随着跨国公司海外业务的增多，远程访问的安全问题开始受到跨国公司的重视。中国石油化工集团国际石油工程有限公司（中石化国际石油）就是这样的公司之一。随着企业业务扩展到巴西等地，各海外项目组与国内集团总部需要进行大量且重要的文件传输。因此，公司总部决定在北京总部搭建全球协同办公系统，构建远程信息访问架构。包含了许多保密性信息的数据直接在网上明文传输，极易遭到攻击和窃取，一旦被截获，将会造成重大的损失。为此，公司总部考虑构建一个安全的远程访问解决方案以应对上述问题，并把采用VPN设备在Internet上架设虚拟专用网作为搭建全球协同办公系统的重要有机组成部分。
　　
　　IPSec VPN vs SSL VPN
　　
　　目前市场上的VPN主要有两种类型：IPSec VPN和SSL VPN。
　　IPSec VPN可以在客户端和总部局域网之间利用Internet建立一条IPSec隧道，从而保证数据传输的安全性。
　　但这种传统的VPN存在一定的局限性：首先，每一个客户端都需要安装客户端软件，增加了维护成本；其次，通道建立在网络层，在Internet中传输会遇到大量NAT（网络地址转换）和穿越防火墙的问题，子公司上网方式不同增加了连接VPN的困难。这些问题会导致系统无法使用、数据无法传输，维护成本增加的不利局面；最后，客户端的电脑直接连入服务中心内部网络，增加了安全风险。
　　SSL VPN是一种新兴的VPN技术，其核心技术是利用SSL技术在应用层构建针对应用程序的VPN通道，部署成本更低，同时规避了病毒、蠕虫等经由网络层传输的风险。此外，它无需在客户端安装和设置任何软件，只要会使用浏览器上网浏览就可以毫无障碍地使用SSL VPN；在网络传输中，使用标准的Https协议，保证数据不会被截获和破解；不受NAT和穿越防火墙问题的困扰；所有客户端的访问都由iGate转发，从而使服务器不易受到攻击。
　　经过对两种方案对比和设备测试，中石化国际石油认为SSL VPN更适合于公司实际应用，并最终采用iGate SSL VPN设备来构建远程访问的解决方案。
　　
　　iGate SSL VPN解决方案
　　
　　iGate是直接集成的客户端双因素认证令牌（需要同时知道iKey的PIN码和拥有iKey硬件才能通过认证）的SSL VPN，保密性较传统的用户名 密码的认证方式大大加强。PIN码只由数字组成，容易记忆，同时它还受重试次数的保护，不会被其他人通过暴力手段破解。这和我们使用银行卡在ATM提款机上取款是同样的道理。
　　iKey令牌是独立的身份认证产品。通过整合iGate SSL VPN将整个系统的安全性、易用性都进行了大幅提升。
　　采用SSL加速功能，提升了用户的认证、授权、数据传输的速度。同时，极大地减少了内网服务器的负担——所有加密、解密的的功能均由iGate硬件完成。
　　
　　方案实施
　　
　　不需要更改原有的网络结构，只需在防火墙和服务器之间通过使用交换机和网线，将iGate和这些设备物理连接，通过软件配置放置于同一个网段上。通过iGate内置的协议转换、IP地址的跳转功能，将公网的域名和iGate的虚拟IP地址捆绑在一起，从物理上将后台服务器保护起来，从而起到一个第二层防火墙的功能。iGate服务器通过硬件的方式来完成数据的加密处理功能。一旦用户要访问iGate保护的应用，iGate就会在用户的客户端机器和iGate服务器之间建立SSL安全通道。从而实现了数据的加密传输，同时硬件的加密实现方式极大地提高了整个网络传输的速度性能。
　　
　　实施效果
　　
　　使用iGate SSL VPN后，中石化国际石油北京总部的全球协同办公系统实现了异地共享，同步运作，员工在外可实现随时随地的移动办公，提高了工作效率。工作效率的提高，缩短了项目的沟通和决策时间，大大提高了公司实力，为公司业务的进一步开展打下了坚实的基础。
　　
　　编辑点评
　　IPSec VPN 和SSL VPN等VPN设备在技术上各有利弊，需搭建全球协同办公系统、构建远程信息访问架构的企业应从自身的实情出发选择最适合自己的VPN方案，适合自己的才是最好的。对于中石化国际石油来说，在保障安全的同时，极大提高工作效率则是选择这套SSL VPN解决方案的要义所在。