安全性极高的第三方网络接入解决方案

企事业单位的IT支撑体系一般由内部网络+第三方业务网络组成。目前很多企事业单位的第三方业务网络占据着越来越重要的位置，如何使用VPN技术，组建安全经济的第三方接入网络，让上游供应商、下层代理商等第三方机构可以高效使用业务系统，不断优化企事业单位的业务流程？

一、第三方业务接入的背景

现在的企事业单位的内部网络主要有OA、ERP、CRM等系统，负责处理、优化内部业务流程；而第三方业务网络则主要解决企业与客户、合作伙伴、监督机构及其他的第三方单位进行业务数据的交互（如税务行业的网上报税、统计行业的工业直报、银行行业的网上银行、制造行业的供应系统等）。

为了解决第三方的接入问题，企事业单位需要建立一套安全、经济的业务网络。此类业务往往存在着以下几个特点：

1、第三方合作伙伴、客户分散，网络接入分散复杂

此类接入用户往往比较分散，遍布省市、全国甚至全球的网络当中，企事业单位在处理这类第三方合作伙伴接入访问时，组建的网络成本高昂，实施和维护复杂。

2、对第三方接入的安全认证问题

目前企事业单位的业务系统一般以明文方式进行数据传输，如果直接把业务系统接口开放在公网上，就会给企事业单位带来数据遭窃或入侵内网的风险；如果将业务系统放在企事业单位内网，对第三方人员接入时，如果无法对接入人员的身份做精确的认证，这也会带来严重的安全隐患。

3、第三方接入人员访问方式多元化

事实上，很多第三方合作单位、监督机构的业务合作相对固定，一般由固定的公司电脑发起连接；但部分针对客户的业务则可能随时随地从PC、PDA、智能手机等方式发起连接。

目前，运营商、银行、证券、税务、质监、统计、审计、制造等行业的企业用户，都面临着上述问题。

二、深信服针对第三方接入的解决方案

2005年，深信服科技推出了全球第一台IPSec/SSL一体化VPN产品，目前已成为VPN领域的标准配置。2008年，深信服SSL VPN以31.1%的市场份额占据中国SSL VPN第一位。在建立第三方业务网络时，我们可以通过IPSec VPN、SSL VPN整合的方式组建安全经济的网络互联，以方便第三方安全接入。

如上图，整个方案只需投入一套VPN设备，部署完成后第三方单位就可以通过SSL VPN或IPSec VPN 的方式安全地接入企事业单位业务内网中。其中，对于有一定网络规模、需要固定接入的第三方合作伙伴或用户，可以在第三方网络中架构IPSec VPN设备，通过IPSec VPN将两个局域网连接起来；而对于接入地点不固定、有移动办公需求的用户，则可以使用SSL VPN的方式接入，从而满足业务的多元化。

事实上，深信服系列VPN可实现开机自动运行、断线自动重连，可以保证VPN的不间断连接，这样很好地适应了第三方用户复杂不一的网络环境；而SSL VPN不需在客户端安装，对用户的技术要求基本没有，这适合第三方用户或合作伙伴数量不大、分散较广的情况。

三、该方案给我们带来的价值

有效降低了企业的线路、硬件设备采购成本

采用IPSec VPN、SSL VPN相结合的方式企事业单位可以在总部、大型分支机构部署硬件VPN而在规模较小、较为分散的分支机构及个人用户，则通过SSL VPN的形式接入总部内网，这样可有效节省组

网成本。而且这样一来，企事业单位可以将业务系统、服务器集中在总部以进行数据集中，这样可有效节

约IT成本及维护，并且这种组网方式降低了企业对光纤、专线的依赖，大大降低了带宽成本。

让第三方接入更安全可控

第三方合作伙伴、用户因为业务合作等，其接入时，企事业单位必须得对其身份进行严格认证，对不

同权限的身份分配不同等级的业务访问权限，比如一般的供应商，我们只会让他们看到供销业务系统等，

而不会让他访问CRM、财务系统等，让合适的人访问合适的资源。

组建可持续发展的业务网

当企事业单位的业务网络规模扩大，第三方接入的需求增加时，深信服SSL VPN提供集群功能，使

企事业单位并不需要购买更高端的设备来替换原有的SSL VPN，而只需在总部部署另外的深信服SSL VPN，和原有深信服SSL VPN结合起来使用，即可有效的平衡多个VPN设备之间的负载，帮助设备以最大效率进行工作，满足移更多的第三方接入。

目前，云南省国税、新疆电信、贵州省质监局、厦门劳保局等都利用深信服IPSec/SSL VPN第三方

解决方案，收到了较好的应用效果。