一、 需求简述
广西电网公司目前已经拥有了OA办公系统,及企业内部邮件和内部网站等应用系统 ,内部网使用100M光纤接入互联网。现有100个公司内部用户因业务特点,需要从公司外利用互联网接入公司内部网络访问上述应用系统服务,实现移动办公。
针对此次广西电网公司既要满足众多移动用户能方便快捷地接入公司网络的互连需求,又要保证数据在互联网传输以及用户直接从互联网接入的安全问题。广西电网公司决定采用SSL VPN来解决。
同时广西电网公司结合自身实际SSL VPN的需求分析,考虑到SSL VPN接入系统主要解决广西电网公司工作人员能方便、快捷地在各地通过Internet接入公司内部OA、邮件、网站等系统实现移动办公而提出的。因而针对方便、安全、稳定、多种系统的支持等要求,广西电网对所选SSL VPN设备提出以下几点要求:
1、 方便性,无需安装客户端软件
移动用户数量众多、使用场所和上网方式也各不相同。随着公司的发展,甚至可能是广西电网公司以外的用户。因此VPN设备必须能实现免客户端的接入方式。
当接入众多的用户后,也要能够对接入用户进行方便、统一、有效的治理和维护,避免总部治理员工作量因此而增加。
2、 安全性,保证传输和接入安全以及接入之后的权限
数据通过高强度的加密算法进行底层传输,要确保数据传输具备防窃听,防窜改特性;要有安全可靠的身份认证机制保证接入用户的合法性。同时, VPN系统还必须具备权限治理功能,能根据不同的用户、设置不同的内网访问权限。
3、 容量、性能和稳定性
移动用户的数量众多,加之繁忙期间大量用户同时在线操作,必须要求VPN设备能够长期稳定、高效的运行,不影响业务的正常进展。故对VPN设备的容量、性能和稳定性提出更高的挑战。
4、 扩展性和兼容性
随着业务的持续发展和深化,用户覆盖范围也越来越广,数量将不断增加。同时技术的进步可能使网络环境向更优良的方案改进。因此要求VPN设备必须有很方便的扩展接口和充足的扩展空间,并严格执行行业标准,获取最好的兼容性。
5、 对C/S系统的支持
随着SSL VPN承载的应用系统增加,结构复杂,有可能某项应用会使用C/S结构来实现(比如目前的内部邮件)。这就要求SSL设备除了能支持WEB应用,最好还能对C/S应用全面支持。以免出现要重复采购的尴尬局面。
二、 方案建议
广西电网公司采用100M光纤接入互联网,带宽100M。OA、邮件、内部网站服务器可放置于DMZ区域或局域网内。SSL接入用户将达到100个。
结合在广西电网公司以上需求,深信服科技作为国内领先的VPN及网络安全研发厂商推荐广西电网选用SINFOR M5400-S VPN/防火墙网关的解决方案,最终得到广西电网公司的一致认可和高度评价。
网络方案
广西电网公司总部内部网络SINFOR M5400-S部署图如下:
三、 实现效果和技术特点
1、 迅速拥有高效稳定的SSL VPN平台,用户只需使用浏览器即可接入
方便是Sinfor SSL VPN的一大特点。广泛的兼容性使其可以很方便的部署于网络的任何位置。而简单明了又兼备完整逻辑思路的操作系统可以让治理员迅速把握,从而方便的配置出满足自身需求的个性化配置方案。
用户使用浏览器访问广西电网公司网站,即可方便地建立SSL VPN链接,进而使用内部各个办公系统系统。在客户端不需要安装任何应用软件,不需做任何配置。
2、 各种基于TCP的应用系统均可利用Sinfor SSL VPN平台互联实现移动办公
广泛的应用支持是Sinfor SSL VPN的另一特色。其他SSL设备简单地将HTTP和HTTPS做协议转换和代理是无法支持所有WEB应用的(详见要害技术说明)。深信服公司的Html智能重构技术使基于WEB应用的每一项功能都可以实现。而应用转换技术和基于java的Sinfor PRoxy端口代理技术使FTP、SSH、Telnet、POP3、文件共享、Outlook、SQL、SYBASE、Oracle、CITRIX、Terminal Service、Lotus NOTES等等基于TCP协议的各种应用。
3、 用户接入的安全认证、CA证书认证和认证重定向
Sinfor SSL VPN具备用户认证重定向功能,能与第三方认证有效集成。可以从微软域服务器的Active Directory或LDAP服务器中直接导入用户数据,能和第3方的LDAP认证服务器或RADIUS认证服务器有效集成。这样一个组织机构就可以保持一套认证体系,简化了部署过程,避免多套认证体系带来的更多维护成本和更多安全风险。同时具备功能完善的本地用户数据库。
SINFOR SSL VPN支持导入第三方CA证书验证。同时自身还内置了一个CA中心,可以减少中小企业构建CA安全认证体系的成本。通过该CA中心,治理员可以给每个远程接入用户颁发证书,用来认证每个接入用户的身份。
4、 接入后的用户受控于更细致的访问控制粒度
SINFOR SSL VPN对每个用户的访问控制粒度精确到了URL级别。根据组织的构架,用户可以分组治理,而授权粒度则可以按照角色进行治理,可以为每个用户或每个组分配一个或多个角色。比如可以为某用户分配经理和财务的双重角色,这样他即可以访问经理的文档数据又可以使用财务系统。通过这种有特色的角色权限分配体系能满足各种现实世界中的权限设置要求。同时SINFOR SSL VPN通过行为跟踪引擎,对每个远程接入用户的所有访问记录都留下了日志记录。
5、 数据传输的安全
SINFOR SSL VPN采用SSL协议加密建立安全的专用通道,使用1024位的非对称密钥进行身份认证过程的加密,使用128位的RC4算法和3DES算法保护数据传输的安全。
6、 集成防火墙,有效保护内部服务
和多数SSL VPN不同,SINFOR SSL VPN集成了高性能的防火墙,对外只开放443端口,能有效保护内部服务器免受来自Internet的各种攻击,包括对开放端口的DOS攻击。
性能、容量、扩展和兼容性
1、 性能和容量
Sinfor M5400-S: 支持3000个并发用户,15000个并发会话。并大量使用高效率的哈希算法查询,使单用户状态和多用户状态的性能差别可以忽略不计,只要网络的物理带宽能够满足应用系统的数据流量,Sinfor SSL VPN不会成为整个系统的性能瓶颈,以出色的性能保证系统的稳定性。
2、 扩展和兼容
只需要更改Sinfor SSL VPN设备的一个序列号就可以完成用户数量的扩充。并且传统的SSLVPN授权购买模式一般是按用户数阶梯购买的,这样只需要30个授权的客户在没有30个授权的设备的情况下就不得不花很多冤枉钱买50个授权设备。而SINFOR SSL VPN提供按需求定制的VPN授权体系,客户可以根据自己的实际需要购买精确的授权数目。
SINFOR SSL VPN严格遵照SSL协议标准,借助于浏览器技术,SINFOR SSL VPN可以支持所有网络环境,只要浏览器能够上网就可以使用SSL VPN。采用Java技术实现对扩展应用的支持,由于Java的跨平台特性,因此Sinfor SSL VPN可以运行于任何支持SSL协议和Java的终端设备上。