SSL VPN技术方案建议
均在内存中进行,一旦用户结束此会话,所有在内存中的与虚拟桌面相关的信息均会自动清除。
数据传送采用工业标准的SSL加密算法;在SSL VPN设备端通过对用户的认证、授权、审计、Session级保护等多个方面有效保护企业的信息安全,具体方式如下: 1. 客户端检查
? 客户端的接入权限
? Web Access、Web Browser、File Share、Application
Manager、L3 VPN ? 可自定义接入的级别 ? 确定客户端的级别
? ? ? ?
客户端的IP地址 客户端的SSL证书 客户端包含特定文件 客户端注册表特定键值
? 客户端安全检查
? 客户端个人防火墙检查 ? 客户端防病毒软件检查 ? 操作系统版本及补丁检查 ? Cache Clean
? 清除客户端cache ? Security Desktop
? 为客户端提供安全桌面
2. 支持通用 SSL 加密算法
? 密钥算法: DES (56-bit), 3DES (168-bit), RC4 (128-bit) ? 公钥算法: RSA (1024-bit+)
? 消息认证: MD5 (128-bit), SHA-1 (160-bit) ? Web 客户与Array SPX之间SSL加密 ? Array SPX 与后台服务器之间明文或SSL加密
3. 多层安全控制机制
? Webwall-应用层防火墙:基于IP/TCP/UDP的包过滤机制;防
DOS攻击;基于状态检测的防火墙功能 ? 基于URL的过滤机制。
第 20页
SSL VPN技术方案建议
? 端到端的SSL加密 ? 强大的AAA功能
? 通过WRM隐藏内部资源路径
4. Single Sigh On
? 当使用公司内部不同的应用系统时,需要输入不同的 “用户名+
口令”,资源预定系统一个口令、OA一个口令、销售系统又一个口令,很麻烦。因为需要在不同的Web服务器上进行不同的授权管理,管理员也倍感疲惫。Array Networks SPX支持单点登陆,可以让用户访问不同的网站只需要一次登录,一次认证,可以有效降低管理负担和方便使用。
5. Session 级保护
? 在会话停止一段时间以后自动停止会话,如果需要继续访问则要
从新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击。
4.3 认证、授权和审计
安全认证主要是对用户身份实施检验和权限设定,不同用户所能访问的数据可以是截然不同的。安全认证一般采用集中管理方式,在内部网络中设立专门的认证服务器,在其上建立用户数据库,这样不论用户从何处登录进来,都需要经过该服务器的统一检验,授权并且其后的所有访问过程都可被审计,记入日志。 1. 用户认证、授权
? 认证:支持传统的Radius、LDAP 、Active Directory、SecurID 、
NTLM等认证方式,同时提供Local(本地数据库)认证方式. ? 授权:基于用户或用户组的接入控制;基于URLs限定接入内部
资源;基于用户IP地址限定接入
2. 审计和管理
? 记录所有行为
? 用户登陆/登出
? 认证/授权失败 ? 被请求的 URLs
第 21页
SSL VPN技术方案建议
? 支持的Syslog
? 最多8个可配置的log消息
? Emergency, Alert, Critical, Error, Warning, Notice, Info,
Debug
? Log消息时间戳 ? 支持SNMP V2
? 支持 SNMP GET,允许实时地监测系统状态,包括流量负
载,活动连接,用户登陆/登出和认证失败等。
3. 证书管理
? 为保证网上数字信息的传输安全,除了在通信传输中采用更强的
加密算法等措施之外,必须建立一种信任及信任验证机制,即参加应用的各方必须有一个可以被验证的标识,这就是数字证书。数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。这就应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个应用服务的信任链。
ARRAY SPX 的证书管理支持以下项目:
?
? ? ?
支持X.509 标准协议。 支持客户端证书认证。
支持Certificate Revocation List (证书撤销列表) 支持intermediate CA Certificate
4.4 便捷的配置和管理
Array Networks SPX的支持命令行方式(Console或SSH)和图形化界面(Https)配置和管理方式,系统配置简单。SPX支持远程管理和集中管理,由于是基于Web方式的管理,管理员只需要任何一台带有IE浏览器的计算机,可以访问到SPX的IP地址,并且拥有相应的访问权限,便可以对 SPX进行管理和监控。同时SPX支持标准的SNMP协议,可以通过SNMP对全网的SPX设备进行集中的运行监控。
SPX配置管理的方式如下:
? 全命令行接口 (CLI)
? 通过串行电缆实现Console方式 CLI ? 通过SSH实现远程接入方式CLI
第 22页
SSL VPN技术方案建议
? WebUI通过一个标准Web浏览器实现所有的配置
? 推荐IE 6.X 或 Netscape 7.X ? 直观Flying Deck图形界面
? 可以直观地检SPX系统负载、每秒请求数,当前并发数,
流入/流出流量等系统运行关键指标 ? 通过SNMP协议集中监控
4.5 支持集群技术
Array SPX 的Clustering 采用VRRP协议,可以采用Stateful Failover
技术,为用户提供更强大的High Availability功能。它可以带给用户如下功能:
? Array设备本身具有容错性和高可靠性。Array支持Cluster的工作模式,
提供1+1 和N+1 的冗余配置模式,整个Cluster作为一台设备工作,则整个Cluster的性能等同于一台SPX的性能。所以,Cluster可提供更高的宽带和更小的延时。
? 不需要额外的负载均衡设备实现负载分发。 (同时可支持外部负载均衡设
备)。
? 无缝同步Cluster内设备的配置和会话。每个设备独立的流量的处理,同
时又监视本Cluster中其它设备的工作状态;
? 在大多数情况下,当一台SPX出现问题,用户不会感觉到应用中断。 ? 在Cluster的任意一台设备上可以执行CLI命令,同样,在任意一台设备
上使用WEBUI可对整个Cluster进行配置。
? 不需要专门的端口来实现同步,但推荐使用一个端口来保证同步正常。
同步过程中所有的流量都是加密的。
? 不再有主设备和备份设备的概念,Cluster内所有的设备都是对等的。能
工作在Active/Standby或Active/Active方式。
? 利用VRRP的技术实现 ( VRRP-虚拟路由冗余协议, RFC 2338)。
实现以上功能是由于SPX能维护一个用户的会话状态表,当用户登录时,SPX将记录在会话状态表内并一直根据此用户会话。这些会话从一台SPX传送到另一台SPX的过程叫做状态会话同步。这样最大的好处是,当Cluster内的一台SPX出现问题时,另一台SPX将把出现问题的SPX内的会话接管过来,用户不需要再次登录。
第 23页
SSL VPN技术方案建议
当Cluster内的一台设备启动时,它将寻找在同一个域内的其它设备,并与开启时间最长的设备进行配置同步。配置同步完成后,会话也将被同步,然后,此设备才被标记为可用设备,开始传输流量。
配置Cluster时,任意一台设备配置的改变都将会自动同步到其它设备内。
决定Cluster内的一台设备是否健康依靠远端的设备和设备本身。每台设备内置的健康检测程序会监控在不同条件下的设备状态,以决定一台设备是否健康。同时,我们还提供了“可定置健康检测”,用户可修改脚本文件并放在SPX设备内,来自己定义健康检测条件。
4.6 Array Networks SSL VPN的优势
Array Networks SPX 是一款针对SSL VPN 专门设计的硬件产品,其核心操作系统为ArrayOS。具有专利技术SpeedStack,包含三个模块:HTTP解析器、Proxy engine、TCP/IP Stack。Array独有的TCP/IP协议栈,指针化的数据处理 使得对于TCP/IP的包处理更加快速,Proxy engine经过多年的沉淀和积累在完成SSL VPN所必须的proxy操作时做到更高效的处理,HTTP parser使得Array SPX在处理应用层的能力更加出众。Array 的SPX系列具有应用前端设备才具有的先进理念技术连接复用技术,能够极大降低服务器的负载,同时提高应用服务器的响应能力。Array Networks的每款SSL VPN产品都具有SSL硬件加速器,在SPX5000中还有HTTP 硬件压缩卡。Array的硬件SSL加速同时作对称与非对称加密,即SSL握手和内容传输加密运算都有SSL硬件加速,给于CPU以充分的能量来做高层处理。这些结合SpeedStack技术,使Array产品的性能在市场处于领先地位。
下图为其他厂家产品和Array产品架构的主要区别:
第 24页