資源描述:
《ssl vpn解決方案》由會員上傳分享����,免費在線閱讀,更多相關內容在學術論文-天天文庫�����。
1���、....CYLANSSLVPN解決方案........一����、公司簡介二�、榮譽及資質三、項目背景以Internet為代表的全球性信息化浪潮迅猛發(fā)展�,信息網絡技術的應用正日益普及和廣泛�����,應用層次正在深入�,應用領域也從傳統的、小型業(yè)務系統逐漸向大型、關鍵業(yè)務系統擴展�,從典型的如金融業(yè)務系統、網上證券交易業(yè)務系統�,逐漸擴展到企業(yè)內部系統應用,大幅度地改進了工作方式����,提高了工作效率。然而如何確保在網絡中傳輸的身份認證���、機密性�����、完整性��、合法性等問題已成為進一步發(fā)展和推動企業(yè)信息化應用的關鍵�����。目前最好的應用安全解決方案是采用PKI(Pub
2�����、licKeyInfrastructure��,公鑰基礎設施)技術建立數字證書認證中心(CA)��,為企業(yè)用戶頒發(fā)證書來確定身份,保證企業(yè)敏感信息的機密性��、完整性以及抗抵賴性�。四、需求分析........企業(yè)信息化是對企業(yè)信息在深度和廣度上的開發(fā)利用�,而及時、準確���、全面的信息����,才是科學決策的可靠依據����。由于企業(yè)信息中的許多內容,如賬目����、憑證、采購銷售����、資金使用、生產計劃�、客戶等方面的信息,都在不同程度上關系到企業(yè)的興衰成敗�����,如果這些信息一旦失真或被內部人員�����、黑客和商業(yè)間諜竊取將有可能導致嚴重的后果�。因此,采取強有力的安全措施來保障企業(yè)
3���、的信息安全將變得尤為重要���。?身份認證:目前,很多應用系統采用“用戶名+密碼”的方式來驗證訪問用戶的身份��,用戶輸入的用戶名和密碼通過明文方式傳輸��,用戶口令易被竊取而導致損失�����。因此,需要采用安全的手段�����,解決應用系統身份認證需求��;?機密性�����、完整性:大量企業(yè)敏感信息在網上傳輸���,非法用戶很容易監(jiān)聽網絡傳輸的數據甚至篡改相關數據���,或者入侵到應用系統,竊取有關資料���。因此�����,需要采用有效的方式保證應用系統傳輸數據的機密性和完整性���;?抗抵賴性:信息抗抵賴是指信息的發(fā)送者不能對自己發(fā)送的信息進行抵賴����,不能否認自己發(fā)送信息的行為�。因此���,需要提供一
4��、種有效的機制�����,來保證業(yè)務系統中傳遞信息的抗抵賴性����;?其他安全需求:安全是不能僅僅靠技術來保證�����,必須要有相應的組織管理體制配合�����、支撐���,才能確保信息系統安全�����、穩(wěn)定運行�����;五�、解決方案推薦1、方案概述遠程安全訪問解決方案�,通過CylanSSLVPN和CA中心認證系統的結合合。即把CA的根證書植入賽藍的VPN平臺��,進行終端用戶數字證書的頒發(fā)���,和遠程接入用戶終端的可信身份驗證�����。同時使用硬件USB-Key作為終端用戶的私鑰�、數字證書存儲介質����。方案實現了遠程終端用戶的強制身份認證���,通過建立PKI/CA認證系統,可以確保各種人員�����、資源的身份
5�����、�,防止網絡欺詐行為和抵賴行為����,為內網的業(yè)務系統提供了有效的安全保障。部署硬件的安全終端產品�����,能更大程度上確保接入應用系統的穩(wěn)定���、安全�����、可靠�。方案的設計原則是:完全遵從安全標準;不改動原網絡架構���;方案實施簡單快捷����。........2�����、產品選型及登錄方式l總部:通過在內網布署一臺CYLANSGA650移動管理產品作為遠程接入的網關設備�,把辦公系統及其他業(yè)務系統等企業(yè)信息資源發(fā)布到這個平臺即可。l遠程登錄方式:1�、各分公司人員PC通過瀏覽器登錄到移動管理平臺上,通過認證后可訪問總部企業(yè)信息資源�;2、手機或平板電腦安裝一個小客戶端
6�����、軟件���,聯接登錄到移動管理平臺上�,訪問總部的企業(yè)信息資源。l認證手段:USBKEY數字證書認證���,保證訪問用戶身份的合法性�。3���、CYLANSGA650網關產品概述CYLANSGA650網關產品是以國際標準SSL協議為基礎��,通過虛擬化技術手段,專為企業(yè)定制的基于應用層設計����、多種安全防護功能的新一代智能網絡安全集中應用發(fā)布的遠程接入產品,它是完全技基于Linux自主研發(fā)的網絡操作系統為核心�����,集成了VPN��、認證授權���、內容安全授權訪問�����、高可用性配置等眾多安全角色����,提供高度安全、可信和健壯的系統安全解決方案���。實現了單一設備對多應用的全面
7�����、安全防護����。為用戶提供更快�、更安全的保障,全面滿足大中型企事業(yè)單位的安全和快速接入的需求�����。終端用戶無需安裝業(yè)務應用軟件的客戶端����,完全是基于Web方式訪問�。CYLANSGA650網關產品可以集中管理企業(yè)內部的應用資源,配置細粒度的訪問策略���,可以更安全地實現權限控制,可以讓不同級別的用戶使用不同的應用����。4�����、部署方式此方案設備采用單臂方式接入��,與現有的網絡無縫整合,無需更改現有的網絡架構����,SSLVPN平臺代理遠程的請求,再與內部服務器進行通訊�,因移動管理平臺并不處在網絡通訊的關鍵路徑上���,這樣就避免了網絡單點故障�;采用此解決方案可以
8����、非常方便解決因人員增加的擴容問題。部署方案網絡拓撲圖如下:........部署簡單說明:(1)設備部署:在數據中心機房安裝一臺Cylan650�,最大并發(fā)支持到3000個(2)開放前置端口:以單臂形式部署�,需要在防火墻上做TCP的XXX端口映射��,保證能夠正常訪問�。如果需要遠程進行登錄維護請開啟XXXX端口
