當當網(wǎng)SSLVPN創(chuàng)新案例研究

當當網(wǎng)SSLVPN創(chuàng)新案例研究

當當網(wǎng)是全球最大的中文網(wǎng)上商城，向網(wǎng)上購物人群提供近百萬種商品的在線銷售。目前，全球已有1560萬的顧客在當當網(wǎng)上選購過自己喜愛的商品。在當當網(wǎng)，消費者無論是購物還是查詢，都不受時間和地域的任何限制。消費者充分享受“鼠標輕輕一點，好書盡在眼前”這種電子商務(wù)所帶來的便利。然而讓當當網(wǎng)員工們感到無奈的是，當當網(wǎng)在為廣大消費者提供這種建立在互聯(lián)網(wǎng)上的便利時，自己卻陷入了“鼠標一個勁點，信息遠在天邊”的困境。用戶需求作為一家技術(shù)領(lǐng)先、客戶導(dǎo)向的高科技公司，當當網(wǎng)自身的信息化建設(shè)水平較高，但主要集中在對外的網(wǎng)絡(luò)和內(nèi)部應(yīng)用。隨著當當網(wǎng)信息化建設(shè)的擴大，員工的移動辦公需求越來越強烈，其需求主要體現(xiàn)在以下三點：◆越來越多的辦公人員都需要在當當公司總部的外部(酒店，住處，網(wǎng)吧)進行移動遠程辦公，使用當當網(wǎng)公司總部內(nèi)網(wǎng)中的OA系統(tǒng)、客戶管理系統(tǒng)以及微軟電子郵件系統(tǒng)(Exchange)。當當網(wǎng)急需一種可以實現(xiàn)遠程辦公的方案。這種方案主要應(yīng)實現(xiàn)移動用戶對公司內(nèi)部網(wǎng)絡(luò)的接入功能?！暨@種遠程辦公的方案需要有很高的安全性從而保證當當網(wǎng)的商業(yè)安全。這種安全性主要體現(xiàn)在需要對每個遠程辦公的用戶進行唯一的身份標識從而對其操作進行記錄，并對其權(quán)限進行詳細管理?！暨@種方案必須有優(yōu)秀的易用性。易用性主要表現(xiàn)在兩點，首先是要滿足當當網(wǎng)公司遠程辦公的各種功能需求，可以支持絕大部分的應(yīng)用，尤其是對當當網(wǎng)公司內(nèi)部OA、CRM、微軟郵件系統(tǒng)的完美支持。其次要易于使用和管理，可以適應(yīng)當當網(wǎng)公司移動辦公人員移動性強，使用平臺復(fù)雜的特點。解決方案采用什么樣的技術(shù)方式來實現(xiàn)這種辦公需求、使得當當網(wǎng)的員工們也能“鼠標輕輕一點，信息盡在眼前”呢?當當網(wǎng)的高級網(wǎng)絡(luò)工程師在經(jīng)過多方面比較后，決定采用SSLVPN的技術(shù)。SSLVPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)，是最前沿的遠程接入手段。與IPSecVPN相比，SSL通過簡單易用的方法便實現(xiàn)了信息的遠程連通，在點到網(wǎng)的應(yīng)用上有無以倫比的優(yōu)越性。和較容易開發(fā)的IPSecVPN相比，能提供完整的SSLVPN解決方案的廠商并不是很多，主要是一些關(guān)注新技術(shù)的前沿網(wǎng)絡(luò)設(shè)備供應(yīng)商，例如國外的Juniper、Aventail，國內(nèi)的深信服。由于當當網(wǎng)的移動辦公人員數(shù)量較多，為了使廣大員工能盡快熟悉并應(yīng)用SSLVPN，當當網(wǎng)希望SSLVPN的可操作性盡量能滿足其需求，即容易上手，方便使用。同時，安全性高、穩(wěn)定性強也是當當網(wǎng)關(guān)注的問題。更重要的是，作為一家創(chuàng)新能力強、成長迅速的網(wǎng)絡(luò)公司，當當網(wǎng)希望能夠選擇一種創(chuàng)新、高效的解決方案，以通過SSLVPN來實現(xiàn)業(yè)務(wù)的創(chuàng)新。最終，當當網(wǎng)選擇深信服SSLVPN解決其業(yè)務(wù)和辦公系統(tǒng)的遠程接入。當當網(wǎng)的高級工程師向我們表示，選擇這套SSLVPN解決方案，主要處于以下考慮：◆用戶無須安裝任何軟件和硬件就能使用SSLVPN連接目標內(nèi)網(wǎng)和需要預(yù)先安裝證書或通過預(yù)設(shè)定的用戶名/密碼不同，SSLVPN可通過任何安裝瀏覽器的機器接入。由于當當網(wǎng)的擁有大量接入終端(包括家用機，工作機和客戶機等等)需要與公司機密信息相連接，深信服SSLVPN技術(shù)減少了企業(yè)的遠程維護管理的成本?！鬝SLVPN在點對網(wǎng)的應(yīng)用上更安全SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的，客戶對資源的每一次操作都需要經(jīng)過安全的身份驗證和加密。當當網(wǎng)認為，為了確保接入內(nèi)網(wǎng)用戶的安全性，除了需要采用傳統(tǒng)的用戶名/密碼進行身份驗證外，還要求采用一些硬件加密手段與其進行配合進行雙因素身份認證。深信服SSLVPN除了可以提供USBKEY等常見認證方式外，還能夠提供機器硬件特征碼、短信認證、動態(tài)令牌認證等多種手段，其豐富性超出了當當網(wǎng)的預(yù)期?！鬝SLVPN在終端兼容性方面更好不管是LINUX平臺、手機、PDA只要安裝了瀏覽器，能夠接入互聯(lián)網(wǎng)，就能使用深信服SSLVPN。這也保證了用戶可以在幾乎任何地點，任何平臺上輕松實現(xiàn)遠程辦公?！鬝SLVPN對應(yīng)用的支持更完善傳統(tǒng)的SSLVPN對WEB應(yīng)用以外的其他應(yīng)用(如FTP，SMTP)無法支持。深信服SSLVPN已經(jīng)使用了IPTUNEL協(xié)議，該協(xié)議支持UDP應(yīng)用，支持PING通，從而實現(xiàn)對視頻等更復(fù)雜應(yīng)用的透明支持。對客戶端來說，仍然不需安裝任何客戶端軟件，只需在SSL用戶登錄時自動下載部分插件，從而保證了SSLVPN天然的易用性。