为了实现企业管理信息化,制造业企业实施了ERP管理系统,但是对制造业而言,一般工厂在郊区,而公司的销售在市中心,公司销售部门需要及时访问公司的ERP系统,同时公司在全国各地设有分公司或者办事处,另外公司的管理层出差或者销售人员出差在外,也需要实时访问公司的系统。目前主流的ERP软件大多采用C/S结构,除了在总部部署服务之外,还需要在各分支机构部署ERP软件客户端,客户端与服务器端需要反复大量的数据,但是在目前的带宽条件下,如果采用IPSEC VPN,ERP软件客户端需要频繁的调用数据库,在总部和分支机构之前频繁进行数据交换,存在速度慢等问题,传统的IPSEC VPN在ERP的互联中显得力不从心,严重影响了工作效率。而且IPSEC VPN需要安装拨号客户端,造成系统投资大,维护复杂,除了IPSEC VPN的客户端之外,还需要维护大量的ERP软件客户端和大量的本地数据,特别是一个大型的企业网络,工作量将成几何倍数增加。另外,IPSEC VPN存在NAT的穿越的局限性,给ERP的远程访问和移动办公带来无法跨越的障碍。而SSL VPN的出现,则很好地适应技术的发展,通过结合远程终端技术,实现了C/S结构的ERP转换成B/C结构,使ERP软件远程访问WEB化,实现零客户端安全加速访问,既降低了VPN和ERP部署的复杂性,实现了VPN和ERP软件的统一部署,又可以解决ERP的访问的速度。
SSL协议是网景公司设计的基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证,SSL协议栈由握手协议、密钥更改协议和告警协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(MessageAuthenticationCode)算法,用于生成在SSL记录中发送的加密密钥。SSL记录协议是为各种高层协议提供基本的安全服务,其工作机制如下:应用程序消息被分割成可管理的数据块(可以选择压缩数据),并产生一个MAC信息,加密,插入新的文件头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证、解压缩、重组数据报然后交给高层应用进行处理。SSL密钥更改协议是由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组。SSL警告协议主要是用于为对等实体传递与SSL相关的告警信息,包括警告、严重和重大等三类不同级别的告警信息。
SSL VPN的突出优势在于零客户端部署,只需要能上网,采用IE浏览器,就可以实现安全接入。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。
针对ERP远程接入,BILLION创新性的推出了BIGUARD e键联 ERP远程SSL VPN接入网关,BIGUARD e键联内置路由,防火墙和SSL VPN,支持网关部署的单臂部署,非常方便,设备内置了远程终端服务代理,可以方便的把服务器的ERP应用程序发布出来,远程的客户端通过任何标准 Web浏览器就可以登录,同时BIGUARD e键联提供了远程接入的PC的身份认证,只有授权的PC才能访问公司内部的ERP系统,如果是OA,可以提供细粒度的访问控制,为不同的人提供不同的访问权限。对经常外出的移动办公人员,可以在任何场所、通过任何终端,无需在客户终端安装任何软件,就可以安全的访问公司内部资源。这样就省去的管理员大量的客户维护。另外采用了SSL VPN,无需开放1433或3389远程桌面端口,只需要开放443加密端口,不会暴露服务器地址,保证了服务器的安全。另外SSL VPN是应用层的VPN,只是开放了应用程序,远程的客户端无法越权访问IP层的应用,同时也无法通过SSL VPN攻击总部的网络,包括木马,冲击波病毒。
具体的方案是总部(ERP数据库放置地)放置一台BIGUARD e键联ERP 远程接入SSL VPN,可以根据企业实际情况接一条或多条ADSL线路,分支机构无需采用任何硬件,并且在总部部署一台WIN2003 SERVER,启用终端服务,在并在服务器安装ERP远程客户端,通过BIGUARD e键联的应用程序发布功能,把服务器上的ERP客户端程序发布出来,这样,远程的客户根据相应的权限,只能看到发布的ERP客户端程序,而无法看到整个服务器桌面,无法操作其他程序活数据库,远程客户只需要点击连接按钮,就可以运行ERP程序,同时远程客户也可以实现本地打印和数据存储,十分方便。由于远程分支或移动用户无需安装IPSEC VPN移动客户端软件,采用IE浏览器经过身份认证之后就可以实现安全的接入,无需再安装ERP客户端软件,所有的操作都在服务器上进行,只是把屏幕,鼠标,键盘的信息传输到远程的PC上,这样就大大降低远程的数据传输,降低传统IPSEC VPN对带宽的依赖,实现了ERP的快速访问,真正实现软件统一部署,部署和日后的维护非常方便。如果还有其他基于IP层的应用,BIGUARD e键联也支持NE,即L3层VPN,可以支持IP层应用,包括网络文件共享等,网络邻居,视频和VOIP语音通信。
2、方案效果
(1) C/S架构转换程B/S架构
通过在总部部署SSL VPN,只需要在总部部署一台BIGUARD e键联SSL VPN,分支机构和远程的PC不需要部署任何硬件网关和客户端程序,利用IE浏览器就可以实现安零客户端的安全访问,大大降低投资成本和日后的维护难度。
(2)加速ERP的远程应用
通过SSL VPN和远程终端服务,由于BILLION的SSL VPN内置了远程终端代理,通过远程终端对ERP应用进行加速,实现财务、ERP系统的全公司互联,支持本地打印和存储:各分支机构与总部象在同一间办公室里一样共享并同步应用ERP管理系统,让公司管理更加统一规范,保证数据实时更新。
(3)局域网内所有应用的扩展
除ERP外,所有局域网内的应用系统、打印机等都可以得到无限扩展,如果不作权限设置,远程分支、移动用户将与总部内网用户没有任何区别。
(4)直观“网上邻居”,文件资源共享
使得企业所有不同办公地点的机构形成了内部完整的企业局域网,实现公司网络资源共享,包括文件资源安全规范共享的文档管理。
(5)访问控制
(6)真正意义上移动办公
(7) QOS应用