《WebVPN解决方案》由会员分享,可在线阅读,更多相关《WebVPN解决方案(5页珍藏版)》请在金锄头文库上搜索。
1、WebVPN解决方案YJJSSL VPN的优点利用SSL VPN,各公司可以安全地将企业网扩展到任何授权用户,因为用户可 以利用标准Web浏览器从提供互联网连接的任何地方建立与公司资源的远程访问 连接。利用 Web浏览器及其本地的 SSL加密,用户可以从非公司拥有的机器,例如 家用PC、互联网信息亭或无线热点接入企业网,通常 IT部门不能在这些地点方便 地为IPSec VPN连接部署和管理 VPN客户端ript src=/CMS/JS/newsad.js 软件。 在应用访问要求受限的地方,SSL VPN不需要使用预装 VPN客户端软件。管理员可以对 Web站点和公司应用提供定制的用户门户和精确
2、的访问控制。不仅如此,由于公司防火墙通常允许建立SSL连接,因而不再需要其它网络配置。基于上述原因,SSL VPN可以方便地从任何位置穿越防火墙。SSL VPN的风险SSL VPN能够提高生产率,因为它能够从任何终端设备提供远程接入,与此同 时,SSL VPN也带来了很多安全问题。将远程接入延伸到公司IT无法控制的位置和设备给公司资源带来了很高的安全风险。IT部门不但要对用户进行认证,还要担心终端远程接入环境的危险性。例如,当某人通过机场的远程接入点或家用PC接入网络时,会存在按键记录器等未知安全风险,虽然事务处理本身是加密的,但当 这个人离开机器后,某些信息可能还存留在那里,后来者很有可能会
3、访问到这些敏 感的公司信息,甚至侵入公司网络本身。SSL VPN进程结束之后,可能会 在桌面或浏览器缓存中遗留下 cookie、浏览器历史文件、临时文件、自动填写的密码和电 子邮件附件。因此,对公司资源的访问很可能会给公司信息带来泄密风险。潜伏在 终端系统上的病毒、蠕虫或恶意软件都在伺机收集敏感数据。图1 SSL VPN安全风险 r在家工作的员工匚厂.柯管螫机器SSL P进程之前谁瘾终孺7磐端安全状况&礼个火墙?是否有恶意软件在运行?SSL F谜程之中进程数据是否受到了保护7椅入的密码是否受到了保护7是否有恶意救件启动7SSL VPN进程之后浏览器是否保存内部刚共溯器是否保存密码*?是否遗留了
4、下我文件?寻求平衡SSL VPN解决方案必须包含可靠的终端安全方法,以便在SSL VPN用户进程结束之后彻底删除历史文件、临时文件、高速缓存、 cookie、电子邮件附件、自动填写的密码及其它下载数据。开放和保护必须达到平衡,才能既发挥SSL VPN的灵活性,又不会降低公司资源的保密性(见图1)。解决方案Cisco? WebVPN 解决方案是一种简单、有效的方法,它能够在任何第三方计 算机上创建完全安全、可以定制的SSL VPN进程,而且不会在进程结束之后遗留下任何数据。Cisco WebVPN的主要组件是思科安全桌面功能。思科安全桌面能够用 一致、可靠的手段删除敏感数据的所有痕迹,为客户端系
5、统上的进程和删除操作提 供一个安全位置,这样,当远程用户退出或者SSL VPN进程超时之后,就不会在系统上遗留任何cookie、浏览器历史、临时文件、自动填写的密码和下载内容。如果 对SSL VPN进程中涉及的所有数据和文件以及下载内容进行加密,还可以进一步防御数据被盗和客户端系统恶意软件。安全数据删除思科安全桌面功能能够以一致、可靠的方法彻底删除敏感进程的所有踪迹,因为它能够在客户端系统上创建加密硬盘分区,然后创建一个与普通桌面独立的虚拟桌面。所有进程操作都在安全的虚拟桌面环境中进行,所有数据都将写入加密的硬 盘分区中。由于这种方法为客户端系统上的进程操作和删除提供了统一的安全位置 或安全基
6、地,因而能有效解决相关的最终用户系统许可和浏览器偏好设置等问题。当SSL VPN进程结束时,历史文件、临时文件、高速缓存、cookie、电子邮件附件及其它下载数据都将被彻底覆盖,然后从这个安全基地中完全删除,不留一丝痕迹(见图2)。图2思科安全桌面的加密基地”安全臬面浏览摆历史二or. com/jbs www str 耻询件信息二员工砰估贸易秘密 t or d/ Ez celTfi : 4tt orn#7_le ftter.doc sslvi ew.xls安全基地*54 6FG MET246GT2 3HKF 2794326M546GHR7 24JUKB376TSBHTLieT 33flH8U
7、V3EIUJ9SHH DSX3DD0 EXtHfSGTGS 3JXIlJ0387GB73aZDF Q KT最全面的安全性思科安全桌面 的功能高于普通 SSL VPN安全产品。所有信息从进程开始就进行加密,而不是在进程结束之后才加密。当进程突然中断或者因长时间不操作而超时,这个功能非常有用。不仅如此,思科安全桌面还能将所有进程信息保存在安全 基地的桌面分区中,并在进程结束时使用国防部卫生算法来覆盖和删除所有数据, 从而加强了终端的安全保护。类似的高速缓存清除程序只能提供不完整的安全解决方案,它的作用是在进程 结束时擦除浏览器的临时互联网高速缓存。虽然这项服务会起到一定作用,但由于 很多信息都无法
8、删除,因而提高了公司的泄密风险。高速缓存清除程序无法删除用 户刻意保存的文件,只能删除浏览器历史文件、Internet Explorer插件、Active X控制件或者index.dat (Internet Explorer管理的专用 URL表)中的信息。可能无法删除 自动填写的密码,而且iNotes等很多其它应用可能会将用户浏览过的文件保存在一 个特别的文件夹中,即使浏览器的高速缓存被清除,设备上的这个文件夹也可能被 保留。即使是被删除的信息,也有可能利用相关工具予以恢复。全面的策略模型思科安全桌面 还能根据网络位置和网络设备类型(家用PC、互联网连接点或公司笔记本电脑)的不同制定不同的策略
9、和规则,以便在不降低用户生产率的前提 下有效保护所有保密信息。用户可以根据主机完整性检查,即确认终端系统上安装 有防病毒软件、个人防火墙软件以及Windows操作系统和服务包,来激活特性。例如,某公司可能对所有承包商制定这样的策略:PC上必须安装个人防火墙软件才能接入企业网。如果未安装或未激活防火墙,就不允许用户接入网络,或者只能将用 户转至独立的 Web页面,提示用户下载个人防火墙软件。另外,公司还可以根据终 端设备的不同规定下载思科安全桌面的时间。使用公司笔记本电脑的远程员工可能 不需要思科安全桌面提供的高级保护,但从互联网连接点接入网络的员工则需要这 种高级保护。思科安全桌面还可以规定下
10、载的时间和地点。结论利用思科安全桌面,任何计算机都能够安全接入企业网,而且能够有效避免进 程结束之后将数据遗留在接入设备上,既提高了生产率,又提高了安全性。目前,可以对公司文件、Web、传统应用和客户端服务器应用提供安全的无客户端SSL VPN接入。各机构可以放心地从任何地方以安全的无客户端VPN接入方式访问任何网络资源。基于SSL VPN的远程接入不但能根据用户进行控制,还可以根据所使用的远程终端设备和环境进行控制。思科安全桌面可以在支持Cisco WebVPN的以下平台上使用:Cisco ASA 5500系列安全设备,7.1或更高版本软件Qisco IOS 路由器,IOS 12.4 (6) T或更高版本Cisco VPN 3000系列集中器,4.7或更高版本洲于 Cisco Catalyst 6500 和 Cisco 7600 系列的 Cisco WebVPN 服务模块, 1.2 或更高版本
