清大信安
校园数字图书馆SSL VPN
解决方案
清大信安(北京)科技有限公司
一、 需求概述
1. 1背景介绍
信息是人类社会存在和发展的基础,是科学技术向前发展的必要条件。当今社会互联网的普及、移动通信技术的进步、信息化程度的提高,使全世界的数字信息高度共享成为可能。这就给数字图书馆事业的发展带来了前所未有的挑战和机遇。从2004-11-05 中国高等教育数字化图书馆(CADLIS)建设项目的正式启动,一直到2006 年8 月3 日,在国家发改委和财政部委托教育部召开的“十五”“211 工程”公共服务体系建设项目专家验收会上,CALIS专题项目圆满完成建设任务。在这其间中国高校的数字图书馆建设得到了前所未有的高速发展。不管是国家还是高校都在电子资源方面投入了大量的精力和财力以方便广大师生使用。并努力缩小与国外先进大学的差距,电子图书馆的建设已经成为当今数字化校园建设的新亮点。国内很多高校近几年都从网上购置了大量的电子数据供广大师生展开教学研究。这些资源对于学校学科建设和科学研究工作有很重要的意义,数字图书馆的建设和应用已经成为高校信息化建设和现代教育技术改革工作的一大重点。
然而在建立和使用数字图书馆的过程中,电子资源商出于版权保护的需求,对高校使用其电子资源采取了一些保护措施,控制数字内容及其分发途径,从而防止对数字产品非授权使用。正是在这样一种保护知识产权的背景下,图书馆所购买的电子资源大部分都有限制访问的IP地址范围或访问账号控制,其中又以限制IP地址范围为主要手段,其实现主要通过以下方式进行:
1、 采购的这些数据库不是存放在图书馆服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户。
2、 只要是从校园网出去的IP地址都是认可的,因为校园网出口IP和部分公网IP地址是属于这个有限范围的,所以校园网上的所有上网计算机都可以使用。
3、 如果教师、学生在家里上网或者一个老师到外地出差需要访问这些电子资源,无论采用PSTN拨号、ADSL、小区宽带,使用的都是社会网络运营商提供的IP地址,不是校园网的IP地址范围,因此数据库服务商认为是非授权用户,拒绝访问。当然,我们也可以要求服务商进一步开放更多的IP地址为合法用户,但是这要求访问者的IP地址是固定的、静态的,而实际上,绝大多数校外用户使用的都是动态IP地址,是不确定的,所以数据库服务商无法确定访问者的合法身份,因而自动屏蔽。
从上述情况我们可以得到一个结论,大部分的电子资源仅能在校园网范围内访问,离开了校园,老师或学生将无法访问这些电子资源,而随着高校后勤社会化的深入发展,越来越多的教师和学生在校外居住,他们对各类电子资源的访问需求仍然是存在的,同时还有大量的校友、客座教授、外聘教师也需要随时随地地接入校园网共享丰富的校园网资源。因此,高校需要一套可管理、可认证、安全的远程访问电子图书馆的解决方案,将校园网当作校外用户的中转站,使校外用户通过相应的身份认证进入校园网后再通过校园网访问相应的电子资源数据库,从而满足更多师生访问馆藏资源、网上资源的需求。
由于电子资源的网外访问具有应用复杂(Web应用、C/S应用)、安全性要求高(重要的科研教学数据)、访问量大(用户量大、流量大)、用户环境复杂(终端类型多、网络环境复杂、用户IT水平参差不齐)等特点,在选择相应技术和产品时应充分考虑所选择产品具有的易用性、扩展性、容量等多方面内容。
1.2 需求分析
校园网校内网络上有很多资源,如图书馆内的图书资源、学术资源、各类数据库资源等。这些资源除了部分对教育网开放,其它只对内网用户开放,想要访问这些内部资源,就必需拥有校内网络的地址,否则不能正常使用校内资源。解决这一问题的传统方式是VPN 接入。采用这种方式不仅配置复杂、运行维护成本高,而且缺乏对客户端点安全的评估手段,难以保证端对端的安全性。
而校园网内部信息对于安全性的要求是比较高的,外部访问内网的目的不仅要考虑高速高效的达成,还要考虑到用户接入前的身份认证及接入后的访问权限问题。
但是,大部分的电子资源仅能在校园网范围内访问,许多在校外居住和生活的教工和学生、校友、客座教授、外聘教师由于离开了校园网范围,无法访问到学校内的资源,以及学校提供的外网资源。现状如图所示:通过高校数字图书馆目前普遍存在的问题,我们看到中国政法大学在以下几个方面需要解决。
Ø 网外用户访问校内图书馆资源的问题
图书馆的电子资源访问都是通过校园IP地址判断的,所以在网外的客户由于没有允许的IP地址所以造成大量教职工、学生无法访问的情况。
Ø 移动用户接入安全问题
无论是学校电子资源的版权还是校园网内的科研教学数据都是无价的,使得远程访问资源的安全性必须得到很高的重视。而且校园网的安全是高校行政办公系统正常运转的保证,安全问题不容忽视。
Ø 远程接入易用性问题
校外访问用户IT水平参差不齐,程序的安装及繁琐的配置务必会加大老师和学生的负担,影响资源的使用效率,并造成各种各样的问题。而且管理人员的维护量和成本会倍增。
Ø 用户自运营商网络访问教育网内电子资源速度慢的问题
由于多数校外访问者使用的是当地运营商提供的网络(如电信的ADSL),这些运营商网络与教育网之间的访问速度非常慢,导致校外用户通过这些网络访问电子资源的速度很慢,极大的影响了用户使用的满意度。
Ø 不同格式电子资源应用的支持问题
图书馆现有的应用系统类型丰富,而且需要考虑试用的以及将来扩展的电子资源应用。远程接入系统需要对所有的应用(B/S,C/S)都能做到完整的支持。
Ø 大量用户访问问题
由于高校的资源多数都是购买授权的方式,上游的电子资源服务商对资源的应用是有限制的。除了限制发起的IP地址外,还会限制单一IP地址所产生的流量。
根据以上需求,我们认为VPN技术是一种比较理想的解决方法,也是目前多数已经解决以上需求的高校所采用的方式。
二、 解决方案
2.1 VPN技术在高校图书馆的应用分析
VPN是虚拟专用网的简称,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet Service Provider 服务提供商)和其它NSP(NetworkService provider网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的物理链路资源动态组成的。
实际上,目前国内已经有不少高校采用了或者正常尝试使用VPN技术来解决这个问题,而且大多是采用的IPsec VPN技术。利用IPSEC技术,校外用户在本机安装一个VPN客户端软件后经过配置连入图书馆网络,IPSEC VPN中心端会给每个远程用户分配一个校园网IP地址,从而实现远程用户以校园网用户身份访问电子资源。
虽说IPSec VPN是目前VPN的主流技术之一,但IPSEC协议最初是为了解决site to site的安全问题而制定的,因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。
Ø 首先是客户端配置问题:
在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。
Ø 其次是IPSec VPN自身安全问题:
往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径,并且在如何针对不同用户身份设定对不同资源的访问权限上也存在不少缺陷(随着技术的发展,新兴的VPN厂商已经着手改进这些问题并取得了相应的成绩)。
Ø 然后是对网络的支持问题:
传统的IPSec VPN在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。
Ø 最后是移动设备支持问题:
随着未来通讯技术的发展,移动终端的种类将会越来越多,IPSec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。
因此,SSL VPN技术应运而生。
SSL VPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。所有的校外用户只需要打开IE浏览器访问图书馆的Internet IP即可成功接入图书馆,SSL VPN技术采用了一种类似代理性质的技术,所有的访问都是以SSL VPN设备的LAN口的名义发起的,所以只要SSL VPN设备的LAN口IP是一个合法的校园网IP,所有成功接入SSL的校外用户都可以成功访问这个SSL VPN设备LAN口所能访问的资源。
但SSL VPN并不能取代IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个局域网之间通过Internet建立的安全连接,保护的是点对点之间的通信,并且,IPSec工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。从高校应用来看,由于SSL接入方式下所有用户的访问请求都是从SSL VPN设备的LAN口发起的,对于那些对单个用户流量有严格限制的资源商来说,这些SSL用户的访问会被当成一个用户对待,很快就会因为达到资源商的流量限制而造成该IP被禁用,也就导致所有SSL用户无法继续访问图书馆资源。
那么,高校图书馆应该选择何种VPN技术以解决目前校外用户合理访问图书馆各类资源的需求呢?
2.2 高校数字图书馆对VPN技术的特殊要求
我们知道,上游资源商对于资源的应用是有限制的,除了限制发起请求的IP地址外,还会限制单个IP地址所产生的流量,因此在图书馆大量的校外用户群中,我们将用户分为两个类型,一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主,数量较少),另一类则是使用次数较少、访问数据不多的用户(以学生为主,数量较多),通过用户使用习惯的分析,我们发现给访问量大但数量少的教师用户必须获得独立的校园网IP地址,这样就可以把大量的用户流量分配到不同的IP地址上,避免单个IP流量过大造成的问题,而那些数量众多但访问量小的学生用户则允许在一个IP上发起访问,而不会造成单IP流量过大。
因此,我们建议贵校图书馆选择使用清大信安科技推出的Access 安全控制应用网关一体化SSL VPN,该产品具有完全自主知识产权的软硬件一体化专用设备。Access 基于SSL 安全通信协议,支持PKI证书认证和数字签名机制,为业务应用系统提供强身份认证、应用授权和访问控制、数据加密和完整性保护、抗否认等安全服务。通过特殊优化的体系结构和高性能的密码运算硬件加速设备,在保证业务应用处理性能和提供安全性保护之间建立了完美的平衡,实现了易用性和安全性的统一。利用SSL VPN无需部署客户端的特性,满足学校大规模校外用户访问的需求,大大降低客户端的维护工作量,从而实现VPN在图书馆应用的快速部署。拓扑如下:
三、方案优点及给客户带来的价值
3.1方便易用的SSL VPN
3.1.1 无需安装客户端立即使用
Access严格遵照SSL协议标准,因此无需在客户终端安装任何软件。几乎所有的个人计算机都安装了网络浏览器,利用浏览器内置的SSL模块,Access 不再需要安装额外的客户端软件,就可以为远程接入和应用通信提供安全保护。通过利用这种“零客户端”的方式,Access 可以将配置和维护远程计算机的成本降低到最低,无需进行培训,即使初级的终端用户也能立即轻松使用。
3.1.2 完全的网络兼容性和设备兼容性
借助于浏览器技术Access可以支持所有网络环境,只要浏览器能够上网就可以使用SSL VPN。采用C语言实现技术可以非常方便地将产品移植各种体系结构的硬件平台上,目前产品支持的硬件平台有:Intel X86硬件平台、Intel Xscale 425网络处理器平台、PPC 8541硬件平台。
3.1.3 使用HTML智能重构技术支持Web应用
如果SSL VPN仅仅对Web应用做简单的HTTP 到 HTTPS 的协议转换和代理将无法支持所Web应用。比如有一个链接指向本地的一个网页写成了绝对路径,如:http://192.168.0.1/entry/link .htm,那么这个链接在192.168.0.0的局域网内是可以正常访问的,但是到了SSL VPN的浏览器上,如果保留这个链接不变,由于使用者不在局域网络,将导致无法打开此链接。因此,SSL VPN还需要对这些链接做识别重写URL链接,将其转换成https的有效链接。Access采用了HTML智能重构技术,可以重写包含绝对路径的HTML代码,从而支持几乎所有Web应用。Access并不重写所有HTML代码,而是根据智能搜索引擎判断出需要重构的网页再加以修改,以保证响应的速度。
3.1.4 广泛支持各类B/S和C/S应用具备良好的可扩展性
除了使用HTML智能重构技术全面支持B/S应用外,Access 还可以使用端口映射和目录映射技术,以及ActiveX 方式的本地安全代理技术,能够为绝大多数的Browser/Server 和Client/Server 模式的业务应用提供透明的安全服务。由于Access 能够同时保护多个后端的业务应用,因此在结构上具有良好的可扩展性,新的应用系统可以随时添加进来,置于Access 的保护之下。
Access采用ProxyIE技术支持TCP代理应用。通过IP Tunnel技术支持所有TCP/IP应用。Access可以支持绝大多数常见的静态或者动态端口的C/S应用,包括网上邻居、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等。这种对C/S应用透明支持的技术,使得客户端在使用SSL VPN时不需要做任何配置更改便可以访问。并且Access支持内网DNS服务,若企业内部自建有DNS服务器,则在客户的资源列表中可以直接输入域名就可以访问相应的内网资源。
3.1.5网络安全代理实现分布式系统的安全部署
一般的SSL VPN在部署的时候都是采用一点对多点的星形部署模式,用户需要发布的资源比较集中,通过一台或者多台VPN就能够对外提供安全服务了。但是对于分布式系统的用户资源来说,需要统一呈现给用户访问,屏蔽资源的地理差异。网络安全代理技术既可以将一段服务映射到不同地域的VPN的服务上,也可以将一个网段映射到其它VPN的安全域中,非常灵活的完成分布式系统的安全部署需求。这种部署方式特别适合行业级VPN需求及大公司多分公司的环境。
3.2更加安全的SSL VPN
3.2.1安全的加密认证、USB KEY双因素认证
Access采用SSL协议加密建立安全的专用通道,可以使用1024位、2048位、4096位的非对称密钥进行身份认证过程的加密,使用128位、256位的RC4算法和3DES算法保护数据传输的安全。为防止用户身份被盗用,Access除了使用用户名密码/证书的认证方式外,还使用USB KEY(一种USB 的身份认证设备)进行双因素身份认证。为防止USB KEY丢失被盗用,还为USB KEY加入了PIN码保护。为防止对PIN码的强制性攻击,在芯片级设置了多次密码试错自锁功能。
在用户的资源列表中,除了C/S应用的透明支持,Access还增加了一个隐藏服务。用户在访问总部的资源时,Access可以不在用户可用的WEB、APP资源列表中显示其具体的资源,但用户仍然可以使用。这种支持隐藏服务的功能,更加保证了企业内网资源的安全性。
3.2.2双向的证书验证,支持完整的PKI体系
目前很多SSL VPN仅仅支持服务器端的数字证书,这样就无法使用PKI体系识别接入用户的真伪。Access能够支持双向的数字证书:不仅支持使用证书对服务器身份进行认证,还能够对客户端身份进行验证。这样Access就能支持开放的PKI体系,和许多使用CA中心的应用有效集成,简化认证过程:即同一套PKI即用于SSL VPN的接入认证,又用于接入后登录应用系统的认证。
3.2.3与第3方认证有效集成
Access可以从微软域服务器或LDAP服务器中直接导入用户数据,能和第3方的LDAP认证服务器或RADIUS认证服务器有效集成。这样一个组织机构就可以保持一套认证体系,简化了部署过程,避免多套认证体系带来的更多维护成本和更多安全风险。
3.2.4自建CA中心,减少安全构架成本
Access中内置了一个CA中心,可以减少中小企业构建CA安全认证体系的成本。通过该CA中心,管理员可以给每个远程接入用户颁发证书,并存储在USB KEY中,用来认证每个接入用户的身份。同时Access也支持第三方CA中心,支持CRL和OCSP证书认证协议。
3.2.5内置了防火墙系统,自身具备良好的安全性保证
作为HTTPS服务器,所有SSL VPN都同样面临着DOS的威胁。所以大多数SSL VPN都需要前置防火墙保护其安全。而Access自身就是一个防火墙,集成了对DOS等攻击的防御手段。其防御DOS的基本原理如下:在网络层模拟应用层对DOS攻击的主机发起应答,由于DOS攻击主机无法完成3次握手,因此可以识别出不完整的请求,避免了把攻击发送到SSL VPN应用上。而对于真实的SYN,在网络层完成了SYN的3次握手后,再模拟请求的客户端把SYN请求发送到应用层。通过这种SYN代理的方法就使得正常的SSL VPN远程访问顺利的通过防火墙到达内部服务器,而DOS攻击则被拒之门外。
3.2.6更高的访问授权粒度
Access对每个用户的访问控制粒度精确到了对每个资源进行何种操作的级别。例如对某个文件用户A能访问列表但不能阅读,而用户B既可以阅读也可以下载。对用户的授权是按照组织的构架,把用户按角色进行管理,可以为每个用户或每个组分配一个或多个角色。比如可以为某用户分配经理和财务的双重角色,这样他即可以访问经理的文档数据又可以使用财务系统。通过这种有特色的角色权限分配体系能满足各种现实世界中的权限设置要求。同时Access通过行为跟踪引擎,对每个远程接入用户的所有访问记录都留下了日志记录。
3.2.7支持国家密码算法,深层次提升安全体系
密码算法设计的安全性和实现的安全性,对于基于密码算法的安全系统设计十分关键。目前市面上的SSLVPN基本上就是直接利用浏览器中已经嵌入的国际标准算法,来保证企业信息传输的机密性和完整性。所使用算法有:DES、3DES、RC4;RSA;MD5、SHA-1等,这些算法的设计都是源自国外,对于国家安全来说,其安全性是受到怀疑的。
对于符合国家主管要求的SSLVPN,必然是采用了密码主管部门审批算法的SSLVPN,其实现方式在SSLVPN中使用了高性能的密码卡来提供密码处理功能,在客户端采用USBKey等硬件载体来实现密码处理,从而实现了服务器端与客户端之间有效认证和传输加密问题。
用国家主管部门审批的算法替代国际公开的算法,同时采用硬件实现,安全性得到了很大提高,提升了安全级别,同时也符合国家相关政策的要求。对于安全比较敏感,希望获得最完善安全体验的大型企业和政府用户,可以采用自主算法的产品,以便实现安全的万无一失。
3.3 更加快速稳定的SSL VPN
3.3.1强大的密码处理能力,加速密码运算性能
密码运算过程复杂,消耗计算资源,使得安全处理经常称为影响应用性能的瓶颈。Access采用强大的密码加速硬件设备,突破密码运算的性能瓶颈,保证业务应用的服务质量,轻松满足大规模企业级应用。
3.3.2基于事件的处理机制,极大的提高系统的处理容量
Access从开始设计时就定位在为电信级企业提供安全保障服务,通过无数次性能测试-调整-测试,最高并发用户连接数能达到数万之多,能够满足用户的各种需求。
3.3.3支持多机热备多机同时运行,性能能达千兆线速
Access自身就支持多机热备部署,当VPN网关启动时,系统会自动监听热备网卡上是否相应的信号。若有检测到另外一台VPN网关的信号时,表明有备份设备存在。则此时VPN网关会自动协商主备信息,其中一台的设为主设备,另一台设备为备份设备。当主设备发生故障时,备份设备在5秒内没有收到来自主设备的信号,则备份设备认为主设备出现故障,随即启动相应服务程序,切换为主设备状态。而这一切对于客户端来说,都是自动进行的,整个过程无需人工手动干预。
同时Access结合清大信安(北京)科技有限公司的负载均衡(TiSLB)产品,能够达到8台设备同时工作同时运行,并且该TiSLB产品是驱动级TiSLB产品,自身处理性能就能达到千兆线速,这使得整个VPN群集系统的处理能力就能达到千兆线速。
3.3.4强大的负载均衡能力,为应用提供高性能群集计算性能
Access提供的负载均衡可以在用户现有网络结构的基础上,提供一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。
3.3.5故障自动恢复能力
Access提供了故障自动恢复功能和配置备份功能,当系统出现故障时能自动恢复,并把故障现场信息保留下来,进行故障分析并且彻底解决问题。
3.4 更好管理的SSL VPN
3.4.1多种配置方式,操作简单
可以使用命令行方式和图形配置界面来配置Access并且提供多种配置备份的方法,使管理员可以非常灵活的配置产品。同时Access还提供集中管理界面,为配置在分布式环境中多台VPN提供方便。
3.4.2实时监控,易于维护
通过远程监控平台,管理员可以实时地监控用户的接入情况,实时观察SSL VPN的运行情况。使用丰富的系统日志,可以及时定位故障,并实施远程维护。通过GUI界面,管理员还可以随时查看每个在线用户的情况,可以随时中断可疑会话,方便快捷。还可以实现告警的短信通知,及时通知到终端用户。
3.4.3 完善的日志功能
Access提供了高级日志、简单日志、审计日志、错误日志四个级别的运行日志,帮助管理诊断系统。并提供了用户访问记录审计和报表来记录、跟踪用户行为。由于VPN网关的存储空间有限,还提供了独立的日志服务器,这样日志空间可以不受存储空间的限制。
3.4.4 在线升级
Access可以在线升级Firmware以提高系统的性能和功能。通过在线升级功能,管理员可以拥有不断更新换代的SSL VPN产品。同等型号的设备的所有升级都将是免费的。
四.产品功能
按照 Access 所提供的应用安全服务的不同,将产品功能划分为以下类别:
ü 应用模式
ü 访问控制
ü 特色功能
ü 安全性与可靠性
ü 整体性能
ü 管理维护
4.1灵活多样应用模式
Access通过多种卓越的技术使SSL VPN能够满足企业的各种业务应用的访问,无论是B/S结构应用还是C/S结构应用,底层数据都经过SSL协议安全防护,充分满足了企业业务应用的全局安全访问需求。
|
Access功能
|
功能描述
|
|
无客户端浏览器访问
|
客户端只需要具备标准浏览器即可访问SSL VPN,而不需要预装专用的客户端软件。用户可以随时随地方便、安全访问企业的内部应用,提高企业的生产效率。
|
|
IP隧道模式
|
建立IP层SSL VPN隧道,支持所有IP层应用。适用企业的各种复杂的业务应用,将企业的各种IT资源通过互联网安全交付。
|
|
应用服务模式
|
通过Activex控件方式支持客户端发起的TCP应用,而不需要建立三层隧道。支持绝大多数常见的静态或者动态端口的TCP应用,包括网上邻居、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等。对于Citrix和Windows Terminal Service应用,还可以通过浏览器方式访问特定瘦客户端,简化终端操作,方便系统部署,提升安全性。
|
|
WEB目录映射模式
|
将URL中的目录名映射为内部网络中的WEB服务资源,用户直接通过浏览器进行访问,不需要加载任何控件,支持各种类型的客户端,Windows、Linux、Cell Phone、PDA等。
|
|
WEB资源映射模式
|
在用户访问内部WEB过程中,通过改写网页中URL链接,发布内部网络中的WEB资源。用户通过这种100%无客户端访问内部Web资源,通过认证、加密、应用访问控制达到更高的安全性,且不需要安装任何插件和控件,更加灵活便捷,使企业Web应用接入管理和部署更加轻松。
|
|
WEB重定向
|
根据用户的权限将HTML网页中的URL资源有选择地进行重定向,使得用户既能获取授权的资源数据,又能以保证服务的响应速度。
|
|
正反向代理模式
|
支持传统的正向代理和反向代理功能,既能让内部员工通过Access访问互联网,又能让将位于内部网中的服务器安全地提供给Internet授权用户访问。
|
|
HTTP代理模式
|
可以将Access部署为一台高性能HTTP代理服务器,既支持HTTPS的代理服务,又能提供多种认证、计费方式。
|
|
SOCKS代理模式
|
可以将Access部署为一台高性能SOCKS代理服务器,既支持TCPS的代理服务,又能提供多种认证、计费方式。
|
|
网关到网关模式
|
类似IPSec VPN的一种部署模式,它将多个独立的安全域通过SSL IP 隧道技术连接起来,非常适合具有分支机构的各类企业,通过互联网建立自己的VPN网络。
|
|
文件同步与恢复
|
定时检查分布式文件数据,当发现文件被修改时,通过SSL安全隧道将数据同步到异地服务器的指定目录中或者从文件服务中用原始数据恢复发生修改的文件,防止文件被非法篡改。
|
|
文件共享模式
|
用户可以通过网页操作的方式对内网中的windows文件共享服务器、NFS文件共享服务器、FTP文件共享服务器进行文件上传下载操作。
|
4.2访问控制
对企业数据中心和业务应用的安全威胁,很大一部分是非授权的访问,因此认证鉴权对于SSL VPN至关重要。Access 提供多种认证手段和细粒度的授权访问策略来保障SSL VPN的可控性和安全性。
|
Access功能
|
功能描述
|
|
本地用户数据库认证
|
Access设备内部有一个小型数据库,可以存放用户名和密码信息。不需额外的认证服务器即可实施SSL VPN接入认证,便于系统的快速部署。
|
|
数字证书验证
|
支持客户端数字证书验证,并可以验证证书内部主题字段,数字证书可以存储在智能卡、USB-Key等介质中。和和PKI/CA架构相结合,极大提高系统接入的安全性。
|
|
第三方认证服务器
|
支持Radius、LDAP、AD等第三方认证服务器的用户身份认证。便于和企业已有的认证系统集成,企业可以统一管理用户的接入。
|
|
双因素认证
|
支持RSA SecurID、SecureComputing等动态密码认证,支持多种短信密码认证的集成解决方案,提高用户接入认证的安全强度。
|
|
细粒度访问权限控制
|
方便灵活定义用户的权限,根据权限对网页资源、文件资源、地址资源、应用服务资源、隧道资源、互联网资源、时间资源等各类资源进行授权管理。
|
|
角色映射
|
将Radius、AD、LDAP的用户映射到本地角色中进行授权,而不需要扩充这些认证服务器的属性。便于用户更加方便的实施权限管理控制。
|
4.3特色功能别具一格
|
Access功能
|
功能描述
|
|
内置CA证书管理系统
|
支持基于PKI和X.509等相关标准的证书管理功能,能够接受证书申请请求、审核证书请求、签发证书、发布证书、吊销证书、生成和发布证书撤销列表和证书库的管理。充分适应数字认证中心提供的安全特性,提高IT架构的整体安全。
|
|
负载均衡
|
负载均衡提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。
|
|
健康检查
|
健康检查机制主要是对负载均衡系统的真实服务器进行定期检测,发现其中某个服务器失效将关闭该成员,当失效的真实服务器恢复功能以后,又将其打开重新加入负载均衡算法选择的对象中。
|
|
WEB缓存
|
根据进来的WEB请求保存服务器返回的内容副本,然后当下一个请求来到时,如果是相同的URL,缓存直接使用副本响应访问请求,而不再向服务器再次发送请求。从而加快了服务响应速度和减少了网络带宽消耗。
|
|
单点登录
|
将SSL VPN登陆的用户账号/密码信息传递给后台服务器业务应用,用户只需一次登陆。用户不必重复输入账号/密码,方便使用,改善用户的使用体验。
|
|
域名解析
|
不仅支持标准的域名解析协议,而且可以为访问用户解析内部域名。
|
|
QoS流量控制
|
通过对网络应用流量划分等级,为不同等级的数据流分配带宽资源,最大限度为关键应用提供带宽资源保护。
|
|
内置多种网页应用
|
产品内置多种常用网页应用:论坛应用、聊天室应用、网页邮件应用、WEB办公应用,为客户减少应用管理成本。
|
4.4安全性与可靠性
SSL VPN在应用访问中的网络位置及扮演的角色至关重要,其安全性和可靠性将与企业的业务正常运行息息相关。Access通过提供多层次的安全防护来保障数据中心的安全,从数据的加密、用户身份的认证鉴权,到后台的应用防护,从设备本身的操作系统内核防范、IP层限制规则,到四到七层应用的过滤控制,全面保障企业应用的持续健康运行。 Access还支持集群部署架构,充分保障企业业务应用的高可用性。
|
Access功能
|
功能描述
|
|
数据加密
|
支持标准SSL协议和TLS协议,SSL会话的对称密钥通过协议动态生成。支持多种加密算法实现数据加密:DES、3DES、RC4、AES、RSA、MD5、SHA-1;支持1024位、2048位、4096位RSA非对称加解密算法。保障数据传输的私密性,防止用户假冒,防止数据篡改。
|
|
支持中国国密算法
|
全面支持国家SSL VPN规范,使用国密局鉴定的SCB2(SM1)加密算法,从根本上解决了加密算法的安全性。
|
|
采用加固操作系统
|
独有操作系统内核,可以保护服务器免遭网络攻击,并提供TCP syn-flood保护,突发事件保护,完全的DoS保护,以及URL过滤能力。
|
|
多机热备机制
|
对设备本身的集群,支持多种模式:Active-Active,Active-Standby,达到系统自身的高可靠性,最多可以做到32台设备的集群。通过集群功能实现冗余能力,为企业业务系统的运行提供更高的可用性保障。
|
|
内置防火墙
|
完整的状态检测应用防火墙,在不影响性能的情况下,提供基于源和目的地址/端口的线速ACL控制。支持内容过滤、防DOS攻击。抵御各种网络攻击,提高企业应用系统的整体安全级别。
|
|
故障自动修复
|
自动检测系统的临界状态,发现错误或不稳定状态时自动修复。
|
4.5领先的整体性能
SSL VPN应用越来越广泛,不但应用到企业的远程办公环境中,还会应用到企业的业务系统中,访问量会非常大。Access通过多种性能提升机制,保障系统的整体性能。
|
Access功能
|
功能描述
|
|
强大的硬件加速
|
通过SSL硬件加速卡实现SSL 运算,具有极高的SSL处理能力,保证系统响应毫秒级的延迟。从而大幅度缩短用户等待时间而增强了SSL VPN响应能力,极大提高了企业关键应用的访问体验,保证了企业生产的高效率。
|
|
海量并发用户处理能力
|
最高端的设备可以支持多达30,000个并发用户,降低用户的硬件成本,更方便扩展为企业级的实施方案,同时达到每个并发用户的成本最低。
|
|
连接复用技术
|
把许多客户端单独的HTTPS请求捆绑到相对较少的服务器的TCP连接中,而不用采用一对一的方式把每一个HTTPS/TCPS连接从客户端传递到服务器。减少服务器的负载从而提高应用的响应能力。
|
4.6便捷的管理维护
对SSL VPN系统部署与管理的关注莫过于企业IT管理维护人员了,这涉及到设备管理的复杂性,并与系统的维护成本关系非常大。Access提供命令行、图形化界面等多种配置和维护管理手段,具有很强的易用性,便于系统的实施和管理。同时提供详尽的日志审计分析,为设备运行分析及安全监控提供了有效的工具和手段。
|
Access功能
|
功能描述
|
|
可扩展日志管理系统
|
支持SYSLOG日志服务,和用户自定义日志,当日志文件达到设定值时可以通过FTP、TFTP等方式上传到日志服务器上。
|
|
图形配置界面
|
基于浏览器访问的图像化配置界面,简单易用;不需要加载任何控件或插件,方便部署;每台设备都可以作为集中管理平台接入点,方便配置企业内部分布式部署的所有设备。
|
|
CLI命令行操作界面
|
命令行配置管理方式可通过Console、SSH登录等方式访问操作,配置操作命令易学易用,节省维护管理和部署时间。
|
|
兼容第三方管理工具
|
支持SNMP、SYSLOG,可以和众多网管系统集成,如Microsoft Operations Manager、HP OpenView、IBM Tivoli等。便于企业作统一网管,提高IT架构的管理能力。
|
|
图形化系统监控界面
|
针对CPU、内存、磁盘、实时并发用户、实时并发连接、网络流量等系统资源提供基于WEB方式的图形监控界面,并且内置小型数据库,能够对周数据、月数据、年数据进行统计分析。
|
|
系统在线升级
|
可以通过HTTP、FTP、TFTP等方式进行系统升级,以提高系统的性能和功能。通过在线升级功能,管理员可以拥有不断更新换代的SSL VPN产品。
|
五、产品部署模式
5.1产品定位
Access 针对拥有网络应用需求的各类企业,侧重于有分布式应用需求的企业集团,帮助企业的分支机构、商业合作伙伴及遍布各地的用户,通过简单的操作,实现远程访问企业的核心系统和资源,从而推动企业的信息化发展。
Access 针对的目标企业应用环境包括:
l 电子商务交易平台
l 电子政务应用系统
l ERP 、CRM、 SCM、OA、财务、人力资源、物流管理等系统
l 关键内部业务应用系统
l 电子邮件应用系统
5.2典型部署模式
Access 以安全网关的形式,直接部署于受保护的应用系统前端,如下图所示:
Access 重点解决应用安全的需求,要依赖于安全的网络环境的支持,因此通常会将Access 部署在企业网络的边界防火墙后面,典型位置是边界防火墙的非军事化区 DMZ中。
5.3电子商务应用方案本案例示意了商业银行的网上银行业务系统,使用Access 为远程用户的访问和业务数据传输提供安全保护,网上银行业务系统是典型的B/S 模式的电子商务应用系统。该商业银行已经建立了 PKI 认证系统,为Access 和用户签发数字证书,并使用专门的USBKey 设备用于证书和密钥的存储。用户登录系统,在通过双向证书身份认证和应用访问控制之后,可以访问网上银行系统,所有网上银行业务数据的传输均得到高强度的加密和完整性保护。
5.4远程接入应用案例
本案例示意了制造型企业使用 Access为远程办公和移动办公的用户提供远程安全接入服务。该企业建立了第三方的动态口令认证系统,对外以Radius 标准协议提供认证服务接口,该认证系统为每个远程用户都颁发了动态口令卡设备,用于进行登录认证。Access 自己产生服务器证书。
远程用户首先通过因特网访问 Access,对网关服务器的身份进行认证,并且在单向SSL 安全通道的保护下,根据动态口令卡临时产生的登录口令,提出登录请求。Access 将用户ID/登录口令,转发给Radius 服务器进行认证,通过用户身份认证之后,对其进行权限检查和访问控制。
接下来,用户就可以在 SSL 通道的安全保护之下,访问其授权范围内的企业服务资源,包括B/S 模式的Web 门户和电子邮件系统,以及C/S 模式的OA、ERP、CRM 等内部信息管理系统。