[新知] SSL VPN 企業運用

SSL VPN這項產品提供遠端用戶存取企業內部敏感資料最安全卻又最簡單的解決方案
遠端用戶只需透過瀏覽器就能使用不需預先安裝專用程式
整合AD、Radius或是LDAP帳號驗證機制
大幅降低MIS的工作負擔及TCO
用戶登入後在瀏覽器畫面提供條列式的服務清單讓使用者直接點選開啟
不在清單裡的服務完全不能使用保障企業網路安全

以下透過案例示範遠端用戶透過SSL VPN存取位於防火牆後端的SBS
為避免廣告嫌疑圖片部分資訊馬賽克處理

DEMO公司是一家中型企業
建置了一台Microsoft Small Business Server作為企業的主要伺服器
提供Exchange Server、Intranet訊息平台Sharepoint、Outlook Web Access還有檔案共享等四項重要服務


Demo公司的MIS根據不同使用者的權限及需求分配如下表





權限分配說明：
1. 整個OU的用戶都可以使用Sharepoint、Exchange OWA兩項基本服務
2. 使用者Hebe加上檔案共享服務
3. 使用者Katrina可以使用全部四項服務

架構示意圖：位於第一線的防火牆作一筆443的PAT指向SSL VPN，用戶帳號驗證使用SBS AD domain。


打開IE連線SSL VPN，跳出安全性警訊表示您正透過SSL的加密保護


下載SSL VPN附加元件中



進行用戶電腦安全檢查程序，以確保遠端用戶的電腦安全



登入畫面，用戶使用登入網域帳號密碼登入SSL VPN



Jolin屬於一般用戶僅能使用兩項服務



Hebe除了一般用戶服務外還能使用文件共享服務



Katrina除了一般用戶服務外，還能使用文件共享及使用Exchange Server



遠端用戶只要直接點選服務即可開啟使用
例如點選”內部Sharepoint 網站”
瀏覽器會自動開啟並連線到Sharepoint http://companyweb



許多企業因為安全因素多半不開放Exchange直接對外
導致遠端使用者必須使用POP3向Exchange Server收發email
浪費了Exchange的強大功能真是可惜啊！
以下以Katrina透過SSL VPN使用OUTLOOK連線Exchange Server作示範。

登入SSL VPN之後在遠端用戶的電腦上開啟控制台選取郵件



新增郵件設定檔



新增一組電子郵件帳號設定



伺服器類型選取Microsoft Exchange Server



Server名稱打入FQDN
使用者名稱katrina後按下檢查名稱
請注意SSL VPN支援Single Sign On因此帳號密碼畫面一閃而過
底線的出現代表檢查正確無誤
可以透過SSL VPN連線到Exchange Server！



接下來回到登入畫面點選 郵件服務 ”Exchange Server IMAP示範”
SSL VPN會自動帶起OUTLOOK作完整同步



連線Exchange Server成功
請注意OUTLOOK右下角的 “已經連線”！



接下來進行驗證工作
回到主畫面點選 Web服務 “DEMO Exchange OWA”新增一筆聯絡人資料





回到OUTLOOK按下傳送接收進行同步
使用Exchange OWA建立的聯絡人能夠在OUTLOOK裡看到
從今以後遠端使用者不用屈就OWA
快樂的使用OUTLOOK工作吧！



遠端使用者登出時可以設定清除使用紀錄
如瀏覽紀錄、瀏覽快取、cookie、暫存檔案甚至是指定的資料夾!

----------------我是分隔線-----------------

寫在文末

SSL VPN除了本文中示範的WEB應用：
Sharepoint、OWA等
更能夠應用於Client/Server架構：
遠端桌面連線/Terminal Server、IBM5250/AS400、SAP client/SAP ERP等
甚至後端放台SLINGBOX讓老闆連回台灣看電視!
通通都只要一筆PORT 443的 PORT MAPPING
而不需要讓您的防火牆千瘡百孔使得有心人士有可乘之機!

而全部遠端到內部主機通訊均採用SSL或TLS加密保護
能夠避開閘道型網路紀錄器的監控
不論您在公共場所例如飯店、機場或是網吧都能放心使用
更沒有防火牆阻擋問題IPSec封包障礙
兩岸三地建置時也能避開中國官方的通訊檢查機制
隨心所欲的連回HQ收發電子郵件

認證機制可採用Windows AD、Radius、LDAP、內部憑證甚至是第三方憑證如自然人憑證
其建置、維護及大量散佈的成本遠低於IPSec VPN更是吸引企業的優勢！

附註：本文章僅為產品特性及應用分享，歡迎討論SSL VPN的應用及心得，業務面討論請勿回文，謝謝!