高速易用的SSL VPN安全解决方案

高速易用的SSL VPN安全解决方案

    1 SSL VPN技术背景

    Internet的高度开放性和松散管理结构使得企业面临的网络安全问题愈发尖锐，成了Internet作为商务网络必须跨越的重大障碍。为此，各种网络安全技术和产品应运而生，VPN及其相关技术经过多年的实践、发展和完善，凭借其方便、安全、标准化等优势脱颖而出，逐步成为实现企业网络跨地域安全互联的主要技术手段。

    SSL VPN可以通过特殊的加密通讯协议，在Internet一端的出差员工和另一端的公司总部之间建立一条专有的通讯通道，就像架设了一条专线。与传统VPN解决方案相比较，SSL VPN使用维护简单，不用更改现有网络结构；移动性强，无须安装客户端程序；具有强有力的访问控制能力，可以使移动用户轻松访问公司内部B/S和C/S应用和其他核心资源。
    与复杂的IPSec VPN相比，SSL VPN通过简单易用的方法实现信息远程连通。任何安装了浏览器的机器都可以使用SSL VPN，因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司机密信息相连接的用户至关重要。
    SSL VPN 的价值包括许多方面，最主要的是提高访问控制能力，安全易用以及高额的投资回报率。SSL VPN 对访问控制更加有效，因为实施了用户集中化管理；所有的远程访问都是通过SSL VPN 控制台进行控管，这样可以更加有效的监控用户使用权限，这些用户可能是公司内部员工，也可能是合作伙伴或者客户；所有访问被限制在应用层，而且可以将权限细分到一个URL 或一个文件。
    下面举一个典型案例说明。

   2 需求分析

    XXXX公司有员工共有20000人左右，其中总部有员工4000人，内部有财务、KOA、E-mail、人力资源等应用服务器。总部下属有40个分公司，每个分公司有100-500人左右，都通过Internet和总部相连，各分部也有自己业务服务器。另外，长期在外出差的员工或者移动办公的用户约有1000-5000人左右。
 
    应用系统的用户分布在网络的各个位置，接入方式各式各样，如ADSL 宽带、拨号、无线等。在保证应用系统稳定可靠运行的前提下，应用数据在服务器与用户终端之间的安全传输不可忽视，数据的私密性、完整性对于整个集团的核心业务信息十分重要。

    同时，使用业务系统的用户角色各不相同，可能是派出机构办公人员，系统管理人员，XXXX公司领导，或XXXX公司相关财务人员等等。显然，不同的人访问ERP等业务系统应该具有不同的访问权限，系统需要为每一个人分配特定的角色，保证每一个登录的合法用户只能在系统规定的严格控制范围内行使自己的权利。角色划分得越细，带来的越权访问安全风险就越小。当然，可能由于系统设计、业务复杂、业务规范性不强等种种原因造成某些非法操作。此时，还需考虑对所有操作进行必要的安全审计，一方面提供追查事故原因的证据，另一方面也避免了用户的事后否认。所以需要对公司数据业务进行全面的管理，现有的网络系统和安全系统已不能满足要求。

    通过对现有网络环境的分析，客户应用需求主要有以下几点：

   （1）需要能够提供安全的通道，解决办事处人员的远程访问。
   （2）需要有一种安全的机制能够保证分公司和总局的连通性。
   （3）需要保证基于Web的业务系统正常、稳定运行。
   （4）需要保证移动接入用户身份和接入点的安全性。
   （5）需要尽最大可能保证用户当前的网络拓扑不被修改。
   （6）需要安全系统必须提供详实的安全日志功能。

    3 方案设计

    RG-WALL V系列安全网关能够针对以上用户需求，很好地满足用户需要。

   （1）能够提供安全的通道，解决移动用户的远程访问。
   （2）有一种安全的机制能够保证分公司和总局的连通性。
   （3）保证基于Web的业务系统正常、稳定运行。
   （4）保证移动接入用户身份和接入点的安全性。
   （5）尽最大可能保证用户当前的网络拓扑不被修改。
   （6）TCP加速机制，让您的网络“近在咫尺”。
   （7）安全系统必须提供详实的安全日志功能。

    4 方案阐述

   （1）设备部署

    考虑到XXXX公司的实际应用需求，几十个分部的数据均会汇总到总部，而RG-WALL V1600E能够提供更高的并发连接和吞吐率，因此在公司总部部署两台RG-WALL V1600E，采用在线方式部署，做双机热备。在40个分公司各部署1台较低端的RG-WALL V160E设备，用于做分公司和总部之间的端到端连接。考虑分布的出口带宽一般不会超过10M，RG-WALL V160E已经能够满足带宽的需要。如果考虑网络后续的可扩展性要求，在经费允许的情况下，可以使用RG-WALL V160OS。

   （2）应用搭建

    在RG-WALL V1600E上配置端到端的通道及对移动用户的权限分配。在分公司低端的SSL VPN设备上配置相应的端到端通道和总部所在的RG-WALL V1600E相连。在总部还需搭建一台CA中心，用于对用户证书的颁发。
 
   （3）用户配置

    设备一经部署，总部所有应用服务器的网关必须指向RG-WALL V1600E，而20个分部所有用户的电脑也需要将网关指向分部所部署的SSL VPN设备。对于40个办事处的用户，用户只需插入Ukey，登录总部所在SSL VPN地址，就能访问所需资源。

   （4）用户使用

    所有移动接入的用户，不管在任何地方，使用任何电脑，只要能接入Internet访问WEB，就可以通过WEB浏览器登录，然后一切使用方式照旧，延续使用者习惯。整个过程十分简单、方便，不需要使用者有多少网络知识，只要会上网就会使用SSL VPN，而且不受任何限制。当然，对于该访问者无权限的内容，是绝对访问不到的。

   （5）网络维护

    管理员一切维护工作都只需要在VPN设备端完成，管理集中，不需要跑来跑去；而且，任何新的配置及时生效，添加服务可在线进行，不影响正常使用。

   （6）延伸应用

     随着企业业务的发展以及全球化的市场、技术服务体系的建立，企业可根据具体需求，建立合作伙伴（渠道商、供应商）、客户需求交互资源库，以供其使用，以便于建立端到端的紧密联合体，既提高企业效率，又大大提升企业形象。RG-WALL V SSL VPN系统基于角色的资源访问控制的特点，决定了其完全可以让您放心的将企业内网部分资源有针对性的提供给合作伙伴以及最终用户。

   （7）方案实施效果

    依据此方案，在工程完成之后，总部和40个分部之间可以通过我们的SSL VPN设备来做端到端互联，分部用户访问总部不用做专门的认证，如同处于同一局域网内一样，且建立安全的SSL通道进行数据传递，保证了数据在Internet上传输的安全性，能够防止黑客对数据的监听和恶意篡改。对于40个分支机构，无需任何操作，就能轻松登录，安全访问资源。出差人员通过IE浏览器，使用用户名和密码即可访问总部或者分公司数据库。
  

新西兰工作签证类型(新西兰的工作签证都需要什么资料？)

    新西兰工作签证条件？ 新西兰的工作签证有很多种，最常见的是雇主担保的基本技能工作签证，时间1-3年不等，到期可申请续签，但也要符合当时的LMT劳动力市场测试。 1.雇主提供全职雇主担保并满足劳动力市场测试要求，需要雇主在主流媒体上发布招聘广告至少2周以上并且能够提供充分理由说明没有任何应聘的新西兰人适合这份工作； 2.工签申请人需要满足学历或工作经验要求，通常需要至少3年以上相关经验，并能提供证...

       网站优化之虚假流量是如何产生的 整个广告生态会涉及三方角色：广告主、媒体（卖广告的）、用户（看广告的）。媒体是不会承诺效果的，但是如果你反馈曝光量和点击量不够，媒体是可以给你再补量的。给你补的量多了，势必造成其它家量少，间接造成竞争加剧，流量价格也越来越高，但是只有曝光点击没有转化也是没有用的，于是更多的广告主更倾向于用户转化作为考核指标，而忽略了其它考核指标如CPC、CPM，只会让竞争更加加剧，造成恶性循环，从而导致了虚假流量...

       三亚辖凌华建筑工程与虎网科技签署网站建设协议 凌华选用虎网站网络实用型网站案例，此案例比经济型多了些功能，如动漫广告图片、在线客服QQ/MSN等聊天工具、顶部侧部二级分类导航、走马灯等功能。凌华是经三亚市三亚市辖区工商局审核的正规企业，统一社会信用代码：91460200324214929B。凌华坐落于三亚市三亚市辖区解放三路三亚晋海实业有限公司1#商住楼B51房。 　　海南陵华酒店工程有限公司是由一批从事酒店行业、旅游行业、工程建筑行业的高层...

       香港中原地产物业同虎网科技签署网站建设条款 中原选用虎网站企业商务型网站案例，其功能具备实用型所有配置外、特别值得关注的是增设了SEO深度优化，不管是内页还是标题都能够独立和个性化设置关键词和长尾词，更适合进行全站seo优化。中原是经香港九龙区工商局审核的有资质公司，统一社会信用代码：办理中。中原坐落于香港九龙区香港。 　　特设国内客户服务团队，免佣代理全香港一手房，专业，诚信，专职服务在香港投资、置业及移民的国内客户。国内客户置业专家多年...

       H5时代终将到来，微软放弃IE，为盗版用户升级Win10 被微软IE浏览器各种版本的兼容性问题，折磨了这么多年的网站制作师们，终于有盼头了，HTML5时代终将到来。我们来看近期的两则业内新闻： 　　1. 微软将为盗版用户免费提供 Windows10 的升级服务 　　据美国科技新闻网站“连线”报道，在中国深圳举办的一次大会上，微软负责Windows操作系统业务的高管梅森，公布了有关Windows10发布时间和升 级的更多细节内容。根据微软新政策，安装盗版 ...

       模板网站建设与个性化设计区别 自助模板建站，是用户登录到服务商的在线共用平台，选择一套满意的模板，然后设置里面具体栏目和一些基本属性后，便快速生成一个简单的网站。 专业建网站，是根据客户的具体要求和企业的具体特点，进行专业策划版面和功能，量身定制，设计一个充分展示企业风采，实现企业电子商务功能需求的专业网站。 专业建站和自助模板建站最大区别在于专业建站具有风格和功能的定制性，自助模板建站大多是套用一种模式不能开展网络营销，所有...