高校SSL VPN远程接入解决方案文档格式.docx
《高校SSL VPN远程接入解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《高校SSL VPN远程接入解决方案文档格式.docx(10页珍藏版)》请在冰豆网上搜索。
需求分析
经过逐年发展,XX大学已经建成了数字化图书馆、OA办公系统、校园一卡通等网络化平台,但是校园网是一个封闭的局域网络,如何让这些系统在教师、学生离开校园网络环境下也能够顺利使用?
数字图书馆电子资源厂商出于版权保护原因,几乎都设置为校园网内IP段才能合法访问。
而学校的师生希望在家里、出差时也能访问图书馆电子资源,如何让师生能够顺利访问这些电子资源?
另外,远程教育的访问者希望能够远程访问XX大学的先进教育成果和优势资源,如何让他们非常经济、方便、安全、高效地通过Internet接受远程教育?
目前教育行业针对远程接入,主要有以下几种方式:
1.专线。
这一接入方式非常稳定,但因每年须交纳不菲的专线租用费用而提高了接入成本,对于各远程教育的接入而言成本非常昂贵。
同时,它只适用固定场所的对等局域网连接,不适用于师生在家中、出差时的访问
2.MPLSVPN也即电信VPN。
这一接入方式较专线经济,但仍需铺设专门的线路,需要每年支付较高的线路租用费用。
同样,它适用于固定场所的对等局域网连接,也不适合老师与学生的校外访问。
3.IPSEC VPN。
这一方式目前为部分学校采用,但它有几个方面的缺陷:
∙安全性不够。
因为它基于网络层的加密传输,当VPN通道建立以后,远程用户随即成为局域网内的一员,其权限也和内网用户一样,很容易将病毒、攻击带入校园网络。
∙无权限控制。
IPSEC VPN属于透明访问,无法做到精细的权限控制,仅能通过端口作有限的控制。
∙需要安装客户端。
需要进行IP设置等系列的复杂设置,如果远程使用人员较多,将使网络维护工作量非常繁重。
∙兼容性不够。
现有的各IPSEC VPN之间可能不兼容,将造成连接不上的问题。
当系统更新时会造成设备浪费。
4.反向代理。
这一接入方式仅适用于纯粹的B/S系统,而现在多数应用系统都是需要加载JAVA等中间件的混合架构,或者纯粹的C/S架构,例如FTP、Telnet…,这样就无法访问。
另外它的数据是明文传输,缺乏安全性。
以前,高校在无奈之下,采用IPSecVPN和反向代理实现远程接入。
经过调研发现,目前高校对远程访问产品最关心四个方面:
1、远程访问图书馆电子资源不能安装插件。
因为老师的计算机水平各异,而安装插件时一些杀毒软件如卡巴斯基、瑞星..等会拦截,给老师使用带来困难;
另外,安装插件的方式只支持IE内核的浏览器,而高校老师使用的浏览器千姿百态,如IE、FireFox、遨游、腾迅、Google…,会造成非IE内核浏览器无法访问。
2、需要进行流量控制。
因为高校带宽有限,而且资源厂商也有下载限制。
如果不对流量加以限制,会出现问题。
3、能够对资源的访问进行统计。
比如各用户对各资源在单位时间的访问次数,以方便技术部门提供辅助决策。
4、能够与Radius、LDAP、汇文、ilas……等认证系统结合。
减轻手工维护帐号的工作量。
现在,ENLINKSSLVPN这种安全、经济、便捷的远程接入方式诞生了,它弥补了前者的缺陷,在高校应用如火如荼。
故建议校方远程接入用户的校外访问采用ENLINKSSLVPN接入。
与同类产品相比,ENLINK远程访问系统有绝对的技术优势:
1、图书馆的远程访问(光盘镜像例外)将不再需要安装插件。
从以前SSLVPN在高校的实际应用来看,老师对安装插件多抱有抵触情绪,即使该插件有数字签名被证明是安全的。
另外安装插件时一些杀毒软件如卡巴斯基、瑞星、安全卫士等工具会拦截它,可能会导致无法正常安装向网管人员求助,加大网管人员的工作量。
2、支持所有浏览器。
如果安装插件,则99%的SSLVPN只支持IE内核的浏览器。
高校老师使用的浏览器千姿百态:
IE、遨游、FireFOX、腾迅、Google、Opera….,一旦老师使用的非IE内核浏览器,就无法访问图书馆。
因ENLINK访问图书馆无需安装插件,这一问题迎刃而解。
3、部分远程访问产品无需安装插件可访问图书馆部分资源,但对于需要阅读器的电子资源如超星、APABI…等则无法访问,需借助安装插件并通过C/S模式访问。
ENLINK对需要阅读器的电子资源访问同样不需要插件支持。
4、对于C/S应用如FTP、Telnet、光盘镜像…,ENLINK仍然需要安装经Microsoft数字签名的插件。
故ENLINK采用分级管理:
●多数普通老师只需要访问图书馆,那么管理员对应分配图书馆应用,则无需安装插件。
●对于那些需要访问FTP、Telnet等C/S应用的人员例如技术部门,分配匹配的应用,才会提示安装插件。
即便这样,在访问图书馆时,仍然无需插件支持。
5、日志功能更加强大。
除详细记录访问信息如用户名、访问的应用、原始登录IP…等外,还可统计总的应用访问次数、每个用户的应用访问次数;
可以统计各电子资源的总访问次数、可以统计每个用户访问各资源的次数。
6、可以对流量进行控制和统计。
例如每天/每月可以访问的流量,以区别对待不同用户及防止过量下载电子资源。
7、可以控制用户的使用时间。
比如:
每天在几点钟至几点钟可以访问、每天访问时长、每月访问时长。
8、可以多链路接入的智能选路。
例如在电信、网通、铁通、教育网等多条线路接入时,可自动选择最佳线路访问,提高访问速度。
9、可以与Radius、LDAP/AD、汇文、Ilas、一卡通…等认证结合,并可根据客户的独特认证进行二次开发。
因高校用户动态变化,这一与认证系统或数据库结合的方式可以大大减轻管理员手工维护帐号的工作量。
二、设计原则
2.1安全性原则
校园网对于远程接入特别是移动用户的接入,安全性是首要考虑的问题。
安全性涉及三方面:
传输安全、接入安全、访问安全。
传输安全指数据在传输时必须加密,而不能采用明文传输。
ENLINKSSLVPN采用SSL128位加密,保障数据传输过程的安全性。
即使数据在传输时被截获,也只能是一堆无用的乱码。
接入安全指远程接入用户接入的安全。
ENLINKSSLVPN可对接入用户进行HostCheck,包括病毒、注册表、系统补丁等,另外ENLINKSSLVPN可与国家CA认证的PKI身份认证结合,如USBKey、SecureID等,既保障即使远程使用人员的登录用户名、密码被他人获知也无法进行VPN连接,同时保障远程机器即使有病毒、黑客攻击也无法进入内网传播。
访问安全指远程使用人员在VPN接入后,不能对内网资源肆意访问,而必须对其访问进行有效约束。
ENLINKSSLVPN具有细颗粒度的精细权限控制,对不同部门、不同岗位的使用人员可设置不同的权限,使之仅能访问对应的系统。
例如只有特定人员才能访问受版权保护的图书馆资源。
通过ENLINKSSLVPN,可到达以下安全目的:
远程客户登录内网后,能够通过统一界面分别访问内部各种资源
远程客户访问内部资源,尽量提高登陆的安全和密码保护
远程客户登录内网后,不同用户被赋予不同的访问权限,权限控制要精细化
远程客户的本地机器在登录前得到安全检查
远程登陆客户要求简便易用
2.2方便性原则
使用人员计算机水平各异,故VPN系统的设计必须不给使用设置障碍,不改变使用者使用习惯,尽可能的符合使用者的初始习惯。
ENLINKSSLVPN通过IE浏览器建立VPN通道,无须安装VPN客户端。
另外,对于C/S系统,使用人员可直接从VPN界面中调用本地C/S客户端,为使用者提供极大便利。
对于网络管理人员而言,VPN管理配置应尽量简洁、清晰、严谨,过于复杂的配置页面为网络管理人员所诟病。
ENLINKSSLVPN为国内最早投入商用的SSLVPN产品之一,通过多年努力,设计了符合网络管理的GUI配置。
2.3经济性原则
这里的经济性指客户为整个方案的实施所需支付的总费用包括后续费用,也即TCO。
针对本方案,指设备的总价格、支付运营商的年度费用及后续服务的费用。
EnlinkNetworks为每一个客户提供个性化的、恰当的、经济的解决方案以帮助客户尽可能地节约投资。
2.4零维护原则
无论是使用人员还是网络管理人员,VPN系统的零维护都十分重要。
特别是网络管理人员,如果VPN维护量大,则会消耗他们很多精力,这样的VPN系统显然不能满足要求。
ENLINKSSLVPN由于通过IE浏览器建立VPN通道,采用集中管理的模式,使用人员无维护之苦。
同时,ENLINKSSLVPN采用全球独创的FreeRoute技术,网络管理人员无须配置IP地址池、无须进行网络配置,做到即插即用,真正做到零维护。
三、
解决方案
根据学校的需求、TCO的考虑及ENLINKSSLVPN功能特点,特提供以下解决方案供参考。
3.1方案的准备工作
XX大学目前只有教育网出口,而远程访问的师生在家中、出差时采用的是电信/网通线路,由于ISP互连互通的问题,造成即便访问XX大学的主页速度也非常慢,更不用说访问校内的其他应用。
因此,在实施SSLVPN远程访问方案之前,学校需要向电信申请一条带公网固定IP地址的Internet宽带。
XX大学作为XX自治区的教育信息交换中心,数据流量非常大,考虑到校外访问人数及流量,建议申请的电信Internet线路带宽不低于100M。
这样有两个便利:
一是Internet用户访问XX大学的学校主页速度将大幅提升;
二是师生在家中、出差时通过SSLVPN访问学校内部应用如OA、数字图书馆的速度非常快。
3.2方案产品选型
本方案中心设备选用ENLINKES5000。
ES5000为千兆VPN设备,它集成SSLVPN与IPSecVPN,提供4个10/100/1000MBase-T接口。
SSLVPN吞吐能力为700Mbps,最大支持33000个并发会话,每秒新建会话1800个,IPSecVPN隧道数1000,最大可支持5000个并发用户。
它具备以下特点:
特性
优势
通道加密
SSLVPN采用标准浏览器内置的SSL安全套接层加密算法,IPSecVPN采用DES/3DES/AES加密算法,保证数据安全传输
细颗粒度访问授权
支持用户组管理,对URL实行细颗粒度的精细访问控制,有效控制远程用户的访问权限
HostCheck
客户端安全检查,可检测注册表、进程、补丁、杀毒软件等完整性及合法性
Cache清除
注销后自动清除缓存和临时文件,防止被非法利用
内置硬件加速
内置硬件加速芯片,同步提高SSLVPN&IPSecVPN吞吐性能
支持HA
进行会话保护,进行设备故障检测及链路故障检测
支持单点登录
减少用户重复输入帐号等工作
超时休止
可定义超时休止时间,超时非活动即退出,防止他人滥用
多认证机制
支持LocalDB、AD/LDAP、Radius等认证,支持USBKEY、动态令牌、PKI等认证
带宽叠加
可支持多达3条Internet线路的带宽叠加和备份,增加VPN连接稳定性
SmartLink智能选路
自动选择最佳线路,解决不同运营商互连的延迟和速度问题
双机热备
支持双机热备,自动同步配置,出现故障设备自动无缝切换,保证稳定运行
支持Cluster
高性能处理,支持N+1堆叠
支持所有应用
实现所有基于IP(TCP、UDP、ICMP)协议的B/S、C/S应用
防火墙功能
支持包过滤、URL过滤、访问控制、用户认证、QoS控制、DHCP服务等
SpeedGate加速算法
采用独创加速算法,提高VPN数据传输速度
TransFirm技术
保障C/S应用数据传输稳定可靠
FreeRoute技术
全网络即插即用,无须配置地址池和路由
e-TranslatingEngine技术
适应各种复杂WEB应用
接口自定义
可灵活分配网络接口为外网口或内网口
GUI管理
采用WEB管理界面,方便网管远程管理
备份
可进行VPN系统备份与恢复
隧道自愈
一俟线路中断恢复,VPN隧道自动连接
详细日志记录
记录远程用户访问时间、访问地址、所访问的应用、会话持续时间等信息
3.3网络拓朴
3.4布署与应用
1)在中心机房DMZ区布署一台ES5000,采用单臂或跨接模式接入网络,将电信公网固定IP地址通过防火墙的443端口映射到ES5000(如果有空闲的公网固定IP,可将独立的公网IP指定到ES5000)。
2)将校园网的B/S应用(例如图书馆电子资源、部门内部网站…)和C/S应用(例如视频点播、FTP、Telnet、OA…)分别发布到ES5000的对应平台。
3)建立用户帐号(如果校方有Radius身份认证、SQL数据库、一卡通数据库,也可与之绑定,这样可以减轻手工管理帐号的工作量)。
4)学校的老师和学生在IE中键入远程SSLVPN地址(https:
//xxx.xxx.xxx.xxx),输入登录账号即进入SSLVPN页面(如采用身份认证还需进行身份匹配),即可访问OA、图书馆电子资源、FTP下载、视频点播…..。
5)管理人员可在任何地点通过SSLVPN管理员帐号远程连接到ES5000进行配置及维护。
四、方案优点
4.1使用简便。
无需象IPSecVPN那样安装客户端,通过浏览器建立VPN通道,使得计算机水平各异的老师都能顺利、便捷使用它。
4.2安全性高。
与IPSecVPN通过网络层传输不同,SSLVPN通过应用层传输,即使远程客户端有病毒和黑客攻击,也无法进入校园内网,只能到达VPN设备,内网相对远程连接的机器而言是黑盒子。
正是基于它的高安全性,银行的网上电子交易全部采用这种SSL方式。
4.3权限控制精细。
可以设定不同级别、不同岗位的人能够看到的应用不同,对远程使用人员而言,内网不是透明的,他只能使用授权的应用,其他应用则不可见。
4.4可与校园一卡通、Radius身份认证等结合。
当使用人员较多时,可减少手工建立帐号的工作量。
4.5所有只能在校园网内使用的系统,例如OA、部门网站、视频点播、远程调试交换机、Telnet…….,都可以在校外(家里、出差时)顺利实现访问。
4.6数字图书馆所有电子资源如万方、超星、维普、知网….都能在校外顺利访问。
4.7高度可扩展性。
本方案选用ES5000千兆VPN设备,它的并发能力达700M,可同时支持5000个用户在线访问,完全满足XX大学未来用户扩展的需求。
不需要更换设备,只需增加用户授权即可。
五、ENLINKSSLVPN的技术优势
5.1ENLINKSSLVPN采用独创的TransFirm技术,保障C/S数据传输稳定可靠。
几乎所有竞争对手的产品可能出现VPN通道能够建立,但数据无法传输的现象;
对WINDOSXP系统,如果KB补丁未打,则VPN通道干脆无法建立。
5.2ENLINKSSLVPN采用独创的FreeRoute技术,在全网连接时无须路由、无须地址池,无须更改现在网络结构。
部分竞争对手的产品需要地址池、需要在交换机上设置路由。
5.3ENLINKSSLVPN在处理B/S和C/S应用时,当远程访问的双方私有IP地址相同,不会产生地址冲突问题。
几乎所有竞争对手的产品在VPN远程访问的两端地址相同时,将导致地址冲突。
5.4ENLINKSSLVPN采用领先的e-TranslatingEngine技术,对各种复杂的B/S应用能够轻松转译。
部分竞争对手的产品在针对复杂的B/S应用(例如有FLASH、JAVA、APPLETS等)可能无法完全转译。
5.5ENLINKSSLVPN可配置客户端接入VPN后禁止/允许访问Internet其他资源。
部分竞争对手的产品接入VPN后即无法访问其他Internet资源。
5.6ENLINKSSLVPN可以设置同一帐号多次/单次登录,并可设置允许登录的次数。
部分竞争对手的产品只能单次登录。
5.7ENLINKSSLVPN可以配置超级用户(VIP用户)。
所谓VIP用户指企业购买了一定数量的并发License,但需要使用VPN的人员较多,这时可以保证在使用人员已经达到License极限的情况下,超级用户仍然可以畅通无阻地使用VPN。
它的优先级类似于QQ付费会员相对免费会员具备某些特权一样。
5.8ENLINKSSLVPN在访问图书馆电子资源(包括需要阅读器的超星、APABI、书生之家…)时,无须安装插件,支持全部浏览器。
几乎所有竞争对手的产品在访问需要阅读器的电子资源时,都需要安装插件并且只能采用C/S模式访问,同时只支持IE内核浏览器,不支持FireFOX等非IE内核浏览器。
5.9ENLINKSSLVPN可以对访问的流量进行控制和统计,以防止电子资源过量下载。
几乎所有竞争对手的产品都无法对访问的流量进行控制。
5.10ENLINKSSLVPN可以针对每个用户所访问的每个资源进行访问统计。
几乎所有竞争对手的产品仅对访问的用户名、登录时间、访问原始IP等信息进行简单记录,无统计功能。