无锡宝界科技
 

 

   自主产品: 安全网关系列 | IPSEC/SSL VPN | 网页防篡改系列 | 内网安全系列
  投资合作: 渠道政策 | 代理合作 | 联盟合作 | OEM合作 | 你有项目我投资 | 我有项目你投资
   
   
 
 
 您所在的位置:首页 > 解决方案 > SSL VPN
解决方案
SSL VPN
  
SSL VPN网络安全方案

 

随着计算机网络的不断普及,以多媒体通信为标志的网络环境已将成为我们赖以工作、生活甚至生存的基本“生态环境”。当前,企业客户不仅有上网及专线互连的传统需求,通过技术手段形成虚拟专用网,达到安全网络互通的需求正在迅速增长。无锡天骄科技有限公司作为国内安全领域的专家,利用自身强大的网络资源,技术力量,除了为大客户提供所需的高端安全产品外,还致力于为企业提供各种 VPN解决方案。本方案根据现有VPN各种技术手段的运用,形成VPN的“产品线”,以提供用户不同安全层次、不同应用要求的“虚拟”的专网。

VPN概述

  VPN, Virtual Private Network虚拟私用网,是利用Internet来传输私有信息而形成的逻辑网络,它可为企业级用户提供比专线价格低廉和高安全性的资源共享和互连的服务,具有同私有网络相同的安全性、优先级特性、易管理性和稳定性,可以满足客户对企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,又可将网络连接扩展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。

VPN的用途

■ 远程访问VPNRemote Access VPN

最适用于用户从离散的地点访问固定的网络 资源,如从住所访问办公室内的资源;出差员工从外地旅店存取企业网数据;技术支持人员从客户网络内访问公司的数据库查询调试参数;纳税企业从本企业内接入互联网并通过VPN进入当地税务管理部门进行网上税金缴纳。远程访问VPN可以完全替代以往昂贵的远程拨号接入,并加强了数据安全。

■ 内联网(分支机构联网)VPN

  (Intranet VPN/LAN to LAN/Site to Site/ router-to-router )

最适用将异地的两个或多个局域网或主机相连形成一个内网,主要用于将用户的异地LAN通过互联网上的VPN作为一条虚拟专线连接起来,或是将分支机构与总部连接起来。内联网VPN可以替代目前市场上使用帧中继和ATM等专线构成的专网,显著降低网络建设和运行成本,极大提高了部署和扩展灵活性。

■ 安全平台

将相同工作性质的,离散地理位置的终端设备、局域网内的主机或局域网连接形成一个专网,满足协同工作的要求,如总公司销售部门的LAN与下属单位的销售部门的PC,以及外出销售人员的笔记本之间构成一个安全销售网,共享CRM、文档和IP电话,满足用户动态、业务导向化的组网要求,这是其他方案难以实现的。

■ 替代专线

内联网VPN的简化版,简单地将两个主机相连实现联机、遥控,或一个主机与一个LAN相连,或替代现有专网的某一条专线成为专网的一部分。

■ 用户认证

利用VPN用户认证机制和VPN的安全性,强化用户认证的安全,如上网计费系统,认证后的数据传输安全不是重点。

■ 网络资源访问控制

VPN用户认证机制和VPN网关对网络访问的调度能力结合起来,根据预定的安全策略给与不同用户不同的资源访问权限,强化网络资源的合理配置和安全性。

二 、基于SSLVPN方案

■ 企业内部运行了的办公自动化软件( OA 系统),在外地的分公司和出差员工利用SSL VPN就可以访问企业的 OA ,并且有足够的安全措施保证数据和系统安全。

■ 文件分发和共享,这是在用户LAN内的重要网络应用,通过SSL VPN,员工可以从外地和合作伙伴的办公地点对LAN内的文件和文件夹进行安全读写,同时必须遵守由管理员制定的权限规则。

■ 企业已将ERP CRM或进销存系统纳入企业的核心作业工具,业务人员和分公司不论身在何处均必须及时将信息反馈到中央数据库,并即时取得业务数据。有了SSL VPN,用户只要可以上网,就可及时安全地访问处于总部内网的数据库服务器。

 

 

 

 

 

 

 

 

.SSL VPN方案优势:远程接入VPN的首选

SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。这就易于安装和配置,明显降低成本

■ 只要安装好SSL VPN,后需的专业服务需求较少,用户没有专业IT支持部门也完全可以使用,所以维护成本可以忽略不计。

SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上,具有穿越防火墙和NAT的能力。这种能力使SSL VPN能够从网络防火墙背后的客户端安全访问处于中心网络内中的服务器资源。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。

■ 支持多种设备,只要此设备提供标准浏览器,如可以上网的手机和PDA通信产品。也适用于大多数操作系统:不管是WindowsMacintoshUNIX还是 Linux,只要运行标准的浏览器,都可以支持SSL VPN对企业内部网站和Web站点进行访问。

■ 良好的安全性:

SSL VPN使用SSL代理为上层应用提供服务,只向用户提供针对授权资源的代理连接,远程用户不会直接连接到企业网络上,因而不会威胁到其他网络资源,提供更高的安全性。

SSL VPN具有划分隧道的功能,即一位用户同时访问Internet和企业内部资源的能力在SSL VPN上是可以控制的。

  SSL VPN还具有精细的访问控制能力,可以为不同的用户提供不同的访问权限。这种精确的访问控制功能是IPSec VPN通常所不具有的。

附录1SSL VPN技术

SSL协议

安全套接层协议(SSLSecurity Socket Layer)是网景(Netscape)公司提出的基于WEB应用的安全协议,如果你使用过hotmail(用户密码保护),使用过网上银行(用户认证和传输数据加密),那你已经对它有所了解,它是一种鉴证和保密机制,特别针对网络电子商务而开发。

SSL 它运行在OSI模式的第四层(传输层),在TCP/IPHTTPFTP等之间。SSL协议主要包含两类子协议——SSL握手协议和SSL记录协议,握手协议负责协商约定服务器和客户端间联系的协议版本、服务器认证方式、客户端认证方式(可选)以及用于数据加密和认证的共享密钥。SSL记录协议要将传输的数据流转换成加密数据块,形成“隧道”,并实施认证和完整性检验,使用的是SSL握手协议产生的密钥。

SSL协议与应用层协议独立无关的,高层的应用层协议(例如:HTTPFTPTELNET)可以建立于SSL协议之上,由于SSL协议在应用层协议通信之前完成加密算法、通信密钥的协商及服务器认证工作,从而保证在其上的应用层协议所传送的数据都会被加密,从而保证通信的安全性,包括:数据的加密;数据的完整性检验,提供检验机制对传输的加密数据进行校验,保证数据在传输过程中没有被篡改过;端点的安全验证,提供检验机制对SSL协议的服务器和客户端进行认证,保证使用者的拥用正确身份。

同时,SSL协议运行在传输层,只对通信双方所进行的应用通道进行加密,而不是对从一个主机到另一主机的整个通道进行加密(网络层)。在使用SSL协议的通信中,每一个应用是一个安全的独立体。利用SSL协议进行VPN通信,进行通信的应用必须能够支持SSL技术,常见应用,IENetscape浏览器,OutLook Eudora邮件等一般都可直接运用SSL协议。

附录2SSL VPNIPSec VPN的联系与区别  

IPSec的英文全名为“Internet Protocol Security”,中文名为因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCPUDP SNMPHTTPPOPAIMKaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。

1. IPSec的主要不足
1)安全性能高,但通信性能较低
   因为IPSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分,IPSec不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比SSL VPN好,但整体通信性能却因安全性受到了影响,不过安全性方面始终高于性能的,这也是目前IPSec VPN仍为主流的原因之一。

2)需要客户端软件
    IPSec VPN中需要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中,这就可能带来了与其他系统软件之间兼容性问题的风险,例如木马程序所带来的安全性风险,特别是在这些客户端软件是从网站上下载,而且不是经过专门的IT人员安装的情况下。解决IPSec协议的这一兼容性问题目前还缺乏一致的标准,几乎所有的IPSec客户端软件都是专有的,不能与其它兼容。在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通信双方所采用的硬件是相同的,IPSec协议在硬件应用中同样存在着兼容性方面的问题。

并且,IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性,在没有装载IPSec客户端系统的远程用户中用户不能与网络进行VPN连接。

3)安装和维护困难
  IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。

4)实际全面支持的系统比较少
  虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如MacLinuxSolaris 等。

2. 为什么要用SSL,而不用IPSec VPN

虽然目前并不是所有,也不大多数用户采用SSL代理方式进行VPN通信,但是使用SSL VPN的用户数却在不断增加,有些是原来一直采用IPSec VPN的,原因主要有以下几个方面:

1)不需要客户端软件和硬件需求

SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。

2)容易使用,容易支持Web界面

在今天的工厂中,有许多Web浏览器和支持SSLemail客户端,包括WindowsMacintoshLinux/UNIXPDAs,甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的,这样就可以大大节省培训费用。

3)端到端 vs. 端到边缘安全

IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

 
 
 
© 2004--2010 宝界科技有限公司