|
一、需求分析
随着移动数据技术的进步和电子商务模式的发展,选择远程办公的人越来越多。早在2003年,美国就有54%的雇员在企业的局域网之外通过远程接入的方式来实现异地办公。而在中国,通过互联网进行远程办公的员工也日渐增多。
随着中国网通广东省分公司业务量的迅猛发展,越来越多的外部客户、代理商及内部员工需要接入网通内部网络,随时随地的访问网通内部的信息资源(如在线营业系统),如果不加控制的放开信息系统的访问权限,必将使网通的内部网络暴露在可被攻击的环境下。中国网通广东省分公司需要一种安全的接入机制来保障通信的安全,并达到以下要求:
1、直接接入公司内部访问相关的生产及开发资源。
2、提供WEB界面的接入方式,并能够实现Telnet、SSH、FTP及ORACLE等特定端口的访问。
3、采用USB KEY+密码的双因子认证方式进行认证。
4、支持从各种网络条件下的安全接入。
基于以上需求考虑,广东网通希望采用VPN技术来解决日益突出的安全接入需求。
二、技术方案
1、SSL VPN与IPSec VPN
目前VPN领域并存着两种主流技术,即IPSec VPN和SSL VPN。由于员工远程访问的机会愈来愈多,SSL VPN的重要性日益提升,也必将成为远程访问的主流方式;不过,SSL VPN不会取代现有的IPSec VPN,IPSec仍适用于办公室等固定网络之间的联机,IPSec和SSL二者会长期共存。
目前多数的远程访问使用了IPSec安全协议,而最新的调查表明,接近90%的企业通过VPN进行的内外网连接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是使用Notes客户端、通信工具和其它私有客户端应用,属非因特网应用。而这些应用都可以利用一种更加简单的VPN技术——SSL VPN来提供。基于SSL协议的VPN远程访问方案更加容易配置和管理,网络配置成本比起目前主流的IPSec VPN还要低许多,所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。
2、SSL VPN的主要优点
1、对应用的支持更广泛。最早期的SSL VPN仅仅支持WEB应用,但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL 隧道中,从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求,从而自动安装不同的插件。
2、对网络的支持更加广泛。早期的SSL VPN无法支持服务器和客户端间的双向访问以及UDP应用,更不支持给移动接入用户分配虚拟IP,无法实现按IP区分的安全审计功能。但现在优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP,并通过SSL 隧道建立层三(Level 3)隧道,实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。
3、对终端的安全性要求更严格。原来的SSL VPN设计初衷是只要有浏览器就能接入,但随着间谍软件和钓鱼软件的威胁加大,在不安全的终端上接入内部网络,将可能造成重要信息从终端泄漏。因此很多SSL VPN加入了客户端安全检查的功能:通过插件对终端操作系统版、安全软件的安装情况进行检查,来分配其接入的权限。
三、广东网通公司SSL VPN产品选型
为了便于用户既能很好的解决网间互连,又能便捷的推广移动办公应用,我们需要一种同时具备IPSEC和SSL两种主流VPN技术的产品,以便取长补短,最大程度上利用VPN技术的先进性,又避免由此带来的负面作用。
广东网通经过对在线营业系统的安全需求分析,最终采用了深信服科技的SINFOR SSL VPN 运营级产品M5800-S,该产品除具备SSL VPN的全部功能和技术特点,还内置有企业级防火墙和IPSec VPN功能。同时,M5800-S将SSL加密技术与基于USB Key的双因素身份认证相结合,通过从任何标准 Web浏览器接入,用户可实现到公司内部网络和应用程序的远程安全接入。对经常外出的移动办公人员,可以在任何场所、通过任何终端,无需安装任何VPN客户端软件就可以安全的访问公司内部资源。并且,基于USB Key的认证方式,可以同时应用于IPSec VPN和SSL VPN客户端中,省去了管理员维护大量IPSec和SSL客户端的诸多麻烦,网络管理成本也随之降低。
四、广东网通公司SSL VPN技术实现方案
经过对广东网通需求的了解,其采用了如下的方案对SSL VPN系统进行部署。 需求网络图如下:
SSL VPN网关选用SINFOR M5800-S,采用两台做双机热备,为广东网通的VPN应用提供高可用性和可靠性。SSL VPN网关M5800-S部署在网通现有的防火墙后方,可得到防火墙的保护,以加强接入安全性。设备的LAN口与在线营业系统及网通内部信息系统通过交换机相连。
远程用户可通过任意方式从Internet安全的接入并使用网通内部业务系统。公司员工认证采用USB KEY加帐号密码的双因子认证方式。
采用SINFOR M5800-S,对于需要实现网间互连的分公司、用户(如开发商),还可通过IPSEC网关实现整网连入,如下图所示:
除需要SSL VPN的基本功能外,广东网通还须实现下列附加功能:
1、采用USB DKEY 进行身份认证。
SINFOR M5800-S中SSL VPN采用SSL协议加密建立安全的专用加密通道,除了使用1024位的非对称密钥加强安全性,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。由网管员预先将移动用户访问权限录入到DKEY中,例如让某个员工只能访问CRM和文件服务系统等,而营业网点则只能访问在线业务系统。
2、权限的分配及管理
SINFOR M5800-S 通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配进行访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问控制为企业网络提供了较强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
3、多线路叠加功能,提高传输速度
M5800-S 支持4条广域网线路的负载均衡,为远程接入提供更大的带宽。在VPN隧道连接过程中,M5800-S会将接入用户均衡分配到各条线路上,一条线路中断,不会影响SSL VPN 用户的接入。
4、双机热备实现稳定传输
广东网通公司采用SINFOR M5800-S双机备份热备机制,保证了VPN网络稳
定、高效地运行。
5、单臂部署不改变原有网络结构
广东网通公司网络结构规划十分规范和严格,因此在进行SSL VPN的部署需要在最大程度上减少对原有网络的影响。由于SINFOR M5800-S只使用443端口传输数据,避免了在防火墙上作过多的设置。用户使用标准的SSL协议和标准的浏览器可以轻易的穿越防火墙,方便的接入到VPN网络,避免了网络兼容性的麻烦,对广东网通公司原有网络几乎未造成任何影响,网络维护量也大大下降,保护了广东网通公司的原有投资。
五、SINFOR VPN实现广东网通公司高效传输
SINFOR SSL VPN 给广东网通公司实现如下价值:
1、实现广东网通公司全省各营业网点安全联入公司在线营业系统,实
时录入和查询,整合了在线营业业务系统;
2、广东网通公司业务人员通过SSL VPN可以随时调取总部CRM系统客
户信息,不受地域的限制,拓展更多客户资源,及时录入CRM系统中;
3、简单迅速实现部署,不对原有网络造成任何影响,也更易于维护和
管理,降低了网络管理员的维护量。
| 
