2023-11-28 分類: 網站建設
高速易用的SSL VpN安全解決方案
1 SSL VpN技術背景
Internet的高度開放性和松散管理結構使得企業面臨的網絡安全問題愈發尖銳,成了Internet作為商務網絡必須跨越的重大障礙。為此,各種網絡安全技術和產品應運而生,VpN及其相關技術經過多年的實踐、發展和完善,憑借其方便、安全、標準化等優勢脫穎而出,逐步成為實現企業網絡跨地域安全互聯的主要技術手段。
SSL VpN可以通過特殊的加密通訊協議,在Internet一端的出差員工和另一端的公司總部之間建立一條專有的通訊通道,就像架設了一條專線。與傳統VpN解決方案相比較,SSL VpN使用維護簡單,不用更改現有網絡結構;移動性強,無須安裝客戶端程序;具有強有力的訪問控制能力,可以使移動用戶輕松訪問公司內部b/S和C/S應用和其他核心資源。
與復雜的IpSec VpN相比,SSL VpN通過簡單易用的方法實現信息遠程連通。任何安裝了瀏覽器的機器都可以使用SSL VpN,因為SSL 內嵌在瀏覽器中,它不需要象傳統IpSec VpN一樣必須為每一臺客戶機安裝客戶端軟件。這一點對于擁有大量機器(包括家用機,工作機和客戶機等等)需要與公司機密信息相連接的用戶至關重要。
SSL VpN 的價值包括許多方面,最主要的是提高訪問控制能力,安全易用以及高額的投資回報率。SSL VpN 對訪問控制更加有效,因為實施了用戶集中化管理;所有的遠程訪問都是通過SSL VpN 控制臺進行控管,這樣可以更加有效的監控用戶使用權限,這些用戶可能是公司內部員工,也可能是合作伙伴或者客戶;所有訪問被限制在應用層,而且可以將權限細分到一個URL 或一個文件。
下面舉一個典型案例說明。
2 需求分析
XXXX公司有員工共有20000人左右,其中總部有員工4000人,內部有財務、KOA、E-mail、人力資源等應用服務器??偛肯聦儆?0個分公司,每個分公司有100-500人左右,都通過Internet和總部相連,各分部也有自己業務服務器。另外,長期在外出差的員工或者移動辦公的用戶約有1000-5000人左右。
應用系統的用戶分布在網絡的各個位置,接入方式各式各樣,如ADSL 寬帶、撥號、無線等。在保證應用系統穩定可靠運行的前提下,應用數據在服務器與用戶終端之間的安全傳輸不可忽視,數據的私密性、完整性對于整個集團的核心業務信息十分重要。
同時,使用業務系統的用戶角色各不相同,可能是派出機構辦公人員,系統管理人員,XXXX公司領導,或XXXX公司相關財務人員等等。顯然,不同的人訪問ERp等業務系統應該具有不同的訪問權限,系統需要為每一個人分配特定的角色,保證每一個登錄的合法用戶只能在系統規定的嚴格控制范圍內行使自己的權利。角色劃分得越細,帶來的越權訪問安全風險就越小。當然,可能由于系統設計、業務復雜、業務規范性不強等種種原因造成某些非法操作。此時,還需考慮對所有操作進行必要的安全審計,一方面提供追查事故原因的證據,另一方面也避免了用戶的事后否認。所以需要對公司數據業務進行全面的管理,現有的網絡系統和安全系統已不能滿足要求。
通過對現有網絡環境的分析,客戶應用需求主要有以下幾點:
(1)需要能夠提供安全的通道,解決辦事處人員的遠程訪問。
(2)需要有一種安全的機制能夠保證分公司和總局的連通性。
(3)需要保證基于Web的業務系統正常、穩定運行。
(4)需要保證移動接入用戶身份和接入點的安全性。
(5)需要盡大可能保證用戶當前的網絡拓撲不被修改。
(6)需要安全系統必須提供詳實的安全日志功能。
3 方案設計
RG-WALL V系列安全網關能夠針對以上用戶需求,很好地滿足用戶需要。
(1)能夠提供安全的通道,解決移動用戶的遠程訪問。
(2)有一種安全的機制能夠保證分公司和總局的連通性。
(3)保證基于Web的業務系統正常、穩定運行。
(4)保證移動接入用戶身份和接入點的安全性。
(5)盡大可能保證用戶當前的網絡拓撲不被修改。
(6)TCp加速機制,讓您的網絡“近在咫尺”。
(7)安全系統必須提供詳實的安全日志功能。
4 方案闡述
(1)設備部署
考慮到XXXX公司的實際應用需求,幾十個分部的數據均會匯總到總部,而RG-WALL V1600E能夠提供更高的并發連接和吞吐率,因此在公司總部部署兩臺RG-WALL V1600E,采用在線方式部署,做雙機熱備。在40個分公司各部署1臺較低端的RG-WALL V160E設備,用于做分公司和總部之間的端到端連接。考慮分布的出口帶寬一般不會超過10M,RG-WALL V160E已經能夠滿足帶寬的需要。如果考慮網絡后續的可擴展性要求,在經費允許的情況下,可以使用RG-WALL V160OS。
(2)應用搭建
在RG-WALL V1600E上配置端到端的通道及對移動用戶的權限分配。在分公司低端的SSL VpN設備上配置相應的端到端通道和總部所在的RG-WALL V1600E相連。在總部還需搭建一臺CA中心,用于對用戶證書的頒發。
(3)用戶配置
設備一經部署,總部所有應用服務器的網關必須指向RG-WALL V1600E,而20個分部所有用戶的電腦也需要將網關指向分部所部署的SSL VpN設備。對于40個辦事處的用戶,用戶只需插入Ukey,登錄總部所在SSL VpN地址,就能訪問所需資源。
(4)用戶使用
所有移動接入的用戶,不管在任何地方,使用任何電腦,只要能接入Internet訪問WEb,就可以通過WEb瀏覽器登錄,然后一切使用方式照舊,延續使用者習慣。整個過程十分簡單、方便,不需要使用者有多少網絡知識,只要會上網就會使用SSL VpN,而且不受任何限制。當然,對于該訪問者無權限的內容,是絕對訪問不到的。
(5)網絡維護
管理員一切維護工作都只需要在VpN設備端完成,管理集中,不需要跑來跑去;而且,任何新的配置及時生效,添加服務可在線進行,不影響正常使用。
(6)延伸應用
隨著企業業務的發展以及全球化的市場、技術服務體系的建立,企業可根據具體需求,建立合作伙伴(渠道商、供應商)、客戶需求交互資源庫,以供其使用,以便于建立端到端的緊密聯合體,既提高企業效率,又大大提升企業形象。RG-WALL V SSL VpN系統基于角色的資源訪問控制的特點,決定了其完全可以讓您放心的將企業內網部分資源有針對性的提供給合作伙伴以及最終用戶。
(7)方案實施效果
依據此方案,在工程完成之后,總部和40個分部之間可以通過我們的SSL VpN設備來做端到端互聯,分部用戶訪問總部不用做專門的認證,如同處于同一局域網內一樣,且建立安全的SSL通道進行數據傳遞,保證了數據在Internet上傳輸的安全性,能夠防止黑客對數據的監聽和惡意篡改。對于40個分支機構,無需任何操作,就能輕松登錄,安全訪問資源。出差人員通過IE瀏覽器,使用用戶名和密碼即可訪問總部或者分公司數據庫。
新聞標題:高速易用的SSLVpN安全解決方案
當前地址:http://m.newbst.com/news38/297138.html
成都網站建設公司_創新互聯,為您提供面包屑導航、企業建站、虛擬主機、用戶體驗、網站排名、自適應網站
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容