远程安全接入决方案

资源描述

《远程安全接入决方案》由会员分享，可在线阅读，更多相关《远程安全接入决方案（11页珍藏版）》请在金锄头文库上搜索。

1、Juniper SSL VPN 远程安全接入技术方案蓝爵科技第 1 页共 11 页 Juniper SSL VPN Juniper SSL VPN 远程安全接入解决方案远程安全接入解决方案广州市蓝爵计算机科技有限公司 Juniper SSL VPN 远程安全接入技术方案蓝爵科技第 2 页共 11 页目目录录一、安全接入技术的选择一、安全接入技术的选择 . 3 二、方案建议二、方案建议 . 3 2.1 系统特性 . 5 2.2 IVE 系统对安全的控制 . 7 2.3 网络管理员如何实施和管理 IVE 系统 . 8 2.4 系统扩展性和高可用性 . 9 2.5 员工和合作伙

2、伴利用 IVE 系统轻松访问相应的应用和资源 . 10 2.6 JUNIPER SSL VPN 产品介绍 . 10 三、总结三、总结 . 11 Juniper SSL VPN 远程安全接入技术方案蓝爵科技第 3 页共 11 页一、安全接入技术的选择一、安全接入技术的选择随着信息技术的快速发展，为了提高服务的质量和水平、在市场竞争中取得优势，企业建立了内部局域网，使内部办公人员通过网络可以迅速地获取信息。然而，随着个人电脑和互联网应用技术的普及，“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及，同时合作伙伴的人员也希望能访问到相应的信息资源，企业的 IT 管理人员面临

3、将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求，为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。然而，要享受通过互联网访问企业内部的信息资源的便利，就需要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，对合法的访问要提供方便，同时还需尽量降低信息安全策略的实施和维护成本。企业通过 Internet 数据传输平台，实施加密的 VPN 实现安全接入的办法主要有两种：一种是 IPsec VPN，另一种是 SSL VPN。两种技术在不同领域各有其优势，我们建议：在实施固定的站点到站点的 VPN 和复杂应用的移动用户

4、接入 VPN 时，采用 IPsec 技术；在实施普通应用的移动用户接入 VPN 时，采用 SSL 技术，原因是 SSL 无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低，而且由于 SSL VPN 不是打开一个网络层通道，而只是提供了联系应用层请求的固化网络接口，所以提高了与 VPN 相关的整个系统的安全性。SSL 和 IPsec 技术的详细比较请参考SSL vs. IPSec一文。在本方案中，我们建议根据具体的网络需求，灵活结合两种流行 VPN。当然，因为目前的需求仅仅是总体建议，还需要针对更具体的网络情况进行调整。二、方案建议二、方

5、案建议安全协议安全套接层（SSL）技术是一项在互联网上广泛实施的标准安全协议，全面支持认证和加密，所有标准 web 浏览器都支持 SSL。基于贵公司的安全接入模式以移动办公用户远程访问为主，我们建议主要采用 SSL VPN 方案，对于一些特殊的应用和特殊的用户环境，辅助以 IPSec VPN。 NetScreen SA 系列的远程接入产品是广受好评的 SSL VPN 产品，采用的是 Instant Virtual Extranet(IVE)的系统平台，客户只要有标准的 web 浏览器，无需进行任何部署或安装硬件、软件客户端设备，也无需对内部服务器进行任何修改，没有地址翻译穿越的影响

6、，也不受私有地址冲突的影响，而且几乎不需要任何后期维护，所以可以方便地让用户安全地接入网络。 Juniper SSL VPN 远程安全接入技术方案蓝爵科技第 4 页共 11 页建议在贵公司实施的 SSL VPN 安全接入的网络拓扑示范图如下：设备采用双层保护，防火墙实现基本 DoS 保护、策略过滤，以及 IPSec VPN 功能。SA设备则实现 SSL VPN，进行应用层保护过滤和接入。对于核心的基于 WEB 的应用，如内部邮件、办公应用系统等，NetScreen SA 产品提供全面的服务。包括 ActiveX、Java、JavaScript、PHP 等，支持的全面性、灵活性远

7、远超过我们的竞争对手。并且在安全策略上实施的是应用层面的安全策略，可以比 IPsec 更加细化；由于NetScreen SA 系列的远程接入产品是坚固可靠的应用层网关，采用应用层面的安全策略后，内部的应用服务器可以得到有效保护，而不必将服务器的第 4 层端口完全暴露给外部；前端的防火墙上只需配置打开 tcp SSL 端口的策略即可。除了对 web 和 email 等应用的支持外，NetScreen SA 对非 web 的许多客户端/服务器应用也提供很好的支持，所以采用 NetScreen SA 系列的远程接入产品实施 SSL VPN 来实现远程接入被许多国际著名企业（如花旗银行、德意志

8、银行）采用。对贵公司来说，最常用的应用包括 Outlook 等系列软件，NetScreen IVE 虽然将这些应用转化为 SSL 标准数据流，但并不影响这些应用，例如，文件仍然可以下载到本地。对于绝大多数的 C/S 应用，例如 Passive模式 FTP、贵公司独立开发的 TCP 特殊应用、数据库远程连接等，NetScreen SA 是透明支持的。对于许多常用的 C/S 应用，如 Telnet/SSH 和 Citrix 等，NetScreen SA 都已经将这些Juniper SSL VPN 远程安全接入技术方案蓝爵科技第 5 页共 11 页应用的支持固化在核心 WEB 应用

9、当中，用户无需再定义可直接使用。 NetScreen 支持广泛的文件共享，Unix 和 Windows，并且支持中文共享。对于特殊的应用，特别是那些需要更底层通讯功能的协议，NetScreen SA 还提供了Network Connect 功能，相当于三层的通道，适用于几乎所有的 IP 层协议应用。例如 Active模式的 FTP，流媒体应用等。中心点按照我们的建议已经放置了支持 IPSec VPN 的防火墙，可以建立到分支点出口防火墙的 VPN，以及 PC 拨号 Dialup VPN。 NetScreen SA 设备支持 HA 功能。配合流量负载设备， NetScreen SA

10、支持 active-active的 HA 方式，不仅可以实现备份功能，更可以扩大容量，实现流量分担。同时，NetScreen-SA 系列的远程接入产品可以强制对远程用户的安装防火墙及防病毒软件做出要求。NetScreen IVE 系统与当前市场上流行的个人防火墙、防病毒软件做最紧密的结合，如 Sygate Enforcement API、Sygate Security Agent、Zone Labs: ZoneAlarm Pro and Zone Labs Integrity、McAfee Desktop Firewall、InfoExpress CyberGatekeeper Agent等

11、，用户只需要用鼠标选择一些选项便可完成。而且用户还可以自行定义强制检查其它的运行程序或 windows 注册表项目。 NetScreen SA 系列的远程接入产品获得的奖项包括PC 杂志的 2003 年最佳网络奖，网络世界SSL VPN 网关评测中获得评分最高的世界级产品奖，和网络计算杂志的编辑选择奖。 IVE 系统的设计和开发被安全保障公司和顾问 TruSecure 所审查和验证，TruSecure 是世界级 Internet 互联安全保障解决方案的领先者，为 NetScreen IVE 硬件系统发布了一个安全保障声明。Dan Farmer，令人尊重的安全顾问和 SATAN（Secuir

12、ty Administrator Tool for Analyzing Networks）的作者，以及 Cryptography Research，SSL 3.0 的设计者之一，也对 NetScreen IVE 系统进行了审查和验证。 2.1 2.1 系统特性系统特性为了从根本上简化安全远程访问，NetScreen 的 IVE 系统按以下目标进行架构和设计：运行平台必须抵御针对安全、设备与系统软件集成方面的攻击。为了满足该目标，系统被固化，核心层对流量进行数据包级过滤。运行平台必须抵御针对机密性和所有通过 IVE 系统的数据集成方面的攻击。为了满足该目标，系统使用 SSL 在本地文件系统上存储加密的信息。 Juniper SSL VPN 远程安全接入技术方案蓝爵科技第 6 页共 11 页系统必须能够通过简单的基于 Web 的管理控制台在几小时内进行实施。为了满足该目标，IVE 系统进行

展开阅读全文