SSL VPN 应用技术技术方案Word下载.docx

SSL VPN 应用技术技术方案Word下载.docx

《SSL VPN 应用技术技术方案Word下载.docx》由会员分享，可在线阅读，更多相关《SSL VPN 应用技术技术方案Word下载.docx（24页珍藏版）》请在冰豆网上搜索。

我们通过以下工作流程与拓朴图可简易了解SSLVPN实际运作状况。

SSLVPN工作流程与拓朴图：

1.远程用户通过SSL/HTTPS，联机至SSLVPN路由器；

2.SSLVPN路由器收到远程用户联机要求后，即开启登入页面，请该用户输入用户名/口令；

3.远程用户输入用户名/口令后，将数据送至后方身份认证服务器，验证该用户身份；

4.身分认证服务器验证远程用户身份后，通知SSLVPN路由器，允许该用户登入；

5.远程用户通过认证后，SSLVPN路由器依据权限政策，开放相关应用服务让该用户存取；

6.远程用户现在可以浏览登入后的网页，并点选可存取的应用服务连结。

注：

若外部配置有防火墙，需开启PORT443，允许SSL/HTTPS联机通过。

二、企业SSL导入评估

通过SSLVPN远程接入办公，可拥有良好的机动性与使用弹性，不需受限于网络联机设备配置，企业外部人员可通过如网吧非自有电脑、或其它连线设备如：

PDA、GPRS手机等，只要能读取网页即可存取企业总部内部资源，随时随地取得所需数据进行办公作业。

纵使拥有很强大的优势，但SSLVPN却并非每家企业都必须的，侠诺科技建议企业应先充分检视自身网络联机需求，再进行选择适合的远程接入方案。

企业是否需要导入SSLVPN，可参考下列导入评估问题加以检视：

1.您的企业是否有远程接入需求？

员工是否需经常在公司以外的地点，存取业务文件、邮件、内部网站、资料库、或是特殊应用程序等内部资讯？

是，请继续接＃2；

否，请跳到＃7

2.资料是否为机密？

如果欲开放远程接入存取资料为内部机密或重要业务资料，则应考虑采用VPN方式存取，以确保资料传输安全。

是，请继续接＃3；

3.连线地点是否固定？

远程接入用户的连线地点如果都是固定位置，例如家中、分公司或上下游厂商，并且使用固定计算器，则不一定非用SSLVPN不可，也可使用IPSecVPN。

是，请接＃5；

否，请接＃6

4.是否需要对用户作身份认证及权限控管？

如果需要管控远程接入用户身份认证、可存取的应用服务内容，则应采用SSLVPN；

如果应用服务可全部开放，不需特殊管控，且连线地点固定，则可采用IPSecVPN。

是，请接＃6；

否，请接＃5

5.您的企业适用IPSec：

不需身份认证、权限控管、连线位置固定。

6.您的企业适用SSLVPN：

需要身份认证、权限控管、连线位置不固定。

7.您的企业不需要VPN。

三、侠诺中小企业专用SSLVPN解决方案

产品简介：

为了提供企业更丰富多元的VPN联机方案选择，Qno侠诺科技提出专为中小企业应用设计的SSLVPN方案，除了注入侠诺研发团队长时间细心推敲成就出的友善优化的管理界面设计外，并打破大型企业独享高价SSL的传统，提供较适当的价位，使中小企业在满足对应用需求的基础上，能够和大型企业一样真正享受SSLVPN带来的良好服务。

配合新一代、多样化、高安全整合性的设备需求环境，采用MIPS641G倍频双核硬件加速网络处理器，运算速度可达1G，防火墙及NAT双向转发率为2Gbps，为同级产品的十倍效能，可支持300,000个联机数；

内建高规格最大1GDDRII超大容量内存，封包处理快速稳定，处理速度及带机量直逼中、大型企业用户专用的昂贵VPN防火墙设备。

具4个千兆广域网端口、8个千兆局域网端口，适用各种不同网络架构，可供多条百兆的广域网络使用。

支持Windows/Linux/MacOS平台，SSLVPN提供网络服务、微软终端服务、远程桌面服务、在线网络邻居、安全隧道等功能。

产品选型：

针对不同应用需求，Qno侠诺科技同步推出SSL001企业级四WANSSLVPN防火墙及SSL002企业级四WANSSL/IPSec复合式VPN防火墙：

●SSL001支持SSL、PPTPVPN联机功能。

SSLVPN可支持并发用户25个联机，最大可升级至300个；

具备PPTP服务器功能，可提供200个PPTP移动用户进行VPN联机。

适用对象：

适用于需要快速建立不需维护VPN外点及移动用户之应用，如连锁销售业、物流仓储业、保险业、销售行业等。

●SSL002支持SSL、IPSec、PPTP、SmartLink、QnoKeyVPN联机功能。

SSLVPN可支持并发用户25个联机，最大可升级至700个；

IPSecVPN最大支持400个隧道联机（包含200个IPSec、100个QnoKey客户端、及100个SmartLink联机，用户可自行依需求弹性调整IPSec&

QnoKey隧道数值）；

具备PPTP服务器功能，可提供200个PPTP行动用户进行VPN联机。

适用于同时需要因应不同性质VPN外点，包括网段、单机外点或移动用户之应用，如：

制造业、跨国集团、多分支销售行业等。

产品型号

SSL001

SSL002

CPU处理器

MIPS641G双核网络处理器

广域端口

4（千兆）

局域端口

8（千兆）

内存

512MB（可升级1G）

1GB

SSL

25-300

25-700

IPSec/QnoKey

-

200/100

PPTP

200

SmartLink

100

带机量

1200

服务概述：

1.网络服务：

提供远程接入使用局域网TCP/IP相关服务。

主要是将常见的TCP/IP服务，例如Web、SSLWeb、FTP、Telnet、SSH等服务，经由QnoSSLVPN转换，变成Web界面让远方的用户使用。

应用的情况为从远程观看局域网内部网站或网站服务器的文件、从远程到局域网内FTP服务器存取文件、从远程进入局域网的服务器执行Telnet动作、、、等等。

这个功能适合一般的用户从外部回到局域网内观看文件，或是观看HTTPS加密过的网页文件、或者是技术人员回到局域网执行TCP/IP相关的指令。

由于TCP/IP相关应用往往是公开性的，因此是远程接入资源关联范围最小的服务。

2.微软终端服务：

提供远程接入使用局域网具有Windows终端服务器应用软件。

主要将常见的微软终端服务，例如Word、Excel、PowerPoint、Outlook或任何可在Windows服务器运作的软件，经由微软终端服务功能，配合QnoSSLVPN提供给远方的用户。

最常见的应用就是用户从外部连回局域网执行C/S架构的财务软件或ERP软件，或是操作系统上常见的办公室软件。

使用这个功能的前提是提供应用服务器上，必须备有Window终端服务器，否则无法使用。

这种应用只开放单一应用给远程用户，因此安全性高，运作速度也较快。

3.远程桌面服务：

提供远程接入使用局域网支持RDP或VNC计算器整个桌面资源。

主要是经由远程遥控的功能，操控局域网上某一台计算器的画面，等于是在局域网上的一部计算器工作。

这个工作主要经由RDP（RemoteDesktopProtocol）及VNC（VirtualNetworkComputing）远程遥控协议运作，可支持Windows、Linux、Mac不同操作系统的计算器。

主要的应用，例如提供远程技术支持、演示、联机回局域网计算器进行任意一种操作。

这种应用等于开放局域网上一部计算器的所有资源，因此资源关联范围较大。

也可以说前面提供的服务，如果有不足的地方，都可以以这个功能来实现。

但是被遥控的计算器，必须安装RDP及VPN服务器软件，才可以实现这个功能，不是随时都可启用的。

远程桌面的功能，等于将一部计算器的资源全部开放，安全性相对较低，另外由于每个动作都要将桌面传送到远程，因此运作速度较慢一些。

4.在线网络邻居：

提供远程接入使用局域网Windows网络邻居的文档服务。

主要是将局域网上Windows网络邻居的服务，由QnoSSLVPN以网页文件的形式开放给远程的用户。

这个服务的应用主要为支持远程的文件存取。

由于网络邻居是常见的文档存取服务，而且只有用户自行规范愿意开放的文件，才能让其它用户存取。

同时，用户也能对开放的文件，作不同存取权限的配置，因此，相对是较为安全的。

不过这个功能，也等于是开放局域网上所有允许公开存取的文件，因此资源关联范围相对也是较大。

对于寻找网络上的用户及文件是很方便，但是也具有外漏网络上所有文件的风险，因此使用上要较为小心。

5.安全隧道：

提供远程接入使用局域网所有网络资源，具有和局域网计算器相同权限。

这个功能是让远程用户计算器取得一个局域网的IP地址，应用上等于是一个局域网上的用户。

这个功能让用户的所有运作，就好像是在局域网上的一台计算器，因此等于开放了最大的权限。

这个功能和PPTP/IPSec的功能相近，只是通过SSL来运作，用户配置也较容易。

应用特点：

●高安全性

QnoSSLVPN通过SSL协议加密、认证服务器、访问入口的用户身份认证、及严格的权限控管等重重安全管制，多因子认证保证VPN联机安全。

一般的用户只能使用特定应用，而且只有画面的传输，没有实际的数据传输，安全性极高。

提供登录注销后清除Web缓存、Cookie、、、等各种记录功能，避免数据资料被有心人士窃取。

允许设置用户使用时效，到期则无法接入SSL，在安全上更增一层保障。

●应用快速

QnoSSLVPN终端服务让用户端不需安装应用软件，只需通过支持SSL浏览器登录，远程接入直接在中心端进行数据存取，以只传送画面的方式进行，带宽需求极小，不会有响应慢的问题，解决C/S架构远程接入响应慢、安全性低的问题。

●方便易用

QnoSSLVPN客户端无需安装软件，零配置、无需维护，只要会使用浏览器，就可通过身份认证访问企业内部资源，实现联机一键通。

无论是在任何地点的分支机构、出差人员、合作伙伴等，都可以轻松通过互联网访问企业内部资源。

简单直白图像化操作界面，不需要太多技术指导，用户可轻松上手，减轻网管负担，加速企业SSL全面应用。

●简单易管

QnoSSLVPN管理一键通，网管可以直接套用预置用户群组样版，省去繁复设置流程，快速完成配置。

强调中文的配置画面，配合直白的单页配置设计，将复杂的配置放置在一个页面完成，简化管理。

支持多种认