随着科技的进步，各大中小型企业迅速的成长并发展起来，在企业发展的同时，为了能跟上时代的步伐，每个企业服务应用的要求也不尽相同，典型应用MIS、MAIL、ERP、OA、HR、CRM等，然而企业对外服务要求越高，网络的传输速率要求就越高，可是传统的网络已经不能满足现状的需要。

网络的更新是必然的趋势，现代企业正朝着“延伸型企业”与“实时企业”的方向发展，企业各个部门都需要和供应商、合作伙伴、客户、渠道等等有着紧密的联系，同时也要保证数据的安全性，通过实时管理来最大限度地降低企业成本。

企业这一需求，引起了各大网络设备厂商的关注，于是许多厂商推出了自己的SSL VPN产品，这里主要阐述众至UTM设备中的SSLVPN功能. 众至SSL VPN功能可以使你充分把互联网的强大功能运用到远程存取方面。采用这种做法不仅明显地降低了费用;提高了工作效率，改善了服务质量，并且可随时随地的存取信息，保证了企业和客户联系的即时性与畅通性。

一、 SSLVPN问题，你的企业有下面需求吗?

1.1.分公司访问总部内部资源：涉及到企业比较敏感的数据应用，如财务系统、业务系统等并没有发布到公网上，分公司、门市部的人员都需要接入到总公司进行信息化办公，作数据交换等。

1.2.出差员工的接入：出差在外的领导和员工需要实现随时随地的接入到总部内网访问应用，实现移动办公。

1.3.企业合作伙伴的接入：企业盟友需要访问公司内部某些资源，但是又不能让盟友访问内部所有主机，以及核心资料，防止盟友盗窃企业果实。

1.4.应用权限的划分：对于许多重要的应用，尤其是中层员工接入的情况下，需要进行相应的权限划分来保证内网应用的安全性，防止越权访问。

1.5.应用访问速度慢：面对遍布全国南北的门店和出差领导、员工，线路的丢包延时严重，30分钟能做的事却有花上2小时，访问速度的低下直接影响到员工的办公效率。

1.6.专线价格昂贵，扩展性差：企业分公司众多，如果全部使用专线进行互联开销很大，而且专线的扩展性差，也无法实现出差领导和员工的移动接入。

1.7.应用访问安全性：用户在终端访问所有应用系统数据时，都保存在本地客户端主机，尤其是一些安全性级别较高的数据，存在数据泄漏的安全隐患。

1.8.重要应用认证手段单一：对于公司重要的应用如财务系统、ERP等，使用的是普通的帐号密码认证，安全手段较为单一，如果把服务器直接暴露在公网的话，密码存在被窃取的风险比较大。

1.9.终端使用复杂：大量的应用系统需要记忆众多的用户名和密码，且容易混淆，导致效率下降，众至sslvpn设置可以使用本地账户、Exchange账户、AD域账户验证。

1.10.PPTPVPN使用复杂，不易操作：PPTP VPN的移动应用需要安装客户端软件，而企业合作伙伴接入单位众多，员工电脑水平参差不齐，易造成操作失误或者兼容性问题导致业务中断。

1.11.易于管理和维护，使用操作性强:众至sslvpn在客户端使用方面非常简单，只要在sslvpn服务器上下载客户端，存在U盘，携带方便，不需要安装，可直接拨号。

1.12.不安全终端接入的风险：公司总部有很好的网络安全防护，但部分小型分公司和出差人员的移动终端的安全措施往往得不到很好的保障，这部分接入的主机成为了总部的安全短板，存在将病毒、木马、黑客等引入到总部的风险。

二、 企业各种sslvpn应用网络解决方案

2.1网络规划拓扑：

2.1.网络拓扑图

2.2 众至SSLVPN方案的优势：

2.2.1.客户端操作简易：许多分公司员工、移动办公人员的IT水平都不高，而且在外接入的环境各异，VPN系统需要最大的保证易用性，让人人都能很快上手，方便的使用，众至SSLVPN客户端无需安装，直接拨号，可存U盘，携带方便。

2.2.2.高速访问：众至SSLVPN可以通过QOS，保证身在外地出差办公人员，在对内访问资源的速度上得到保证，并快速的接入并使用各种应用，顺利的开展业务。

2.2.3.支持全部应用：众至SSLVPN支持VPN对内部完全访问的权限，不仅能够支持现在企业正在使用的所有应用，还必须能与其他将来所有可能会运用到的应用无缝结合.

2.2.4.统一管理：众至SSLVPN可以设定每个拨号用户绑定固定ip地址，对vpn用户实行分组，通过SSLVPN管控规则，进行不同访问权限分配，实现统一管理。

3.2.5.便捷经济性：众至SSLVPN功能是集成在UTM中，后期维护不需要额外付费、不需要单独购买vpn设备、不需要专线的昂贵费用，只要能联网即可使用，即便捷又经济。

2.2.6.SSLVPN记录功能：可以记录VPN用户什么时间登录和退出、可以记录用户上线了多久、可以看见哪些用户上线和未上线、可以记录用户今天访问了哪些业务的ip地址。

2.5.7.常用的认证组合：针对单一用户名/密码认证的安全强度不足的问题，众在SSLVPN可采用LDAP、AD域控、邮件账户、RADIUS认证方式，加强了认证安全。

2.2.8.稳定性和可靠性：整个企业的SSL VPN网络支撑着企业的重要业务系统，用户不可能容忍经常出现网络中断现象。过多的功能有时会影响接入稳定性，众至对所有功能进行了优化，使系统拥有良好稳定性和可靠性。

2.2.9.高安全性：SSLVPN协议提供了数据私密性、端点验证、信息完整性等特性，SSLVPN系统需要全方位的保障整个系统、网络传输、用户接入的安全性，从而保障整个公司信息系统安全畅通的使用.

三、 最精简的SSLVPN设置(从设置SSLVPN服务器到SSLVPN客户端);

SSL VPN 是一种具有安全加密保护的虚拟私人网路技术，可以让使用者在外地使用电脑的时候，就像是在局域网内使用电脑一样，可以访问任何局域网内的资源，如 ERP、进销存或是限定来源 IP 位址的查询系统，又因為将资料加密，所以在网际网路上无法解析传输的内容，确保双方传输资料的安全性。

第一步：开启SSLVPN服务器设定;点选修改服务器设定值→启动，即可(图1);

▲图1.开启SSLVPN服务器设定

第二步：创建账户：可以创建三种常用认证账户LDAP、POP3、AD域，从中任选一种，建议用POP3或者AD域认证，这两种认证都是通过后台服务器认证，加强了认证的强度，也便于用户记忆用户名和密码，不会因为企业应用软件多而记不住或记错;(图2)

▲图2.创建SSLVPN账户

第三步：把创建的用户，加入到使用者群组中，也可以分组，可按照部门、需求来建立组，便于建立SSLVPN客户端，可以选择不同的认证方式，比如test1组选择POP3认证方式;test2选择AD域认证的方式。(图3)

▲图3. 把用户加入到群组

第四步：添加SSLVPN客户端列表，可静态绑定客户端的ip地址，使客户端拨号的ip永远固定，便于管理SSLVPN客户端，如果客户端是DHCP自动获取的，这样不利于建地址组，不利于划分权限管理。客户端可以通过MAC地址绑定和手动指定两种方式：(图4)

▲图4.添加SSLVPN客户端列表

第五步：下载SSLVPN客户端，把客户端保存在本地，打开浏览器进入https://外网接口ip地址/sslvpn.php下载，输入自己的用户名密码验证，把所得到的压缩包保存在本地即可;(图5)

▲图5 .客户端下载

第六步：使用 SSLVPN 时，需要从VPN 服务器端下载压缩包解压，SSL VPN 用户端软体使用绿色软体的技术，所以不需要任何安装动作，使用简单又方便，直接在PC机上面双击打开sslvpn-gui.exe输入用户名密码拨号即可，所以使用者可以将软体跟凭证放在任何移动的储存设备，如 USB 等，然后在任何电脑设备上执行。可设置为自动拨号。(图6)

▲图6.客户端简单运用

 四、管理简洁

4.1.SSLVPN记录功能

通过SSLVPN记录，可以知道当前用户在线状态、获得客户端ip地址、何时上线，也可以踢出在线用用户，管理界面一目了然。如果感觉有非法用户登录，可以及时的踢出用户，也可以设置管制条例拒绝非法ip访问网络内部，保证内部网络的安全性。(图7)

▲图7.查看在线用户

 4.2.SSLVPN管制功能

SSL VPN 具备有管制功能，对于远端用户而言，管制有2 个方向，一个是进入内网路，另一个是透过 VPN Server 上网际网路(可以选择啟用或是关闭这项功能)，这 2 个管制方向都可以管制远端用户使用的频宽、通讯服务及时间。(图8)

▲图8.SSLVPN管制功能

 五、 为什么要用SSL，而不用IPSec VPN?

5.1. IPSec的主要不足

(1)安全性能高，但通信性能较低

(2)需要客户端软件、硬件设备

(3)安装和维护困难

(4)实际全面支持的系统比较少

(5)不方便移动用户(出差员工、家庭办公)

5.2.SSLVPN的优势

(1)不需要客户端软件和硬件需求

(2)容易使用，无需安装

(3)方便出差、家庭办公用户

(4)便于和合作企业交流

(5)认证强，安全性高

(6)SSLVPN客户端管理统一

5.3.下面是 SSL VPN与IPSec VPN的简单比较列表，从表中可以看出各自的主要优势与不足。