SSLVPN解决方案.docx
《SSLVPN解决方案.docx》由会员分享,可在线阅读,更多相关《SSLVPN解决方案.docx(10页珍藏版)》请在冰豆网上搜索。
SSLVPN解决方案
CYLANSSLVPN解决方案
一、公司简介
二、荣誉及资质
三、项目背景
以Internet为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,从典型的如金融业务系统、网上证券交易业务系统,逐渐扩展到企业内部系统应用,大幅度地改进了工作方式,提高了工作效率。
然而如何确保在网络中传输的身份认证、机密性、完整性、合法性等问题已成为进一步发展和推动企业信息化应用的关键。
目前最好的应用安全解决方案是采用PKI(PublicKeyInfrastructure,公钥基础设施)技术建立数字证书认证中心(CA),为企业用户颁发证书来确定身份,保证企业敏感信息的机密性、完整性以及抗抵赖性。
四、需求分析
企业信息化是对企业信息在深度和广度上的开发利用,而及时、准确、全面的信息,才是科学决策的可靠依据。
由于企业信息中的许多内容,如账目、凭证、采购销售、资金使用、生产计划、客户等方面的信息,都在不同程度上关系到企业的兴衰成败,如果这些信息一旦失真或被内部人员、黑客和商业间谍窃取将有可能导致严重的后果。
因此,采取强有力的安全措施来保障企业的信息安全将变得尤为重要。
•身份认证:
目前,很多应用系统采用“用户名+密码”的方式来验证访问用户的身份,用户输入的用户名和密码通过明文方式传输,用户口令易被窃取而导致损失。
因此,需要采用安全的手段,解决应用系统身份认证需求;
•机密性、完整性:
大量企业敏感信息在网上传输,非法用户很容易监听网络传输的数据甚至篡改相关数据,或者入侵到应用系统,窃取有关资料。
因此,需要采用有效的方式保证应用系统传输数据的机密性和完整性;
•抗抵赖性:
信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖,不能否认自己发送信息的行为。
因此,需要提供一种有效的机制,来保证业务系统中传递信息的抗抵赖性;
•其他安全需求:
安全是不能仅仅靠技术来保证,必须要有相应的组织管理体制配合、支撑,才能确保信息系统安全、稳定运行;
五、解决方案推荐
1、方案概述
远程安全访问解决方案,通过CylanSSLVPN和CA中心认证系统的结合合。
即把CA的根证书植入赛蓝的VPN平台,进行终端用户数字证书的颁发,和远程接入用户终端的可信身份验证。
同时使用硬件USB-Key作为终端用户的私钥、数字证书存储介质。
方案实现了远程终端用户的强制身份认证,通过建立PKI/CA认证系统,可以确保各种人员、资源的身份,防止网络欺诈行为和抵赖行为,为内网的业务系统提供了有效的安全保障。
部署硬件的安全终端产品,能更大程度上确保接入应用系统的稳定、安全、可靠。
方案的设计原则是:
完全遵从安全标准;不改动原网络架构;方案实施简单快捷。
2、产品选型及登录方式
总部:
通过在内网布署一台CYLANSGA650移动管理产品作为远程接入的网关设备,把办公系统及其他业务系统等企业信息资源发布到这个平台即可。
远程登录方式:
1、各分公司人员PC通过浏览器登录到移动管理平台上,通过认证后可访问总部企业信息资源;
2、手机或平板电脑安装一个小客户端软件,联接登录到移动管理平台上,访问总部的企业信息资源。
认证手段:
USBKEY数字证书认证,保证访问用户身份的合法性。
3、CYLANSGA650网关产品概述
CYLANSGA650网关产品是以国际标准SSL协议为基础,通过虚拟化技术手段,专为企业定制的基于应用层设计、多种安全防护功能的新一代智能网络安全集中应用发布的远程接入产品,它是完全技基于Linux自主研发的网络操作系统为核心,集成了VPN、认证授权、内容安全授权访问、高可用性配置等众多安全角色,提供高度安全、可信和健壮的系统安全解决方案。
实现了单一设备对多应用的全面安全防护。
为用户提供更快、更安全的保障,全面满足大中型企事业单位的安全和快速接入的需求。
终端用户无需安装业务应用软件的客户端,完全是基于Web方式访问。
CYLANSGA650网关产品可以集中管理企业内部的应用资源,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。
4、部署方式
此方案设备采用单臂方式接入,与现有的网络无缝整合,无需更改现有的网络架构,SSLVPN平台代理远程的请求,再与内部服务器进行通讯,因移动管理平台并不处在网络通讯的关键路径上,这样就避免了网络单点故障;采用此解决方案可以非常方便解决因人员增加的扩容问题。
部署方案网络拓扑图如下:
部署简单说明:
(1)设备部署:
在数据中心机房安装一台Cylan650,最大并发支持到3000个
(2)开放前置端口:
以单臂形式部署,需要在防火墙上做TCP的XXX端口映射,保证能够正常访问。
如果需要远程进行登录维护请开启XXXX端口。
5、组成部分功能
远程安全访问解决方案主要由SSLVPN网关、认证中心和终端用户证书组成,各组成部分的功能如下:
VPN网关:
为远程用户提供接入内部网络并进行强制身份认证,只有确保是合法证书用户才能访问内网,为内网的应用系统了提供强有力的安全保障。
CylanSSLVPN除了能实现网关型的信息安全功能外,同时还具备应用交付的功能,实现基于用户类型和应用系统资源的访问控制管理和审计监控管理功能;
认证中心:
CA系统作为电子证书认证系统的核心,负责业务覆盖范畴中的人员、设备、系统等相关的实体提供数字证书的签发、注销和证书注销列表的发布等管理功能。
通过管理数字证书的生命周期,实现对人员、设备、系统等实体可信身份的管理。
此系统由CylanSSLVPN和CA根证融合建设;
终端用户证书:
结合硬件USB-Key保存用户证书。
这样可以防止黑客通过植入病毒程序盗取合法用户的私有密钥,伪装成为合法用户的身份在网络上数字签名,进行非法活动。
另外,USB-Key便于携带,这样用户可以任意地方安全登录应用,在办公室、在家里和路上随时随地使用;
6、用户访问流程示意图
(1)、远程用户插入USB-KEY,登录自己的终端设备;
(2)、用户访问应用,并提交数字证书;
(3)、身份认证网关获得数字证书后进行证书验证;
(4)、验证无误后,远程用户可以进入内网,访问内网资源;
(5)、流程完成;
六、方案优势
●系统安全——通过Usb-key提供数字证书,再经CylanSSLVPN进行身份认证后,安全接入企业应用,从而得到更高的安全级别,有效保证了企业商业应用及数据系统的安全;
●提高工作效率——部署灵活,操作简单易用。
用户无需关注的认证过程及牢记密码,他们可以从任何地方接入应用,而无需担心泄漏密码;
●易于扩展——系统设计中完全采用工业标准和开放的结构,作为证书应用基础平台,系统可定制,易于与具体业务系统相结合;
●降低成本——CA根证与CylanSSLVPN融合,无需再增加认证服务器。
只需一次部署,没有附加其他费用,降低企业建设成本;
●提升业务灵活性——CylanSSLVPN同时还具备了基于用户角色和应用资源的访问控制管理和审计监管功能;
●服务保障――集成式端到端系统可无缝连接用户、设备、网络和企业资源,从而能满足客户的各种需求。
CYLAN强有力的研发和技术能力确保服务质量;
CylanSSLVPN部署后将会帮助企业管理部门提高工作效率和公众服务满意度。
丰富的应用功能,高度的可扩展性和稳定性为企业的安全及应用平台的布署、推广提供了强有力的技术保障。
CylanSSLVPN能最大程度地迎合了用户的使用习惯,大大降低了用户的使用培训时间,缩短了系统推广周期。
七、赛蓝方案特性
赛蓝科技提供的解决方案主要具备以下特点:
1、简便易用,维护方便
CylanSSLVPN网络架构是采用单臂方式接入,与现有的网络无缝整合,无需更改防火墙或总部网络基础结构就能顺利的搭建成功。
用户可以直接使用Windows自带的Web浏览器访问各种B/S、C/S应用、电子邮件和文件共享。
并且无需安装该应用软件的客户端程序。
赛蓝科技根据政府部门的严肃和服务性专门定制了友好界面,使用更具亲和力。
系统提供Console、SSH、HTTP等多种管理手段,系统管理员可通过监控中心即时监测各个节点使用状态,方便地导入、导出不同设备上的配置文件,并可通过设备内建Update功能轻松实现软件升级;系统具有详细的多层次访问审计功能,支持外部日志服务器,支持到应用程序的细粒度访问控制,无需提供成本高昂的长期客户端支持与维护。
这些特点,都大大方便了系统管理员的管理工作,减少了运行维护的工作量。
2、应用系统的安全性
SSL(SecureSocketLayer)安全套接字层,是目前最普遍用于保护通过因特网传输的信息、数据、和电子商务的加密协议。
员工要访问内部应用服务器,必须通过SSLVPN网关,其过程是先用标准浏览器如IE、Netscape等登陆SSLVPN网关,登陆使用的协议是HTTPS,底层是采用了具有加密算法的SSL协议。
登陆SSLVPN是需要经过用户认证、授权、审计的。
登陆完成之后,员工就可以访问内部的各种应用了,无论是B/S结构还是C/S结构,都能够支持。
同样访问过程中的数据传输都是经过加密处理的,同时也是经过SSLVPN授权允许和审计的。
这样就为用户访问内部应用系统提供了安全的手段,便于内部应用系统的安全发布。
CylanSSLVPN组网方案是端到端的解决方案,不但支持客户端到网关端的加密认证,同时也支持网关到后台服务器端的加密认证,这样就防止了局域网内部人员的入侵,防止非授权用户对应用服务器的非法访问。
CylanSSLVPN产品,在保证数据安全的同时提供了更好的性能。
3、访问的安全性
用户在访问过程中的安全性措施是通过以下几方面进行的:
(1)强认证体系
通过本地用户认证,证书认证,WINDOWSAD,RADIUS,LDAP,USB-KEY,动态令牌,短信认证等多因子多因素强认证功能,支持硬件绑定认证,支持第三方数据库认证(SQL,SYBASE,ORACLE),支持指纹认证,支持邮箱账号认证,支持多种认证混合使用,极大的提高了远程用户可信度和安全性。
(2)客户端安全检查
支持客户端安全检查、客户端绑定,对用户电脑的系统进行定制检查,如WINDOWSA的安全补丁,防病毒软件安装等,发现不符合条件的,不允许访问到应用交付网关;在用户结束访问以后,会自动清除Cookie,临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问,避免安全隐患。
用户登陆VPN后自动断开外网连接,禁止外网连接,防止跳板攻击等。
(3)会话管理
为防止用户在没有注销的情况下长时间离开,导致他人窥探到应用交付网关内的机密信息,应用交付网关安全网关特别加入了不活动检测引擎。
当检测到客户端在指定时间内没有任何访问内网资源的流量时,应用交付网关将自动弹出对话框,提示用户“连接会在X秒内超时关闭,继续还是注销?
”若用户在该时间内仍未选择相应动作,则应用交付网关安全网关将自动注销,中断会话并重新返回登录界面。
(4)传输安全
采用SSL加密协议进行数据传输全程加密,保证用户数据的安全。
(5)密码安全策略
采用密码强度检测、周期性更换密码要求、防暴力破解策略、账号锁定解锁功能、管理员密码权限设置、软键盘、图形验证码等输入验证方式。
4、细致的应用访问权限设定机制
除了对用户的访问认证进行严格的鉴别外,CylanSSLVPN平台还提供了对企业资源访问权限的细致设定,可以对不同级别的员工分配相应权限资源,避免出现内部安全隐患。
当一个合法的用户接入总部网络后,他对总部资源的访问权限能够被限定在一个很小的范围内,例如总部有多个应用系统,如办公OA系统、征收系统、稽查系统等,一个普通的行政人员在接入SSL平台后只有访问办公OA系统的权限,而局方的领导则可以同时访问到更多甚至所有的应用系统,而所有的这些权限都可以通过简单的配置迅速完成,也极大的方便了IT安全部门的管理工作。
5、系统的稳定性、扩展性
赛蓝科技CylanSSLVPN平台全部采用了专业的网络硬件方案,其匹配的操作系统是完全基于Liunx内核开发,确保了服务器级别的稳定及性能。
所有产品在出厂前均经过严格的性能测试,保证用户能在复杂的网络环境中全天候地稳定工作。
基于众多用户的实际使用证明,CylanSSLVPN能满足系统高性价比的要求。
CylanSSLVPN部署在局域网内中任一节点处即可,可以随时根据业务的需求,添加相应的应用服务器,而无需影响原有网络结构。
6、终端可扩展性强
用户使用终端除了PC之外,还可以支持3G终端设备,如手机和平板电脑,支持的终端操作系统有iSO、Android、WM、Phone7等系统。
升级会员 