SSL VPN RAP(Remote Access Pass)

SSL VPN  Remote Access Pass

  安全的远程访问解决方案
  介绍

  Remote Access Pass (遥访门系统) 能够实现基于浏览器来安全地访问企业局域网内部的任何一台Windows PC.键盘、鼠标以及显示界面的变化被大比例的压缩并加密后传输。使用宽带的用户能够逼真地得到“身临其境”式的体验,即使通过拨号连接,用户对于它那令人赞叹的优异性能也会感到满意。
  Remote Access Pass (遥访门系统) 包括以下功能:
  远程控制:
基于任何一个浏览器都可以运行自适应程序,通过它就能够交互访问企业内网中的桌面应用(哪怕这个应用不是基于WEB的)。
  文件传输:在计算机之间快速地传输文件、文件夹和共享目录资源,而且非常简便易用。上传下载文件速度等同于FTP。
  远程开机:用户可以远程唤醒位于企业内网中自己的主机。
  Java JSP:动态运行在任何远程终端上的JVM网页。
  Java Applet:能够运行在任何远程终端上的遥控访问连接,远程用户端支持几乎所有的操作系统,包括Windows、Mac或者Unix PC.
  Remote Access Pass (遥访门系统) 的整体结构由以下五部分组成:
  企业内网主机:
处于内网中的目标机控制权属于用户自己,由已被授权的用户注册目标计算机。在注册过程中,将由遥访门基于RSA算法产生证书给目标计算机,连同目标计算机的私钥存于目标计算机中,以认证目标计算机和用户的所属关系及建立SSL安全通道。
  远程终端:在用户端,工作人员需要打开浏览器,访问企业的公共IP地址,输入用户名和密码,然后点击所要连接的目标主机名。远程用户端会自动向App模块发出一个基于SSL协议的加密请求。
  App模块:侦听外来的连接请求,并把他们映射给注册的目标机。
  通过远程浏览器动态运行JSP与该模块中的Java servlet的对应交互, 实现认证及文件的传输。 同时,当一个远程遥控连接完成,App会分配一个session任务给Relay.此时,远程终端的Java Applet程序自动装载运行,任何一个细小或简短的事件都会被精确地执行。
  Relay中继:负责在远程终端和内网主机之间传送高压缩比的加密数据包。
  Admin系统管理平台:可以使企业管理员轻松地完成增减用户,设定帐号临时失效或有效,删除目标主机等工作。
  任何一个企业最关心的都是如何保持企业网络的完整性和敏感数据的机密性。基于Internet来向移动工作者扩展企业的网络应用时,安全是最关键的要素。
  Remote Access Pass (遥访门系统) 正是基于密钥安全措施来得以建立和发展的,正如本文所描述的那样。
  彻底的安全性

  Helm Systems提供的Remote Access Pass遥访门系统是一个非常强大、坚固和安全的系统。
  安全的设备
  Remote Access Pass (遥访门系统) 作为硬件工作设备,对于未授权的普通人员是无法对其进行控制和管理的,甚至它连显示屏幕都没有提供。只有企业的系统管理员才能够通过登录来对其进行管理设置,而且所有的操作都是非常简单和容易的。
  安全的应用平台
  Remote Access Pass遥访门系统运行在坚固的、高品质的、可靠的Linux应用平台之上。所有的遥访门系统都通过了突破测试,它们时刻监察着任何可疑的行为并做出详细的系统记录。
  可靠的、伸缩性的系统结构
  整个系统结构设计是可靠而又安全的,支持集群及冗余功能保证了系统的高实用性和伸缩性。
  大量的图像压缩和加/解密工作分布在远程终端和内网主机上,而遥访门系统的核心模块则主要负责在连接之初对用户和微机双方的身份进行验证、在远程终端和内网主机建立连接后的交互会话过程中,不断对双方身份的真实性进行再次验证以及抵御外界的非法侵入。这样就非常有效地解决了常见的网络瓶颈问题,而使系统能够得到最佳性能。
  保护用户的机密
  Helm Systems知道,任何一个企业对于网络建设最关心的是安全性。Remote Access Pass (遥访门系统)提供强大的安全保密策略来保证个人用户或企业的信息不被泄露。
  访问用户信息企业的系统管理员是唯一能够管理控制Remote Access Pass (遥访门系统) 的人,当然,这是在被允许的受限范围内。为了进行更好地技术服务,他们要进行一些大家都知道的必需的基本工作。
  Remote Access Pass (遥访门系统) 的session记录将被企业用来进一步提高网络服务的质量和进行性能分析。遥访门系统记录了交互通讯中的域名、浏览器和MIME类型。当然,这些数据是集中体现和记录的,它不会同任何的个人或企业帐号发生关联。
  确保传输的保密性
  使用Remote Access Pass (遥访门系统),系统管理员能够访问到企业内帐号的使用摘要,而不会访问到某个用户的远程联接中去。事实上,尽管Remote Access Pass (遥访门系统) 的Relay中继承担着远程终端与内网主机之间的交互传输工作,但这些信息包都是加密传输的,任何人都无法破解传输信息。除了使用者之外谁也无法拥有产生密钥的计算机遥控密码,因此每个人建立的session活动都不会受到任何的安全威胁。
  安全的管理策略
  Remote Access Pass (遥访门系统) 为企业的系统管理员提供一个安全的系统管理平台,通过它可以控制管理那些合法职员的访问和阻止未授权人员的连接。
  安全的操作界面
  在线的系统管理平台无须安装任何客户端软件,只需通过一台内网计算机采用浏览器就能实现管理。一旦企业安装部署了Remote Access Pass (遥访门系统) ,该企业的系统管理员会收到详细的使用说明。
  Remote Access Pass (遥访门系统) 基于X.509数字签名体系进行验证,管理员身份还需通过用户名/密码的再次认证。建立连接后,所有的传输管理都是基于加密的SSL协议来进行,以此保护企业和个人机密不被泄露和修改。
  添加新用户
  只有系统管理员是唯一被授权可添加新用户的人,管理员通过系统管理平台可以轻松地进行增加用户的操作。系统会向每个新用户发送邮件,邮件信息中包含了暂时的随意密码。之后,用户自行更改密码。
  该密码通过MD5等一系列不可逆算法变换成新的大数密码存入数据库,以便认证。这种方式非常适合企业进行大范围的网络部署,而又保持了严谨的企业认证管理。
  停用和删除用户帐号系统管理平台还可被用来检查个人或群组的活动状态,可以临时地停用或永久地删除用户帐号。对于受到影响的用户,系统会自动向他们发送邮件来说明帐号被停用或删除的信息。在其后,这些帐号的用户,他们的访问要求都会遭到拒绝。
  安全的安装服务
  Remote Access Pass (遥访门系统) 的软件安装和升级程序都是从企业安全的角度来考虑和设计的。
  数字签名的应用软件
  在内网中的用户通过“注册计算机”操作来进行主机服务程序的自动下载。在注册过程中,将由遥访门基于RSA算法产生证书给目标计算机,连同目标计算机的私钥存于目标计算机中,以认证目标计算机和用户的所属关系及建立SSL安全通道。内网主机的注册程序是必须的,而客户端则不需要安装任何软件。
  所有Remote Access Pass (遥访门系统) 的应用程序都是经数字签名的,而且它们会保持自动更新和升级。所有的安装和升级过程都要经过签名验证,这是为了防止那些伪装成合法Remote Access Pass (遥访门系统) 软件的“特洛伊木马”程序。
  在客户端没有任何安全参数的设定,系统只验证用户的登录名、帐号密码和计算机遥控密码。此举是为了防止用户发生错误的参数设置,因此,每个用户都要安全地保护自己的密码。
  防火墙的兼容性
  Remote Access Pass (遥访门系统) 具备防火墙友好性。它仅利用HTTP/TCP的80、443端口实现访问。因为大多数的防火墙都是开放了这些端口与互联网进行通讯。使用遥访门系统进行远程访问,您就不需要设置旁路访问或对总公司、分公司、远程办公场所的防火墙设置进行任何改变。
  许多其他的解决方案都要求目标主机具有公用的IP地址。而Remote Access Pass遥访门系统则不同,内网主机会以固定的时间间隔,向App模块不断发送“Upcall”命令以检查连接请求。这就使得遥访门系统同各种应用代理的防火墙、动态IP、NAT/PAT设置完全兼容。因此,企业能够非常容易和简单得对Remote Access Pass(遥访门系统)进行控制管理。
  保护计算机访问
  企业内网中的目标主机必须进行遥访门系统注册才能够建立远程连接。注册程序必须在目标主机前物理地进行,它不支持远程部署,这样也防止了“安置”特洛伊程序的可能。
  只有已被授权的用户才能对自己的微机进行注册。作为计算机的拥有者,他必须以授权的用户名、临时密码登录,然后开始进行自身微机的管理工作,包括注册目标主机、修改临时密码和建立计算机遥控密码。
  保护机密数据
  Remote Access Pass (遥访门系统) 将数据形成高压缩比的加密包来传输,它能保证数据的安全性而并不以牺牲性能为代价。所有在客户端和目标机之间的传输应用,例如屏幕图象、文件传输、键盘/鼠标输入等,都是基于安全的SSL协议的加密保护。
  当每一次合法联接最初建立之时,遥访门系统会为其分配一个一次性的随机32位数。通过这个随机数系统可以确定当前连接的唯一性,这样就防止了黑客采用重放技术进行攻击或加入合法连接的可能。
  对于第三方攻击者来说,加密的二进制数据使得通过传输分析来修改信息包或猜测加密密钥的工作变得极度困难。
  受严格验证保护的访问
  Remote Access Pass (遥访门系统) 的机密性是建立在严格的、强大的验证基础之上的。Remote Access Pass (遥访门系统) 的每部分,包括App模块、Admin管理平台、Relay中继、远程终端和内网主机都会得到同样严格地验证,只有验证通过才能够加入到安全的企业资源中来。
  长串组合的复杂密码Remote Access Pass遥访门系统要求每个被设定的密码可以包含字母和数字,并支持大小写敏感。密码设置的越长、越复杂,就会得到越强壮地保护。
  多级的嵌套密码
  用户在输入登录密码时,遥访门系统采用了密写技术来保护敏感数据,输入的密码都采用了密文显示。
  Remote Access Pass (遥访门系统) 使用多重嵌套密码以保证其安全性。APP模块使用数字签名进行自身验证,对于所有的Java程序和系统软件它都会进行数字签名。远程用户的验证通过基于MD5算法加密的用户名/密码登录来实现。当内网主机向App注册时,将由遥访门基于RSA算法产生证书给目标计算机,连同目标计算机的私钥存于目标计算机中,以认证目标计算机和用户的所属关系及建立SSL安全通道。
  端到端的验证
  当远程终端同内网主机建立连接时,他们同样使用用户二次输入的密码(计算机遥控密码)对保护数据的密钥来进行加密交换, 即使用遥控密码对这个密钥码进行数字签名。达到远程终端和内网主机间数据包的加解密。该密钥保护基于Trib-DES算法的签名信息来进行相互的认证。
  只要用户安全地保护他的密码,那么就只有他本人才能够建立与内网主机的连接。
  休止超时设定
  远程访问者可能会没有Logout就离开了公用的PC或是无人管理的家用PC.Remote Access Pass(遥访门系统)会采用休止状态的超时设定功能以减轻来自这方面的危险。如果用户的Session保持15分钟的休止状态,远程用户帐号将自动从Remote Access Pass (遥访门系统) 退出登录。
  远程终端不留痕迹
  远程终端仅使用浏览器及动态运行Java JVM, 当用户退出该应用或关闭浏览器后, Session将被清除, 在远程终端不会留下任何用户痕迹。
  系统级的访问控制
  Remote Access Pass (遥访门系统) 提供系统级的远程访问控制技术,能够使用户更有效的控制企业局域网中的资源。使用遥访门系统的远程用户输入他的Windows登录密码,而后他就取得了企业为其授权的文件级、拥有者和域级许可权限。换句话说,远程用户并没有另辟奚径来访问企业内部网,他们只能进入到专有的桌面应用,而且是在现有局域网的管理控制之内的。
  为公司提供监控访问
  通过Remote Access Pass (遥访门系统) 的系统管理平台,企业可以记录连接情况和维护session日志,这都是出于安全、统计和审核的目的。
  企业的系统管理员能够查看活动中和历史的session记录。包括用户名、主机名、客户端的IP地址、session的开始/结束时间、session使用时间以及session的类型。
  同样也能够通过遥访门系统的Admin管理平台,来统计各种所需的数据,包括用户数量、session统计、session接入时间等。标准的统计报告可用来进行“非常规访问”模式的分析,包括例外的长时间session、意外的客户端IP地址、异常关闭的代码等。这些信息对于进行故障诊断、排除问题是非常有益处和帮助的。
  系统管理员对于这些信息的访问都是在限制范围之内的,他们只会进行一些必要的基础工作。
  远程内网WEB服务器访问
  总结
  SSL VPN之RAP的作用:
提供安全的远程访问服务并以实际行动来保护用户的机密;不断完善企业级结构的安全和远程访问控制工具;采用多级认证和先进的加密技术来保护交互式的远程session的安全性。其最终结果就是:Remote Access Pass (“遥访门”系统) 是强大的、安全可靠的远程访问解决方案。
   

阅读更多
个人分类: SSL VPN RAP
想对作者说点什么? 我来说一句

思科PPT:Virtual Private Networks

2009年12月18日 1.49MB 下载

ntop安装注册使用指南

2011年01月22日 4.15MB 下载

飞塔VPN最新客户端SslvpnClient4.02

2010年02月03日 431KB 下载

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭