深信服SSL VPN方案.docx
《深信服SSL VPN方案.docx》由会员分享,可在线阅读,更多相关《深信服SSL VPN方案.docx(12页珍藏版)》请在冰豆网上搜索。
深信服SSLVPN方案
SSLVPN组网方案
深信服科技有限公司
20XX年XX月XX日
第1章需求分析
1.1背景介绍
××公司是××行业的领先者,经过多年的积累,已成为备受客户赞誉的行业翘楚。
(添加客户的背景)
××公司总部位于深圳,在北京、上海、广州等全国×个城市设立了分公司,并在××、××等地成立了办事处。
由于业务的需要,公司领导和员工经常要到全国各地出差办公。
××公司对于信息化建设一直都非常重视,为了保障全公司业务开展的有序性和高效性,建立起了一套统一的信息平台系统。
此信息平台系统承载着ERP、OA、邮件系统等应用系统。
各分公司、办事处人员都需要通过互联网接入到系统中进行日常的办公。
1.2目前面临问题
1.数据安全性无法保障:
在××企业信息平台上的应用数据现在都是未经加密等安全处理的,跑在互联网这个不安全而又开放的网络上。
一旦数据遭到篡改或窃取,带来的损失将无法估量。
2.分公司、办事处访问总部内网资源:
涉及到公司核心数据的应用如财务系统、业务系统等并没有发布到公网上,分公司、办事处的人员都需要接入到总部进行信息化办公。
3.出差领导、员工的接入:
出差在外的领导和员工需要实现随时随地的接入到总部内网访问应用,实现移动办公。
4.应用权限划分:
对于许多重要的应用,尤其是第三方人员接入的情况下,需要进行相应的权限划分来保证内网应用的安全性,防止越权访问。
5.应用访问安全性:
用户在终端访问时所有访问的应用系统数据都保存在本地客户端主机,尤其是一些安全性级别较高的数据,存在数据泄漏的安全隐患。
6.应用访问速度慢:
面对遍布全国南北的分公司和出差领导、员工,线路的丢包延时严重,2小时只能做1小时的事,访问速度的低下直接影响到员工的办公效率。
7.专线价格昂贵,扩展性差:
全国分公司众多,如果全部使用专线进行互联开销很大,而且专线的扩展性差,也无法实现出差领导和员工的移动接入。
8.重要应用认证手段单一:
对于公司重要的应用如财务系统、CRM等,使用的是普通的帐号密码认证,安全手段较为单一,密码存在被窃取的风险。
9.不安全终端接入的风险:
公司总部有很好的网络安全防护,但部分小型分公司和出差人员的移动终端的安全措施往往得不到很好的保障,这部分接入的主机成为了总部的安全短板,存在将病毒、木马、黑客等引入到总部的风险。
10.终端使用复杂:
大量的应用系统需要记忆众多的用户名和密码,且容易混淆,导致效率下降。
11.管理权限无法划分:
处于管理的需要,需要切合网络部门管理的结构,面对不同的接入用户需要实现分级分权限管理,提高管理效率。
12.IPSecVPN使用复杂,不易操作:
IPSecVPN的移动应用需要安装客户端软件,而下面接入单位众多,电脑水平参差不齐,易造成操作失误或者兼容性问题导致业务中断。
1.3方案设计原则
13.应用支持完整性:
SSLVPN系统需要拥有完整而强大的应用支持性,不仅能够支持现在企业正在使用的所有应用,还必须能与其他将来所有可能会运用到的应用无缝结合。
14.稳定可靠性:
整个企业的SSLVPN网络支撑着企业的重要业务系统,需要具有高稳定可靠性来保证整个信息平台的畅通运行。
15.快速性:
对于身在外地接入人员来说,最重要的是得到速度上的保证,能够快速的接入并使用各种应用,顺利的开展业务。
16.易用性:
许多分公司员工、移动办公人员的IT水平都不高,而且在外接入的环境各异,VPN系统需要最大的保证易用性,让人人都能很快上手,方便的使用。
17.安全性:
VPN系统需要全方位的保障整个系统、网络传输、用户接入的安全性,从而保障整个公司信息系统安全畅通的使用。
第2章解决方案及方案价值
2.1SANGFOR解决方案
针对于××××网络建设中存在的问题,SANGFORSSLVPN提出以下解决方案:
1.数据强加密:
SANGFORSSLVPN设备使用基于应用层的SSLVPN协议进行数据加密处理,在客户终端与SSL设备之间构建一条旁人无法破译的专有通道,保证数据在传输中的绝对安全性。
2.安全发布应用,访问便利:
使用SSLVPN对内网应用进行发布,并根据组织原有的Internet线路通过浏览器内置的SSL协议构建在单点接入用户和内部的应用系统之间架设一条安全的通道。
无需安装任何客户端软件,实现分公司和移动办公人员的安全、方便的远程接入。
3.细致权限划分:
SANGFORSSLVPN通过“角色”的设置,进行用户、用户组、应用资源的绑定,并可通过基于时间的客户端检查授权规则赋予用户、用户组不同时间的不用应用的访问权限,实现基于用户、用户组、时间、应用的细致权限划分。
4.融合多种加速技术:
SANGFORSSLVPN结合了多种加速技术,分别从数据削减、线路优化、传输提速三方面全面的提升数据传输速度。
通过流缓存技术、B/S、C/S压缩将削减冗余数据,通过HTP快速传输协议针对丢包延时现象进行线路优化,通过基于码流特征的数据优化技术在保证数据实时性和完整性的前提下大幅降低数据传输量、提升传输速度,使用多线路技术、Web优化、WebCache、资源负载均衡、IP服务加速进行数据传输的提速,打造“最快速”的SSLVPN应用访问。
5.多种认证方式相结合:
针对单一用户名/密码认证的安全强度不足的问题,SANGFORSSLVPN支持多种认证方式“与”、“或”方式相结合,包括短信认证、CA认证、LDAP、RADIUS、动态令牌卡的多种方式,加强了认证的安全性。
6.客户端安全检查:
SANGFORSSLVPN支持客户端的安全检测策略,通过检查终端的操作系统、注册表、进程、文件、接入线路的IP、接入线路的时间、登录IP等各项信息对客户端进行全面检测,并进行允许/不允许接入SSLVPN或授予不同的应用访问权限的操作。
从源头对终端接入带来的安全风险进行控制,保障了总部的安全。
7终端易用性:
SANGFORSSLVPN通过浏览器就能实现对内网资源的访问,无需安装客户端软件。
并支持B/S和C/S应用的单点登录,用户通过认证并登录到SSLVPN后,直接可以打开相应的资源进行内网应用的访问,不需要再反复的输入用户名密码,大大降低在终端上访问内网办公的复杂程度。
8.管理员分级管理:
SANGFORSSLVPN支持设置多达16级的多级管理员,上级管理员可对其下级管理员进行相应的权限设置和配置的强制继承,既切合组织网络管理的结构,又保证了管理配置上的一致性。
2.2部署拓扑
部署说明:
1.在总部网络中SANGFORSSLVPN以网关/路由/单臂模式进行部署,各分公司员工及出差领导、员工等通过SSLVPN授权,使用浏览器接入总部。
2.对于拥有比较高的应用权限、安全性要求比较高的分公司领导,关系到公司重要数据的财务部门,以及出差的领导员工等,使用DKEY认证接入总部。
2.3方案优势
1.高安全性:
通过SANGFORSSLVPN的多种认证方式、多重安全机制保障了内部重要应用既实现了信息平台的共享,又实现了从应用发布、用户认证、用户接入乃至断开连接的一整套的高安全性。
消除了企业信息平台共享的安全风险。
2.高稳定性:
SANGFORSSLVPN经过了公安部和国家保密局的严格测试,是国家VPN标准的制定者,并与国际领先的测试方案提供商思博伦(Spirent)合作,进行设备的高强度全面测试以保证设备稳定性。
全国5000多家客户、上万个网络的大容量成功实际使用也证明了深信服SSLVPN的高稳定性。
3.高速接入体验:
速度性远超普通的VPN,提供了网络的高速和高可用性。
在速度方面深信服科技的VPN产品可以远超其它品牌的VPN产品,具有特有的多线路复用技术、跨运行商智能选路技术、畅联技术、动态压缩技术等广域网加速技术的应用,通过配置可选的加速模块甚至能让广域网的传输速度接近局域网的效果,从而保证了快速接入。
4.应用的统一管理:
通过SSLVPN对公司应用进行统一发布,实现对用户的应用使用权限划分、接入流量限制等等管理措施,保证各个用户的访问在授权范围内,不会对主要的系统造成影响和破坏。
并支持日志数据中心,详细的记录了各个用户的访问日志和应用资源的使用情况,为以后的业务审计和网络规划提供了参考依据。
5.便捷经济性:
采用SANGFORSSLVPN系列产品实现远程安全快速的内网接入,提高了网络的可用性,相对于专线高昂的费用节约了大量运营成本。
SANGFORSSLVPN具有部署方便、使用便利的特点,方便网络部门进行管理维护的同时,大幅提升用户的访问体验。
6.方便扩容、平滑升级:
SANGFORSSLVPN扩容便利,新增用户只需要在设备用户数支持范围之内再开通授权即可。
特有的集群技术,对于新增用户数超出设置支持的情况,只要再购买满足日后扩容需要的设备,即可通过集群实现设备之间支持用户数的叠加,很好的保护了原有设备的投资。
第3章技术优势
3.1便捷的访问
SANGFORSSLVPN,是利用浏览器中内嵌的SSL协议,在移动客户端与总部的SSLVPN中建立一条SSLVPN通道。
出差领导和员工、分公司员工只需要打开浏览器登录相应的SSLVPN页面并通过认证,即可通过SSLVPN访问内网资源,不需要在终端上安装任何客户端软件。
SANGFORSSLVPN支持B/S和C/S应用的单点登录功能,实现只需要通过SSLVPN认证,无需反复输入各种系统的帐号密码就可以直接使用所有的远程应用。
启动了单点登录功能在成功登陆SSLVPN页面直接跳转到对应用的资源列表页面,对于B/S资源直接点击就可以进入,对于C/S资源,通过启用该应用的客户端软件就可以直接使用,大大提高了访问应用的易用性。
3.2安全的访问
SANGFORVPN对于安全方面的定义分为接入的安全、传输的安全、资源的安全、断开的安全四个方面进行全面的保障。
1.接入的安全:
单纯的帐号密码认证容易遭到密码丢失、密码遭到破解等威胁,SANGFORSSLVPN支持多种认证方式,提供比网银还安全的认证,包括短信认证、动态令牌卡认证、USBKey认证、CA认证等方式的“与”、“或”组合。
支持与企业原有LDAP、RADIUS认证的无缝结合。
支持硬件特征码的终端绑定功能,并可通过客户端安全检查全面检测终端的应用系统、杀毒软件、防火墙、注册表、文件等信息,将SSLVPN的安全范围扩大到终端,避免由于终端的安全短板给内网资源带来的威胁。
2.传输的安全:
SANGFORVPN通过DES/3DES/AES/RC4等多种国际主流加密算法保证数据传输的安全。
支持VPN专线功能,对于重要的如财务系统等应用,可设定特定用户接入VPN后自动断开其他一切的互联网连接,避免出现黑客以接入终端作为攻击内网的跳板的隐患。
3.资源的安全:
SANGFORVPN支持对特定用户、用户组进行资源的权限的划分,防止应用出现越权访问的情况。
支持安全桌面功能(沙盒技术),将通过SSLVPN访问的应用置于该安全桌面中访问,访问时通过断绝本机、网络、外设通信保证应用访问过程中的数据不可拷贝到本机。
当用户退出SSLVPN后,所有安全桌面内访问的应用数据将一并销毁,防止重要资源数据在终端的泄漏。
4.断开的安全:
SANGFORSSLVPN在用户结束访问并注销后,在终端同时会自动清除IE中的Cookie,临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问,避免安全隐患。
3.3快速的访问
SANGFORSSLVPN融合了多种广域网加速技术,速度性远超普通的VPN,提供了网络的高速和高可用性。
在速度方面深信服科技的VPN产品可以远超其它品牌的VPN产品,通过配置可选的加速模块甚至能让广域网的传输速度接近局域网的效果。
首先是平均传输效率为130%的LZO压缩和GZIP压缩,SANGFORSSLVPN内置了数据压缩算法,对所有的传输数据进行压缩之后、再传输,这就在无形中极大的提高了带宽。
SANGFORSSLVPN采用了SANGFORWAC加速引擎中专利“基于码流特征的数据优化”技术,能够大大降低广域网传输过程中的数据流量,根据实际的测试最多时甚至能够将流量减少95%以上。
区别于一般的缓存技术存在数据更新滞后等问题,基于码流特征的数据优化采用数据流cache加速技术,通过数据包分片标签机制并结合优化的模式匹配算法,在保证数据实时性的同时大大降低数据传输量提高访问速度。
中国环境中特有的移动、联通(网通线路)、电信3网并存的情况,3张网之间的传输存在着瓶颈问题。
SANGFORVPN独有的专利技术畅联技术(FLASHLINK),专门针对网络传输模式进行改进,消除运营商之间的传输瓶颈。
对于××公司,外网连接了×条线路,SANGFORSSLVPN拥有的多线路技术,实现对多条线路间自动选择最快的线路进行传输,或通过多线路的带宽叠加成倍的扩大出口带宽,将线路之间的传输瓶颈影响降到最小。
SANGFORSSLVPN还支持多项加速技术,如IP资源提速、无线优化技术、资源负载均衡、动态压缩、Web优化、WebCache等多项技术,全面改善网络传输,让速度得到质的飞跃。
3.4方便的管理
SANGFORVPN系统采用GUI图形界面管理,维护简便。
并提供了完善的日志服务、故障诊断等工具,方便总部管理员对系统的维护和管理。
SSLVPN的数据中心详细的记录了用户登录、访问资源、流量、设备告警等各项详细日志,并支持报表生成功能,便于管理员对内网和应用形成一个直观的感受,为网络的管理和优化提供参考。
SANGFORSSLVPN提供管理员的分级管理功能,内设管理权限最高的系统管理员。
系统管理员之下可以根据公司的组织架构、网络和服务器的管理等方面的综合考虑设置分级管理员,管理SANGFORSSLVPN系统模块设置、资源权限、角色、用户等方面的内容。
对于移动接入的人员,可根据用户、用户组进行上下行带宽、会话数量的限制或保证,保证了客户端访问效果,防止恶意占用带宽。
第4章成功客户案例
4.1深信服SSLVPN助力中国人民银行总行打造高效安全连接平台
(案例根据具体客户进行更改)
中国人民银行是中国中央银行,主要行使货币政策、监督金融市场、经理国库、管理信贷业务、从事国际金融活动等职责。
作为中国银行业的最高管理机构,中国人民银行每天面临着巨大的信息量,要求其及时对众多的市场、金融信息做出处理,提供决策政策。
随着信息化建设工作的深入开展,中国人民银行建立了一套数据网络平台用于数据的整合与共享;所有邮件系统、业务系统的信息传输均在该平台上实现,有力地提高了数据整合速度,提高了运营效率。
随着移动办公需求的急剧增加,中国人民银行工作人员不仅仅需要在单位局域网内安全快捷地访问OA、邮件系统、业务系统等网络资源,在外出差期间同样需要安全快速地连接进单位局域网内部访问相关办公系统。
中国人民银行信息中心的工程师们经过详细调查,得知深信服科技是前沿网络领域的领导厂商,其SSLVPN远程连接解决方案以其安全性、高效性、易用性和可靠性享誉业界,在金融、保险、制造、能源、教育、政府等行业有着大规模的成熟应用。
通过进行产品实地测试应用,最终采用了深信服SSLVPN连接方案,以其独有的技术优势来实现央行信息化建设的需求。
在总部机房处,中国人民银行部署了两台深信服M5500-S设备,为远程接入提供安全高效的连接平台。
同时考虑到线路稳定性、设备稳定性等因素,以双机热备的方式实现了系统稳定连接,再次,引入了深信服独有的多因素身份认证方式,实现静态认证和动态认证的混合模式身份认证体系,实现了对所有接入工作人员的安全认证和接入。
深信服VPN设备为央行构建起了一个稳定、高速、安全的VPN接入网络,给央行的信息化建设增添了浓重的一笔。
央行的邮件等应用系统都承载在这个网络中,所有移动办公人员在各个场所包括酒店、住宅、候机室等环境下都可通过SSLVPN接入总部的IDC,进行信息交互。
为中国人民银行日常业务的开展提供了有力的保障和支撑。
4.2更多客户名单
政府
行业
教育科研
企业
中国环境监测总站
中国人民银行总行
中国人民大学
华侨城集团
湖南省财政厅
中国建设银行
浙江大学
长虹电器股份公司
卫生部卫生监督中心
中国银联
吉林大学
东风日产
广东省水利厅
华夏基金
沈阳大学
山东鲁能集团有限公司
江苏省疾控中心
海通证券
北京理工大学
中原地产
江苏省政协
中银保险有限公司
北方交通大学
橡果国际
北海舰队
太平洋财产保险
上海外国语学院
华联发展集团
南昌市信息中心
中国人寿
广州广播电视大学
招商局集团
农业部信息中心
中国华电集团
四川警察学院
三九企业集团
郑州市商务局
中国移动
浙江职业艺术学院
新华书店
中铁二十三局
中国联通
浙江省经贸学院
安徽省电视台
成都市统计局
中国华能集团
成都勘测设计院
上海中远物流公司
广州黄浦区政府
中国华电集团
中科院水生所
用友软件(集团)股份有限公司
深圳海关
中国电能成套设备公司
中铁大桥勘测院
北京宅急送快运公司
升级会员 