重庆地税局SSL VPN解决方案

信息化的实质是信息系统成为单位组织和社会的一个基础设施和运作平台，大大提高这些组织的信息沟通能力和经营管理水平。业务应用是一个不断发展的过程，信息化建设也是一个循序渐进、不断提高的过程，决不能认为一个系统建成、主要需求满足后，信息化工作就万事大吉。

重庆市地税局移动安全接入系统的建立就很好地说明了这个问题，即使是关键业务应用和财力雄厚的部门，其信息系统也需要不断发展和采取多种解决方案，也许惟有如此，才能满足日益多样化的应用需求。

移动办公时代：安全与灵活性如何兼顾

重庆地税局采用SSL VPN技术实现随时随地安全接入

重庆市地税局作为主管全市地方税收工作的市政府直属机构，承担着全市税收计划、征管、服务等职能，肩负着组织地方财政收入、促进地方经济发展发挥的重任，其行政效率和服务水平不仅直接影响着全市的地方税收的征收入库，而且在很大程度上影响广大纳税人(单位)对税务机关乃至重庆市投资环境的看法。建设一个安全高效的信息网络和综合业务系统是提高税务部门行政效率和服务水平的重要手段。

市局机关内设17个职能处室，下设5个直属单位，辖40个区县(自治县、市)地方税务局，434个基层税务所，系统在职在编干部职工共有5265人，其中科所以上领导干部1316人，市局对各区县(自治县、市)地方税务局实行垂直管理。经过以前一段时间的信息化建设，重庆市地税局以及下属区县地方税务局已经基本建成了覆盖全部税务局所的网络系统和承载了主要业务的综合应用系统。市局与区县税务局之间通过具有备份线路的专线连接，确保网络的畅通和安全。

但是，随着电子政务的深入发展以及社会对税收服务要求的提高，出现了大量的移动办公需求，比如领导及相关业务负责人出差外地时需紧急处理的事务、有时限要求的审批项目、主管领导随时了解业务情况的需求、市委相关部门和领导随时了解税收征管情况的需求等等，这些移动办公需求也要纳入信息系统建设的考虑范围。

信息化设施的服务对象和应用范围也日益扩大，对网络技术和基础设施也提出了新的要求。移动办公的需求不仅种类繁多，而且权限各异，基本涉及到地税局的各种业务系统，再加上纳税服务对象和社会公众的WEB访问需求，系统管理和访问控制变得十分重要而任务繁重。面对移动办公随时随地安全接入的需求，原来采用的专线接入方式不仅成本高昂，在技术上也是很难实施的。

需求分析:

目前，重庆市地税局主要满足全市相关部门领导、45个直属机构负责人和下属区县局长及部分业务科长的移动办公需求，实现他们不同权限的业务内容安全远程访问，所以，重庆地税局移动办公的解决方案，需要能够在随时随地支持高效办公同时，还能够确保访问过程中数据的保密和安全规范要求。在方案设计中，需要实现以下目标：

1、 操作简单、管理方便。移动办公时间地点的变动性以及终端用户的非专业性决定不仅要求网络系统的搭建简单易行，而且要求系统尤其是终端的使用、维护和管理简单方便。

2、 具有多重身份认证机制。移动办公的特点，决定了不仅上网的地点经常变动，而且上网的终端也可能出现变化，提供多重身份认证机制对于确保通信和数据的安全是必要的。

3、 提供网络流量控制手段。目前移动用户的数量就有600多人，而且随着系统的扩大和应用的增加，移动用户也将不断增加。面对动辄上千的并发要求，网络流量控制，成为保障移动办公系统稳定运行的重要手段。

4、 提供网络安全保障：互联网上日益严重的病毒和恶意攻击，不仅会导致网络不畅甚至宕机情况的发生，严重的还导致机密信息的泄露和系统的破坏，所以在方案设计时，要充分考虑到系统的防御和抗攻击能力。
　解决方案

重庆市地税局移动安全接入网是在不改变原有网络架构的情况下对原有网络的扩充，市局和直属机构和区县局继续采用专线连接，而移动安全接入则采用可灵活部署、成本低廉，同时又能确保安全保密的虚拟专用网技术。

相对专线接入方式而言，构建在公用网络上的VPN(虚拟专用网)不仅成本低廉，而且组网灵活、安全保密，具有极大的灵活性和安全性，尤其适合移动办公的需要。在VPN发展的初期，它还是主要作为一种"穷人"的专线技术为广大中小企业所采用，随着技术和应用的发展，VPN也逐渐被大中型组织接纳。

经过对各种接入技术和方案的全面评价、比较，重庆市地税局决定采用SSL VPN技术建设自己的移动办公接入网络。与另一种VPN技术–IPSec VPN相比，SSL VPN在安全性、易用性、可管理性、使用和维护成本等方面均有优势。

建立在应用层的SSL VPN可以比建立在第三层上的IPSec上提供更多的访问控制，从而可以为不同用户设定不同的访问权限。另外，SSL VPN还具有良好的网络愈合能力，能够启用没有客户机的VPN，提高网络容量或者性能，从而有效降低运营成本、延长网络的寿命，使网络具有良好的可扩展性。

随着技术的发展，SSL VPN不仅支持WEB应用，满足EMAIL、企业内部网页浏览等B/S应用和访问ftp服务的需要，而且可以OA系统、CRM/ERP等C/S应用。在对主要VPN厂商的方案和产品进行比较后，重庆市地税局最终选择上海冰峰公司提供的SSL VPN产品和解决方案。

该方案采用上海冰峰公司的ICEFLOW SSL VPN系列产品进行组网，市局采用ICEFLOW F5500，主要移动客户端根据情况可采用ICEFLOW R系列路由器或者客户端软件。 ICEFLOW F5500是上海冰峰网络推出的整合多种安全防护功能的新一代智能网络安全防火墙设备。

它以冰峰网络自行开发的安全操作系统(ICEFLOW Security System)为核心，集成了防火墙、VPN、入侵检测、带宽管理、防拒绝服务网关、认证授权、内容安全控制、高可用性配置能力等众多安全角色，提供高度安全、可信和健壮的安全解决方案，实现了单一设备对网络的全面安全防护。 ICEFLOW F5500支持宽带接入与千兆级企业网络流量，可以为用户提供实时的安全保障，全面满足大中型单位的安全需求。

客户端既可使用专用VPN设备，也可使用客户端软件建立与市局的安全通道，接入方式也没有任何限制，可以任意通过ADSL、Cable Modem、无线等接入Internet，真正实现无障碍、灵活自由的安全接入。
系统特点:

上海冰峰为重庆市地税局提供的移动办公接入网络解决方案主要具备以下特点：

1、 简单易用，使用灵活，维护方便。无论是使用冰峰VPN专用设备还是客户端软件的用户，安装连接都非常简单。安装完成后，用户可以直接使用浏览器访问各种Web应用、客户端/服务器应用、电子邮件和文件共享，并且无需安装其他客户端程序，上海冰峰根据重庆地税局的应用专门定制了友好界面，使用更加简便。该网络还支持PDA，浏览器，Linux，Unix，Windows等常见系统，用户无须考虑上网设备和操作系统的兼容性。

网络设备支持业界标准的802.1Q、VLAN协议，系统管理员可划分逻辑子接口并提供路由和透明模式下的802.1Q、VLAN，实现分级别管理，方便地部署资源访问权限;系统提供Console、SSH、HTTP等多种管理手段，系统管理员可通过监控中心即时监测各个节点使用状态，方便地导入、导出不同设备上的配置文件，并可通过设备内建Update功能轻松实现软件升级;系统具有详细的多层次审计功能，支持外部日志服务器，支持到应用程序和端口的细粒度访问控制;系统支持ActiveX插件，无需提供成本高昂的长期客户端支持与维护;另外，系统还具有自动拨号、断线自动恢复功能，在线路恢复正常后VPN可在10秒内愈合。所有这些特点，都大大方便了系统管理员的管理控制工作，减少了运行维护的工作量。

2、 重身份认证机制，确保网络安全可靠。系统可强制施行客户端安全策略，并提供了基于角色(用户名密码)、USB KEY安全认证方式、硬件特征码等多种访问控制，实现了与LDAP、Radius、SecureID、数字证书认证等第三方认证的无缝接合，并支持端口转发，非军事区发布主机(DMZ)，启用/禁用广域网PING，DNS代理、MAC地址克隆、NTP支持，URL过滤，电子邮件报警，DHCP服务器(信息和显示表)，确保网络安全可靠。

系统还具备入侵检测过滤、分布式拒绝服务攻击防御和病毒蠕虫保护功能，可抵御SYN flood、UDP flood、ICMP flood、Tear Drop、Smurf、Land Attack、Ping Of Death等多种当今流行的Dos/Ddos攻击。

3、 网络流量控制和备份功能，优化网络资源。系统采用硬件加速功能、透明压缩、缓存等技术，具备实时查看数据流量和带宽分配管理功能。专业全面的带宽及流量控制系统，确保充分利用网络资源，系统管理员可通过设置总流量、流量策略和流量规则组以达到优化网络资源的目的。

系统还支持多线路(ISP)智能选路功能和负载均衡功能，可同时连接多个运营商，并智能选择运营商，满足重庆地税局目前有重庆有线电视网、重庆电信提供的DDN专线、ISP等多种宽带接入方式的网络状况，配合智能化自我监控自我恢复功能，支持单机双线路或双机热备份，可以轻松应对因紧急事件而引起的数据流和服务高峰，彻底解决服务当机问题，实现高可靠性和灾难恢复能力。

应用效果:

系统实施后，目前全市所有处级以上领导及市地税局和区县地税局局长及部份业务科长的笔记本电脑，共约600多个用户，均可通过SSL技术，经过身份认证和笔记本的硬件地址(MAC地址)认证，根据不同的线路接入系统进行数据交互。因系统部署时具备了多角色认证和主动式防御功能，能保证安全的被授权机器才可以进行访问，有效的提高了整个移动办公网络的安全性。系统的硬件加速、缓存功能，以及流量控制和带宽管理功能，能有效避免移动办公系统的带宽瓶颈和服务故障。

冰峰SSL VPN设备和系统的部署，为重庆地税局及下属区县地税局的领导和业务负责人提供了在任意时间、任何地点进行访问的能力，大大提高了业务系统的应用效率，确保各项工作的顺利开展和税务系统服务水平的提高。对于冰峰产品技术的表现以及公司在该项目中提供的完善服务，市局和各区县信息中心的管理人员均给予很高评价。

未经允许不得转载：DOIT » 重庆地税局SSL VPN解决方案