收藏
下载资源

电信运营商SSL_VPN运营方案

上传人:QQ15****706 文档编号:107076032 上传时间:2019-10-17 格式:DOC 页数:14 大小:452KB
返回 下载 相关 举报
电信运营商SSL_VPN运营方案_第1页
第1页 / 共14页
电信运营商SSL_VPN运营方案_第2页
第2页 / 共14页
电信运营商SSL_VPN运营方案_第3页
第3页 / 共14页
电信运营商SSL_VPN运营方案_第4页
第4页 / 共14页
电信运营商SSL_VPN运营方案_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《电信运营商SSL_VPN运营方案》由会员分享,可在线阅读,更多相关《电信运营商SSL_VPN运营方案(14页珍藏版)》请在金锄头文库上搜索。

1、电信运营商SSL VPN运营方案电信运营商 SSL VPN运营方案目录一、前言3二、系统方案介绍32.1方案定位32.2解决方案42.3 SSL VPN运营平台组成52.3.1交换单元52.3.2.发布单元52.4方案的特点72.4.1功能完善、应用领域众多72.4.2高安全性102.4.3可靠性高、扩展性强112.4.4低TCO(Total Cost of Ownership)12三、部署使用12四、运营方案134.1.推广计划134.2.推广模式134.3.资费标准134.4.客户类型分析144.5.投入产出分析14一、 前言随着网络应用领域的不断增加,互联网的开放性也带来了许多内在的安全

2、隐患,类似黑客入侵、数据篡改、截获事件发生不断。另外,由于多数系统采用用户名+口令的认证方式,很难保证访问用户的合法身份及访问权限。如何让有授权的人在没有安全威胁的前提下打开机构内部系统?同时,如何使复杂的安全措施不对用户产生妨碍,不因为安全牺牲性能?近年来,VPN引起了人们的广泛注意。它可以利用Internet网建立安全、可靠、经济、高效的专用传输链路。利用VPN,位于不同地区的人员只需分别接入本地的Internet网,就可以组成一个安全的虚拟专用网络。UUDynamics的iStar远程安全访问解决方案在传统的VPN技术基础上,针对复杂的Internet接入环境、操作人员技术水平参差不齐、

3、内网服务器的易被攻击、国内固定IP的缺乏等众多不利因素,进行了技术、产品的创新,为电信运营商构建了一个灵活的远程安全接入运营平台。通过该运营平台,电信运营商的企业用户只需通过租用或购买设备的方式就可以实现企业SSL VPN功能。二、系统方案介绍2.1方案定位目前,大部分大中小企业都有远程访问的需求,包括出差员工访问公司资源,远程分支机构或代理合作伙伴等都有远程访问公司内部资源的需求,传统的IPSEC VPN由于其技术本身的限制以及用户端配置等方面的原因,无法很好的解决远程访问的需要,SSL VPN的出现,很好的解决了该问题。但是由于目前SSL VPN设备普遍比较贵,对于很多企业并不希望一次性投

4、入太多的成本去购买SSL VPN设备,他们更多的是希望以租赁的形式来获得安全可靠便捷的SSL VPN服务。在电信服务方面,国内目前主要集中在电信、网通、移动、联通和铁通等几大运营商。但是在数据业务方面,几大运营商提供的服务基本相同。因此,目前各大运营商都在探寻新的运营模式,在其电信资源上提供更多的增值业务,为其获得更多的运营收入和客户。我们希望通过构建SSL VPN运营网络,为电信运营商增加运营收入的同时,也为电信运营商巩固并带来更多的企业高端用户。通过SSL VPN运营网络,实现企业和电信运营商双赢的局面。对于企业,无需一次性投入很多的成本去搭建SSL VPN网络,只需通过租赁的形式获得电信

5、级的SSL VPN服务;对于电信运营商,在提供增值业务的同时,也绑定了高端企业用户。2.2解决方案电信运营商在其骨干网络上架构UUSwitch作为其核心SSL VPN运营网络,企业用户端根据用户需求部署不同级别的UUpublisher。远程用户要访问企业内部资源时,通过电信运营商SSL VPN运营网来实现。具体拓扑结构如下:随着信息化的发展,基于Internet的VPN互连方式以其低成本、高效率的解决方案正日益受到推崇,通过该SSL VPN平台,满足了企业用户的如下需求:(1)接入需求用户VPN能做到任意点的接入。并且能够支持大量用户的同时访问能力。(2)功能性需求完全支持各种基于B/S,C/

6、S架构的应用系统和文件共享等功能,满足绝大部分企业用户的功能需求。(3)安全性需求在安全性方面,不同的企业根据各自企业的实际情况,采用不同的安全认证策略,灵活方便。(4)易用性需求在用户数量庞大的情况下,必然会出现用户操作水平参次不齐的情况,使用简单、方便就显得十分重要。这就要求用户端不需要预装客户端软件,接入系统的方式采用IE浏览器方式,并且原有应用系统的使用方式不变。2.3 SSL VPN运营平台组成2.3.1交换单元交换单元是电信运营商SSL VPN运营网络中放置铁通骨干网的交换设备,用来提供给企业发布单元进行注册功能。它能够物理上分布在多个地点。 交换单元在发布单元和使用者两方进行应用

7、资料交换之前提供信令的功能。 在不使用公共IP地址的双方转发应用资料时,交换单元能透明地转发应用数据。 但它不参与KEY的交换或加解密,以确保信息的安全和高效。在电信运营商SSL VPN运营网络中,我们建议先部署UUSwitch。并首期以两台以上UUSwitch做负载均衡冗余备份。2.3.2.发布单元发布单元位于应用服务所在的一方,也就是企业用户一方,以便将应用服务发布给远程使用。 应用服务不仅仅可以是Web Server,同时支持如IBM/Lotus Notes Server,MS Exchange Mail Server,Oracle Database Server,Netmeeting等

8、等的C/S应用。 多台发布单元能群集成为高效能和均衡负载的群组。针对不同的用户需求,我们会建议企业用户选择相应等级的设备。目前我们能提供的设备包括UU200/UU1000/UU2000,具体规格如下:UU200规格说明(硬件)并行用户数25/50/100安全机制基于SSL协议AES/DES/3DES,RSA,SHA1/MD5用户认证本地方式AD/NTLM/RADIUS/PKI/TWO FACTOR (RSA SecurID)可管理性具备远程管理机制高可用性、可扩展性和负载平衡Cluster技术最多至10台硬件规格机箱(mm)长440/宽238/高45-90作业温度0至45摄氏度库存温度-10至

9、60摄氏度重量4-10kg电源输入电压110/220V输入频率50HZ输入电流110V2A/220V1A最高输出功率70WUU1000规格说明并行用户数100/250/500安全机制基于SSL协议AES/DES/3DES,RSA,SHA1/MD5用户认证本地方式Windows AD/NTLM/RADIUS/PKITWO FACTOR (RSA SecurID)可管理性具备远程管理机制高可用性、可扩展性和负载平衡Cluster技术最多至10台硬件规格机箱(mm)长440/宽238/高45-90作业温度0至45摄氏度库存温度-10至60摄氏度重量6-10kg电源输入电压110/220V输入频率50

10、HZ输入电流110V2A/220V1A最高输出功率130WUU2000规格说明并行用户数500/1000安全机制基于SSL协议AES/DES/3DES,RSA,SHA1/MD5用户认证本地方式Windows AD/NTLM/RADIUS/PKITWO FACTOR (RSA SecurID)可管理性具备远程管理机制高可用性、可扩展性和负载平衡Cluster技术最多至10台硬件规格机箱(mm)长440/宽238/高45-90作业温度0至45摄氏度库存温度-10至60摄氏度重量4-10kg电源输入电压110/220V输入频率50HZ输入电流110V2A/220V1A最高输出功率150W2.4方案的

11、特点2.4.1功能完善、应用领域众多(1) 为企业轻松解决移动办公SSL VPN运营平台能为用户提供强大的移动办公平台。它没有防火墙、NAT穿越的问题,也不存在IP地址冲突的问题,支持所有Internet接入方式,保证用户可以在各种环境下(酒店、机场、无线网络和局域网内)畅通无阻的实现移动办公。(2) 提高企业应用系统的安全性SSL VPN运营平台通过应用代理、分级授权以及客户端扫描等多种手段,能为抗攻击能力薄弱的各种网络应用系统,提供可靠的安全保障,使其免遭黑客和蠕虫病毒的恶意攻击。我们可以将SSL VPN运营平台部署在服务器子网的入口位置,利用其应用代理机制,将后台开发的众多固定或动态TC

12、P端口全部保护起来,对外仅开放TCP 443端口;结合交换单元更能做到把443端口也关闭(In-Bond);这样一来,应用系统的安全性得到了极大的提高,从根本上阻断了黑客和蠕虫病毒的入侵途径。另外,SSL VPN运营平台还能够根据应用来授权,对不同的用户授予相应权限,使用户只能看到自己有权限的应用,而其它应用系统则被SSL VPN系统隐藏起来。再配合多种客户端扫描策略,从而进一步提高了应用系统的安全性。(3) 能实现企业应用系统整合SSL VPN运营平台为用户提供了一个统一的应用系统发布平台,可以将B/S、C/S、文件共享等多种应用整合到一个IE浏览器页面中,将不同的应用以清晰、明了的图标方式

13、呈现出来,并且还可建立目录结构,方便管理和使用。SSL VPN运营平台采用基于应用层的代理机制,支持所有基于TCP/UDP协议的应用系统;用户不用对原有系统做任何改动,即可与之无缝结合。例如下表中列举的应用:B/S应用Http/Https应用、Webmail服务、企业ERP系统、WebOA系统、CRM系统、B/S架构财务软件等。C/S应用邮件系统:SMTP、POP3、IMAP4;(如Outlook、Foxmail、Eudora等)常用的终端连接:IBM5250/3270、SSH、Telnet等远程桌面控制:MS Terminal Service、PCAnywhere、Radmin、VNC等其它

14、基于TCP/UDP连接的应用程序:Lotus Notes、ERP、NetMeeting、SQL、Oracle、WebOffice等等;文件共享应用支持文件浏览、FTP、SMB、NFS服务器等(4) 多种身份认证方式SSL VPN运营平台可以在不对原有应用程序和服务器做任何改动的情况下,为系统提供多种形式的身份认证。不仅具有本地认证数据库,还能与原有认证数据库相结合,可无缝兼容Windows Active Directory、Windows NT Domain、RADIUS、LDAP、ACE Server和PKI等认证系统。另外,在认证手段上,不仅支持用户名/密码方式,还支持多种硬件认证方式,比如:USB Key、RSA SecurID token和One-Time Password Token等;从而使客户端身份认证的安全性大大提高。(5) 实现企业数据的加密传输SSL VPN运营平台可以在不对原有应用程序和服务器做任何改动的情况下,实现客户端与服务器之间的加密数据通信。它支持多种加密方式,比如对称加密、非对称加密和摘要等。可以让用户自定义选择,可以只采用一种算法,也可以多种算法同时使用。适应不同保密级别的需要。(6) 实现企业双向访问功能SSL VPN运营平台具备双向访问功能,可实现LAN to LAN以及远程任意点的数据采集和

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 总结/报告

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号