xxxx有限公司SSL-VPN解决方案

XXXX股份有限公司SSL-VPN解决方案SonicWALL.Inc2020年5月16日前言随着企业的规模越来越大，在全省乃至全国设立分公司和办事处，企业信息化是企业在市场竞争中的利器，怎样实现人、财、物等信息流在企业的顺畅的流转，ERP和OA办公自动化系统是必不可少的手段，而在以前，采用电信的专线组网方式是费用十分昂贵，将给企业带来沉重的负担，而VPN的互联方式是一种经济的手段，具有不受地域限制、安全性高，资费经济等特点，非常适合于现代企业ERP互联和移动办公的需要。VPN是利用隧道技术来实现数据安全传输的。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。SonicWALL公司简介SonicWALL公司成立于1991年，总部设在美国加洲桑尼维尔，全球雇员超过400名，分支机构和办事处分布于全球15个国家和地区（美国，加拿大,墨西哥,巴西,挪威,英国,德国,法国,西班牙，意大利,日本,韩国,中国，中国香港,中国台湾,新加坡,澳大利亚等）。为1997年NASDQ上市企业，年营业额过数亿美金并且保持良好的持续增长势头。SonicWALL公司是业界领先的网络安全供应商，一直致力于为中小型企业、大型企业、电子商务、教育、零售/销售以及政府市场提供集成网络安全性、移动能力和生产能力解决方案，公司主要进行全面互联网安全解决方案的设计、开发和生产，为广大的市场提供访问安全、增值安全服务和交易安全产品。所服务的对象包括：SOHO、SME、企业、服务提供商、电子商务、政府、教育和保健机构。公司核心技术包括：防火墙、虚拟专用网（VPN）、无线、网关防病毒/入侵检测和防御、SSL、桌面防病毒和内容过滤，以及屡获殊荣的安全管理解决方案。这些产品和技术相结合可以实现最全面的分布式强制安全架构。SonicWALL互联网安全设备为各类组织提供一流的安全平台，保护其网络免受互联网安全威胁。其易于使用和高性能的特点，受到业界媒体（如InfoWorld、PCMagazine、NetworkWorld和InternetWeek）的高度称赞。SonicWALL互联网安全设备在全世界安装了640,000多套，保护着数百万计算机用户。通过集成高性能的防火墙固件与增值的安全服务（如网络防病毒、虚拟专用网络[VPN]、使用数字证书的强大验证功能、内容过滤和其他安全服务），SonicWALL互联网安全设备可提供全面的安全解决方案。SonicWALL于2000年第四季度收购了PhobosCorporation，进一步巩固了它在安全解决方案领域的领先地位。（PhobosCorporation是安全交易方面的佼佼者，它提供的SSL[安全套接字层]加速器现已成为SonicWALL系列安全解决方案的一部分。）SonicWALL的SSL加速技术在行业内处于领先地位，可为企业、数据中心、共用和托管Web主机的机构、应用服务提供商(ASP)和服务提供商提供优越的性价比。随着SonicWALL安全产品在大中型企业、数据中心和其他高要求环境中的广泛应用，其售前和售后的工程支持及全天候的技术支持变得日益重要。SonicWALL于2001年第一季度收购了IgnyteTechnology，现在可为企业级网络客户提供深入的咨询、设计和支持，以及管理他们的互联网安全需要。收购IgnyteTechnology使SonicWALL得到了充足的技术支持资源，包括互联网安全和网络基础结构技术方面的技术专家，以及一个完善的网络运营中心和测试实验室（用于向客户提供真实环境中的产品评估）。SonicWALL还在继续发展与合作伙伴（如Cisco、3COM、NetGear和NetworkAssociates）的战略关系。全世界已经有10,000多个经销商在销售SonicWALL的安全解决方案。第一章需求分析1.1业务背景XXXX股份有限公司是一家电力生产、经营和投资，电力生产技术咨询，水电工程检修维护的一流电力公司，目前公司业务流程已经采用电子信息化办公，公司局域网已经采用了相关的行业应用软件并且已经部署了防火墙等安全设备，但是目前公司需要开放移动办公业务，同时还需要兼顾到移动办公的安全性，在兼顾成本回报率的前提下，优先考虑采用VPN安全远程连接的方式实现移动办公。1.2需求分析作为远程安全连接方式的移动办公，VPN技术是首选的经济方案，一方面可以节约企业成本，另一方面也可以提高应用的安全性，目前业界流行的两大VPN技术包含IPS-ecVPN以及SSL-VPN，这两中VPN即使在应用上各有千秋，具体体现在：IPSecVPN和SSLVPN是两种不同的VPN架构，IPSecVPN是工作在网络层的，提供所有在网络层上的数据保护和透明的安全通信，而SSLVPN是工作在应用层(基于HTTP协议)和TCP层之间的，从整体的安全等级来看，两者都能够提供安全的远程接入。但是，IPSecVPN技术是被设计用于连接和保护在信任网络中的数据流，因此更适合为不同的网络提供通信安全保障，而SSLVPN因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。(1)客户端支撑维护简单对于大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件，只需通过标准的Web浏览器连接因特网，即可以通过网页访问到企业内部的网络资源。而IPSecVPN需要在远程终端用户一方安装特定软件以建立安全隧道。(2)提供增强的远程安全接入功能IPSecVPN通过在两站点间创建安全隧道提供直接(非代理方式)接入，实现对整个网络的透明访问;一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，这会带来很多安全风险，尤其是在接入用户权限过大的情况下。SSLVPN提供安全、可代理连接。通常SSLVPN的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将连接映射到不同的应用服务器上。(3)提供更细粒度的访问控制SSLVPN能对加密隧道进行细分，使终端用户能够同时接入Internet和访问内部企业网资源。另外，SSLVPN还能细化接入控制功能，提供用户级别的鉴权，依据安全策略确保只有授权的用户才能够访问特定的内部网络资源，这种精确的接入控制功能对远程接入IPSecVPN来说几乎是不可能实现的。(4)能够穿越NAT和防火墙设备SSLVPN工作在传输层之上，因而能够遍历所有NAT设备和防火墙设备，这使得用户能够从任何地方远程接入到公司的内部网络。而IPSecVPN工作在网络层上，它很难实现防火墙和NAT设备的遍历，并且无力解决IP地址冲突。(5)能够较好地抵御外部系统和病毒攻击SSL是一个安全协议，数据是全程加密传输的。另外，由于SSL网关隔离了内网服务器和客户端，只留下一个Web浏览接口，客户端的大多数木马病毒感染不到内网服务器。而传统的IPSecVPN由于实现的是IP级别的访问，一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，内部网络所连接的应用系统都是可以侦测得到，这就为黑客攻击提供了机会，并且使得局域网能够传播的病毒，通过VPN一样能够传播。(6)网络部署灵活方便IPSecVPN在部署时一般放置在网络网关处，因而需要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构。而SSLVPN却有所不同，它一般部署在内网中防火墙之后，可以随时根据需要，添加需要VPN保护的服务器，因此无需影响原有网络结构。有鉴如此，本方案中优先推荐使用SSL-VPN的连接方式来支持远程移动办公。第二章：方案设计有鉴于前述需求分析，我们决定采用SonicWALLSSL-VPN2000来设计本方案以满足XXXX股份有限公司的远程移动办公需求，设计方案示例图如下：2.1SSL-VPN2000解决方案如上图示，我们在公司现存的防火墙后面部署了一台SonicWALLSSL-VPN2000安全接入器，由防火墙来转发所有对内部应用系统的SSL连接请求到SSL-VPN2000上，由SSL-VPN2000来处理用户的认证、授权以及信息的加/解密工作，而正常的网络访问流量通过防火墙的相关策略直接处理，由于防火墙的安全隔离作用，可以有效隔离大部分来自网络的攻击扫描行为，一方面保障了内部网络及服务器的安全，同时也可以有效保障SSL-VPN2000本身的安全性。SonicWALLSSL-VPN2000工作在单臂模式，远程用户通过HTTPS协议安全连接到SSL-VPN2000进行加/解密信息交换以及用户认证并获得应用资源访问授权。用户透过该设备即可以安全访问到管理员授权访问的内部资源。当应用服务器增加时，不需要更改任何防火墙的或者路由器策略，也不需要更改任何网络拓扑，只需要在SSL-VPN2000上增加相应的策略即可实现远程用户的安全访问，大大提高了易用性。对用户而言，由于防火墙的NAT以及访问控制策略的限制，用户能够接触到的只是SSL-VPN2000，不可能接触到实际的内部网络应用服务器，所有对内网应用的请求会被防火墙直接强制转移到SSL-VPN2000上，SSL-VPN2000此时会和用户端发起SSL-VPN协商并进行进一步的通讯处理，由于防火墙的隔离以及SSL-VPN的限制，用户不会直接访问到应用服务器，大大提高了系统的安全性。对于远程SSL-VPN连接的用户端来说，并不需要安装“肥”的VPN客户端软件，只需要一个标准的浏览器即可，使用门槛大大降低，非常方便用户使用，而且，可以大大减轻管理员对于终端的维护工作量；SSL-VPN2000也不存在NAT穿越的问题，具有很强的网络适应性。另外，考虑到SSL-VPN存在应用协议支持的局限性，即，支持的应用协议有限并且多是基于web应用方式的，SonicWALL针对现状，开发出了一种全新的应用技术NetExtender，使用该技术，SSL-VPN2000就可以支持所有的基于TCP协议的应用了。克服了SSL-VPN应用的局限性，有非常好的网络适应性。SonicWALLSSL-VPN2000的功能特色如下：可无缝集成到任何防火墙后面SSL-VPN2000实际上可无缝集成到任何网络拓扑中，并能方便地与几乎任何第三方防火墙一同部署，来作为一种安全远程访问解决方案。这使您无需购买其它硬件既可利用您现有的网络基础设施。但好处还不只这些，当与运行SonicWALL网关防病毒、防间谍程序及入侵防护服务的SonicWALL互联网安全设备一同部署时，SSL-VPN2000还能提供网络集成与安全。SonicWALL网关中的深度包检测能力可净化移动用户连接，以避免其将漏洞及恶意代码等带到您的企业网络中。功能强大的SonicWALLNetExtender技术SSL-VPN2000使远程访问变得极其简单，用户只需用一个标准Web浏览器打开一个对他来说是唯一的个性化Web门户。从此门户，用户可访问e-mail、文件、应用程序及内部网站。而对于一些功能更加强大的能力，例如对企业网上资源（包括服务器及复杂或家庭应用程序等）的无缝、安全访问，SSL-VPN2000可透明地向用户桌面或笔记本电脑上弹出一个称为NetExtender的可下载瘦客户端程序。精细策略配置控制您的组织机构中包括一些对企业网上资源具有不同访问级别的用户。SSL-VPN2000可将安全远程访问从远程办事处及企业控制笔记本电脑扩展至不受企业IT部门控制与管理的网络环境及远程计算机。内置精细访问控制使您不仅能为您的员工，而且能为可信合同商、合作伙伴及客