首页 关于我们 新闻中心 产品中心 成功案例 解决方案 服务中心 客服专区 联系我们
 
解决方案
网络基础
城域网解决方案
校园网解决方案
企业网解决方案
网络安全
入侵防护解决方案
互联网机防病毒解决方案
SSL VPN解决方案
数据保密解决方案
网络视频监控系统解决方案
性能优化
服务器负载均衡解决方案
链路负载均衡解决方案
流量控制解决方案
 
你现在的位置 >> 解决方案 >> 网络安全 >> SSL VPN解决方案
 
 
 
一 SSLVPN应用背景

企业信息化(包括政府信息化)是应用信息技术提升工作效率与管理水平的重要手段,80年代以来已经历了两个重要阶段,即以“工具电子化”为标志的“办公室自动化”,以及以“流程规范化”为标志的“业务流程管理”。前者的典型应用是文字处理、电子表格、财务电算化等,后者的典型应用为各类MIS、工作流、SCM、ERP、CRM等。

现代企业正朝着“延伸型企业”与“实时企业”的方向发展。延伸型企业要求企业的管理不仅涵盖产品研发、采购、生产、营销、服务等各个内部环节,还应延伸到与企业运营密切相关的各个外部环节,如供应商、合作伙伴、客户、渠道等等。实时企业则要求即时了解企业内外的信息资料并及时做出反应,同时尽可能地减少内部环节的时滞性,通过实时管理来最大限度地降低运营成本。

延伸型企业与实时企业的出现,要求企业内外的各种信息能够更好的被汇总与利用,各种应用与流程能够更好的配合与衔接,各个项目、部门及相关组织的人员之间保持良好的沟通。从这两个概念出发,我们又可以把企业信息化的工作分成两部分来考虑,一是指信息化工具的集成,就是企业根据需要逐步把各种应用系统集成在企业经营中的过程;二是指承载这些应用系统的网络平台的建设。这两部分是相互相承、紧密结合的,网络平台的服务对象是各种应用系统,最终为实现“延伸型企业”和“实时型企业”的发展目标服务。网络平台的建设又分为企业内网的建设和企业外联网的建设。

二 SSL-VPN安全接入网关的解决方案

(一)VPN技术分析

不需要安装Client软件
SSL-VPN的架构下,是不需要在使用者端安装软件。使用者只要利用浏览器,透过网络,即可针对公司资料作存取

功能更弹性
只要是任何透过浏览器且内嵌SSL的使用的装置,都可以应用SSL-VPN做加密保护。这包含了非传统的装置,例如可以支持Web的手机或PDA。

支持更多操作系统
大多数的操作系统只要可以支持标准的浏览器,不论是Windows、Mackintosh、Unix或是Linux,都可以透过SSL-VPN做加密保护。

高安全性
使用IPSec的联机方式,每一个使用者端在网络上会被当成一个节点,而此联机会一直处于激活的状态(Active)。因此,一但使用者端的计算机被骇客入侵,骇客就可以透过此网络连结进入另一个端点,也就是公司内部。因这样的运作模式,此节点很有可能成为骇客入侵的管道。使用SSLVPN的方式做资料联机则可以避免这样的问题发生。

中心权限控管
所有使用者的远程联机都需要经过SSL VPN服务器,也因如此,SSL VPN使用ACL (权限控管清单)的机制,提供给网管人员员更容易管理使用者权限的管理接口。

确实实现远程登入
如果今天员工在客户端支持,需要在客户端的网络环境下登入公司的内部网络存取资料,假设他用的是传统的VPN架构,很有可能他的联机要求被客户端的防火墙拦截。因为,这牵涉到地址转换与联机的问题。但要是这位员工使用的是SSL VPN机制,应用程序资料在应用层交换时,都是透过PORT 80和443。这两个PORT通常都是激活的状态,因为一般HTTP联机都是经由这两个PORT沟通。对MIS而言,使用SSL-VPN提高管理的便利性,既然SSL VPN是应用层的协议,所有资料交换都会透过PORT 443来处理,MIS人员不再需要在防火墙开启每一个应用程序所需的PORT,避免漏洞的窘境,确实实现了远程登入的应用。加上PROXY SERVER的帮助,增加了SSL联机速度和稳定。

降低企业内防病毒的风险
在网络传输中,使用标准的SSL安全协议,能够提供极其安全的网络隧道,保证数据不会被截获和破解;同时,也不会受NAT和穿越防火墙问题的困扰,任何能连接Internet的方式都可以构建SSL VPN通道。同时,在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端的访问都是由SSL VPN网关转发,而不能直接访问应用服务器,从而使服务器不易受到攻击。

对内网应用服务器的保护
远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦探得到,这就提供了黑客攻击的机会。若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦探出应用系统内部网络情况,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。

(二)整体方案

选择SSL VPN技术作为远程接入解决方案,采用O2Micro公司研发生产的Succendo SSL-VPN 安全接入网关具体实现。O2Micro公司自主研发生产的Succendo SSL-VPN 安全接入网关产品作为迄今为止最先进的远程访问解决方案,因其强大的功能和方便、安全、高性价比等特点,逐渐成为金融、教育以及企业解决不同分支之间互联、移动办公人员、业务合作伙伴远程接入的首选方案。它具备SSL VPN技术所有的特点,同时拥有多项独创的专利技术。用Succendo SSL-VPN 安全接入网关实现远程接入解决方案网络拓朴如下图所示:
     
本方案中,Succendo SSL VPN安全接入网关以旁路模式接入企业总部内网,在企业互联网出口防火墙上设置地址映射,实现用户访问内部关键资源时,必须通过Succendo SSL VPN安全接入网关做中继;实现后用户的访问过程是这样的:分支机构用户或移动用户通过任何一台可以上网的电脑,通过浏览器登录指定地址(https://IP地址或域名),建立SSL VPN通道,接入到各种经过授权的资源进行访问。

三 解决方案特点

不需要安装客户端软件,同时SSL-VPN 安全接入网关在部署时,不会改变原有的网络拓扑结构,对整体网络的性能的影响也非常小。

SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密;

SSL VPN具有良好的可扩展性,可以选择多种身份认证方式,可以根据客户的要求改变加密算法,访问容量的扩展不需要更换硬件设备,设备支持集群、容措等功能。

SSL VPN具有非常细颗粒化的访问权限控制能力,比如可以根据用户的不同身份,控制他可以访问哪怕一个文本的权限。

采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不可能侦探出应用系统内部网络拓朴,所以对内网服务器群的安全是一种极大的加固。

SSL-VPN 安全接入网关采用专用的系统,本身具有非常高的安全性。

兼容性好,对客户端采用的操作系统版本没有要求,可通过浏览器上自带的简单SSL安全加密协议,就可以安全地访问网络中的信息。
 
 
             
 
 

公司地址:广州市五山路248号金山大厦南塔21层2101-2104 邮编:510635
热线电话:020-38467275 38467276 38467277 38467278 传真:020-38467489
邮箱:company@hacongz.com.cn  公司网址:http://www.hacongz.com.cn/