kl800.com省心范文网

SSL VPN解决方案


SSL VPN 解决方案

2012 年 11 月 14 日

SANGFOR SSL VPN V5.0 方案

文档密级:公开

目录
第 1 章 需求概述.......................................................................................................... 1 1.1 背景介绍.......................................................................................................... 1 1.2 需求分析.......................................................................................................... 1 1.2.1 安全性问题............................................................................................ 1 1.2.2 远程访问速度性问题............................................................................ 2 1.2.3 使用者终端易用性问题........................................................................ 2 1.2.4 业务稳定性问题.................................................................................... 3 1.2.5 整网设备管理便利性问题.................................................................... 3 第 2 章 整体方案设计.................................................................................................. 3 2.1 深信服 SSL VPN 解决方案 ............................................................................ 3 第 3 章 方案技术特点.................................................................................................. 4 3.1 更安全的 SSL VPN ......................................................................................... 4 3.1.1 身份认证安全........................................................................................ 4 3.1.1.1 多种方式混合认证...................................................................... 4 3.1.2 终端访问安全........................................................................................ 5 3.1.2.1 用户超时控制功能...................................................................... 5 3.1.2.2 客户端零痕迹清除功能.............................................................. 5 3.1.3 数据传输安全........................................................................................ 5 3.1.4 应用访问审计安全................................................................................ 6 3.2 更易用的 SSL VPN ......................................................................................... 6 3.2.1 SSL/IPSec VPN 一体化选择 ................................................................ 6 3.2.2 多平台兼容性、应用支持性................................................................ 6 第 4 章 方案价值.......................................................................................................... 7 4.1 安全、稳定的业务发布.................................................................................. 7 4.2 快速访问提升工作效率.................................................................................. 7 4.3 便捷的用户使用体验,降低管理工作量...................................................... 7 4.4 高性价比组网、扩容方便.............................................................................. 8

深信服科技版权所有

www.sangfor.com.cn

i

SANGFOR SSL VPN V5.0 方案

文档密级:公开

4.5 方案预算.......................................................................................................... 8

深信服科技版权所有

www.sangfor.com.cn

ii

第1章 需求概述
1.1 背景介绍
国家海事局的直属局用户目前使用 3G 上网卡的方式, 从互联网接入到国家海事局专网, 目前存在安全性、稳定性问题,无法满足海事发展的需求,因此计划采用 VPN 设备的远程 接入方式。

1.2 需求分析
1.2.1安全性问题
结合海事局的网络状况,我们看到有以下几个方面的问题亟需解决。 1、身份认证安全 现有海事系统采用的是较为单一的用户名密码认证方式, 安全强度不高, 极易遭到窃取、 暴力破解造成重要应用系统的越权访问、强行攻破,导致核心数据的泄漏问题。尤其是领导 中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。 2.终端访问安全 一旦远程终端通过 VPN 接入到了总部的网络,总部的安全域延伸到了远程终端。虽然 在总部网络中有防火墙、IPS、防毒墙等一系列安全防御设备,但需要接入到总部的远程用 户所使用的终端主机普遍安全防御水平都较低,而总部的防护设备又往往不能抵御 VPN 隧 道中的威胁。 为了保证整体安全防御水平, 就需要对接入的终端主机的安全水平采取一定的 控制措施。 3.权限划分安全 总部内网中有众多的应用系统, 若是没有采用合理的访问权限控制机制, 将重要服务器 暴露在所有内网甚至外网用户面前, 容易因密码爆破、 越权访问等行为导致系统内重要数据 的泄漏,同时,开放的权限环境也将给重要的服务器开放了攻击通道,一旦遭到攻击后果将 难以估量。所以,对于不同的应用系统需要对访问人员做好细致的访问权限控制, 4.应用访问审计安全 为了避免重要的信息系统的访问安全风险, 做到有据可查, 同时也为了了解应用系统的 使用情况, 需要对应用的访问采取必要的审计措施, 了解何时何地何人访问了哪些应用系统。

1.2.2远程访问速度性问题
影响用户远程办公的最主要因素就的访问速度问题, 拖滞的访问速度将大大影响用户的 访问体验及办公效率,网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。 1.跨运营商访问问题 国内固网运营商为南电信北网通的格局,跨运营商访问时往往存在较为严重的丢包现 象, 一旦遇到丢包导致的频繁的重传将大大拖慢了访问速度。 尤其是对于遍布各地远程接入 用户而言, 线路的运营商环境也多种多样, 需要寻求一种方式解决跨运营商高丢包导致的速 度问题。 2.高丢包、高延时访问问题 无线、偏远地区等高丢包、高延时的恶劣网络环境下的接入速度异常的慢,严重影响了 远程办公的效率。 如何在高丢包、 高延时的网络环境下同样保证较高的访问质量提高工作效 率? 3.手持移动终端访问问题 许多领导、员工已经采用 PDA、智能手机等手持移动终端进行移动办公,但手持移动 终端的受信号的制约,其访问速度往往不如有线网络。对于手持移动终端使用的最多的是 B/S 架构的应用,但现在 B/S 架构往往是针对电脑进行设计的,一旦使用 PDA、智能手机访 问,往往出现页面变形、图像过大等现象,影响用户体验的同时,过大的页面冗余数据量也 拖慢了用户的访问速度。 4.大量重复冗余数据量 应用系统的使用往往存在大量的冗余数据,如同样的页面、文件中的相同的元素、系统 每次交互的相同数据,这些冗余数据量的传输占用了大量的带宽资源,拖慢应用响应速度, 影响了工作效率。

1.2.3使用者终端易用性问题
在考虑到安全接入方式的时候, 尤其需要考虑到终端易用性问题。 需要接入到总部应用 系统访问的人员普遍的 IT 水平都不高,复杂的软件端安装、参数调配都是非常不合适的。 同时,接入应用系统的核心为办公,就需要提供一种最便利、最简单的接入方式,最大的方 便接入人员的办公。 在一体化办公平台有往往需要使用到多个应用系统进行办公, 远程用户在面对众多的应

用系统时就需要记忆众多的用户名密码并依次登录才能办公, 效率低下的同时, 还容易混淆。

1.2.4业务稳定性问题
所远程发布的业务系统将直接关系到组织的业务能否正常运营、 工作能否正常开展的问 题,需要保证高可靠、高可用的稳定性。而 VPN 作为发布业务系统的基础平台,同样需要 保证高稳定的运行以支撑整个业务的持续稳定。

1.2.5整网设备管理便利性问题
需要接入到总部的部分远程分支没有配备专门的 IT 管理人员, 在构建 VPN 网络时需要 考虑到客户端维护成本问题, 若是在分支端采用设备架设的方式则必须派专员去对设备进行 维护,造成管理成本的上升。 组织的规模较为庞大,处于地域、组织架构等管理需要,面对不同的用户组需要由不同 的管理员进行管理,保障信息安全的同时亦可提高管理效率。

第2章 整体方案设计
2.1 深信服 SSL VPN 解决方案
结合国家海事局实际网络及应用情况,我们推荐采用深信服 SSL VPN 设备进行全网组 网,具体网络部署如下图所示:

方案说明: 在联通、电信接入交换机上分别以单臂方式部署一台深信服 SJW78 V45 SSL VPN,内 网服务器区应用系统的安全发布。在国家海事局总部与地方分支机构之间通过建立 IPSec

VPN 隧道,实现异地建数据传输的安全保障。 通过上述的方案部署,可实现: ? 海事局应用平台移动办公

采用 SSL VPN 对应用进行安全发布,避免需要将服务器直接挂在公网上造成的风险。 用户在外需要进行内网接入时,可直接通过浏览器打开网页完成 SSL VPN 登录及安全隧道 的建立,如同登录网银、邮箱一般符合日常的网络使用习惯,容易上手。而 SSL 协议是目 前公认安全等级较高的网络安全协议之一,现今网上银行基本都采用 SSL 协议进行数据传 输保护,对于数据传输采用标准的 AES、RSA、RC4 等加密算法对传输数据进行加密,安 全性有保障。

第3章 方案技术特点
3.1 更安全的 SSL VPN
SANGFOR SSL VPN 身份认证安全、终端访问安全、数据传输安全、权限划分安全、 应用访问审计安全五大安全体系,由头至尾保证整个 SSL VPN 接入访问的安全性。

3.1.1身份认证安全
3.1.1.1 多种方式混合认证
许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。 使用单一用户 名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题, 尤其对于重要的应用系统如 财务、 客户信息等限定在特定部门、 特定人员访问的核心系统, 一旦遭遇用户名密码被盗窃, 其后果所造成的威胁将是不可估量的。 SANGFOR SSL VPN 支持多种认证方式的多因素组合认证,除了最基本的用户名密码 认证之外,还支持 LDAP/AD、Radius、CA 等第三方认证,支持 USB KEY、硬件特征码、 短信认证(短信猫和短信网关)、动态令牌卡等加强认证方式。 单一的认证方式容易被暴力破解, 为了进一步提高身份认证的安全性, 深信服创新性提

出混合认证,针对以上认证方式可以进行多因素的“与”“或”组合认证。“与”组合认证 、 可实现多达 5 种以上认证方式的捆绑,必须同时满足才能够接入 SSL VPN 系统。“或”组 合认证可对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到 SSL VPN 系统中。 通过多因素组合认证大大加强认证安全的强度,确保接入 SSL VPN 的用户的身份的确 认性。

3.1.2终端访问安全
3.1.2.1 用户超时控制功能
为防止用户在没有注销的情况下长时间离开, 导致他人窥探到 SSL VPN 内的机密信息, SANGFOR SSL VPN 安全网关特别加入了不活动检测引擎,对用户超时时间进行控制。当 检测到客户端在指定时间内没有任何访问内网资源的流量时,SSL VPN 网关将自动弹出对 话框,提示用户“SSL 连接会在 X 秒内超时关闭,继续还是注销?” 。若用户在该时间内仍 未选择相应动作,则 SANGFOR SS VPN 安全网关将自动注销,中断会话并重新返回登录界 面。 用户超时时间设置可全局或根据用户组/用户进行设置,超时时间可自定义设置。

3.1.2.2 客户端零痕迹清除功能
用户在通过 SSL VPN 访问到总部的应用时,往往会在本机的 Cookie、临时文件、历史 记录、表单信息等留下登录 SSL VPN 及应用的操作痕迹等。尤其是使用一些公共电脑进行 SSL VPN 登录,若不及时清除缓存易给不法用心者留下漏洞,通过获取这些“痕迹”进行 伪装登录。 为了避免由于未能及时手动清除缓存造成的信息泄漏威胁,SANGFOR SSL VPN 支持 退出 SSL VPN 根据预设策略选择清除浏览器历史记录、表单信息、Cookie、临时文件等遗 留信息,实现“零痕迹”访问。

3.1.3数据传输安全
VPN 的本质就是需要保证数据在公网上传输的安全性,达到虚拟专用网的效果。传输 的安全性强度往往需要依靠 VPN 数据所采用的加密算法。SANGFOR SSL VPN SANGFOR SSL VPN 通过 AES、DES、3DES、RSA、RC4、签名算法等多种国际主流

加密算法对数据进行强加密,保证数据传输的高安全。

3.1.4应用访问审计安全
SANGFOR SSL VPN 网关提供了管理日志和服务日志两大类型日志。管理日志可提供 管理员访问、操作日志,服务日志提供信息、告警、调试、错误日志,方便管理员对系统进 行诊断。 为了更好的了解 VPN 网关的运行、使用情况,SANGFOR SSL VPN 还提供了独立的日 志中心, 仅需要在内网中使用一台主机安装日志中心软件并进行相应配置, 即可将 SSL VPN 的各类详尽日志实时的同步到独立日志中心。 独立日志中心中详细记录包括用户访问日志、资源访问日志、安全日志、管理员日志、 系统日志五大类型的日志,提供丰富的流量、流速、访问频度统计排行及报表,为管理员提 供最为丰富的审计记录,便于日后的风险防范,同时也为进一步的网络规划、应用规划提供 详尽的数据支持。

3.2 更易用的 SSL VPN
3.2.1 SSL/IPSec VPN 一体化选择
SANGFOR SSL VPN 安全网关结合了 IPSec 和 SSL 两套主流的 VPN 技术, 实现了在一 台安全网关设备上稳定高效运行两套 VPN 系统。对于企业分公司,可以使用 IPSec VPN 实 现安全互连,而对于内部员工、合作伙伴、移动人员可利用 SSL VPN 的易用性实现安全接 入。最大限度地发挥了 SSL / IPSec VPN 给企业带来的效益,节约了企业大量的管理成本和 投入成本,真正做到一台设备的投资,两种设备的功能 。

3.2.2多平台兼容性、应用支持性
在评估易用性方面,十分重要的一点就是 SSL VPN 产品是否具有较高的平台兼容性及 完整的应用支持性。 如今主流的操作系统主要有 Windows、Linux、MAC OS 等。主流的浏览器分为基于 IE 内核的如 IE、 遨游、 腾讯 TT 等, 自行开发内核的如 Firefox、 Opera、 Safari、 Chrom、 Konqueror (Linux)等等。而用户端使用的操作系统及浏览器往往具有随机、广泛的特点,需要满足 用户随时随地方便的接入 SSL VPN,所使用的 SSL VPN 系统就必须具有高平台兼容性,并

具备其平台之上对 B/S 应用及 C/S 应用完整的支持性。SANGFOR SSL VPN 可完整支持上 述主流的操作系统、浏览器,并可完整支持其上的所有应用,提供用户最高的使用体验。 通过部署移动接入解决方案,可以将 Windows 平台应用系统通过远程应用发布协议, 直接发布到 iPhone/iP 应用交付设备/Android 智能终端,终端可以直接使用。移动接入解决 方案可以很好的解决不同平台之间的兼容性问题,同时保证用户跟在 PC 平台一样的体验效 果。部署移动接入解决方案以后,教委的领导和员工都可以通过 IPHONE、IP 应用交付设备 等智能终端来进行远程办公和网络运维,非常方便。

第4章 方案价值
4.1 安全、稳定的业务发布
采用 SANGFOR SSL VPN 对内部应用平台的统一发布,全面的保障了应用的安全性。 结合 SSL VPN 身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制, 保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。SSL VPN 支撑了整个应用平台安全的延伸到各个分支、各个移动用户,组建灵活的应用发布网络。 整个业务发布平台的整体稳定性都基于 SSL VPN 的稳定性,SANGFOR SSL VPN 从高 稳定硬件平台、多线路技术、集群技术等多个方面保证支撑平台的高稳定性,免去了 IT 管 理人员的后顾之忧。

4.2 快速访问提升工作效率
在面对高丢包高延时、 跨运营商访问、 无线访问等恶劣网络环境情况下, 结合 SANGFOR SSL VPN 多重加速技术,可大幅提升用户的访问速度。SSL VPN 访问速度的提升,内部应 用访问速度的加快,直接提升了用户的工作效率。无须再为网络的磕磕绊绊、移动办公的缓 慢速度困扰网络办公的进度,在越短的时间内能处理越多的事情,为组织创造更多的价值。

4.3 便捷的用户使用体验,降低管理工作量
SSL VPN 的建立仅依托于浏览器中内置的 SSL 协议,无须在终端主机上安装任何客户 端软件,十分适合移动用户的使用。接入方式非常贴合用户登录网银、电子邮箱等日常网络 行为,对于用户而言易用性高、上手快。同时结合 SANGFOR SSL VPN 提供的系统托盘、

默认服务页面等多种易用性功能,进一步提高用户的使用体验。 同时,无须安装终端软件、贴合日常使用的访问方式,将大大降低管理员对整套 VPN 系统的管理和维护工作量,也更易于整套远程办公平台的推广。

4.4 高性价比组网、扩容方便
SSL VPN 的建设仅需要基于普通的互联网链路,只需要在总部部署一台 SSL VPN 设备 即可提供安全的接入服务。 无须支付如同专线每月高昂的租用费用, 即可完成高性价比的组 网。尤其是多分支、小分支、专线无法涉及的区域的接入服务,SSL VPN 的性价比优势尤 为凸显。 SSL VPN 扩容方便,当有新分支、新用户需要使用 SSL VPN,在设备本身的性能范围 内仅需要增开移动用户授权即可。 若新增的用户数已超过设备本身的性能, 仅需要根据新增 的用户数购置一台新 SSL VPN 设备,通过集群技术共同提供 SSL VPN 接入服务,在保证了 客户原有投资的同时实现性能的平滑扩充。

4.5 方案预算
序号 设备名称 配置 接口类型: 6*1000M BASE-T(RJ45) ; 客户端支持的加密模 块接口类型:USB; 64 字节下吞吐量 (M) : 110.0 1518 字节下吞吐量 (M) 330.0 : 并发隧道数: 5500.0 32 位 CPU,64K 证书/ 200 Epass-3000 3 总计 密钥存储 275700 50 10000 数量 单价(元) 总价(元)

1

深信服 SSLVPN SJW78-V35

2

132850

265700

飞天诚信 2


赞助商链接

SSL VPN实施方案模板

SSL VPN实施方案模板_解决方案_计划/解决方案_应用文书 暂无评价|0人阅读|0次下载|举报文档 SSL VPN实施方案模板_解决方案_计划/解决方案_应用文书。XXX 项目 ...

SSL VPN解决方案技术介绍

SSL VPN解决方案技术介绍_互联网_IT/计算机_专业资料。SSL VPN解决方案技术介绍 1、SSLVPN 技术概述 SSLVPN 的出现是为了解决 IPSecVPN 的固有缺点而出现的,SSL...

SSL VPN解决方案

CYLAN SSL 解决方案 CYLAN SSL VPN 解决方案 第 1 页共 10 页 CYLAN SSL 解决方案 一、 公司简介 二、荣誉及资质 三、项目背景以 Internet 为代表的全球性...

SSL-VPN负载均衡解决方案

(F5、WatchGuard、Netscreen 中国区总代,技术支持中心) 第三章 SSL-VPN 负载均衡解决方案 3.1 网络拓补图 地址:广州市天河区天河北路 900-906 号高科大厦 A ...

Citrix SSL VPN解决方案

Citrix SSL VPN解决方案_IT/计算机_专业资料。Citrix SSL VPN解决方案Citrix Systems Application Networking Group Citrix Access Gateway 企业版解 决方案 V1.0 思...

深信服VPN技术方案_图文

科技版权所有 www.sangfor.com.cn 1 SANGFOR SSL VPN V6.1 方案 文档密级:公开 1.2.1安全性问题结合客户的网络状况,我们看到有以下几个方面的问题亟需解决。...

移动办公SSL+VPN远程接入解决方案

21 2 移动办公 SSL VPN 远程接入解决方案 一、 需求概述为提高企业的工作效率、 增强企业的竞争力以及降低不必要的运营成本, 运营商需要建 设一个基于 Internet ...

ssl-vpn解决方案

ssl-vpn解决方案_IT/计算机_专业资料。Juniper_ssl-vpn解决方案Juniper 远程访问解决方案 Juniper 远程安全访问解决方案 Juniper Networks, Inc. 第 1 页 Juniper Ne...

Juniper SSL VPN结合RSA双因素身份认证解决方案

身份认证可以采用 SA 设 6 Juniper SSL VPN + RSA 双因素身份认证实现远程用户安全接入解决方案 备的内部认证数据库,也可以采用外置的认证服务器进行身份认证。...

XX企业SSL-VPN深信服解决方案

XX企业SSL-VPN深信服解决方案_计算机硬件及网络_IT/计算机_专业资料。SSL-VPN解决方案 “中国上海”门户网站管理中心 SSL VPN 解决方案 上海市政府门户网站管理中心 ...