xxx学校SSL-VPN解决方案

XX学校网康VPN解决方案北京网康科技有限公司2011年11月目录1.需求分析---------------------------------------------------------------41.1背景---------------------------------------------------------------------------------------------------------------41.2需要达到的目标-----------------------------------------------------------------------------------------------41.3为什么选用VPN联网方式---------------------------------------------------------------------------------5第二章应用安全网关VPN解决方案-------------------------------------------72.1网络拓扑图-----------------------------------------------------------------------------------------------------72.2方案说明---------------------------------------------------------------------------------------------------------72.3方案优势---------------------------------------------------------------------------------------------------------72.3.1稳定性--------------------------------------------------------------------------------------------------82.3.2速度快--------------------------------------------------------------------------------------------------82.3.3安全性高-----------------------------------------------------------------------------------------------82.3.4使用简单、方便--------------------------------------------------------------------------------------92.3.5提高终端用户资源访问速度----------------------------------------------------------------------102.3.6详尽的统计功能-------------------------------------------------------------------------------------102.3.7访问统计图标----------------------------------------------------------------------------------------112.3.8分级管理功能----------------------------------------------------------------------------------------132.3.9堆叠式的负载均衡----------------------------------------------------------------------------------142.3.10容灾--------------------------------------------------------------------------------------------------152.3.11高扩展性--------------------------------------------------------------------------------------------152.3.12线路冗余--------------------------------------------------------------------------------------------162.3.13可管理性--------------------------------------------------------------------------------------------161.需求分析1.1背景随着信息技术和网络技术日新月异，XX学校业务进入全面、快速发展阶段，与其配套的应用系统的功能日益凸显。经过多年建设，XX学校已建成自身的校园办公系统（OA，EMAIL，FTP等等），且学校的老师和学生对于异地办公、移动办公等多种远程办公的需求越来越多，师生需要在校外通过Internet访问校园网和教育网的资源。通过Internet数据传输平台，实施加密的VPN实现安全接入的办法主要有两种：一种是IPsecVPN，另一种是SSLVPN。两种技术在不同领域各有其优势。在解决节点对节点互联方面，可采用IPSec技术。在解决移动接入方面，可采用SSLVPN。因为传统IPSecVPN需要安装客户端，在面临越来越多的远程移动用户接入时，将带来诸如管理/维护成本、终端适应性等问题，而SSLVPN无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低，而且由于SSLVPN不是打开一个网络层通道，而只是提供了联系应用层请求的固化网络接口，所以提高了与VPN相关的整个系统的安全性，解决了IPSecVPN在移动接入的不足之处。本次学校的师生远程访问的需求，选择使用SSLVPN。1.2需要达到的目标通过采购、安装、配置IPSec/SSL一体化VPN网关及相关网络互联设备，在学校网络出口部署VPN设备。通过SSLVPN功能，只为师生开放某些系统的访问权限，利用SSL的多种加密和认证方式保障使用的安全。对师生来说，不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入，让管理员不需再担心大范围客户端的安装和配置问题。从整体上满足学校师生在任意时刻、任意地点都可通过Internet访问校内网络资源。1.3为什么选用VPN联网方式（1）安全性高在校外通过Internet访问校内网络资源时必然面临安全问题。用VPN构建网络具备相当高的安全性，主要有如下几点安全要素：保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒（IPSpoofing）的能力。保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全防护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。（2）降低成本当使用Internet时，实际上只需要付基本宽带费，却收到了长途通信的效果。因此，借助ISP来建立VPN，就可以节省大量的通信费，此外，VPN还可以使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。（3）容易扩展支持多种接入实现方式，并且网络是动态的，可以随时增减用户，便于集中控制访问权限。（4）完全控制主动权VPN使学校可以使用运营商的设施和服务，同时又完全掌握着自己网络的控制权。综合考虑以上情况，在网络组建前期必须进行详尽的调查与测试，寻找一种适合组建大规模VPN网络的，专业智能的，“傻瓜式”的VPN产品来组建此通信网络。在方案中必须要求可以集中管理、配置简单、维护方便、扩展容易和可灵活定义网络拓扑。在市面上有很多VPN产品，那么究竟那一种VPN产品才是企业最好的选择呢？针对企业上面的需求，采用网康科技的ASGVPN解决方案正是一种非常好的解决方案。第二章网康VPN解决方案2.1网络拓扑图图一VPN网络示意图2.2方案说明XX学校VPN的并发用户数为1000人，建议在学校端部署一台NV3000-50型号的ASG设备。单臂旁接的方式提供SSL-VPN服务。NV3000-50是具有高性能的VPN接入设备（中心点的终端设备），提供作为智能接入终端的所有功能，如高性能的防火墙，移动客户端接入服务，带宽管理，流量监控,统计汇总等。2.3方案优势我们相信，只有专业才能造就品质。网康科技的SSLVPN+IPsec系列产品远程访问系统是专为总部与分支机构、远程移动办公需求量身定制的远程访问系统，和商业VPN远程访问系统比较，我们的技术优势包括：2.3.1稳定性平均无故障运行时间(MTBF)40,000小时。支持双机热备，支持多多机热备。众多高端用户的使用就是最好的证明。可基于客户端的应用流量控制，可以控制客户端单次在线时长，下载最大速度，单次下载最大流量，客户端最大空闲时长等。适当细致的流量控制可以增强系统的稳定性。2.3.2速度快极快的页面相应速度，比一般的VPN厂家快2-3倍。先进的数据压缩技术，减少在传输过程中的带宽损耗。多线路智能选路，保障远程接入者快速、稳定的接入体验。使用ATP自适应快速传输协议，优化数据的传输速度。2.3.3安全性高VPN网络的安全性有三层含义：一是数据传输的安全；二是用户接入的安全；三是对内网资源的访问安全。ASGSSLVPN采用了AES256加密算法，具有比当前3DES更好的安全性和更快的速率，AES256的性能大约是3DES的3倍左右，安全性也更高，已经为众多国际领先的SSLVPN厂商采用，因此，SSLVPN能够在保证数据安全的同时提供了更好的性能。ASGSSLVPN支持了多种用户认证方式，保证接入安全：1、动态令牌认证，2、基于硬件特征的身份认证技术3、短信认证4、USBKEY加密认证5、数字证书、LDAP、Raduis、用户名口令。6、任意第三方认证。并可结合第三方CA中心。ASGSSLVPN网关通过对客户端的安全检查了保护内网的安全。用户通过个人电脑浏览器打开SSL登录界面时，ASGSSLVPN安全网关通过客户端计算机安全扫描功能，检查计算机系统是否打了补丁、是否安装有相应杀毒程序等，保证SSLVPN接入安全，避免客户端计算机的不安全因素通过SSLVPN传输到企业内部网络产生的安全隐患。同时，为避免远程接入单机成为黑客跳板，可以设置在接入内网后自动切断所有与互联网的其它所有连接。ASGSSLVPN可以对不同的用户分配不同的权限规则，权限粒度可以细化到URL级别。用户行为控制：ASGVPN系统可以为用户组提供独立的用户访问行为管理，通过设置空闲时长，在线时长，速度上限，访问流量上限等安全策略配合使用，实现对用户访问动作的管理。如防止用户长时间登录到ASGVPN系统但不发生访问行为，浪费并发用户数量；速度和流量监控可以有效地防止用户突发性或持续性的恶意下载，同时系统可以自动审查用户行为，发现违规可以自动切断该用户的连接，等待管理员审核并处理后重新激活用户方可正常使用。2.3.4使用简单、方便传统的远程访问设备，如果在总部与分支机构见进行部署，需要对防火墙设备进行网络映射等相应配置，造成了不必要的麻烦。网康科技ASGVPN远程访问系统采用专有的网络技术，可以灵活的部署于政府内部的任何位置，实现透明接入，不需要对政府的内部网络设备做任何的更改配置即可实现远程