南方电网 打造移动网络
2007-09-19   网络

2007年7月5日，广东省工业50强的名单对外正式公布。作为跻身世界500强行列的中国南方电网有限责任公司，以超过2200亿元的营业收入雄踞广东省工业50强的第一名。

南方电网是国内结构最复杂、联系最紧密、科技含量最高的电网，也是西电东送规模最大、效益最好、发展后劲最强的电网。随着南方电网公司信息工作的深入进行，内部的应用系统不断增多，日常业务的处理基本上都是依靠网络和电子化流程，比如：远程分支机构的办公、出差和休息期间的急件处理、企业内部OA、内部邮件和特定应用系统的访问等等，所有的这些都迫切需要一个良好的远程办公环境。

需求分析

经过公司IT部门的调研和分析，最终决定采用SSL VPN作为移动办公和远程接入的解决技术方案，同时也迅速启动了对SSL VPN项目的立项、选型和测试。南方电网的IT部门对SSL VPN的技术方案提出了以下需求：

（1）对接入SSL VPN系统的用户进行身份认证。因为南方电网内部存储着众多的业务信息和商业机密信息，绝不允许恶意用户访问甚至窃取。作为一种安全的接入手段，SSL VPN必须要有丰富的认证机制来保证接入的安全，避免不明身份的人通过盗用账号/口令，进而取得入侵权限。

（2）有竞争力的访问速度。南方电网在外需要移动办公的员工数量众多，不仅需要SSL VPN的性能高，更重要的是要保障每个员工的访问速度。

（3）需对应用进行支持广泛，不管是B/S、C/S系统，或者基于TCP、UDP协议，甚至是ICMP、SIP、H.323这些协议的应用系统，都要提供完美的支持。南方电网内部IT应用复杂，包括OA、邮件和特定的应用系统等，部署SSL VPN目的是提高员工的工作效率，所以一定要支持公司内部众多IT应用和可预见未来的其他IT应用。

（4）高安全性、高可靠性、高可用性。SSL VPN系统的部署使得公司IT应用扩展到内部企业网以外，所以要保证该扩展是安全可控的，众多员工依赖此系统作为移动办公和远程接入的手段，系统的可靠性必须得以保证；另外对终端用户而言，该系统需使用简单、界面友好，适应多种终端设备的接入访问。

南方电网的IT部门联系了5家SSL VPN的领先厂商，包括3家国外厂商和2家国内知名厂商，并一一进行了产品测试。最终深信服科技的SSL VPN产品凭借超强的安全性、最快的传输速度以及易于使用的操作方式，满足了南方电网对SSL VPN系统的要求，顺利中标。

针对接入用户的认证和授权方面

深信服SSL VPN设备不仅支持简单的用户名/密码认证模式，另外可以通过使用USB Key方式，或者与公司内部的CA数字证书服务器配合，同时深信服SSL VPN设备还支持动态令牌卡、短信、数字证书等多种动态认证方式，并且可以和企业已有的支持微软AD、LDAP、Radius的第三方认证服务器无缝配合完成对用户的认证，通过这些方式还可以对用户进行混合认证，是目前所有SSL VPN产品中认证手段最丰富的。

通过认证的用户根据预先分配的权限进行可控的访问，被访问的资源可以根据该资源的IP地址、端口、服务甚至URL地址和访问时间进行限制，对接入的用户进行细致的授权，真正做到给合适的用户授予合适的权限，且用户访问行为均有详细的记录。

对应用访问速度的加强

LZO流压缩技术使应用的传输速度比Internet直接传输还要快10%～30%，改变了人们固有的看法。另外，Web Push技术亦加快了Web系统的传输效率，可以让用户“一瞬间”打开B/S应用的界面。同时，一些广域网加速的新技术也在不断向深信服SSL VPN移植，例如Flash-Link技术、TCP协议代理技术、流缓存技术等，这些在其他领域获得突破的技术都在不断改变SSL VPN的用户体验，使南方电网对其选购的这款产品充满信心。

对ＩＴ应用的广泛支持

相比其他厂商仅支持B/S应用和部分C/S应用，深信服支持所有基于TCP/UDP/ICMP的应用，甚至支持基于SIP、H.323等协议的VoIP、视频等应用，使得南方电网复杂的IT应用得以通过公网进行安全、平滑的扩展。另外，不管终端用户使用普通的PC机、掌上电脑还是智能手机等，都能随时随地地通过深信服SSL VPN系统访问内网应用。

灵活的部署策略

深信服SSL VPN设备支持多种部署方式，包括网关模式和单臂模式，考虑到公司网络的实际情况，最后决定实施单臂的部署模式。这种部署方式一方面能够简单迅速的实施，仅需要对所连接的交换机进行端口镜像配置和在防火墙上针对SSL VPN设备进行端口映射；另一方面对原有网络环境影响最小，处在公网的用户如此便可以安全方便地通过SSL VPN网络访问南方电网公司内部的IT应用，使得移动办公、远程接入成为现实。

点评：

电力行业结构复杂、联系紧密、科技含量高，希望通过前沿技术来进行业务创新的意愿十分强烈。移动办公和远程接入的需要，变得越来越迫切。深信服ＳＳＬ ＶＰＮ设备在认证安全、高速访问和灵活部署方面，给予南方电网有力的支撑。