XXX有限公司是一家集技、工、贸于一体的自动化成套公司,拥有多名优秀的技术人员和营销人员。公司下属有自动化成套部、自动化元件部及配套加工厂,专业为客户提供从元件到系统成套方面的综合OEM配套服务。目前设立了无锡分公司、苏州分公司、南通分公司、常州分公司、成都分公司。公司是SMC气动元件和HIWIN产品的指定代理商。
需求分析:
XXX有限公司总部与北京SMC,通过思科路由器实现网关对网关的IPSEC VPN对接, XXX有限公司总部工作人员通过VPN通道,可以在线查询SMC相关产品的资料,但是做为一个有多个分支机构公司,每个分支构也同样需要在线查询SMC相关产品的资料,如果每个分支机构都去安装北京SMC提供的思科路由器(22000人民币),无疑是一笔较大的资金投入,并且原VPN方案,有一定的局限性,不适用于出差的移动客户端,不能任意添加分支机构,同时思科VPN设备每年维护费用,也是一笔较大的开支。
现有网络拓朴结构分析
以上网络架构存在如下问题:
- 移动客户端、分支机构无法共享总部与北京互联的VPN通道,访问北京SMC总部提供的在线产品资料查询系统
- XXX有限公司使用端口映射方式对外发布的任我行管理系统,全部暴露于Internet公网之上,不安全。
- 针对客户端无法做安全策略,无管理手段。
- 无安全审计功能,安全事件发生后,无证可取。
宝界远程接入系统解决方案
- 移动客户端、分支机构电脑通过VPN拨号可以共享总部与北京互联的VPN通道,实现在线查询SMC相关产品的资料。
- 不需要在各分支机构都去安装思科路由器。
- 访问内部WEB网站应用程序,需经过宝界SSL VPN用户认证,非授权用户不可进入。
- 宝界VPN有详细的用户审计日志
- 宝界VPN对客户端与服务端传输过程中数据进行了加密,有效防止了数据侦听
- 任我行web应用程序可以不直接对外发布,杜绝了黑客利用windows的漏洞直接攻击WEB网站应用服务器。
宝界远程接入系统有以下特点
- 提供易于操作的界面,便于使用者迅速上手;
- 对用户端,有浏览器、预装客户端二种方式,灵活方便;
- 在外工作时必须能穿透各种类型网络的Firewall或者Proxy设备;
- 可以实现128位数据加密,保护数据在传输过程中不被窃取;
- 支持客户端证书的认证,并可以和USB Key结合使用,惟一地鉴定每一客户的合法性;
- 支持多种认证方式,提供对客户访问的合法性检查;
- 支持多种授权方式,保护客户的私密数据只能被“正确”的用户访问;
- 支持多层安全控制机制,保护后台服务器的安全性;
- 所有访问操作可以通过浏览器实现,非常方便用户使用;
宝界远程接入系统实现效果
迅速拥有高效稳定的VPN平台,用户只需使用浏览器即可接入方便是VPN的一大特点。广泛的兼容性使其可以很方便的部署于网络的任何位置。而简单明了又兼备完整逻辑思路的操作模式可以让管理员迅速掌握,从而方便地配置出满足自身需求的个性化配置方案。在客户端不需要安装任何应用软件,不需做任何配置,同时也减轻了信息管理中心的工作。 接入后的用户受控于更细致的访问控制粒度。宝界VPN对每个用户的访问控制粒度精确到了URL级别。根据组织的构架,用户可以分组管理,而授权粒度则可以按照角色进行管理,为每个用户或每个组分配一个或多个角色。 数据传输的安全。宝界远程接入系统采用SSL协议加密建立安全的专用通道,使用1024位的非对称密钥进行身份认证过程的加密,使用128位的RC4算法和3DES算法保护数据传输的安全。 对系统运行实时监控和报警,具备完善的日志功能。提供了用户活动日志来跟踪用户行为 
