SSL VPN在农行四川省分行的应用案例

　　客户背景

　　中国农业银行是四大国有独资商业银行之一，在全球1000家大银行中名列第25位,是入选《财富》500强的大型企业。在四川，中国农业银行辖21个市、州分行，185个县级支行，2000余个营业网点，3万名员工，机构遍布城乡，是四川省金融服务网点最多，网络覆盖面最广，服务功能最全的国有商业银行。

　　在新的经济环境下, 农行四川省分行需要其员工在任何地点、任何时间访问各种IT资源，满足其开展全省业务的需要，在与其他国有大型银行及新兴中小银行的竞争中立于不败之地。目前，农行四川省分行已部署有OA系统、邮件系统、文件数据共享系统等，但这些应用系统只局限在内网的访问和使用。如何让出差在外、在家办公的员工访问应用系统，在任何地点都产生收益，是农行四川省分行亟待解决的一大问题。

　　技术需求

　　从技术角度看，农行四川省分行分别从安全性、可控性、易用性等方面提出了相应要求：

　　1. 安全性：如果需要向外网用户开放部分内网资源，数据传输的安全性首先要得到保障。其中，用户身份验证的安全性需着重考虑，如不能有效识别用户的身份，使得非法用户接入内网，将给银行带来巨大的安全隐患。

　　2. 可控性：对通过身份验证的接入用户所访问的内网资源必须可控，即能做到为不同用户分配不同的访问权限，并且能够对用户的访问日志进行详尽记录，以便查询、汇总和审计。

　　3. 易用性：方案的部署是为了方便用户的使用，提升工作效率，所以要保证客户使用简单方便，并能够适应各种网络接入环境。

　　解决方案

　　农行四川省分行从一开始的技术方案选型阶段就已经明确表示：专线一方面不能解决移动接入的问题，同时费用高昂;采用老式拨号接入的方案，部署复杂，且权限无法控制，只有采用VPN技术才是理想的解决措施。

　　而在农行四川省分行的进一步选型过程中，发现传统的IPSec VPN需要安装客户端软件，在接入用户的访问权限控制方面也不够完善;而SSL VPN无需客户端的安装和配置，一些优秀的产品还支持将多种身份识别方式进行组合，并提供严格的访问权限控制，满足了该行对安全性、可控行和易用性的要求。

　　在通过对国内外多款SSL VPN的综合比较后，农行四川省分行最终选择了同深信服合作，部署其领先的M5400-S SSL VPN远程接入系统。M5400-S是千兆级的SSL VPN网关，支持多种身份认证方式和详细的日志记录，可满足近千名用户同时登录，在国内金融系统的应用较为广泛。

　　方案优势

　　安全可靠

　　除了在数据传输上采用128-bits AES加密算法外，对于接入用户的身份认证，M5400-S提供了包括USB-Key、数字证书、动态令牌、短信认证、硬件特征码等多种方式，并可让用户自由选择。

　　四川农行主要采用了USB-Key双因素动态身份识别方式，出差在外或在家办公的员工只需将随身携带的USB-Key接入电脑，就可以在互联网上访问管理员为其划分的内网资源。管理员可以根据内网资源的IP地址、端口、URL等进行资源的划分和授权。

　　对于用户发生的各种内网访问行为，M5400-S都能够进行细致的记录，尤其值得一提的是，网关记录的海量日志能够自动转存到内网的任意一台服务器上，并且通过自带的图形化日志查询、审计、汇总工具，用户可轻松地完成日志的相关操作。

　　高易用性

　　凭借SSL VPN的协议特征和M5400-S的技术优势，农行四川省分行的移动用户无须安装客户端软件，借助标准浏览器就可以访问内网的B/S、C/S应用，使银行的非IT专业人员也能够轻松体验到SSL VPN给工作带来的方便。

　　除此之外，M5400-S的访问速度也有极大的优势。其独有的WebPush专利技术，让农行四川省分行的员工在访问web页面时，整个页面可以一次性推送到客户端，这使得用户访问B/S应用的速度比其他SSL VPN平均提高20%左右。而通过LZO数据流压缩技术、数据包头压缩和重封包技术，M5400-S又将数据的传输效率提高了30%左右，比明文传输还要快。

　　农行四川省分行对M5400-S进行了文件拷贝和SQL数据库查询的性能测试，当远程客户在互联网直联的情况下查询一个有9000多条数据记录的SQL数据库，总费时48秒，而通过M5400-S的SSL VPN接入后进行查询，用时则不到30秒。对于word文档、图片和压缩文件等其他应用的传输，通过M5400-S的传输效率普遍比互联网直接传输提高40%以上，极大地提升了用户的访问体验。