使用SSLVPN方案介绍

一、项目情况介绍1.1项目背景：公司为了实现盘点上传的信息交互，构成统一的网络工作安全工作平台，需要通过VPN的方式部署虚拟局域网，随时随地保证数据传输及接入安全，实现总部内部系统的实时信息交互，为统一的网络提供基础平台。1.2目前现状需求分析：公司员工利用手机能够安全地访问公司内部应用服务器（SAP等服务器），实现移动办公。二、解决方案2.1具体方案拓扑图使用SSLVPN2.2实施步骤说明和产品参数：1、为了实现后续更好的平滑扩容，结合现有网络实际环境，建议总部部署一台SSLVPN安全网关；使用者只需部署认证许个USBKEY就行；实现远程接入用户随时随地访问总部资源。这样节省了投资及维护成本，将为总部带来更大的经济效益。2、通过SSLVPN实现移动办公以及远程用户访问总部服务器端的数据，客户端无需安装任何软件，直接通过标准IE浏览器自带的SSL协议进行远程安全访问。2.3实现效果：1．远程安全接入用户无需安装客户端，用户管理、维护量大大减轻，客户端无需任何配置、维护。2．确保数据传输的安全可靠、接入用户的严格认证（用户名和口令USB-KEY）。总部与各个移动用户之间，通过Internet，无需更改原有的网络结构、按照实际的运作流程，构建完善、稳定、高效的VPN网络，保障信息化系统的日常运行。3．建成标准统一、功能完善、安全可靠的信息平台；形成企业平台保障体系。建设的重点任务是：整合信息资源；建设和完善保险业务系统。形成结构合理、功能完善、管理规范、安全可靠、灵活实用的网络基础支撑体系。4．适应范围广：移动办公人员不仅可以使用电脑、笔记本电脑还可以使用PDA、3G手机、智能手机等一系列移动终端通过SSLVPN与服务器安全、高效互连，信息共享。5．证书管理，所有的SSLVPN客户端连接，都必须符合指定到每一台计算机、只能手机终端、每一个操作使用人员的安全管理标准。6．访问权限管理，对所有SSL客户端的连接，能够对每一个客户端到上级VPN网络的访问哪些方面的资源，哪些具体服务有很好的访问权限管理，不同权限的用户接入只能访问自身权限内的资源。7．迅速拥有高效、稳定的SSLVPN平台，用户只需使用浏览器即可接入。8．接入后的用户受控于更细致的访问控制粒度。SSLVPN对每个用户的访问控制粒度精确到了URL级别。根据组织的构架，用户可以分组管理，而授权粒度则可以按照角色进行管理，可以为每个用户或每个组分配一个或多个角色。比如可以为某用户分配经理和财务的双重角色，这样他既可以访问经理的文档数据又可以使用财务系统。通过这种有特色的角色权限分配体系能满足各种现实世界中的权限设置要求。同时SSLVPN通过行为跟踪引擎，对每个远程接入用户的所有访问记录都留下了日志记录。9．数据传输安全。SSLVPN采用SSL协议加密建立安全的专用通道，使用1024位的非对称密钥进行身份认证过程的加密，使用128位的RC4算法和3DES算法保护数据传输的安全。10．对系统运行实时监控和报警，具备完善的日志功能。SSLVPN提供了调试、信息、告警、错误的四个级别的运行日志，帮助管理诊断系统。管理员还可以随时查看每个在线用户的情况，可以随时中断可疑会话，方便快捷。将来还可以实现告警的短信通知。