WebVPN方案

WebVPN安全易⽤的内⽹安全访问⽅案产品概述WebVPN提供基于web的内⽹应⽤访问控制，允许授权⽤户访问只对内⽹开放的web应⽤，实现类似VPN（虚拟专⽤⽹）的功能。区别于传统VPN技术，WebVPN⽆需⽤户做任何配置或安装客户端软件及浏览器插件，直接在⽹页上通过⾝份验证即可进⼊内⽹应⽤，⼤⼤降低使⽤门槛，提升⽤户体验。WebVPN在提供便捷的内⽹访问功能的同时，还提供更强的内⽹访问安全，通过⼀次性密码技术杜绝了弱⼜令和密码泄漏的问题，同时内置专业WAF（WebApplicationFirewall）引擎，对访问请求进⾏过滤，保障应⽤安全。WebVPN采⽤分体式设计，DMZ区和内⽹分开部署，⽆需防⽕墙开放端⼜，进⼀步提⾼整体⽹络安全⽔平。⾏业现状⽹络安全形势⽇益严峻，为了阻断来⾃外部的⽹络攻击，越来越多的企业和机构将业务应⽤限制在内⽹，禁⽌来⾃外部的访问。然⽽很多时候机构内部⼈员又需要从外⽹访问内部应⽤，VPN技术便应运⽽⽣。存在的问题现有VPN技术，⼤致有PPTP/L2TP/IPSec/OpenVPN/SSLVPN等⼏种，在长期的使⽤中，⽤户却感到VPN配置复杂、使⽤不便。通过对现有VPN技术和应⽤场景进⾏分析，便能发现现⾏⽅案存在的问题：1.配置复杂，⽤户门槛⾼现有VPN技术假定⽤户具有较⾼信息技术⽔平，能充分了解服务器、端⼜、通讯协议等专业词汇所代表的含义。⽽在信息化越来越深⼊的当下，很多⽤户并不是技术专家，他们很难⾃⾏对⾃⼰所使⽤的终端做复杂的VPN设置，特别是这些⽤户使⽤瑞智康诚科技有限公司!1VPN的频率很低，很长时间才⽤⼀次的时候，根本想不起来是要如何配置，只能求助于管理员，管理员的⼯作也会增加许多。现有内⽹访问技术⽐较2.客户端兼容性不好⼤部分操作系统并未⾃带OpenVPN的客户端或各种SSLVPN所需要的浏览器插件，⽤户需要下载安装。然⽽现在多种终端并存，操作系统多样化，windows、OSX、iOS、Android主流系统不必多说，⿊莓等系统仍在占⼀定市场份额，同时浏览瑞智康诚科技有限公司!2PPTPL2TP/IPSecSSLVPNOpenVPN数据加密⽀持⽀持⽀持⽀持客户端多数系统⾃带部分系统⾃带浏览器插件客户端配置难度复杂复杂普通复杂防⽕墙端⼜1723500/7101/4500443任意稳定性被⼤量运营商封锁容易被运营商封锁难以封锁难以封锁安全性弱强强强防弱⼜令⽆⽆⽆⽆⽹络隔离配置复杂配置复杂配置复杂配置复杂应⽤隔离配置复杂配置复杂配置复杂配置复杂器市场也更加多样，IE、Firefox、Chrome、Opera、Edge还有国内各种神奇的浏览器，导致SSLVPN⼏乎不可能全部兼容。3.不够安全现有VPN技术的典型配置是⽤户接⼊VPN就等于接⼊内部⽹，能够访问所有内部联⽹设备，这对内部⽹络安全是⼀个严重威胁，特别是⼤多数VPN⽅案采⽤的都是⽤户名＋密码的认证⽅式，更带来弱⼜令和密码泄漏问题，结合两者，传统VPN对⿊客来说⼏乎是不设防。4.容易被运营商屏蔽出于众所周知的原因，国内各⼤运营商对经常屏蔽常⽤VPN协议，导致VPN连接很不稳定，经常⽆法连接或连接意外中断，⽹络管理员对此毫⽆办法却又不得不⾯对⽤户的质疑。WebVPN内⽹访问控制系统瑞智康诚WebVPN技术的出现，解决现有VPN技术存在的多种问题，是⼀套完整的远程安全访问内⽹的解决⽅案，该⽅案具有以下重要特性：•标准HTTP协议，避免运营商封锁•⽆需客户端、浏览器插件，完美兼容所有标准HTTP浏览器•完美兼容iOS、Android、WP等所有移动设备•⾼强度加密通信，保证通讯安全•简单易⽤的⽤户权限配置。•⼀次性密码避免弱⼜令导致的安全风险•内置WAF防⽕墙，保证应⽤安全•内置内容加速功能特⾊1.⽆需专⽤客户端或浏览器插件瑞智康诚科技有限公司!3传统的VPN系统需要安装客户端或者浏览器插件。这些客户端或浏览器插件往往对系统的兼容性差、⽆法⽀持移动设备（iOS、Android等）、未来出现新系统要进⾏软件更新等问题。WebVPN采⽤独创的HTTP透传技术⽆需客户端，只需要像访问普通HTTP⽹站访问VPN的登陆页，进⾏登陆后即可访问内⽹资源。HTTP透传技术兼容所有标准HTTP客户端。只需设备⽀持标准HTTP协议即可使⽤WebVPN系统访问内⽹资源。2.⽆需任何配置相⽐传统VPN配置的繁琐，WebVPN⽤户⽆需任何配置⼯作，只需要打开⽹页，登录以后即可访问内部系统。3.⽆需在防⽕墙上开启特殊端⼜，保证内部安全部署⽅式上WebVPN采⽤独创的双机部署⽅案，⼀台部署于DMZ区域，⽤于接受⽤户连接（称为Master）；⼀台部署于内⽹区域，⽤户连接⽬标服务器（称为TunnelController)。连接上Master被动接受Tunnel的连接，⽆需在防⽕墙上开启特殊端⼜。4.⾼强度加密，保证通信安全⽤户与Master之间采⽤⾼强度SSL传输，Master与Tunnel采⽤RSA+AES混合加密体系保证传输安全。5.动态⼜令彻底解决弱⼜令问题动态⼜令技术是⼀种强⽤户⾝份认证技术，动态⼜令验证采⽤两种介质进⾏验证：短信动态⼜令和动态令牌。• 短信动态⼜令：短信动态⼜令把⽤户与某个⼿机号进⾏绑定，当⽤户需要登录时，系统会通过短信下发随机⼜令到⽤户⼿机，⽤户输⼊收到的⼜令即可登陆系统。• 动态令牌验证：动态令牌是⼀种伪随机数⽣成器，会每分钟⾃动⽣成⼀个动态⼜令，⽽且动态⼜令⼀分钟内有效。⽤户需要登录系统时，填写⽤户名与动态令牌显⽰的⼜令即可登陆系统。瑞智康诚科技有限公司!46.简单易⽤的⽤户权限配置传统VPN当中⽤户⼀旦连⼊VPN⽹络中，就可以没有任何限制的访问所有内部系统。这⽆疑是⼀种潜在的安全隐患。WebVPN使⽤⽤户与⽤户组关联，⽤户组再跟⽬标站点关联的⽅式限制⽤户能访问的站点。同时采⽤Web界⾯的⽅式提供了简便的配置⽅式7.内置WAF防⽕墙Web应⽤防⽕墙（WebApplicationFirewall）是⼀种通过执⾏⼀系列针对HTTP/HTTPS的安全测略来专门为Web应⽤提供保护系统。WebVPN系统通过内置WAF系统进⼀步保护业务系统免受具有内⽹访问权限的⽤户的攻击。8.内置内容加速系统依托于瑞智康诚科技有限公司多年的内容加速系统研发经验，WebVPN内置了适合VPN环境使⽤的内容加速系统。彻底解决传统VPN在访问业务系统时速度慢，效率低的问题。部署模式WebVPN采⽤分体式设计，双机部署模式。Master设备放置于DMZ区域，接受⽤户连接请求，Tunnel设备放置于内⽹区域负责与⽬标系统连接，此种部署模式，彻底隔离内外⽹，保证内⽹安全。瑞智康诚科技有限公司!5瑞智康诚科技有限公司!6