SSL VPN技术方案建议
1. 实用性和先进性
系统的模型设计、软件结构以及软硬件平台都应采用当前主流的技术。使整个系统在一段时期内保持技术的先进,并具有良好的发展潜力,以适应未来业务的发展和技术升级需要。
2. 安全可靠性
系统设计需充分考虑平台运行的安全性,具有抵御外部攻击及病毒侵入的能力。提供较强的管理机制、控制手段、事故监控和网络安全保密等技术措施,提高网络系统的安全可靠性。
3. 灵活性与可扩展性
网络系统是一个不断发展的系统,所以它必须具有良好的扩展性。 4. 经济性/投资保护
系统设计要充分考虑利用现有的设备资源。应以较高的性能价格比构建网络系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。
所以,根据******信息网络应用系统SLL VPN部署后应有良好的联接和兼容的原则,总体的网络设计主要集中在不影响和改变现有网络其他设备,保证系统的完整性、一致性和可扩充性,以及后期管理简单,维护方便。
3.4 解决方案
根据******信息网络应用系统SLL VPN系统的具体需求,及我们对项目的理解,针对本次SSL VPN应用,提出了具体的解决方案建议!
3.4.1 总体规划
******信息网络应用系统网络架构采用二层链接的方式,即******层,二级分公司层。
第 5页
SSL VPN技术方案建议
移动办公员工、参与投标的单位与******之间大多数是互联网链路,需要通过SSLVPN构建VPN连接。所以,员工或投标单位以Remote Access的方式,与******建立SSLVPN连接。在远端,以用户的方式接入VPN系统,对其网络使用环境没有任何要求,只需能够接入互联网,如:ADSL。另外,对使用者没有过多的技术要求,能简单操作计算机,会上网即可。
系统部署规划拓扑图如下:
第 6页
SSL VPN技术方案建议
3.4.2 SSL VPN安全接入
针对******信息网络应用系统的应用特点,从连接性、应用性、安全性和扩展性等方便综合考虑,我公司提供了整体的安全接入方案,保证端到端的安全接入,包括客户端的安全,传输的数据加密,用户接入的认证和授权以及到后端应用服务器的数据传输加密等。
系统拓扑示意图如下所示:
第 7页
SSL VPN技术方案建议
员工应用SSL VPN应用流程如下:
通过客户端安全检查和浏览器缓存清除功能模块来实现对客户端的安全保证,通过Web Resource Mapping 、File Share、Application Manager、L3 VPN等功能模块来实现对不同的应用支持: 1. 客户端安全检查(Client Security):
在用户登录时对用户计算机系统进行安全检查,可以对IP、注册表以及操作系统、防火墙、杀毒软件的版本和补丁等的相关信息进行检查,确定用户的合法身份和使用权限,将一些非法和恶意的访问请求屏蔽,保护内网的安全。 2. 浏览器的缓存清除(Cache Clean):
第 8页
SSL VPN技术方案建议
在用户访问完成,退出SSL VPN时,Cache Clean功能会自动清除用户浏览器的缓存内容,包括一些下载到本机上的临时内容和用户的访问操作记录等,完全抹去用户的访问记录,以防被他人利用窃取相关信息。 3. 不同应用的实现方式
1) 通过Web资源映射完成对B/S结构的应用的支持,如企业的门户网站,
OA系统的Web访问和邮件系统的Web访问等等。 2) 通过File Share实现远程的文件共享。
3) 通过Application Manager来实现非Web的应用支持 4) 对于复杂的应用采用L3 VPN的实现方式。
当前,******信息网络应用系统应用需求主要集中在OA、网上招投标系统应用的访问,所以可以通过WEB资源映射的方式实现也可以通过另外两种方式实现包括TCP APPLICATIONG和L3 VPN。考虑到业务发展,Array SSL VPN提供了一个完整性的、扩展性的解决方案,将支持未来的任何一种业务系统。 4. 用户的认证和授权
可以与外部的AAA认证服务器结合完成统一认证。也可以基于VPN设备上的本地数据库来对用户进行认证和授权,对不同的用户、用户组设置不同的访问权限。
3.5 设备选型
1. 根据******信息网络系统的需求和特点,单台设备支持1200个并发用户,
选择两台Array SPX2800作为接入中心的SSL VPN设备,在实现SSLVPN安全接入的同时,两台设备实现HA,系统系统的高可靠性。 具体配置型号:
SPX2800 Remote Access Edition,最大并发支持1200用户。用户只需要通过license升级就可以提高到1200的并发用户数,节省了用户升级的投资费用。
第 9页