项目背景：到2012年，上海城市轨道交通建设规划将建成13条线路、500多公里运营里程的上海轨道交通，基本覆盖市中心人口的主要出行，形成世界各大城市中规模最大的城市轨道交通网络。以基本轨交网络建设为平台，不断形成核心竞争能力与规模经营优势，推动上海轨道交通的可持续发展，是上海地铁立足长远目标的基础。

　　面临问题：为配合轨交网络的平行覆盖。在现有的车站网络和运营商通信网络的相互结合下，冰峰网络为上海地铁的数据通信安全，提供全新的新一代SSL VPN安全移动接入网络。以将各站之间的票务系统、办公系统、服务系统全面纳入统一安全的规范服务平台中来。

　　解决方案：根据各地实施规划，冰峰为上海地铁IT运营部门定制了移动接入解决方案，主要依托冰峰SSL VPN为基础，从通信安全与应用管理的便捷性出发，将冰峰远程镜像技术、虚拟工作台技术、智能化资源发布、安全准入控制等优势进一步发挥，并贯彻到每一个实际应用中去。

　　如图所示，根据一期规划建设方案，主要是针对生产网络设立的隧道式移动互联。整个生产网络不允与公网有任何直接接触。而办公网内用户及外网移动用户，均是需要连接公网并随时获取相关的信息资源。此时若要连接生产网执行网内任务，则极易造成安全隐患。冰峰新一代SSL VPN为此提供了全网分类隔离功能，分别为生产网、办公网和公网用户提供了不同的访问权限和授权方式。让各级用户自取所需，同时有效地隔离了生产网与公网的直接联系，提供更高级别的防护作用。

　　冰峰SSL VPN功能特色

　　1、冰峰远程镜像模式

　　冰峰远程镜像模式主要针对IPSec、SSL接入下的C/S应用加速，将在服务器端的应用与数据通过镜像方式映射到终端管理设备中，借助服务器与网络传输的特性，充分发挥其在数据处理和信息传输上的优势。

　　如免除本地客户端安装，自动完成远程镜像加载，独立全屏工作窗口，用户上手简便。

　　利用服务器的多用户协同工作，可以为各门店分配不同的镜像，独立执行各自操作，操作过程互不干预。

　　程序执行全程为即时指令提交，提升线路的利用率，避免原C/S构架下的整体录入后，一次性存盘提交带来的大数量问题，使得用户操作速度大幅度提升。

　　避免ADSL拨号中断带来的重复提交问题。当用户在操作过程中出现了线路中断，可在下一次登录远程镜像模式时，继续完成之前未完成操作，而不必重复之前的状态。

　　通过镜像模式，还可以让ERP终端操作在执行打印服务时，路由到本地打印机。让各门店不仅在远程快速执行操作，还可以本地快速获得打印出的数据报表。

　　2、冰峰虚拟工作台

　　冰峰虚拟工作台技术采用类Windows界面，用户可非常直观得看到所有发布的程序及资源。在该桌面上进行的所有操作可完全按照操作Windows的方式来使用，完全符合普通用户的操作习惯。

　　对于B/S资源，可做到点击后即自动打开页面，而对于C/S程序，则会在登陆后自动搜索所用主机上已安装的相关客户端程序，无需在登陆VPN后再手动运行客户端来运行程序，可直接通过点击虚拟桌面上发布的该应用程序快捷方式即打开应用程序。

　　冰峰虚拟工作台技术通过人性化、直观的界面感受，减化了常规SSL VPN使用时的操作过程，更符合如今使用者追求简单、直观、美观的要求。

　　3、资源自动部署

　　远程用户在登陆访问时，冰峰SSL VPN会自动检查用户主机终端配置，如果远程用户终端程序不符合应用系统要求或者该客户端版本过期，则提出警告并执行相应操作，如自动为该应用程序远程升级或提示用户需自行前往指定网站做手动升级处理；

　　远程用户登陆SSL VPN后，冰峰SSL VPN设备将自动扫描用户本机操作系统和已经安装的应用程序，自动将允许访问的资源的相关应用程序客户端添加到用户SSL VPN资源界面；

　　若用户主机上相关程序不存在，或不符合管理员设定，则自动安装相应客户端程序；

　　对于某些不能自动安装的程序，SSL VPN会自动跳转到相应的下载和配置页面，帮助用户自助下载安装。

　　应用效果：在远程访问控制上，冰峰SSL VPN为生产网管理员建立一套有效合理的便捷管理机制，使之对资源管理与授权用户管理轻松掌控，并通过虚拟工作台为远程用户提供安全的授权访问环境，实现远程用户对于生产网服务器资源的远程访问需求。

　　生产网内各类服务器安全稳定性非常重要，被访问量也非常大，如果访问者主机本身就带有安全隐患，极有可能造成对于生产网络内的服务器的侵害，从而造成相当严重的损失。冰峰SSL VPN具有终端安全检测功能，可针对登陆SSL VPN平台的用户进行安全准入性检测从而避免了这些主机在登陆后对生产网内服务器的病毒入侵可能性。

　　地铁线路的业务数据含有涉及金钱的票务系统，因此机密性极为重要，任何对于这些服务器数据的访问必须做到加密传输，提供安全的数据传输保障。冰峰SSL VPN对所有生产网的访问均采用SSL加密隧道进行传输，以防止了数据的泄露，因此能完全保证所传数据的安全性。

　　目前，根据可控性网络实施方案的规划，冰峰网极星上网行为管理项目也在上海地铁办公网络中投入使用。

文章作者：国脉电子政务网