1 SSL VPN技术背景
Internet的高度开放性和松散管理结构使得企业面临的网络安全问题愈发尖锐,成了Internet作为商务网络必须跨越的重大障碍。为此,各种网络安全技术和产品应运而生,VPN及其相关技术经过多年的实践、发展和完善,凭借其方便、安全、标准化等优势脱颖而出,逐步成为实现企业网络跨地域安全互联的主要技术手段。
SSL VPN可以通过特殊的加密通讯协议,在Internet一端的出差员工和另一端的公司总部之间建立一条专有的通讯通道,就像架设了一条专线。与传统VPN解决方案相比较,SSL VPN使用维护简单,不用更改现有网络结构;移动性强,无须安装客户端程序;具有强有力的访问控制能力,可以使移动用户轻松访问公司内部B/S和C/S应用和其他核心资源。
与复杂的IPSec VPN相比,SSL VPN通过简单易用的方法实现信息远程连通。任何安装了浏览器的机器都可以使用SSL VPN,因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。
SSL VPN 的价值包括许多方面,最主要的是提高访问控制能力,安全易用以及高额的投资回报率。SSL VPN 对访问控制更加有效,因为实施了用户集中化管理;所有的远程访问都是通过SSL VPN 控制台进行控管,这样可以更加有效的监控用户使用权限,这些用户可能是公司内部员工,也可能是合作伙伴或者客户;所有访问被限制在应用层,而且可以将权限细分到一个URL 或一个文件。
下面举一个典型案例说明。
2 需求分析
XXXX公司有员工共有20000人左右,其中总部有员工4000人,内部有财务、KOA、E-mail、人力资源等应用服务器。总部下属有40个分公司,每个分公司有100-500人左右,都通过Internet和总部相连,各分部也有自己业务服务器。另外,长期在外出差的员工或者移动办公的用户约有1000-5000人左右。
当前的网络拓扑如下图所示:
应用系统的用户分布在网络的各个位置,接入方式各式各样,如ADSL 宽带、拨号、无线等。在保证应用系统稳定可靠运行的前提下,应用数据在服务器与用户终端之间的安全传输不可忽视,数据的私密性、完整性对于整个集团的核心业务信息十分重要。
同时,使用业务系统的用户角色各不相同,可能是派出机构办公人员,系统管理人员,XXXX公司领导,或XXXX公司相关财务人员等等。显然,不同的人访问ERP等业务系统应该具有不同的访问权限,系统需要为每一个人分配特定的角色,保证每一个登录的合法用户只能在系统规定的严格控制范围内行使自己的权利。角色划分得越细,带来的越权访问安全风险就越小。当然,可能由于系统设计、业务复杂、业务规范性不强等种种原因造成某些非法操作。此时,还需考虑对所有操作进行必要的安全审计,一方面提供追查事故原因的证据,另一方面也避免了用户的事后否认。所以需要对公司数据业务进行全面的管理,现有的网络系统和安全系统已不能满足要求。
通过对现有网络环境的分析,客户应用需求主要有以下几点:
(1)需要能够提供安全的通道,解决办事处人员的远程访问。
(2)需要有一种安全的机制能够保证分公司和总局的连通性。
(3)需要保证基于Web的业务系统正常、稳定运行。
(4)需要保证移动接入用户身份和接入点的安全性。
(5)需要尽最大可能保证用户当前的网络拓扑不被修改。
(6)需要安全系统必须提供详实的安全日志功能。
3 方案设计
RG-WALL V系列安全网关能够针对以上用户需求,很好地满足用户需要。
(1)能够提供安全的通道,解决移动用户的远程访问。
(2)有一种安全的机制能够保证分公司和总局的连通性。
(3)保证基于Web的业务系统正常、稳定运行。
(4)保证移动接入用户身份和接入点的安全性。
(5)尽最大可能保证用户当前的网络拓扑不被修改。
(6)TCP加速机制,让您的网络“近在咫尺”。
(7)安全系统必须提供详实的安全日志功能。
4 方案阐述
(1)设备部署
考虑到XXXX公司的实际应用需求,几十个分部的数据均会汇总到总部,而RG-WALL V1600E能够提供更高的并发连接和吞吐率,因此在公司总部部署两台RG-WALL V1600E,采用在线方式部署,做双机热备。在40个分公司各部署1台较低端的RG-WALL V160E设备,用于做分公司和总部之间的端到端连接。考虑分布的出口带宽一般不会超过10M,RG-WALL V160E已经能够满足带宽的需要。如果考虑网络后续的可扩展性要求,在经费允许的情况下,可以使用RG-WALL V160OS。
(2)应用搭建
在RG-WALL V1600E上配置端到端的通道及对移动用户的权限分配。在分公司低端的SSL VPN设备上配置相应的端到端通道和总部所在的RG-WALL V1600E相连。
在总部还需搭建一台CA中心,用于对用户证书的颁发。
(3)用户配置
设备一经部署,总部所有应用服务器的网关必须指向RG-WALL V1600E,而20个分部所有用户的电脑也需要将网关指向分部所部署的SSL VPN设备。对于40个办事处的用户,用户只需插入Ukey,登录总部所在SSL VPN地址,就能访问所需资源。
(4)用户使用
所有移动接入的用户,不管在任何地方,使用任何电脑,只要能接入Internet访问WEB,就可以通过WEB浏览器登录,然后一切使用方式照旧,延续使用者习惯。整个过程十分简单、方便,不需要使用者有多少网络知识,只要会上网就会使用SSL VPN,而且不受任何限制。当然,对于该访问者无权限的内容,是绝对访问不到的。
(5)网络维护
管理员一切维护工作都只需要在VPN设备端完成,管理集中,不需要跑来跑去;而且,任何新的配置及时生效,添加服务可在线进行,不影响正常使用。
(6)延伸应用
随着企业业务的发展以及全球化的市场、技术服务体系的建立,企业可根据具体需求,建立合作伙伴(渠道商、供应商)、客户需求交互资源库,以供其使用,以便于建立端到端的紧密联合体,既提高企业效率,又大大提升企业形象。RG-WALL V SSL VPN系统基于角色的资源访问控制的特点,决定了其完全可以让您放心的将企业内网部分资源有针对性的提供给合作伙伴以及最终用户。
(7)方案实施效果
依据此方案,在工程完成之后,总部和40个分部之间可以通过我们的SSL VPN设备来做端到端互联,分部用户访问总部不用做专门的认证,如同处于同一局域网内一样,且建立安全的SSL通道进行数据传递,保证了数据在Internet上传输的安全性,能够防止黑客对数据的监听和恶意篡改。对于40个分支机构,无需任何操作,就能轻松登录,安全访问资源。出差人员通过IE浏览器,使用用户名和密码即可访问总部或者分公司数据库。
【新品简介】:
RG-WALL V系列安全网关是集成了VPN、防火墙、入侵防御和流量控制技术的软硬件一体化专用安全设备。
RG-WALL V系列安全网关通过SSL协议,利用PKI的证书体系,在传输过程中使用DES、3DES、AES、RSA、MD5、SHA1等多种密码算法保证数据的机密性、完整性、不可否认性而完成秘密传输,实现在Internet上安全的进行信息交换。同时,采用IP Tunnel技术实现了对应用程序的完整支持。从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。对于网络维护人员而言,无需部署和维护客户端软件,极大降低了管理和维护VPN网络的工作量。
