XX公司SSL VPN解决方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

武汉XX公司VPN组网解决方案XX公司SSLVPN组网解决方案上海安达通信息安全技术股份有限公司网络的普及,同时信息化的发展正在改变着企业传统的运作方式。越来越多的企业都在逐步依靠计算机网络、应用系统来开展业务,同时利用Internet来开展更多的商务活动。XX公司信息化程度相当高,应用系统非常完善同时,随着远程移动办公的需求越来越多,出差在外的销售人员如何安全访问到公司总部的应用系统,成为目前急切需要解决的问题。我们建议采用上海安达通公司研制的SSLVPN安全网关解决远程异地办公的需求。后面的章节我们详细介绍方案。3VPN网络设计原则对本次的VPN网络平台的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、可靠性、安全型、先进性、扩展性、易管理性、兼容性”建设系统。具体的我们遵循了以下原则:安全性原则我公司坚持以高度安全性为基本原则,有效地防止网络的非法侵入和信息的泄露,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。可靠性原则这套网络安全系统是用户众多,大量移动用户依赖它在获取重要信息。它的稳定可靠关系重大,信息平台的运行不稳定甚至瘫痪将严重影响大量用户的正常工作,将给用户带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。我公司将采用相应的手段保证系统、网络和数据的稳定可靠性和不间断运行。先进性原则在系统建设方案,具有相当的先进性,并能够通过对VPN设备和软件的不断升级,确保系统的技术领先性和持续发展性。实用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。可扩展性原则系统建设应该是统一规划、分步实施、逐步完善的过程。我公司在该方案的设计中充分考虑它的可扩展性,使系统能够方便的扩展。易管理性原则网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。兼容性原则VPN系统是网络层安全设备,对各种网络应用透明;我公司的VPN安全网关遵循标准的SSL、Ipsec和IKE协议,在网络层对IP数据包进行加密,对网络中的数据流做基于五元组的访问控制,因此,对于应用系统是完全透明的。同时依靠我公司强大的研发能力,能够为用户提供特殊的定制性需求。4方案设计设备部署在XX公司总部中心机房,部署一台安达通SJW74BPRO型安全网关。考虑到目前XX公司网络已经在正常运行,为了对现有网络改动最小,同时不影响现有网络的不间断运行,建议采用安达通公司专有的“单臂连接”方式部署VPN设备,网络示意图如下:网络示意图传统VPN设备在部署时,遇到与防火墙、路由器配合使用时,通常采用“串联”(即:接在防火墙/路由器与内网交换机之间)或“并联”方式(即:与防火墙或路由器并列部署)接入原有网络。“串连”方式增加单点故障,并容易造成性能上的瓶颈;“并联”方式需要多个公网IP地址,并在客观上造成多个公网出口,带来安全隐患。针对这两种传统的VPN设备部署方式,安达通VPN安全网关则可采用一种非同寻常的部署方式:“单臂连接”。采用此种部署模式,能够在对用户环境最小改动的前提下部署VPN,极大提高了VPN设备对网络环境的适应能力。5所谓“单臂连接”指的是安全网关只接一个口到内网交换机中,另外一个口不接线,即把安全网关设备当作一台服务器或主机,专门处理VPN报文的加解密。从实现技术上而言,单臂连接结合了上述串行连接和并行连接两者的特点,需要在防火墙(路由器)上为安全网关做静态端口映射(静态NAPT)。单臂连接方式能在对用户环境最小改动的前提下部署VPN,大大增加了VPN设备对网络环境的适应能力。采用“单臂连接”技术部署安达通VPN安全网关,不用改动用户原有的网络拓扑,实施过程对用户无任何影响;而且没有在用户主干线路上串接设备,不会造成额外的单点故障,而降低线路可靠性;也不会影响互联网出口的性能。用户使用方法作为在外的员工,仅仅通过IE浏览器,在地址栏输入VPN设备对应的公网IP地址,然后在主机USB接口上插入管理员授权的U-KEY登录,这时手机会接收到一条动态密码,只有正确输入了手机动态密码,才能访问到相应授权的应用服务器。另外,管理员可以为不同的用户分配不同的应用权限,登录界面如下:登录界面优势分析通过以上VPN设备的部署,可以实现以下功能:1.高安全性:总部通过对外出用户进行授权(U-KEY+手机短信双因子身份认证),只有通过6授权的用户才能通过SSLVPN加密通道(密文)安全访问总部的服务器,同时,通过在总部VPN设备上做严格的访问控制规则,可以控制外出用户的权限(即指定的人员只能访问所授权的服务器,而非整个内网),确保内网的安全可靠,不增加安全隐患。2.实施透明:通过使用安达通专有的“单臂连接”部署模式,不对用户原有网络作任何物理调整,VPN实施也不需要用户断网,仅需要在互联网出口的路由器上作地址映射即可。另外,通过安达通专有的“自动路由”技术,也不需要在内部的核心交换机上添加额外路由,VPN客户端是通过重新分配的一段私用IP地址来访问内部网络,但是安达通“自动路由”技术能够将此段私有IP自动转换成内部IP,通过该内部IP来访问服务器,大大较小网络维护工作量。3.使用方便:远程用户不需要额外手工安装任何客户端软件,仅仅通过浏览器便可以实现SSLVPN的访问(第一次访问的时候,通过浏览器会自动下载安装一个安全插件)。4.良好的网络适用性,传统的SSLVPN产品,通过TCP80\443等端口和vpn设备通信,但是有些管理较规范的网络里面,可能很多不常用端口被禁用(如TCP443),这样就无法进行SSLVPN的通信,而上海安达通公司经过对专有的“HTTPOVERIPSEC”技术,能够在用户网络仅仅开发TCP80端口的环境下,正常进行VPN通信。实施步骤1.将VPN设备的一个网口(如LAN)口连接到内网核心交换机,且给该口分配一个内网IP地址,必须保证该IP能够和服务器网络连通。2.需要给VPN设备分配一个公网IP地址。如果是使用单臂连接,则在路由器上做地址映射,将改公网IP映射到VPN设备上。3.连接短信猫的服务器(或主机)要求windowsXP操作系统,且具备串口和短信猫连接。选型产品介绍

1 / 19
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功