锁定安全数据流—浅析两大用户的VPN部署经验

　　提起VPN，普通用户想到的就是IPSec。事实上，随着SSL和MPLS设备的降价，两种新的VPN已经开始走进大型企业用户的视野。

　　SSL的安全动力

　　之所以把SSL摆在第一位，是因为最近上海移动通信公司部署了当前业内规模最大、应用最复杂的SSL VPN系统。

　　无独有偶，上海移动SSL VPN项目上线当天，恰好是本报安全巡展上海站的活动日。据上海移动SSL VPN项目负责人王鹏透露，目前公司已经拥有941万户移动用户，作为上海最大的移动运营商，上海移动1860客户服务热线有600多名客户服务人员，客服热线办公室内的电脑直接连接在内部办公网络中，为保证系统的安全，办公室网络不能访问外部网络。

　　但是，由于一些最新的政策和收费信息都是直接发布在上海移动公司和总公司网站，同时客户咨询的问题有很多也是网上服务系统的问题。因此，客户服务人员在接听电话的同时，还需要访问几个固定的外部网站。

　　“在考虑VPN之前，我们曾有过两种技术方案：第一，使用固定电脑访问外网。但这样做不仅会浪费大量的服务时间，而且也不利于客户服务人员与客户及时交流和沟通，大大降低了服务质量和水平；第二，通过远程桌面的方式访问互联网。这样做，服务器的负载很大，需要多台服务器才能实现，投资成本过高。”王鹏如是说。

　　正是由于上述方案的不足，促使王鹏考虑引入SSL VPN技术。“SSL VPN的核心是利用在Web上广泛使用的SSL技术在应用层构建针对应用程序的VPN通道，部署成本比两种方案更低。而且SSL VPN无须在客户端安装和设置任何软件，只要会使用浏览器上网浏览就可以毫无障碍地使用SSL VPN了。”王鹏如是说。

　　截止到记者发稿时，王鹏已经完成了对VPN系统的测试与部署。据该项目实施方SafeNet公司工程师介绍，利用相应的iGate SSL VPN解决方案，上海移动可以在网络传输中使用标准的HTTPS协议，能够提供安全的网络隧道，保证数据不会被截获和破解。同时，SSL VPN也不会受NAT和穿越防火墙问题的困扰，任何能连接Internet的方式都可以构建SSL VPN通道。另外，由于SSL VPN还可以起到代理服务器的作用，所有客户端的访问都是由VPN设备转发，而不能直接访问应用服务器，从而使服务器不易受到攻击。