多点远程安全接入网关平台架构的研究.docVIP

多点远程安全接入网关平台架构的研究 　　【摘 要】 　　针对用户对安全接入企业VPN的需求日益迫切，电信运营商可建设一个多用户接入的公用网关平台。介绍了两种主要的安全接入网关实现技术，并对实现多点远程安全接入网关平台的架构设计与实现方案进行了研究和探讨，使单个企业用户以较低的建设、使用及维护成本获取远程安全访问服务，同时为运营商带来相应增值业务收入。 　　【关键词】 　　远程安全接入网关 IPSec VPN SSL VPN 全局负载均衡 就近性 　　中图分类号：TN919.21 文献标识码：B 文章编号：1006-1010（2013）-18-0084-05 　　Research on Platform Architecture of Multi-point Remote Accessing 　　Gateway Safely 　　LU Quan， XU Jie 　　（Guangzhou Research Institute of China Telecom Co.， Ltd.， Guangzhou 510630， China） 　　[Abstract] 　　To meet the users’ need of accessing enterprise VPN safely， the telecom operators could construct a public gateway platform for multi-users accessing. This paper introduces two mainstream technic of accessing gateway with safety， and discusses the architecture design and realization scheme of multi-point remote accessing gateway platform with safety. By this technic， the individual business customers get remote access service， as well as the service providers make more income. 　　[Key words] 　　remote access gateway with safety IPSec VPN SSL VPN overall load balance the nearest access 　　收稿日期：2013-05-09 　　责任编辑：袁婷 yuanting@ 　　1 前言 　　随着互联网的发展和电子商务的普及，出差员工、SOHO（Small Office Home Office，家居办公）、合作伙伴等多种类型的远程访问企业内部以及中小分支机构访问公司总部的资源和应用的需求变得十分迫切；同时，这种网络连接的发生也为企业网络引入了新的安全威胁。 　　电信业务的迅速开展和开放，使电信运营商面临愈来愈激烈的市场竞争行为。运营商正努力去管道化，结合自身的优势，不断开发新的产品和提供增值服务，向综合性服务提供商迈进。在这种背景下，运营商可建设一个多用户安全接入的公用网关平台，为各个企业用户提供通过互联网加密隧道接入企业VPN（Virtual Private Network，虚拟专用网络）的业务，以实现增值业务的拓展。 　　2 远程安全接入网关在企业中的应用 　　目前，针对企业远程安全访问应用需求主要存在两种主流解决方案：IPSec VPN网关和SSL VPN网关。 　　在企业应用中，IPSec VPN的应用通常有两种类型。Site-to-Site IPSec VPN用于两个具有固定IP地址的路由器站点（Site）之间建立IPSec VPN，适用于分支机构间及与总部之间建立安全数据传输隧道。远程办公人员、SOHO、移动用户通常使用拨号方式接入公司的IPSec VPN网关，CISCO对应的实现方式称为Easy VPN。 　　SSL VPN支持远程办公人员、SOHO、移动用户的远程接入，同时也支持在两个相互并不信任（或不完全信任）的网络之间，根据业务需要，建立双向可控的安全通信隧道的Site-to-Site模式。SSL VPN更适用于合作伙伴、客户等访问企业内部资源的用户。 　　图1为IPSec VPN/SSL VPN系统架构及应用场景。其中，远程办公人员、SOHO、出差移动用户等可通过SSL或Easy VPN方式安全接入企业内网；而小型分支机构也可通过Site-to-Site的方式与企业内网之间建立安全通信隧道。 　　IPSec VPN/SSL VPN的特性具体比较