#信服智创# 【项目案例】aTrust替换SSL VPN：零信任落地与分批迁移实战

目录：

一、项目背景

二、现网问题分析

三、方案设计与实现

四、实施过程与关键步骤

五、效果验证

六、项目价值总结

一、项目背景
1.1 企业概况
杭州某供应链企业，主要为上下游合作方提供订单、库存及物流相关系统服务。业务系统数量不多，但均为日常生产核心系统，对稳定性和访问连续性要求较高。
业务经年扩展，外部访问需求逐步增加，包括分支人员、合作方以及移动办公场景。

1.2 现网访问方式
企业于2018年部署SSL VPN作为远程访问入口，整体使用方式较为固定：
（1）用户需安装SSL VPN客户端
（2）通过客户端建立连接后接入内网
（3）再通过“域名 + 端口”访问具体业务系统
该模式在早期运行稳定，能够满足基本远程接入需求。


1.3 改造触发因素
本次改造由多方面因素共同推动：
（1）设备生命周期到期
现有SSL VPN设备将于2026年进入EOS阶段，后续不再提供版本更新与技术支持，继续使用存在一定风险。

（2）终端环境变化
鸿蒙NEXT系统逐步落地，原有依赖客户端的接入方式在新终端上的适配存在不确定性，需要提前规划替代方案。

（3）设备运行年限较长
设备已运行多年，在稳定性和后续扩展能力方面存在一定隐患。

（4）访问需求发生变化
用户对访问方式提出了新的要求：
·希望能够管控业务系统里的个别模块
·外部访问与内部访问希望有区分

在上述背景下，企业开始评估新的远程访问方案。

二、现网问题分析

2.1 生命周期带来的运行风险
设备即将进入EOS阶段，现网方案在长期运行上存在不确定性：
（1）后续无法获得安全更新与漏洞修复
（2）出现问题时缺乏厂商支持
（3）无法满足持续运行与合规要求

2.2 新终端环境下的适配问题
当前远程访问依赖客户端方式，在传统终端环境下运行稳定，但在新终端体系（如鸿蒙NEXT）中存在潜在问题：
（1）客户端适配情况不明确
（2）后续终端扩展存在不确定性

2.3 访问控制能力不足
现网SSL VPN主要解决“能访问”的问题，但在实际使用中，企业管理要求提升，逐步出现以下情况：
（1）内外网访问缺乏差异的认证方式
（2）部分业务系统需要限制具体URL路径访问

因此，我们推荐客户引入零信任atrust进行替换SSL VPN。

三、方案设计与实现
3.1 设计原则
（1）不影响现有SSL VPN业务、平滑切换
（2）保持原有业务访问方式不变（域名 + 端口）
（3）优先满足当前需求（终端适配、精细化访问控制等等）

3.2 整体方案说明
改造后访问路径与原SSL VPN类似：

用户终端
   ↓
aTrust / SSL VPN
   ↓
业务系统

业务系统访问方式未改变，仅对访问入口进行替换。

3.3 访问控制实现方式
结合当前需求，访问控制设计保持简化，主要实现以下几点：
（1）用户与系统对应关系
·不同用户访问指定业务系统
·未授权系统不可访问
（2）内外网访问区分
·内网访问：保持相对宽松认证策略
·外网访问：增加二次认证、增强认证等
（3）URL级访问控制
·对特定URL路径进行访问控制
·限制部分功能访问权限

3.4 实施方式设计
（1）业务系统保持不变
·原有访问地址不调整
·不影响业务系统配置

（2）分阶段切换
·新访问方式逐步上线
·用户分批迁移

（3）并行运行
·SSL VPN与新方案短期并行
·出现问题可快速回退

四、实施过程与关键步骤
4.1 准备阶段
（1）现网梳理
·梳理用户、业务系统及访问路径
·记录原SSL VPN策略和使用情况

（2）aTrust部署
·完成设备部署
·完成网络及接入配置等基础配置

（3）网络与出口策略配置（需要客户配合操作）
·配置出口设备端口映射（使用公网IP+新端口），将aTrust的接入端口443与隧道端口441映射在公网，与SSL VPN并行。
·配置内外网DNS域名解析，确保新访问入口正常解析
·配置访问策略，允许aTrust设备IP访问业务系统

4.2 配置阶段
在基础部署完成后，进行设备配置：
（1）用户配置
对接客户现有AD域用户目录


（2）认证策略
设置内网和外网访问的差异化认证策略


（3）应用配置
·在aTrust上发布业务系统
·配置应用访问路径，确保用户通过入口访问业务系统


（4）授权配置
根据用户组配置业务系统访问权限


（5）安全管控策略
配置URL级访问控制，确保关键功能和资源的访问安全


4.3 切换阶段
在策略验证完成后，采用分批切换方式将用户迁移至aTrust新访问入口：
（1）按部门或业务系统批次逐步迁移
（2）与原SSL VPN短期并行运行，确保业务连续性
（3）完成全量用户切换后，正式停用原SSL VPN

五、效果验证
5.1 验证项目
（1）用户登录验证：确保所有用户能够正常登录 aTrust 访问入口
（2）业务系统访问验证：确认用户可访问其授权的业务系统
（3）内外网认证策略验证：验证内网与外网访问策略差异生效
（4）URL 级访问控制验证：确认关键路径和受控功能按策略限制访问

5.2 验证结果
（1）用户登录：用户能顺利登录 aTrust，无异常报错。



（2）业务系统访问：用户仅能访问其授权的业务系统，权限控制准确生效。



（3）内外网认证策略：内网访问保持正常认证流程，外网访问的二次认证、增强认证策略均按设计生效。



（4）URL 级访问控制：关键路径和受控功能访问严格受控，未授权访问被有效阻断。


（5）业务连续性：迁移过程中与 SSL VPN 并行运行，用户体验平稳，业务访问不中断。

六、项目价值总结
6.1 安全价值
（1）访问入口统一：用户访问经过aTrust统一入口认证与策略控制
（2）内外网差异化管理：对不同访问来源用户实施不同认证策略
（3）URL级管控：对关键业务功能路径进行精细控制
（4）减少安全隐患：替换即将EOS的SSL VPN，规避长期安全风险

6.2 运维与管理价值
（1）集中策略管理：用户、应用和安全策略在同一平台管理
（2）简化运维操作：不再需在多台设备上重复配置策略
（3）便于扩展：新用户或新业务系统可快速在aTrust发布并管理

6.3 业务连续性价值
（1）平滑切换：分批迁移+并行运行确保业务不中断
（2）稳定访问：用户体验顺畅，迁移期间访问无异常
（3）终端兼容：不同操作系统和终端设备均可访问业务系统

6.4 项目总结
本项目通过aTrust替换SSL VPN实现了：
·安全可控的访问体系
·集中的策略管理与维护
·业务连续性与稳定性保障