远程安全接入解决方案 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1. 需求分析

在信息化高度发展的今天, ERP CRM SCM OA VOIP 、视频等应用被越来越多的政府、企事业单位普遍应用,所有的这些应用都离不开一个基本前提:需要一个安全的、可靠的、互联互通的基础网络平台。建立这样的基础网络,传统的做法是采用运营商提供的专线,例如 DDN 、帧中继等,或者早期很多用户采用电话拨号的方式。一些对网络质量要求高的行业,例如金融、能源、铁路、政府等,他们对网络的可靠性、安全性有非常高的要求,一直以来都是采用物理专线的方式来连接地处不同位置的办公室、分支机构、移动用户以及合作伙伴。但对于大部分企事业单位、政府机构来讲,无论是在建设成本、网络安全性、带宽可控性还是后期维护上,要建立一个物理专网都是比较困难的。而利用拨号的方式对企业进行联网,不仅速度慢、稳定性 / 安全性差,而且费用很大、程度不可控,这种方式在企业及政府联网中已经基本被淘汰。

随着 Internet 的迅猛发展及 ××× 技术的出现,为企事业、政府单位信息化应用提供了良机和更好的选择。 ××× Virtual Private Network ,虚拟专用网)是利用公共网络资源来构建的虚拟专用网络,它是通过特殊设计的硬件或软件直接在公开网络中通过隧道、加密技术来保证用户数据的安全性,提供与专用网络一样的安全和功能保障,使得整个企业网络在逻辑上成为一个单独的透明内部网络,具有安全性、可靠性和可管理性。

早期的 ××× ,由于需要专业的网络人员、固定 IP 地址、复杂的配置和宽带资源,以及产品的适应性等诸多原因一直难以推广。但是最近几年中国的宽带互联网得到了飞速的发展,尤其是 xDSL 的发展,使互联网迅速普及到了中国的每个角落, ××× 技术和应用也获得了空前的发展。今天 ××× 虚拟专用网已经具有与专线几乎相近的稳定性和安全性。事实上利用 ××× 技术组建企业或行业的“专用网络”,已经成为今天大多数企事业、政府单位的首选解决方案。

2. 解决方案

目前安全接入组网技术有多种,它们所处的协议层次、解决的主要问题都不尽相同,每种技术都有其适用范围和优点,同时也有一定的缺点。主流的 ××× 技术主要有以下三种:

1.L2TP/PPTP ×××

L2TP/PPTP ××× 属于二层 ××× 技术。在 windows 主流的操作系统中都集成的 L2TP/PPTP ××× 拨号客户端软件,因此其无需安装任何客户端软件,部署使用都比较简单;但是由于协议自身的缺陷,没有强度较高的加密和认证手段,安全性较低;同时这种 ××× 技术仅解决了移动用户的 ××× 访问需求,对于 LAN-TO-LAN ××× 应用无法解决;

2.IPSEC ×××

IPSEC ××× 属于三层 ××× 技术,协议定义了完整的安全机制,对用户数据的完整性和私密性都有完善的保护措施;同时工作在网络协议的三层,对应用程序是透明的,能够无缝支持各种 C/S B/S 应用;既能够支持移动用户的 ××× 应用,也能支持 LAN-TO-LAN ××× 组网;组网方式灵活,支持多种网络拓扑结构。其缺点是需要在移动用户的机器上安装单独的客户端软件。

3.SSL ×××

SSL ××× 属于应用层 ××× 技术,协议定义了完整的安全机制,对用户数据的完整性和私密性都有完善的保护;由于在 windows 等操作系统中的 IE 浏览器已经支持了完整的 SSL 协议,因此 B/S 应用是无需安装客户端软件的,部署使用较为简单。主要适用与移动用户接入并访问 B/S 结构的应用系统,对于 C/S 应用只需要安装客户端的插件就可以了。

各种 ××× 技术都有其优点和缺点,而在用户的实际应用中,往往需要将这几种技术进行综合应用,才能满足较为复杂的用户需求。天融信公司将这几种 ××× 技术有机的进行了整合,实现了在一台设备中同时支持上述几种主流的 ××× 组网技术,同时集成了天融信成熟、领先的防火墙和身份认证系统,形成了一个完整的安全接入解决方案。


3. 远程安全接入部署示意
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />2009524192353740.png

4. 部署说明

远程安全接入解决方案的部署主要包括以下几个部分:

1) 安全接入硬件网关:主要用在总部和有固定办公场所的分支机构、合作伙伴等 ,一般来说总部的流量相对比较大,可以根据实际业务需求选择适当的安全接入硬件设备,根据需要可以采用单机、双机、群集的方式来部署,分支机构可以根据业务情况选择性价比合适的安全接入硬件设备。 可以作为安全接入硬件网关的设备有:防火墙 ( ××× 功能 ) UTM( ××× 功能 ) ××× 网关设备 (IPSEC/SSL) 等;
2)××× 客户端软件:为移动办公用户、没有固定场所或者人员少的分支机构 / 合作伙伴提供远程安全接入; 客户端软件分为两类, 一是 IPSEC ××× 客户端软件,二是 SSL 客户端软件,只要有浏览器就可以安全,对于一些 C/S 应用可能需要安插件;

3) 安全认证系统 :主要是对安全接入硬件设备、客户端软件进行身份识别 常见的认证方式有:用户名 / 口令、 CA 证书、 Radius LDAP 、域认证、动态口令卡、手机短信、 U-KEY 、以及以上这些认证方式的任意组合 ( 又称为双因素认证 ) 进行强身份认证;如果需要认证的用户数量少可以利用 网关硬件设备自带的本地认证系统进行认证,需要认证的用户数量多可以利用外置的第三方认证系统 (CA/LDAP/Radius/ 域认证 /U-KEY ) 进行认证;
4) 策略管理器 策略管理器一般是用在大型网络环境中,对所有接入设备进行统一的配置管理 ,包括安全策略制定、分发、备份、管理等,对设备状况、隧道状态、用户状态进行统一监控,还可以多安全设备进行统一认证、审计等,对于一般的小型网络环境可以直接使用安全接入网关硬件设备直接进行策略的统一管理。

 

5. 建设效果

针对远程安全接入问题,本方案通过引入安全认证技术、 ××× 技术、访问控制技术、安全审计技术、安全管理技术等手段,有效满足了用户实际业务的需求,解决了远程安全接入过程中的身份假冒、非法访问、越权访问、信息泄密等威胁,保证了传输数据的完整性、保密性、不可否认性以及可用性,并且性价比好,可以在政府、企事业单位广泛推广使用。