SSLVPN解决方案Word文档格式.docx

1、各移动用户现在希望通过Internet与总部进行安全通信，具体需求如下：企业现在有一个内部业务应用系统（基于B/S或C/S架构），由于业务的扩展，有很多业务人员在外办公，目前大概有1000名移动用户，为了能合理利用网络及内部资源，需提供一个简单可行的远程接入方案，把移动用户接入到内网，同时对这些用户能有效进行管理。一.2 需求分析根据XXX公司现有的网络状况和业务情况，目前的需求分析如下： 内网业务系统基于B/S结构，业务模式简单； 移动办公人员众多，使用水平参差不齐； 对移动办公人员的身份要求进行严格认证和监控； 数据在Internet上传输时应保证足够的安全； 该系统扩展性好，为以后的扩充

2、更多用户做好准备； 有良好的日志系统； 整个接入系统安装方便、快捷，便于维护和管理。 基于以上分析，这是一个典型的VPN的接入需求。天融信公司能提供基于IPSec和SSL的两种VPN解决方案，在本案中，用户的业务模式简单（仅基于B/S模式），用户数量众多，在此推荐采用SSL的解决方案。以下我们将详细论述天融信SSL VPN解决方案。第二章 VPN技术及天融信VONE产品二.1 VPN产品概述二.1.1 安全接入的应用趋势随着电子政务和电子商务信息化建设的快速推进和发展，越来越多的政府、企事业部门已经或即将构建网上办公系统和业务应用系统，使内部办公人员通过网络可以迅速地获取信息，使移动办公等多种

3、远程办公模式得以逐步实现，同时使合作伙伴人员也能够访问到相应的信息资源。可是要享受通过互联网访问企业内部的信息资源的便利，就面临着非法访问、信息窃取等越来越多的来自外部和内部的安全威胁。而我们目前所使用的操作系统、网络协议和应用系统不可避免地存在着不少的安全漏洞。因此，在构建和应用这些应用系统时，必须要保障关键应用在开放网络环境中的安全，同时还需尽量降低实施和维护成本。二.1.2 安全接入的技术趋势目前安全接入组网技术有多种，每种技术都有其适用范围和优点，同时也有一定的缺点。主流的VPN技术主要有以下三种：1L2TP/PPTP VPNL2TP/PPTP VPN属于二层VPN技术。在window

4、s主流的操作系统中都集成的L2TP/PPTP VPN拨号客户端软件；但是由于协议自身的缺陷，没有高强度的加密和认证手段，安全性较低；同时这种技术仅解决了移动用户的VPN访问需求，对于LAN-TO-LAN的VPN应用无法解决；2IPSec VPNIPSec VPN 属于三层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护措施；同时工作在网络协议的三层，对应用程序是透明的，能够无缝支持各种应用；既能够支持移动用户的VPN应用，也能支持LAN-TO-LAN的VPN组网；支持多种网络拓扑结构。其缺点是网络协议比较复杂，正确配置VPN隧道需要较多的专业知识；而且需要在移动用

5、户的机器上安装单独的客户端软件。3SSL VPNSSL VPN属于应用层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护；由于在windows等操作系统中的IE浏览器已经支持了完整的SSL协议，因此原理上将对于B/S应用是无需安装客户端软件的，部署使用较为简单。主要适用与移动用户接入并访问B/S结构的应用系统，对于C/S应用的支持仍然需要安装客户端的插件。各种VPN技术都有其优点和缺点，用户的实际应用中，往往需要将这几种技术进行综合应用，才能满足较为复杂的用户需求。天融信将这几种VPN技术有机的进行了整合，实现了在一台设备中同时支持上述几种主流的VPN组网技术，同

6、时集成了业内成熟领先的防火墙和身份认证系统，形成了一个完整的安全接入解决方案。二.1.3 天融信VONE产品介绍网络卫士VONE系列（IPSEC/SSL VPN多合一网关）是集天融信十几年研发经验，向用户提供的完整VPN接入解决方案，是天融信推出的最新一代网络安全接入产品。该产品以天融信自主知识产权的TOS（Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计，融合了身份认证、访问控制等安全手段，具有安全、高效、易于管理和扩展等特点。网络卫士VONE网关可为分支机构、移动办公员工、业务合作伙伴及客户提供各自所需的应用和资源的安全便捷接入服务。产品的L2

7、TP/PPTP/SSL功能无需安装任何客户端软件，也无需投入太多人力进行配置或长期的维护；产品完善的IPSEC VPN功能可以方便的构筑与分支机构之间LAN-TO-LAN互联的VPN网络。SSL VPN位于外部网络和内部网络之间，利用安全套接层（SSL）来提供安全的传输功能，而SSL在所有标准的Web浏览器中都具有的。SSL VPN构建在经过强化的软硬件平台上，实现用户和资源的绑定。天融信VONE网关可提供Web转发、应用Web化、端口转发和全网接入等多种接入方式，以适应不同的用户需求，同时还具备强大的访问控制权限管理、细粒度的审计和日志记录等功能。网络卫士VONE网关包含完整的业界领先的专业

8、防火墙功能，还具有内容过滤、入侵防御、带宽管理等功能，能为用户提供全面的网络边界安全防护解决方案。二.2 天融信VONE网关产品特点1） 自主安全操作系统平台采用自主知识产权的安全操作系统 TOS（Topsec Operating System），TOS拥有优秀的模块化设计架构，有效保障了防火墙、VPN、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。TOS具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。2） 多种VPN技术有机融合前面已经分析了目前主流的各种VPN技术的优缺点，这些技术有其不同的适用范围。在实际的用户网络

9、中，不同的用户需求往往需要多种VPN技术综合应用，在这种情况下往往需要用户购买多台不同的VPN设备来满足需求，这既浪费资源又带来用户管理维护的工作量，同时网络环境变得更加复杂，网络运行的稳定性和安全性都会面临新的挑战。网络卫士VONE网关是天融信公司在多年各种独立的VPN产品研发和销售的基础上，推出的一款融合IPSEC/SSL/PPTP/L2TP等多种VPN技术的综合安全网关产品。在TOS平台强大的整合能力保障下，各种VPN模块进行了有机的整合，为用户提供一个统一完整的VPN接入平台。3） 安全接入与安全防护无缝结合VPN网关作为网络边界设备，除了完成远端网络或移动用户的远程接入功能外，对用户

10、网络边界安全也是至关重要的。网络卫士VONE网关是构建在天融信强大的TOS系统平台基础上，集成了天融信业内领先的防火墙功能模块，能够为用户的VPN网络提供高等级的边界安全防护与访问控制。天融信VPN网关具有强大的内容过滤功能，支持URL分类过滤，分类库大于700万条；支持挂马网站过滤；支持邮件过滤和反垃圾邮件功能。还具完善的应用识别功能，用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用，以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、带宽控制等。网络卫士VONE网关支持完善的基于

11、完全内容检测的访问控制技术。防火墙检测技术发展至今，大致经历了三个阶段，从早期的状态检测（Status Inspection）到后来的深度包检测（Deep Packet Inspection），现在已经发展到了最新的完全内容检测（CCI，Complete Content Inspection）。状态检测只检查数据包的包头，深度包检测可对数据包内容进行检查，而CCI则可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。网络卫士VONE网关在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提

12、供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；从而形成了立体的、全面的访问控制机制，实现了全方位的安全控制。4） 多种SSLVPN技术结合实现应用全覆盖目前SSLVPN接入技术大致分为三类：WEB转发（WEB FORWARD），端口转发（PORT FORWARD）和全网接入（NETWORK ACCESS或者称为IP TUNNEL）。这三种技术的技术特点和适用范围各不相同，在网络卫士VONE网关中对这三种SS

13、LVPN接入技术都做了很好的支持，用户可以根据自身应用系统的特点选择使用一种或多种接入方式。WEB转发模式可以实现用户的完全无客户端接入，支持各种操作系统和客户浏览器平台。但其缺点是仅支持B/S模式的应用系统，而且对客户应用系统的依赖性较强。网络卫士VONE网关通过在WEB转发模式中应用独创的智能URL重定向技术和自动分布式页面重构技术大大提高了对用户B/S系统的支持率和处理性能。同时通过开放的页面替换规则框架，支持为用户个性化的业务系统自定义特殊的URL替换规则，进一步提高了系统的适应性。端口转发模式通过客户端本地代理技术实现对用户访问请求的SSL协议封装和转发。这种模式的适应性比WEB转发

14、要好，但其要求在客户端安装一个ACTIVEX控件。网络卫士VONE网关实现了客户端透明代理，用户不需要修改本地的任何配置即能完成代理控件的安装和使用，大大简化了用户操作步骤。全网接入模式通过SSL隧道转发客户端所有的IP请求报文，其适应性最好，能够支持基于IP协议的所有B/S和C/S业务系统，其同样要求在客户端系统上安装一个ACTIVEX的控件。网络卫士VONE网关通过全网接入模式能够实现移动用户的虚拟IP地址分配，实现各种访问控制策略的下发，支持移动用户以分离隧道（SPLIT TUNNEL即可以同时访问VPN和因特网）或完全隧道（FULL TUNNEL即只能访问VPN不能访问因特网）的方式接

15、入VPN网络，大大提高了远程接入的安全性和灵活性。5） 支持虚拟桌面/虚拟应用天融信公司的TopConnect客户端产品，即支持虚拟桌面模式，也支持虚拟应用模式。通过这两种不同的使用模式，企业用户可以限制不同的用户使用不同的模式，即保证用户敏感数据的安全，又能减少网络管理的维护量，降低企业内部应用维护的人力物力成本。针对业务应用丰富，使用环境单一的用户，或需要对智能移动终端进行管理和维护人员，可使用虚拟桌面模式。在这种模式下，服务器直接将服务器端的个性化桌面展现给用户。与传统的PC机相比较，除显示屏幕面积外，其余使用和操作没有任何差异。而对于业务应用单一，使用环境复杂，或不能开发较多权限的用户，可使用虚拟应用模式。在这种模式下，服务器只将特定的应用界面推送给用户。除授权使用的应用外，用户无法使用其它任何应用，更无法对服务器进行修改和配置。6） 完善的身份认证技术网络卫士VONE网关为通过SSL隧道接入的用户提供了完整的身份认证手段。如果移动用户接入的环境比较简单、可信，管理员可以配置简单的“用户名口令”认证方式，从而达到简单易用的效果；为了防止线路窃听和重播攻击，管理员可以采用“用户名口令图形认证码”的方式对移动用户