SSL VPN解决方案

SSLVPN解决方案2012年11月14日SANGFORSSLVPNV5.0方案文档密级：公开深信服科技版权所有一体化选择................................................................63.2.2多平台兼容性、应用支持性................................................................6第4章方案价值..........................................................................................................74.1安全、稳定的业务发布..................................................................................74.2快速访问提升工作效率..................................................................................74.3便捷的用户使用体验，降低管理工作量......................................................74.4高性价比组网、扩容方便..............................................................................8SANGFORSSLVPNV5.0方案文档密级：公开深信服科技版权所有上网卡的方式，从互联网接入到国家海事局专网，目前存在安全性、稳定性问题，无法满足海事发展的需求，因此计划采用VPN设备的远程接入方式。1.2需求分析1.2.1安全性问题结合海事局的网络状况，我们看到有以下几个方面的问题亟需解决。1、身份认证安全现有海事系统采用的是较为单一的用户名密码认证方式，安全强度不高，极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破，导致核心数据的泄漏问题。尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。2.终端访问安全一旦远程终端通过VPN接入到了总部的网络，总部的安全域延伸到了远程终端。虽然在总部网络中有防火墙、IPS、防毒墙等一系列安全防御设备，但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低，而总部的防护设备又往往不能抵御VPN隧道中的威胁。为了保证整体安全防御水平，就需要对接入的终端主机的安全水平采取一定的控制措施。3.权限划分安全总部内网中有众多的应用系统，若是没有采用合理的访问权限控制机制，将重要服务器暴露在所有内网甚至外网用户面前，容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏，同时，开放的权限环境也将给重要的服务器开放了攻击通道，一旦遭到攻击后果将难以估量。所以，对于不同的应用系统需要对访问人员做好细致的访问权限控制，4.应用访问审计安全为了避免重要的信息系统的访问安全风险，做到有据可查，同时也为了了解应用系统的使用情况，需要对应用的访问采取必要的审计措施，了解何时何地何人访问了哪些应用系统。1.2.2远程访问速度性问题影响用户远程办公的最主要因素就的访问速度问题，拖滞的访问速度将大大影响用户的访问体验及办公效率，网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。1.跨运营商访问问题国内固网运营商为南电信北网通的格局，跨运营商访问时往往存在较为严重的丢包现象，一旦遇到丢包导致的频繁的重传将大大拖慢了访问速度。尤其是对于遍布各地远程接入用户而言，线路的运营商环境也多种多样，需要寻求一种方式解决跨运营商高丢包导致的速度问题。2.高丢包、高延时访问问题无线、偏远地区等高丢包、高延时的恶劣网络环境下的接入速度异常的慢，严重影响了远程办公的效率。如何在高丢包、高延时的网络环境下同样保证较高的访问质量提高工作效率？3.手持移动终端访问问题许多领导、员工已经采用PDA、智能手机等手持移动终端进行移动办公，但手持移动终端的受信号的制约，其访问速度往往不如有线网络。对于手持移动终端使用的最多的是B/S架构的应用，但现在B/S架构往往是针对电脑进行设计的，一旦使用PDA、智能手机访问，往往出现页面变形、图像过大等现象，影响用户体验的同时，过大的页面冗余数据量也拖慢了用户的访问速度。4.大量重复冗余数据量应用系统的使用往往存在大量的冗余数据，如同样的页面、文件中的相同的元素、系统每次交互的相同数据，这些冗余数据量的传输占用了大量的带宽资源，拖慢应用响应速度，影响了工作效率。1.2.3使用者终端易用性问题在考虑到安全接入方式的时候，尤其需要考虑到终端易用性问题。需要接入到总部应用系统访问的人员普遍的IT水平都不高，复杂的软件端安装、参数调配都是非常不合适的。同时，接入应用系统的核心为办公，就需要提供一种最便利、最简单的接入方式，最大的方便接入人员的办公。在一体化办公平台有往往需要使用到多个应用系统进行办公，远程用户在面对众多的应用系统时就需要记忆众多的用户名密码并依次登录才能办公，效率低下的同时，还容易混淆。1.2.4业务稳定性问题所远程发布的业务系统将直接关系到组织的业务能否正常运营、工作能否正常开展的问题，需要保证高可靠、高可用的稳定性。而VPN作为发布业务系统的基础平台，同样需要保证高稳定的运行以支撑整个业务的持续稳定。1.2.5整网设备管理便利性问题需要接入到总部的部分远程分支没有配备专门的IT管理人员，在构建VPN网络时需要考虑到客户端维护成本问题，若是在分支端采用设备架设的方式则必须派专员去对设备进行维护，造成管理成本的上升。组织的规模较为庞大，处于地域、组织架构等管理需要，面对不同的用户组需要由不同的管理员进行管理，保障信息安全的同时亦可提高管理效率。第2章整体方案设计2.1深信服SSLVPN解决方案结合国家海事局实际网络及应用情况，我们推荐采用深信服SSLVPN设备进行全网组网，具体网络部署如下图所示：方案说明：在联通、电信接入交换机上分别以单臂方式部署一台深信服SJW78V45SSLVPN，内网服务器区应用系统的安全发布。在国家海事局总部与地方分支机构之间通过建立IPSecVPN隧道，实现异地建数据传输的安全保障。通过上述的方案部署，可实现：海事局应用平台移动办公采用SSLVPN对应用进行安全发布，避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时，可直接通过浏览器打开网页完成SSLVPN登录及安全隧道的建立，如同登录网银、邮箱一般符合日常的网络使用习惯，容易上手。而SSL协议是目前公认安全等级较高的网络安全协议之一，现今网上银行基