需求概述
随着企业信息化建设的发展和通讯技术的进步,越来越多的人选择远程办公/移动办公的方式来访问企业内部信息应用。在运用VPN技术进行远程接入的选择上,又存在IPSec VPN和SSL VPN两种方式。
IPSec VPN能够提供基于互联网的加密隧道,满足所有基于TCP/IP网络的应用需要。主要用于两个局域网之间建立的安全连接,但在远程移动办公等桌面应用上,需要安装特定的客户端才能够实现。
SSL VPN的优势在于Web应用访问的安全性和易用性。通过SSL协议自身的安全特性进行信息传输,并且客户端无需任何安装和配置即可方便应用。同时基于SSL的特性,使得这种方式很容易和企业已有的CA等安全基础设施进行结合。
但SSL VPN并不能取代IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN更多应用在Web的远程安全接入方面;而IPSec VPN它不局限于Web应用,而是构建了一个虚拟专用网络,功能和应用的扩展性更强。
为了便于用户在远程移动办公时,既能很好使用SSL VPN的便捷和安全性,同时又能利用IPSec VPN协议支持全面的特性,时代亿信公司推出了IPSec/SSL 结合的移动办公安全接入设备――SecureVPN。该系列产品最大的特点是在同一台设备实现了IPSec和SSL 两套主流VPN技术的完美结合。用户可以根据企业自身信息系统的特点和要求,按需进行配置,实现量身定制的VPN系统。
某企业SecureVPN应用分析
在外出差或在家办公时,进行远程移动办公,实现目的:
1.领导可随时登陆OA系统,及时处理待办事务。
2.员工可随时登录企业内部邮件系统,及时收发邮件。
3.系统维护人员能够通过Windows终端登录方式,连接到OA服务器,查看运行状况。
4.用户身份认证采用USB-KEY方式。
实施拓扑图如下:
实施效果:
1.对于基于WEB方式访问的OA系统,用户可以通过宽带、GPRS、CDMA、拨号等连接,以SSLVPN的接入方式进行远程安全访问。
2.对于内部邮件服务器,可以通过WEB方式、或采用Outlook/Foxmail等客户端工具进行SSLVPN接入方式的安全访问。
3.对于系统维护人员,可以采用IPSec方式接入内部局域网,并通过Windows终端连接到服务器,进行操作。
4.用户身份认证利用基于CA证书的USB-KEY双因素认证方式。
SecureVPN技术优势
两种VPN模式的结合体
兼容SSL VPN和IPSec VPN的优点,将两种模式VPN有机的结合在一起。可根据用户访问权限采用不同的VPN模式,并能自动进行切换。
降低总保有成本(TCO)
降低支持开销;消除客户机系统的日程维护;减轻管理负担;无需修改网络资源、远程设备或网络体系结构;
易于安装使用
快速完成安装;提供直观熟悉的浏览器界面;
客户端无须用户安装
基于SSL模式,直接使用浏览器即可,采用IPSec模式,通过服务器”推”技术,自动完成客户端的VPN配置,无须用户参与安装。
支持多种身份认证技术
支持动态令牌认证、数字证书认证、智能卡认证,以及最基本的用户名口令认证
集群技术
可对多台SecureVPN进行堆叠,增加系统的负载能力
可靠性
可支持耦合服务器对(在线服务器与备用服务器)之间整个状态的热故障切换,不会导致任何的会话中断或终止;
可用性
基于web的远程访问适用于所有ISP连接;在其它防火墙背后也可正常运行;完全运行在HTTP(安全应用层互联网协议)之上。
方案对比
对远程移动办公采用的各种方案进行对比:
IPSec VPN:
优点:支持全部TCP/IP协议;对局域网互联支持性好。
不足:必须安装客户端软件,需要配置;优势会有防火墙穿透的网络问题;接入用户权限控制不足。
SSL VPN:
优点:使用方便,无须用户安装;能够对应用层进行访问控制。
不足:SSL VPN不能连接多个局域网,同时,对非WEB方式的应用支持不足。
SecureVPN:
优点:综合IPSec VPN和SSL VPN在远程接入方面的优点;无需用户安装;支持多种协议;支持多种认证方式;并能够和用户既有CA等基础设施方便结合;模块灵活配置,很高的扩展性。
不足:主要面向远程移动办公接入,无局域网互联功能。(
