SSLVPN解决专项方案.doc
《SSLVPN解决专项方案.doc》由会员分享,可在线阅读,更多相关《SSLVPN解决专项方案.doc(23页珍藏版)》请在咨信网上搜索。
1、XXX企业VPN系统处理方案提议书北京天融信企业2024年5月目 录第一章 XXX企业网络现实状况及需求分析11.1 网络现实状况11.2 需求分析1第二章 VPN技术及天融信VONE产品22.1 VPN产品概述22.1.1 安全接入应用趋势22.1.2 安全接入技术趋势22.1.3 天融信VONE产品介绍32.2 天融信VONE网关产品特点42.3 天融信VONE产品关键功效112.4 天融信VONE产品规格19第三章 XXX企业SSL VPN接入处理方案203.1 VPN处理方案203.2 本处理方案关键特点22第一章 XXX企业网络现实状况及需求分析1.1 网络现实状况XXX企业企业业务
2、网络系统由企业总部和远程移动用户组成。其中总部局域网络是整个网络系统关键,为企业各类服务器所在地,同时也是网络管理中心。各移动用户现在期望经过Internet和总部进行安全通信,具体需求以下:企业现在有一个内部业务应用系统(基于B/S或C/S架构),因为业务扩展,有很多业务人员在外办公,现在大约有1000名移动用户,为了能合理利用网络及内部资源,需提供一个简单可行远程接入方案,把移动用户接入到内网,同时对这些用户能有效进行管理。1.2 需求分析依据XXX企业现有网络情况和业务情况,现在需求分析以下:l 内网业务系统基于B/S结构,业务模式简单;l 移动办公人员众多,使用水平参差不齐;l 对移动
3、办公人员身份要求进行严格认证和监控;l 数据在Internet上传输时应确保足够安全;l 该系统扩展性好,为以后扩充更多用户做好准备;l 有良好日志系统;l 整个接入系统安装方便、快捷,便于维护和管理。 基于以上分析,这是一个经典VPN接入需求。天融信企业能提供基于IPSec和SSL两种VPN处理方案,在本案中,用户业务模式简单(仅基于B/S模式),用户数量众多,在此推荐采取SSL处理方案。以下我们将具体叙述天融信SSL VPN处理方案。第二章 VPN技术及天融信VONE产品2.1 VPN产品概述2.1.1 安全接入应用趋势伴随电子政务和电子商务信息化建设快速推进和发展,越来越多政府、企事业部
4、门已经或立即构建网上办公系统和业务应用系统,使内部办公人员经过网络能够快速地获取信息,使移动办公等多个远程办公模式得以逐步实现,同时使合作伙伴人员也能够访问到对应信息资源。可是要享受经过互联网访问企业内部信息资源便利,就面临着非法访问、信息窃取等越来越多来自外部和内部安全威胁。而我们现在所使用操作系统、网络协议和应用系统不可避免地存在着不少安全漏洞。所以,在构建和应用这些应用系统时,必需要保障关键应用在开放网络环境中安全,同时还需尽可能降低实施和维护成本。2.1.2 安全接入技术趋势现在安全接入组网技术有多个,每种技术全部有其适用范围和优点,同时也有一定缺点。主流VPN技术关键有以下三种:1L
5、2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术。在windows主流操作系统中全部集成L2TP/PPTP VPN拨号用户端软件;不过因为协议本身缺点,没有高强度加密和认证手段,安全性较低;同时这种技术仅处理了移动用户VPN访问需求,对于LAN-TO-LANVPN应用无法处理;2IPSec VPNIPSec VPN 属于三层VPN技术,协议定义了完整安全机制,对用户数据完整性和私密性全部有完善保护方法;同时工作在网络协议三层,对应用程序是透明,能够无缝支持多种应用;既能够支持移动用户VPN应用,也能支持LAN-TO-LANVPN组网;支持多个网络拓扑结构。其缺点是网络协议比
6、较复杂,正确配置VPN隧道需要较多专业知识;而且需要在移动用户机器上安装单独用户端软件。3SSL VPNSSL VPN属于应用层VPN技术,协议定义了完整安全机制,对用户数据完整性和私密性全部有完善保护;因为在windows等操作系统中IE浏览器已经支持了完整SSL协议,所以原理上将对于B/S应用是无需安装用户端软件,布署使用较为简单。关键适用和移动用户接入并访问B/S结构应用系统,对于C/S应用支持仍然需要安装用户端插件。多种VPN技术全部有其优点和缺点,用户实际应用中,往往需要将这多个技术进行综合应用,才能满足较为复杂用户需求。天融信将这多个VPN技术有机进行了整合,实现了在一台设备中同时
7、支持上述多个主流VPN组网技术,同时集成了业内成熟领先防火墙和身份认证系统,形成了一个完整安全接入处理方案。2.1.3 天融信VONE产品介绍网络卫士VONE系列(IPSEC/SSL VPN多合一网关)是集天融信十几年研发经验,向用户提供完整VPN接入处理方案,是天融信推出最新一代网络安全接入产品。该产品以天融信自主知识产权TOS(Topsec Operating System)为系统平台,采取开放性系统架构及模块化设计,融合了身份认证、访问控制等安全手段,含有安全、高效、易于管理和扩展等特点。网络卫士VONE网关可为分支机构、移动办公职员、业务合作伙伴及用户提供各自所需应用和资源安全便捷接入
8、服务。产品L2TP/PPTP/SSL功效无需安装任何用户端软件,也无需投入太多人力进行配置或长久维护;产品完善IPSEC VPN功效能够方便构筑和分支机构之间LAN-TO-LAN互联VPN网络。SSL VPN在外部网络和内部网络之间,利用安全套接层(SSL)来提供安全传输功效,而SSL在全部标准Web浏览器中全部含有。SSL VPN构建在经过强化软硬件平台上,实现用户和资源绑定。天融信VONE网关可提供Web转发、应用Web化、端口转发和全网接入等多个接入方法,以适应不一样用户需求,同时还含有强大访问控制权限管理、细粒度审计和日志统计等功效。网络卫士VONE网关包含完整业界领先专业防火墙功效,
9、还含有内容过滤、入侵防御、带宽管理等功效,能为用户提供全方面网络边界安全防护处理方案。2.2 天融信VONE网关产品特点1) 自主安全操作系统平台采取自主知识产权安全操作系统 TOS(Topsec Operating System),TOS拥有优异模块化设计架构,有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块优异性能,其良好扩展性为未来快速扩展更多特征提供了无限可能。TOS含有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性特点。2) 多个VPN技术有机融合前面已经分析了现在主流多种VPN技术优缺点,这些技术有其不一样适用范围。在实际用户网络中,不一样用户需求往往需要多
10、个VPN技术综合应用,在这种情况下往往需要用户购置多台不一样VPN设备来满足需求,这既浪费资源又带来用户管理维护工作量,同时网络环境变得愈加复杂,网络运行稳定性和安全性全部见面临新挑战。网络卫士VONE网关是天融信企业在多年多种独立VPN产品研发和销售基础上,推出一款融合IPSEC/SSL/PPTP/L2TP等多个VPN技术综合安全网关产品。在TOS平台强大整合能力保障下,多种VPN模块进行了有机整合,为用户提供一个统一完整VPN接入平台。3) 安全接入和安全防护无缝结合VPN网关作为网络边界设备,除了完成远端网络或移动用户远程接入功效外,对用户网络边界安全也是至关关键。网络卫士VONE网关是
11、构建在天融信强大TOS系统平台基础上,集成了天融信业内领先防火墙功效模块,能够为用户VPN网络提供高等级边界安全防护和访问控制。天融信VPN网关含有强大内容过滤功效,支持URL分类过滤,分类库大于700万条;支持挂马网站过滤;支持邮件过滤和反垃圾邮件功效。还具完善应用识别功效,用户能够轻松针对部分经典网络应用,如MSN,QQ、Skype、新浪UC、阿里旺旺、谷歌 Talk等即时通信应用,和BT、Edonkey、Emule、讯雷等p2p应用实施灵活访问控制策略,如严禁、限时、带宽控制等。网络卫士VONE网关支持完善基于完全内容检测访问控制技术。防火墙检测技术发展至今,大致经历了三个阶段,从早期状
12、态检测(Status Inspection)到以后深度包检测(Deep Packet Inspection),现在已经发展到了最新完全内容检测(CCI,Complete Content Inspection)。状态检测只检验数据包包头,深度包检测可对数据包内容进行检验,而CCI则可实时将网络层数据还原为完整应用层对象(如文件、网页、邮件等),并对这些完整内容进行全方面检验,实现根本内容防护。网络卫士VONE网关在MAC层提供基于MAC地址过滤控制能力,同时支持对多种二层协议过滤功效;在网络层和传输层提供基于状态检测分组过滤,能够依据网络地址、网络协议和TCP 、UDP 端口进行过滤,并进行完整
13、协议状态分析;在应用层经过深度内容检测机制,能够对高层应用协议命令、访问路径、内容、访问文件资源、关键字、移动代码等实现内容安全控制;从而形成了立体、全方面访问控制机制,实现了全方位安全控制。4) 多个SSLVPN技术结合实现应用全覆盖现在SSLVPN接入技术大致分为三类:WEB转发(WEB FORWARD),端口转发(PORT FORWARD)和全网接入(NETWORK ACCESS或称为IP TUNNEL)。这三种技术技术特点和适用范围各不相同,在网络卫士VONE网关中对这三种SSLVPN接入技术全部做了很好支持,用户能够依据本身应用系统特点选择使用一个或多个接入方法。WEB转发模式能够实
14、现用户完全无用户端接入,支持多种操作系统和用户浏览器平台。但其缺点是仅支持B/S模式应用系统,而且对用户应用系统依靠性较强。网络卫士VONE网关经过在WEB转发模式中应用独创智能URL重定向技术和自动分布式页面重构技术大大提升了对用户B/S系统支持率和处理性能。同时经过开放页面替换规则框架,支持为用户个性化业务系统自定义特殊URL替换规则,深入提升了系统适应性。端口转发模式经过用户端当地代理技术实现对用户访问请求SSL协议封装和转发。这种模式适应性比WEB转发要好,但其要求在用户端安装一个ACTIVEX控件。网络卫士VONE网关实现了用户端透明代理,用户不需要修改当地任何配置即能完成代理控件安
15、装和使用,大大简化了用户操作步骤。全网接入模式经过SSL隧道转发用户端全部IP请求报文,其适应性最好,能够支持基于IP协议全部B/S和C/S业务系统,其一样要求在用户端系统上安装一个ACTIVEX控件。网络卫士VONE网关经过全网接入模式能够实现移动用户虚拟IP地址分配,实现多种访问控制策略下发,支持移动用户以分离隧道(SPLIT TUNNEL即能够同时访问VPN和因特网)或完全隧道(FULL TUNNEL即只能访问VPN不能访问因特网)方法接入VPN网络,大大提升了远程接入安全性和灵活性。5) 支持虚拟桌面/虚拟应用天融信企业TopConnect用户端产品,即支持虚拟桌面模式,也支持虚拟应用
16、模式。经过这两种不一样使用模式,企业用户能够限制不一样用户使用不一样模式,即确保用户敏感数据安全,又能降低网络管理维护量,降低企业内部应用维护人力物力成本。针对业务应用丰富,使用环境单一用户,或需要对智能移动终端进行管理和维护人员,可使用虚拟桌面模式。在这种模式下,服务器直接将服务器端个性化桌面展现给用户。和传统PC机相比较,除显示器幕面积外,其它使用和操作没有任何差异。而对于业务应用单一,使用环境复杂,或不能开发较多权限用户,可使用虚拟应用模式。在这种模式下,服务器只将特定应用界面推送给用户。除授权使用应用外,用户无法使用其它任何应用,更无法对服务器进行修改和配置。6) 完善身份认证技术网络
17、卫士VONE网关为经过SSL隧道接入用户提供了完整身份认证手段。假如移动用户接入环境比较简单、可信,管理员能够配置简单“用户名口令”认证方法,从而达成简单易用效果;为了预防线路窃听和重播攻击,管理员能够采取“用户名口令图形认证码”方法对移动用户进行身份认证;对于需要强身份认证机制用户,管理员能够采取“数字证书”认证方法,经过高强度密码运算来确保用户身份标识不会受到“字典攻击”等暴力攻击威胁;还能够经过“数字证书(USBKEY)口令”双因子认证方法来确保移动用户证书不会被盗用,深入加强认证安全性。网络卫士VONE网关还支持短信认证、图形码校验、硬件特征码校验。支持基于web协议认证方法,能够和业
18、务资源帐号系统使用一套,避免了在VONE上再次建立帐号,能够统一管理帐号,增强了易用性。支持指纹认证,能够基于指纹信息进行认证。VONE网关还支持多个认证方法任意组合,为用户提供最强安全接入机制。网络卫士VONE网关还支持经过RADIUS/TARCAS/LDAP等标准协议和外部专用用户身份认证管理系统进行互动,从而能够实现动态口令认证、域认证等高级认证方法。这既能够和用户其它应用系统和安全产品共用用户认证数据库,实现用户集中管理和认证,又能够充足利用用户已经有资源。7) 多级用户授权机制和授权组合授权是对移动用户经过身份认证接入网关后,许可访问内网资源权限进行控制,是保护内网资源安全关键技术手
19、段。网络卫士VONE网关采取多级授权机制和用户授权继承策略,满足多种用户授权需求。支持整体授权、条件授权、属性授权。支持基于证书属性字段授权,支持基于外部属性(LDAP或Radius下发属性值)授权,也支持多条授权策略组合。在用户授权粒度上,网络卫士VONE网关支持基于URL/目录/文件等访问内容控制策略,支持用户行为动作访问控制策略,支持基于访问时间控制策略,能够充足满足管理员多种用户授权需求。8) 完善PKI体系提升用户网络安全等级伴随VPN技术在政府、金融等高安全性要求领域应用不停深入,用户对VPN网络认证功效和其原有PKI体系进行无缝结合需求也越来越强烈。网络卫士多合一VPN产品全方面
20、支持标准PKI体系结构,既能够经过内置CA模块独立为移动用户签发数字证书,又能够经过导入CA根证书CRL列表方法对第三方CA签发证书进行认证,同时还能够经过OCSP/LDAP等标准协议向第三方CA提交在线证书认证请求。具体PKI功效包含: 支持标准X509.V3格式数字证书; 支持DER、PEM、PKCS12等多个证书编码格式; 支持经过内置CA模块为用户签发标准数字证书; 支持同时导入多个CA根证书和CRL列表,对不一样CA签发证书进行认证; 支持经过OCSP/LDAP等标准协议向第三方CA进行在线证书认证; 支持生成PKCS10格式证书请求,可生成证书请求,由第三方CA署名; 支持CRL列
21、表文件导入和经过HTTP自动下载。天融信和吉大正元、上海格尔、天威诚信、江南计算所等中国关键CA厂商有着长久合作,网络卫士VONE网关和这些厂商CA系统均能够无缝集成。9) 卓越网络及应用环境适应能力网络卫士VONE网关构建于强大TOS系统平台之上,天融信在网络和信息安全领域多年技术积累和庞大用户群为其提供了卓越网络及应用环境适应能力。其支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、H.323、MMS、RTSP、ORACLE SQL*NET、MS RPC等等,适用网络范围很广泛,充足确保了用户网络可用性。同时,针对中国用户动态I
22、P地址较多现实状况,网络卫士VPN网关整合了天融信企业独立维护EZVPN动态域名系统,为天融信VPN用户提供专用动态地址域名解析服务,从而很好地处理了动态地址VPN接入问题。10) 分级可信接入体系天融信VPN网关还可对可信接入安全性检验结果进行分级,不一样等级能够授予不一样权限,对不满足安全要求主机或终端,能够依据其缺点程度分别实施隔离、修复和限制访问。对于要求访问敏感信息服务器用户,假如没有达成较高安全等级,可只授予和其安全等级匹配一般权限。这么既能够预防不安全用户主机感染内部关键服务器,又能够保留其浏览企业一般Web服务器权限,实现桌面安全等级和访问资源安全等级相匹配和访问权限分级。11
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SSLVPN 解决 专项 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。