基于SSL（安全套接层）VPN（虚拟专用网）的远程安全访问机制解决了门户网站的特殊安全需求。作为一种接入安全保障机制，它无疑充当着网站守护神的作用。

　　门户系统不同于其他业务系统，它涉及企业内部信息以及客户的隐私和安全性问题较多，系统部分或全部暴露于Internet公网之上，安全问题显得尤为重要。

　　在实现基于Internet的接入时必须考虑数据传输的安全性和访问的合法性。建设统一门户平台时，存在以下几个安全方面的需求， 保障数据在Internet上传输的安全性，检查各系统间访问的合法性和操作合法性， 记录用户的操作，便于查询和核实; 保护网站平台的安全性，避免恶性攻击或者病毒感染; 能及时进行系统缺陷更新服务和病毒库升级服务。

　　SSL VPN接入安全保障

　　为了保障内外门户松耦合机制、延伸内部人员办公区域、提高工作效率，在解决安全访问的需求时，必须考虑以下几个问题:

　　提供易于操作的界面，便于使用者迅速上手；

　　对用户侧没有预安装客户端软件的要求，能方便实用地迅速解决；

　　在外工作时必须能穿透各种类型网络的Firewall或者Proxy设备；

　　因此最适合以上需求的解决方案是基于SSL VPN（安全套接层，Security Socket Layer）的远程安全访问解决方案，该方案具有以下几个特点:

　　可以实现128位数据加密，保护数据在传输过程中不被窃取；

　　支持客户端证书的认证，并可以和USB Key结合使用，惟一地鉴定每一客户的合法性；

　　支持多种认证方式，提供对客户访问的合法性检查；

　　支持多种授权方式，保护客户的私密数据只能被“正确”的用户访问；

　　支持多层安全控制机制，保护后台服务器的安全性；

　　不需要安装任何客户端程序，所有访问操作都通过浏览器实现，因此非常方便用户使用；

　　可以穿透Firewall或者Proxy设备；

　　当然， IPSec也是部署VPN所采用的主要技术。附表对两种技术的实现方式做了技术和应用的对比，通过两种技术的优劣对比，选取更加适合门户系统的VPN技术。

　　系统部署

　　使用SSL VPN安全解决方案来保障系统的接入安全，还可以和公司安全认证系统相结合，通过建立PKI认证系统，确保各种人员、资源的身份，防止网络欺诈行为和抵赖行为。充分利用SSL协议做安全接入，可以统一为门户的客户端接入提供一种安全接入方式。

　　企业的业务系统一般已经部署了防火墙、防病毒、IDS/IPS等安全系统，SSL VPN系统可以和原有的安全设施结合起来，共同提高系统的安全性。它一般部署在防火墙的后面，以利用防火墙强大的防护功能。在认证方面，SSL VPN和内部的安全认证系统结合起来，通过PKI认证系统，可以确保各种人员、资源的身份。

　　通常在系统的网络边缘部署SSL VPN网关，SP（Service Provider）放在路由器和防火墙的后面，提供SSL VPN 接入。SP产品作为统一门户系统通过一个门户(portal)页面将各系统的对外接口纳入统一管理系统，对外通过Internet利用SSL加密技术安全地向公众开放统一的门户界面，对用户而言访问后台应用是完全透明的。SP在用户与后台WEB服务器之间起到了一个加密隧道的服务形式，所有的数据流通过SSL加密技术在SP上进行中转，用户与后台之间的数据交流完全保密。SSL VPN将实现与内部业务系统的高效无缝集成，能够节省公司的总成本，使网站维护成本降低，信息发布时间缩短。

　　统一门户系统需要一个操作实施简单、管理维护容易、不需要改变网络结构、运营成本低廉的方案。SSL VPN是以SSL 协议为基础的VPN技术，最大的好处就是不需要安装客户端程序，远程用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览器的客户端安全地访问统一门户系统，从而最大限度地减少分发和管理客户端软件的麻烦。

　　SSL VPN通过TCP 443端口作为惟一的传输通道，因此管理员不需要在防火墙Proxy设备上做复杂设置，也不会因为不同系统的需求修改防火墙上的设定，降低了系统部署成本和IT部门日常性的管理支持工作费用。

　　SSL VPN检查策略

　　SSL VPN由于采用了SSL 技术，可以方便地通过数字证书认证享有PKI的高安全特性。通常选择安装客户端证书进行验证，给每个需要访问SSL VPN的人员分配个人证书，上面可以存放个人的一些信息，包括姓名、单位、部门、地址、EMAIL地址等。当客户端通过标准浏览器访问SSL VPN门户站点时，SSL VPN门户网关SP检查客户端的证书，这里的检查可以分为以下几种验证方法:

　　客户端证书+用户名/口令验证:在检查客户端证书的同时，仍需要客户输入其SSL VPN账号和口令，这样可以达到更高的安全性。

　　客户端+动态密码认证:支持动态密码认证，如RSA SecrueID、SecureComputing等，提供更高的安全性。

　　客户端证书+USB/智能卡验证:客户端证书存放在USB KEY或智能卡里面，只有具有这些硬件介质的用户才能登录SSL VPN。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: