2006年06月30日

随着移动数据技术的进步和商务模式的发展,选择远程办公的人越来越多。据统计2003年全美就有54%的雇员平时在家时通过远程接入的方式来办公,这个比例在未来的两年内将会上升到80%。而在中国,这种远程接入办公的趋势也同样越来越明显。

过去,大多数公司都是使用传统的IPSec VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决Lan To Lan(网对网)的安全问题而制定的协议,因此在此基础上建立的远程接入方案在面临越来越多的End To Lan(点对网)应用情况下已经力不从心。

首先是客户端配置问题:在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。

其次是IPSec VPN自身安全问题:往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径(深信服科技的IPSec VPN已经比较好的解决了这个问题)。如果仅仅在受控的电脑上,比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题,但如果要让合作伙伴或者客户的电脑接入,就难以控制了。

然后是对网络的支持问题:传统的IPSec VPN在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。

最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,IPSec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。

因此,SSL VPN技术孕育而生。SSL VPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。

但SSL VPN并不能取代IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个局域网之间通过Internet建立的安全连接,保护的是点对点之间的通信,并且,IPSec工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。

一、 SINFOR SSL VPN安全网关简介
为了便于用户既能很好的解决网间互连,又能便捷的实现移动办公应用,深信服科技推出了IPSec/SSL一体化的VPN安全网关——SINFOR SSL VPN硬件网关。该系列产品最大的特点是在一台安全网关里面实现了IPSec和SSL 两套主流VPN技术的完美结合。目前该系列产品有四款产品:M5100-S、M5400-S、M5600-S、M5800-S。

1、IPSec VPN功能

SINFOR SSL VPN安全网关集成了IPSec VPN功能,具备有SINFOR IPSec VPN的全部功能和技术特点,并集成了企业级的状态防火墙,有效保证了企业内网安全。SINFOR SSL VPN安全网关的IPSec VPN功能采用了深信服科技VPN领域的四项发明专利,即:WebAgent动态IP寻址技术,HARDCA硬件认证,多线路绑定的VPN系统,即插即用、随身携带的VPN客户端。

SINFOR SSL VPN安全网关的IPSec VPN功能可以和深信服科技IPSec VPN产品:P5100、S5100、M5100、M5400、M5600、M5800等VPN硬件网关以及DLAN系列软件VPN产品实现互连互通,方便用户根据自身实际环境按需选择产品模块,构建量身定制的VPN网络。

2、SSL VPN功能

SINFOR SSL VPN安全网关使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。由于SSL 协议属于高层安全机制,因而广泛应用于Web 浏览程序和Web 服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议,因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。

SINFOR SSL VPN安全网关内置了CA认证,用户可自建CA中心,也可支持第三方CA认证。除了支持常规的Local DB,LDAP/AD,Radius,Secur ID等认证以外,SINFOR SSL VPN安全网关还支持USB Dkey的双因素身份认证。通过将SSL加密隧道与USB Key认证相结合,结合客户端计算机安全检查功能,SINFOR SSL VPN安全网关为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员,只要通过任何标准Web浏览器,就可以在任何场所、通过任何终端,无需安装任何客户终端软件就可以安全访问公司的任何资源。

由于采用了IPTunel技术,SINFOR SSL VPN安全网关实现了对应用程序的完整支持。包括:文件共享/打印、FTP、Outlook、SQL、Lotus Notes、Sybase、Oracle、Citrix等常用应用程序以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。对于网络维护人员而言,由于SSL 的易用性,无需部署和维护客户端软件,极大降低了企业的管理和维护成本。对于拥有众多的移动员工、远程用户以及合作伙伴的企业用户来说,SINFOR SSL VPN提供了性价比极高的远程接入解决方案,降低了企业的总体拥有成本。

目前针对国内存在的不同运营商之间VPN互连使用时带宽小、延迟大的问题,SINFOR SSL VPN安全网关创新性采用了多线路智能选路的专利技术。该技术结合了深信服科技原有的多线路复用技术(专利之一),在企业的数据中心采用多条上网线路,当VPN客户端在访问总部资源时,SINFOR SSL VPN安全网关会自动检测最优线路,使得使用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高。SINFOR SSL VPN安全网关的多线路智能选路功能,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了企业上网线路的带宽叠加和负载均衡,有效扩大了网络的出口带宽,保证了企业VPN网络的稳定性。

为了避免因SSL 的易用性,客户端的不安全因素通过SSL VPN登陆到企业内部网络而导致的安全问题,SINFOR SSL VPN安全网关集成了对客户端计算机安全性检查的功能。有效防止了不具备相应安全等级的终端用户通过SSL VPN登陆到企业总部带来的安全隐患,保证远程接入的安全性。并且,SINFOR SSL VPN安全网关除了支持多种常规安全认证以外,还增加了基于手机短信的动态身份认证功能。

当前,间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。SINFOR SSL VPN安全网关采用了基于手机短信的动态身份认证系统来消除该隐患。即使用户在登陆SSL VPN时所使用的计算机存在间谍软件、木马等泄密工具,由于无法获得用户每次登陆时通过其手机接受的短信认证码,因而有效防止口令泄漏,保证了用户使用SSL VPN访问总部资源时的安全性。

二、 SINFOR SSL VPN功能介绍
作为新一代的远程接入解决方案,深信服科技推出的IPSec/SSL一体化的SINFOR SSL VPN有以下多种功能和技术特色:

3.1 IPSec/SSL 一体化
传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端,并需要做复杂的配置(SINFOR IPSec VPN采用DKEY方式实现IPSec VPN零配置)。若企业的远程接入和移动办公数量增多,企业的维护成本将会成线性增加。而SSL VPN最大的好处之一就是不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全的接入到内部网络,安全地访问应用程序,无需安装或设定客户端软件,降低了企业的维护成本。因而,SSL在点对网互连方面,其易用性和安全性方面有着突出的优势。

然而,由于SSL VPN只适合点对网的连接,无法实现多个网络之间的安全互连。因而,在企业组建网对网方面,IPSec VPN就有着无可比拟的优势。而在点对网方面,由于IPSec VPN要求每个远程接入的终端都需要安装相应的IPSec客户端并需要配置,因而在易用性和维护成本上远远不如SSL VPN。

SINFOR SSL VPN安全网关结合了IPSec和SSL 两套主流的VPN技术,实现了在一台安全网关设备上稳定高效运行两套VPN系统。利用两者的优势进行互补,避免了单一VPN设备存在的不足。对于企业或者事业单位的分支网络,可以使用IPSec VPN实现安全互连,而对于内部员工、合作伙伴、移动人员可利用SSL VPN的易用性实现安全接入。最大限度地发挥了IPSec /SSL VPN给企业带来的效益,节约了企业大量的管理成本和投入成本。

3.2 多线路技术实现智能选路和负载均衡(专利之一)
目前,大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小,严重影响了VPN的应用效果。作为国内领先的VPN和网络安全研发产商,深信服科技在IPSec VPN 中,创新性地采用了多线路智能选路功能,并成功应用到SINFOR SSL VPN安全网关中。

所谓多线路智能选路技术,即是指在企业数据中心网络的网关位置部署SINFOR SSL VPN安全网关,并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽叠加。当远程的众多VPN客户端在使用不同运营商的上网线路访问总部资源时,SINFOR SSL VPN 网关会自动检测最优线路,使得采用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高,解决了用户在不同运营商网络之间部署VPN网络时存在延迟大、带宽小的瓶颈问题。

若采用其他方案来解决类似问题,则用户往往需要单独购买一个线路负载均衡器,才能实现多线路负载均衡的效果。而SINFOR SSL VPN的多线路技术,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了多条线路的带宽叠加和负载均衡,用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。

SINFOR SSL VPN安全网关的多线路智能选路和负载均衡功能,减少了企业在IT部署的采购投入,降低了企业的总体拥有成本。

3.3 完整支持所有应用系统
目前对于大部分SSL VPN设备而言,所支持的应用类型是有限的,几乎仅限于支持Web等B/S的应用,而无法像IPSec VPN一样支持基于网络层以上的所有应用,因而也限制了SSL VPN的发展。

SINFOR SSL VPN安全网关通过html智能重构技术、应用转换技术和IPTunnel技术,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,包括:网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。并且提供了Web资源、

由于采用了IPTunel技术,SINFOR SSL VPN安全网关实现了对应用程序的完整支持,客户端在打开浏览器的SSL VPN登陆界面时,只需安装一个Active X控件,在客户端的机器上会生成一块专门用于SSL VPN通讯的虚拟网卡,因而SSL 远程登陆用户便可使用所有基于IP网络层以上的应用。若SINFOR SSL VPN在总部网络采用路由模式的部署方式,总部网络还能够实现与远程接入用户的双向访问。这种领先技术的应用,使得SINFOR SSL VPN能够支持任何复杂的各种B/S和C/S的应用。

3.4 客户端安全检查,保证接入安全
在用户通过计算机IE打开SSL 登陆界面时,SINFOR SSL VPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证SINFOR SSL VPN接入安全,避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。

3.5 集成多种认证方式,内置CA中心
SINFOR SSL VPN安全网关采用SSL协议加密建立安全的专用加密通道,除了使用RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN(IPSec和SSL)系统,安全方便。

SINFOR SSL VPN安全网关内置了CA中心,企业或者事业单位可自建CA中心,用户可不必购买单独的CA认证体系,为企业减少了投入成本。同时,SINFOR SSL VPN。

市场上的VPN解决方案有几种,最常用的是VPDN,就是基于拨号的VPN;第二种是VPRN,是基于路由的VPN;第三种是VLL,是基于虚拟专线的VPN;最后一种VPLS是基于局域网仿真的VPN。

该方案特点:
用户网络均采用拨号方式上网(ADSL和电话modem),没有固定的IP地址(包括总部)。传统的VPN设备无法进行互联。本公司提供全动态IP接入环境下的VPN互联方案。

 

方案概述:
1、IP-VPN的联网方式大致有三种:
1、  固定IP与固定IP;

2、  固定IP与动态IP;

3、  动态IP与动态IP。

第一种的联网方式是比较传统的方式,技术上最容易实现,目前的防火墙等设备就可以实现这种功能;第二种VPN联网方式(如:方案一)对于目前大多数专业的VPN厂商也基本能解决;而第三种方式即动态IP与动态IP之间的VPN通讯却成为很多厂商和科研机构望而却步的技术难题,实现及解决大规模的实际应用就更加困难。

本公司作为国内领先的专业VPN厂商,投入了很大的人力、财力,经过一段时间的攻关和研究,最终以“策略服务器”的方式解决了这个难题。

“策略服务器”管理系统由DynamicVPN管理服务器、网络管理员和DynamicVPN网元组成。Dynamic管理服务器由WEB服务器、管理应用服务器、数据库服务器组成。WEB服务器负责以WEB服务的形式对外提供各种管理服务,管理应用服务器完成具体的逻辑与业务处理功能,数据库服务器负责保存DynamicVPN管理所需要的各种数据,它可以是关系数据库和/或LDAP服务器。

本公司的“策略服务器”不但真正解决了全动态的VPN组网方案,还融入了PKI技术,采用基于数字证书的动态IKE进行协商和认证,解决了大规模VPN组网的安全管理和安全认证技术。

2、目前网络的现状
公司总部目前通过ADSL接入Internet,分部和门店通过ADSL或拨号接入Internet,分部及门店需要实时将商业数据上报总部,总部也需要根据反馈的信息实时向分部及门店下发商业调整指令等信息,上述整个流程由一套商业软件系统来完成。

该方案中,建议在总部采用:Sgw25B (支持ADSL接入的硬件安全网关);在有较大LAN的分公司采用Sgw25A(支持ADSL接入的硬件安全网关);在只有少量机器需要互联的地方(如:门店)采用“安全网关客户端软件”(装在局域网网关处的PC上);另外,由于整个系统没有固定IP,所以还要借用本公司托管在电信为全移动IP的VPN客户提供的公共的策略服务器(不需要用户维护,能够确保用户VPN专网的绝对安全。也可以由用户自建,如:放在用户的电信托管机房),该策略服务器主要用于各个局域网边界部署的安全网关以及安全客户端相互交换当时的地址。

每个拨号网关(硬/软件)在接入internet时,首先在策略服务器相应的目录下注册自己当前的IP,并取得同组的各上线网关/客户端的此时IP地址。接下来发起通讯的这一方,就可以根据获得的对端网关的IP地址,建立相应的VPN连接并进行通讯了。

随着社会信息化步伐的临近,各行各业都纷纷结合自身条件加快行业信息化的进程。作为能源基础产业,电力行业的有序发展是关系到国家经济发展的重要因素之一。随着电力行业改革方案的出台和逐步实施,电力行业向市场化运作发展;与此同时,信息化成为了电力行业提升核心竞争力的重要手段。电力行业各部门利用先进的信息管理和网络传播技术可以直接有效地调整企业管理的模式,为社会和公众提供便捷有效、高质量的服务,这也是电力行业建立信息网络的主要原因。
现状与需求
随着电力市场化的深入推行,各级机构之间需要传递的数据量大大增加,对数据的实时性要求也越来越高,在电力系统的骨干网络上主要采用了专线的方式来实现国家-省-市间电力系统的互联互通,但是对于数量巨大的市-县-乡的网络传输需求来说,昂贵的专线方案将给电力系统带来巨大的运营成本,而电话拨号网络又存在着速度慢、容量小、安全性差的弱点,电力行业迫切需要一种可靠、安全、性价比高的网络传输方案。
近年来,VPN以其可以利用公网资源,建立安全、可靠、经济、高效的传输链路的特点引起了人们的广泛注意。在VPN技术的支持下,位于不同地区的电力部门只需分别联入当地的Internet,就可以组成一个高效统一的虚拟专用网络。华盾公司提供的VPN解决方案在传统的VPN技术基础上,针对国内固定IP的匮乏、复杂的Internet接入方式、操作人员技术能力较低等多种不利因素进行了技术和产品上的创新,为电力行业提供了一种高安全、高性能、高稳定性的VPN解决方案。
例如某大型电力集团公司企业业务网络系统的具体架构由集团公司总部公司本部、各电厂、移动远程用户和分布全国各地的办事处分支机构所组成。除远程移动用户之外,各电厂和办事处分支机构均建有规模不等的局域网络,总部集团公司本部局域网络是整个网络系统的核心,同时也是网络管理中心。各电厂、办事处分支机构和移动用户均通过Internet与集团公司本部总部通信。
  但是现有组网方式存在很多的缺陷:
1)访问受到限制
在现有的方式下,集团公司下属的各电厂、办事处和远程移动用户均通过Internet与总部联系,增大了泄露机密数据的可能性,另一方面总部无法和移动用户或办事处及时主动取得联系。另外,IP地址没有统一规划,使访问控制变得复杂,容易造成安全疏漏。
2)缺乏统一规划
某些分支机构和电厂有两个或两个以上的Internet出口,这给外部入侵和内部泄密提供了更多通道,增加了网络的不安全因素。在这种网络环境下需要统一规划这些出口,并对出入访问作充分的安全控制。
3)无法运行内部管理软件
因为总部内网和办事处的内网之间不能互通,一些基于IP的软件不能运行,如无法实施ERP等。
4)增值服务无法实施
由于缺乏保密措施,像视频电视、电话会议、IP电话之类的增值服务在这个网络上无法开展。
基于以上的几个问题,根据某电力集团公司现有的网络状况和业务情况,希望改建之后的网络满足以下需求:
总部集团公司本部和各电厂、分支机构及移动用户之间能够相互访问;
实现VPN网络的分级管理;
保证各节点之间信息传输安全;
支持办公管理信息系统的实施;
支持IP语音业务;
支持视频业务;
网络具有可扩展性;
满足今后集团业务发展的需要。
在公司总部内网安装华盾VPN300作为集团公司本部接入Internet的中心VPN网关,此网关采用双机热备份方式,并为其分配静态的合法IP地址。另在集团公司本部设置管理中心,管理中心同样具有一个静态的合法IP,负责集团公司全网VPN设备的证书管理、策略分发和管理,支持证书和设备的分级管理。
各分支机构和电厂分别安装华盾VPN200作为分支VPN网关实现各分支节点的上网互联。分支网关同样支持双机热备份功能。如果分支节点同时是二级管理节点,则需要在分支机构的局域网安装二级安全管理中心。
在移动用户的机器上安装华盾VPN客户端,实现与VPN网络的互联。

在物流行业的方案中,我们建议在总部安装了两台华盾VPN400/300,以双机热备份方式工作,在管理分公司安装华盾VPN200,并安装一台软件VPN网关做备份,在分公司安装华盾VPN100,在营业部和移动用户安装华盾VPN安全包,实行统一认证,分级管理,构成一个完整的VPN网络。

VPN系统实现数据的安全性

  • 数据传输加
  • 数据完整性验证
  • 信息来源和目标的身份认证
  • VPN系统给物流企业带来的效益

  • 使分支机构和营业部的网络开销减少;
  • 新增的分支机构或营业部可以非常迅速方便地加入企业已建的VPN网络,所以VPN的可扩展性大大优于传统的联网手段;
  • 大幅度削减传输数据的开销,同时可以削减传输语音和视频的开销;
  • 给企业多种应用系统的实施创造了网络条件,可以全面实施企业的OA、ERP和关键业务系统等
  • 根据石化行业ERP项目VPN网络建设的特点,VPN项目一般都是由石化下属各个企业独立实施,针对VPN实施的对象进行分类,公司设计了几种典型的VPN组网方案。这些方案的目标用户分类包括:总公司、油田、销售公司(石油公司、分公司、以及大区销售公司)、炼油厂(石化工厂)等等。由于石化行业下属同类企业网络具有一定的相似性,每一种解决方案作为一种典型,可以应用于其他同类型企业。

  • 高可用性,总部节点全部采用双机备份方案,能够有效满足石化企业业务7×24小时正常运行。
  • 高适应性,移动客户无论以任何一种方式接入Internet,都可以访问公司销售网络。实现真正的“移动办公”。
  • 高安全性,通过证书认证、VPN虚拟网卡IP地址绑定、VPN客户端分级控制等措施,能够确保本系统的高度安全。
  • 经济实惠,除了公司信息部门销售需要租用专线接入以外。地市公司只需要租用adsl线路,其他移动用户只需要找到Internet接入方式即可组建VPN,每年可以节约大量的通讯费用。
  • 三棵树超市的的VPN网络建成后,逻辑上将7个在物理位置上不同的网络构成统一的公司内部网,这样就可以采用统一的公司财务数据服务器,总部与分部的财务人员就可以使用统一的数据库,这样大大提升了公司财务的工作效率,双方可以进行数据共享、文件传送。

      过去固定IP地址的月租很贵,使得VPN产品只有银行、大型企业等少数行业能用得起;现在通过动态VPN防火墙FVS318,有联网需要的中小企业也能够轻松实现远程异地联网。

      现阶段电信运营商提供的接入方式有虚拟拨号和专线接入两种常用的方式,如表所示。

      两种接入方式的差别就是提供给前者的是动态IP,后者是静态IP。虚拟拨号月租是120元,专线月租是2000元。两者的费用相差16倍多,这是很悬殊的差别。因此,采用NETGEAR FVS318来组建此网络,单从月租方面,美国网件的VPN产品就为客户节省了许多开支。

      本方案全部采用美国网件公司的FVL318 ProSafe VPN宽带路由器系列网络产品。FVL318产品最大的特点是能同时启动多达8IPSec VPN隧道,动态域名解析技术可支持VPN网络的任意一方用动态地址来组建VPN网络,从而降低运营成本,提高网络的安全性。

     

    1.VPN服务器,一台计算机或设备,用来接收和验证VPN连接的请求,处理数据打包和解包工作。

    2.VPN客户端,一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。

    3.VPN数据通道,一条建立在公用网络上的数据连接。

    注意所谓的服务器和客户端,在VPN连接建立之后在通信的角色是一样的,服务器和客户端的区别在于连接是由谁发起的而已。这个概念在两个网络之间的连接尤其明显。

    一、安全的协议

    1由于SSL VPN 采用了SSLSecurity socket layer)协议,该协议是介于介于HTTP层及TCP层的安全协议。

    2、通过SSL VPN是接入企业内部的应用,而不是企业的整个网络。如果是IPSECVPN网络,客户通过vpn是联入的整个企业网络。没有控制的联入整个企业的网络是非常危险的。

    3、由于采用SSL 安全协议在网络中传输,所以gateway上的防火墙来讲,只需要打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网来的攻击的可能性。

    4、数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算法比如DES3DESRSA等等也有自己的加密算法。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。

    5Session保护功能:现在所有的SSL VPN 基本上都能够做到这个功能,就是在会话停止一段时间以后自动停止会话,如果需要继续访问则要从新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击;

    二、产品起到的安全功能

    1 首先由于SSL VPN一般在GATEWAY上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上,这样对于GATEWAY来讲,这需要开通443 这样的端口到SSL VPN即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。

    2 不改变防病毒策略:从另外一个角度来讲,如果您采用了IPSEC VPN的产品,当客户端有一台电脑通过VPN联入网络后,该网络的防病毒的策略将被彻底破坏,应为联入内部网络的电脑并不受原来公司的防病毒策略的保护,而ssl vpn 就没有这个问题,SSL VPN需要访问的数据是事先被允许的;

    3、不改变防火墙策略:基本原理同防病毒。还是从IPSEC的角度来讲,如果当客户端有一台电脑通过VPN联入网络后,如果该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部网络的跳板,而ssl vpn就没有这个问题。

    阶段一:动态域名解析+端口映射

      由于采用专线和固定IP的方式投入成本比较高,客户在现有的ADSL宽带上网方式(动态IP)基础上,结合动态域名解析+端口映射的方式解决分公司远程访问K3 数据库的问题,在出口的路由器上做端口映射,映射到K3服务器上,出差人员和外地分公司随时随地接入总部K3的数据库进行操作。但是这种方式基本上把整个K3服务器暴露在公网上, 这种传统的数据传输方法对于现在网络上的黑客技术的防御能力是相当有限的,根本没有安全性可言,安全性比较令人担心;另外动态域名解析寻址方式的不稳定性,导致分公司经常无法正常稳定的访问总部数据,于是客户开始寻找一种安全稳定的互联方式。

      阶段二:硬件VPN方式

      从安全性和经济性考虑,客户采购了一款市面上低价位的硬件VPN的产品,利用VPN搭建的虚拟专用隧道安全传输K3数据, 安全的问题随之解决了,但是随着公司的不断壮大,数据传输交互的频繁、用户的增多,上马新的应用系统……,目前的VPN方式已不能满足需求:

      1、稳定性:VPN虽然安全,但由于网络带宽窄,环境不稳定等因素,再加上普通VPN本身的加密使用数据传输变慢等原因,很难做一些大数据量的功能使用(特别是K3这类的大型数据库),而且经常断线,操作起来变得异常困难,最终导致工作效率很低甚至根本无法使用。

      2、速度:一般远程接入解决方案只提供"接入"的网络功能, 在应用数据传输上却有着天壤之别!,一般远程访问是用户在自己的笔记本上安装K3的客户端,然后远程接入办公,访问K3服务器。这时应用层的数据是从K3的服务器通过网络传向K3的客户端,问题也就在这里,由于某些业务数据量很大,经常拥塞住网络,而基于TCP/IP的网络本身具有数据流量管理,大量的数据很可能被丢弃。.由于大量的数据量的传输,很可能造成网络瘫痪,甚至连访问WEB都不行!

      3、移动的支持:一般笔记本是无线上网的,无线上网理论上号称可以达到几百K,但实

      际往由于线路接入环境不同相差很大,一般是一百K左右,甚至几十K,K.这样,由于大量的数据量的传输,很可能造成网络瘫痪,甚至连访问WEB都不行!因此,这样的方案很容易出现问题.不能充分发挥VPN的特长.也不适合远程接入办公的需求。

      4、集中分类管理接入用户:公司上马了新的应用系统也需要远程投入使用,对于接入用户访问权限的管理成了一个问题,公司的各应用系统的使用是有权限要求的,比如用户U1只能访问K3系统,用户U2只能访问A3系统,如何保证远程用户接入后安全的访问各种应用系统也成了急待解决的问题。

      5、简单易用:对于C/S结构的软件,需要在远程接入的PC上安装客户端,使得操作和维护都比较复杂。

      因此,这样的方案很容易出现问题.不能充分发挥VPN的特长.也不适合远程接入办公的需求. 客户故寻需求一种能够实现K3等管理软件高速稳定传输数据、简单易用经济、并且能够集中分类管理远程接入用户的解决方案。

    三、解决方案设计与实现

      3.1解决方案

      超级连接VPN+KRun”方案基于现在Internet基础,以低成本的接入方式即可实现各类应用系统的跨网段实施、文件共享、打印机共享、网络邻居、TELNET、信使消息、内网WebFTP访问、网络电话、网络视频会议等功能。

       本方案重点要解决的是在客户现有网络环境中,稳定、高速、安全、经济的远程互联运行并且安全管理接入用户使用应用系统的问题。在深圳总部内网一台装有windows 2000 server以上的服务器安装超级连接VPN”总部版同时架设KRun服务器,做为整个VPN网络的管理中心,总部应用软件数据库服务器的网关指向安装总部版机器;在各地分公司内网一台装有windows 2000的计算机上安装超级连接VPN”分支版软件,网内其他机器的网关指向安装分支版的机器,即可带动整个局域网联入深圳总部;在外出差人员和老总携带的笔记本上安装Hlink移动版即可实现,分公司和在外出差人员的。

    北京电力建设公司:传统的第三层VPN的一种延伸,是可以构建在ADSLCable ModemISDNModem等使用动态IPInternet接入方式之上的第三层VPN系统。对公司来说,只需要在各个节点安装一台路由器 R5000E,就可以实现各个节点的VPN互联。这种星形结构的网络,便于公司各个分支机构之间的相互访问。出差的员工也可通过虚拟拨号的形式,进入总部局域网。整个解决方案具有网络架构简单,投入费用少,利用公众网络可以大幅节省长途专线的费用等特点。除此之外,ICEFLOW VPN在性能上也具有高安全性、高可用性、高扩展性等优势。

    网络改造一期工程完成后,实现了总部与10个分支机构,共500多台计算机的互联。试运行结果表明,项目完全达到或者超过了设计目标。每月费用从原来的20000多元下降至3500元,大大降低了使用成本。与此同时,公司办公速度有了很大的提高,可以做到及时发布信息,实现数据共享,还可以方便地进行网络维护。具体表现在:第一,公司OA系统处理效率大大提高,原来每个子公司处理一个文件需要15分钟左右,现在两、三分钟就可以解决问题。公司内部文件处理量很大,每天大约150个,网络运行速度提高后,大大改善了公司的办公效率。第二,建成前公司数据不能充分共享,建成后实现了全公司系统资源的整合,这样技术开发人员可以实现远程维护,如材料、机械、设备管理等通过MIS系统就可以实现统一管理。而公司领导及出差人员无论在任何地方、任何时候,均可以通过网络手段阅读公司文件、处理相关问题,提高了工作效率,节约了办公成本。

    1.用户验证

    VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。

    2.地址管理

    VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。

    3.数据加密

    对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。

    4.密钥管理

    VPN方案必须能够生成并更新客户端和服务器的加密密钥。

    5.多协议支持

    VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IPIPX等。以点对点隧道协议(PPTP)或第2层隧道协议(L2TP)为基础的VPN方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案,包括安全IP协议(IPSec),虽然不能满足上述全部要求,但是仍然适用于在特定的环境。本文以下部分将主要集中讨论有关VPN的概念,协议,和部件(component)。