xxx学校SSLVPN解决方案.docx

1、xxx学校SSLVPN解决方案XX学校网康VPN解决方案 北京网康科技有限公司2011年11月目 录 1. 需求分析 31.1 背景 31.2 需要达到的目标 41.3 为什么选用VPN联网方式 4第二章 应用安全网关VPN解决方案 62.1 网络拓扑图 62.2方案说明 62.3 方案优势 72.3.1稳定性 72.3.2速度快 72.3.3安全性高 72.3.4使用简单、方便 92.3.5提高终端用户资源访问速度 92.3.6详尽的统计功能 102.3.7访问统计图标 112.3.8分级管理功能 132.3.9堆叠式的负载均衡 142.3.10容灾 142.3.11高扩展性 142.3.1

2、2线路冗余 152.3.13可管理性 151. 需求分析1.1 背景随着信息技术和网络技术日新月异，XX学校业务进入全面、快速发展阶段，与其配套的应用系统的功能日益凸显。经过多年建设，XX学校已建成自身的校园办公系统（OA，EMAIL，FTP等等），且学校的老师和学生对于异地办公、移动办公等多种远程办公的需求越来越多，师生需要在校外通过Internet访问校园网和教育网的资源。通过Internet数据传输平台，实施加密的VPN实现安全接入的办法主要有两种：一种是IPsec VPN，另一种是SSL VPN。两种技术在不同领域各有其优势。在解决节点对节点互联方面，可采用IPSec技术。在解决移动接

3、入方面，可采用SSL VPN。因为传统IPSec VPN需要安装客户端，在面临越来越多的远程移动用户接入时，将带来诸如管理/维护成本、终端适应性等问题，而SSL VPN无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低，而且由于SSL VPN不是打开一个网络层通道，而只是提供了联系应用层请求的固化网络接口，所以提高了与VPN相关的整个系统的安全性，解决了IPSec VPN在移动接入的不足之处。本次学校的师生远程访问的需求，选择使用SSL VPN。1.2 需要达到的目标通过采购、安装、配置IPSec/SSL 一体化VPN网关及相关网络互联设备，在

4、学校网络出口部署VPN设备。通过SSL VPN功能，只为师生开放某些系统的访问权限，利用SSL的多种加密和认证方式保障使用的安全。对师生来说，不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入，让管理员不需再担心大范围客户端的安装和配置问题。从整体上满足学校师生在任意时刻、任意地点都可通过Internet访问校内网络资源。1.3 为什么选用VPN联网方式（1） 安全性高在校外通过Internet访问校内网络资源时必然面临安全问题。用VPN构建网络具备相当高的安全性，主要有如下几点安全要素：保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒（IP Spoofing）的能力。

5、保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密钥交换功能和集中安全管理服务。 提供安全防护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。（2） 降低成本当使用Internet时，实际上只需要付基本宽带费，却收到了长途通信的效果。因此，借助ISP来建立VPN，就可以节省大量的通信费，此外，VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。（3）容易扩展支持多种接入实现方式，并且网络是动态的，

6、可以随时增减用户，便于集中控制访问权限。（4） 完全控制主动权VPN使学校可以使用运营商的设施和服务，同时又完全掌握着自己网络的控制权。综合考虑以上情况，在网络组建前期必须进行详尽的调查与测试，寻找一种适合组建大规模VPN网络的，专业智能的，“傻瓜式”的VPN产品来组建此通信网络。在方案中必须要求可以集中管理、配置简单、维护方便、扩展容易和可灵活定义网络拓扑。在市面上有很多VPN产品，那么究竟那一种VPN产品才是企业最好的选择呢？针对企业上面的需求，采用网康科技的ASG VPN解决方案正是一种非常好的解决方案。第二章 网康VPN解决方案2.1 网络拓扑图图一 VPN网络示意图2.2方案说明XX

7、学校VPN的并发用户数为1000人，建议在学校端部署一台NV3000-50 型号的ASG设备。单臂旁接的方式提供SSL-VPN服务。NV3000-50是具有高性能的VPN接入设备（中心点的终端设备），提供作为智能接入终端的所有功能，如高性能的防火墙，移动客户端接入服务，带宽管理，流量监控,统计汇总等。2.3 方案优势 我们相信，只有专业才能造就品质。网康科技的SSL VPN+IPsec系列产品远程访问系统是专为总部与分支机构、远程移动办公需求量身定制的远程访问系统，和商业VPN远程访问系统比较，我们的技术优势包括：2.3.1稳定性平均无故障运行时间(MTBF)40,000小时。支持双机热备，支

8、持多多机热备。众多高端用户的使用就是最好的证明。 可基于客户端的应用流量控制，可以控制客户端单次在线时长，下载最大速度，单次下载最大流量，客户端最大空闲时长等。适当细致的流量控制可以增强系统的稳定性。2.3.2速度快极快的页面相应速度，比一般的VPN厂家快2-3倍。先进的数据压缩技术，减少在传输过程中的带宽损耗。多线路智能选路，保障远程接入者快速、稳定的接入体验。使用ATP自适应快速传输协议，优化数据的传输速度。2.3.3安全性高VPN网络的安全性有三层含义：一是数据传输的安全；二是用户接入的安全；三是对内网资源的访问安全。ASG SSL VPN采用了AES 256加密算法，具有比当前 3DE

9、S 更好的安全性和更快的速率，AES 256 的性能大约是 3DES 的3倍左右，安全性也更高，已经为众多国际领先的SSL VPN厂商采用，因此， SSL VPN能够在保证数据安全的同时提供了更好的性能。ASG SSL VPN支持了多种用户认证方式，保证接入安全：1、动态令牌认证， 2、基于硬件特征的身份认证技术3、短信认证4、USB KEY加密认证5、数字证书、LDAP、Raduis、用户名口令。6、任意第三方认证。并可结合第三方CA中心。ASG SSL VPN网关通过对客户端的安全检查了保护内网的安全。用户通过个人电脑浏览器打开SSL 登录界面时，ASG SSL VPN安全网关通过客户端计

10、算机安全扫描功能，检查计算机系统是否打了补丁、是否安装有相应杀毒程序等，保证SSL VPN接入安全，避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。同时，为避免远程接入单机成为黑客跳板，可以设置在接入内网后自动切断所有与互联网的其它所有连接。ASG SSL VPN可以对不同的用户分配不同的权限规则，权限粒度可以细化到URL级别。 用户行为控制：ASG VPN系统可以为用户组提供独立的用户访问行为管理，通过设置空闲时长，在线时长，速度上限，访问流量上限等安全策略配合使用，实现对用户访问动作的管理。如防止用户长时间登录到ASG VPN系统但不发生访问行为，浪费并发用

11、户数量；速度和流量监控可以有效地防止用户突发性或持续性的恶意下载，同时系统可以自动审查用户行为，发现违规可以自动切断该用户的连接，等待管理员审核并处理后重新激活用户方可正常使用。2.3.4使用简单、方便传统的远程访问设备，如果在总部与分支机构见进行部署，需要对防火墙设备进行网络映射等相应配置，造成了不必要的麻烦。网康科技ASG VPN远程访问系统采用专有的网络技术，可以灵活的部署于政府内部的任何位置，实现透明接入，不需要对政府的内部网络设备做任何的更改配置即可实现远程接入功能。位于不同地理位置的各个分支机构，可能会采用各种不同的网络接入方式来远程登陆到总部访问电子资源。ASG VPN远程访问系

12、统充分考虑到了这点，无论是利用浏览器还是利用专用客户端都能够登陆访问到总部的电子资源。ASG VPN远程访问系统能够通过以下网络接入方式来提供访问。 各种宽带连接 各种拨号连接，ADSL,PSTN,ISDN等等 各种无线连接，GPRS，CDMA等等 各种NAT环境，无需额外设置 通过代理服务器访问2.3.5提高终端用户资源访问速度ASG VPN远程访问系统通过两种方式来提高终端客户访问下载的速度。第一种方式是通过采用ZLIB压缩格式来压缩传输的数据以提高传输速率。第二种方式是通过采用TCP/UDP传输协议的最优化切换技术，该技术自动检测UDP通道的可用性以及性能状态，如果UDP通道可用并且性能

13、良好，则优先使用UDP隧道进行数据的传送，否则自动切换TCP隧道进行数据的传送，在其它的成功方案应用实践证明该技术能够有效的提高终端客户访问和下载速度。2.3.6详尽的统计功能ASG VPN远程访问系统根据政府部门的具体情况以及管理人员提出的要求，开发了专门的资源访问统计模块。资源访问统计系统可以显示网关总流量、用户组流量、用户流量、用户活动明细、电子资源访问流量，可以使管理员随时掌握用户访问情况和资源访问情况。用户审核管理模块主要功能： 现场注册 用户信息比对和审核 用户信息开户和登记表打印 用户开通信息EMAIL通知 用户管理 排序 查询 挂起激活 销户 有效期操作 操作员管理 用户信息同

14、步2.3.7访问统计图标注册统计模块是网康科技针对于图书馆定制研发，行业中独有的，具有用户自定义注册、管理员审核以及详细日志记录和强大图表功能的专业统计系统。例如： 用户自定义注册 管理员通过后台手动审核注册用户 根据定义策略系统自动审核注册用户 详细的登录日志（如图） 强大的图表功能 （如图） 2.3.8分级管理功能ASG VPN远程访问系统提供分级管理功能，通过运用分级管理，管理人员能够根据人员分配和管理的情况，分别分配不同的管理权限。ASG VPN远程访问系统分级管理功能如下： 添加系统管理员 用户申请 审核用户 管理用户 到期用户管理 客户端总流量 用户登陆统计 用户登陆明细 NAT流

15、量统计 电子资源访问统计 在线用户 证书管理 系统日志2.3.9堆叠式的负载均衡ASG VPN远程访问系统的负载均衡功能采用独创的堆叠式负载均衡，该负载均衡不需要额外的负载均衡设备，能够实现即插即用，无限堆叠。无需额外的系统和网络配置。能够满足系统无缝扩展的需求。2.3.10容灾ASG VPN远程访问系统提供高可靠性功能，避免了设备单点失败故障的发生，能够为总部的电子资源提供可靠稳定的远程访问。当采用容灾设备时，在主网关没有发生故障时，设备采用负载均衡功能，当主网关发生故障时，备份网关自动切换成为主网关。既减轻了单台远程访问设备的负载量，也提供了容灾。2.3.11高扩展性ASG VPN远程访问

16、系统具有极高的可扩展性，充分保证了用户的现有投资。用户可以针对未来的使用需求进行灵活的产品扩展： 增加并发用户，无需更换硬件设施 增加负载均衡功能，无需添加任何模块 增加高可用性功能，无需添加任何模块综上所述，我们可以了解到ASG VPN系统不仅是一个VPN，而是一个专门为大型企业和政府部门以及其分支机构定制的以SSL VPNIPsec为核心的访问控制系统，是一个有效的电子资源的访问和管理工具。通过我们与众多使用单位的技术人员和管理人员交流、讨论，以及实际中的测试和使用，设计上充分听取用户的意见，系统既满足了终端用户的电子资源访问需求，同时也着重考虑和实现了ASG VPN系统与政府机构和企业业

17、务流程的衔接以及对远程访问读者的行为的管理，以实现安全、可控的远程访问。2.3.12线路冗余ASG VPN系列硬件网关支持多路冗余、双机热备等功能彻底解决了因公网线路中断或设备故障引发的稳定性问题。ASG VPN 同时支持多条上网线路，多条上网线路全部正常时可以将各条线路叠加起来做为更大的网络出口。当其中某一条线路出现中段时，网关所承载的服务会自动切换到其它线路上，实现VPN服务不断，做到多线路的备份。2.3.13可管理性ASG SSL VPN提供了整网管理和维护的工具。首先，在总部能够实时监控各分支机构的接入状况和当前状态；同时能在总部对各分支节点进行远程的配置、备份和恢复；另外还可以直接操作远程节点的计算机，实时的管理和控制。ASG SSL VPN还具有可独立部署的日志系统，完备的记录所有的操作使用信息，便于故障的诊断和管理。并且ASG SSL VPN具备强大的数据中心，可以实现对网络日志，用户日志，服务日志，操作日志等多方面的统计、查询。并且可以以饼状、柱状图形显示，方便直观。