廣西電網(wǎng)公司SSL VPN接入系統(tǒng)解決方案

　　一、 需求簡述

　　廣西電網(wǎng)公司目前已經(jīng)擁有了OA辦公系統(tǒng)，及企業(yè)內(nèi)部郵件和內(nèi)部網(wǎng)站等應(yīng)用系統(tǒng) ，內(nèi)部網(wǎng)使用100M光纖接入互聯(lián)網(wǎng)�，F(xiàn)有100個公司內(nèi)部用戶因業(yè)務(wù)特點(diǎn)，需要從公司外利用互聯(lián)網(wǎng)接入公司內(nèi)部網(wǎng)絡(luò)訪問上述應(yīng)用系統(tǒng)服務(wù)，實(shí)現(xiàn)移動辦公。

　　針對此次廣西電網(wǎng)公司既要滿足眾多移動用戶能方便快捷地接入公司網(wǎng)絡(luò)的互連需求，又要保證數(shù)據(jù)在互聯(lián)網(wǎng)傳輸以及用戶直接從互聯(lián)網(wǎng)接入的安全問題。廣西電網(wǎng)公司決定采用SSL VPN來解決。

　　同時廣西電網(wǎng)公司結(jié)合自身實(shí)際SSL VPN的需求分析，考慮到SSL VPN接入系統(tǒng)主要解決廣西電網(wǎng)公司工作人員能方便、快捷地在各地通過Internet接入公司內(nèi)部OA、郵件、網(wǎng)站等系統(tǒng)實(shí)現(xiàn)移動辦公而提出的。因而針對方便、安全、穩(wěn)定、多種系統(tǒng)的支持等要求，廣西電網(wǎng)對所選SSL VPN設(shè)備提出以下幾點(diǎn)要求：

　　1、 方便性，無需安裝客戶端軟件

　　移動用戶數(shù)量眾多、使用場所和上網(wǎng)方式也各不相同。隨著公司的發(fā)展，甚至可能是廣西電網(wǎng)公司以外的用戶。因此VPN設(shè)備必須能實(shí)現(xiàn)免客戶端的接入方式。

　　當(dāng)接入眾多的用戶后，也要能夠?qū)�接入用戶進(jìn)行方便、統(tǒng)一、有效的管理和維護(hù)，避免總部管理員工作量因此而增加。

　　2、 安全性，保證傳輸和接入安全以及接入之后的權(quán)限

　　數(shù)據(jù)通過高強(qiáng)度的加密算法進(jìn)行底層傳輸，要確保數(shù)據(jù)傳輸具備防竊聽，防竄改特性；要有安全可靠的身份認(rèn)證機(jī)制保證接入用戶的合法性。同時， VPN系統(tǒng)還必須具備權(quán)限管理功能，能根據(jù)不同的用戶、設(shè)置不同的內(nèi)網(wǎng)訪問權(quán)限。

　　3、 容量、性能和穩(wěn)定性

　　移動用戶的數(shù)量眾多，加之繁忙期間大量用戶同時在線操作，必須要求VPN設(shè)備能夠長期穩(wěn)定、高效的運(yùn)行，不影響業(yè)務(wù)的正常進(jìn)展。故對VPN設(shè)備的容量、性能和穩(wěn)定性提出更高的挑戰(zhàn)。

　　4、 擴(kuò)展性和兼容性

　　隨著業(yè)務(wù)的持續(xù)發(fā)展和深化，用戶覆蓋范圍也越來越廣，數(shù)量將不斷增加。同時技術(shù)的進(jìn)步可能使網(wǎng)絡(luò)環(huán)境向更優(yōu)良的方案改進(jìn)。因此要求VPN設(shè)備必須有很方便的擴(kuò)展接口和充足的擴(kuò)展空間，并嚴(yán)格執(zhí)行行業(yè)標(biāo)準(zhǔn)，獲取最好的兼容性。

　　5、 對C/S系統(tǒng)的支持

　　隨著SSL VPN承載的應(yīng)用系統(tǒng)增加，結(jié)構(gòu)復(fù)雜，有可能某項(xiàng)應(yīng)用會使用C/S結(jié)構(gòu)來實(shí)現(xiàn)（比如目前的內(nèi)部郵件）。這就要求SSL設(shè)備除了能支持WEB應(yīng)用，最好還能對C/S應(yīng)用全面支持。以免出現(xiàn)要重復(fù)采購的尷尬局面。

　　二、 方案建議

　　廣西電網(wǎng)公司采用100M光纖接入互聯(lián)網(wǎng)，帶寬100M.OA、郵件、內(nèi)部網(wǎng)站服務(wù)器可放置于DMZ區(qū)域或局域網(wǎng)內(nèi)。SSL接入用戶將達(dá)到100個。

　　結(jié)合在廣西電網(wǎng)公司以上需求，深信服科技作為國內(nèi)領(lǐng)先的VPN及網(wǎng)絡(luò)安全研發(fā)廠商推薦廣西電網(wǎng)選用SINFOR M5400-S VPN/防火墻網(wǎng)關(guān)的解決方案，最終得到廣西電網(wǎng)公司的一致認(rèn)可和高度評價。

　　網(wǎng)絡(luò)方案

　　廣西電網(wǎng)公司總部內(nèi)部網(wǎng)絡(luò)SINFOR M5400-S部署圖如下：



　　三、 實(shí)現(xiàn)效果和技術(shù)特點(diǎn)

　　1、 迅速擁有高效穩(wěn)定的SSL VPN平臺，用戶只需使用瀏覽器即可接入

　　方便是Sinfor SSL VPN的一大特點(diǎn)。廣泛的兼容性使其可以很方便的部署于網(wǎng)絡(luò)的任何位置。而簡單明了又兼?zhèn)渫暾�邏輯思路的操作系統(tǒng)可以讓管理員迅速掌握，從而方便的配置出滿足自身需求的個性化配置方案。

　　用戶使用瀏覽器訪問廣西電網(wǎng)公司網(wǎng)站，即可方便地建立SSL VPN鏈接，進(jìn)而使用內(nèi)部各個辦公系統(tǒng)系統(tǒng)。在客戶端不需要安裝任何應(yīng)用軟件，不需做任何配置。

　　2、 各種基于TCP的應(yīng)用系統(tǒng)均可利用Sinfor SSL VPN平臺互聯(lián)實(shí)現(xiàn)移動辦公

　　廣泛的應(yīng)用支持是Sinfor SSL VPN的另一特色。其他SSL設(shè)備簡單地將HTTP和HTTPS做協(xié)議轉(zhuǎn)換和代理是無法支持所有WEB應(yīng)用的（詳見關(guān)鍵技術(shù)說明）。深信服公司的HTML智能重構(gòu)技術(shù)使基于WEB應(yīng)用的每一項(xiàng)功能都可以實(shí)現(xiàn)。而應(yīng)用轉(zhuǎn)換技術(shù)和基于Java的Sinfor Proxy端口代理技術(shù)使FTP、SSH、Telnet、POP3、文件共享、OUTLOOK、SQL、SYBASE、ORACLE、CITRIX、Terminal Service、Lotus NOTES等等基于TCP協(xié)議的各種應(yīng)用。

　　3、 用戶接入的安全認(rèn)證、CA證書認(rèn)證和認(rèn)證重定向

　　Sinfor SSL VPN具備用戶認(rèn)證重定向功能，能與第三方認(rèn)證有效集成�？梢詮奈④浻蚍�務(wù)器的Active Directory或LDAP服務(wù)器中直接導(dǎo)入用戶數(shù)據(jù)，能和第3方的LDAP認(rèn)證服務(wù)器或RADIUS認(rèn)證服務(wù)器有效集成。這樣一個組織機(jī)構(gòu)就可以保持一套認(rèn)證體系，簡化了部署過程，避免多套認(rèn)證體系帶來的更多維護(hù)成本和更多安全風(fēng)險(xiǎn)。同時具備功能完善的本地用戶數(shù)據(jù)庫。

　　SINFOR SSL VPN支持導(dǎo)入第三方CA證書驗(yàn)證。同時自身還內(nèi)置了一個CA中心，可以減少中小企業(yè)構(gòu)建CA安全認(rèn)證體系的成本。通過該CA中心，管理員可以給每個遠(yuǎn)程接入用戶頒發(fā)證書，用來認(rèn)證每個接入用戶的身份。

　　4、 接入后的用戶受控于更細(xì)致的訪問控制粒度

　　SINFOR SSL VPN對每個用戶的訪問控制粒度精確到了URL級別。根據(jù)組織的構(gòu)架，用戶可以分組管理，而授權(quán)粒度則可以按照角色進(jìn)行管理，可以為每個用戶或每個組分配一個或多個角色。比如可以為某用戶分配經(jīng)理和財(cái)務(wù)的雙重角色，這樣他即可以訪問經(jīng)理的文檔數(shù)據(jù)又可以使用財(cái)務(wù)系統(tǒng)。通過這種有特色的角色權(quán)限分配體系能滿足各種現(xiàn)實(shí)世界中的權(quán)限設(shè)置要求。同時SINFOR SSL VPN通過行為跟蹤引擎，對每個遠(yuǎn)程接入用戶的所有訪問記錄都留下了日志記錄。

　　5、 數(shù)據(jù)傳輸?shù)陌踩?br />
　　SINFOR SSL VPN采用SSL協(xié)議加密建立安全的專用通道，使用1024位的非對稱密鑰進(jìn)行身份認(rèn)證過程的加密，使用128位的RC4算法和3DES算法保護(hù)數(shù)據(jù)傳輸?shù)陌踩��?br />
　　6、 集成防火墻，有效保護(hù)內(nèi)部服務(wù)

　　和多數(shù)SSL VPN不同，SINFOR SSL VPN集成了高性能的防火墻，對外只開放443端口，能有效保護(hù)內(nèi)部服務(wù)器免受來自Internet的各種攻擊，包括對開放端口的DOS攻擊。

　　性能、容量、擴(kuò)展和兼容性

　　1、 性能和容量

　　Sinfor M5400-S： 支持3000個并發(fā)用戶，15000個并發(fā)會話。并大量使用高效率的哈希算法查詢，使單用戶狀態(tài)和多用戶狀態(tài)的性能差別可以忽略不計(jì)，只要網(wǎng)絡(luò)的物理帶寬能夠滿足應(yīng)用系統(tǒng)的數(shù)據(jù)流量，Sinfor SSL VPN不會成為整個系統(tǒng)的性能瓶頸，以出色的性能保證系統(tǒng)的穩(wěn)定性。

　　2、 擴(kuò)展和兼容

　　只需要更改Sinfor SSL VPN設(shè)備的一個序列號就可以完成用戶數(shù)量的擴(kuò)充。并且傳統(tǒng)的SSLVPN授權(quán)購買模式一般是按用戶數(shù)階梯購買的，這樣只需要30個授權(quán)的客戶在沒有30個授權(quán)的設(shè)備的情況下就不得不花很多冤枉錢買50個授權(quán)設(shè)備。而SINFOR SSL VPN提供按需求定制的VPN授權(quán)體系，客戶可以根據(jù)自己的實(shí)際需要購買精確的授權(quán)數(shù)目。

　　SINFOR SSL VPN嚴(yán)格遵照SSL協(xié)議標(biāo)準(zhǔn)，借助于瀏覽器技術(shù)，SINFOR SSL VPN可以支持所有網(wǎng)絡(luò)環(huán)境，只要瀏覽器能夠上網(wǎng)就可以使用SSL VPN.采用Java技術(shù)實(shí)現(xiàn)對擴(kuò)展應(yīng)用的支持，由于Java的跨平臺特性，因此Sinfor SSL VPN可以運(yùn)行于任何支持SSL協(xié)議和Java的終端設(shè)備上。