一.前言

　　中国疾病预防控制中心，作为实施国家级疾病预防控制与公共卫生技术管理和服务的公益事业单位，是我国公共卫生体系的一个重要部分。2003年以来，中国疾病预防控制中心建立了以传染病疫情报告和突发公共卫生事件为核心的网络信息平台，实现了基于B/S模式和J2EE三层架构的实时在线传染病个案网络直报系统，该系统覆盖全国100%各级疾控机构、96%县及以上医疗机构和82%乡镇卫生院。同时以此为基础,中国疾病预防控制中心信息化建设更加完善,各种信息化平台逐渐上线运行,随着信息化建设的发展,各种信息化平台需要发布在互联网中提供给全国相关单位的用户来使用,远程移动办公点多面广的接入需求日益增多，用户通过互联网访问应用业务时不可避免的存在着数据安全和操作上的问题。正是基于远程办公、安全接入认证、用户权限管理、数据加密、易操作性以上五点的需求,中国疾病预防控制中心采用网御星云SSLVPN网关SAG的方案,完美的与各种信息化平台相结合,内网应用资源得到无限延伸。

　　二.方案设计

　　1.VPN技术选择

　　1)基于Web的应用是技术发展的大势所趋

　　网络应用已经由“Everythingover IP”逐渐转变为“Everythingover Web”，未来基于Web的应用将占整个网络应用的60%~70%。在网络化、Web化、标准化的技术发展趋势下，卫生行业也不例外,大部分应用都为B/S架构基于WEB实现。因此与web应用配合最好的SSLVPN将成为网络应用和业务拓展、安全保障的主要技术手段。

　　2)网络无界、接入无限是技术发展的大势所趋

　　随着WEB技术的发展，局域网的边界越来越模糊。现在和未来的用户，需要能够在分支机构、旅途中、酒店中、家中都能够随时的访问局域网内的应用系统、业务系统和数据资源。也就是说，此时的局域网将扩展成以应用为边界的基于公众基础设施的虚拟私有网络，传统的地域网络边界将逐渐模糊直至最终消失，这就是网络发展的必然趋势--网络无界。

　　在技术发展和融合的推动下，网络接入无限的需求和趋势愈发明显。所谓网络无限就是指任何人、在任何地点、任何时间、通过任何接入设备(DesktopPC、NotebookPC、手机、PDA、数字终端等)、任何的Internet接入方式(拨号、ISDN、ADSL、小区宽带、Wi-Fi等)，都可以安全的访问其所需要的资源。

　　在网络无界、接入无限的发展趋势下，用户迫切的需要一种能够快速的将局域网内应用扩展至公众网络，同时又拥有足够的安全保护能力的技术解决方案。此时，VPN作为一种成熟远程安全访问技术方案，逐步的得到了越来越多的用户的认可。

　　3)IPSecVPN的局限性

　　在VPN技术方案上，当前主要有SSLVPN和IPSecVPN两种技术路线。IPSecVPN技术出现较早，应用较为广泛，但IPSecVPN有其自身的局限性。

　　需要安装客户端软件，存在大量的安装、培训、升级、管理等工作，无形增加了用户的使用成本。

　　接入设备支持的种类少，以DesktopPC和NotebokePC为主，对手机、PDA、MAC、移动终端等设备的支持有局限性。

　　存在一些技术问题，如：NAT穿透、私有地址冲突等。

　　由于IPSec是网络层协议，安全隧道一旦建立，可以访问所有内部资源，存在一定的安全隐患。

　　因此，无论国际还是国内，无需安装客户端、支持多种设备接入，且能提供更好的安全控制手段的SSLVPN相比IPsecVPN正逐渐的赢得更多用户的青睐,也更加适合中国疾病预防控制中心这种远程办公、权限细分、证书接入、WEB应用占大多数的需求环境。

　　2.部署拓扑示意图

　　3.部署说明

　　远程接入是典型的VPN接入需求，传统的IPSECVPN可以提供移动接入的功能，且具备提供足够的安全性，但是一个问题是需要安装客户端软件，需要进行安装和维护。对于大多数处于移动状态且是非IT专业人事来讲，其VPN客户端软件维护的复杂性就要成倍增加。因此，选择客户端免维护的SSLVPN系统是构建远程安全接入的首选方案。

　　根据用户的网络现状和SSLVPN产品特点，我们建议采用网御SAG产品，单臂旁路方式集群接入。单臂旁路接入不改变原有网络结构和网路配置，不增加故障点，部署简单灵活，同时提供完整的SSLVPN服务。远程用户只需应用标准IE浏览器即可登陆网关，通过身份鉴别，在基于角色的策略控制下实现对企业内部资源的存取访问。

文章作者：网御星云