JuniperSSLVPN远程安全接入解决方案.doc

《JuniperSSLVPN远程安全接入解决方案.doc》由会员分享，可在线阅读，更多相关《JuniperSSLVPN远程安全接入解决方案.doc（40页珍藏版）》请在咨信网上搜索。

JuniperSSLVPN远程安全接入解决方案 40 2020年5月29日 文档仅供参考 Juniper SSL VPN 远程安全接入解决方案 上海软盛信息技术有限公司 目 录 一、企业网络远程访问面临挑战 3 二、安全接入技术的选择 3 三、方案建议 4 3.1 系统特性 6 3.2 IVE系统对安全的控制 7 3.3 员工和合作伙伴轻松访问相应的应用和资源 8 3．3．1无需安装客户端的远程安全访问 9 3．3．5提高网络传输性能 10 3．3．6用户使用界面自定制 10 3.4 系统扩展性和高可用性 11 3．5全面的远程接入安全保护 11 3．5．4安全的数据传输 12 3．5．5坚固安全的系统平台 13 3．7部署和管理远程访问系统 13 3．7．1部署过程 13 3．7．2管理配置 14 3．7．3系统日志和维护 14 3．7．4管理员权限分配 15 四、总结 15 五、成功案例 15 5．1东方航空SSL VPN应用案例 15 5．2掌上灵通SSL VPN应用案例 18 一、企业网络远程访问面临挑战 随着互联网的发展和电子商务的普及,越来越多公司的员工已经不但仅是坐在办公室里处理日常事务,象出差员工、家庭办公等多种类型的远程访问公司内部资源和应用的需要变得十分的迫切。同时,这种网络连接的发生也为企业网络引入了新的安全威胁,可是当前的网络安全方案又是十分的昂贵和复杂。当前的企业极需要一种简单实用的解决方案,能够安全的实现远程员工、合作伙伴乃至客户对企业内部网络资源的访问,而又不会为企业网络带来新的安全风险。 二、安全接入技术的选择 随着信息技术的快速发展,为了提高服务的质量和水平、在市场竞争中取得优势,企业建立了内部局域网,使内部办公人员经过网络能够迅速地获取信息。然而,随着个人电脑和互联网应用技术的普及,”在家办公”、”异地办公”、”移动办公”等多种远程办公模式逐渐普及,同时合作伙伴的人员也希望能访问到相应的信息资源,企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求,为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。然而,要享受经过互联网访问企业内部的信息资源的便利,就需要实施适当的信息安全策略,在严格防止企业信息资源被非法窃取的同时,对合法的访问要提供方便,同时还需尽量降低信息安全策略的实施和维护成本。 企业经过Internet数据传输平台,实施加密的VPN实现安全接入的办法主要有两种:一种是IPsec VPN,另一种是SSL VPN。两种技术在不同领域各有其优势,我们建议:在实施固定的站点到站点的VPN和复杂应用的移动用户接入VPN时,采用IPsec技术;在实施普通应用的移动用户接入VPN时,采用SSL技术,原因是SSL无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低,而且由于SSL VPN不是打开一个网络层通道,而只是提供了联系应用层请求的固化网络接口,因此提高了与VPN相关的整个系统的安全性。SSL和IPsec技术的详细比较请参考<SSL vs. IPSec>一文。 在本方案中,我们建议根据具体的网络需求,灵活结合两种流行VPN。当然,因为当前的需求仅仅是总体建议,还需要针对更具体的网络情况进行调整。 三、方案建议 安全协议安全套接层(SSL)技术是一项在互联网上广泛实施的标准安全协议,全面支持认证和加密,所有标准web浏览器都支持SSL。基于贵公司的安全接入模式以移动办公用户远程访问为主,我们建议主要采用SSL VPN方案,对于一些特殊的应用和特殊的用户环境,辅助以IPSec VPN。 Juniper SA 系列的远程接入产品是广受好评的SSL VPN产品,采用的是Instant Virtual Extranet(IVE)的系统平台,客户只要有标准的web浏览器,无需进行任何部署或安装硬件、软件客户端设备,也无需对内部服务器进行任何修改,没有地址翻译穿越的影响,也不受私有地址冲突的影响,而且几乎不需要任何后期维护,因此能够方便地让用户安全地接入网络。 建议在贵公司实施的SSL VPN安全接入的网络拓扑示范图如下: 设备采用双层保护,防火墙实现基本DoS保护、策略过滤,以及IPSec VPN功能。SA设备则实现SSL VPN,进行应用层保护过滤和接入。 对于核心的基于WEB的应用,如内部邮件、办公应用系统等,Juniper SA产品提供全面的服务。包括ActiveX、Java、JavaScript、PHP等,支持的全面性、灵活性远远超过我们的竞争对手。 而且在安全策略上实施的是应用层面的安全策略,能够比IPsec更加细化;由于Juniper SA 系列的远程接入产品是坚固可靠的应用层网关,采用应用层面的安全策略后,内部的应用服务器能够得到有效保护,而不必将服务器的第4层端口完全暴露给外部;前端的防火墙上只需配置打开tcp SSL端口的策略即可。 除了对web和email等应用的支持外,Juniper SA对非web的许多客户端/服务器应用也提供很好的支持,因此采用Juniper SA系列的远程接入产品实施SSL VPN来实现远程接入被许多国际著名企业(如花旗银行、德意志银行)采用。对贵公司来说,最常见的应用包括Outlook等系列软件,Juniper IVE虽然将这些应用转化为SSL标准数据流,但并不影响这些应用,例如,文件依然能够下载到本地。对于绝大多数的C/S应用,例如Passive模式FTP、贵公司独立开发的TCP特殊应用、数据库远程连接等,Juniper SA是透明支持的。 对于许多常见的C/S应用,如Telnet/SSH和Citrix等,Juniper SA都已经将这些应用的支持固化在核心WEB应用当中,用户无需再定义可直接使用。 Juniper支持广泛的文件共享,Unix和Windows,而且支持中文共享。 对于特殊的应用,特别是那些需要更底层通讯功能的协议,Juniper SA还提供了Network Connect功能,相当于三层的通道,适用于几乎所有的IP层协议应用。例如Active模式的FTP,流媒体应用等。 中心点按照我们的建议已经放置了支持IPSec VPN的防火墙,能够建立到分支点出口防火墙的VPN,以及PC拨号Dialup VPN。 Juniper SA设备支持HA功能。配合流量负载设备,Juniper SA支持active-active的HA方式,不但能够实现备份功能,更能够扩大容量,实现流量分担。 同时,Juniper-SA 系列的远程接入产品能够强制对远程用户的安装防火墙及防病毒软件做出要求。Juniper IVE系统与当前市场上流行的个人防火墙、防病毒软件做最紧密的结合,如Sygate Enforcement API、Sygate Security Agent、Zone Labs: ZoneAlarm Pro and Zone Labs Integrity、McAfee Desktop Firewall、InfoExpress CyberGatekeeper Agent等,用户只需要用鼠标选择一些选项便可完成。而且用户还能够自行定义强制检查其它的运行程序或windows注册表项目。 Juniper SA 系列的远程接入产品获得的奖项包括<PC杂志>的 最佳网络奖,<网络世界>SSL VPN 网关评测中获得评分最高的世界级产品奖,和<网络计算>杂志的编辑选择奖。 IVE系统的设计和开发被安全保障公司和顾问TruSecure所审查和验证,TruSecure是世界级Internet互联安全保障解决方案的领先者,为Juniper IVE硬件系统发布了一个安全保障声明。Dan Farmer,令人尊重的安全顾问和SATAN(Secuirty Administrator Tool for Analyzing Networks)的作者,以及Cryptography Research,SSL 3.0的设计者之一,也对Juniper IVE系统进行了审查和验证。 3.1 系统特性 为了从根本上简化安全远程访问,Juniper的IVE系统按以下目标进行架构和设计: l 运行平台必须抵御针对安全、设备与系统软件集成方面的攻击。为了满足该目标,系统被固化,核心层对流量进行数据包级过滤。 l 运行平台必须抵御针对机密性和所有经过IVE系统的数据集成方面的攻击。为了满足该目标,系统使用SSL在本地文件系统上存储加密的信息。 l 系统必须能够经过简单的基于Web的管理控制台在几小时内进行实施。为了满足该目标,IVE系统进行大量的预先配制工作,管理员只需要进行少量的系统和网络配置就能够完成IVE系统的实施。 l 系统必须提供给客户与直接访问公司内部网相同的访问能力。为了满足该目标,系统使用Juniper代理引擎来透明地向远程用户发送资源。 l 系统必须具有可靠性和可扩展性,能够扩展到多个硬件系统。为了满足该目标,系统支持集群系统,集群中的多个系统提供故障恢复能力、性能扩展能力,而且支持主－备或双主动模式。 Juniper 的IVE系统能够支持广泛的企业应用,包括: 1、 基于Web的各项应用,包括浏览企业内网、访问基于web的outlook和iNotes; 2、 基于Microsoft Exchange和Lotus Notes邮件系统、以及其它基于IMAP4、POP3和SMTP的标准的邮件应用; 3、 对于文件服务器的文件及目录共享控制提供支持,方便用户上传、下传文件; 4、 Telnet/SSH; 5、 对大多数cient/server应用提供支持; 6、 网络全连接方式(即PC的全部流量都能够经过SSL VPN到达企业内网); 7、 个人防火墙/防病毒软件等强制性检查; 8、 对于来自非安全设备或临时访问设备(如网吧)的访问,强制cache清除。 Juniper IVE系统支持的接入安全控制的细化包括: 1、 动态认证策略:能够经过多种要素对用户身份进行认证,包括提供身份前检查和提供身份后检查,其中提供身份前检查的内容可包括:源地址、网络接口(内/外)、证书、节点安全(包括主机检查和缓存清除)、浏览器的user agent、登录的URL、SSL版本和加密级别;提供身份后检查的内容可包括:身份确定、证书特性、密码长度、同时登录用户数、目录服务密码; 2、 角色定义和策略匹配:管理员能够定义用户属于一个或多个角色,对不同角色提供不同的访问权限。对属于多个角色的用户能够一次性地给该用户多个角色的总和,也能够让用户选择采用某个角色进行应用访问; 3、 资源访问策略:对于不同的应用资源,管理员能够提供不同的访问策略,作为第三层的访问控制手段; Juniper IVE系统支持数字证书的使用,支持多种认证服务器(包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor认证,包括ActivCard ActivPack™、RSA SecurID®和Secure Computing SafeWord™ PremierAccess™以及X.509客户端数字证书),也可在设备上建立本地用户数据库,更支持LDAP/Active Directory的用户组的特性,方便管理员定义策略。另外,还支持一次登录访问多个需认证的应用的功能(基于cookie的认证),为远程安全接入用户提供方便。 3.2 IVE系统对安全的控制 1) 硬件平台和加固的操作系统 IVE系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统,该系统被设计成能够抵御针对系统的攻击和针对经过该系统数据的攻击。系统能够经过只运行完成关键任务的服务来防止攻击,这些关键的服务在开发时就进行了安全加固,确保系统的安全性。 IVE系统不运行一般的用户和程序服务,因此不会导致针对这些服务的攻击。IVE系统不允许管理员创立、维护系统级的用户帐号。因为没有交互式的Shell和打开的系统帐号,潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。 2) 流量监控和过滤 IVE使用核心级包过滤模块来监控系统所收到的包,并决定是接受或拒绝该流量。该特性使得系统使用预定义的控制网络流量规则组,在接受之前在不同阶段对流量进行验证。包过滤限制了流量从本系统到想要连接的系统。 3) 数据的完整性和机密性 IVE使用世界范围的Internet安全标准协议:Secure Sockets Layer (SSL)。SSL在Web浏览器和IVE系统之间提供一个安全的通道。SSL有效地阻止了人为的服务器欺骗和数据完整性的攻击,因为: 所有通讯采用128位密钥加密 系统经过证书进行认证 IVE也可选来支持客户端证书,它能够经过基于X.509的证书对用户进行鉴别。SSL对系统之间的交换数据的完整性和机密性的保护,确保任何未经授权访问的发生。 4) 用户鉴别和认证 IVE系统集成了领先的认证系统,包括双因子系统和客户端证书系统。经过一个合法的证书,用户能够发起一个会话。每个到系统的子请求根据该会话进行认证,系统对非法登录请求的频率进行限制,防止字典攻击。 如果用户信息是合法的,系统产生一个认证令牌。经过Web请求,该令牌被保存在一个加密的会话Cookie中。因为系统使用HTTPS和SSL对传送的数据进行加密,在这过程中会话不可能被劫取。 5) 审计 系统产生细化的日志,该日志存储在本地,系统也能够将这些信息发送到SYSLOG服务器。系统管理员能够经过用系统的日志管理器或外部的SYSLOG服务器审计的资源或应用程序对单一用户的访问采取一些操作。 6) 文件系统和I/O 所有存储在设备上的数据使用AES进行加密,只有Juniper的系统软件能够读取存储的加密数据。更进一步讲,用户和管理员不能替换任意的可执行文件,她们也无法拥有系统级的帐号,因此,黑客无法针对系统进行权限升级的攻击。系统本身的安全性远远高于我们的竞争对手。 3.3 员工和合作伙伴轻松访问相应的应用和资源 任何熟悉浏览器的用户无需任何特殊的培训就能够使用IVE系统。用户登录后就能够访问电子邮件、文件服务器和Web资源。认证和启用一个IVE会话之后,用户能够访问经过访问控制列表和基于组权限的资源。系统以安全方式存储了用户的认证信息使得用户无需登录多次,用户就能够使用浏览器、标准的电子邮件客户端、私有的信息应用程序或其它客户端访问所需要的资源。 1) 访问Web应用、Intranet Web站点、文件服务器和Telnet/SSH 为了访问文件和Web资源,用户能够连接到IVE系统经过以下方式来实现: a) 启动具有Internet连接的Web浏览器 b) 浏览网络管理员定义的安全的URL资源 c) 登录到系统 d) 浏览IVE主页上提供的资源,用户能够自己定制URL书签和文件服务器。 2) 使用IVE访问信息服务器和客户端－服务器应用 为了访问这些服务器,用户能够登录到IVE并启动会话,当用户被认证经过,IVE自动启动安全应用管理器(SAM),该管理器能够经过SSL作为网关连接内部应用。对于telnet和SSH,它能够用作终端仿真器。对于信息和客户端－服务器应用,它能够用作基于Java或Windows的应用代理,SAM在SSL中封装流量,客户端和内部服务器经过IVE系统建立安全的连接和通讯。IVE系统能够使远程用户在不安装任何客户端软件和修改任何配置的条件下,透过Internet提供对现有应用和服务器的安全访问。 3．3．1无需安装客户端的远程安全访问 Juniper的IVE远程安全访问系统,在无需安装客户端的前提下,利用系统已有的标准的WEB浏览器,经过浏览器支持的SSL安全协议,实现对企业内网的应用服务器的安全访问。访问过程中,重要数据在互联网上以SSL加密的形式传输。IVE系统经过以下三种方式帮助远程客户端实现对企业内部应用服务器的访问。 3．3．2核心WEB方式 核心方式(core access)的访问采用标准WEB方式,远程用户首先登陆到IVE系统当中,进行相关的安全机制检查和身份认证,经过认证和授权后,直接点击IVE系统主页上的相关预定义好的网络标签实现对内部服务器的访问。 核心方式的访问支持如下的应用: ü 安全的web应用访问:对基于web的内容和应用提供支持,也包括 HTML, Javascript, DHTML, VBScript, Java applets等。 ü 安全的文件共享访问:动态 Windows 和 Unix 文件 (CIFS/NFS)的web化 ü 基于标准的 E-mail 客户端访问(outlook web access) ü 安全的终端访问:对Telnet/SSH 主机 (VT100, VT320…)的访问 CORE方式主要适合于远程合作伙伴或者用户进行WEB访问之用。 3．3．3安全内容管理器 在安全内容管理器(SAM, secure application manager) 方式中,远程用户首先登陆到IVE系统当中,进行相关的安全机制检查和身份认证,经过认证和授权后,远程系统会自动加载一个小插件,这个插件能够将指定的网络访问进行重新的定向和SSL封装,将请求传给SA系统,由IVE系统对请求进行解析,而且对企业内部的应用服务器进行访问请求。SAM模式能够保证现有的客户化应用不受改变。 采用SAM的方式能够支持如下的应用: ü 访问客户端/服务器应用, 包括native messaging clients(Microsoft Outlook and IBM/Lotus Notes) ü 其它的基于固定服务端口,较为简单的应用 SAM方式主要适合于远程合作伙伴或者用户进行C/S架构的相关访问之用。 3．3．4网络层连接(network connect) 在网络层连接(network connect)方式中,远程用户首先登陆到IVE系统当中,进行相关的安全机制检查和身份认证,经过认证和授权后,远程系统会自动加载一个小插件,这个插件能够从IVE系统中自动的获得一个内部网络的IP地址,从而实现对内部网络资源的访问,该种访问方式与IPSec类似。 采用NC的方式能够支持几乎全部的网络应用,包括相对复杂的视频会议、IP电话等等。 一般来说这种方式的访问适合于网络管理员进行远程管理用。 3．3．5提高网络传输性能 远程访问的速度问题,一直是VPN系统需要解决的问题之一,与IPSec的VPN解决方案方便,Juniper IVE系统提供了更高的网络传输性能,采用的技术手段包括: ü 利用预协商好的GZIP压缩机制来在对应用部分的流量在加密之前首先进行压缩处理,只对应用层的数据进行加密,不进行协议的再次封装,从而减少互联网上传送的流量, 提高了网络传输的性能。 ü 提供隧道分割(Split Tunneling)能力,如果使用了NC或者SAM方式,系统经过设置能够完成只允许流向LAN的流量经过VPN连接器进行传输。而去其它地方(如其它的互联网访问)的流量将经过客户端原有的网关之间访问。 3．3．6用户使用界面自定制 管理员能够自由调整用户登陆IVE系统的标识与详细界面的外观,比如能够修改LOGO,界面的颜色等等,这样能够更好地匹配公司的风格。同时管理员能够对不同的用户组实现不同的登陆界面和URL。 3.4 系统扩展性和高可用性 在选择产品型号时,考虑的因素包括并发用户数、网络的应用的复杂程度和实际流量,其中并发用户数是一个最主要的指标。由于Juniper IVE系统无需客户端,因此无需考虑客户端软件的费用。 高可用性方面,能够经过两台NS-SA设备实现状态保持下的主/备切换,也可经过第三方的负载均衡器来实现双主动。 {0> <}0{>高可用性解决方案实现故障切换和最佳性能,系统对端能够同步:<0} • {0> <}0{>系统状态<0} • {0> <}0{>用户档案状态<0} • {0> <}0{>会话状态<0} • {0> <}0{>群集对<0} • {0><}0{>多站点群集对<0} • {0><}0{>LAN上的主动/主动配置选项<0} • {0><}84{>WAN上的主动/被动配置选项 3．5全面的远程接入安全保护 Juniper 的远程接入解决方案提供全方位的安全保护,从客户端的接入,到数据在互联网上的传输,再到IVE接入平台,到对后台服务器的资源防护控制等各个方面,都提供了相应的安全机制。 3．5．1节点安全机制检查 随着远程用户的接入,对于网络管理员来说,相当于将企业的办公网络进行了延伸,如何将企业原有的安全保护措施和安全策略对于新接入的主机也同样有效,Juniper的IVE系统提供全面的解决方案,能够对接入节点的安全策略进行检查,而且根据检查的结果,实施相应的访问控制。而且允许管理员对以下的选项进行定制。 ü 和第三方节点安全解决方案整合,如InfoExpress,McAfee,Sygate,Zone Labs等 ü 注册表参数检查 ü 开放/不允许的 ports检查 ü 允许/不允许的进程检查 ü 允许/不允许的文件检查 ü 检查定制的dlls ü 对第三方软件实施心跳检查 ü 应用认证检查 (进程, 文件 MD5 Hash) ü 与赛们铁可的恶意软件防护功能相结合,提供了客户端对恶意软件访问的支持 3．5．2访问缓存清除代理 如果远程用户使用了不可信任的远程主机,对企业的内部网络进行了访问,浏览器的缓存中将会保留一部分访问的数据,很容易造成敏感信息的意外泄漏,Juniper的IVE系统为此提供了缓存清除的功能,用户在登陆内部网络的时候,自动在本地加载一个缓存清除代理,在用户正常注销或者非正常退出的情况下,清除系统的该次访问留下的会话数据和临时文件。保证了敏感信息不会保留在客户端主机上。 3．5．3对登陆用户的身份验证 IVE系统支持数字证书的使用,能够单独的利用客户端的数字证书对用户身份进行验证,从而避免了输入用户名/密码的麻烦。同时,IVE系统还支持多种认证服务器(包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor认证,包括ActivCard ActivPack™、RSA SecurID®和Secure Computing SafeWord™ PremierAccess™以及X.509客户端数字证书),也可在设备上建立本地用户数据库,更支持LDAP/Active Directory的用户组的特性,方便管理员定义策略。 3．5．4安全的数据传输 远程访问的用户的数据在不可信任的互联网上传输的时候,采用了SSL加密的技术,保证了信息不会因为被侦听,窃取而造成重要信息的泄露。SSL 传输能够设定相关的加密的强度,为了安全需要,能够采用高强度的加密传输,数据的加密采用对称密钥的方式,系统缺省2分钟协商一次密钥信息,保证了恶意的攻击者无法得到准确的密钥。 如果用户提交的认证信息正确,系统将会发放一个授权的标记(TOKEN),在WEB请求当中,这个标记保存在一个加密的回话COOKIE当中,这种做法保证了系统不会受到冒认者的攻击。因为一个攻击者需要来伪造一个会话的标记(TOKEN)才能达到冒认的效果,而这又是很难实现的, 同时在互联网上传输的数据包,其目的地址都是对于与IVE平台的公网地址,也不会泄露网络内部服务器的网络拓扑。 3．5．5坚固安全的系统平台 IVE系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统,该系统被设计成能够抵御针对系统的攻击和针对经过该系统数据的攻击。系统能够经过只运行完成关键任务的服务来防止攻击,这些关键的服务在开发时就进行了安全加固,确保系统的安全性。 IVE系统不运行一般的用户和程序服务,因此不会导致针对这些服务的攻击。IVE系统不允许管理员创立、维护系统级的用户帐号。因为没有交互式的Shell和打开的系统帐号,潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。 IVE系统内部采用了内核级别的包过滤机制,利用预定义的一些规则,对进入系统的数据包进行判断和检查,保证了只有合法的数据包才能够进入或者经过IVE系统。 IVE系统上的所有信息都采用了AES的加密处理,保证了及时设备被进入或者被偷走,恶意的攻击者都无法看到系统中的相关信息。 Juniper IVE 平台的设计和开发过程经过多个安全专业保障公司和专家的审查和验证,TrueSecure,世界领先的针对互联网连接安全提供保证方案的组织,为Juniper IVE平台进行了验证,而且提供了相关的报告,Juniper IVE也是SSL VPN同类产品中唯一经过TrueSecure验证的产品,另外,Dan Farmer(SATAN的作者,一位受人尊重的安全专家)和Cryptography Research(SSL 3.0的合作设计者)也对IVE系统进行了审计和验证 3．7部署和管理远程访问系统 3．7．1部署过程 一般的基于客户端的VPN解决方案,在部署的时候,无论是VPN服务器,还是数量众多的客户端,都需要花费大量的资金,而且在系统的管理和维护上也需要IT部门大量的时间。而部署Juniper远程访问系统则很简单,只需要进行下面几个步骤: 1． 安装而且启动远程访问系统; 2． 将远程访问系统接入INTERNET ,而且进行简单的网络设置和用户访问控制设置,如接口的IP地址、用户的认证授权服务器等; 3． 告诉你的员工、客户和合作伙伴你已经能够提供这项服务,告诉她们一个URL地址,经过这个地址能够远程访问内部的资源。 3．7．2管理配置 系统的管理采用WEB的方式,简单易用,你能够采用标准的WEB浏览器来访问和管理配置该设备。IVE的管理和配置能够分为如下几个功能模块: 1． 系统管理器 显示当前系统资源使用状况,允许你远程重启或者关掉系统,同时也支持许可证的安装,系统升级管理和NTP时间同步管理等。 2． 配置管理器 支持系统配置的导入/导出,你能够将系统恢复到以前的某个配置,也能够将配置导入另外的系统当中。 3． 用户(组)管理器 管理员能够浏览和管理IVE系统中的用户(组),修改相关的用户的连接属性和IP访问规则,同时也支持对基于用户(组)的网络标签(Bookmark)的设置。 4． 访问控制管理器 管理员能够集中的管理每个用户组的访问权限,能够定义用户允许或者不允许访问指定服务器上的网络资源,访问控制策略能够细化到文件共享和URL以及子目录级别。 5． 日志管理器 管理员能够登陆到IVE服务器,实时的浏览日志,也能够经过设置SYSLOG日志服务器的方式,自动的接收日志。 6． 用户界面定制管理器 管理员能够定制系统的用户界面,能够加入企业的LOGO,颜色配置等等。 7． 证书管理 简化WEB服务器证书和客户端证书的管理。 3．7．3系统日志和维护 IVE系统能够生成详细的日志信息,这些日志信息能够在本地保存,也能够传送给相应的SYSLOG服务器,由于SSL信道和认证子模块能够对客户端和服务器终端进行检查,而且记录下相关的信息,我们能够用这些日志进行审计。管理员经过IVE系统的日志管理器或者SYSLOG日志服务器,能够判断什么用户在指定的系统或者资源上做了什么访问。同时能够利用日志管理器提供的过滤搜索功能,方便的查找出你想得到的信息。 同时,IVE系统内部也提供了多种维护和调试的工具,如系统的状态显示、PING/TRACEROUTE/TCPDUMP等工具等。 3．7．4管理员权限分配 IVE系统对不同的管理员用户进行策略的匹配和相关的权限的分配,确定管理员角色的因素包括用户名、用户属性、客户端IP地址、客户端证书、证书属性、节点安全状况、浏览器等等;管理员从权限上也能够划分为超级用户、只读用户等多种,同时针对特定的用户组,也能够设定改组的管理员用户,能够对仅限于改组的用户信息进行维护,包括增加用户、删除用户等等。 四、总结 采用Juniper 基于IVE 系统的远程安全接入产品避免了复杂的客户端软件的安装、配置和维护,实施的是基于应用和资源访问权限的细化的应用访问策略,内网的服务器受Juniper IVE系统的保护而不直接暴露给用户,既提高了安全性,又降低了总体拥有成本。 五、成功案例 5．1东方航空SSL VPN应用案例 中国东方航空集团公司是中国三大国有大型骨干航空企业集团之一,于 在原东方航空集团的基础上,兼并中国西北航空公司,联合云南航空公司重组而成。 　　集团总部位于中国经济最活跃、最发达的城市――上海,拥有贯通中国东西部,连接亚洲、欧洲、澳洲和美洲的庞大航线网络。中国东方航空股份有限公司自成立以来在业界获得过许多荣誉,其品牌在海内享有广泛声誉,创造过全国民航服务质量评比唯一”五连冠”纪录,还荣获国际航空业界的”五星钻石奖”。 　　在航空运输主营业务方面,集团正全面实施”中枢网络运营”战略,一个以上海为中心、依托长三角、连接全球市场、客货并重的庞大航空网络正在快速形成中。同时,集团全力构建、完善高效的”统一运营管理模式”,逐步建立起与世界水平接近的飞行安全技术、空中和地面服务、机务维修、市场营销、运行控制等支柱性业务体系。 　　多元化拓展是集团战略重要的一环,航空进出口、金融服务、航空食品、旅游票务、房产物业、通用航空、机械制造、广告传媒等辅业板块已经初步建立,多元化拓展已形成全新格局。 1) 需求分析: 随着公司业务的增加,个人电脑和互联网应用技术的普及,”分公司人员”、”出差员工”、”在家办公”、”异地办公”、”移动办公”等多种远程办公模式的需求日益增加,同时合作伙伴的人员也希望能访问到相应的信息资源,企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求,需要为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息。 公司内部具有复杂的ERP应用系统,包括:物流、内部网站、票物系统、内部邮件等。公司原来部署了IPSEC VPN来满足加油站、外部合作单位的业务需求。这种方式有以下缺点: 1) 不易维护和扩展——需要在每个客户端安装vpn 客户端软件,不易部署。 2) 总部网络存在安全风险——由于 ipsec vpn方式没有很好的权限管理策略,因此下属网点与总部间的网络通道可能成为病毒和黑客攻击公司总部的跳板。 3) 高昂的成本——由于需要在每个分支机构部署VPN网关,对于售票点这样级别的客户来说,量非常大且不易维护。 2) 技术要求 针对东方航空公司的网络状况和应用现状,其主要的技术要求如下: 4) 方便的无客户端安装的远程访问; 5) 数据在不可信任互联网上的加密传输; 6) 细粒度的访问控制策略; 7) 与PKI系统无缝的身份认证的结合。 8) 替换现有的繁琐的IPSEC VPN连接方式,使用更为简便使用及维护的方法来进行VPN接入 3) 软盛提供的解决方案 针对东方航空公司的需求及技术要求,软盛推荐采用Juniper公司的SA6000系统实现安全的远程访问。 任何能够熟练使用WEB浏览器的用户,都能够很方便的使用远程访问系统。用户经过WEB浏览器登陆Juniper提供的SA服务器的主页,身份认证结束后,就能够访问内部网络的资源,用户能够经过WEB浏览器,标准的EMAIL客户端以及其它的一些客户端程序,方便的实现远程资源访问或者远程办公。 4) 软盛提供的部属与实施方案 软盛将Juniper的SA6000远程访问系统安装在用户网络的服务器区。在企业的出口防火墙上,为SA设备映射一个合法可路由的IP地址,以便互联网的用户能够正常的连接到IVE设备上,同时在防火墙上也需要添加相应的安全策略,远程用户只能访问SA设备的443端口(HTTPS连接),对SA设备和内部服务器进行保护。 具体的拓扑图如下: 5) 软盛提供的售后技术服务 — 硬件设备的部署及功能配置: 服务描述:对项目所设计的硬件设备在网络中的接入进行规划并进行部署及配置,包括 内部门人员上网的策略制定、服务器保护的策略配置、外部移用用户访问与底下核心交换机的联动等。 — 应急响应上门服务 服务描述:对用户发生的紧急安全事件提供规定时间内的服务方式: 包括对问题事件 的判别、异常访问的控制、处理报告记录等。 — 电话及邮件支持服务 服务描述:当出现一些不是非常严重的故障,能够直接经过电话或者电子邮件寻求我们 工程师的支持。如有必要,我们也能够经过自己的网络系统或者拨号上网与客户的网络系统 进行连接,远程对客户系统所出现的故障进行诊断、分析。 6) 投资回报分析与客户评价 Juniper的SA远程安全访问解决方案从根本上解决了东方航空公司办公网络的远程访问问题,能够为山东网通的远程员工、合作伙伴提供对企业内网资源的安全远程访问。同时它又消除了由于远程用户的客户端软件的维护工作等带来的诸多不便。 ² 降低总拥有成本, 提高投资回报——采用Juniper ssl vpn后,总公司部署了一台SA-6000,每个售票点申请一条adsl,而且速度大大提高,加快了售票点的业务流程。 ² 网络安全得到保障——所有的数据传输都是基于ssl加密,而且Juniper具有主机检查和缓存清除功能,因此无论是客户端、服务器还是传输过程都是保证了安全。 ² 简化维护流程——所有的策略都在总公司的SA-6000上面部署,客户端无需安装任何软件,只要有标准的浏览器即可。并可实现复杂的动态安全策略。 上海东方航空公司的采购中心刘经理感言:经过软盛公司提供的Juniper SA6000远程访问解决方案,我们能够轻松的,随时随地的实现了企业局域网的接入,大大提高了对于紧急事件的响应速度,提高了工作的效率。 5．2掌上灵通SSL VPN应用案例 掌上灵通是中国最大的无线增值服务供应商之一。公司1999 年成立于上海, 3月在美国纳斯达克成功上市:NASDAQ: LTON,成为全球第一个在NASDAQ 上市的无线增值业务服务商。 掌上灵通的总部在上海,是为中国手机用户提供增值服务(如媒体、娱乐及联系等)的最大供应商。经过与中国移动和中国联通的紧密合作,掌上灵通为世界最大的无线手机市场---中国的手机用户提供了多种服务和大量的内容,其中包括彩铃、图像、屏保、互动短信、游戏及信息服务等。公司为中国手机用户发展、集合并分配了这些产品,并利用内部的发展团队联合了国际著名内容提供商如卡通网、星空卫视、索尼唱片等等。 掌上灵通在全国多个省市设有分公司和办事处,其中在上海的总部和在北京的分公司均设有两百人以上的团队。公司提供规范、严谨的工作环境和有竞争力的薪酬福利。 11月,掌上灵通公司获得由<财富>杂志中文版与华信惠悦(Watson Wyatt Worldwide)联合评选的” 最佳雇主”的称号。 当前公司在全国有700人左右员工,其中有300人左右销售人员分布在全国各地,为了便于销售人员在外地使用公司lotus notes和erp系统,决定实施SSL VPN 项目。 1) 业务问题与障碍 掌上灵通作为一家服务提供企业,其网络的安全性和稳定性是非常重要的,必须经过有效的网络安全保护措施,保证其内部网络的机密性、完整性和可用性。保证其重要应用和主机的安全,稳定运行。 掌上灵通的网