SSL VPN技术方案建议
SPX2800单台吞吐量可以达到200Mbps,提高了设备的性能,提高了用户访问的速度。
其性能指标如下: 核心功能:
1) SSL VPN安全接入,提供SSL硬件加速 2) 虚拟站点
3) 认证:SecureID、LDAP、RADIUS、Microsoft Active Directory以及LocalDB、 X.509
客户端证书认证 4) 单点登陆 (Single sign on)
5) 授权:按特定用户、用户组、用户位置或所请求的数据进行灵活的访问控制 6) 审计:记录用户登陆、操作,支持Syslog 、Snmp 7) Web 资源映射 (Web Resource Mapping) 8) 安全文件共享( File Share)
9) 应用程序代理 (Application Manager) 10) 网络层VPN (L3VPN)
11) 客户端安全保护 (Client Security ) 12) 应用层防火墙(Webwall) 13) Url 屏蔽、过滤 14) 完善的证书管理 15) 支持动态NAT 16) 支持SSL 端口转发
17) 多设备集群技术,支持会话同步 18) Speed Stack 技术
19) 连接复用(Connection Multiplexing)
主要性能指标:
第 10页
SSL VPN技术方案建议
1) 最大同时支持1,200个并发用户 2) 最大支持4,000个并发SSL会话
3) 专用硬件SSL加速,支持每秒4400个新进SSL连接 4) 吞吐量达200Mbps
5) 多层安全功能,支持1000条访问控制策略 6) 支持最多256个SSL VPN门户 7) 先进的连接复用技术,复用比超过90:1 8) 支持Clustering
9) 支持256个VLAN(802.1Q)
3.6 组网结构和部署
Array Networks SSL VPN设备SPX2800部署在******内部网络内。SPX具有组网灵活简单的特点。根据总体网络设计的原则,建议采用接入外网防火墙Cisco ASA5550后的DMZ区交换机Cisco 4948上(单臂)的结构,并且通过链路分别连接两台SCE2020,根据安全的设置,区分不同的用户,只可以访问DMZ区服务器或可以访问内网相应的权限资源等。
这样SPX对企业内网资源的所有访问也要经过外网防火墙和SCE2020的检测,对于内网信息具有更高的安全性。
外网防火墙只对SPX开放https的端口地址,缺省为TCP 443端口。SPX的管理IP和提供的门户站点IP地址可以是公网地址,也可以是防火墙提供的NAT后的私有地址。
在网络安全方面,由于Array SPX产品本身是为安全定制的平台,能够提供WEB层的防火墙以及防DOS攻击等功能。SPX 提供多种认证和授权方式,有效保证用户接入的合法性,防止恶意侵入。对客户端的检查功能,防止在用户接入时把黑客软件和病毒等带入到企业的内网中。由于远程客户端与SSL VPN网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到
第 11页
SSL VPN技术方案建议
隐藏到其中的明文信息。因此敏感的信息都被保护起来,杜绝了有效信息的泄露。
SSL VPN基于PROXY的机制,使用外网与内部专网相互隔离,保护了内部服务器与客户机的隔离。只需开放所需服务,因此客户端只能通过授权使用所开放的服务例如只开放OA系统,除该服务之外的其它服务都无从访问,从而减少了很多对内网系统进行攻击的途径,达到了对内部网络的最大保护。
3.7 管理员的部署与配置
传统VPN实施需要在服务器和客户端软件上投入大量的资金,IT人员需要耗费大量的时间在系统的实施和后续的支持和维护上。实施Array SSL VPN安全接入则非常简单:
? 安装SSL VPN 硬件系统,连接在防火墙的后面。 ? 将系统连接到网络上,并定义一些系统设置 ? 人员管理和访问服务管理
通过基于HTTPS的管理控制台进行简单配置后,授权用户便可以远程安全访问内部资源,包括企业OA和其他应用系统等。基于策略的管理,提供给管理员更多的控制空间。
3.7 远程用户的安全访问
任何熟悉浏览器的用户无需任何特殊的培训就可以使用Array SSL VPN系统。用户登录后就可以访问企业OA应用。认证和启用一个VPN会话之后,用户可以访问通过访问控制授权的资源。
1) 多种互联网接入方式的支持
对于应用层的SSL VPN来说,任何接入方式都支持,包括拨号,局域网NAT,以及无线,只要能上网,即可使用SSL VPN。 2) 访问企业OA
前提:移动用户能够接入互联网
a) 启动具有Internet连接的Web浏览器
第 12页
SSL VPN技术方案建议
b) 经用户名、口令的强认证,登录到SSL VPN系统
c) 浏览授权的资源,点击相应的书签标识即可进入OA等应用系统,
且是经过SSL 加密传输的。
d) 正常进业务操作之后,登出SSL VPN系统,则安全通道关闭。
3 )C/S结构应用与复杂协议上的网络应用的支持
用户可以登录到Array SPX并启动会话,当用户被认证通过,SPX自动启动TCP Application或者网L3 VPN后,便可透明使用C/S结构的应用系统。通过 SSL封装流量,客户端和内部服务器通过SPX建立安全的连接和通讯。SPX系统可以使远程用户在不安装任何客户端软件和修改任何配置的条件下,通过Internet提供对内部应用服务的安全使用。用户在使用业务系统不需做任何改动,如同在局域网使用一样。
第 13页
SSL VPN技术方案建议
4.Array SSL VPN技术概述
数据大集中和多项业务集成能最大限度地利用已有链路,提高网络经济性,但由此带来的安全问题不容忽视,例如:远程客户和公司营业部职员所能访问的权限肯定是有所不同的,他们的数据应能被识别和隔离开来分别处理。
SSL VPN以SSL技术为基础的新型VPN实现方式,是一种低运行成本、高生产效率的远程访问方式,用户无需安装客户端软件,通过标准的浏览器如IE实现远程接入。
Array Networks SSL VPN解决方案提供端到端的安全控制,通过对用户端进行系统相关信息、防火墙,杀毒软件等应用程序的检查以确认用户的合法身份和接入权限,数据传输采用SSL协议的标准加密技术,还有对用户进行认证、授权和审计等安全措施提供更安全的远程访问控制能力,同时支持的各种复杂应用系统,管理和维护也更为简单便利,降低了部署和维护的成本。
下图为Array SPX产品在SSL VPN应用中的网络结构。
Corporate NetworkSSLSSLSSLSSLArray SPProxySSLSSLSSLClientClientSSLInternethttps://intranet.arraynetworks.net
上图是一个典型的SSL VPN组网的拓扑结构图,圆圈中为企业的核心数据网络,远端用户通过Internet与企业数据中心相连。此时,在企业边缘部署SSL
第 14页