SSL VPN 应用技术技术方案.docx

1、SSL VPN 应用技术技术方案Qno侠诺SSL VPN解决方案一、浅谈SSL当今世界全球化的进程越来越快，这使得分布在世界各地的企业各分支机构、合作伙伴和客户之间的联系越来越紧密，加上出差移动用户的需求日益频繁。因此，外部人员如何能安全、方便、快速的远程接入企业总部内网进行办公成为企业关注重要的议题。目前远程接入除了透过IPSec、PPTP、Qno SmartLink VPN等协议之外，同时结合简易、安全两项强大特性的SSL VPN协议，也因为多家网络安全设备厂商相继投入而逐渐被企业所关注应用。SSL是什么？简单来说SSL（Security Socket Layer，安全套接层）是一种在互联

2、网上，经由加密机制保证发送信息安全的通用协议，它包括：服务器认证、用户认证、SSL链路上的数据完整性和数据保密性。在应用面而言，SSL VPN是将局域网资源，以VPN网关功能，采SSL安全方式，提供给远程接入用户。由于SSL VPN采用目前所有通用标准浏览器内建的SSL/HTTPS作为安全传输机制，因此在客户端最关键的优势在于：无需安装、无需设置，只要通过浏览器如IE或Netscape便可进行远程数据存取，具有部署简单、无客户端、维护成本低、网络适应强等特点。相对在管理端上只需通过原有的身分认证机制，即可对使用者身份及权限加以分级管理，让企业信息不至于完全通透，安全保障可更上一层楼。总合说来，

3、SSL VPN表现在简单应用、身分认证、使用权限区隔等方面，对企业网络安全运作确实具有强大的优势，但由于取得SSL认证费用较昂贵，过去一般只应用在大型企业中。我们通过以下工作流程与拓朴图可简易了解SSL VPN实际运作状况。SSL VPN工作流程与拓朴图：1. 远程用户通过SSL/HTTPS，联机至SSL VPN路由器；2. SSL VPN路由器收到远程用户联机要求后，即开启登入页面，请该用户输入用户名/口令；3. 远程用户输入用户名/口令后，将数据送至后方身份认证服务器，验证该用户身份；4. 身分认证服务器验证远程用户身份后，通知SSL VPN路由器，允许该用户登入；5. 远程用户通过认证后

4、，SSL VPN路由器依据权限政策，开放相关应用服务让该用户存取；6. 远程用户现在可以浏览登入后的网页，并点选可存取的应用服务连结。注：若外部配置有防火墙，需开启PORT 443，允许SSL/HTTPS联机通过。二、企业SSL导入评估通过SSL VPN远程接入办公，可拥有良好的机动性与使用弹性，不需受限于网络联机设备配置，企业外部人员可通过如网吧非自有电脑、或其它连线设备如：PDA、GPRS手机等，只要能读取网页即可存取企业总部内部资源，随时随地取得所需数据进行办公作业。纵使拥有很强大的优势，但SSL VPN却并非每家企业都必须的，侠诺科技建议企业应先充分检视自身网络联机需求，再进行选择适合

5、的远程接入方案。企业是否需要导入SSL VPN，可参考下列导入评估问题加以检视：1. 您的企业是否有远程接入需求？员工是否需经常在公司以外的地点，存取业务文件、邮件、内部网站、资料库、或是特殊应用程序等内部资讯？是，请继续接2；否，请跳到72. 资料是否为机密？如果欲开放远程接入存取资料为内部机密或重要业务资料，则应考虑采用VPN方式存取，以确保资料传输安全。是，请继续接3；否，请跳到73. 连线地点是否固定？远程接入用户的连线地点如果都是固定位置，例如家中、分公司或上下游厂商，并且使用固定计算器，则不一定非用SSL VPN不可，也可使用IPSec VPN。是，请接5；否，请接64. 是否需要

6、对用户作身份认证及权限控管？如果需要管控远程接入用户身份认证、可存取的应用服务内容，则应采用SSL VPN；如果应用服务可全部开放，不需特殊管控，且连线地点固定，则可采用IPSec VPN。是，请接6；否，请接55. 您的企业适用IPSec：不需身份认证、权限控管、连线位置固定。6. 您的企业适用SSL VPN：需要身份认证、权限控管、连线位置不固定。7. 您的企业不需要VPN。三、侠诺中小企业专用SSL VPN解决方案产品简介：为了提供企业更丰富多元的VPN联机方案选择，Qno侠诺科技提出专为中小企业应用设计的SSL VPN方案，除了注入侠诺研发团队长时间细心推敲成就出的友善优化的管理界面设

7、计外，并打破大型企业独享高价SSL的传统，提供较适当的价位，使中小企业在满足对应用需求的基础上，能够和大型企业一样真正享受SSL VPN带来的良好服务。配合新一代、多样化、高安全整合性的设备需求环境，采用MIPS64 1G倍频双核硬件加速网络处理器，运算速度可达1G，防火墙及NAT双向转发率为2Gbps，为同级产品的十倍效能，可支持300,000个联机数；内建高规格最大1G DDRII超大容量内存，封包处理快速稳定，处理速度及带机量直逼中、大型企业用户专用的昂贵VPN防火墙设备。具4个千兆广域网端口、8个千兆局域网端口，适用各种不同网络架构，可供多条百兆的广域网络使用。支持Windows /

8、Linux / Mac OS平台，SSL VPN提供网络服务、微软终端服务、远程桌面服务、在线网络邻居、安全隧道等功能。产品选型：针对不同应用需求，Qno侠诺科技同步推出SSL001企业级四WAN SSL VPN防火墙及SSL002企业级四WAN SSL/IPSec复合式VPN防火墙： SSL001支持SSL、PPTP VPN联机功能。SSL VPN可支持并发用户25个联机，最大可升级至300个；具备PPTP服务器功能，可提供200个PPTP移动用户进行VPN联机。适用对象：适用于需要快速建立不需维护VPN外点及移动用户之应用，如连锁销售业、物流仓储业、保险业、销售行业等。 SSL002支持S

9、SL、IPSec、PPTP、SmartLink、QnoKey VPN联机功能。SSL VPN可支持并发用户25个联机，最大可升级至700个；IPSec VPN最大支持400个隧道联机（包含200个IPSec、100个QnoKey客户端、及100个SmartLink联机，用户可自行依需求弹性调整IPSec & QnoKey隧道数值）；具备PPTP服务器功能，可提供200个PPTP行动用户进行VPN联机。适用对象：适用于同时需要因应不同性质VPN外点，包括网段、单机外点或移动用户之应用，如：制造业、跨国集团、多分支销售行业等。产品型号SSL001SSL002CPU处理器MIPS64 1G双核网络处

10、理器广域端口4(千兆)4(千兆)局域端口8(千兆)8(千兆)内存512MB (可升级1G)1GBSSL25-30025-700IPSec / QnoKey-200 / 100PPTP200200SmartLink-100带机量12001200服务概述：1. 网络服务：提供远程接入使用局域网TCP/IP相关服务。主要是将常见的TCP/IP服务，例如Web、SSL Web、FTP、Telnet、SSH等服务，经由Qno SSL VPN转换，变成Web界面让远方的用户使用。应用的情况为从远程观看局域网内部网站或网站服务器的文件、从远程到局域网内FTP服务器存取文件、从远程进入局域网的服务器执行Tel

11、net动作、等等。这个功能适合一般的用户从外部回到局域网内观看文件，或是观看HTTPS加密过的网页文件、或者是技术人员回到局域网执行TCP/IP相关的指令。由于TCP/IP相关应用往往是公开性的，因此是远程接入资源关联范围最小的服务。2. 微软终端服务：提供远程接入使用局域网具有Windows终端服务器应用软件。主要将常见的微软终端服务，例如Word、Excel、PowerPoint、Outlook或任何可在Windows服务器运作的软件，经由微软终端服务功能，配合Qno SSL VPN提供给远方的用户。最常见的应用就是用户从外部连回局域网执行C/S架构的财务软件或ERP软件，或是操作系统上常

12、见的办公室软件。使用这个功能的前提是提供应用服务器上，必须备有Window终端服务器，否则无法使用。这种应用只开放单一应用给远程用户，因此安全性高，运作速度也较快。3. 远程桌面服务：提供远程接入使用局域网支持RDP或VNC计算器整个桌面资源。主要是经由远程遥控的功能，操控局域网上某一台计算器的画面，等于是在局域网上的一部计算器工作。这个工作主要经由RDP（Remote Desktop Protocol）及VNC（Virtual Network Computing）远程遥控协议运作，可支持Windows、Linux、Mac不同操作系统的计算器。主要的应用，例如提供远程技术支持、演示、联机回局域

13、网计算器进行任意一种操作。这种应用等于开放局域网上一部计算器的所有资源，因此资源关联范围较大。也可以说前面提供的服务，如果有不足的地方，都可以以这个功能来实现。但是被遥控的计算器，必须安装RDP及VPN服务器软件，才可以实现这个功能，不是随时都可启用的。远程桌面的功能，等于将一部计算器的资源全部开放，安全性相对较低，另外由于每个动作都要将桌面传送到远程，因此运作速度较慢一些。4. 在线网络邻居：提供远程接入使用局域网Windows网络邻居的文档服务。主要是将局域网上Windows网络邻居的服务，由Qno SSL VPN以网页文件的形式开放给远程的用户。这个服务的应用主要为支持远程的文件存取。由

14、于网络邻居是常见的文档存取服务，而且只有用户自行规范愿意开放的文件，才能让其它用户存取。同时，用户也能对开放的文件，作不同存取权限的配置，因此，相对是较为安全的。不过这个功能，也等于是开放局域网上所有允许公开存取的文件，因此资源关联范围相对也是较大。对于寻找网络上的用户及文件是很方便，但是也具有外漏网络上所有文件的风险，因此使用上要较为小心。5. 安全隧道：提供远程接入使用局域网所有网络资源，具有和局域网计算器相同权限。这个功能是让远程用户计算器取得一个局域网的IP地址，应用上等于是一个局域网上的用户。这个功能让用户的所有运作，就好像是在局域网上的一台计算器，因此等于开放了最大的权限。这个功能

15、和PPTP/IPSec的功能相近，只是通过SSL来运作，用户配置也较容易。应用特点： 高安全性Qno SSL VPN通过SSL协议加密、认证服务器、访问入口的用户身份认证、及严格的权限控管等重重安全管制，多因子认证保证VPN联机安全。一般的用户只能使用特定应用，而且只有画面的传输，没有实际的数据传输，安全性极高。提供登录注销后清除Web缓存、Cookie、等各种记录功能，避免数据资料被有心人士窃取。允许设置用户使用时效，到期则无法接入SSL，在安全上更增一层保障。 应用快速Qno SSL VPN终端服务让用户端不需安装应用软件，只需通过支持SSL浏览器登录，远程接入直接在中心端进行数据存取，以

16、只传送画面的方式进行，带宽需求极小，不会有响应慢的问题，解决C/S架构远程接入响应慢、安全性低的问题。 方便易用Qno SSL VPN客户端无需安装软件，零配置、无需维护，只要会使用浏览器，就可通过身份认证访问企业内部资源，实现联机一键通。无论是在任何地点的分支机构、出差人员、合作伙伴等，都可以轻松通过互联网访问企业内部资源。简单直白图像化操作界面，不需要太多技术指导，用户可轻松上手，减轻网管负担，加速企业SSL全面应用。 简单易管Qno SSL VPN管理一键通，网管可以直接套用预置用户群组样版，省去繁复设置流程，快速完成配置。强调中文的配置画面，配合直白的单页配置设计，将复杂的配置放置在一个页面完成，简化管理。支持多种认