)B/S過(guò)渡，提升C/S應(yīng)用加速。
    簡(jiǎn)便易用的優(yōu)化管理操作
    支持集群接入及無(wú)限擴(kuò)展的穩(wěn)定功能
    完善的統(tǒng)計(jì)功能
    個(gè)性化的定制功能

    應(yīng)用效果：
    百事可樂(lè)公司運(yùn)用ICEFLOW的改進(jìn)方案之后，在以下幾個(gè)方面突出了綜合應(yīng)用的效果。
    * 綜合應(yīng)用，滿足了基于SSL技術(shù)的移動(dòng)撥入的需求，使全球化移動(dòng)合作進(jìn)一步加強(qiáng)，用戶隨時(shí)隨地都可以通過(guò)移動(dòng)方式接入中心系統(tǒng)。
    * 安全性，通過(guò)“8+6”認(rèn)證授權(quán)方式，對(duì)不同環(huán)境下，不同級(jí)別的用戶進(jìn)行分組式授權(quán)，有效地提升分組的安全管理性。
    * 經(jīng)濟(jì)上，WEB SSL VPN的價(jià)值僅需要在原有設(shè)備系統(tǒng)上完成換代升級(jí)，成本投入上相對(duì)降低了重復(fù)投入的高額成本，低廉的安全投資上為“百事”帶來(lái)在各項(xiàng)管理系統(tǒng)中最大的安全保障。
    * 實(shí)施上，憑借遠(yuǎn)程服務(wù)，現(xiàn)場(chǎng)實(shí)施，僅僅利用現(xiàn)有的人力和技術(shù)資源，ICEFLOW為“百事”一次性全面完成整個(gè)主體方案，并針對(duì)應(yīng)用的不同部分進(jìn)行分階段實(shí)行。保證了“百事”的正常作業(yè)流程。