Internet 上。
(3) 降低运营成本:管理型端到端 VPN 服务可以提供全面的服务质量(QoS)和服务水平协议(SLA)性能,支持要求最苛刻的商业应用。客户无须专业知识及专用资源,就可以实现 VPN自我管理、监控。
(4) 提供差别化服务:下一代功能如 QoS 和安全域划分等技术,将使服务供应商可以向用户提供更多的差别服务,提高该运营商的竞争优势。
4
2 远程安全技术产品的选择
企业通过Internet数据传输平台,实施加密的VPN实现安全接入的办法主要有两种:一种是IPsec VPN,另一种是SSL VPN。两种技术在不同领域各有其优势。在实施普通应用的移动用户接入VPN时,采用SSL技术,原因是SSL无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低,而且由于SSL VPN不是打开一个网络层通道,而只是提供了联系应用层请求的固化网络接口,所以提高了与VPN相关的整个系统的安全性。因此在选择SSL VPN的产品是我们应该从以下几方面进行考虑: 2.1从网络部署上
设备部署地的网络接入状况是用户可控制的,现在改善用户网络接入环境的方式主要为使用多家运营商的线路,这就决定了SSL VPN产品必须要支持多条网络线路复用的功能,最好支持接入用户的智能选路,从而使接入用户选择最快线路接入,少走冤枉路。 2.2从安全角度考虑
用户接入内网都是访问内网资源,内网资源中不乏各单位内部机密,包括ERP、OA等应用中传输的数据也是单位内部业务数据,一旦被第三方截取并破解,其后果不堪设想。因此一款好的SSL VPN产品应该是真正基于工业标准SSL协议的,至少拥有DES、3DES、AES、MD5、RC4、RSA等基本算法,并且随着国家信息安全建设步伐的加快,政府、教育、电力等大型行业用户选择支持国密办加密算法SSL VPN产品无疑是最保险的选择,但这仅仅保证的是数据通道传输的安全,一款好的SSL VPN产品还应该关注用户端接入安全、接入后权限控制这两方面问题,因为普通的内网安全防护设备并不能对SSL VPN方式接进内网的人员提供病毒安全防护,所以通过客户端安全检查、VPN专线等方式,确保建立起的SSL VPN通道不变成病毒、木马专用通道是SSL VPN产品必须保证的。对接入人员的身份认证无疑也是安全的一个考察点,在提供了基本的认证方式如用户名“密码认证、短信认证、USBKEY认证、动态令牌认证、硬件特征码认证等方式后,与客户网络内部已有的第三方服务器认证、域认证或者CA认证能无缝结合进行身份认证也逐渐成为了SSL VPN认证体系评价的标准之一。而对于接入人员细致的权限控制也是SSL VPN产品必备的特性之一,如果一个普通权限员工接入内网后可以随意访
5
问财务服务器,这肯定是存在安全隐患的,一般现有的权限控制都基于角色和资源的关联并搭配以用户门户之类的技术来实现。 2.3从访问控制角度
由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。
然而在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,这就要求SSL VPN的产品可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。 2.4从经济性和扩展性
IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。
但是SSL VPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
假设一个公司有1000个用户需要进行远程访问,那么如果购买IPSec VPN的产品,那么就需要购买1000个客户端许可,而如果购买SSL VPN产品,因为这1000个用户并不同时进行远程访问,按照统计学原理,假定只有100个用户会同时进行远程访问,只需要购买100个客户端许可即可。
6
3 使用F5 firepass设备进行方案建设
现在市场上充斥了各式各样的SSL VPN产品,但是F5 firepass 系列的远程接入产品却是广受好评的SSL VPN产品,通过采用标准Web浏览器为用户提供了一种安全访问企业应用和数据的方式。无论在家中还是在路上,FirePass出色的性能、可扩展性、易于使用特性以及安全特性,均有助于提高工作效率,并保持企业数据的安全。
3.1 F5 Firepass系统设备型号的选择 FirePass 4300系列
FirePass 4300控制器是专为大中型企业和运营商而精心设计的2U机架安装式服务器。它支持多达2000个并发用户采用四核CPU获得最佳性能。 此外, FirePass 4300 还支持内置的冗余电源和可选的千兆光纤端口。 FirePass 4100系列
FirePass 4100控制器是专为大中型企业精心设计的2U机架安装式服务器。它可支持多达2000+并发用户,为基于Web方式安全远程访问企业应用和桌面提供了一套全面的解决方案。 FirePass 1200系列
FirePass 1200控制器是专为中小型企业精心设计的1 U 机架安装式服务器。它支持 10-100个并发用户,为基于 Web方式安全远程访问企业应用和桌面提供了一套全面的解决方案。
7
图3-1设备型号
8