电信运营商SSL VPN运营方案.docx

1、电信运营商SSL VPN运营方案电信运营商 SSL VPN运营方案一、前言随着网络应用领域的不断增加，互联网的开放性也带来了许多内在的安全隐患，类似黑客入侵、数据篡改、截获事件发生不断。另外，由于多数系统采用用户名+口令的认证方式，很难保证访问用户的合法身份及访问权限。如何让有授权的人在没有安全威胁的前提下打开机构内部系统？同时，如何使复杂的安全措施不对用户产生妨碍，不因为安全牺牲性能？近年来，VPN引起了人们的广泛注意。它可以利用Internet网建立安全、可靠、经济、高效的专用传输链路。利用VPN，位于不同地区的人员只需分别接入本地的Internet网，就可以组成一个安全的虚拟专用网络。U

2、UDynamics的iStar远程安全访问解决方案在传统的VPN技术基础上，针对复杂的Internet接入环境、操作人员技术水平参差不齐、内网服务器的易被攻击、国内固定IP的缺乏等众多不利因素，进行了技术、产品的创新，为电信运营商构建了一个灵活的远程安全接入运营平台。通过该运营平台，电信运营商的企业用户只需通过租用或购买设备的方式就可以实现企业SSL VPN功能。二、系统方案介绍2.1方案定位目前，大部分大中小企业都有远程访问的需求，包括出差员工访问公司资源，远程分支机构或代理合作伙伴等都有远程访问公司内部资源的需求，传统的IPSEC VPN由于其技术本身的限制以及用户端配置等方面的原因，无法

3、很好的解决远程访问的需要，SSL VPN的出现，很好的解决了该问题。但是由于目前SSL VPN设备普遍比较贵，对于很多企业并不希望一次性投入太多的成本去购买SSL VPN设备，他们更多的是希望以租赁的形式来获得安全可靠便捷的SSL VPN服务。在电信服务方面，国内目前主要集中在电信、网通、移动、联通和铁通等几大运营商。但是在数据业务方面，几大运营商提供的服务基本相同。因此，目前各大运营商都在探寻新的运营模式，在其电信资源上提供更多的增值业务，为其获得更多的运营收入和客户。我们希望通过构建SSL VPN运营网络，为电信运营商增加运营收入的同时，也为电信运营商巩固并带来更多的企业高端用户。通过SS

4、L VPN运营网络，实现企业和电信运营商双赢的局面。对于企业，无需一次性投入很多的成本去搭建SSL VPN网络，只需通过租赁的形式获得电信级的SSL VPN服务；对于电信运营商，在提供增值业务的同时，也绑定了高端企业用户。2.2解决方案电信运营商在其骨干网络上架构UUSwitch作为其核心SSL VPN运营网络，企业用户端根据用户需求部署不同级别的UUpublisher。远程用户要访问企业内部资源时，通过电信运营商SSL VPN运营网来实现。具体拓扑结构如下：随着信息化的发展，基于Internet的VPN互连方式以其低成本、高效率的解决方案正日益受到推崇，通过该SSL VPN平台，满足了企业用

5、户的如下需求：（1）接入需求用户VPN能做到任意点的接入。并且能够支持大量用户的同时访问能力。（2）功能性需求完全支持各种基于B/S，C/S架构的应用系统和文件共享等功能，满足绝大部分企业用户的功能需求。（3）安全性需求在安全性方面，不同的企业根据各自企业的实际情况，采用不同的安全认证策略，灵活方便。（4）易用性需求在用户数量庞大的情况下，必然会出现用户操作水平参次不齐的情况，使用简单、方便就显得十分重要。这就要求用户端不需要预装客户端软件，接入系统的方式采用IE浏览器方式，并且原有应用系统的使用方式不变。2.3 SSL VPN运营平台组成2.3.1交换单元交换单元是电信运营商SSL VPN运

6、营网络中放置铁通骨干网的交换设备，用来提供给企业发布单元进行注册功能。它能够物理上分布在多个地点。 交换单元在发布单元和使用者两方进行应用资料交换之前提供信令的功能。 在不使用公共IP地址的双方转发应用资料时，交换单元能透明地转发应用数据。 但它不参与KEY的交换或加解密，以确保信息的安全和高效。 在电信运营商SSL VPN运营网络中，我们建议先部署UUSwitch。并首期以两台以上UUSwitch做负载均衡冗余备份。2.3.2.发布单元发布单元位于应用服务所在的一方，也就是企业用户一方，以便将应用服务发布给远程使用。 应用服务不仅仅可以是Web Server，同时支持如IBM/Lotus N

7、otes Server，MS Exchange Mail Server，Oracle Database Server，Netmeeting等等的C/S应用。 多台发布单元能群集成为高效能和均衡负载的群组。 针对不同的用户需求，我们会建议企业用户选择相应等级的设备。目前我们能提供的设备包括UU200/UU1000/UU2000，具体规格如下：UU200规格说明（硬件）并行用户数25/50/100安全机制基于SSL协议AES/DES/3DES，RSA，SHA1/MD5用户认证本地方式AD/NTLM/RADIUS/PKI/TWO FACTOR (RSA SecurID)可管理性具备远程管理机制高可用

8、性、可扩展性和负载平衡Cluster技术最多至10台硬件规格机箱（mm）长440/宽238/高45-90作业温度0至45摄氏度库存温度-10至60摄氏度重量4-10kg电源输入电压110/220V输入频率50HZ输入电流110V2A/220V1A最高输出功率70WUU1000规格说明并行用户数100/250/500安全机制基于SSL协议AES/DES/3DES，RSA，SHA1/MD5用户认证本地方式Windows AD/NTLM/RADIUS/PKITWO FACTOR (RSA SecurID)可管理性具备远程管理机制高可用性、可扩展性和负载平衡Cluster技术最多至10台硬件规格机箱（

9、mm）长440/宽238/高45-90作业温度0至45摄氏度库存温度-10至60摄氏度重量6-10kg电源输入电压110/220V输入频率50HZ输入电流110V2A/220V1A最高输出功率130WUU2000规格说明并行用户数500/1000安全机制基于SSL协议AES/DES/3DES，RSA，SHA1/MD5用户认证本地方式Windows AD/NTLM/RADIUS/PKITWO FACTOR (RSA SecurID)可管理性具备远程管理机制高可用性、可扩展性和负载平衡Cluster技术最多至10台硬件规格机箱（mm）长440/宽238/高45-90作业温度0至45摄氏度库存温度-

10、10至60摄氏度重量4-10kg电源输入电压110/220V输入频率50HZ输入电流110V2A/220V1A最高输出功率150W2.4方案的特点2.4.1功能完善、应用领域众多（1）为企业轻松解决移动办公SSL VPN运营平台能为用户提供强大的移动办公平台。它没有防火墙、NAT穿越的问题，也不存在IP地址冲突的问题，支持所有Internet接入方式，保证用户可以在各种环境下（酒店、机场、无线网络和局域网内）畅通无阻的实现移动办公。（2）提高企业应用系统的安全性SSL VPN运营平台通过应用代理、分级授权以及客户端扫描等多种手段，能为抗攻击能力薄弱的各种网络应用系统，提供可靠的安全保障，使其免

11、遭黑客和蠕虫病毒的恶意攻击。我们可以将SSL VPN运营平台部署在服务器子网的入口位置，利用其应用代理机制，将后台开发的众多固定或动态TCP端口全部保护起来，对外仅开放TCP 443端口；结合交换单元更能做到把443端口也关闭（In-Bond）；这样一来，应用系统的安全性得到了极大的提高，从根本上阻断了黑客和蠕虫病毒的入侵途径。另外，SSL VPN运营平台还能够根据应用来授权，对不同的用户授予相应权限，使用户只能看到自己有权限的应用，而其它应用系统则被SSL VPN系统隐藏起来。再配合多种客户端扫描策略，从而进一步提高了应用系统的安全性。（3）能实现企业应用系统整合SSL VPN运营平台为用户

12、提供了一个统一的应用系统发布平台，可以将B/S、C/S、文件共享等多种应用整合到一个IE浏览器页面中，将不同的应用以清晰、明了的图标方式呈现出来，并且还可建立目录结构，方便管理和使用。SSL VPN运营平台采用基于应用层的代理机制，支持所有基于TCP/UDP协议的应用系统；用户不用对原有系统做任何改动，即可与之无缝结合。例如下表中列举的应用：B/S应用Http/Https应用、Webmail服务、企业ERP系统、WebOA系统、CRM系统、B/S架构财务软件等。C/S应用邮件系统：SMTP、POP3、IMAP4；（如Outlook、Foxmail、Eudora等）常用的终端连接：IBM5250

13、/3270、SSH、Telnet等远程桌面控制：MS Terminal Service、PCAnywhere、Radmin、VNC等其它基于TCP/UDP连接的应用程序：Lotus Notes、ERP、NetMeeting、SQL、Oracle、WebOffice等等；文件共享应用支持文件浏览、FTP、SMB、NFS服务器等（4）多种身份认证方式SSL VPN运营平台可以在不对原有应用程序和服务器做任何改动的情况下，为系统提供多种形式的身份认证。不仅具有本地认证数据库，还能与原有认证数据库相结合，可无缝兼容Windows Active Directory、Windows NT Domain、R

14、ADIUS、LDAP、ACE Server和PKI等认证系统。另外，在认证手段上，不仅支持用户名/密码方式，还支持多种硬件认证方式，比如：USB Key、RSA SecurID token和One-Time Password Token等；从而使客户端身份认证的安全性大大提高。（5）实现企业数据的加密传输SSL VPN运营平台可以在不对原有应用程序和服务器做任何改动的情况下，实现客户端与服务器之间的加密数据通信。它支持多种加密方式，比如对称加密、非对称加密和摘要等。可以让用户自定义选择，可以只采用一种算法，也可以多种算法同时使用。适应不同保密级别的需要。（6）实现企业双向访问功能SSL VPN

15、运营平台具备双向访问功能，可实现LAN to LAN以及远程任意点的数据采集和互访。配合内部网络应用的代理发布功能，可以充分满足大型机构和企业远程安全访问的各种需求。（7）加快网络访问速度SSL VPN运营平台独特的体系架构，可有效提高公共网络中的数据传输速度。非常适合分支遍布全国、乃至全球各地的大型机构使用；可以在不增加任何链路带宽投资的情况下，使网络访问速度大大提升。2.4.2高安全性（1）基于应用层的端到端（End to End）的安全机制；（2）在应用系统端的防火墙上不用开放任何进站（In-bond）端口；（Private Access）（3）无流量时连接自动中断；（4）清除客户端临时

16、文件；（5）真正支持双因子（Dual-factor）认证功能；（6）支持客户端、应用程序凭证功能；（7）支持访问时间段（Time-based）策略；（8）支持主机检查（Host checker）功能，可强制扫描客户端的软件情况；（9）内建标准CA（Build-in CA），可独立向用户颁发数字证书。2.4.3可靠性高、扩展性强（1）集群（Cluster）功能SSL VPN运营平台采用了群集技术，多台小容量设备通过群集方式构建大容量的系统。所有群集在一起的单元表现就像单一系统。单个集群的设备数量可达10台。充分保护了用户投资，使用户的分步投资计划得以实现。（2）负载均衡(Load balanci

17、ng)SSL VPN运营平台自身具备负载均衡功能（不需要外接负载均衡设备），访问系统的流量会均匀分布在多台群集的设备上，不会造成单台设备负载过大，从而导致整个系统性能下降的问题。（3）高可用性（High availability）N+1冗余备份在群集N台设备之中再加入一台设备，形成N+1冗余备份机制，任何一台设备出现故障都不会影响整个系统的正常运行。（4）冗余电源SSL VPN运营平台的运营级产品更具有冗余电源配置，并且支持热插拔。2.4.4低TCO（Total Cost of Ownership）（1）增加/删除使用者十分简易，不用预装客户端软件，维护成本低廉；（2）对于企业，无需使用公共I

18、P地址；（3）单一环境同时支持企业员工以及商务伙伴；（4）单一环境同时支持Client-to-Site及Site-to-Site应用；（5）无需购买数字证书，节省数字证书的申请费用。三、部署使用（1）用户不用预装客户端软件；（2）通过USB KEY可做到自动登录、自动打开应用系统，使用户操作最简化；（3）不改变现有网络环境，设备可根据用户需要安装在网络的不同位置。（4）在服务器端没有公网固定IP地址的环境中，仍然可以部署、使用；（Private Access）（5）丰富的基于用户（User-based）的访问控制策略，使用简单、清晰；（6）能与现有各种认证系统无缝结合；（7）支持基于角色（Ro

19、le-based）的管理；（8）设备内置系统配置向导及多种应用发布的模版，管理十分方便；在用户使用该平台时，首先连接Internet网；然后打开IE浏览器，输入电信运营商SSL VPN运营网站的地址（如https:/www.ABC.com/a，在该地址中，www.ABC.com 代表SSL VPN运营网地址，后面部分/a代表不同的企业用户）；再输入帐号认证登录后，弹出VPN窗口。窗口中便是可使用的资源列表（列表中的内容根据用户权限不同而不同），上面有该用户可以访问的资源图标，用户直接用鼠标双击图标即可使用。该系统能够根据应用来授权，对不同的用户授予相应权限，使用户只能看到自己有权限的应用，而其

20、它应用系统则被系统隐藏起来。同时再配合多种客户端扫描策略，从而进一步提高了应用系统的安全性。四、运营方案4.1.推广计划首先在上海或*省针对企业用户，以数据业务和SSL VPN绑定的模式来推广，在一个区域积累了一定的推广经验后，在电信运营商全国推广上海SSL VPN运营经验，并设一个全国的SSL VPN运营中心。4.2.推广模式电信运营商购买交换单元，作为SSL VPN运营网络的骨干中心，对于企业端发布单元，根据企业的情况不同分为：a.电信运营商购买发布单元，提供给企业客户，电信运营商与企业客户签订至少2年的使用协议，每月收取服务费。b.电信运营商购买发布单元，提供给企业客户，上海铁通与企业客

21、户签订至少2年的使用协议，第一年客户使用费用全免。c.发布单元由某业务服务商提供，电信运营商不采购，电信运营商与企业客户签订至少2年的使用协议。使用服务收入由电信运营商、业务提供商、设备厂商三家分成，分成比例为xxx。d.发布单元由某业务服务商提供，电信运营商不采购，电信运营商与企业客户签订至少2年的使用协议。使用服务收入由电信运营商、业务提供商、设备厂商三家分成，分成比例为xxx。4.3.资费标准用户数低于25低于50低于100低于200月费用/人一年收入二年收入预测UU设备成本对于服务器托管在电信运营商机房的企业客户，电信运营商将按每人每月100元的标准收取费用。4.4.客户类型分析SSL

22、 VPN的客户类型主要定位为有移动访问需求的企业客户，遍布各个行业包括：商贸、制造、物流、服务等。 4.5.投入产出分析我们采用一个案例来实际分析，假如某个企业采用了SSL VPN运营网络服务，该企业有*个远程访问需求用户，根据资费标准，每个用户的月费用为*元，按*用户数收费，一年电信运营商的收入为*元。发布单元的采够成本为*，也就是*个月收回投资成本。而且，该设备使用简单，可大大提高客户满意度。如果SSL VPN网络由企业自身搭建，从设备的投入成本考虑，以*用户来计算，一次性投入将在*万左右，并且，企业需要配备专业的网管人员来维护管理这套设备。从以上分析可以看出，企业用户通过租赁铁通SSL VPN网络，将会为其节约大量的投资成本。对于电信运营商，通过SSL VPN运营网和电信运营商数据业务捆绑销售，为电信运营商增加运营收入的同时，也能为电信运营商带来更多高端企业客户。该部分影响将远远超出SSL VPN运营本身的意义。