安全生产远程安全接入解决方案NASSLV.docx

1、安全生产远程安全接入解决方案NASSLV（安全生产）远程安全接入解决方案NASSLVXXX远程安全接入解决方案美国新安捷（NeoAccel）壹. 前言3二企业远程安全接入需求42.1 远程访问现状42.2 企业远程接入常见方式52.2.1 第壹代VPN52.2.2 第二代VPN72.2.3 第三代VPN SSL VPN-Plus8三远程安全接入方案设计总则93.1 远程安全接入设计原则93.1.1 安全性和高可用性93.1.2 技术先进性、实用性原则93.1.3 可管理性原则93.1.4 规模可扩充性原则103.2 远程安全接入设计理念103.3 远程安全接入设计目标11四XXX的远程安全接入

2、需求分析124.1 企业 背景124.2XXX 目前网络及应用情况124.3 XXX 远程安全接入面临的问题124.4 XXX 远程安全接入的需求13五XXX 远程安全接入解决方案155.1 SSL VPN 网关部署155.2 方案简介165.3 全应用支持175.3.1基于WEB的应用支持175.3.2 瘦应用支持175.3.3 Windows文件共享支持185.3.4 WEB访问支持195.3.5 全权限访问支持195.4 企业应用支持举例205.4.1 SGX对企业ERP系统的支持205.4.2 SGX对企业OA系统的支持22六. 新安捷SGX系列的优势及特点266.1 专利技术266.

3、2新安捷SSL VPNPlus的功能特点26七. SSL VPN-Plus安全接入对企业的益处307.1 提高了信息安全307.2 灵活的用户管理和访问控制317.3 实施方便，配置简单317.4 降低管理和维护成本327.5 高度的扩展性和灵活性32八NeoAccel 厂家技术支持和售后服务体系33附录：XX公司简介35壹.前言目前，随着企业信息化处理不断地深入，企业资源管理的复杂度也于不断增加。壹方面是壹线人员渴望快速得到资源，另壹方面则是企业出于安全和保密的考虑，无力开放足够的资源，俩者的矛盾于壹定程度上已经影响了企业快速发展。随着移动通讯技术的进步和商务模式的发展，选择远程办公和移动办

4、公的人越来越多。使用这种方式，企业能够大幅降低运营成本，增加员工办公的灵活度和效率，继而提升企业的运作效率，增加企业收益。另外对于企业信息化系统的安全问题，大多数企业考虑最多的仍是攻击和病毒，认为他们对企业的ERP和OA系统响最大，所以大部分的财力人力均投向了防病毒防攻击系统。当然这是对的，但这仍远远不够，这是因为仍然会有很多心怀叵测的人或者组织（尤其是竞争对手）会绕过病毒或攻击的防护，对企业进行数据窃密或对破坏企业的核心数据等操作，这均会给企业造成不可弥补的损失。目前于全球，商业间谍引起的商业窃密现象屡见不鲜。所以我们不但需要对传输到网上的数据进行加密，仍要对用网的终端进行严格的身份识别和权

5、限区分，SSLVPN就是这样的设备，不仅具有多种认证方式，仍能够准确分权。作为壹项新近发展起来的新技术，由于SSLVPN无须安装客户端的便捷性和由此带来的大幅降低的实施管理成本，于国内外得到了迅速的应用和发展。可是，传统SSLVPN产品的致命之处于其性能较差，这是SSL协议先天的不足，这就会使用户于方便安全低成本和较差的性能这俩者之间进行痛苦的选择。新安捷的SSLVPN-Plus是第三代VPN，也是业界响应速度最快的远程安全接入设备。重新构建的SSL架构、单隧道体系以及透明传输、智能压缩等专利和创新技术的加入，使新安捷的SSLVPN-Plus拥有超强的性能，从而突破了传统VPN性能的瓶颈，实现

6、了加密数据的快速转发。二企业远程安全接入需求2.1远程访问现状随着企业的发展壮大，分支机构的设立、移动办公人员的增加，使得企业必须开放更多的内网资源来满足日常办公的需要。远程接入的方式是多种多样的，但总结下来不外乎以下三种方式：通过Internet公网访问、通过专网访问、通过拨号专线访问。我们逐壹对其数据安全性进行分析：通过Internet访问这种访问方式的安全性是这三种中最差的但也是大多数企业采用的方式。因特网的共享性和开放性使网上信息安全存于先天不足，因为其依赖的TCP/IP协议，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它

7、于安全可靠、服务质量、带宽和方便性等方面存于着不适应性。此外，随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存于且增加着。安全隐患也日益突出，病毒、黑客几乎每天均于困挠着互联网的用户。通过专网访问这种访问方式的安全性得到了壹定的提升。可是拉专线的费用是比较昂贵的，只适用于固定办公场所，不能保证客户端随时随地地访问。另外，专网方式不能为用户提供网络接入层面访问的认证和授权，只能通过业务系统内部自带地程序来完成，这样业务主机就会暴露于能使用专网的所有人面前。仍有壹点至关重要，专网方式壹般没有加密过程，所有数据，尤其是关键数据均是走明文的，这也降低了安全性。通过拨号专线访问这种方

8、式需要于企业机房内架设拨号接入服务器。这种方式能够保证员工于任何地方均能访问内网，即使出差和于家均能登陆。但它容量有限，当很多用户同时访问时会经常发生连接不上的情况。拨号专线方式受带宽限制厉害，不能享受到宽带带给我们的好处。另外于认证、授权以及加密方面，它同样存于着和专线接入壹样的安全缺陷。2.2企业远程接入常见方式由于公共线路的不安全性，以及VPN（虚拟专网）比租用专线更加便宜、灵活，致使当下有越来越多的XX公司采用VPN进行远程接入，替代连接SOHO和出差于外的员工以及分XX公司和合作伙伴的广域网。VPN是于互联网上建立加密隧道，通过“隧道”协议，于数据发送端加密，于接收端解密，从而保证数

9、据的私密性。2.2.1第壹代VPN第壹代VPN采用的是IPSec协议，其典型部署是于Site-to-Site端点到端点的网络环境中。IPSec是网络层的VPN技术，它独立于应用程序，以自己的封包封装原始IP信息，因此可隐藏所有应用协议的内容，壹旦IPSec建立加密隧道后，就能够实现各种类型的连接。IPSec以其相对较高的吞吐量以及安全性，被很多企业所接受。可是，部署IPSec需要对网络基础设施进行重大改造，花费的人力物力甚巨，同时IPSecVPN于解决远程安全访问时有几个比较大的缺点:安全性低虽然数据于传输过程中是加密的，可是IPSecVPN对于终端安全检查却是零，这壹点相信企业的网络管理者深

10、有感触，其表现为：第壹、IPSec的用户验证方式单壹且且简单，它无法明确区分使用该终端的人是否是可授权的指定用户，管理员无法准确知晓究竟是谁于利用VPN使用内网资源；第二、IPSec无法对终端设备软件系统的安全性做出评估，无法检查终端用户的应用环境，断开VPN连接后，所有曾经访问过的cookie、URL等均保留于终端，增加了不安全因素；第三、IPSecVPN隧道壹旦建立，用户的PC机就像于XX公司局域网内部壹样，用户能够直接访问XX公司全部的应用，由此会大大增加风险；第四、VPN登陆之后的所有操作均是直接作用于被访问资源上的，由于缺乏必要的终端检查，致使内网资源受损的几率很高；第五、IPSec

11、针对用户或用户组的授权访问，实现起来非常困难，无法根据用户性质进行分权，这是管理员很头疼的问题，无法实现分权就只能有限地开放网络资源，网络不能有效地用于生产生活。可靠性低IPSec最适合的环境是固定办公区域，移动办公用户需要安装客户端软件才能建立加密隧道，但且非所有客户端环境均支持IPSecVPN的客户端程序。终端用户可能需要做出类似重新安装系统那样复杂的操作，才能使用；IPSecVPN的连接性仍会受到网络地址转换（NAT）或网关代理设备（proxy）的影响，终端用户如果身处外部网络，想使用IPSecVPN连接，如何穿透防火墙将是壹大难题，不适合用作移动用户，如家庭、网吧，宾馆等上网用户；投资

12、费用高从投资的角度见IPsecVPN。要真正建立IPSecVPN，单单有VPN硬件设备和客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果员工从家里的计算机通过XX公司VPN访问企业资源，于他创建隧道前后，他十几岁的孩子于这台电脑上下载了壹个感染了病毒的游戏，那么，病毒就很有可能经过VPN于企业局域网内传播。另外，如果黑客侵入了这台没有保护的PC，他就获得了经过IPSecVPN隧道访问XX公司局域网的能力。因此，于建设IPSecVPN时

13、，必须购买适当的安全软件，这个软件的成本必须考虑进去也是很高的。维护费用高IPSecVPN最大的难点于于客户端需要安装复杂的软件，需要经过培训才能够掌握。而且当用户的VPN策略稍微有所改变时，其管理难度将呈几何级数增长。客户端软件的维护带来了人力开销，而这是许多XX公司希望能够避免的。部署IPSecVPN之后，另外壹些安全问题也会暴露出来，这些问题主要和建立了开放式网络连接有关。除此以外，除非已经于每壹台计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是壹件十分令人头疼的任务。2.2.2第二代VPN第二代VPN采用的是SSL协议，和IPSecVPN相比，SSLVPN具有如下优点：S

14、SLVPN的客户端程序，如MicrosoftInternetExplorer、NetscapeCommunicator、Mozilla等已经预装于了终端设备中，因此不需要再次安装；SSLVPN可于NAT代理装置上以透明模式工作；SSLVPN不会受到安装于客户端和服务器之间的防火墙等NAT设备的影响，穿透能力强；SSLVPN将远程安全接入延伸到IPSecVPN扩展不到的地方，使更多的员工，于更多的地方，使用更多的设备，安全访问到更多的企业网络资源，同时降低了部署和支持费用； 客户端安全检查和授权访问等操作，实现起来更加方便。SSLVPN能够于任何地点，利用任何设备，连接到相应的网络资源上。IPS

15、ecVPN通常不能支持复杂的网络，这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSecVPN实际上只适用于易于管理的或者位置固定的地方。能够说从功能上讲，SSLVPN是企业远程安全接入的最佳选择。可是虽然SSLVPN具有之上众多的优点，却由于SSL协议本身的局限性，使得性能远低于使用IPSec协议的设备。用户往往需要于简便使用和性能之间进行痛苦选择。这也是第二代VPN始终无法取代第壹代VPN的原因。2.2.3第三代VPNSSLVPN-Plus为了从根本上解决SSLVPN性能瓶颈，以新安捷（NeoAccel,INC）为代表的专业安全接入厂商，凭借强大的研发实力，经过刻苦的攻关，终于研制出了新壹代SSLVPN构架SSLVPN-Plus。SSLVPN-Plus的创新技术之处是重新构建了SSL协议模型，使用单隧道方式处理加密数据包，从根本上解决了由于双TCP叠加带来的性能瓶颈，突破了传统SSLVPN设备的局限性，降低响应时间，提高设备性能。SSLVPN-Plus的整理性能能够达到且超过IPSecVPN，同时仍能够提供SSLVPN便捷的使用和管理、低廉的投资和维护成本，提高用户的体验。三远程安全接入方案设计总则3.1远程安全接入设计原则3.1.1安全性和高可用性VPN直接构建于公用网上，实现简单、方