基于SSL VPN系統(tǒng)架構網(wǎng)絡的應用

2013-12-05 15:10:53 電力信息化　點擊量：評論 (0)

摘要：本文對實現(xiàn)VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了S

eb 應用 X X

客戶端/ 服務器應用 X X

內聯(lián)網(wǎng)內容 X X

電子郵件 X X

文件服務器 X X

服務器套接應用 X X

五、SSL VPN安全接入方案

天津電力的遠程接入的需求體現(xiàn)在下面：

天津電力的絕大多數(shù)應用系統(tǒng)是B/S的WEB應用；部分用電營銷網(wǎng)點的網(wǎng)絡規(guī)模比較小，和公司總部以及直屬單位之間沒有網(wǎng)絡互聯(lián)，業(yè)務需要通過遠程接入進行訪問內部網(wǎng)絡資源；內部員工在進行移動辦公時要求能夠安全地訪問公司內部信息網(wǎng)絡資源；遠程和移動接入系統(tǒng)需要具有強有力的用戶身份認證機制，確保公司信息網(wǎng)避免受到非法用戶的惡意訪問；遠程和移動接入系統(tǒng)需要具有強有力的訪問控制機制，確保用戶通過認證后只能訪問到被授權的內容；遠程和移動接入需要進行數(shù)據(jù)加密功能，避免敏感信息被竊取和篡改；遠程和移動接入系統(tǒng)需要具有抵御針對安全、設備與系統(tǒng)軟件集成方面的攻擊，并對客戶端提供安全脆弱性檢查功能；遠程和移動接入系統(tǒng)需要解決來自Internet的病毒和惡意入侵威脅；公司的很多應用系統(tǒng)需要進行域集成登陸，或者從usb key中讀取用戶信息進行認證。

根據(jù)上面的需求，我們選擇制訂出SSL VPN接入方案(如圖3)：

圖3：SSL VPN 接入方案

采用專用SSL VPN接入系統(tǒng)平臺，客戶端只要有標準的web瀏覽器，無需進行任何部署硬件、軟件、設備，也無需對內部服務器進行任何修改，也沒有地址翻譯的影響，也不受私有地址沖突的影響，而且?guī)缀醪恍枰魏魏笃诰S護，可以讓用戶方便、安全的接入內部網(wǎng)絡。為了提高整個遠程訪問和接入系統(tǒng)的安全，在內部網(wǎng)和Internet之間部署防火墻、IDP在線入侵防護系統(tǒng)以及網(wǎng)關防毒墻系統(tǒng)，從網(wǎng)絡和應用層面為內部網(wǎng)提供安全保障。

同時，專用的SSL VPN接入系統(tǒng)平臺可以強制對遠程用戶的安裝防火墻及防病毒軟件做出要求。與公司的防病毒軟件可以緊密的結合，只需要設置一些選項。還可以自行定義強制檢查其它的運行程序或windows注冊表項目。

在應用層面上實施安全策略，SSL VPN可以比IPsecVPN更加細化；由于SSL VPN遠程接入產(chǎn)品是應用層網(wǎng)關，采用應用層面的安全策略后，內部的應用服務器可以得到有效保護，而不必將應用服務器的第四層端口完全暴露給外部；前端的防火墻上只需配置打開tcp SSL443端口的策略就可以。

除了對B/S和email等應用的支持外，SSL VPN遠程接入產(chǎn)品可以對C/S的應用提供很好的支持，對常用的應用包括Lotus、Outlook等系列軟件， SSL VPN系統(tǒng)可以將這些應用轉化為SSL標準數(shù)據(jù)流，并不影響這些應用，例如，文件仍然可以下載到本地。

從安全角度考慮，SSL VPN遠程接入產(chǎn)品部署在Inte