《(安全生产)JSSLVPN远程安全接入解决方案》由会员分享,可在线阅读,更多相关《(安全生产)JSSLVPN远程安全接入解决方案(21页珍藏版)》请在金锄头文库上搜索。
1、Juniper SSL VPN 远程安全接入技术方案 第 1 页 共 21 页 JuniperJuniper SSLSSL VPNVPN 远程安全接入解决方案远程安全接入解决方案 上海软盛信息技术有限公司 Juniper SSL VPN 远程安全接入技术方案 第 2 页 共 21 页 目目 录录 一 企业网络远程访问面临挑战一 企业网络远程访问面临挑战 3 3 二 安全接入技术的选择二 安全接入技术的选择 3 3 三 方案建议三 方案建议 4 4 3 1 系统特性 6 3 2 IVE 系统对安全的控制 7 3 3 员工和合作伙伴轻松访问相应的应用和资源 8 3 3 1 无需安装客户端的远程安全
2、访问 9 3 3 5 提高网络传输性能 10 3 3 6 用户使用界面自定制 10 3 4 系统扩展性和高可用性 11 3 5 全面的远程接入安全保护 11 3 5 4 安全的数据传输 12 3 5 5 坚固安全的系统平台 13 3 7 部署和管理远程访问系统 13 3 7 1 部署过程 13 3 7 2 管理配置 14 3 7 3 系统日志和维护 14 3 7 4 管理员权限分配 15 四 总结四 总结 1515 五 成功案例五 成功案例 1515 5 1 东方航空 SSL VPN 应用案例 15 5 2 掌上灵通 SSL VPN 应用案例 18 Juniper SSL VPN 远程安全接入
3、技术方案 第 3 页 共 21 页 一 一 企业网络远程访问面临挑战企业网络远程访问面临挑战 随着互联网的发展和电子商务的普及 越来越多公司的员工已经不仅仅是坐在办公室 里处理日常事务 象出差员工 家庭办公等多种类型的远程访问公司内部资源和应用的需 要变得十分的迫切 同时 这种网络连接的发生也为企业网络引入了新的安全威胁 但是 目前的网络安全方案又是十分的昂贵和复杂 目前的企业极需要一种简单实用的解决方案 可以安全的实现远程员工 合作伙伴乃至客户对企业内部网络资源的访问 而又不会为企 业网络带来新的安全风险 二 安全接入技术的选择二 安全接入技术的选择 随着信息技术的快速发展 为了提高服务的质
4、量和水平 在市场竞争中取得优势 企 业建立了内部局域网 使内部办公人员通过网络可以迅速地获取信息 然而 随着个人电 脑和互联网应用技术的普及 在家办公 异地办公 移动办公 等多种远程办公模式 逐渐普及 同时合作伙伴的人员也希望能访问到相应的信息资源 企业的 IT 管理人员面临 将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求 为远 程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便 然而 要享受通过互联网访问企业内部的信息资源的便利 就需要实施适当的信息安全策略 在 严格防止企业信息资源被非法窃取的同时 对合法的访问要提供方便 同时还需尽量降低 信
5、息安全策略的实施和维护成本 企业通过 Internet 数据传输平台 实施加密的 VPN 实现安全接入的办法主要有两种 一种是 IPsec VPN 另一种是 SSL VPN 两种技术在不同领域各有其优势 我们建议 在实 施固定的站点到站点的 VPN 和复杂应用的移动用户接入 VPN 时 采用 IPsec 技术 在实施 普通应用的移动用户接入 VPN 时 采用 SSL 技术 原因是 SSL 无需在客户端安装客户端软 件 实施和维护灵活简单 不受地址翻译影响 控制策略更加细化 总体拥有成本较低 而且由于 SSL VPN 不是打开一个网络层通道 而只是提供了联系应用层请求的固化网络接 口 所以提高了
6、与 VPN 相关的整个系统的安全性 SSL 和 IPsec 技术的详细比较请参考 SSL vs IPSec 一文 在本方案中 我们建议根据具体的网络需求 灵活结合两种流行 VPN 当然 因为目 前的需求仅仅是总体建议 还需要针对更具体的网络情况进行调整 Juniper SSL VPN 远程安全接入技术方案 第 4 页 共 21 页 三 方案建议三 方案建议 安全协议安全套接层 SSL 技术是一项在互联网上广泛实施的标准安全协议 全面支 持认证和加密 所有标准 web 浏览器都支持 SSL 基于贵公司的安全接入模式以移动办公 用户远程访问为主 我们建议主要采用 SSL VPN 方案 对于一些特殊
7、的应用和特殊的用户 环境 辅助以 IPSec VPN Juniper SA 系列的远程接入产品是广受好评的 SSL VPN 产品 采用的是 Instant Virtual Extranet IVE 的系统平台 客户只要有标准的 web 浏览器 无需进行任何部署或 安装硬件 软件客户端设备 也无需对内部服务器进行任何修改 没有地址翻译穿越的影 响 也不受私有地址冲突的影响 而且几乎不需要任何后期维护 所以可以方便地让用户 安全地接入网络 建议在贵公司实施的 SSL VPN 安全接入的网络拓扑示范图如下 设备采用双层保护 防火墙实现基本 DoS 保护 策略过滤 以及 IPSec VPN 功能 SA
8、 设备则实现 SSL VPN 进行应用层保护过滤和接入 对于核心的基于 WEB 的应用 如内部邮件 办公应用系统等 Juniper SA 产品提供全 面的服务 包括 ActiveX Java JavaScript PHP 等 支持的全面性 灵活性远远超过我 们的竞争对手 并且在安全策略上实施的是应用层面的安全策略 可以比 IPsec 更加细化 由于 Juniper SA 系列的远程接入产品是坚固可靠的应用层网关 采用应用层面的安全策略后 内部的应用服务器可以得到有效保护 而不必将服务器的第 4 层端口完全暴露给外部 前 Juniper SSL VPN 远程安全接入技术方案 第 5 页 共 21
9、 页 端的防火墙上只需配置打开 tcp SSL 端口的策略即可 除了对 web 和 email 等应用的支持外 Juniper SA 对非 web 的许多客户端 服务器应 用也提供很好的支持 所以采用 Juniper SA 系列的远程接入产品实施 SSL VPN 来实现远程 接入被许多国际著名企业 如花旗银行 德意志银行 采用 对贵公司来说 最常用的应 用包括 Outlook 等系列软件 Juniper IVE 虽然将这些应用转化为 SSL 标准数据流 但并 不影响这些应用 例如 文件仍然可以下载到本地 对于绝大多数的 C S 应用 例如 Passive 模式 FTP 贵公司独立开发的 TCP
10、 特殊应用 数据库远程连接等 Juniper SA 是 透明支持的 对于许多常用的 C S 应用 如 Telnet SSH 和 Citrix 等 Juniper SA 都已经将这些应 用的支持固化在核心 WEB 应用当中 用户无需再定义可直接使用 Juniper 支持广泛的文件共享 Unix 和 Windows 并且支持中文共享 对于特殊的应用 特别是那些需要更底层通讯功能的协议 Juniper SA 还提供了 Network Connect 功能 相当于三层的通道 适用于几乎所有的 IP 层协议应用 例如 Active 模式的 FTP 流媒体应用等 中心点按照我们的建议已经放置了支持 IPS
11、ec VPN 的防火墙 可以建立到分支点出口 防火墙的 VPN 以及 PC 拨号 Dialup VPN Juniper SA 设备支持 HA 功能 配合流量负载设备 Juniper SA 支持 active active 的 HA 方式 不仅可以实现备份功能 更可以扩大容量 实现流量分担 同时 Juniper SA 系列的远程接入产品可以强制对远程用户的安装防火墙及防病毒软 件做出要求 Juniper IVE 系统与当前市场上流行的个人防火墙 防病毒软件做最紧密的 结合 如 Sygate Enforcement API Sygate Security Agent Zone Labs ZoneA
12、larm Pro and Zone Labs Integrity McAfee Desktop Firewall InfoExpress CyberGatekeeper Agent 等 用户只需要用鼠标选择一些选项便可完成 而且用户还可以 自行定义强制检查其它的运行程序或 windows 注册表项目 Juniper SA 系列的远程接入产品获得的奖项包括 PC 杂志 的 2003 年最佳网络奖 网络世界 SSL VPN 网关评测中获得评分最高的世界级产品奖 和 网络计算 杂志的 编辑选择奖 IVE 系统的设计和开发被安全保障公司和顾问 TruSecure 所审查和验证 TruSecure 是
13、世界级 Internet 互联安全保障解决方案的领先者 为 Juniper IVE 硬件系统发布了一个安 全保障声明 Dan Farmer 令人尊重的安全顾问和 SATAN Secuirty Administrator Tool for Analyzing Networks 的作者 以及 Cryptography Research SSL 3 0 的设计者之一 Juniper SSL VPN 远程安全接入技术方案 第 6 页 共 21 页 也对 Juniper IVE 系统进行了审查和验证 3 13 1 系统系统特性特性 为了从根本上简化安全远程访问 Juniper 的 IVE 系统按以下目标
14、进行架构和设计 运行平台必须抵御针对安全 设备与系统软件集成方面的攻击 为了满足该目标 系统被固化 核心层对流量进行数据包级过滤 运行平台必须抵御针对机密性和所有通过 IVE 系统的数据集成方面的攻击 为了 满足该目标 系统使用 SSL 在本地文件系统上存储加密的信息 系统必须能够通过简单的基于 Web 的管理控制台在几小时内进行实施 为了满足 该目标 IVE 系统进行大量的预先配制工作 管理员只需要进行少量的系统和网 络配置就可以完成 IVE 系统的实施 系统必须提供给客户与直接访问公司内部网相同的访问能力 为了满足该目标 系统使用 Juniper 代理引擎来透明地向远程用户发送资源 系统必
15、须具有可靠性和可扩展性 能够扩展到多个硬件系统 为了满足该目标 系统支持集群系统 集群中的多个系统提供故障恢复能力 性能扩展能力 并且 支持主 备或双主动模式 Juniper 的 IVE 系统可以支持广泛的企业应用 包括 1 基于 Web 的各项应用 包括浏览企业内网 访问基于 web 的 outlook 和 iNotes 2 基于 Microsoft Exchange 和 Lotus Notes 邮件系统 以及其他基于 IMAP4 POP3 和 SMTP 的标准的邮件应用 3 对于文件服务器的文件及目录共享控制提供支持 方便用户上传 下传文件 4 Telnet SSH 5 对大多数 cien
16、t server 应用提供支持 6 网络全连接方式 即 PC 的全部流量都可以通过 SSL VPN 到达企业内网 7 个人防火墙 防病毒软件等强制性检查 8 对于来自非安全设备或临时访问设备 如网吧 的访问 强制 cache 清除 Juniper IVE 系统支持的接入安全控制的细化包括 1 动态认证策略 可以通过多种要素对用户身份进行认证 包括提供身份前检查 Juniper SSL VPN 远程安全接入技术方案 第 7 页 共 21 页 和提供身份后检查 其中提供身份前检查的内容可包括 源地址 网络接口 内 外 证书 节点安全 包括主机检查和缓存清除 浏览器的 user agent 登录的 URL SSL 版本和加密级别 提供身份后检查的内容可包括 身 份确定 证书特性 密码长度 同时登录用户数 目录服务密码 2 角色定义和策略匹配 管理员可以定义用户属于一个或多个角色 对不同角色 提供不同的访问权限 对属于多个角色的用户可以一次性地给该用户多个角色 的总和 也可以让用户选择采用某个角色进行应用访问 3 资源访问策略 对于不同的应用资源 管理员可以提供不同的访问策略 作为 第三层的访
