|
| |
|
|
| |
|
成功案例
|
| 北京数码星辰的VPN(远程安全接入)解决方案 |
|
|
| |
北京数码星辰的VPN(远程安全接入)解决方案
许多政府机构、部门和企业都需要为自己合作伙伴、出差的员工提供安全的远程接入服务,使他们可以安全地访问内部网网页服务器、数据库或其他的内部信息和网络应用。北京数码星辰为用户的远程接入提供了一种最新的安全、可靠、高效和非常方便的VPN解决方案。
最新的VPN技术是一种采用身份认证和加密隧道等先进技术,在公众网络(或互联网)上构建自己专用网络的技术,数据通过安全的"加密隧道"在公众网络中传播。VPN技术既保证了用户信息传输的安全性和保密性又避免了租用一条专线的昂贵费用。
当今世界全球化的进程越来越快,这使得分布在世界各地的企业各分支机构、合作伙伴和客户之间的联系越来越紧密。因此安全的远程接入企业内部网络成为企业亟待解决的问题。
随着网络的发展,远程接入也经历了租用专线,IPSec VPN,SSL VPN三个阶段。
1. 通过租用专线的方式实现点到点之间的远程接入无疑是一种迅速、安全且可靠的通信手段,但其成本过高,灵活行较差,而且对于内部网络的安全访问控制有限。这种远程接入对于现在的大多数企业来说不太适用。
2. IPSec VPN通过在Internet上建立“隧道”,为公司的防火墙或者网关外的使用者提供远程接入到企业内部资源的链接,但是“隧道”两端的使用者只能够使用同一厂商的设备。这就限制了企业通过IPSec VPN与合作伙伴或者是客户之间建立企业Extranet的应用。除此之外IPSec VPN还有其他的一些不足:
Ø 分发和管理客户端软件将是一件非常麻烦和费时的事情。而且如果使用者的网络环境发生了变化,那将需要对原有的客户端配置进行修改,对于企业的IT部门来说将带来很多的烦恼。
Ø IPSec VPN两端的全部网络是彼此可见的。这样就算企业自身内部网络没有问题,但当合作伙伴或者客户端的网络不安全,通过IPSec远程接入同样会使企业内部网络受到来自隧道另一端的威胁。
Ø 有许多内部网络使用NAT,当非专业的IPSec使用者如果不寻找公司技术人员的支持,不更改一些配置常常不能建立远程接入。而且IPSec需要在防火墙上开放多个端口,而在其他公司的防火墙上一般是不开放这些非标准的端口的,因为那样会增加企业网络的安全风险。
3. 在这种情况下SSL VPN技术浮出了水面,SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的,SSL VPN继承了IPSec VPN的远程使用与内网使用一致、与应用无关的优点,避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题。从功能上可以提供C/S应用和B/S应用访问,并非只能解决web应用。
那SSL VPN到底是怎样的呢?
SSL VPN通过SSL协议,利用PKI的证书体系,在传输过程中使用DES、3DES、AES、RSA、MD5、SHA1等多种密码算法保证数据的机密性、完整性、不可否认性而完成秘密传输,实现在Internet上安全的进行信息交换。因为SSL VPN具备很强的灵活性,因而广受欢迎,如今所有浏览器都内建有SSL功能。它正成为企业应用、无线接入设备、Web服务以及安全接入管理的关键协议。SSL协议层包含两类子协议——SSL握手协议和SSL记录协议。它们共同为应用访问连接提供认证、加密和防篡改功能。SSL能在TCP/IP和应用层间无缝实现Internet协议栈处理,而不对其他协议层产生任何影响。
SSL安全功能组件包括三部分:认证,服务器对客户端进行验证同时对服务器和客户端进行验证;加密,对通信进行加密,只有经过加密的双方才能交换信息并相互识别;完整性检验,进行信息内容检测,防止被篡改。保证通信进程安全的一个关键步骤是对通信双方进行认证,SSL握手子协议负责这一进程处理:客户端向服务器提交有效证书,服务器采用公共密钥算法对证书信息进行检验,以确认终端用户的合法性。
SSL VPN控制功能强大,能方便公司实现更多远程用户在不同地点远程接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术,主要看重的是其接入控制功能。SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。SSL VPN能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源,也就是说它具备可控功能。另外,SSL VPN还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。
SSL VPN基本上不受接入位置限制,可以从众多Internet接入设备、任何远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输,因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他公司网络中基于代理的防火墙之后,或是宽带连接中。随着远程接入需求的不断增长,SSL VPN是实现任意位置的远程安全接入的理想选择。
中国普天南京南方电讯有限公司正是针对当前用户远程接入的需求,自主研发了VX安全访问系统,其核心正是基于SSL VPN技术。该产品不但具有SSL VPN上述的种种优点,能够实现所有IPSec及SSL VPN所能实现的所有功能,并且可以做到不需要静态公共IP地址就可以进行应用的发布,免除了部署VPN而租用昂贵公共固定IP地址的费用。VX安全访问系统可以做到在防火墙上对外不开放任何TCP端口,阻断了黑客程序和蠕虫病毒的入侵通道。结合VX安全访问系统独特的构架还可以提高网络的访问速度。该系统独有的应用系统整合功能,使用户远程接入系统后在一个页面中就可以看到和启动自己的权限范围内所能使用的应用。VX安全访问系统能够细化每个用户的访问权限,实现不同用户拥有不同权限的应用,而且VX安全访问系统能够做到同时要求使用USBkey和用户名/密码方式的双因子认证,提高访问系统的安全强度。VX安全访问系统不用另外添加负载均衡设备,自身就支持负载均衡和N+1冗余备份。正是基于这些特点,普天天衣VX安全访问系统成为国内远程安全接入VPN市场的一匹黑马。
• 广泛的SSL VPN设备和特性,可提供定制解决方案,以满足各种规模公司的远程接入要求。
• 独特的安全功能,为从最终用户设备到内部服务器的各种产品提供端到端的保护。
• SSL VPN市场公认的领导者,2005年市场份额占有率高达近40%。
• 为服务提供商提供高可用性和可升级性。
Juniper 网络公司提供全面的SSL VPN产品,在市场上处于领导地位。Juniper 的Secure Access 产品拥有各种机型和特性,可以满足各种规模公司的远程接入需求,包括从中小企业所需的远程/移动员工的接入访问,到大型,跨国企业所需的员工与外联网在统一平台上的接入访问。 Juniper网络公司SSL VPN基于即时虚拟外联网(IVE)平台而构建,该平台使用任何标准Web浏览器都支持的SSL安全协议。使用SSL使客户无需部署客户端软件、无需更改内部服务器,也无需提供成本高昂的长期维护服务和桌面系统支持。与传统的IPSec客户端解决方案相比,Juniper网络公司SSL VPN安全接入产品可提供更低的总拥有成本和独特的端到端安全特性。增强的接入方式使企业可以根据需要,安心的提供适当的访问权限。
SSL 的英文全称是 “Secure Sockets Layer” ,中文名为 “ 安全套接层协议层 ” ,它是网景( Netscape )公司提出的基于 WEB 应用的安全协议。 SSL 协议指定了一种在应用程序协议(如 HTTP 、 Telenet 、 NMTP 和 FTP 等)和 TCP/IP 协议之间提供数据安全性分层的机制,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
VPN SSL 50 设备网关适合应用于中小企业规模,满足其企业移动用户、分支机构、供应商、合作伙伴等企业资源(如基于 Web 的应用、企业邮件系统、文件服务器、 C/S 应用系统等)安全接入服务。企业利用自身的网络平台,创建一个增强安全性的企业私有网络。 SSL VPN 客户端的应用是基于标准 Web 浏览器内置的加密套件与服务器协议出相应的加密方法,即经过授权用户只要能上网就能够通过浏览器接入服务器建立 SSL 安全隧道。
SSL VPN 利用三种客户端接入方式来协助用户在任何地方任何时间安全第访问公司的任何资源:
◇ 远程桌面共享
◇ Web Browser 基于浏览器的接入 ( 可以访问 Web 应用程序和文件共享 )
◇ 即时下载的 Java 小应用程序 ( 可访问客户 / 服务器应用程序 )
应用领域:
SSL VPN 提供下述情况的解决方案:企业需要通过互联网(笔记本型计算机、移动个人计算机、远程用户接入)达到广泛而全面性的信息存取。 SSL VPN 能满足所有你的远程接入需要。 SSL VPN 技术为你提供增强的灵活性,以便更好地配合你公司的安全性和基础结构需要,同时给你的用户一个统一的、容易的界面和一个简化的用户经验。 SSL VPN0 还提供了高可用性,它具有可靠的冗余能力,排除了单点故障的可能性,减少系统停机时间,另外它还具有负载均衡的能力,提高系统的整体性能。
产品优势:
◇ 安全性: 客户对资源的每一次操作都需要经过安全的身份验证和加密,确保点到点的真正安全。因为是直接开启应用系统,并没在网络层上连接,攻击机会相对就减少。 SSL VPN 还保护不同协议间的通信,增强安全性。
◇ 经济性: 使用 SSL VPN 只需要在总部放置一台硬件设备,就可以实现所有用户的远程安全访问快速地接入服务。
◇ 可扩展性: SSL VPN 一般部署在内网中任一节点处即可,可以随时根据需要,添加需要 VPN 保护的服务器,因此无需影响原有网络结构。
◇ 访问控制: 如 SSL VPN 可以根据用户的不同身份,给予不同的访问权限,还可以对访问人员的每个操作进行数字签名,保证每笔数据的不可否认性,为事后追踪提供了依据。
◇ 部署与管理成本: SSL VPN 避开了部署及管理必要客户软件的复杂性和人力需求。
◇YHXT SSL 50 支持并发 25 个用户数
————————————————————
◇ 特性与优点
————————————————————
◆ 安全性
◇ 支持广泛的身份认证方式:
LDAP, RADIUS, Windows NT Domain, Active Directory, UNIX NIS, 双因子鉴别(包括 ActivCard 与 ActivPack )等
◇ 集成管理,支持 URL, 文件 , 和服务器分级授权
◇ 仅以一个 TCP 端口接受通信流量,以确保网络安全;
◇ 管理员可配置会话通讯期限;
◇ 利用以太网 NIC 实现内外网隔离提高安全性
◆ 应用支持
◇ Web 协议: HTML 、 Java 小应用程序、 Java 描述语言、 HTTP/HTTPS 、 DHTML 、 VB 描述语言等
◇ 文件分享协议: Windows/CIFS 和 UNIX/NFS
◇ 本地客户 / 服务器信息应用程序: MS 交换( MAPI )和 IBM/Lotus 系列软件
◇ 基于标准的 email 协议: SMTP, POP, IMAP
◇ 安全终端模拟协议:远程登录和 SSH ( VT100, VT320 和派生系列)
◇ 通过 CYLAN 技术,与多数领先技术的产品兼容互用
◆ 可管理性
◇ 配置和进行中支持
无需客户安装、配置或设置软件
无需更改网络的资源配置
无需更改网络地址结构
不存在客户操作系统兼容性问题
◇ 与现有的结构兼容
故障恢复和最优化性能的高效解决方案。
◇ 状态监视
SNMP (简单网络管理协议)支持
◇ 审计报告
支持用户事件、应用程序、时间和事件的审核报告
◇ 远程支持和调试的记录器 —————————————————————
◇ 技术指标:
—————————————————————
◆CYLAN SSL – 50
◇ 尺寸规格: 17.72” W x 1.74” H x 19” D
(45.00cmW x 4.41cmH x 48.26cmD)
◇ 重量: 8.3916KG 标准的
—————————————————————
◆ 面板显示
◇ 电源 LED
—————————————————————
◆ 网络
◇ 三个 RJ-45 以太网
—————————————————————
◆ 控制台
◇ 1 个 RJ45 管理端口
—————————————————————
◆ 电源
◇ 输入电压和电流 90 -264VAC 全范围
◇ 115V AC 下, 6A ( RMS )
◇ 230V AC 下, 3A ( RMS )
◇ 输入频率: 47 – 63Hz
◇ 电源: 25°C 下,平均故障间隔时间为 100,000 小时
—————————————————————
◆ 适应环境
◇ 工作温度范围: 5C ~ 30C ( 41F ~ 86F )
◇ 工作温度(短期): 0C ~ 50C ( 32F ~ 122F )
◇ 不工作温度: -30C ~ 60C ( -22F ~ 140F )
—————————————————————
◆ 安全与污染排放认证
◇ 安全: CB 至 IEC 60950: 1999 第 3 版
◇ 污染排放: FCC 之 B 类 , VCCI 之 B 类 , CE 之 B 类
◇ 保修期:一年
产品特点
 方案完善
神獒SSL VPN针对B/S和C/S应用模式而设计,全面解决基于TCP和UDP协议的网络应用的远程安全访问,是当前基于SSL的最新的安全综合解决方案。
 应用简捷
神獒SSL VPN安装简单、易于操作,无需安装管理端和客户端软件,只需启动浏览器,可以快速配置和应用;不改变原有应用的网络结构和应用模式,适合各种复杂网络环境。
 功能全面
神獒SSL VPN具有认证加密、访问控制、安全信息备份、硬件加速和DDOS攻击等多种安全功能。
 安全性高
神獒SSL VPN采用先进成熟的SSL、CA等安全技术,使用加固的安全系统平台和IDS技术,通过严格的应用测试,具有较好的安全性和稳定性。
 高速稳定
神獒SSL VPN采用高级线程技术和Cache技术,优化了密码处理模块,支持SSL硬件加速,保证了系统的高性能;采用企业JVM平台,确保系统不间断运行;
 通用性强
神獒SSL VPN采用基于Java的实现技术,具有很好的可移植性,支持Windows、Linux和Unix等多种操作系统平台,系统的通用性强。
 扩展性好
神獒SSL VPN同时支持多个后端Web应用,支持第三方标准数字证书和多种硬件数字令牌,具有很好的可扩展性。
主要功能
 快速部署,易于使用,无需安装客户端程序
 支持基于TCP/UDP协议的C/S和B/S应用;
 支持基于数字证书的强身份鉴别;
 提供基于SSL协议的安全传输通道;
 提供基于URL的访问控制机制;
 支持第三方CA认证;
 支持SSL硬件加速处理;
 提供基于加固系统平台和IDS技术的安全功能;
 提供基于角色的访问控制;
 提供针对应用服务的安全保护和管理。
组网方式
|
|
|
|
推荐厂商 
