VPN平台技术设计与实现项目解决方案文档格式.docx
《VPN平台技术设计与实现项目解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《VPN平台技术设计与实现项目解决方案文档格式.docx(82页珍藏版)》请在冰豆网上搜索。
5.1.1.5硬件绑定(HardCA)17
5.1.1.6CA认证18
5.1.1.7LDAP认证、Radius认证19
5.1.1.8强密码保护功能20
5.1.1.9主从帐号绑定22
5.1.2终端访问安全24
5.1.2.1沙盒技术24
5.1.2.2客户端安全检查26
5.1.2.3防中间人攻击检测28
5.1.2.4用户超时控制功能29
5.1.2.5VPN专线30
5.1.2.6客户端零痕迹清除功能31
5.1.3数据传输安全31
5.1.4应用权限安全31
5.1.4.1基于角色的应用访问授权31
5.1.4.2URL细粒度授权32
5.1.4.3服务器区结构隐藏33
5.1.5远程应用发布数据安全35
5.1.5.1终端服务器权限控制35
5.1.5.2业务数据安全防泄密保障36
5.1.5.3可对虚拟终端服务器运行状态监控36
5.1.6应用访问审计安全36
5.1.7集成企业级状态防火墙40
5.2更快速的SSLVPN41
5.2.1远程应用发布SRAP协议41
5.2.2多线路智能选路42
5.2.3HTP快速传输协议44
5.2.4数据加速技术45
5.2.4.1基于码流特征的数据优化45
5.2.4.2高强度压缩技术47
5.2.5应用加速48
5.2.5.1WEB/IP应用加速48
5.2.5.2资源负载均衡49
5.3更易用的SSLVPN50
5.3.1SSL/IPSecVPN一体化选择50
5.3.2高平台兼容性、应用支持性51
5.3.3虚拟门户52
5.3.4远程应用发布52
5.3.4.1移动终端结合多点触摸操作技术53
5.3.4.2独特鼠标模拟、键盘模拟技术54
5.3.4.3并发多任务会话支持54
5.3.4.4支持虚拟打印机映射55
5.3.4.5输入法映射技术55
5.3.4.6单点登录功能56
5.3.5
快捷启动56
5.3.5.1应用系统单点登录功能(SSO)56
5.3.5.2C/S应用链接启动57
5.3.5.3SSLVPN快捷启动58
5.3.6基于Web的文件共享60
5.3.7及时消息发送61
5.3.8系统托盘61
5.3.9支持内网DNS、外网DNS62
5.3.10多虚拟IP池支持62
5.3.11默认服务页面63
5.3.12全网资源添加64
5.3.13页面定制64
5.3.14匿名登录功能65
5.3.15智能递推66
5.4更稳定的SSLVPN68
5.4.1Webagent技术实现动态IP组网68
5.4.2多线路备份68
5.4.3跨平台兼容性69
5.4.3.1智能终端与Windows无缝结合69
5.4.3.2全面支持主流移动操作系统69
5.4.4集群技术69
5.5高管理性的SSLVPN70
5.5.1流量管理和会话限制70
5.5.2用户分级管理71
5.5.3管理员分级管理72
第6章方案价值74
6.1安全、稳定的业务发布74
6.2快速访问提升工作效率74
6.3便捷的用户使用体验,降低管理工作量74
6.4高性价比组网、扩容方便74
第7章典型客户案例75
7.1中国人民银行总行选择深信服SSLVPN75
7.2中国平安集团应用深信服远程应用发布EasyConnect77
7.3中国航天科技集团应用深信服VPN组网方案78
7.4中国海油构建分布式VPN远程访问系统80
7.5更多成功客户列表83
第8章深信服售后服务体系84
8.1售后服务体系概述84
8.2技术支持及服务内容88
8.3专业的CTI中心,完善的用户档案系统88
第9章深信服科技介绍89
9.1关于深信服89
9.2网络安全产品90
9.3网络优化产品91
9.4深信服获得的荣誉92
第1章需求概述
1.1背景介绍
随着现代信息技术的发展,越来越多的组织单位将日常办公平台逐渐迁移到网络平台、统一应用平台之上。
办公网络化、应用集中化的变革带来了资源全局统一调配、业务流程化、办公规范化的巨大优势。
2012年,约有20%的企业员工将自己的iPhone、iPad或Android设备带入工作场所,处理工作相关活动。
IT消费化带来了BYOD新风尚,实现了Anydevice的真正自由。
现在,BYOD已经不是一个趋势的概念,她正以不可阻挡之势改变人们的工作方式,成为办公手段的一个必要补充。
我们可以利用更多的时间碎片收发电邮、跟踪销售机会点,将企业的信息化管理推向前端,使客户的界面变得更扁平化,提升决策效率和响应速度。
然而,BYOD的开放性容易引入各种安全和管理风险,您的企业做好了应对BYOD挑战的准备吗?
目前,单位已经建立起一套统一的应用平台,包括(添加客户现有应用情况、网络现状)业务系统如MIS系统、生产管理系统、营销系统等,以及日常办公系统OA系统、财务系统、邮件系统等。
单位的信息网络是以信息中心机房为中心,所有应用系统服务器都安装在信息中心机房内的专属服务器区。
各分支单位采用专线或者公网线路与总部互联进行正常的办公。
为业务的进一步的快速发展奠定了坚实的基础。
自应用平台运行以来,内部办公人员通过网络可以迅速地获取信息,大大加快了整体的办公效率,信息化效益得到彰显。
1.2需求分析
随着业务的不断发展,IT运用与业务结合的不断深入,我们发现目前的网络状况已经不能很好的满足业务发展的需要,有如下问题需要解决:
1.2.1网上业务的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。
为了实现人们的远程办公,需要保证人员外出时可以安全访问组织内部网络进行日常操作,并同时确保数据的安全。
因此必须在选择方法时,充分考虑多种接入方式以及各个接入方式的安全性。
1.2.2安全性问题
结合客户的网络状况,我们看到有以下几个方面的问题亟需解决。
1、身份认证安全
现有采用的是较为单一的用户名密码认证方式,安全强度不高,极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破,导致核心数据的泄漏问题。
尤其是领导中享有较高级权限的帐号若是遭到盗窃所造成的损失将更为严重。
2.终端访问安全
一旦远程终端通过VPN接入到了总部的网络,总部的安全域延伸到了远程终端。
虽然在总部网络中有防火墙、IPS、防毒墙等一系列安全防御设备,但需要接入到总部的远程用户所使用的终端主机普遍安全防御水平都较低,而总部的防护设备又往往不能抵御VPN隧道中的威胁。
为了保证整体安全防御水平,就需要对接入的终端主机的安全水平采取一定的控制措施。
例如金融交易系统等包含重要数据的业务系统,当用户通过远程接入的方式访问到这些系统时,由于系统交互、缓存等原因往往会在终端主机上保存部分应用数据,容易导致重要数据人为或是无意的泄漏,存在重大的信息安全隐患。
如何让用户能方便快捷的远程办公的同时保障重要应用系统、核心数据的不外泄,是IT管理人员需要考虑的一个非常重要的方面。
3.权限划分安全
总部内网中有众多的应用系统,若是没有采用合理的访问权限控制机制,将重要服务器暴露在所有内网甚至外网用户面前,容易因密码爆破、越权访问等行为导致系统内重要数据的泄漏,同时,开放的权限环境也将给重要的服务器开放了攻击通道,一旦遭到攻击后果将难以估量。
所以,对于不同的应用系统需要对访问人员做好细致的访问权限控制,
4.应用访问审计安全
为了避免重要的信息系统的访问安全风险,做到有据可查,同时也为了了解应用系统的使用情况,需要对应用的访问采取必要的审计措施,了解何时何地何人访问了哪些应用系统。
5.业务数据迁移智能终端访问安全性
随着将业务系统迁移到BYOD终端,业务数据呈现于移动智能终端设备上,如何避免重要的业务数据随着智能终端丢失而造成泄密的风险,如何保障业务数据通过BYOD访问安全性,需要对业务系统迁移至智能终端访问做必要的安全措施。
1.2.3远程访问速度性问题
影响用户远程办公的最主要因素就的访问速度问题,拖滞的访问速度将大大影响用户的访问体验及办公效率,网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。
1.跨运营商访问问题
国内固网运营商为南电信北网通的格局,跨运营商访问时往往存在较为严重的丢包现象,一旦遇到丢包导致的频繁的重传将大大拖慢了访问速度。
尤其是对于遍布各地远程接入用户而言,线路的运营商环境也多种多样,需要寻求一种方式解决跨运营商高丢包导致的速度问题。
2.高丢包、高延时访问问题
无线、偏远地区等高丢包、高延时的恶劣网络环境下的接入速度异常的慢,严重影响了远程办公的效率。
如何在高丢包、高延时的网络环境下同样保证较高的访问质量提高工作效率?
3.手持移动终端访问问题
许多领导、员工已经采用PDA、智能手机等手持移动终端进行移动办公,但手持移动终端的受3G信号的制约,其访问速度往往不如有线网络。
对于手持移动终端使用的最多的是B/S架构的应用,但现在B/S架构往往是针对电脑进行设计的,一旦使用PDA、智能手机访问,往往出现页面变形、图像过大等现象,影响用户体验的同时,过大的页面冗余数据量也拖慢了用户的访问速度。
4.大量重复冗余数据量
应用系统的使用往往存在大量的冗余数据,如同样的页面、文件中的相同的元素、系统每次交互的相同数据,这些冗余数据量的传输占用了大量的带宽资源,拖慢应用响应速度,影响了工作效率。
5.微软RDP协议本身缺陷
随着BYOD的流行,越来越多的企业为了将业务迁移至智能终,采用远程应用发布的形式,其核心是基于微软RDP远程桌面协议,而RDP桌面协议本身固有的协议,以及对带宽大小的要求,导致智能终端通过3G进行移动办公时访问速度没有保障,如何避免采用远程应用发布时的RDP协议访问速度问题成为企业3A办公的瓶颈,也成为企业需要重点考虑的问题。
1.2.4使用者终端易用性问题
在考虑到安全接入方式的时候,尤其需要考虑到终端易用性问题。
需要接入到总部应用系统访问的人员普遍的IT水平都不高,复杂的软件端安装、参数调配都是非常不合适的。
同时,接入应用系统的核心为办公,就需要提供一种最便利、最简单的接入方式,最大的方便接入人员的办公。
在一体化办公平台有往往需要使用到多个应用系统进行办公,远程用户在面对众多的应用系统时就需要记忆众多的用户名密码并依次登录才能办公,效率低下的同时,还容易混淆。
企业业务系统迁移至智能终端时,企业为智能终端系统Android、iOS开发业务系统APP,能否将VPNSDK包直接嵌入业务系统中,避免拨号连接VPN,再次启动APP,提高用户办公效率。
1.2.5业务稳定性问题
远程发布的业务系统将直接关系到组织的业务能否正常运营、工作能否正常开展的问题,需要保证高可靠、高可用的稳定性。
而VPN作为发布业务系统的基础平台,同样需要保证高稳定的运行以支撑整个业务的持续稳定。
1.2.6整网设备管理便利性问题
需要接入到总部的部分远程分支没有配备专门的IT管理人员,在构建VPN网络时需要考虑到客户端维护成本问题,若是在分支端采用设备架设的方式则必须派专员去对设备进行维护,造成管理成本的上升。
组织的规模较为庞大,处于地域、组织架构等管理需要,面对不同的用户组需要由不同的管理员进行管理,保障信息安全的同时亦可提高管理效率。
第2章VPN技术介绍
VPN(VirtualPrivateNetwork)是虚拟专用网的简称,虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术,实现低成本、高安全地解决数据传输及应用发布平台。
VPN架构中采用了多种安全机制,如身份认证技术(Authentication)、加解密技术(Encryption)、密钥管理技术、隧道技术(Tunneling)等。
通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。
SSLVPN是VPN的主流技术之一,即指采用SSL(SecuritySocketLayer)协议来实现远程接入的一种新型VPN技术。
SSL协议是基于WEB应用的安全协议,它包括:
服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。
对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。
目前SSL协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。
正因为SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端。
相对于IPSecVPN等其他传统的VPN技术而言,SSLVPN具有部署简单,无客户端,维护成本低,网络适应强等特点,非常适用于远程移动办公、无专门管理人员的分支接入等场景。
而从OSI七层模型来看,SSLVPN是基于第七层应用层的VPN技术,相对于传统的IPSecVPN(三层网络层)、L2TP(二层数据链路层)、PPTP(二层数据链路层)等VPN连接方式,SSLVPN在对应用权限的划分上可做得更为细致,数据传递机制也不是简单的封装转发,从整体业务发布安全性的角度上来说安全系数更高。
同时,基于SSLVPN部署的灵活性、使用的灵活性等特质,从安全防护方面,SSLVPN可引申出网络逻辑隔离、服务器隔离保护、应用系统强认证等多种安全解决方案,为用户提供多方面价值。
高性价比组网、安全业务发布、便利的终端使用、更多的价值体现,综合这几方面优势,我们推荐采用SSLVPN的方式构建整个综合组网方案。
第3章方案设计原则
3.1安全性原则
VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是组织机构的私密信息,不允许为无关人员所知。
同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。
综合考虑用户的具体应用和需求,VPN网络的安全性有五层含义:
一是用户身份的安全;
二是接入终端的安全;
三是数据传输的安全;
四是权限访问安全;
五是审计的安全;
六是智能终端访问业务系统数据安全性,六大安全全面保障VPN的安全性。
3.2高速性原则
远程办公最大的制约因素就是速度方面的问题,磕磕绊绊的访问速度大大拖滞了员工的办公效率。
网络速度低下的原因可分为以下几点:
跨运营商访问、传输数据量冗余、高丢包高延时的恶劣网络环境、手持移动终端的无线访问。
而从优化的层次来看,可分为线路、传输协议、数据、应用四个层次。
所以在设计接入方案的时候就需要从这四个层次入手解决远程办公速度低下的问题。
3.3易用性原则
对于终端用户而言,如何保证VPN使用的简单易用是非常重要的一个方面。
终端用户普遍IT水平不高,其在使用VPN最核心的需求是为了接入到总部内网进行远程办公,在其接入和办公的过程中就需要最大程度的简化其复杂度,避免繁杂的客户端配置及操作,最大程度的提高用户的办公效率,从另一方面也大大降低了网络管理人员对整个VPN客户端维护工作量。
3.4稳定性原则
VPN支撑着整个组织的应用远程发布,分支机构及移动办公人员都需要依靠VPN网络所承载的办公平台进行日常的办公和事物的紧急处理。
一旦VPN网络出现故障,将直接影响到其上所有人员的正常办公,严重的甚至将导致业务的中断酿成重大的网络事故,造成的损失将难以估量。
所以,对于VPN这张基础承载网络如何保持长时间高稳定的运行显得尤为的重要。
在方案设计中,将充分的考虑到整个网络、业务的稳定性问题。
3.5合理、便利的管理
从IT部门工作的角度出发,除了需要保证应用的发布安全、用户的使用方便快捷、网络的稳定性之外,还需要考虑到网络管理的合理化,保证网络管理的有序性、安全性、便利性,提高管理效率,降低管理风险。
第4章整体方案设计
4.1深信服SSLVPN解决方案
结合实际网络及应用情况,我们推荐采用深信服SSLVPN设备进行全网组网/移动办公,
方案说明:
在核心交换上以单臂方式部署一台深信服VPN-2050SSLVPN,内网服务器区应用系统的安全发布;
与此同时内网部署终端应用服务器,通过深信服EasyConnect将需要通过智能终端访问的业务发布出去。
应用平台移动办公
采用SSLVPN对应用进行安全发布,避免需要将服务器直接挂在公网上造成的风险。
用户在外需要进行内网接入时,可直接通过浏览器打开网页完成SSLVPN登录及安全隧道的建立,如同登录网银、邮箱一般符合日常的网络使用习惯,容易上手。
而SSL协议是目前公认安全等级较高的网络安全协议之一,现今网上银行基本都采用SSL协议进行数据传输保护,对于数据传输采用标准的AES、RSA、RC4等加密算法对传输数据进行加密,安全性有保障。
✧应用系统安全加固
在系统安全加固方面,采用登录SSLVPN身份验证、权限划分、登录应用身份验证的主线进行保障。
SSLVPN接入认证方式可采用用户名密码、USBKEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。
在用户接入SSLVPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSLVPN登录账号和应用系统账号。
用户只可采用指定的账号访问应用系统。
由于登录SSLVPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。
✧专网内隧道逻辑隔离,构建统一应用平台
对于已经建立专线组网的分支,将应用系统以SSLVPN资源的方式进行,进行专网内权限划分的同时实现统一应用平台的构建。
根据不同部门、不同应用进行对应权限的开放/关闭,但分支用户登录SSLVPN之后,在其资源列表界面将会显示该用户权限下可访问的应用系统,用户可直接点击其上的链接进行快速访问。
同时,可针对这些应用系统进行单点登录设置,点击链接即可自动通过应用本身的认证,可直接进行操作。
由于所有访问总部服务器区的数据都将经由SSLVPN进行转发,对于用户权限外的应用,SSLVPN将自动阻断其连接,防止恶意盗链。
✧服务器区隔离保护
将深信服SSLVPN设备以单臂方式部署,通过配置使数据流经由SSLVPN后走向内网服务器区,对办公网与服务器区这两部不同安全级别的区域进行隔离。
由于SSLVPN设备对外只开放443端口,从而可屏蔽掉其他端口的攻击。
SSLVPN的数据流处理方式可隐藏内网服务器区结构,并对服务器访问的IP、域名进行伪装。
SSLVPN在进行用户对服务器区发起的访问时,采用SSLVPN登录认证、细粒度应用访问授权、传输数据加密,从数据安全的角度提供隔离保护。
✧远程应用发布EasyConnect
深信服EasyConnect远程应用发布解决方案通过SSLVPN和企业内网部署的终端服务器,将企业应用程序界面用图形的方式呈现于智能终端之上。
在部署过程中,无需对现网结构和应用程序做任何改变,轻松实现跨平台访问,解决企业用户通过iPhone、iPad、Android等智能终端访问的问题,实现业务数据快速迁移,同时保障业务系统数据不落地,存储在终端服务器,同时根据本地用户习惯,融入本地输入法、打印机、本地签名等提升用户使用便捷度。
✧EasyApp
对于已具备APP客户端的业务系统,如客户自主开发集成VPN功能,需要非常大的工作量。
深信服可以为具备Socket开发能力的第三方应用开发商提供软件开发工具包VPNSDK包,极大地降低开发商的开发工作量。
客户可根据需要选择合适的精简集成SDK的方式,就可使得最终用户具备多种身份认证和数据SSL传输加密的功能,从而增加业务系统的安全性。
客户端
终端侧
网络
接入侧
DMZ
SDK
SSLVPN
应用服务器
4.2产品选型
结合网络实际情况及需求,本方案推荐采用VPN-2050一体化网关构建远程办公一体化平台。
深信服SSLVPN一体化网关是国内第一款SSL/IPSec一体化设备,隶属于SSLVPN产品系列。
VPN-2050系列荣膺了众多奖项。
据国际权威调查分析机构Frost&Sullivan针对2012年SSLVPN中国市场调查报告显示,深信服SSLVPN2012年以40.3%的市场份额,连续多年领导国内SSLVPN市场。
第5章
第6章方案技术特点
6.1更安全的SSLVPN
SANGFORSSLVPN身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系,由头至尾保证整个SSLVPN接入访问的安全性。
6.1.1身份认证安全
6.1.1.1多种方式混合认证
许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。
使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题,尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统,一旦遭遇用户名密码被盗窃,其后果所造成的威胁将是不可估量的。
SANGFORSSLVPN支持多种认证方式的多因素组合认证,除了最基本的用户名密码认证之外,还支持LDAP/AD、Radius、CA等第三方认证,支持USBKEY、硬件特征码、短信认证(短信猫和短信网关)、动态令牌卡等加强认证方式。
单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,深信服创新性提出混合认证,针对以上认证方式可以进行多因素的“与”、“或”组合认证。
“与”组合认证可实现多达5种以上认证方式的捆绑,必须同时满足才能够接入SSLVPN系统。
“或”组合认证可对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到SSLVPN系统中。
通过多因素组合认证大大加强认证安全的强度,确保接入SSLVPN的用户的身份的确认性。
6.1.1.2USBKEY认证
SANGFORSSLVPN支持基于数字证书的USBKEY认证,将CA中心生成的数字证书颁发给USBKEY,并为该USBKEY设置PIN码。
通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。
同时,SANGFORSSLVPN支持无驱USBKEY认证,客户端无需安装驱动即可使用USBKEY进行登录认证,大大提高了客户端使用的易用性。
USBDKEY可同时支持SSLVPN、IPSecVPN移动客户端两套系统,安全方便。
6.1.1.3动态令牌认证
动态令牌认证是技术领先的一种双因素身份认证
升级会员 