Juniper SSL VPN解决方案Word下载.docx
《Juniper SSL VPN解决方案Word下载.docx》由会员分享,可在线阅读,更多相关《Juniper SSL VPN解决方案Word下载.docx(13页珍藏版)》请在冰豆网上搜索。
提高网络传输性能10
用户使用界面自定制10
系统日志和维护10
高可用性配置11
第三方的安全认证11
典型部署应用12
Juniper公司介绍13
公司介绍13
企业构想14
企业网络远程访问面临挑战
随着互联网的发展和电子商务的普及,越来越多公司的员工已经不仅仅是坐在办公室里处理日常事务,象出差员工、家庭办公等多种类型的远程访问公司内部资源和应用的需要变得十分的迫切。
同时,这种网络连接的发生也为企业网络引入了新的安全威胁,但是目前的网络安全方案又是十分的昂贵和复杂。
目前的企业极需要一种简单实用的解决方案,可以安全的实现远程员工、合作伙伴乃至客户对企业内部网络资源的访问,而又不会为企业网络带来新的安全风险。
Juniper远程安全访问解决方案
企业通过Internet数据传输平台,实施加密的VPN实现安全接入的办法主要有两种:
一种是IPsecVPN,另一种是SSLVPN。
两种技术在不同领域各有其优势,在实施固定的站点到站点的VPN和复杂应用的移动用户接入VPN时,一般采用IPsec技术;
在实施普通应用的移动用户接入VPN时,通常采用SSL技术。
Juniper的SSL安全访问产品(可简称为IVE)从根本上解决了企业的远程访问问题,可以为企业的远程员工、合作伙伴提供对内网资源的安全远程访问。
同时它又消除了因为远程用户客户端的维护等带来的诸多不便。
✓极大的减少了工程投资
Juniper的远程访问解决方案极大的减少了工程的投资,IVE设备的部署和维护都十分的简单,不需要任何客户端软件的安装,也不需要对服务器端进行特殊的设置,是目前仅有的可以通过很短时间的配置就可以为成千用户提供远程访问的方案,同时这种方案不需要指定单独的客户端设备、不需要其他的安全设备和应用程序的支持,仅仅利用标准WEB浏览器的安全功能就实现了安全的远程访问。
同其他的网络层的VPN设备一样,IVE平台也兼容已经存在的网络服务器和网络资源,不需要再做单独的定制开发和软件集成,IVE平台大大减少了系统部署的费用,由于不存在客户端软件的安装,也就减少了由此而引起的出差维护和管理的费用。
✓提高了系统安全性
IVE平台提供整体的网络安全设计,通过坚固的系统完成对外部应用请求的转换,同时对各种连接进行细粒度的访问控制,而这种安全上的保障,是不以投资、复杂性和稳定性的牺牲为前提的。
IVE平台可以为用户提供方便安全的远程访问,包含但不局限于以下应用:
✓内部网络的内容应用和基于WEB的应用
✓客户端/服务器应用
✓所有的消息服务器(MSExchange,LotusNotes)
✓文件服务器(MSCIFS,NFS)
✓Telnet,SSH
✓标准的邮件服务器(IMAP,POP,SMTP)
下图描述了Juniper远程安全访问应用的简单模型,远程员工或者合作伙伴通过INTERNET连接到IVE设备上,该设备通过认证、授权和中间转换等技术响应用户对内部资源的访问,而不需要对内部的服务器做任何的改动。
Juniper远程访问系统产品线说明
Juniper网络公司提供的系列SSLVPN远程访问系统可以根据用户应用情况、使用环境等的不同,提供四款不同型号的产品,来满足不同用户的实际需求。
RemoteAccess500系列,为中小企业提供经济高效的安全方式,支持员工远程安全的接入企业网络。
RemoteAccess500系列支持的并发用户数为10-50个,可以根据license的不同进行限制。
RemoteAccess500系列使用安全套接层(SSL)提供加密传输,因此,用户只需Web浏览器便可即时接入网络。
这消除了为每位用户安装、配置以及维护客户端软件的高昂成本。
由于使用SSL传输,RemoteAccess500还消除了传统远程接入产品中常见的网络地址转换(NAT)和防火墙穿越问题。
RemoteAccess500利用了网络连接技术,这扩展了最广泛的远程连接形式,且无需安装桌面系统软件,因为它使用了包含在标准Web浏览器中的安全协议。
SecureAccess1000系列和SecureAccess3000系列SSLVPN分别为中小型企业和大中型企业提供经济高效安全的远程接入。
SA1000系列支持的并发用户数为25-100个,SA3000系列支持的并发用户数为500-1000个,可以根据license的不同进行限制。
SA1000和SA3000系列基于InstantVirtualExtranet平台,该平台使用所有标准Web浏览器中所使用的安全协议SSL作为安全接入传输机制。
SSL的使用使客户不再需要部署客户端软件、修改内部服务器或进行成本高昂的后期维护。
SecureAccess产品还可以提供先进的合作伙伴/客户外联网特性来只允许特定用户和用户组接入,而且只需要很少甚至根本不需要基础设施修改、DMZ部署或软件代理程序。
这一功能还使企业可以保护企业内联网接入的安全性,使管理员可以根据不同员工、承包商和访问者需要的资源来限制他们的接入权限。
该系列产品可以部署在经济高效的群集对(ClusterPair)中以提供企业需要的冗余性、高可用性和无缝的故障切换功能。
SecureAccess5000系列SSLVPN可以为那些有大量安全接入和复杂授权要求的企业提供一流的性能、可扩展性和冗余。
单台SA5000系列支持的并发用户数为100-2500个该产品系列专门设计用于满足最严格的性能要求--支持大量用户、资源密集型应用程序和复杂的使用模式--以提供更高的可扩展性。
SA5000系列产品可以提供丰富的接入管理策略实施功能,使企业可以为大量差分用户提供安全远程接入的优势,同时轻松而经济高效地保护外联网和内联网的安全性。
借助NetScreen-SA5000,企业就可以获得安全的合作伙伴/客户外联网的优势,同时最大限度地减少成本很高而且需要大量维护工作的基础设施修改、DMZ部署和/或分布式软件代理程序。
SA5000产品系列还可以用于保护企业内联网安全性。
此外,由于SA5000产品可以集中管理并以多单元和多站点群集的方式部署,所以这种安全解决方案易于管理而且可扩展。
SA5000产品可以提供企业级性能可扩展性和高可用性,其特性包括两个千兆以太网端口、SSL加速和基于硬件的HTTP压缩功能,因此可以提供最高的性能。
这些产品既可以作为独立设备以群集对(ClusterPairs)方式部署,又可以部署为多单元群集(Multi-UnitClusters)以实现无与伦比的高吞吐量和冗余。
Juniper远程访问系统的主要功能特性
无需安装客户端的远程安全访问
Juniper的IVE远程安全访问系统,在无需安装客户端的前提下,利用系统已有的标准的WEB浏览器,通过浏览器支持的SSL安全协议,实现对企业内网的应用服务器的安全访问。
访问过程中,重要数据在互联网上以SSL加密的形式传输。
IVE系统通过以下三种方式帮助远程客户端实现对企业内部应用服务器的访问。
核心方式
核心方式(coreaccess)的访问采用标准WEB方式,远程用户首先登陆到IVE系统当中,进行相关的安全机制检查和身份认证,通过认证和授权后,直接点击IVE系统主页上的相关预定义好的网络标签实现对内部服务器的访问。
核心方式的访问支持如下的应用:
✓安全的web应用访问:
对基于web的内容和应用提供支持,也包括HTML,Javascript,DHTML,VBScript,Javaapplets等。
✓安全的文件共享访问:
动态Windows和Unix文件(CIFS/NFS)的web化
✓基于标准的E-mail客户端访问(outlookwebaccess)
✓安全的终端访问:
对Telnet/SSH主机(VT100,VT320…)的访问
安全内容管理器
在安全内容管理器(SAM,secureapplicationmanager)方式中,远程用户首先登陆到IVE系统当中,进行相关的安全机制检查和身份认证,通过认证和授权后,远程系统会自动加载一个小插件,这个插件可以将指定的网络访问进行重新的定向和SSL封装,将请求传给SA系统,由IVE系统对请求进行解析,并且对企业内部的应用服务器进行访问请求。
SAM模式可以保证现有的客户化应用不受改变。
采用SAM的方式可以支持如下的应用:
✓访问客户端/服务器应用,包括nativemessagingclients(MicrosoftOutlookandIBM/LotusNotes)
✓其他的基于固定服务端口,较为简单的应用
网络层连接(networkconnect)
在网络层连接(networkconnect)方式中,远程用户首先登陆到IVE系统当中,进行相关的安全机制检查和身份认证,通过认证和授权后,远程系统会自动加载一个小插件,这个插件可以从IVE系统中自动的获得一个内部网络的IP地址,从而实现对内部网络资源的访问,该种访问方式与IPSec类似。
采用NC的方式可以支持几乎全部的网络应用,包括相对复杂的视频会议、IP电话等等。
接入节点的安全
节点安全机制检查
随着远程用户的接入,对于网络管理员来说,相当于将企业的办公网络进行了延伸,如何将企业原有的安全保护措施和安全策略对于新接入的主机也同样有效,Juniper的IVE系统提供全面的解决方案,可以对接入节点的安全策略进行检查,并且根据检查的结果,实施相应的访问控制。
并且允许管理员对以下的选项进行定制。
✓和第三方节点安全解决方案整合,如InfoExpress,McAfee,Sygate,ZoneLabs等
✓注册表参数检查
✓开放/不允许的ports检查
✓允许/不允许的进程检查
✓允许/不允许的文件检查
✓检查定制的dlls
✓对第三方软件实施心跳检查
✓应用认证检查(进程,文件MD5Hash)
缓存清除代理
如果远程用户使用了不可信任的远程主机如网吧PC,对企业的内部网络进行了访问,浏览器的缓存中将会保留一部分访问的数据,很容易造成敏感信息的意外泄漏,Juniper的IVE系统为此提供了缓存清除的功能,用户在登陆内部网络的时候,自动在本地加载一个缓存清除代理,在用户正常注销或者非正常退出的情况下,清除系统的该次访问留下的会话数据和临时文件。
保证了敏感信息不会保留在客户端主机上。
动态全面的访问控制
JuniperIVE系统支持全面的细粒度的访问控制机制,真正实现了对用户身份(Who),访问的目的资源(What),时间(When),位置(Where)和方式(How)的动态控制。
✓动态认证策略:
IVE平台可以通过多种要素对用户身份进行认证,包括提供身份前检查和提供身份后检查,其中提供身份前检查的内容可包括:
源地址、网络接口(内/外)、证书、节点安全状况检查(包括主机检查和缓存清除)、浏览器、登录的URL、SSL版本和加密级别;
提供身份后检查的内容可包括:
身份确定、证书特性、密码长度、同时登录用户数、目录服务密码等等;
IVE平台可以根据这些内容,将登陆的用户划分为相应的角色,并且基于角色实现授权。
另外上面的很大一部分检查都是一个动态的过程,IVE平台可以定时的检查客户端的相关信息。
如可以定时的检查客户端的防病毒软件是否开启,如果用户在使用过程中关闭了防病毒软件,系统可能会因此在用户的访问过程中改变该用户所属的角色,重新为该用户分配相应的权限。
这样的话,就实现了一个动态的访问规则的控制。
✓角色定义和访问手段的控制:
管理员可以定义用户属于一个或多个角色,对不同角色提供不同的访问权限。
对属于多个角色的用户可以一次性地给该用户多个角色的总和,也可以让用户选择采用某个角色进行应用访问;
对于不同的用户角色,管理员赋予不同的访问权限,首先是对访问方式的授权,如指定的用户只能通过WEB或者C/S方式进行等等。
✓对目的资源的访问控制策略:
对于不同的应用资源,管理员可以提供不同的访问策略,策略可以以IP地址为基础,也可以实现到基于URL级别或者文件级别的应用层的访问控制,
多样式的身份认证技术支持
对登陆用户的身份验证
IVE系统支持数字证书的使用,可以单独的利用客户端的数字证书对用户身份进行验证,从而避免了输入用户名/密码的麻烦。
同时,IVE系统还支持多种认证服务器(包括RADIUS、LDAP、WindowsNTDomain、ActiveDirectory、UNIXNIS、dualfactor认证,包括ActivCardActivPack™、RSASecurID®
和SecureComputingSafeWord™PremierAccess™以及X.509客户端数字证书),也可在设备上建立本地用户数据库,更支持LDAP/ActiveDirectory的用户组的特性,方便管理员定义策略。
单点登陆的支持(SSO)
单点登陆指的是用户只需要在IVE服务器上进行一次登陆,就可以实现对系统中多个需要认证的服务器实现身份认证和授权,Juniper提供对SSO的支持,支持的方式分为三种:
✓远程的SSO
JuniperSSLVPN设备对于采用在HTML页面表单的由静态的POST方式来登陆用户的应用,JuniperSSLVPN设备支持一个松散的SSO整合,通过合理的配置,我们可以将用户的信息,数字证书属性以及LDAP属性传递给这个WEB应用,当然也可以通过cookie和HTTP头的方式,保证用户在登陆IVE服务器后,再访问该资源的时候,不需要再次的进行登陆认证。
✓与NeteritySiteMinderPolicyserver的整合
通过合理的配置,我们可以用NeteritySiteMinderPolicyserver来对用户进行认证授权,凡是通过认证和授权的用户,就可以不需要再次登陆,直接访问SiteMinder保护的资源。
同时,对于SiteMinder不包含的资源,我们可以利用在IVE系统再次登陆的方式访问。
✓支持SAML(安全断言标记语言)
Juniper的IVE系统可以与使用SAML通讯的安全访问管理系统结合,当用户登陆IVE服务器后,就可以不用再次授权的访问由该访问管理系统保护的应用资源。
基于策略的管理员权限分配
IVE系统对不同的管理员用户进行策略的匹配和相关的权限的分配,确定管理员角色的因素包括用户名、用户属性、客户端IP地址、客户端证书、证书属性、节点安全状况、浏览器等等;
管理员从权限上也可以划分为超级用户、只读用户等多种,同时针对特定的用户组,也可以设定改组的管理员用户,可以对仅限于改组的用户信息进行维护,包括增加用户、删除用户等等。
坚固安全的系统平台
IVE系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统,该系统被设计成可以抵御针对系统的攻击和针对通过该系统数据的攻击。
系统可以通过只运行完成关键任务的服务来防止攻击,这些关键的服务在开发时就进行了安全加固,确保系统的安全性。
IVE系统不运行通常的用户和程序服务,因此不会导致针对这些服务的攻击。
IVE系统不允许管理员创建、维护系统级的用户帐号。
因为没有交互式的Shell和打开的系统帐号,潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。
IVE系统内部采用了内核级别的包过滤机制,利用预定义的一些规则,对进入系统的数据包进行判断和检查,保证了只有合法的数据包才可以进入或者通过IVE系统。
提高网络传输性能
与IPSec的VPN解决方案方便,JuniperIVE系统提供了更高的网络传输性能,采用的技术手段包括:
✓利用预协商好的GZIP压缩机制来在对应用部分的流量在加密之前首先进行压缩处理,只对应用层的数据进行加密,不进行协议的再次封装,从而减少互联网上传送的流量,提高了网络传输的性能。
✓提供隧道分割(SplitTunneling)能力,只允许流向LAN的流量通过VPN连接器进行传输。
用户使用界面自定制
管理员可以自由调整用户登陆IVE系统的标识与详细界面的外观,比如可以修改LOGO,界面的颜色等等,这样可以更好地匹配公司的风格。
同时管理员可以对不同的用户组实现不同的登陆界面和URL。
系统日志和维护
IVE系统可以生成详细的日志信息,这些日志信息可以在本地保存,也可以传送给相应的SYSLOG服务器,由于SSL信道和认证子模块可以对客户端和服务器终端进行检查,并且记录下相关的信息,我们可以用这些日志进行审计。
管理员通过IVE系统的日志管理器或者SYSLOG日志服务器,可以判断什么用户在指定的系统或者资源上做了什么访问。
同时可以利用日志管理器提供的过滤搜索功能,方便的查找出你想得到的信息。
同时,IVE系统内部也提供了多种维护和调试的工具,如系统的状态显示、PING/TRACEROUTE/TCPDUMP等工具等。
高可用性配置
为了解决单机单点故障引起的远程访问的中断,JuniperIVE设备支持HA功能。
可以支持状态保持下的主/备模式,当主IVE设备出现故障(包括网络故障和主机故障),备份的IVE设备就会自动的切换为主设备,接替原有设备的工作,由于多台集群设备之间实现了状态的自动同步,已有的用户连接不会中断。
配合流量负载设备,JuniperIVE系统支持多主的负载均担方式,不仅可以实现备份功能,更可以扩大容量(如增加系统的并发用户数),又可以实现流量分担,提供访问的速度。
互为集群的设备之间,可以针对以下的信息进行同步。
✓系统状态
✓用户档案状态
✓会话状态
✓群集对
✓多站点群集对
✓主动/主动配置选项
第三方的安全认证
JuniperIVE平台的设计和开发过程通过多个安全专业保障公司和专家的审查和验证,TrueSecure,世界领先的针对互联网连接安全提供保证方案的组织,为JuniperIVE平台进行了验证,并且提供了相关的报告,JuniperIVE也是SSLVPN同类产品中唯一通过TrueSecure验证的产品,另外,DanFarmer(SATAN的作者,一位受人尊重的安全专家)和CryptographyResearch(SSL3.0的合作设计者)也对IVE系统进行了审计和验证。
Juniper作为目前全球SSLVPN市场的领导厂商,一直拥有领先的市场份额,下面是Infometics针对2004年全球SSL-VPN市场的占有率分析。
典型部署应用
目前,大部分的企业网络都部署了边界的网络防火墙,将企业的网络划分为两个部分:
内网和服务器区,一般来说,远程的用户对企业内部网络的访问主要是针对服务器区的一些重要的应用服务器,如OA系统、财务系统、业务系统、邮件系统等等。
我们建议将Juniper的远程访问系统安装在用户网络的DMZ区。
在企业的出口防火墙上,需要为IVE设备映射一个合法可路由的IP地址,以便互联网的用户可以正常的连接到IVE设备上,同时在防火墙上也需要添加相应的安全策略,远程用户只能访问IVE设备的443端口(HTTPS连接),对IVE设备和内部服务器进行保护。
在内部服务器区网络需要部署一台认证服务器,如Radius服务器,对远程用户的身份信息进行验证。
当然,IVE设备本身也可以作为认证服务器用,这样就不需要添加其他新的设备。
远程的用户首先通过WEB浏览器登陆IVE设备,在登陆的主页面上输入分配好的用户名和密码进行身份认证,通过认证后,就可以访问内部相关的服务器资源。
远程用户的客户机与IVE设备之间的通讯,采用了SSL加密的手段,也就保证了这些敏感的数据在不可信任的互联网上的安全传输。
同时,为了保证业务的连续性,为远程的用户提供不间断的服务,可以采用Juniper的多台IVE设备,配置成集群的模式,集群模式可以采用主备的模式,在一台IVE设备发生故障的时候,另外的设备可以自动的接替它的工作;
也可以采用多主的模式,对远程连接实现负载均担,提高网络的访问性能。
下图是JuniperIVE设备部署的一个典型的拓扑图:
Juniper公司介绍
公司介绍
Juniper网络公司致力于实现网络商务模式的转型。
作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注。
公司的客户来自全球各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。
Juniper网络公司推出的一系列联网解决方案,提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络,其中包括全球顶尖的25家服务供应商和《财富》全球500强企业前15强中的8个企业。
Juniper网络公司成立的唯一宗旨是--预测并解决业内最高难度的联网和安全性问题。
今天,Juniper网络公司通过以下努力,帮助全球客户转变他们的网络经济模式,从而建立强大的竞争优势:
✓保护网络安全,以抵御日益频繁复杂的攻击
✓利用网络应用和服务来取得市场竞争优势。
✓为客户和业务合作伙伴提供安全的定制方式来接入远程资源
Juniper网络公司通过其专用平台及先进软件,推动业界迈出了创新的一步。
Juniper网络公司被公认是研发用于高性能智能网络的硅元件及软件的佼佼者,并且一直是业界中最富有首创精神的公司之一,公司所提出的各种创导不断推动网络及企业的转型。
企业构想
InfranetInitiative所设想的新型网络不但涵盖了PSTN和互联网等现有公共网络的最佳属性,而且还在IP/MPLS基础架构上添加了关键的商务功能。
因此,Infranet模式将可以为企业、政府机构和服务供应商等客户提供更高级别的应用性能、业务支持、运营可扩展性以及网络安全性。
此外,InfranetInitiative还将制定商业准则来支持供应商网间结算,以在多网络间传输服务质量的流量--而这正是当前尽力而为的互联网环境所无法实现的。
由此,通过构建一系列的全球网络来随心所欲地为企业用户和个人消费者用户提供任意到任意的丰富体验,该模式将能够大大拓展整体通信市场的商机。
Juniper网络公司采用MINT(InfraNet转型模式)作为提供Infranet的基础架构。
Juniper网络公司的构想是建立一个新型公共网络,将互联网广泛的连接性和专用网络有保障的性能和安全性完美地结合起来。
Juniper网络公司正与业界顶尖的合作伙伴协作,通过InfranetInitiative来实施这个构想。
这次业内协作将产生新的标准及商业准则,使网络运营商和全球各大企业可通过一个新型公共网络来获得有保障的安全性能来支持高级应用。
Juniper网络公司正在帮助客户改进关键网络的经济模式、安全性以及性能。
凭借为世界上要求最严格的网络所开发的面向Infranet的产品,Juniper网络公司正致力于使联网超越低价商品化连接性的境界。
Juniper网络公
升级会员 