叶添飞

摘要：为了解决安全地传输和共享不同单位之间业务数据的问题，通过SSL VPN和ftp相结合的方式，采用天融信VPN多合一网关和微软的IIS来部署，实现了在互联网上安全地传输数据，建立了数据共享平台。

关键词：SSL VPN;ftp;传输数据;安全;共享

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2021）19-0040-02

Data Safely Sharing among CDCs based on SSL VPN

YE Tian-fei

（Guangzhou Center for Disease Control and Prevention， Guangzhou 510440， China）

Abstract： To solve the problem of safely transmitting and sharing business data between different units. With the combination of SSL VPN and ftp， TOPSEC VPN multi-in-one gateway and Microsoft's IIS are employed to deploy data transmission on the Internet. A data sharing platform was established to make the safe transmission of data on the Internet a reality.

Key words： SSL VPN; ftp; data transmission; safe; share

1 背景

随着时代的发展，因特网走入千家万户。企事业分部与总部的员工用QQ、邮件等网络工具很方便地开展业务。但是，有些工具是明文传输数据或者存放在软件厂商的服务器上，这使得传输的数据存在被窃取和被篡改的风险。疾控单位之間，由于业务方面的往来，各区疾控中心与市疾控中心有时候需要共享一些业务上的数据。如果直接通过发邮件或云盘等方式，会存在泄露的风险，也不符合相关规定;区疾控中心与市疾控中心之间拉网络专线，又大费周折，费用较高，不太现实。VPN技术的出现，恰好解决了这个问题。

2 VPN及相关产品介绍

2.1 VPN介绍

VPN（Virtual Private Network）即虚拟专用网络，通过一些协议在互联网上建立专用网络，通讯双方搭建一条安全可靠的隧道[1]，数据通过加密在隧道传输，用户可以通过隧道传输业务数据到公司总部内网，不必担心业务数据的泄露问题。

常见的VPN主要有SSL VPN和IPSec VPN。SSL VPN主要用在远程用户与公司总部内部网络的场景中，IPSec VPN主要用在网络与网络之间[2]。根据本文的需求，显然采用SSL VPN更为合适。

SSL（Secure Sockets Layer）就是安全套接层协议，是网景公司开发的安全传输协议，在万维网中得到广泛的使用。它位于OSI模型的传输层和应用层之间[3]，通过密钥加密的方式来传输数据。SSL协议分为两层：上层为SSL握手协议（SSL Handshake Protocol），下层是SSL记录协议（SSL Record Protocol）。SSL握手协议的功能是通讯双方在建立连接的过程中，进行身份认证、协商加密算法等。SSL记录协议的功能是对数据进行封装、压缩和加密等。

SSL VPN就是采用了SSL的VPN技术。远程用户通过浏览器内置的Secure Socket Layer封包处理功能，连接公司总部的VPN网关，使用网络封包转向的方式，进而访问公司总部内的服务器。在远程用户与VPN网关通讯的过程中，所有的数据包都通过SSL加密，保证了数据的安全。由于大部分浏览器都集成了SSL协议，所以部署SSL VPN的时候非常方便快捷，无须安装客户端[4]。远程用户直接在浏览器输入VPN网关的网址，安装插件即可使用。

2.2 天融信VPN网关

本文采用天融信VPN多合一网关来部署，该网关包含了IPSec VPN和SSL VPN。它的系统架构属于开放式的，各种功能如防火墙、入侵检测等采用模块化的设计，安全性高，容易扩展各种功能，容易管理，不管在单位内部，还是在外出差，都能连上VPN网关，进行各种操作。天融信是中国领先的网络安全、大数据与云服务提供商，在网络安全防火墙方面，连续多年在国内保持第一。天融信VPN网关的操作界面简洁，功能强大，有用户认证、防火墙、虚拟专网、SSL VPN等几大模块，可以搭建出各种虚拟专用网络。

2.3 Internet Information Server和ftp

本文的数据共享平台采用ftp（File Transfer Protocol）服务器，方便各区疾控中心用户上传和下载数据。ftp服务器采用Windows自带的IIS（Internet Information Server即互联网信息服务）里 ftp服务功能[5]。IIS是微软公司提供的基于Windows的互联网基本服务，包含了Web服务和ftp服务等。在Windows 2000、Windows Server 2003等版本及以上都附带有IIS，可以很方便地部署Web站点或者ftp站点。

ftp即文件传输协议，是用于在网络上进行文件传输的一套标准协议，它工作在OSI模型的第七层即应用层，使用TCP的连接方式。ftp客户端与ftp服务器在建立连接前要经过三次握手的过程，建立了可靠的连接，保证了数据传输的可靠性。ftp基于客户-服务器（Client-Server）模型，客户端与服务器建立两个连接通道。一个是控制通道，用于传送控制信息，如命令和响应。另一个是数据通道，用于数据传输。这种方式大大提高了ftp的效率。