基于SSL VPN實現(xiàn)安全共享疾控單位之間的數(shù)據(jù)

葉添飛

摘要：為了解決安全地傳輸和共享不同單位之間業(yè)務(wù)數(shù)據(jù)的問題，通過SSL VPN和ftp相結(jié)合的方式，采用天融信VPN多合一網(wǎng)關(guān)和微軟的IIS來部署，實現(xiàn)了在互聯(lián)網(wǎng)上安全地傳輸數(shù)據(jù)，建立了數(shù)據(jù)共享平臺。

關(guān)鍵詞：SSL VPN;ftp;傳輸數(shù)據(jù);安全;共享

中圖分類號：TP393? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2021）19-0040-02

Data Safely Sharing among CDCs based on SSL VPN

YE Tian-fei

（Guangzhou Center for Disease Control and Prevention， Guangzhou 510440， China）

Abstract： To solve the problem of safely transmitting and sharing business data between different units. With the combination of SSL VPN and ftp， TOPSEC VPN multi-in-one gateway and Microsoft's IIS are employed to deploy data transmission on the Internet. A data sharing platform was established to make the safe transmission of data on the Internet a reality.

Key words： SSL VPN; ftp; data transmission; safe; share

1 背景

隨著時代的發(fā)展，因特網(wǎng)走入千家萬戶。企事業(yè)分部與總部的員工用QQ、郵件等網(wǎng)絡(luò)工具很方便地開展業(yè)務(wù)。但是，有些工具是明文傳輸數(shù)據(jù)或者存放在軟件廠商的服務(wù)器上，這使得傳輸?shù)臄?shù)據(jù)存在被竊取和被篡改的風(fēng)險。疾控單位之間，由于業(yè)務(wù)方面的往來，各區(qū)疾控中心與市疾控中心有時候需要共享一些業(yè)務(wù)上的數(shù)據(jù)。如果直接通過發(fā)郵件或云盤等方式，會存在泄露的風(fēng)險，也不符合相關(guān)規(guī)定;區(qū)疾控中心與市疾控中心之間拉網(wǎng)絡(luò)專線，又大費周折，費用較高，不太現(xiàn)實。VPN技術(shù)的出現(xiàn)，恰好解決了這個問題。

2 VPN及相關(guān)產(chǎn)品介紹

2.1 VPN介紹

VPN（Virtual Private Network）即虛擬專用網(wǎng)絡(luò)，通過一些協(xié)議在互聯(lián)網(wǎng)上建立專用網(wǎng)絡(luò)，通訊雙方搭建一條安全可靠的隧道[1]，數(shù)據(jù)通過加密在隧道傳輸，用戶可以通過隧道傳輸業(yè)務(wù)數(shù)據(jù)到公司總部內(nèi)網(wǎng)，不必擔(dān)心業(yè)務(wù)數(shù)據(jù)的泄露問題。

常見的VPN主要有SSL VPN和IPSec VPN。SSL VPN主要用在遠程用戶與公司總部內(nèi)部網(wǎng)絡(luò)的場景中，IPSec VPN主要用在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間[2]。根據(jù)本文的需求，顯然采用SSL VPN更為合適。

SSL（Secure Sockets Layer）就是安全套接層協(xié)議，是網(wǎng)景公司開發(fā)的安全傳輸協(xié)議，在萬維網(wǎng)中得到廣泛的使用。它位于OSI模型的傳輸層和應(yīng)用層之間[3]，通過密鑰加密的方式來傳輸數(shù)據(jù)。SSL協(xié)議分為兩層：上層為SSL握手協(xié)議（SSL Handshake Protocol），下層是SSL記錄協(xié)議（SSL Record Protocol）。SSL握手協(xié)議的功能是通訊雙方在建立連接的過程中，進行身份認證、協(xié)商加密算法等。SSL記錄協(xié)議的功能是對數(shù)據(jù)進行封裝、壓縮和加密等。

SSL VPN就是采用了SSL的VPN技術(shù)。遠程用戶通過瀏覽器內(nèi)置的Secure Socket Layer封包處理功能，連接公司總部的VPN網(wǎng)關(guān)，使用網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，進而訪問公司總部內(nèi)的服務(wù)器。在遠程用戶與VPN網(wǎng)關(guān)通訊的過程中，所有的數(shù)據(jù)包都通過SSL加密，保證了數(shù)據(jù)的安全。由于大部分瀏覽器都集成了SSL協(xié)議，所以部署SSL VPN的時候非常方便快捷，無須安裝客戶端[4]。遠程用戶直接在瀏覽器輸入VPN網(wǎng)關(guān)的網(wǎng)址，安裝插件即可使用。

2.2 天融信VPN網(wǎng)關(guān)

本文采用天融信VPN多合一網(wǎng)關(guān)來部署，該網(wǎng)關(guān)包含了IPSec VPN和SSL VPN。它的系統(tǒng)架構(gòu)屬于開放式的，各種功能如防火墻、入侵檢測等采用模塊化的設(shè)計，安全性高，容易擴展各種功能，容易管理，不管在單位內(nèi)部，還是在外出差，都能連上VPN網(wǎng)關(guān)，進行各種操作。天融信是中國領(lǐng)先的網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商，在網(wǎng)絡(luò)安全防火墻方面，連續(xù)多年在國內(nèi)保持第一。天融信VPN網(wǎng)關(guān)的操作界面簡潔，功能強大，有用戶認證、防火墻、虛擬專網(wǎng)、SSL VPN等幾大模塊，可以搭建出各種虛擬專用網(wǎng)絡(luò)。

2.3 Internet Information Server和ftp

本文的數(shù)據(jù)共享平臺采用ftp（File Transfer Protocol）服務(wù)器，方便各區(qū)疾控中心用戶上傳和下載數(shù)據(jù)。ftp服務(wù)器采用Windows自帶的IIS（Internet Information Server即互聯(lián)網(wǎng)信息服務(wù)）里 ftp服務(wù)功能[5]。IIS是微軟公司提供的基于Windows的互聯(lián)網(wǎng)基本服務(wù)，包含了Web服務(wù)和ftp服務(wù)等。在Windows 2000、Windows Server 2003等版本及以上都附帶有IIS，可以很方便地部署Web站點或者ftp站點。

ftp即文件傳輸協(xié)議，是用于在網(wǎng)絡(luò)上進行文件傳輸?shù)囊惶讟?biāo)準(zhǔn)協(xié)議，它工作在OSI模型的第七層即應(yīng)用層，使用TCP的連接方式。ftp客戶端與ftp服務(wù)器在建立連接前要經(jīng)過三次握手的過程，建立了可靠的連接，保證了數(shù)據(jù)傳輸?shù)目煽啃浴tp基于客戶-服務(wù)器（Client-Server）模型，客戶端與服務(wù)器建立兩個連接通道。一個是控制通道，用于傳送控制信息，如命令和響應(yīng)。另一個是數(shù)據(jù)通道，用于數(shù)據(jù)傳輸。這種方式大大提高了ftp的效率。