遠(yuǎn)程安全接入解決方案

美國新安捷有限公司 XXX遠(yuǎn)程安全接入 解決方案 美國新安捷（ NeoAccel） SSL VPN-Plus 網(wǎng)關(guān) 美國新安捷有限公司 目 錄 一. 前言 .3 二企業(yè)遠(yuǎn)程安全接入需求 .4 2.1 遠(yuǎn)程訪問現(xiàn)狀 .4 2.2 企業(yè)遠(yuǎn)程接入常見方式 .5 2.2.1 第一代 VPN .5 2.2.2 第二代 VPN .7 2.2.3 第三代 VPN SSL VPN-Plus .8 三遠(yuǎn)程安全接入方案設(shè)計(jì)總則 .9 3.1 遠(yuǎn)程安全接入設(shè)計(jì)原則 .9 3.1.1 安全性和高可用性 .9 3.1.2 技術(shù)先進(jìn)性、實(shí)用性原則 .9 3.1.3 可管理性原則 .9 3.1.4 規(guī)?？蓴U(kuò)充性原則 . 10 3.2 遠(yuǎn)程安全接入設(shè)計(jì)理念 . 10 3.3 遠(yuǎn)程安全接入設(shè)計(jì)目標(biāo) . 11 四 XXX的遠(yuǎn)程安全接入需求分析 . 12 4.1 企業(yè) 背景 . 12 4.2 XXX 目前網(wǎng)絡(luò)及應(yīng)用狀況 . 12 4.3 XXX 遠(yuǎn)程安全接入面臨的問題 . 12 4.4 XXX 遠(yuǎn)程安全接入的需求 . 13 五 XXX 遠(yuǎn)程安全接入解決方案 . 15 5.1 SSL VPN 網(wǎng)關(guān)部署 . 15 5.2 方案簡介 . 16 5.3 全應(yīng)用支持 . 17 5.3.1 基于 WEB的應(yīng)用支持 . 17 5.3.2 瘦應(yīng)用支持 . 17 5.3.3 Windows 文件共享支持 . 18 5.3.4 WEB訪問支持 . 19 5.3.5 全權(quán)限訪問支持 . 19 5.4 企業(yè)應(yīng)用支持舉例 . 20 5.4.1 SGX 對企業(yè) ERP 系統(tǒng)的支持 . 20 5.4.2 SGX 對企業(yè) OA系統(tǒng)的支持 . 22 六 . 新安捷 SGX 系列的優(yōu)勢及特點(diǎn) . 26 6.1 專利技術(shù) . 26 6.2 新安捷 SSL VPN Plus 的功能特點(diǎn) . 26 七 . SSL VPN-Plus 安全接入對企業(yè)的益處 . 30 7.1 提高了信息安全 . 30 7.2 靈活的用戶管理和訪問控制 . 31 7.3 實(shí)施方便，配置簡單 . 31 7.4 降低管理和維 護(hù)成本 . 32 7.5 高度的擴(kuò)展性和靈活性 . 32 八 NeoAccel 廠家技術(shù)支持和售后服務(wù)體系 . 33 附錄：公司簡介 . 35 美國新安捷有限公司 一. 前言 目前，隨著企業(yè)信息化處理不斷地深入，企業(yè)資源管理的復(fù)雜度也在不斷增加。一方面是一線人員渴望快速得到資源，另一方面則是企業(yè)出于安全和保密的考慮，無 力 開放足夠的資源，兩者的矛盾在一定程度上已經(jīng)影響了企業(yè)快速發(fā)展 。 隨著移動(dòng)通訊技術(shù)的進(jìn)步和商務(wù)模式的發(fā)展，選擇遠(yuǎn)程辦公 和 移動(dòng)辦公的人越來越多。 使用 這種方式，企業(yè)能夠大幅降低運(yùn)營成本，增加員工辦公的靈活度和效率，繼而提升企業(yè)的運(yùn)作效率，增加企業(yè)收益。 另外 對于企業(yè)信息化系統(tǒng)的安全 問題，大多數(shù)企業(yè)考慮最多的還是 攻擊和 病毒，認(rèn)為 他們 對企業(yè)的 ERP 和 OA 系統(tǒng)響最大，所以大部分的財(cái)力人力都投向了防病毒 防攻擊系統(tǒng) 。 當(dāng)然這是對的 ， 但這還遠(yuǎn)遠(yuǎn)不夠， 這是因?yàn)槿匀?會(huì)有很多心懷叵測的人或者組織（尤其 是 競爭對手） 會(huì)繞過 病毒 或攻擊的防護(hù)， 對企業(yè) 進(jìn)行 數(shù)據(jù)竊密 或 對 破壞 企業(yè)的核心數(shù)據(jù) 等操作，這都會(huì)給企業(yè) 造成不可彌補(bǔ)的損失 。 目前在全球，商業(yè)間諜引起的商業(yè)竊密現(xiàn)象屢見不鮮。 所以我們不但需要對傳輸?shù)骄W(wǎng)上的數(shù)據(jù)進(jìn)行加密，還要對用網(wǎng)的終端進(jìn)行嚴(yán)格的身份識別和權(quán)限區(qū)分， SSL VPN 就是這樣的設(shè)備，不僅具有多種認(rèn)證方式 ，還能夠準(zhǔn)確分權(quán)。 作為一項(xiàng) 新近 發(fā)展起來的新技術(shù)，由于 SSL VPN 無須安裝客戶端的便捷性和 由 此 帶來的 大幅降低的實(shí)施管理成本，在國內(nèi)外得到了迅速的應(yīng)用和發(fā)展。 但是， 傳統(tǒng) SSL VPN 產(chǎn)品的 致命之處在其性能較差，這是 SSL 協(xié)議先天的不足，這就會(huì)使用戶在方便安全低成本和較差的性能這兩者之間進(jìn)行痛苦的選擇。 新安捷的 SSL VPN-Plus 是第三代 VPN，也是業(yè)界響應(yīng)速度最快的遠(yuǎn)程安全接入設(shè)備。重新構(gòu)建的 SSL 架構(gòu)、單隧道體系以及透明傳輸、智能壓縮等專利和創(chuàng)新技術(shù)的加入，使新安捷的 SSL VPN-Plus 擁有超強(qiáng) 的性能，從而突破了傳統(tǒng) VPN 性能的瓶頸，實(shí)現(xiàn)了加密數(shù)據(jù)的快速轉(zhuǎn)發(fā)。 美國新安捷有限公司 二 企業(yè) 遠(yuǎn)程 安全接入 需求 2.1 遠(yuǎn)程訪問現(xiàn)狀 隨著 企業(yè) 的發(fā)展壯大，分支機(jī)構(gòu)的設(shè)立、移動(dòng)辦公人員的增加，使得企業(yè)必須開放更多的內(nèi)網(wǎng)資源來滿足日常辦公的需要。遠(yuǎn)程接入的方式是多種多樣的，但總結(jié)下來不外乎以下三種方式： 通過 Internet 公網(wǎng)訪問、通過專網(wǎng)訪問、通過撥號專線訪問 。我們逐一 對其數(shù)據(jù) 安全性 進(jìn)行分析 ： 通過 Internet 訪問 這種訪問方式的安全性是這三種中最 差 的但也是大多數(shù)企業(yè)采用的方式。 因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存 在先天不足，因?yàn)槠?依賴 的 TCP/IP 協(xié)議，缺乏相應(yīng)的安全機(jī)制，而且因特網(wǎng)最初的設(shè)計(jì)考慮是該網(wǎng)不會(huì)因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。 此外，隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或 “ 后門 ” 也不可避免的存在 并增加著 。 安全隱患 也 日益突出 ， 病毒、黑客幾乎每天都在困撓著互聯(lián)網(wǎng)的用戶。 通過專網(wǎng)訪問 這種訪問方式的 安全性得到了一定的提升。 但是 拉專線 的費(fèi)用是比較昂貴的， 只適用于固定辦公場所，不能保證客戶端隨時(shí)隨地地 訪問。 另外 ，專網(wǎng)方式 不能 為 用戶 提供 網(wǎng)絡(luò)接入層面訪問的認(rèn)證和授權(quán)，只能通過業(yè)務(wù)系統(tǒng)內(nèi)部 自帶地程序來完成 ，這樣業(yè)務(wù)主機(jī)就會(huì)暴露在能使用專網(wǎng)的所有人面前。 還有一點(diǎn)至關(guān)重要，專網(wǎng)方式一般沒有加密過程，所有數(shù)據(jù)，尤其是關(guān)鍵數(shù)據(jù)都是走明文的，這也降低了安全性。 通過撥號專線訪問 這 種方式 需要在企業(yè)機(jī)房內(nèi)架設(shè)撥號接入服務(wù)器。 美國新安捷有限公司 這種方式可以保證員工 在任何地方都能訪問 內(nèi)網(wǎng) ，即使出差和在家都能登陸。但它容量有限 ，當(dāng)很多用戶同時(shí)訪問時(shí) 會(huì)經(jīng)常發(fā)生連接不上的情況 。 撥號專線方式 受 帶寬 限制厲害，不能享受到寬帶帶 給我們的好處。 另外 在認(rèn)證 、授權(quán)以及加密方面 ， 它 同樣存在 著和專線接入一 樣的安全缺陷。 2.2 企業(yè) 遠(yuǎn)程接入常見方式 由于 公共線路的不安全性，以及 VPN（虛擬專網(wǎng)）比租用專線更加便宜、靈活， 致使現(xiàn)在 有越來越多的公司采用 VPN 進(jìn)行遠(yuǎn)程接入，替代 連接 SOHO 和出差在外的員工 以及 分公司和合作伙伴的廣域網(wǎng)。 VPN 是 在互聯(lián)網(wǎng) 上建立加密隧道 ，通過 “ 隧道 ” 協(xié)議，在 數(shù)據(jù) 發(fā) 送 端加密 ， 在 接 收端解密， 從而 保證數(shù)據(jù)的私密性。 2.2.1 第一代 VPN 第一代 VPN 采用的是 IPSec 協(xié)議，其典型部署是在 Site-to-Site 端點(diǎn)到端點(diǎn)的網(wǎng)絡(luò)環(huán)境中。 IPSec 是網(wǎng)絡(luò)層的 VPN 技術(shù)，它獨(dú)立于應(yīng)用程序，以自己的封包封裝原始 IP 信息，因此可隱藏所有應(yīng)用協(xié)議的內(nèi)容，一旦 IPSec 建立加密隧道后，就可以實(shí)現(xiàn)各種類型的連接。 IPSec 以其相對較高的吞吐量以及安全性，被很多企業(yè)所接受。 但是 ，部署 IPSec 需要對 網(wǎng)絡(luò) 基礎(chǔ)設(shè)施進(jìn)行重大改造， 花費(fèi)的人力物力甚巨，同時(shí)IPSec VPN 在解決遠(yuǎn)程安全訪問時(shí)有幾個(gè)比較大的缺點(diǎn) : 安全性低 雖然數(shù)據(jù)在傳輸過程中是加密的，但是 IPSecVPN 對于終端安全檢查卻是零，這一點(diǎn)相信企業(yè)的網(wǎng)絡(luò)管理者深有感觸，其表現(xiàn)為： 第一、 IPSec 的用戶驗(yàn)證方式單一并 且簡單，它無法明確區(qū)分使用該終端的人是否是可 授權(quán)的指定用戶，管理員無法準(zhǔn)確知曉究竟是誰在利用 VPN 使用內(nèi)網(wǎng)資源； 第二、 IPSec 無法對終端設(shè)備軟件系統(tǒng)的安全性 做 出評估，無法檢查終端用戶的應(yīng)用環(huán)境，斷開 VPN 連接后，所有曾經(jīng)訪問過的 cookie、 URL 等均保留在終端，增加了不安全因素； 美國新安捷有限公司 第三、 IPSec VPN 隧道一旦建立，用戶的 PC 機(jī)就像在公司局域網(wǎng)內(nèi)部一樣 ， 用戶能夠直接訪問公司全部的應(yīng)用 ， 由此會(huì)大大增加風(fēng)險(xiǎn) ； 第四、 VPN 登陸之后的所有操作都是直接作用在被訪問資源上的，由于缺乏必要的終端檢查，致使 內(nèi)網(wǎng)資源受損的幾率很高； 第 五 、 IPSec 針對用戶或用戶組的授權(quán)訪問，實(shí)現(xiàn)起來非常困難，無法根據(jù)用戶性質(zhì)進(jìn)行分權(quán)，這是管理員很頭疼的問題，無法實(shí)現(xiàn)分權(quán)就只能有限地開放網(wǎng)絡(luò)資源，網(wǎng)絡(luò)不能有效地用于生產(chǎn)生活。 可靠性低 IPSec 最適合的環(huán)境是固定辦公區(qū)域，移動(dòng)辦公用戶 需要安裝客戶端軟件才能建立加密隧道，但并非所有客戶端 環(huán)境 均支持 IPSec VPN 的客戶端程序。終端用戶可能需要做出類似 重新安裝 系統(tǒng)那樣復(fù)雜的操作，才能使用； IPSec VPN 的連接性還會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）或網(wǎng)關(guān)代理設(shè)備（ proxy）的影響，終端用戶如果身處外部網(wǎng)絡(luò)，想使用 IPSec VPN 連接，如何穿透防火墻將是一大難題，不適合用作移動(dòng)用戶，如家庭、網(wǎng)吧，賓館等上網(wǎng)用戶； 投資費(fèi)用高 從投資的角度看 IPsec VPN。 要真正建立 IPSec VPN，單單有 VPN 硬件設(shè)備和 客戶端軟件是很不夠的。如果沒有防火墻和其他的安全軟件，客戶端機(jī)器非常容易成為黑客攻擊的目標(biāo)。這些客戶端很容易被黑客利用，他們會(huì)通過 VPN 訪問企業(yè)內(nèi)部系統(tǒng)。 這種黑客行為越來越普遍，而且后果也越來越嚴(yán)重。例如，如果 員工 從家里的計(jì)算機(jī)通過公司 VPN 訪問企業(yè)資源，在他創(chuàng)建 隧道前后，他十幾歲的孩子在這臺電腦上下載了一個(gè)感染了病毒的游戲，那么，病毒就很有可能經(jīng)過 VPN 在企業(yè)局域網(wǎng)內(nèi)傳播。另外，如果黑客侵入了這臺沒有保護(hù)的 PC，他就獲得了經(jīng)過 IPSec VPN 隧道訪問公司局域網(wǎng)的能力。因此，在建設(shè) IPSec VPN 時(shí)，必須購買適當(dāng)?shù)陌踩浖?，這個(gè)軟件的成本必須考慮進(jìn)去 也是很高的 。 維護(hù)費(fèi)用高 美國新安捷有限公司 IPSec VPN 最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件， 需要經(jīng)過培訓(xùn)才能夠掌握。 而且當(dāng)用戶的 VPN 策略稍微有所改變時(shí)， 其 管理難度將呈幾何級數(shù)增長。 客戶端 軟件 的維護(hù) 帶來了人力開銷，而 這是 許多 公司希望能夠避免 的。 部署 IPSec VPN 之后，另外一些 安全問題也 會(huì) 暴露出來，這些問題主要與建立 了 開放式網(wǎng)絡(luò)連接有關(guān)。除此以外，除非已經(jīng)在每一臺計(jì)算機(jī)上安裝了管理軟件，軟件補(bǔ)丁的發(fā)布和遠(yuǎn)程電腦的配置升級將是一件十分令人頭疼的任務(wù)。 2.2.2 第二代 VPN 第二代 VPN 采用 的是 SSL 協(xié)議，與 IPSec VPN 相比， SSL VPN 具有如下優(yōu)點(diǎn)： SSL VPN 的 客 戶 端 程 序 ， 如 Microsoft Internet Explorer 、 Netscape Communicator、 Mozilla 等已經(jīng)預(yù)裝在了終 端設(shè)備中，因此不需要再次安裝； SSL VPN 可在 NAT 代理裝置上以透明模式工作； SSL VPN 不會(huì)受到安裝在客戶端與服務(wù)器之間的防火墻 等 NAT 設(shè)備 的影響 ，穿透能力強(qiáng)； SSL VPN 將遠(yuǎn)程安全接入延伸到 IPSec VPN 擴(kuò)展不到的地方，使更多的員工，在更多的地方，使用更多的設(shè)備，安全訪問 到更多的 企業(yè)網(wǎng)絡(luò)資源，同時(shí)降低了部署和支持費(fèi)用 ； 客戶端安全檢查和授權(quán)訪問等操作，實(shí)現(xiàn)起來更加方便。 SSL VPN 可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上。IPSec VPN 通常不能支持復(fù)雜的網(wǎng)絡(luò) ，這是因?yàn)樗鼈冃枰朔?穿透 防火墻、 IP 地址沖突等困難。 所以 IPSec VPN 實(shí)際上只適用于易于管理的或者位置固定的 地方 。 可以說從功能上講， SSL VPN 是企業(yè)遠(yuǎn)程安全接入的最佳選擇。 但是雖然 SSL VPN 具有以上眾多的優(yōu)點(diǎn)，卻由于 SSL 協(xié)議本身的局限性，使得性能遠(yuǎn)低于使用 IPSec 協(xié)議的設(shè)備。用戶往往需要在簡便使用與性能之間進(jìn)行痛苦選擇。這也是第二代 VPN 始終無法取代第一代 VPN 的原因。 美國新安捷有限公司 2.2.3 第三代 VPN SSL VPN-Plus 為了從根本上解決 SSL VPN 性能瓶頸，以新安捷（ NeoAccel,INC）為代表的專業(yè)安全接入廠商，憑借強(qiáng)大的研發(fā)實(shí)力，經(jīng)過刻苦的攻關(guān)，終于研制出了新一代 SSL VPN 構(gòu)架 SSL VPN-Plus。 SSL VPN-Plus 的創(chuàng)新技術(shù)之處是重新構(gòu)建了 SSL 協(xié)議模型，使用單隧道方式處理加密數(shù)據(jù)包，從根本上解決了由于雙 TCP 疊加帶來的性能瓶頸，突破了傳統(tǒng) SSL VPN 設(shè)備的局限性，降低響應(yīng)時(shí)間，提高設(shè)備性能。 SSL VPN-Plus 的整理性能可以達(dá)到并超過 IPSec VPN，同時(shí)還能夠提供 SSL VPN 便捷的使用和管理、低廉的投資和維護(hù)成本，提高用戶的體驗(yàn)。 美國新安捷有限公司 三遠(yuǎn)程安全接入方案設(shè)計(jì)總則 3.1 遠(yuǎn)程安全接入設(shè)計(jì)原則 3.1.1 安全性和高可用性 VPN 直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必需要確保其 VPN 上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。 VPN 將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對安全性提出了更高的要求。 遠(yuǎn)程安全接入安全性包含以下特征： 數(shù)據(jù)加密：在安全性要求高的場合應(yīng)用數(shù)據(jù)加密則進(jìn)一步保護(hù)了數(shù)據(jù)的私有性，使數(shù)據(jù)在網(wǎng)上傳送而不 被非法窺視與篡改。 數(shù)據(jù)驗(yàn)證：在不安全的網(wǎng)絡(luò)上，特別是構(gòu)建遠(yuǎn)程安全接入的公用網(wǎng)上，數(shù)據(jù)包有可能被非法截獲，篡改后重新發(fā)送，接收方將會(huì)接收到錯(cuò)誤的數(shù)據(jù)。數(shù)據(jù)驗(yàn)證使接收方可識別這種篡改，保證了數(shù)據(jù)的完整性。 用戶驗(yàn)證：遠(yuǎn)程安全接入可使合法用戶訪問他們所需的企業(yè)資源，同時(shí)還要禁止未授權(quán)用戶的非法訪問。通過 AAA 可以提供用戶驗(yàn)證、訪問級別以及必要的訪問記錄等功能。這一點(diǎn)對于遠(yuǎn)程安全接入具有尤為重要的意義。 高可用性：在遠(yuǎn)程安全接入中，要防止出現(xiàn)單點(diǎn)故障，確保一臺設(shè)備發(fā)生故障時(shí)，能夠保證應(yīng)用的正常訪問。 3.1.2 技術(shù)先進(jìn)性、實(shí)用性原則 遠(yuǎn)程安全接入不僅要求能充分利用現(xiàn)有的網(wǎng)絡(luò)資源，而且要滿足未來發(fā)展的需要。這就要求規(guī)劃設(shè)計(jì)必須考慮到技術(shù)的可行性和先進(jìn)性，同時(shí)要考慮到前瞻性。在安全接入產(chǎn)品的選擇上，需要權(quán)衡現(xiàn)有需求和未來發(fā)展需要之間、現(xiàn)有技術(shù)的可獲得性和未來技術(shù)發(fā)展方向之間的矛盾。遠(yuǎn)程安全接入設(shè)計(jì)在滿足以上要求的同時(shí)還必須做到經(jīng)濟(jì)實(shí)用，以節(jié)約投資，必須以有限的投資獲得較高的性能，即系統(tǒng)應(yīng)該具有較高的性能價(jià)格比。 3.1.3 可管理性原則 系統(tǒng)的管理維護(hù)是一項(xiàng)繁重的工作，代價(jià)也極高?？梢哉f，一個(gè)系統(tǒng)的 易維護(hù)性決定了該系統(tǒng)的壽命，也決定了該系統(tǒng)的實(shí)際運(yùn)行成本，同時(shí)，如果一個(gè)系統(tǒng)容 美國新安捷有限公司 易維護(hù)，則發(fā)生錯(cuò)誤的概率就會(huì)大大降低。系統(tǒng)的管理易維護(hù)性體現(xiàn)在軟硬件兩個(gè)方面。硬件易維護(hù)性主要指安裝、升級簡單方便，后備配件充足。軟件易維護(hù)性主要指體系結(jié)構(gòu)清楚，易理解，同時(shí)，管理界面友好，易操作。 3.1.4 規(guī)模可擴(kuò)充性原則 易擴(kuò)展性是業(yè)務(wù)發(fā)展的需要。隨著企業(yè)用戶的不斷增加，業(yè)務(wù)的不斷擴(kuò)展，應(yīng)用規(guī)模也迅速膨脹。為了保護(hù)現(xiàn)有投資，也為了滿足用戶的需要，提供優(yōu)質(zhì)服務(wù)，必須保證組建的系統(tǒng)很容易擴(kuò)展。在業(yè)務(wù)數(shù)量劇增的情況下依然能夠 提供優(yōu)質(zhì)服務(wù)，這就要求我們的系統(tǒng)具有良好的可擴(kuò)展性 3.2 遠(yuǎn)程安全接入設(shè)計(jì)理念 遠(yuǎn)程安全接入設(shè)計(jì)必須架構(gòu)在科學(xué)的體系和框架之上，因?yàn)榭蚣苁欠桨冈O(shè)計(jì)和分析的基礎(chǔ)。為了系統(tǒng)、科學(xué)地分析遠(yuǎn)程安全接入涉及的各種問題，行業(yè)里的專家們提出了遠(yuǎn)程安全接入的整體設(shè)計(jì)理念模型，遠(yuǎn)程安全接入模型示意圖如下： 在此體系模型中，完整地將遠(yuǎn)程安全接入的全部內(nèi)容進(jìn)行了科學(xué)和系統(tǒng)的歸納，詳盡地描述了遠(yuǎn)程安全接入所使用的技術(shù)、服務(wù)的對象和涉及的范圍。 美國新安捷有限公司 3.3 遠(yuǎn)程安全接入設(shè)計(jì)目標(biāo) 確保為用戶提供高安全性、高可用性、高性能、易管 理的解決方案。 美國新安捷有限公司 四 XXX的 遠(yuǎn)程 安全接入 需求分析 4.1 企業(yè) 背景 （ 根據(jù)具體項(xiàng)目自己寫 ） 某企業(yè)有 18 個(gè)分支機(jī)構(gòu)單位，需要與總部進(jìn)行遠(yuǎn)程接入訪問，數(shù)據(jù)量大約為 1M 左右，每個(gè)分支機(jī)構(gòu)單位只需一臺電腦訪問總部網(wǎng)絡(luò)即可。 4.2 XXX 目前網(wǎng)絡(luò)及應(yīng)用狀況 現(xiàn)階段 XXX 的網(wǎng)絡(luò)情況如下圖： 所有的應(yīng)用和數(shù)據(jù)放置在公司總部，上海和昆山通過網(wǎng)通的 2 兆 DDN 專線連入公司總部， SOHO 和移動(dòng)辦公人員直接訪問被映射到公網(wǎng)的公司資源。 在總部的應(yīng)用 系統(tǒng)很多，包括： 文件共享、 DRP、 SAP、 OA、 Notes、 WEB 等等。應(yīng)用有基于 B/S 和 C/S 架構(gòu)。 4.3 XXX 遠(yuǎn)程安全接入面臨的問題 根據(jù)對 XXX 目前的網(wǎng)絡(luò)及應(yīng)用分析，我們認(rèn)為存在以下幾個(gè)問題及隱患： 美國新安捷有限公司 安全性低 DRP 系統(tǒng)被直接開放公網(wǎng)地址和端口，很容易被黑客或不懷好意的人入侵，DRP 系統(tǒng)的資料容易丟失。而且也容易感染病毒，造成系統(tǒng)宕機(jī)，使客戶沒辦法訪問 DRP 系統(tǒng)。 用戶和內(nèi)部服務(wù)器直接的交互，數(shù)據(jù)的發(fā)送都是明文的。 對訪問內(nèi)部資源缺少用戶身份認(rèn)證和授權(quán)機(jī)制。 對用戶及其訪問的 內(nèi)容沒有審計(jì)； 沒有對客戶端的機(jī)器安全進(jìn)行檢查及實(shí)施相應(yīng)策略 的機(jī)制 ， 使 病毒等有害 程序輕易進(jìn)入內(nèi)網(wǎng)； 可用 性 差 由于 XXX 的許多應(yīng)用是基于 C/S 架構(gòu)， 這些應(yīng)用都有自己的一些特殊端口，這些端口 在賓館 、 機(jī)場 等許多地方被封掉，那么移動(dòng)辦公的人員將不能訪問公司的一些應(yīng)用。 4.4 XXX 遠(yuǎn)程安全接入的需求 根據(jù)遠(yuǎn)程安全接入的設(shè)計(jì)原則，結(jié)合 XXX 公司的實(shí)際情況， XXX 遠(yuǎn)程安全接入完成后應(yīng)達(dá)到如下效果： 較高的 安全性 安全對企業(yè)的生存和發(fā)展至關(guān)重要，如果因?yàn)榭蛻舳说牟话踩蛩貙?dǎo)致總部服務(wù)器群 經(jīng)常出現(xiàn)狀況的話，對企業(yè)自身的運(yùn)作和生產(chǎn)是十分不利的。所以新的設(shè)備在安全性上應(yīng)該具備以下特征： 必須支持多種用戶認(rèn)證方式 ，可以與現(xiàn)有網(wǎng)絡(luò)內(nèi)的認(rèn)證設(shè)備兼容 ； 必須具備終端安全檢查?？梢詸z查終端系統(tǒng)類型、補(bǔ)丁版本、是否安裝有殺毒軟件、防垃圾郵件等或者檢查特定位置的文件是否存在。通過這些檢測來分配用戶區(qū)域以及授權(quán)訪問； 美國新安捷有限公司 終端檢查不僅要針對 WAN 使用 VPN 的用戶，還需要針對 LAN 內(nèi)部互相訪問的終端設(shè)備； 必須能清晰并輕松地對用戶進(jìn)行分權(quán)管理，不同等級的用戶有不同的訪問權(quán)限和資源 ； 必須在終端斷開 VPN 連接后，對終端 所保存的信息進(jìn)行清理，甚至能夠卸載客戶端軟件； 優(yōu)良的 性能 和響應(yīng) 接口 設(shè)備的性能是 企業(yè) 需要考慮的重要因素，因?yàn)檫@直接影響到企業(yè) 資源的運(yùn)作能力和未來的發(fā)展 。新設(shè)備本身需要有較大吞吐，同時(shí)還應(yīng)該具有獨(dú)特的數(shù)據(jù)包處理技術(shù)，在寬帶網(wǎng)、窄帶網(wǎng)以及在損耗較嚴(yán)重、丟包率較高的網(wǎng)絡(luò)環(huán)境里，均能夠?qū)崿F(xiàn) 數(shù)據(jù)包的 快速傳輸。 支持網(wǎng)內(nèi)全部 應(yīng)用 遠(yuǎn)程安全接入設(shè)備 必須 能夠 支持所有類型的應(yīng)用， 對 網(wǎng)內(nèi) 目前運(yùn) 行 的 應(yīng)用支持加密訪問，并且設(shè)置權(quán)限，使不同類型的用戶，訪問不同類型的資源。并且對事件進(jìn)行記錄。 簡捷的 安 裝 部署 不需或最少量的對現(xiàn)有的網(wǎng)絡(luò)拓?fù)溥M(jìn)行修改； 利用現(xiàn)有的認(rèn)證系統(tǒng)； 無需對任何客戶端進(jìn)行 安裝 及管理 ； 網(wǎng)關(guān)的管理要簡單。 美國新安捷有限公司 五 XXX 遠(yuǎn)程安全接入 解決方案 5.1 SSL VPN 網(wǎng)關(guān)部署 通過對 XXX 公司的需求分析，我們建議采用 NeoAccel SGX 產(chǎn)品解決遠(yuǎn)程安全接入的需求。（部署如下圖）兩臺 NeoAccel SGX 做 HA， 安全、高效地把需要訪問內(nèi)部資源的用戶接入。 SGX SSL VPN 網(wǎng)關(guān) 單臂 連接核心交換機(jī) 。 企業(yè)需要賦予 SGX IP 地址或域名做為入網(wǎng) 門戶。所有 VPN 用戶必須登陸此門戶站點(diǎn)才能訪問 內(nèi)部服務(wù)器組 ，同時(shí)每個(gè)用戶必須有有效的帳號、口令并享有訪問 SSL VPN 各種資源的相應(yīng)權(quán)限。 SGX 門戶的 IP 地址可以是公網(wǎng)地址，也可以是防火墻等設(shè)備 NAT 后的私網(wǎng)地址，此時(shí)， NAT 設(shè)備只需要開放 TCP 443 端口并映射門戶地址為公網(wǎng)地址 。 美國新安捷有限公司 5.2 方案簡介 如上圖 所示，企業(yè)內(nèi)部的資源是多種多樣的，同時(shí)針對不同的組織和群組，其開放的權(quán)限也是不同的。 通過部署新安捷的 SSL VPN-Plus，操作人員無論是在分公司、合作伙伴辦公地點(diǎn)，還是員工在家、酒 店，以及供貨商等在任何地方都可以遠(yuǎn)程進(jìn)行安全的業(yè)務(wù)操作和系統(tǒng)維護(hù)操作，而不必?fù)?dān)心非授權(quán)人員的非法訪問。在登陸以及通信過程中， SSL VPN-Plus 還能夠不斷地對客戶端的安全做評估，隨時(shí)切斷可疑主機(jī)，防止黑客、病毒以及間諜程序的侵入。 美國新安捷有限公司 5.3 全應(yīng)用支持 5.3.1 基于 WEB 的應(yīng)用支持 企業(yè)的大部分內(nèi)網(wǎng)資源，可以以 WEB 瀏覽器形式對外開放。在不用安裝任何客戶端軟件的情況下， SGX 支持所有基于 WEB的應(yīng)用，如公司內(nèi)網(wǎng)主頁、 Web Outlook 等： 5.3.2 瘦應(yīng)用支持 目前在無客戶端情況下， SGX 支持四種瘦應(yīng)用，分別為： Telnet、 SSH、 VNC 和RDP。企業(yè)可以根據(jù)用戶性質(zhì)，開放內(nèi)部不同主機(jī)的命令權(quán)限。 美國新安捷有限公司 5.3.3 Windows 文件共享支持 在企業(yè)日常的運(yùn)作中，會(huì)經(jīng)常有文件或主機(jī)共享的需求， SGX 的文件共享功能可以完全滿足這方面需要，安全開放內(nèi)網(wǎng)主機(jī)的文件夾或主機(jī)本身，供遠(yuǎn)程用戶訪問。該功能也不需要安裝客戶端程序。 美國新安捷有限公司 5.3.4 WEB 訪問支持 有些單位出于訪問安全以及審計(jì)方面的考慮，會(huì)要求所有分支機(jī)構(gòu)的 Internet 訪問，必須通過公司總部，使用 SSL 加密 方式。 SGX 不用安裝客戶端程序，即可實(shí)現(xiàn)此需求。遠(yuǎn)程用戶必須登陸門戶站點(diǎn)，使用頁面提供的地址欄進(jìn)行網(wǎng)頁訪問操作。 5.3.5 全權(quán)限訪問支持 企業(yè)中肯定會(huì)有一些特殊用戶，比如網(wǎng)絡(luò)管理員、公司領(lǐng)導(dǎo)等，他們需要的權(quán)限很大，需要自己在遠(yuǎn)程訪問時(shí)也能夠像在內(nèi)網(wǎng)一樣順暢操作。這樣的需求， SGX 能夠提供兩種實(shí)現(xiàn)方式： QAT 和 PHAT。 QAT 方式不需要下載安裝客戶端程序，只需主機(jī)支持 Java，使用這種方式可以使用內(nèi)網(wǎng)所有基于 TCP 協(xié)議的應(yīng)用，適用于需要操作更簡便的員工、不希望在主機(jī)上安裝多余程序的人員或合作單位。 PHAT 方式需要安裝客戶端，安裝過程簡單且快速，用戶端不需要做任何設(shè)置，只需要按照提示點(diǎn)擊安裝即可。這種方式登陸的主機(jī)會(huì)得到內(nèi)網(wǎng) IP 地址，所有操作就像在內(nèi)網(wǎng)一樣順暢。 美國新安捷有限公司 5.4 企業(yè)應(yīng)用支持舉例 5.4.1 SGX 對企業(yè) ERP 系統(tǒng)的支持 為了 能夠快速 發(fā)展壯大 ，已經(jīng)有越來越多的企業(yè)開始部署 ERP 系統(tǒng) 。早期的 ERP 系統(tǒng) 是以 Client/Server 方式為基礎(chǔ)的， 但隨著 Web 標(biāo)準(zhǔn)平臺 的普及 ， 多數(shù) 企業(yè) 已 開始將 ERP 系統(tǒng) 移植到 Web 上 ，而采用 SSL VPN 設(shè)備來 實(shí)現(xiàn) Web 應(yīng)用 的 遠(yuǎn)程安全訪問 ，則是 最佳手段 。 對于不采用 WEB 平臺的 ERP 系統(tǒng)（ 如采用 ERP 專用 客戶端 C/S 結(jié)構(gòu) ） ， SGX產(chǎn)品 可以使用 QAT 或 PHAT 訪問模式 來滿足這些 C/S 結(jié)構(gòu)的 ERP應(yīng)用。 SGX 部署方式如下圖： 美國新安捷有限公司 采用 SSL VPN-Plus 的第一項(xiàng)好處就是降低成本 ，包括初期投資和日后的維護(hù)成本。 部署 SSL VPN-Plus 很 簡便，基本不需要改變現(xiàn)有拓?fù)浣Y(jié)構(gòu) 。 由于可以不使用客戶端即可以訪問企業(yè)資源， 使用者基本上 不需要 IT 部門的支持 ，同時(shí)企業(yè) 只 需 要管理一種設(shè)備 即可 ，不必維護(hù)、升級 或 配置客戶 端 軟件。 SGX 更容易滿足 大多數(shù)員工對移動(dòng)連接的需求 。用戶通過因特網(wǎng) 與 任務(wù)設(shè)備實(shí)現(xiàn)連接， 只需 借助 瀏覽器或客戶端程序提供的 SSL 隧道 即可 獲得 企業(yè)內(nèi)部資源的 安全訪問 ，即使該員工身在外地，使用一臺危險(xiǎn)系數(shù)較高的主機(jī)。 SGX 性能更高。 SGX 目前是業(yè)界 SSL 加密包轉(zhuǎn)發(fā)速度最快的 VPN 設(shè)備，這主要得益于其多項(xiàng)創(chuàng)新的專利技術(shù)的應(yīng)用，這種第三代 VPN 的所有型號設(shè)備中都集成了這些技術(shù)，可以滿足企業(yè)不同網(wǎng)絡(luò)環(huán)境的需求。 SGX 更安全。 ERP系統(tǒng) 一般 都 采用集中式 部署 結(jié)構(gòu) ： 數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器被安置在計(jì)算中心局域網(wǎng)內(nèi)的核心網(wǎng)段上。所有外地用戶（包括外 地局域網(wǎng)用戶和遠(yuǎn)程訪問用戶）都必須通過防火墻的過濾才能夠訪問核心網(wǎng)絡(luò)及其上的 ERP 系統(tǒng)。 我們可以看到， ERP 系統(tǒng)的安全主要依靠防火墻來實(shí)現(xiàn) 。 但 這 對于 ERP 系統(tǒng)的安全 是 遠(yuǎn) 遠(yuǎn) 不能滿足 的 ， 例如 防 止 病毒入侵 、 數(shù)據(jù)的加密 、 用戶的認(rèn)證和 分 權(quán) 、緩存清除 等 。 美國新安捷有限公司 對于數(shù)據(jù)的加密，如果不使用 VPN 技術(shù)，企業(yè)通常會(huì)借助 ERP 系統(tǒng) 本身的 軟件加密，但軟件加密會(huì)消耗大量用戶服務(wù)器的資源， 直接 影響 到 ERP 系統(tǒng)的響應(yīng)速度。 用戶的認(rèn)證和授權(quán)，對于 ERP 系統(tǒng)本身來說，實(shí)現(xiàn)起來很不容易。 ERP 系統(tǒng)一般也會(huì)有自己的基于對象權(quán)限和用戶角色概念的 授權(quán)機(jī)制，但是 它 的授權(quán)機(jī)制是在應(yīng)用層 做 的，不能在網(wǎng)絡(luò)層對接入用戶 做 授權(quán) 。一旦 黑客攻入系統(tǒng)主機(jī)，仍有可能對系統(tǒng)進(jìn)行破壞，或者竊取數(shù)據(jù)。 SGX 對 ERP 三種接入方式的支持： 對于 B/S 架 構(gòu)的 ERP 系統(tǒng) ，使 用 SGX 的 WAT 訪問模式即可，無需安裝客戶端程序。使用這種方式 可以實(shí)現(xiàn)：通過標(biāo)準(zhǔn)瀏覽器訪問企業(yè) ERP WEB 系統(tǒng)；支持 URL-NAT： URL 的動(dòng)態(tài)重寫，提高安全性；強(qiáng)迫認(rèn)證，強(qiáng)迫任何訪問 Intranet 的請求都必須先通過 AAA；隱藏內(nèi)部資源：可以隱藏 Intranet 的資源路徑，提高整體安全性。 對于 C/S 結(jié)構(gòu) 的 ERP 系統(tǒng) ，使用 SGX 的 QAT 或 PHAT 訪問模式。使用 QAT 模式時(shí) ，客戶端將 使用 Java Applet 做為 TCP PROXY， 所有基于 TCP 的 ERP 應(yīng)用，都可以實(shí)現(xiàn)訪問，比 通過隧道方式實(shí)現(xiàn)要安全的多。 ERP 系統(tǒng) 的 維護(hù)人員 需要更高的操作自由度，所以需要以 SGX 的 PHAT 模式進(jìn)行全權(quán)限訪問。 此 訪問模式 是在客戶端和 SGX 之間通過 SSL 的連接建立一條 VPN 通道， 客戶主機(jī)將 會(huì) 被配置 一個(gè)和企業(yè)內(nèi)網(wǎng)地址一致的網(wǎng)址，并通過這條 VPN 通道直連到企業(yè)內(nèi)網(wǎng)，就好像在企業(yè)內(nèi)部一樣。 5.4.2 SGX 對企業(yè) OA系統(tǒng)的支持 Microsoft Exchange Server 系統(tǒng) Exchange Server 并不是簡單的 E-mail 服務(wù)器的代名詞，而是一種交互式傳送和接收的重要 平臺 ，它包含了一般信息、特殊格式的文件、多媒體、圖片或其他的對象。 做為 Exchange 的前端工具的 Outlook， 現(xiàn)在 更突出了它的重要性，它不但 可以 用來收發(fā) E-mail，還含有便箋、草稿、任務(wù)、日歷、日志、聯(lián)系人與公用文件夾 等， 如果 再配合 Microsoft Office 各項(xiàng)結(jié)構(gòu)化文件，加上其傳閱功能，即可建立一個(gè)資源管 美國新安捷有限公司 理系統(tǒng)，讓協(xié)同作業(yè)正常運(yùn)行。 從 上圖我們可以看出，以 Exchange Server 為基礎(chǔ)構(gòu)成的企業(yè) OA 系統(tǒng)的客戶端和OA server 的架構(gòu)也基本分為兩類： 基于 WEB，客戶端采用 OWA 接入，既采用 Web Browser 接入 OA 系統(tǒng)； 基于 TCP 的 C/S 結(jié)構(gòu)，客戶端采用 Outlook。 對于 OWA 接入 ： 可以使用 WAT 模式 來實(shí)現(xiàn) 安全訪問 ，可以實(shí)現(xiàn)： 通過標(biāo)準(zhǔn)瀏覽器訪問企業(yè) OA 系統(tǒng)； 支持 URL-NAT： URL 的動(dòng)態(tài)重寫，提高安全性； 強(qiáng)迫認(rèn)證，強(qiáng)迫任何訪問 Intranet 的請求都必須先通過 AAA； 隱藏內(nèi)部資源：可以隱藏 Intranet 的資 源路徑，提高整體安全性。 對于 Outlook 做為 客戶端接入 exchange server EMAIL 系統(tǒng)： 可以使用 SGX 的QAT 和 PHAT 模式 來實(shí)現(xiàn) 安全訪問。 對于使用 Outlook 接入 Exchange server 復(fù)雜應(yīng)用： 推薦使用 SGX 的 PHAT 模式來 實(shí)現(xiàn) 。 此 訪問模式 是在客戶端和 SGX 之間通過 SSL 的連接建立一條 VPN 通道， 客戶主機(jī)將 會(huì) 被配置 一個(gè)和企業(yè)內(nèi)網(wǎng)地址一致的網(wǎng)址，并通過這條 VPN 通道直連到企業(yè)內(nèi)網(wǎng)，就好像在企業(yè)內(nèi)部一樣。 IBM Lotus Domino 系統(tǒng) IBM Lotus Domino 是一個(gè)世界級的消息服務(wù)解決方案，同時(shí)，它還是快速開發(fā)平臺，用戶可以基于此平臺快速開發(fā)協(xié)作應(yīng)用。 功能包括： 內(nèi)置核心任務(wù) (郵件、日歷、目錄、安全、 Web 服務(wù)等 ) ；集成 Domino 管 美國新安捷有限公司 理、統(tǒng)計(jì)、監(jiān)控等功能 IBM Lotus Notes 是客戶端軟件，它提供了工業(yè)級的最高安全性，它是一個(gè)完全功能的協(xié)作客戶端 通過 Lotus Notes，用戶可以訪問郵件、日歷、待辦事宜、聯(lián)系人信息等 Lotus Notes 客戶端家族支持從 Web 瀏覽器 , 移動(dòng)設(shè)備 , 甚至 Microsoft Outlook 訪問 Domino。 下圖是 Lotus Notes 典型拓?fù)浣Y(jié)構(gòu)： 對于基于 Web 接入： 可以使用 WAT 模式 來實(shí)現(xiàn) 安全訪問 ，可以實(shí)現(xiàn)： 通過標(biāo)準(zhǔn)瀏覽器訪問企業(yè) OA 系統(tǒng)； 支持 URL-NAT： URL 的動(dòng)態(tài)重寫，提高安全性； 強(qiáng)迫認(rèn)證，強(qiáng)迫任何訪問 Intranet 的請求都必須先通過 AAA； 隱藏內(nèi)部資源：可以隱藏 Intranet 的資源路徑，提高整體安全性。 對于 Notes 客戶端接入 Domino 系統(tǒng)： 可以 使用 SGX 的 QAT 或 PHAT 訪問模式。使用 QAT 模式時(shí) ，客戶端將 使用 Java Applet 做為 TCP PROXY， 所有基于 TCP 的可選客戶端 : Lo tus N otes (Windo ws 和 Mac ),Domino Web Access (Wi nd ows 和 Linux ), POP3/I MAP , 移動(dòng)設(shè)備 , MS Outlo ok可運(yùn)行于不同平臺IBM A IX, IBM O S4 00 , IBM zOS , Li nu x, M icros of t Win do w s, Su n So la ri s郵件服務(wù)器內(nèi)置的管理、統(tǒng)計(jì)、事件管理、監(jiān)控目錄服務(wù)器Web 服務(wù)器協(xié)作服務(wù)器開發(fā)工具Notes Cl ien t Web b r ow serNRPC , HTTP , NN T P, POP, I MA P, SM TP, LD AP可選客戶端 和和 移動(dòng)設(shè)備可運(yùn)行于不同平臺郵件服務(wù)器內(nèi)置的管理、統(tǒng)計(jì)、事件管理、監(jiān)控目錄服務(wù)器服務(wù)器協(xié)作服務(wù)器開發(fā)工具 美國新安捷有限公司 ERP 應(yīng)用，都可以實(shí)現(xiàn)訪問，比 通過隧道方式實(shí)現(xiàn)要安全的多。 使用 PHAT 模式時(shí)， 客戶端和 SGX 之間通過 SSL 的連接建立一條 VPN 通道， 客戶主機(jī)將 會(huì) 被配置 一個(gè)和企業(yè)內(nèi)網(wǎng)地址一致的網(wǎng)址，并通過這條 VPN 通道直連到企業(yè)內(nèi)網(wǎng)，就好像在企業(yè)內(nèi)部一樣。 美國新安捷有限公司 六 . 新安捷 SGX 系列的優(yōu)勢及特點(diǎn) 6.1 專利技術(shù) SSL VPN Plus 是新安捷公司傾力打造的新一代安全接入網(wǎng)關(guān)，依靠其主要的三項(xiàng)專利技術(shù)，解決了 TCP-over-TCP 崩潰問題，突破了傳統(tǒng) SSL VPN 性能的瓶頸，成為業(yè)界性能最高、轉(zhuǎn)發(fā)速度最快的 VPN 網(wǎng)關(guān)。專利技術(shù)如下： ICCA 高智能聯(lián)接加速架構(gòu) (ICCA)技術(shù)。從根本上解決了 TCP崩潰引起的傳輸速度問題。 TSSL 透明 SSL引擎 (TSSL)技術(shù)。最優(yōu)化地處理 SSL數(shù)據(jù)包傳輸 ,聯(lián)合硬件處理器 ,使 SSL VPN-Plus具有最佳的性能。 ATCE 加速引發(fā)壓縮引擎 (ATCE)技術(shù)。采用獨(dú)特算法來處理壓縮的過程，智能壓縮，最終使信息傳輸速度與一般沒有加密的信息傳輸速度相當(dāng)。 另外新 安捷的開發(fā)人員充分考慮了窄帶網(wǎng)絡(luò)和高損耗網(wǎng)絡(luò)的特點(diǎn)，使設(shè)備能很好地適應(yīng)上述網(wǎng)絡(luò)環(huán)境，保障數(shù)