1 SSL VPN技術(shù)背景
Internet的高度開放性和松散管理結(jié)構(gòu)使得企業(yè)面臨的網(wǎng)絡(luò)安全問題愈發(fā)尖銳����,成了Internet作為商務(wù)網(wǎng)絡(luò)必須跨越的重大障礙。為此���,各種網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品應(yīng)運(yùn)而生����,VPN及其相關(guān)技術(shù)經(jīng)過多年的實(shí)踐、發(fā)展和完善��,憑借其方便����、安全、標(biāo)準(zhǔn)化等優(yōu)勢脫穎而出��,逐步成為實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)跨地域安全互聯(lián)的主要技術(shù)手段�。
SSL VPN可以通過特殊的加密通訊協(xié)議,在Internet一端的出差員工和另一端的公司總部之間建立一條專有的通訊通道����,就像架設(shè)了一條專線。與傳統(tǒng)VPN解決方案相比較�����,SSL VPN使用維護(hù)簡單�����,不用更改現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)����;移動性強(qiáng)�,無須安裝客戶端程序���;具有強(qiáng)有力的訪問控制能力����,可以使移動用戶輕松訪問公司內(nèi)部B/S和C/S應(yīng)用和其他核心資源�����。
與復(fù)雜的IPSec VPN相比����,SSL VPN通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通�。任何安裝了瀏覽器的機(jī)器都可以使用SSL VPN,因?yàn)镾SL 內(nèi)嵌在瀏覽器中�����,它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機(jī)安裝客戶端軟件��。這一點(diǎn)對于擁有大量機(jī)器(包括家用機(jī)�,工作機(jī)和客戶機(jī)等等)需要與公司機(jī)密信息相連接的用戶至關(guān)重要�����。
SSL VPN 的價(jià)值包括許多方面���,最主要的是提高訪問控制能力,安全易用以及高額的投資回報(bào)率����。SSL VPN 對訪問控制更加有效,因?yàn)閷?shí)施了用戶集中化管理���;所有的遠(yuǎn)程訪問都是通過SSL VPN 控制臺進(jìn)行控管�����,這樣可以更加有效的監(jiān)控用戶使用權(quán)限����,這些用戶可能是公司內(nèi)部員工����,也可能是合作伙伴或者客戶;所有訪問被限制在應(yīng)用層����,而且可以將權(quán)限細(xì)分到一個URL 或一個文件�����。
下面舉一個典型案例說明�。
2 需求分析
XXXX公司有員工共有20000人左右��,其中總部有員工4000人��,內(nèi)部有財(cái)務(wù)����、KOA��、E-mail���、人力資源等應(yīng)用服務(wù)器�����?��?偛肯聦儆?0個分公司����,每個分公司有100-500人左右�����,都通過Internet和總部相連����,各分部也有自己業(yè)務(wù)服務(wù)器。另外��,長期在外出差的員工或者移動辦公的用戶約有1000-5000人左右����。
當(dāng)前的網(wǎng)絡(luò)拓?fù)淙缦聢D所示:
應(yīng)用系統(tǒng)的用戶分布在網(wǎng)絡(luò)的各個位置,接入方式各式各樣�����,如ADSL 寬帶�、撥號、無線等���。在保證應(yīng)用系統(tǒng)穩(wěn)定可靠運(yùn)行的前提下����,應(yīng)用數(shù)據(jù)在服務(wù)器與用戶終端之間的安全傳輸不可忽視,數(shù)據(jù)的私密性��、完整性對于整個集團(tuán)的核心業(yè)務(wù)信息十分重要����。
同時(shí),使用業(yè)務(wù)系統(tǒng)的用戶角色各不相同����,可能是派出機(jī)構(gòu)辦公人員,系統(tǒng)管理人員��,XXXX公司領(lǐng)導(dǎo)�����,或XXXX公司相關(guān)財(cái)務(wù)人員等等�。顯然���,不同的人訪問ERP等業(yè)務(wù)系統(tǒng)應(yīng)該具有不同的訪問權(quán)限�,系統(tǒng)需要為每一個人分配特定的角色�,保證每一個登錄的合法用戶只能在系統(tǒng)規(guī)定的嚴(yán)格控制范圍內(nèi)行使自己的權(quán)利�����。角色劃分得越細(xì)��,帶來的越權(quán)訪問安全風(fēng)險(xiǎn)就越小�����。當(dāng)然�,可能由于系統(tǒng)設(shè)計(jì)��、業(yè)務(wù)復(fù)雜��、業(yè)務(wù)規(guī)范性不強(qiáng)等種種原因造成某些非法操作�����。此時(shí)����,還需考慮對所有操作進(jìn)行必要的安全審計(jì),一方面提供追查事故原因的證據(jù)����,另一方面也避免了用戶的事后否認(rèn)�����。所以需要對公司數(shù)據(jù)業(yè)務(wù)進(jìn)行全面的管理���,現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)和安全系統(tǒng)已不能滿足要求。
通過對現(xiàn)有網(wǎng)絡(luò)環(huán)境的分析�����,客戶應(yīng)用需求主要有以下幾點(diǎn):
(1)需要能夠提供安全的通道��,解決辦事處人員的遠(yuǎn)程訪問���。
(2)需要有一種安全的機(jī)制能夠保證分公司和總局的連通性���。
(3)需要保證基于Web的業(yè)務(wù)系統(tǒng)正常、穩(wěn)定運(yùn)行���。
(4)需要保證移動接入用戶身份和接入點(diǎn)的安全性。
(5)需要盡最大可能保證用戶當(dāng)前的網(wǎng)絡(luò)拓?fù)洳槐恍薷摹?br />
(6)需要安全系統(tǒng)必須提供詳實(shí)的安全日志功能����。
3 方案設(shè)計(jì)
RG-WALL V系列安全網(wǎng)關(guān)能夠針對以上用戶需求���,很好地滿足用戶需要。
(1)能夠提供安全的通道��,解決移動用戶的遠(yuǎn)程訪問����。
(2)有一種安全的機(jī)制能夠保證分公司和總局的連通性。
(3)保證基于Web的業(yè)務(wù)系統(tǒng)正常�����、穩(wěn)定運(yùn)行�。
(4)保證移動接入用戶身份和接入點(diǎn)的安全性。
(5)盡最大可能保證用戶當(dāng)前的網(wǎng)絡(luò)拓?fù)洳槐恍薷摹?br />
(6)TCP加速機(jī)制����,讓您的網(wǎng)絡(luò)“近在咫尺”。
(7)安全系統(tǒng)必須提供詳實(shí)的安全日志功能�����。
4 方案闡述
(1)設(shè)備部署
考慮到XXXX公司的實(shí)際應(yīng)用需求�����,幾十個分部的數(shù)據(jù)均會匯總到總部,而RG-WALL V1600E能夠提供更高的并發(fā)連接和吞吐率�����,因此在公司總部部署兩臺RG-WALL V1600E�,采用在線方式部署,做雙機(jī)熱備����。在40個分公司各部署1臺較低端的RG-WALL V160E設(shè)備,用于做分公司和總部之間的端到端連接�。考慮分布的出口帶寬一般不會超過10M�,RG-WALL V160E已經(jīng)能夠滿足帶寬的需要。如果考慮網(wǎng)絡(luò)后續(xù)的可擴(kuò)展性要求�����,在經(jīng)費(fèi)允許的情況下����,可以使用RG-WALL V160OS。
(2)應(yīng)用搭建
在RG-WALL V1600E上配置端到端的通道及對移動用戶的權(quán)限分配�����。在分公司低端的SSL VPN設(shè)備上配置相應(yīng)的端到端通道和總部所在的RG-WALL V1600E相連�。
在總部還需搭建一臺CA中心,用于對用戶證書的頒發(fā)��。
(3)用戶配置
設(shè)備一經(jīng)部署�����,總部所有應(yīng)用服務(wù)器的網(wǎng)關(guān)必須指向RG-WALL V1600E�,而20個分部所有用戶的電腦也需要將網(wǎng)關(guān)指向分部所部署的SSL VPN設(shè)備。對于40個辦事處的用戶����,用戶只需插入U(xiǎn)key,登錄總部所在SSL VPN地址�,就能訪問所需資源。
(4)用戶使用
所有移動接入的用戶��,不管在任何地方�����,使用任何電腦�,只要能接入Internet訪問WEB�,就可以通過WEB瀏覽器登錄����,然后一切使用方式照舊,延續(xù)使用者習(xí)慣���。整個過程十分簡單����、方便�����,不需要使用者有多少網(wǎng)絡(luò)知識�����,只要會上網(wǎng)就會使用SSL VPN�����,而且不受任何限制���。當(dāng)然�����,對于該訪問者無權(quán)限的內(nèi)容����,是絕對訪問不到的��。
(5)網(wǎng)絡(luò)維護(hù)
管理員一切維護(hù)工作都只需要在VPN設(shè)備端完成�����,管理集中���,不需要跑來跑去�;而且����,任何新的配置及時(shí)生效,添加服務(wù)可在線進(jìn)行��,不影響正常使用��。
(6)延伸應(yīng)用
隨著企業(yè)業(yè)務(wù)的發(fā)展以及全球化的市場����、技術(shù)服務(wù)體系的建立��,企業(yè)可根據(jù)具體需求����,建立合作伙伴(渠道商����、供應(yīng)商)、客戶需求交互資源庫����,以供其使用,以便于建立端到端的緊密聯(lián)合體����,既提高企業(yè)效率,又大大提升企業(yè)形象���。RG-WALL V SSL VPN系統(tǒng)基于角色的資源訪問控制的特點(diǎn)�,決定了其完全可以讓您放心的將企業(yè)內(nèi)網(wǎng)部分資源有針對性的提供給合作伙伴以及最終用戶�。
(7)方案實(shí)施效果
依據(jù)此方案,在工程完成之后����,總部和40個分部之間可以通過我們的SSL VPN設(shè)備來做端到端互聯(lián)��,分部用戶訪問總部不用做專門的認(rèn)證����,如同處于同一局域網(wǎng)內(nèi)一樣�����,且建立安全的SSL通道進(jìn)行數(shù)據(jù)傳遞���,保證了數(shù)據(jù)在Internet上傳輸?shù)陌踩裕軌蚍乐购诳蛯?shù)據(jù)的監(jiān)聽和惡意篡改����。對于40個分支機(jī)構(gòu),無需任何操作��,就能輕松登錄�����,安全訪問資源��。出差人員通過IE瀏覽器,使用用戶名和密碼即可訪問總部或者分公司數(shù)據(jù)庫��。
【新品簡介】:
RG-WALL V系列安全網(wǎng)關(guān)是集成了VPN���、防火墻��、入侵防御和流量控制技術(shù)的軟硬件一體化專用安全設(shè)備��。
RG-WALL V系列安全網(wǎng)關(guān)通過SSL協(xié)議����,利用PKI的證書體系����,在傳輸過程中使用DES、3DES����、AES、RSA��、MD5����、SHA1等多種密碼算法保證數(shù)據(jù)的機(jī)密性�����、完整性�����、不可否認(rèn)性而完成秘密傳輸���,實(shí)現(xiàn)在Internet上安全的進(jìn)行信息交換。同時(shí)����,采用IP Tunnel技術(shù)實(shí)現(xiàn)了對應(yīng)用程序的完整支持�。從功能上有網(wǎng)絡(luò)訪問、網(wǎng)上應(yīng)用程序�����、Windows文件共享�����、移動電子郵件、應(yīng)用程序訪問�����、傳統(tǒng)主機(jī)�、終端服務(wù)器等眾多功能以及基于TCP、UDP以及ICMP協(xié)議層以上的所有應(yīng)用程序的支持�����。對于網(wǎng)絡(luò)維護(hù)人員而言�,無需部署和維護(hù)客戶端軟件,極大降低了管理和維護(hù)VPN網(wǎng)絡(luò)的工作量�。
