广西电网公司应用深信服SSL VPN接入系统
需求概述
广西电网公司公司目前已经拥有了OA办公系统、企业内部邮件和内部网站等应用系统,内部网使用100M光纤接入互联网。现有100个公司内部用户因业务特点,需要从公司外面利用互联网便捷、安全地接入公司内部网络进行访问,实现移动办公。广西电网公司公司决定采用SSL VPN来解决,并对所选SSL VPN设备提出以下要求:
VPN设备必须能实现免客户端的接入方式,当接入众多的用户后,也要能够对接入用户进行方便、统一、有效的管理和维护,避免总部管理员工作量因此而增加。
要确保数据传输具备防窃听,防窜改特性;要有安全可靠的身份认证机制保证接入用户的合法性。同时,VPN系统还必须具备权限管理功能,能根据不同的用户、设置不同的内网访问权限。
必须要求VPN设备能够长期稳定、高效地运行,有很方便的扩展接口和充足的扩展空间,并严格执行行业标准,获取最好的兼容性;SSL设备除了能支持WEB应用,最好还能全面支持C/S应用。
解决方案及实施效果
结合广西电网公司公司的需求,作为国内领先的VPN及网络安全研发厂商,深信服科技公司推荐广西电网公司选用SINFOR M5400-S VPN/防火墙网关的解决方案,最终得到广西电网公司公司的一致认可和高度评价。
广西电网公司公司总部内部网络部署图如下:
这一方案取得了如下的效果:
1、 迅速拥有高效稳定的SSL VPN平台,用户只需使用浏览器即可接入
方便是SINFOR SSL VPN的一大特点。用户使用浏览器访问广西电网公司公司网站,即可方便地建立SSL VPN链接,进而使用内部各个办公系统。在客户端不需要安装任何应用软件,不需做任何配置。
2、 各种基于TCP的应用系统均可利用SINFOR SSL VPN平台互联实现移动办公
广泛的应用支持是SINFOR SSL VPN的另一特色,深信服公司的HTML智能重构技术使基于WEB应用的每一项功能都可以实现。
3、用户接入的安全认证、CA证书认证和认证重定向
SINFOR SSL VPN具备用户认证重定向功能,能与第三方认证有效集成。可以从微软域服务器的Active Directory或LDAP服务器中直接导入用户数据,能和第三方的LDAP认证服务器或RADIUS认证服务器有效集成。
同时,SINFOR SSL VPN还内置了一个CA中心,可以减少中小企业构建CA安全认证体系的成本。通过该CA中心,管理员可以给每个远程接入用户颁发证书,用来认证每个接入用户的身份。
3、 接入后的用户受控于更细致的访问控制粒度
SINFOR SSL VPN对每个用户的访问控制粒度精确到了URL级别。根据组织的构架,用户可以分组管理,而授权粒度则可以按照角色进行管理,可以为每个用户或每个组分配一个或多个角色。比如可以为某用户分配经理和财务的双重角色,这样他即可以访问经理的文档数据又可以使用财务系统。同时SINFOR SSL VPN通过行为跟踪引擎,对每个远程接入用户的所有访问记录都留下了日志记录。
4、 数据传输的安全
SINFOR SSL VPN采用SSL协议加密建立安全的专用通道,使用1024位的非对称密钥进行身份认证过程的加密,使用128位的RC4算法和3DES算法保护数据传输的安全。
5、 集成防火墙,有效保护内部服务
SINFOR SSL VPN集成了高性能的防火墙,对外只开放443端口,能有效保护内部服务器免受来自Internet的各种攻击,包括对开放端口的DOS攻击。
技术特点
1、 性能和容量
Sinfor M5400-S支持3000个并发用户,15000个并发会话,并大量使用高效率的哈希算法查询,使单用户状态和多用户状态的性能差别可以忽略不计,只要网络的物理带宽能够满足应用系统的数据流量,SINFOR SSL VPN不会成为整个系统的性能瓶颈,以出色的性能保证系统的稳定性。
2、 扩展和兼容
只需要更改SINFOR SSL VPN设备的一个序列号就可以完成用户数量的扩充,SINFOR SSL VPN提供按需求定制的VPN授权体系,客户可以根据自己的实际需要购买精确的授权数目。
借助于浏览器技术,SINFOR SSL VPN可以支持所有网络环境,只要浏览器能够上网就可以使用SSL VPN。采用Java技术实现对扩展应用的支持,由于Java的跨平台特性,因此SINFOR SSL VPN可以运行于任何支持SSL协议和Java的终端设备上。