安全性極高的第三方網(wǎng)絡(luò)接入解決方案

1、企事業(yè)單位的IT支撐體系一般由內(nèi)部網(wǎng)絡(luò)+第三方業(yè)務(wù)網(wǎng)絡(luò)組成。目前很多企事業(yè)單位的第三方業(yè)務(wù) 網(wǎng)絡(luò)占據(jù)著越來越重要的位置，如何使用VPN技術(shù)，組建安全經(jīng)濟(jì)的第三方接入網(wǎng)絡(luò)，讓上游供應(yīng)商、下 層代理商等第三方機(jī)構(gòu)可以高效使用業(yè)務(wù)系統(tǒng)，不斷優(yōu)化企事業(yè)單位的業(yè)務(wù)流程？一、第三方業(yè)務(wù)接入的背景現(xiàn)在的企事業(yè)單位的內(nèi)部網(wǎng)絡(luò)主要有OA、ERP、CRM等系統(tǒng)，負(fù)責(zé)處理、優(yōu)化內(nèi)部業(yè)務(wù)流程；而第 三方業(yè)務(wù)網(wǎng)絡(luò)則主要解決企業(yè)與客戶、合作伙伴、監(jiān)督機(jī)構(gòu)及其他的第三方單位進(jìn)行業(yè)務(wù)數(shù)據(jù)的交互（如 稅務(wù)行業(yè)的網(wǎng)上報(bào)稅、統(tǒng)計(jì)行業(yè)的工業(yè)直報(bào)、銀行行業(yè)的網(wǎng)上銀行、制造行業(yè)的供應(yīng)系統(tǒng)等）。為了解決第三方的接入問題，企事業(yè)單位需要建立

2、一套安全、經(jīng)濟(jì)的業(yè)務(wù)網(wǎng)絡(luò)。此類業(yè) 務(wù)往往存在著 以下幾個(gè)特點(diǎn)：1、第三方合作伙伴、客戶分散，網(wǎng)絡(luò)接入分散復(fù)雜此類接入用戶往往比較分散，遍布省市、全國甚至全球的網(wǎng)絡(luò)當(dāng)中，企事業(yè)單位在處理這類第三方合 作伙伴接入訪問時(shí)，組建的網(wǎng)絡(luò)成本高昂，實(shí)施和維護(hù)復(fù)雜。2、對(duì)第三方接入的安全認(rèn)證問題目前企事業(yè)單位的業(yè)務(wù)系統(tǒng)一般以明文方式進(jìn)行數(shù)據(jù)傳輸，如果直接把業(yè)務(wù)系統(tǒng)接口開放在公網(wǎng)上， 就會(huì)給企事業(yè)單位帶來數(shù)據(jù)遭竊或入侵內(nèi)網(wǎng)的風(fēng)險(xiǎn)；如果將業(yè)務(wù)系統(tǒng)放在企事業(yè)單位內(nèi)網(wǎng)，對(duì)第三方人員 接入時(shí)，如果無法對(duì)接入人員的身份做精確的認(rèn)證，這也會(huì)帶來嚴(yán)重的安全隱患。3、第三方接入人員訪問方式多元化事實(shí)上，很多第三方合作單位、監(jiān)

3、督機(jī)構(gòu)的業(yè)務(wù)合作相對(duì)固定，一般由固定的公司電腦發(fā)起連接；但 部分針對(duì)客戶的業(yè)務(wù)則可能隨時(shí)隨地從PC、PDA、智能手機(jī)等方式發(fā)起連接。目前，運(yùn)營商、銀行、證券、稅務(wù)、質(zhì)監(jiān)、統(tǒng)計(jì)、審計(jì)、制造等行業(yè)的企業(yè)用戶，都面臨著上述問題。二、深信服針對(duì)第三方接入的解決方案2005年，深信服科技推出了全球第一臺(tái)IPSec/SSL 一體化VPN產(chǎn)品，目前巳成為VPN領(lǐng)域的標(biāo)準(zhǔn) 配置。2008年，深信服SSL VPN以31.1%的市場份額占據(jù)中國SSL VPN第一位。在建立第三方業(yè)務(wù)網(wǎng) 絡(luò)時(shí)，我們可以通過IPSec VPN、SSL VPN整合的方式組建安全經(jīng)濟(jì)的網(wǎng)絡(luò)互聯(lián)，以方便第三方安全接 入。如上圖，整個(gè)方案只需

4、投入一套VPN設(shè)備，部署完成后第三方單位就可以通過SSL VPN或IPSec VPN 的方式安全地接入企事業(yè)單位業(yè)務(wù)內(nèi)網(wǎng)中。其中，對(duì)于有一定網(wǎng)絡(luò)規(guī)模、需要固定接入的第三方合作伙伴 或用戶，可以在第三方網(wǎng)絡(luò)中架構(gòu)IPSec VPN設(shè)備，通過IPSec VPN將兩個(gè)局域網(wǎng)連接起來；而對(duì)于接 入地點(diǎn)不固定、有移動(dòng)辦公需求的用戶，則可以使用SSL VPN的方式接入，從而滿足業(yè)務(wù)的多元化。事實(shí)上，深信服系列VPN可實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行、斷線自動(dòng)重連，可以保證VPN的不間斷連接，這樣 很好地適應(yīng)了第三方用戶復(fù)雜不一的網(wǎng)絡(luò)環(huán)境；而SSL VPN不需在客戶端安裝，對(duì)用戶的技術(shù)要求基本 沒有，這適合第三方用戶或合作

5、伙伴數(shù)量不大、分散較廣的情況。三、該方案給我們帶來的價(jià)值有效降低了企業(yè)的線路、硬件設(shè)備采購成本采用IPSec VPN、SSL VPN相結(jié)合的方式企事業(yè)單位可以在總部、大型分支機(jī)構(gòu)部署硬件VPN而在 規(guī)模較小、較為分散的分支機(jī)構(gòu)及個(gè)人用戶，則通過SSL VPN的形式接入總部內(nèi)網(wǎng)，這樣可有效節(jié)省組網(wǎng)成本。而且這樣一來，企事業(yè)單位可以將業(yè)務(wù)系統(tǒng)、服務(wù)器集中在總部以進(jìn)行數(shù)據(jù)集中，這樣可有效節(jié) 約IT成本及維護(hù)，并且這種組網(wǎng)方式降低了企業(yè)對(duì)光纖、專線的依賴，大大降低了帶寬成本。讓第三方接入更安全可控第三方合作伙伴、用戶因?yàn)闃I(yè)務(wù)合作等，其接入時(shí)，企事業(yè)單位必須得對(duì)其身份進(jìn)行嚴(yán)格認(rèn)證，對(duì)不 同權(quán)限的身份分配不同等級(jí)的業(yè)務(wù)訪問權(quán)限，比如一般的供應(yīng)商，我們只會(huì)讓他們看到供銷業(yè)務(wù)系統(tǒng)等， 而不會(huì)讓他訪問CRM、財(cái)務(wù)系統(tǒng)等，讓合適的人訪問合適的資源。組建可持續(xù)發(fā)展的業(yè)務(wù)網(wǎng)當(dāng)企事業(yè)單位的業(yè)務(wù)網(wǎng)絡(luò)規(guī)模擴(kuò)大，第三方接入的需求增加時(shí)，深信服SSL VPN提供集群功能，使 企事業(yè)單位并不需要購買更高端的設(shè)備來替換原有的SSL VPN，而只需在總部部署另外的深信服SSL VPN， 和原有深信服SSL VPN結(jié)合起來使用，即可有效的平衡多個(gè)VPN設(shè)備之間的負(fù)載，幫助設(shè)