基于SSL VPN系統(tǒng)架構(gòu)網(wǎng)絡(luò)的應(yīng)用

2013-12-05 15:10:53 電力信息化　點(diǎn)擊量：評論 (0)

摘要：本文對實(shí)現(xiàn)VPN（Virtual Private Network）的幾種技術(shù)做了介紹，比較詳細(xì)地對IPSec VPN和SSL VPN進(jìn)行比較，從應(yīng)用、安全角度等考慮如何選擇合適的VPN技術(shù)，并且結(jié)合天津電力的應(yīng)用和安全需求，介紹了S

eb 應(yīng)用 X X

客戶端/ 服務(wù)器應(yīng)用 X X

內(nèi)聯(lián)網(wǎng)內(nèi)容 X X

電子郵件 X X

文件服務(wù)器 X X

服務(wù)器套接應(yīng)用 X X

五、SSL VPN安全接入方案

天津電力的遠(yuǎn)程接入的需求體現(xiàn)在下面：

天津電力的絕大多數(shù)應(yīng)用系統(tǒng)是B/S的WEB應(yīng)用；部分用電營銷網(wǎng)點(diǎn)的網(wǎng)絡(luò)規(guī)模比較小，和公司總部以及直屬單位之間沒有網(wǎng)絡(luò)互聯(lián)，業(yè)務(wù)需要通過遠(yuǎn)程接入進(jìn)行訪問內(nèi)部網(wǎng)絡(luò)資源；內(nèi)部員工在進(jìn)行移動(dòng)辦公時(shí)要求能夠安全地訪問公司內(nèi)部信息網(wǎng)絡(luò)資源；遠(yuǎn)程和移動(dòng)接入系統(tǒng)需要具有強(qiáng)有力的用戶身份認(rèn)證機(jī)制，確保公司信息網(wǎng)避免受到非法用戶的惡意訪問；遠(yuǎn)程和移動(dòng)接入系統(tǒng)需要具有強(qiáng)有力的訪問控制機(jī)制，確保用戶通過認(rèn)證后只能訪問到被授權(quán)的內(nèi)容；遠(yuǎn)程和移動(dòng)接入需要進(jìn)行數(shù)據(jù)加密功能，避免敏感信息被竊取和篡改；遠(yuǎn)程和移動(dòng)接入系統(tǒng)需要具有抵御針對安全、設(shè)備與系統(tǒng)軟件集成方面的攻擊，并對客戶端提供安全脆弱性檢查功能；遠(yuǎn)程和移動(dòng)接入系統(tǒng)需要解決來自Internet的病毒和惡意入侵威脅；公司的很多應(yīng)用系統(tǒng)需要進(jìn)行域集成登陸，或者從usb key中讀取用戶信息進(jìn)行認(rèn)證。

根據(jù)上面的需求，我們選擇制訂出SSL VPN接入方案(如圖3)：

圖3：SSL VPN 接入方案

采用專用SSL VPN接入系統(tǒng)平臺(tái)，客戶端只要有標(biāo)準(zhǔn)的web瀏覽器，無需進(jìn)行任何部署硬件、軟件、設(shè)備，也無需對內(nèi)部服務(wù)器進(jìn)行任何修改，也沒有地址翻譯的影響，也不受私有地址沖突的影響，而且?guī)缀醪恍枰魏魏笃诰S護(hù)，可以讓用戶方便、安全的接入內(nèi)部網(wǎng)絡(luò)。為了提高整個(gè)遠(yuǎn)程訪問和接入系統(tǒng)的安全，在內(nèi)部網(wǎng)和Internet之間部署防火墻、IDP在線入侵防護(hù)系統(tǒng)以及網(wǎng)關(guān)防毒墻系統(tǒng)，從網(wǎng)絡(luò)和應(yīng)用層面為內(nèi)部網(wǎng)提供安全保障。

同時(shí)，專用的SSL VPN接入系統(tǒng)平臺(tái)可以強(qiáng)制對遠(yuǎn)程用戶的安裝防火墻及防病毒軟件做出要求。與公司的防病毒軟件可以緊密的結(jié)合，只需要設(shè)置一些選項(xiàng)。還可以自行定義強(qiáng)制檢查其它的運(yùn)行程序或windows注冊表項(xiàng)目。

在應(yīng)用層面上實(shí)施安全策略，SSL VPN可以比IPsecVPN更加細(xì)化；由于SSL VPN遠(yuǎn)程接入產(chǎn)品是應(yīng)用層網(wǎng)關(guān)，采用應(yīng)用層面的安全策略后，內(nèi)部的應(yīng)用服務(wù)器可以得到有效保護(hù)，而不必將應(yīng)用服務(wù)器的第四層端口完全暴露給外部；前端的防火墻上只需配置打開tcp SSL443端口的策略就可以。

除了對B/S和email等應(yīng)用的支持外，SSL VPN遠(yuǎn)程接入產(chǎn)品可以對C/S的應(yīng)用提供很好的支持，對常用的應(yīng)用包括Lotus、Outlook等系列軟件， SSL VPN系統(tǒng)可以將這些應(yīng)用轉(zhuǎn)化為SSL標(biāo)準(zhǔn)數(shù)據(jù)流，并不影響這些應(yīng)用，例如，文件仍然可以下載到本地。

從安全角度考慮，SSL VPN遠(yuǎn)程接入產(chǎn)品部署在Inte

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊