VPN技术方案
6.1、概述
随着现代企业信息网络的不断发展,远程安全访问的需求也呈现出迅猛的增长态势。如何实现安全、可控、随时随地可建立的远程接入,成为越来越多的企业所面临的一个重大问题。 6.2、企业网络的新挑战
当今,随着网络业务的迅速发展,企业必须扩展其内网应用服务资源和数据资源的访问领域,以满足越来越多的远程接入需求,比如分支机构接入、合作伙伴接入、客户接入、出差员工接入、远程办公接入等等。接入的网络环境也越来越复杂,接入的场景更是千变万化。如何在保证内网安全的前提下,确保处于各种复杂的网络环境以及接入场景的合法用户,能够安全接入内网,对现代企业网络提出了新的挑战。
6.3、IPSec/SSL VPN一体化
IPSec(IP Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec VPN适用于site-to-site的远程连接方式,但在point-to-site这方面却渐渐难以为继。 在这种情况下,SSL VPN应运而生。在保证通信的安全性的基础
上,SSL VPN实现了更加细致的访问控制能力,大大增强了对内网的安全保护。同时,SSL VPN通信基于标准TCP/UDP,因而不受NAT限制,能够穿越防火墙,使用户在任何地方都能够通过SSL VPN网关代理访问内网资源,使得远程安全接入更加灵活简单。另外,使用SSL VPN不需要安装任何客户端软件,只要用标准的浏览器就可以实现对内网资源的访问。省去了客户端的繁琐的维护和支持工作,不仅极大地解放了IT管理员的时间和精力,更提高了远程接入人员(如出差员工)的工作效率,节省了企业的培训和IT服务费用;同时,也意味着远程用户在进行远程访问时不会再受到地域的限制,不论是在公共网吧或是在商业合作伙伴那里,甚至是随手借一台笔记本,只要有网络,远程访问就没问题。
SSL VPN以其独特的技术优势,给出了理想的point-to-site安全接入解决方案,受到越来越多IT管理者和企业的关注。但SSL VPN并不能取代IPSec VPN,两种技术具备各自的特点,应用于不同的场景。在局域网互连的site-to-site场景中,IPSec VPN仍然占有绝对的优势。
为了既能实现企业多个局域网间的互连,又能更好地推动移动办公应用,融合两种VPN技术,推出了SSL/IPSec一体化VPN平台:USG安全接入网关。SVN弥补了单一VPN设备存在的不足,最大限度地发挥了VPN给企业带来的方便性和易用性,为客户提供了完整的远程安全接入解决方案。
6.4、融汇集团分析 6.4.1、融汇集团现状
1.融汇集团出口用户划分:分支机构、合作伙伴、客户、出差员
工、远程办公
2.融汇集团主要出口网络业务:对不同访问者开放的不同应用软件、数据资源
3.融汇集团内部服务器保护:企业内部FTP、WEB、MAIL、数据库服务器权限管理,需要进行具体应用的访问控制
4.融汇集团对用户权限的区分:需要对用户进行严格的认证、授权
5. 融汇集团内部安全区域的划分问题:不同部门内部资源权限管理,需要对用户进行分组管理
6.融汇集团用户同时访问需求量:需要支持多个用户同时远程接入,互不干扰
7.融汇集团内部部门划分数量:每个部门希望有一个独立网关,有虚拟网关
6.4.2、融汇集团远程安全接入设计原则
根据融汇集团对远程安全接入的需求以及公司对安全接入的积累,我们提出融汇集团远程安全接入设计必须满足以下原则: