- SSL VPN远程接入系统
- SSL VPN 远程接入系统
- 随着企事业信息化建设的不断完善,企事业内部增加了许多应用系统来满足员工的正常办公需求(如:OA、ERP、视频、人力资源管理等系统),这些应用系统的增加为企业提高了生产、办公效率。但是,员工使用这些应用系统的前提是在企业办公网络内部,离开了这个办公网就无法访问这些应用系统,这就给企业员工使用内部应用系统带来了局限性,企业内部各应用系统的效率没有充分发挥,进而导致企业整体效率的下降。因此,提升企业整体效率,必须解决如下问题:
-
- 企业出差员工如何安全、便捷的访问内部办公系统?
- 移动办公人员如何安全、高效的正常办公?
- 企业分支机构如何安全的访问总部内部资源?
- 提供合作伙伴接入的前提下,如何保障整个企业网络的信息安全、数据安全?
- 如何区别对待不同类型的接入用户?
- 如何保障用户的接入兼容性?
- 如何保障接入平台对众多应用系统的支持,如B/S、C/S等应用?
- 由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。VPN建立在互联网的公共网络架构上,通过"隧道"协议,在发端加密数据、在收端解密数据,以保证数据的私密性。
- 1. 为什么选择SSL VPN
- 现在大多数远程安全访问解决方案是采用IPSec VPN方式,其组网结构是站点到站点的VPN组网方式。IPSec是网络层的VPN技术,一旦IPSec建立加密隧道后,用户就像在局域网内一样访问各个应用系统。IPSEC VPN性能好,但IPSec VPN在解决远程安全访问时具有几个比较大的缺点,如:
-
- IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈急剧增长。在每一个客户端安装软件带来了管理人员的巨大维护和实施工作量;
- 不适合用于移动用户,如家庭、网吧、宾馆等上网用户;
- IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;
- IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂,尤其是对于NAT和穿越防火墙,往往要在这些设备上作复杂的配置以配合IPsec VPN的工作;
- 采用隧道方式,使远程接入的安全风险增加,由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁;
- 应用层的访问控制不灵活,由于IPSEC VPN其工作在网络层,对用户能访问的哪些系统,使用什么样的身份认证方式进行控制十分不灵活;
- 考虑到以上问题,最好的方法是采用SSL VPN方式,同IPSec VPN相比,SSL VPN具有如下优点:
- SSL VPN无需客户端程序,安装部署使用方便。
- SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。
- SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准。
- SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。
- SSL VPN是基于应用的VPN,基于应用层上的连接意味着(和IPSec VPN 比较),SSL VPN 更容易提供细粒度远程访问,支持更多的身份认证方式,如USB Key,动态口令等。
- SSL VPN是基于应用的VPN,基于应用层上的连接意味着(和IPSec VPN 比较),SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。
- 2. SSL VPN部署
-
- 3. SSL VPN接入功能
- 企业出差员工如何安全、便捷的访问系统?
首先,将企业出差人员需要访问的系统发布到SSL VPN上,并为移动办公员工建立相应的用户名/口令或者使用其他的认证方式,出差员工通过企业发布的资源地址连接到SSL VPN设备上,通过企业分配的用户名/口令登陆VPN系统访问企业为其发布的应用系统。
- 如何保障整个企业网络的信息安全、数据安全?
SSL VPN为用户与VPN网关之间建立加密传输隧道,确保不同的服务在SSL安全隧道上传输,保证数据的安全性、保密性和完整性。
- 如何保证接入用户的真实身份?
SSL VPN具有很好的身份认证机制,其支持各种增强的身份认证方式,采用多因素身份认证手段如数字证书,USB Key智能卡,动态口令等,保证用户身份的真实性和唯一性。
- 如何保障接入平台对众多应用系统的支持,如B/S、C/S等应用?
针对不同的系统和设备,可以采用SSL VPN设备(SP)提供的不同模块来进行访问。这样,无论操作人员何时何地,都可以进行远程登陆操作,典型的是对系统及设备进行维护,甚至是在网吧、其他公司等地点。经过认证和授权登陆到SSL VPN,通过VPN进行内部设备的各种维护操作,可能会用Telnet 、Ftp、Terminal Service、Pcanywhere等各种工具,也可能是Billing、CRM、OA、网管等专用客户端软件。
- 如何保障用户对系统的合法访问
SSL VPN是属于应用层的系统,因此其具有较细粒度的访问控制能力,在SSL VPN上可对用户进行授权,对用户分配其有权访问的系统,无权访问的系统将不展示给用户,以保证用户只能访问其有权限的系统。
