高校SSLVPN远程接入解决方案

XX大学SSLVPN解决方案(v1.0)南京易安联网络技术有限公司NanjingEnlinkNetworkTechnologyCo.,Ltd.2008.05第1页目录一、需求分析.................................................................................................................................2二、设计原则.................................................................................................................................32.1安全性原则...................................................................................................................32.2方便性原则...................................................................................................................42.3经济性原则...................................................................................................................42.4零维护原则...................................................................................................................4三、解决方案.................................................................................................................................53.1方案的准备工作...........................................................................................................53.2方案产品选型...............................................................................................................53.3网络拓朴.......................................................................................................................63.4布署与应用...................................................................................................................6四、方案优点.................................................................................................................................7五、ENLINKSSLVPN的技术优势...........................................................................................7第2页一、需求分析经过逐年发展，XX大学已经建成了数字化图书馆、OA办公系统、校园一卡通等网络化平台，但是校园网是一个封闭的局域网络，如何让这些系统在教师、学生离开校园网络环境下也能够顺利使用？数字图书馆电子资源厂商出于版权保护原因，几乎都设置为校园网内IP段才能合法访问。而学校的师生希望在家里、出差时也能访问图书馆电子资源，如何让师生能够顺利访问这些电子资源？另外，远程教育的访问者希望能够远程访问XX大学的先进教育成果和优势资源，如何让他们非常经济、方便、安全、高效地通过Internet接受远程教育？目前教育行业针对远程接入，主要有以下几种方式：1.专线。这一接入方式非常稳定，但因每年须交纳不菲的专线租用费用而提高了接入成本，对于各远程教育的接入而言成本非常昂贵。同时，它只适用固定场所的对等局域网连接，不适用于师生在家中、出差时的访问2.MPLSVPN也即电信VPN。这一接入方式较专线经济，但仍需铺设专门的线路，需要每年支付较高的线路租用费用。同样，它适用于固定场所的对等局域网连接，也不适合老师与学生的校外访问。3.IPSECVPN。这一方式目前为部分学校采用，但它有几个方面的缺陷：安全性不够。因为它基于网络层的加密传输，当VPN通道建立以后，远程用户随即成为局域网内的一员，其权限也和内网用户一样，很容易将病毒、攻击带入校园网络。无权限控制。IPSECVPN属于透明访问，无法做到精细的权限控制，仅能通过端口作有限的控制。需要安装客户端。需要进行IP设置等系列的复杂设置，如果远程使用人员较多，将使网络维护工作量非常繁重。兼容性不够。现有的各IPSECVPN之间可能不兼容，将造成连接不上的问题。当系统更新时会造成设备浪费。4.反向代理。这一接入方式仅适用于纯粹的B/S系统，而现在多数应用系统都是需要加载JAVA等中间件的混合架构，或者纯粹的C/S架构，例如FTP、Telnet…，这样就无法访问。另外它的数据是明文传输，缺乏安全性。以前，高校在无奈之下，采用IPSecVPN和反向代理实现远程接入。经过调研发现，目前高校对远程访问产品最关心四个方面：1、远程访问图书馆电子资源不能安装插件。因为老师的计算机水平各异，而安装插件时一些杀毒软件如卡巴斯基、瑞星..等会拦截，给老师使用带来困难；另外，安装插件的方式只支持IE内核的浏览器，而高校老师使用的浏览器千姿百态，如IE、FireFox、遨游、腾迅、Google…，会造成非IE内核浏览器无法访问。2、需要进行流量控制。因为高校带宽有限，而且资源厂商也有下载限制。如果不对流量加以限制，会出现问题。3、能够对资源的访问进行统计。比如各用户对各资源在单位时间的访问次数，以方便技术部门提供辅助决策。4、能够与Radius、LDAP、汇文、ilas……等认证系统结合。减轻手工维护帐号的工作量。第3页现在，ENLINKSSLVPN这种安全、经济、便捷的远程接入方式诞生了，它弥补了前者的缺陷，在高校应用如火如荼。故建议校方远程接入用户的校外访问采用ENLINKSSLVPN接入。与同类产品相比，ENLINK远程访问系统有绝对的技术优势：1、图书馆的远程访问（光盘镜像例外）将不再需要安装插件。从以前SSLVPN在高校的实际应用来看，老师对安装插件多抱有抵触情绪，即使该插件有数字签名被证明是安全的。另外安装插件时一些杀毒软件如卡巴斯基、瑞星、安全卫士等工具会拦截它，可能会导致无法正常安装向网管人员求助，加大网管人员的工作量。2、支持所有浏览器。如果安装插件，则99%的SSLVPN只支持IE内核的浏览器。高校老师使用的浏览器千姿百态：IE、遨游、FireFOX、腾迅、Google、Opera….，一旦老师使用的非IE内核浏览器，就无法访问图书馆。因ENLINK访问图书馆无需安装插件，这一问题迎刃而解。3、部分远程访问产品无需安装插件可访问图书馆部分资源，但对于需要阅读器的电子资源如超星、APABI…等则无法访问，需借助安装插件并通过C/S模式访问。ENLINK对需要阅读器的电子资源访问同样不需要插件支持。4、对于C/S应用如FTP、Telnet、光盘镜像…，ENLINK仍然需要安装经Microsoft数字签名的插件。故ENLINK采用分级管理：多数普通老师只需要访问图书馆，那么管理员对应分配图书馆应用，则无需安装插件。对于那些需要访问FTP、Telnet等C/S应用的人员例如技术部门，分配匹配的应用，才会提示安装插件。即便这样，在访问图书馆时，仍然无需插件支持。5、日志功能更加强大。除详细记录访问信息如用户名、访问的应用、原始登录IP…等外，还可统计总的应用访问次数、每个用户的应用访问次数；可以统计各电子资源的总访问次数、可以统计每个用户访问各资源的次数。6、可以对流量进行控制和统计。例如每天/每月可以访问的流量，以区别对待不同用户及防止过量下载电子资源。7、可以控制用户的使用时间。比如：每天在几点钟至几点钟可以访问、每天访问时长、每月访问时长。8、可以多链路接入的智能选路。例如在电信、网通、铁通、教育网等多条线路接入时，可自动选择最佳线路访问，提高访问速度。9、可以与Radius、LDAP/AD、汇文、Ilas、一卡通…等认证结合，并可根据客户的独特认证进行二次开发。因高校用户动态变化，这一与认证系统或数据库结合的方式可以大大减轻管理员手工维护帐号的工作量。二、设计原则2.1安全性原则校园网对于远程接入特别是移动用户的接入，安全性是首要考虑的问题。安全性涉及三方面：传输安全、接入安全、访问安全。传输安全指数据在传输时必须加密，而不能采用明文传输。ENLINKSSLVPN采用SSL128位加密，保障数据传输过程的安全性。即使数据在传输时被截获，也只能是一堆第4页无用的乱码。接入安全指远程接入用户接入的安全。ENLINKSSLVPN可对接入用户进行HostCheck，包括病毒、注册表、系统补丁等，另外ENLINKSSLVPN可与国家CA认证的PKI身份认证结合，如USBKey、SecureID等，既保障即使远程使用人员的登录用户名、密码被他人获知也无法进行VPN连接，同时保障远程机器即使有病毒、黑客攻击也无法进入内网传播。访问安全指远程使用人员在VPN接入后，不能对内网资源肆意访问，而必须对其访问进行有效约束。ENLINKSSLVPN具有细颗粒度的精细权限控制，对不同部门、不同岗位的使用人员可设置不同的权限，使之仅能访问对应的系统。例如只有特定人员才能访问受版权保护的图书馆资源。通过ENLINKSSLVPN，可到达以下安全目的：远程客户登录内网后，能够通过统一界面分别访问内部各种资源远程客户访问内部资源，尽量提高登陆的安全和密码保护远程客户登录内网后，不同用户被赋予不同的访问权限，权限控制要精细化远程客户的本地机器在登录前得到安全检查远程登陆客户要求简便易用2.2方便性原则使用人员计算机水平各异，故VPN系统的设计必须不给使用设置障碍，不改变使用者使用习惯，尽可能的符合使用者的初始习惯。ENLINKSSLVPN通过IE浏览器建立VPN通道，无须安装VPN客户端。另外，对于C/S系统，使用人员可直接从VPN界面中调用本地C/S客户端，为使用者提供极大便利。对于网络管理人员而言，VPN管理配置应尽量简洁、清晰、严谨，过于复杂的配置页面为网络管理人员所诟病。ENLINKSSLVPN为国内最早投入商用的SSLVPN产品之一，通过多年努力，设计了符合网络管理的GUI配置。2.3经济性原则这里的经济性指客户为整个方案的实施所需支付的总费用包括后续费用，也即TCO。针对本方案，指设备的总价格、支付运营商的年度费用及后续服务的费用。EnlinkNetworks为每一个客户提供个性化的、恰当的、经济的解决方案以帮助客户尽可能地节约投资。2.4零维护原则无论是使用人员还是网络管理人员，VPN系统的零维护都十分重要。特别