系统安全网络方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

5.迈普EIP系统安全网络方案2006-12-0615:16:25阅读(7)发表评论1.前言由于互联网的开放性和通信协议原始设计的局限性,所有信息采用明文传输,从而导致互联网的安全性问题日益严重。非法访问、网络攻击等频频发生,给公司的正常运行带来安全隐患甚至不可估量的损失,因此必须利用信息安全技术来确保网络的安全问题。2.网络解决方案描述通过深入分析迈普公司现有的网络模式和EIP业务流程,保证对现有网络的不做大的改动,同时节约设备投资,建议采用MPSecSSL600因特办公隧道系统来组建该安全网络。2.1网络拓扑结构2.2网络实施方案MPSecSSL600因特办公隧道系统主要由SSL隧道网关(MPSecSSL600)和SSL隧道客户端软件(MPSecSSL600Client)组成。另外用户还需要向证书颁发机构(如CA中心或者MPSecCMS证书管理系统)为SSL隧道网关和SSL隧道客户端申请数字证书。网络实施方案如下:1)安装证书管理服务器(MPSecCMS)MPSecCMS服务器为安全代理网关及各远程固定用户或移动用户颁发数字证书,数字证书中绑定了各自的身份信息。在安全代理网关与各远程用户或移动用户之间的网络传输中使用数字证书进行身份验证及信息的加密传输。将证书管理服务器安装在方便管理员使用的子网中,其具体步骤如下:安装证书管理系统分配管理员并颁发相应的管理员证书安装证书管理客户端为远程用户或移动用户颁发证书所颁发的证书分发的各远程用户或移动用户手中2)安装MPSecSSL600系统在网络的边缘加入安全代理网关(MPSecSSL600),安全代理网关位于防火墙之后,可以利用现有的公网IP地址做NAT,使远程用户或移动用户通过公网能够访问到安全代理网关,再由安全代理网关访问ERP服务器。3)安装MPSecSSL600Client客户端在远程固定用户或移动用户的客户端机器上安装安全传输代理客户端软件。以此来实现由安全代理网关服务器对客户端用户身份的认证、安全代理网关服务器与远程用户或移动用户客户端机器之间的信息加密传输。其具体实施步骤如下:远程固定用户或移动用户下载并安装MPSecSSL600Client软件包;远程用户或移动用户的证书拿到之后,即可启用安全传输。4)本方案实施说明EIP服务器与MPSecSSL600因特办公隧道系统可以并行一段时间,到各远程用户或移动用户已经熟悉新的访问方式之后,即可关闭对ERP服务器的直接明文访问,完全使用加密访问。MPSecSSL600因特办公隧道系统对于除EIP系统以外的网络应用系统(如其它常用的公网服务器)不做加密和验证处理。2.3网络方案安全特点防止信息泄露由于安全传输客户端与安全代理网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此其有效的信息被保护起来,杜绝了有效信息的泄露。防止非法访问由于用户必须向MPSecCMS申请数字证书,因此MPSecCMS系统对所有的合法用户进行集中管理,充分保证用户身份的合法性。安全代理网关只允许那些拥有MPSecCMS所签发的数字证书的用户进行网络连接。如果请求连接的用户没有合法身份,则安全代理网关将拒绝其连接请求,从而限制了非法用户对机密信息的访问。保护信息的完整性安全代理网关与安全传输代理客户端之间使用数字证书进行机密性与完整性参数的协商,它不仅能够对所传输的数据进行机密性的保护,同时也对其提供完整性保护。当在传输过程中的数据被篡改之后,安全代理网关与安全传输代理是可以检测到的,如果检测到数据被篡改,他们就会放弃所接收到的数据。防止用户假冒用户的身份信息已经不仅仅是用用户名与口令来标识了,他使用存贮在数字证书中的非对称密钥的公钥来标识用户的身份。因此第三方无论使用什么手段得到用户名与口令也无济于事,因为真正的用户信息是在安全性很好的IC中存放的,所以用户只要保管好自己的IC卡,就不用担心非法用户的假冒。保证系统的可用性本方案使用内网、外网相互隔离,只开放所需服务的方式来实现,这样客户端只能通过授权使用所开放的服务,除该服务之外的其它服务都无从访问,从而减少了很多对内网系统进行攻击的途径,达到了对内部网络的最大保护。2.4网络方案的优点不影响原来的网络拓朴采用本方案不需要对原来的网络拓朴进行改变,只需要为安全代理网关分配一内一外两个IP地址即可实现。网络信息传输的机密性与完整性安全代理网关主要实现用户客户端与服务器端的信息传输安全,通过高强度的加密机制来保证用户数据的安全性,其密码长度可达128或168位。用户接入内部网络的身份认证远程用户接入内部网络时需要进行身份认证,这个认证系统由三部分组成,用户作为持证者,安全代理网关服务器作为验证者,证书管理服务器作为发证者。客户端与服务器端通过双向的身份认证来保证信息传输对端的身份,及在他们之间进行传输的信息的安全性。实现针对目标服务的代理安全代理网关采用针对特定目标服务的代理,对除指定的服务之外的其它服务全部进行屏弊,使内网中对外暴露的服务达到最小,从而提高内网的安全性。可以代理标准服务,也可以代理自定义服务安全代理网关不仅可以代理标准的服务(如,http、ftp等),也可以代理普通的基于C/S模式的特定服务。远程用户或移动用户对内部信息的访问不受所处位置的影响远程用户或移动用户在任何可以连接Internet的地方都可以安全访问公司内部机密信息,其访问不受地理位置的影响。

1 / 5
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功