电信运营商SSL VPN运营方案.docx
《电信运营商SSL VPN运营方案.docx》由会员分享,可在线阅读,更多相关《电信运营商SSL VPN运营方案.docx(12页珍藏版)》请在冰豆网上搜索。
电信运营商SSLVPN运营方案
电信运营商
SSLVPN运营方案
―――――――――――――――――――――――
一、前言
随着网络应用领域的不断增加,互联网的开放性也带来了许多内在的安全隐患,类似黑客入侵、数据篡改、截获事件发生不断。
另外,由于多数系统采用用户名+口令的认证方式,很难保证访问用户的合法身份及访问权限。
如何让有授权的人在没有安全威胁的前提下打开机构内部系统?
同时,如何使复杂的安全措施不对用户产生妨碍,不因为安全牺牲性能?
近年来,VPN引起了人们的广泛注意。
它可以利用Internet网建立安全、可靠、经济、高效的专用传输链路。
利用VPN,位于不同地区的人员只需分别接入本地的Internet网,就可以组成一个安全的虚拟专用网络。
UUDynamics的iStar远程安全访问解决方案在传统的VPN技术基础上,针对复杂的Internet接入环境、操作人员技术水平参差不齐、内网服务器的易被攻击、国内固定IP的缺乏等众多不利因素,进行了技术、产品的创新,为电信运营商构建了一个灵活的远程安全接入运营平台。
通过该运营平台,电信运营商的企业用户只需通过租用或购买设备的方式就可以实现企业SSLVPN功能。
二、系统方案介绍
2.1方案定位
目前,大部分大中小企业都有远程访问的需求,包括出差员工访问公司资源,远程分支机构或代理合作伙伴等都有远程访问公司内部资源的需求,传统的IPSECVPN由于其技术本身的限制以及用户端配置等方面的原因,无法很好的解决远程访问的需要,SSLVPN的出现,很好的解决了该问题。
但是由于目前SSLVPN设备普遍比较贵,对于很多企业并不希望一次性投入太多的成本去购买SSLVPN设备,他们更多的是希望以租赁的形式来获得安全可靠便捷的SSLVPN服务。
在电信服务方面,国内目前主要集中在电信、网通、移动、联通和铁通等几大运营商。
但是在数据业务方面,几大运营商提供的服务基本相同。
因此,目前各大运营商都在探寻新的运营模式,在其电信资源上提供更多的增值业务,为其获得更多的运营收入和客户。
我们希望通过构建SSLVPN运营网络,为电信运营商增加运营收入的同时,也为电信运营商巩固并带来更多的企业高端用户。
通过SSLVPN运营网络,实现企业和电信运营商双赢的局面。
对于企业,无需一次性投入很多的成本去搭建SSLVPN网络,只需通过租赁的形式获得电信级的SSLVPN服务;对于电信运营商,在提供增值业务的同时,也绑定了高端企业用户。
2.2解决方案
电信运营商在其骨干网络上架构UUSwitch作为其核心SSLVPN运营网络,企业用户端根据用户需求部署不同级别的UUpublisher。
远程用户要访问企业内部资源时,通过电信运营商SSLVPN运营网来实现。
具体拓扑结构如下:
随着信息化的发展,基于Internet的VPN互连方式以其低成本、高效率的解决方案正日益受到推崇,通过该SSLVPN平台,满足了企业用户的如下需求:
(1)接入需求
用户VPN能做到任意点的接入。
并且能够支持大量用户的同时访问能力。
(2)功能性需求
完全支持各种基于B/S,C/S架构的应用系统和文件共享等功能,满足绝大部分企业用户的功能需求。
(3)安全性需求
在安全性方面,不同的企业根据各自企业的实际情况,采用不同的安全认证策略,灵活方便。
(4)易用性需求
在用户数量庞大的情况下,必然会出现用户操作水平参次不齐的情况,使用简单、方便就显得十分重要。
这就要求用户端不需要预装客户端软件,接入系统的方式采用IE浏览器方式,并且原有应用系统的使用方式不变。
2.3SSLVPN运营平台组成
2.3.1.交换单元
交换单元是电信运营商SSLVPN运营网络中放置铁通骨干网的交换设备,用来提供给企业发布单元进行注册功能。
它能够物理上分布在多个地点。
交换单元在发布单元和使用者两方进行应用资料交换之前提供"信令"的功能。
在不使用公共IP地址的双方转发应用资料时,交换单元能透明地转发应用数据。
但它不参与KEY的交换或加解密,以确保信息的安全和高效。
在电信运营商SSLVPN运营网络中,我们建议先部署UUSwitch。
并首期以两台以上UUSwitch做负载均衡冗余备份。
2.3.2.发布单元
发布单元位于应用服务所在的一方,也就是企业用户一方,以便将应用服务发布给远程使用。
应用服务不仅仅可以是WebServer,同时支持如IBM/LotusNotesServer,MSExchangeMailServer,OracleDatabaseServer,Netmeeting等等的C/S应用。
多台发布单元能群集成为高效能和均衡负载的群组。
针对不同的用户需求,我们会建议企业用户选择相应等级的设备。
目前我们能提供的设备包括UU200/UU1000/UU2000,具体规格如下:
UU200规格说明(硬件)
并行用户数
25/50/100
安全机制
基于SSL协议
AES/DES/3DES,RSA,SHA1/MD5
用户认证
本地方式
AD/NTLM/RADIUS/PKI/TWOFACTOR(RSASecurID)
可管理性
具备远程管理机制
高可用性、可扩展性和负载平衡
Cluster技术
最多至10台
硬件规格
机箱(mm)
长440/宽238/高45-90
作业温度
0至45摄氏度
库存温度
-10至60摄氏度
重量
4-10kg
电源
输入电压
110/220V
输入频率
50HZ
输入电流
110V~2A/220V~1A
最高输出功率
70W
UU1000规格说明
并行用户数
100/250/500
安全机制
基于SSL协议
AES/DES/3DES,RSA,SHA1/MD5
用户认证
本地方式
WindowsAD/NTLM/RADIUS/PKI
TWOFACTOR(RSASecurID)
可管理性
具备远程管理机制
高可用性、可扩展性和负载平衡
Cluster技术
最多至10台
硬件规格
机箱(mm)
长440/宽238/高45-90
作业温度
0至45摄氏度
库存温度
-10至60摄氏度
重量
6-10kg
电源
输入电压
110/220V
输入频率
50HZ
输入电流
110V~2A/220V~1A
最高输出功率
130W
UU2000规格说明
并行用户数
500/1000
安全机制
基于SSL协议
AES/DES/3DES,RSA,SHA1/MD5
用户认证
本地方式
WindowsAD/NTLM/RADIUS/PKI
TWOFACTOR(RSASecurID)
可管理性
具备远程管理机制
高可用性、可扩展性和负载平衡
Cluster技术
最多至10台
硬件规格
机箱(mm)
长440/宽238/高45-90
作业温度
0至45摄氏度
库存温度
-10至60摄氏度
重量
4-10kg
电源
输入电压
110/220V
输入频率
50HZ
输入电流
110V~2A/220V~1A
最高输出功率
150W
2.4方案的特点
2.4.1功能完善、应用领域众多
(1)为企业轻松解决移动办公
SSLVPN运营平台能为用户提供强大的移动办公平台。
它没有防火墙、NAT穿越的问题,也不存在IP地址冲突的问题,支持所有Internet接入方式,保证用户可以在各种环境下(酒店、机场、无线网络和局域网内)畅通无阻的实现移动办公。
(2)提高企业应用系统的安全性
SSLVPN运营平台通过应用代理、分级授权以及客户端扫描等多种手段,能为抗攻击能力薄弱的各种网络应用系统,提供可靠的安全保障,使其免遭黑客和蠕虫病毒的恶意攻击。
我们可以将SSLVPN运营平台部署在服务器子网的入口位置,利用其应用代理机制,将后台开发的众多固定或动态TCP端口全部保护起来,对外仅开放TCP443端口;结合交换单元更能做到把443端口也关闭(In-Bond);这样一来,应用系统的安全性得到了极大的提高,从根本上阻断了黑客和蠕虫病毒的入侵途径。
另外,SSLVPN运营平台还能够根据应用来授权,对不同的用户授予相应权限,使用户只能看到自己有权限的应用,而其它应用系统则被SSLVPN系统隐藏起来。
再配合多种客户端扫描策略,从而进一步提高了应用系统的安全性。
(3)能实现企业应用系统整合
SSLVPN运营平台为用户提供了一个统一的应用系统发布平台,可以将B/S、C/S、文件共享等多种应用整合到一个IE浏览器页面中,将不同的应用以清晰、明了的图标方式呈现出来,并且还可建立目录结构,方便管理和使用。
SSLVPN运营平台采用基于应用层的代理机制,支持所有基于TCP/UDP协议的应用系统;用户不用对原有系统做任何改动,即可与之无缝结合。
例如下表中列举的应用:
B/S应用
Http/Https应用、Webmail服务、企业ERP系统、WebOA系统、CRM系统、B/S架构财务软件等。
C/S应用
邮件系统:
SMTP、POP3、IMAP4;(如Outlook、Foxmail、Eudora等)
常用的终端连接:
IBM5250/3270、SSH、Telnet等
远程桌面控制:
MSTerminalService、PCAnywhere、Radmin、VNC等
其它基于TCP/UDP连接的应用程序:
LotusNotes、ERP、NetMeeting、SQL、Oracle、WebOffice等等;
文件共享应用
支持文件浏览、FTP、SMB、NFS服务器等
(4)多种身份认证方式
SSLVPN运营平台可以在不对原有应用程序和服务器做任何改动的情况下,为系统提供多种形式的身份认证。
不仅具有本地认证数据库,还能与原有认证数据库相结合,可无缝兼容WindowsActiveDirectory、WindowsNTDomain、RADIUS、LDAP、ACEServer和PKI等认证系统。
另外,在认证手段上,不仅支持用户名/密码方式,还支持多种硬件认证方式,比如:
USBKey、RSASecurID®token和One-TimePasswordToken等;从而使客户端身份认证的安全性大大提高。
(5)实现企业数据的加密传输
SSLVPN运营平台可以在不对原有应用程序和服务器做任何改动的情况下,实现客户端与服务器之间的加密数据通信。
它支持多种加密方式,比如对称加密、非对称加密和摘要等。
可以让用户自定义选择,可以只采用一种算法,也可以多种算法同时使用。
适应不同保密级别的需要。
(6)实现企业双向访问功能
SSLVPN运营平台具备双向访问功能,可实现LANtoLAN以及远程任意点的数据采集和互访。
配合内部网络应用的代理发布功能,可以充分满足大型机构和企业远程安全访问的各种需求。
(7)加快网络访问速度
SSLVPN运营平台独特的体系架构,可有效提高公共网络中的数据传输速度。
非常适合分支遍布全国、乃至全球各地的大型机构使用;可以在不增加任何链路带宽投资的情况下,使网络访问速度大大提升。
2.4.2高安全性
(1)基于应用层的端到端(EndtoEnd)的安全机制;
(2)在应用系统端的防火墙上不用开放任何进站(In-bond)端口;(PrivateAccess)
(3)无流量时连接自动中断;
(4)清除客户端临时文件;
(5)真正支持双因子(Dual-factor)认证功能;
(6)支持客户端、应用程序凭证功能;
(7)支持访问时间段(Time-based)策略;
(8)支持主机检查(Hostchecker)功能,可强制扫描客户端的软件情况;
(9)内建标准CA(Build-inCA),可独立向用户颁发数字证书。
2.4.3可靠性高、扩展性强
(1)集群(Cluster)功能
SSLVPN运营平台采用了群集技术,多台小容量设备通过群集方式构建大容量的系统。
所有群集在一起的单元表现就像单一系统。
单个集群的设备数量可达10台。
充分保护了用户投资,使用户的分步投资计划得以实现。
(2)负载均衡(Loadbalancing)
SSLVPN运营平台自身具备负载均衡功能(不需要外接负载均衡设备),访问系统的流量会均匀分布在多台群集的设备上,不会造成单台设备负载过大,从而导致整个系统性能下降的问题。
(3)高可用性(Highavailability)N+1冗余备份
在群集N台设备之中再加入一台设备,形成N+1冗余备份机制,任何一台设备出现故障都不会影响整个系统的正常运行。
(4)冗余电源
SSLVPN运营平台的运营级产品更具有冗余电源配置,并且支持热插拔。
2.4.4低TCO(TotalCostofOwnership)
(1)增加/删除使用者十分简易,不用预装客户端软件,维护成本低廉;
(2)对于企业,无需使用公共IP地址;
(3)单一环境同时支持企业员工以及商务伙伴;
(4)单一环境同时支持Client-to-Site及Site-to-Site应用;
(5)无需购买数字证书,节省数字证书的申请费用。
三、部署使用
(1)用户不用预装客户端软件;
(2)通过USBKEY可做到自动登录、自动打开应用系统,使用户操作最简化;
(3)不改变现有网络环境,设备可根据用户需要安装在网络的不同位置。
(4)在服务器端没有公网固定IP地址的环境中,仍然可以部署、使用;(PrivateAccess)
(5)丰富的基于用户(User-based)的访问控制策略,使用简单、清晰;
(6)能与现有各种认证系统无缝结合;
(7)支持基于角色(Role-based)的管理;
(8)设备内置系统配置向导及多种应用发布的模版,管理十分方便;
在用户使用该平台时,首先连接Internet网;然后打开IE浏览器,输入电信运营商SSLVPN运营网站的地址(如https:
//www.ABC.com/a@,在该地址中,www.ABC.com代表SSLVPN运营网地址,后面部分/a@代表不同的企业用户);再输入帐号认证登录后,弹出VPN窗口。
窗口中便是可使用的资源列表(列表中的内容根据用户权限不同而不同),上面有该用户可以访问的资源图标,用户直接用鼠标双击图标即可使用。
该系统能够根据应用来授权,对不同的用户授予相应权限,使用户只能看到自己有权限的应用,而其它应用系统则被系统隐藏起来。
同时再配合多种客户端扫描策略,从而进一步提高了应用系统的安全性。
四、运营方案
4.1.推广计划
首先在上海或*省针对企业用户,以数据业务和SSLVPN绑定的模式来推广,在一个区域积累了一定的推广经验后,在电信运营商全国推广上海SSLVPN运营经验,并设一个全国的SSLVPN运营中心。
4.2.推广模式
电信运营商购买交换单元,作为SSLVPN运营网络的骨干中心,对于企业端发布单元,根据企业的情况不同分为:
a.电信运营商购买发布单元,提供给企业客户,电信运营商与企业客户签订至少2年的使用协议,每月收取服务费。
b.电信运营商购买发布单元,提供给企业客户,上海铁通与企业客户签订至少2年的使用协议,第一年客户使用费用全免。
c.发布单元由某业务服务商提供,电信运营商不采购,电信运营商与企业客户签订至少2年的使用协议。
使用服务收入由电信运营商、业务提供商、设备厂商三家分成,分成比例为xxx。
d.发布单元由某业务服务商提供,电信运营商不采购,电信运营商与企业客户签订至少2年的使用协议。
使用服务收入由电信运营商、业务提供商、设备厂商三家分成,分成比例为xxx。
4.3.资费标准
用户数
低于25
低于50
低于100
低于200
月费用/人
一年收入
二年收入
预测UU设备成本
对于服务器托管在电信运营商机房的企业客户,电信运营商将按每人每月100元的标准收取费用。
4.4.客户类型分析
SSLVPN的客户类型主要定位为有移动访问需求的企业客户,遍布各个行业包括:
商贸、制造、物流、服务等。
4.5.投入产出分析
我们采用一个案例来实际分析,假如某个企业采用了SSLVPN运营网络服务,该企业有***个远程访问需求用户,根据资费标准,每个用户的月费用为****元,按***用户数收费,一年电信运营商的收入为*****元。
发布单元的采够成本为****,也就是***个月收回投资成本。
而且,该设备使用简单,可大大提高客户满意度。
如果SSLVPN网络由企业自身搭建,从设备的投入成本考虑,以***用户来计算,一次性投入将在****万左右,并且,企业需要配备专业的网管人员来维护管理这套设备。
从以上分析可以看出,企业用户通过租赁铁通SSLVPN网络,将会为其节约大量的投资成本。
对于电信运营商,通过SSLVPN运营网和电信运营商数据业务捆绑销售,为电信运营商增加运营收入的同时,也能为电信运营商带来更多高端企业客户。
该部分影响将远远超出SSLVPN运营本身的意义。
升级会员 