发布时间:2009-09-25
1 SSL VPN技术背景
Internet的高度开放性和松散管理结构也使得企业面临的网络安全问题益发尖锐,成了Internet作为商务网络必须跨越的重大障碍。为此,各种网络安全技术和产品应运而生,VPN及其相关技术经过多年的实践、发展和完善,以其方便性、安全性、标准化等优势脱颖而出,逐步成为实现企业网络跨地域安全互联的主要技术手段。
SSL VPN可以通过特殊的加密通讯协议,在Internet一端的用户和另一端的总部之间建立一条专有的通讯通道,就好比架设了一条专线。与传统VPN解决方案相比较,SSL VPN使用维护简单,不用更改现有网络结构;移动性强,无须安装客户端程序;具有强有力的访问控制能力,可以使移动用户轻松访问公司内部B/S和C/S应用和其他核心资源。
SSL VPN的价值包括许多方面,最主要的是提高访问控制能力,安全易用以及高额的投资回报率。SSL VPN 对访问控制更加有效,因为实施了用户集中化管理;所有的远程访问都是通过SSL VPN 控制台进行控管,这样可以更加有效的监控用户使用权限,这些用户可能是公司内部用户,合作伙伴或客户;所有访问被限制在应用层,而且可以将权限细分到一个URL 或一个文件。
2 高校VPN需求分析
数字化校园已经逐渐成为各个高校的下一个重要关注点,同时各个高校也开始逐步将零散的服务器上收网络中心进行管理和规划,高校IDC机房正在逐步形成。这个时候,应用业务系统的安全性就至关重要,尤其是从校外接入校园内部网络访问应用资源时,必须考虑其安全性问题,VPN作为一种远程安全接入的理想解决方案,就能够派上用场。
综合来看,高校有VPN需求的用户主要有以下几类:
(1)在外出差的校领导通过远程使用学校的业务系统、审批业务
(2)在外出差的师生远程访问学校的图书馆、科研资源
(3)住在校外的教职工,需要访问财务数据库(查询工资/补贴等情况)、OA系统、教学资源数据库
(4)教学评估专家不定时通过VPN访问校内网络,开展教学评估
(5)住在校外的学生,通过VPN访问教学选课系统、下载校内应用资源
(6)有合作关系的兄弟院校,通过VPN访问或下载共享的教学资源库
(7)有多校区的学校,通过IPsec VPN实现财务网络互联,确保财务数据传输安全
考虑用户群体的多样性和差异性,他们对VPN的需求也比较多样化,总结起来有这么几点:
(1)对性能有比较高的要求,普通高校一般要求并发用户在200人以上,一些重点院校会要求要求支持2000-3000个并发用户
(2)部署、配置都比较简单,无论何时何地,只要能够接入网络,就能够方便接入
(3)能够对用户实现精细化的控制,如哪些用户(或帐号)能够访问哪些资源
(4)能够和现有的帐号管理系统(如RG-SAM/LDAP)实现对接,避免多套帐号带来管理问题
(5)能够广泛支持各种应用(C/S、B/S等)类型
(6)能够进行日志记录和审计,知道哪些用户什么时间登陆,去访问哪些服务器
3 SSL VPN助力高校数字化校园网络
针对高校用户的VPN需求,SSL VPN是理想选择,为什么呢?
首先,PPTP和L2TP VPN满足不了需求,原因是:
(1)PPTP和L2TP的性能无法满足高教用户的需求
(2)L2TP不能提供数据加密措施
(3)PPTP、L2TP都工作在数据链路层,无法对应用层进行有效管理和控制,从而无法基于用户提供精细化的管理和应用控制
在IPsec VPN和SSL VPN中,SSL VPN具有明显的优势,对比情况如下:
|
比较项目 |
SSL VPN |
IPsec VPN |
|
应用场合 |
Client to Site |
Site to Site |
|
适用应用 |
Web应用支持良好,C/S应用采用Java、ActivcX等技术 |
各种IP应用 |
|
VPN部署 |
免客户端、应用简单、管理容易 |
装客户端、配置复杂、管理难度大 |
|
VPN投资 |
经济实惠,省去了客户端的费用和部署管理费用 |
每个分支机构都需要购置网关 |
|
每个用户都配置客户端 |
||
|
安全性 |
不存在明显的安全漏洞 |
VPN隧道容易被黑客利用,内网黑客通过VPN隧道访问企业内部系统 |
|
接入范围 |
范围广泛,远程接入方式灵活多样 |
接入范围狭窄,客户端限制了用户群 |
|
组网结构 |
组网灵活,可以透明部署或者旁路部署 |
组网不灵活,存在防火墙穿越/NAT穿越等问题 |
|
访问控制 |
容易提供细粒度远程访问 |
很难建立基于应用的访问控制机制 |
|
客户端安全控制 |
具备客户端安全模块,可以对客户端的安全性进行检测 |
客户端很容易被黑客利用,内网黑客通过VPN隧道访问企业内部系统 |
近几年来,SSL VPN伴随着网络信息化的高速建设得到了迅猛发展,是高校用户日益增长的VPN需求的理想技术选择。在如下的网络拓扑中,SSL VPN安全网关可以旁路部署在校园核心网络中,远程访问校内应用服务器群的用户,首先拨入到SSL VPN网关上,网关去查询RG-SAM服务器上是否有这个帐户。如果有,则建立隧道成功;如果没有这个帐户,则会拒绝SSL VPN连接请求。
4 简单,是带给高教客户的全部价值
RG-WALL V新一代安全网关,RG-WALL V系列安全网关是集成了VPN、防火墙、入侵防御和流量控制技术的软硬件一体化专用安全设备,该系列产品以“高安全”、“强适应”、“高可靠”、“易兼容”和“易管理”为核心设计理念,将高度安全机制、智能联动应用系统、高稳定可靠和灵活方便的管理有机地融合为一体,有效地实现了“主/被动安全防御”的完美结合。
简单,是RG-WALL V新一代安全网关的性格,也是它带给客户的全部价值。
(1)简单的控制
可以简单实现访问内网的同时禁止访问外网,访问外网的同时禁止访问内网;
可以将用户身份和PC的硬件信息对应起来,轻松实现人机捆绑;
可以根据不同用户类型进行分组,对不同的用户开放不同的用户资源;
可以检查当前主机的安全情况,包括系统补丁和防病毒软件的检查;
对安全级别高的用户或资源,可以要求用户必须使用USB key才能登陆;
(2)简单的投资
一台网关即可实现,经济实惠,省去了分支机构购买VPN网关、客户端、USB Key的费用,以及部署管理费用
(3)简单的部署
免客户端,省去客户端分发和部署的麻烦;可以旁路部署,管理容易,只要把网关老师把VPN网关管理好就可以了
(4)简单的接入
无论是通过ADSL、PPPoE、WLAN卡、PCMCIA卡、GPRS卡、CDMA卡;无论是静态地址,还是DHCP分配;无论是在家,还是在酒店…… 总之,无论身在何处,无论什么时间,只要能接入互联网,就能够安全的访问学校应用资源。
(5)简单的组网
可以旁路部署,不对现有的网络结构产生任何影响。不存在传统IPsec VPN存在的防火墙穿越/NAT穿越等问题
(6)简单的兼容
能够简单实现与RG-SAM2.0/3.0的账号对接,方便客户实现对用户的统一身份认证;能够简单实现与LDAP服务器的对接,方便客户实现对用户的统一账号管理。
目前,锐捷网络的SSL VPN产品已经在中国科学院空间科学与应用研究中心、西北农林科技大学、厦门国贸集团等高端客户中广泛使用。此次,敏锐把握高校迅速增长的远程移动安全接入需求、以简单为性格、能够与RG-SAM/LDAP等系统实现帐户对接的高性能SSL VPN产品,势必将为高校的数字化校园建设增添动力
文档评价
