Juniper SSL VPN远程安全接入解决方案

JuniperSSLVPN远程安全接入技术方案第1页共21页JuniperSSLVPN远程安全接入解决方案上海软盛信息技术有限公司JuniperSSLVPN远程安全接入技术方案第2页共21页目录一、企业网络远程访问面临挑战......................................3二、安全接入技术的选择............................................3三、方案建议......................................................43.1系统特性......................................................63.2IVE系统对安全的控制..........................................73.3员工和合作伙伴轻松访问相应的应用和资源........................83．3．1无需安装客户端的远程安全访问.............................93．3．5提高网络传输性能........................................103．3．6用户使用界面自定制......................................103.4系统扩展性和高可用性.........................................113．5全面的远程接入安全保护......................................113．5．4安全的数据传输..........................................123．5．5坚固安全的系统平台......................................133．7部署和管理远程访问系统......................................133．7．1部署过程................................................133．7．2管理配置................................................143．7．3系统日志和维护..........................................143．7．4管理员权限分配..........................................15四、总结.........................................................15五、成功案例.....................................................155．1东方航空SSLVPN应用案例...................................155．2掌上灵通SSLVPN应用案例...................................18JuniperSSLVPN远程安全接入技术方案第3页共21页一、企业网络远程访问面临挑战随着互联网的发展和电子商务的普及，越来越多公司的员工已经不仅仅是坐在办公室里处理日常事务，象出差员工、家庭办公等多种类型的远程访问公司内部资源和应用的需要变得十分的迫切。同时，这种网络连接的发生也为企业网络引入了新的安全威胁，但是目前的网络安全方案又是十分的昂贵和复杂。目前的企业极需要一种简单实用的解决方案，可以安全的实现远程员工、合作伙伴乃至客户对企业内部网络资源的访问，而又不会为企业网络带来新的安全风险。二、安全接入技术的选择随着信息技术的快速发展，为了提高服务的质量和水平、在市场竞争中取得优势，企业建立了内部局域网，使内部办公人员通过网络可以迅速地获取信息。然而，随着个人电脑和互联网应用技术的普及，“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及，同时合作伙伴的人员也希望能访问到相应的信息资源，企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求，为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。然而，要享受通过互联网访问企业内部的信息资源的便利，就需要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，对合法的访问要提供方便，同时还需尽量降低信息安全策略的实施和维护成本。企业通过Internet数据传输平台，实施加密的VPN实现安全接入的办法主要有两种：一种是IPsecVPN，另一种是SSLVPN。两种技术在不同领域各有其优势，我们建议：在实施固定的站点到站点的VPN和复杂应用的移动用户接入VPN时，采用IPsec技术；在实施普通应用的移动用户接入VPN时，采用SSL技术，原因是SSL无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低，而且由于SSLVPN不是打开一个网络层通道，而只是提供了联系应用层请求的固化网络接口，所以提高了与VPN相关的整个系统的安全性。SSL和IPsec技术的详细比较请参考《SSLvs.IPSec》一文。在本方案中，我们建议根据具体的网络需求，灵活结合两种流行VPN。当然，因为目前的需求仅仅是总体建议，还需要针对更具体的网络情况进行调整。JuniperSSLVPN远程安全接入技术方案第4页共21页三、方案建议安全协议安全套接层（SSL）技术是一项在互联网上广泛实施的标准安全协议，全面支持认证和加密，所有标准web浏览器都支持SSL。基于贵公司的安全接入模式以移动办公用户远程访问为主，我们建议主要采用SSLVPN方案，对于一些特殊的应用和特殊的用户环境，辅助以IPSecVPN。JuniperSA系列的远程接入产品是广受好评的SSLVPN产品，采用的是InstantVirtualExtranet(IVE)的系统平台，客户只要有标准的web浏览器，无需进行任何部署或安装硬件、软件客户端设备，也无需对内部服务器进行任何修改，没有地址翻译穿越的影响，也不受私有地址冲突的影响，而且几乎不需要任何后期维护，所以可以方便地让用户安全地接入网络。建议在贵公司实施的SSLVPN安全接入的网络拓扑示范图如下：设备采用双层保护，防火墙实现基本DoS保护、策略过滤，以及IPSecVPN功能。SA设备则实现SSLVPN，进行应用层保护过滤和接入。对于核心的基于WEB的应用，如内部邮件、办公应用系统等，JuniperSA产品提供全面的服务。包括ActiveX、Java、JavaScript、PHP等，支持的全面性、灵活性远远超过我们的竞争对手。并且在安全策略上实施的是应用层面的安全策略，可以比IPsec更加细化；由于JuniperSA系列的远程接入产品是坚固可靠的应用层网关，采用应用层面的安全策略后，内部的应用服务器可以得到有效保护，而不必将服务器的第4层端口完全暴露给外部；前端的防火墙JuniperSSLVPN远程安全接入技术方案第5页共21页上只需配置打开tcpSSL端口的策略即可。除了对web和email等应用的支持外，JuniperSA对非web的许多客户端/服务器应用也提供很好的支持，所以采用JuniperSA系列的远程接入产品实施SSLVPN来实现远程接入被许多国际著名企业（如花旗银行、德意志银行）采用。对贵公司来说，最常用的应用包括Outlook等系列软件，JuniperIVE虽然将这些应用转化为SSL标准数据流，但并不影响这些应用，例如，文件仍然可以下载到本地。对于绝大多数的C/S应用，例如Passive模式FTP、贵公司独立开发的TCP特殊应用、数据库远程连接等，JuniperSA是透明支持的。对于许多常用的C/S应用，如Telnet/SSH和Citrix等，JuniperSA都已经将这些应用的支持固化在核心WEB应用当中，用户无需再定义可直接使用。Juniper支持广泛的文件共享，Unix和Windows，并且支持中文共享。对于特殊的应用，特别是那些需要更底层通讯功能的协议，JuniperSA还提供了NetworkConnect功能，相当于三层的通道，适用于几乎所有的IP层协议应用。例如Active模式的FTP，流媒体应用等。中心点按照我们的建议已经放置了支持IPSecVPN的防火墙，可以建立到分支点出口防火墙的VPN，以及PC拨号DialupVPN。JuniperSA设备支持HA功能。配合流量负载设备，JuniperSA支持active-active的HA方式，不仅可以实现备份功能，更可以扩大容量，实现流量分担。同时，Juniper-SA系列的远程接入产品可以强制对远程用户的安装防火墙及防病毒软件做出要求。JuniperIVE系统与当前市场上流行的个人防火墙、防病毒软件做最紧密的结合，如SygateEnforcementAPI、SygateSecurityAgent、ZoneLabs:ZoneAlarmProandZoneLabsIntegrity、McAfeeDesktopFirewall、InfoExpressCyberGatekeeperAgent等，用户只需要用鼠标选择一些选项便可完成。而且用户还可以自行定义强制检查其它的运行程序或windows注册表项目。JuniperSA系列的远程接入产品获得的奖项包括《PC杂志》的2003年最佳网络奖，《网络世界》SSLVPN网关评测中获得评分最高的世界级产品奖，和《网络计算》杂志的编辑选择奖。IVE系统的设计和开发被安全保障公司和顾问TruSecure所审查和验证，TruSecure是世界级Internet互联安全保障解决方案的领先者，为JuniperIVE硬件系统发布了一个安全保障声明。DanFarmer，令人尊重的安全顾问和SATAN（SecuirtyAdministratorToolforAnalyzingNetworks）的作者，以及CryptographyResearch，SSL3.0的设计者之一，也对JuniperIVE系统进行了审查和验证。JuniperSSLVPN远程安全接入技术方案第6页共21页3.1系统特性为了从根本上简化安全远程访问，Juniper的IVE系统按以下目标进行架构和设计：运行平台必须抵御针对安全、设备与系统软件集成方面的攻击。为了满足该目标，系统被固化，核心层对流量进行数据包级过滤。运行平台必须抵御针对机密性和所有通过IVE系统的数据集成方面的攻击。为了满足该目标，系统使用SSL在本地文件系统上存储加密的信息。系统必须能够通过简单的基于Web的管理控制台在几小时内进行实施。为了满足该目标，IVE系统进行大量的预先配制工作，管理员只需要进行少量的系统和网络配置就可以完成IVE系统的实施。系统必须提供给客户与直接访问公司内部网相同的访问能力。为了满足该目标，系统使用Juniper代理引擎来透明地向远程用户发送资源。系统必须具有可靠性和可扩展性，能够扩展到多个硬件系统。为了满足该目标，系统支持集群系统，集群中的多个系统提供故障恢复能力、性能扩展能力，并且支持主－备或双主动模式。Juniper的IVE系统可以支持广泛的企业应用，包括：1、基于Web的各项应用，包括浏览企业内网、访问基于web的outlook和iNotes；2、基于MicrosoftExchange和LotusNotes邮件系统、以及其他基于IMAP4、POP3和SMTP的标准的邮件应用；3、对于文件服务器的文件及目录共享控制提供支持，方便用户上传、下传文件；4、Telnet/SSH；5、对大多数cient/server应用提供支持；6、网络全连接方式（即PC的全部流量都可以通过SSLVPN到达企业内网）；7、个人防火墙/防病毒软件等强制性检查；8、对于来自非安全设备或临时访问设备（如网吧）的访问