版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
JuniperSSLVPN遠程平安訪問解決方案建議書美國Juniper網(wǎng)絡公司目錄1 企業(yè)網(wǎng)絡遠程訪問面臨挑戰(zhàn) 42 Juniper遠程平安訪問解決方案 43 Juniper遠程訪問解決方案 53.1 全面的遠程訪問接入 5 網(wǎng)絡部署 6 無需安裝客戶端的遠程平安訪問 7 提高網(wǎng)絡傳輸性能 9 用戶運用界面自定制 9 系統(tǒng)日志和維護 10 高可用性配置 103.2 全面的遠程接入平安愛護 11 接入節(jié)點的平安 11 平安的數(shù)據(jù)傳輸 13 堅實平安的系統(tǒng)平臺 13 動態(tài)全面的資源訪問限制 143.3 平安訪問產(chǎn)品的選擇 15 Juniper遠程訪問系統(tǒng)產(chǎn)品線說明 15 產(chǎn)品的選擇 163.4 部署和管理遠程訪問系統(tǒng) 17 部署過程 17 管理配置 17 系統(tǒng)日志和維護 18 管理員權(quán)限安排 184 Juniper公司介紹 194.1 公司介紹 194.2 企業(yè)構(gòu)想 194.3 聯(lián)系方式 20企業(yè)網(wǎng)絡遠程訪問面臨挑戰(zhàn)隨著互聯(lián)網(wǎng)的發(fā)展和電子商務的普及,越來越多公司的員工已經(jīng)不僅僅是坐在辦公室里處理日常事務,象出差員工、家庭辦公等多種類型的遠程訪問公司內(nèi)部資源和應用的須要變得非常的迫切。同時,這種網(wǎng)絡連接的發(fā)生也為企業(yè)網(wǎng)絡引入了新的平安威逼,但是目前的網(wǎng)絡平安方案又是非常的昂貴和困難。目前的企業(yè)極須要一種簡潔好用的解決方案,可以平安的實現(xiàn)遠程員工、合作伙伴乃至客戶對企業(yè)內(nèi)部網(wǎng)絡資源的訪問,而又不會為企業(yè)網(wǎng)絡帶來新的平安風險。Juniper遠程平安訪問解決方案企業(yè)通過Internet數(shù)據(jù)傳輸平臺,實施加密的VPN實現(xiàn)平安接入的方法主要有兩種:一種是IPsecVPN,另一種是SSLVPN。兩種技術(shù)在不同領(lǐng)域各有其優(yōu)勢,在實施固定的站點到站點的VPN和困難應用的移動用戶接入VPN時,一般采納IPsec技術(shù);在實施一般應用的移動用戶接入VPN時,通常采納SSL技術(shù)。Juniper的SSL平安訪問產(chǎn)品(可簡稱為IVE)從根本上解決了企業(yè)的遠程訪問問題,可以為企業(yè)的遠程員工、合作伙伴供應對內(nèi)網(wǎng)資源的平安遠程訪問。同時它又消退了因為遠程用戶客戶端的維護等帶來的諸多不便。極大的削減了工程投資Juniper的遠程訪問解決方案極大的削減了工程的投資,IVE設備的部署和維護都非常的簡潔,不須要任何客戶端軟件的安裝,也不須要對服務器端進行特別的設置,是目前僅有的可以通過很短時間的配置就可以為成千用戶供應遠程訪問的方案,同時這種方案不須要指定單獨的客戶端設備、不須要其他的平安設備和應用程序的支持,僅僅利用標準WEB閱讀器的平安功能就實現(xiàn)了平安的遠程訪問。同其他的網(wǎng)絡層的VPN設備一樣,IVE平臺也兼容已經(jīng)存在的網(wǎng)絡服務器和網(wǎng)絡資源,不須要再做單獨的定制開發(fā)和軟件集成,IVE平臺大大削減了系統(tǒng)部署的費用,由于不存在客戶端軟件的安裝,也就削減了由此而引起的出差維護和管理的費用。提高了系統(tǒng)平安性IVE平臺供應整體的網(wǎng)絡平安設計,通過堅實的系統(tǒng)完成對外部應用懇求的轉(zhuǎn)換,同時對各種連接進行細粒度的訪問限制,而這種平安上的保障,是不以投資、困難性和穩(wěn)定性的犧牲為前提的。Juniper遠程訪問解決方案全面的遠程訪問接入IVE平臺可以為用戶供應便利平安的遠程訪問,包含但不局限于以下應用:內(nèi)部網(wǎng)絡的內(nèi)容應用和基于WEB的應用客戶端/服務器應用全部的消息服務器(MSExchange,LotusNotes)文件服務器(MSCIFS,NFS)Telnet,SSH標準的郵件服務器(IMAP,POP,SMTP)下圖描述了Juniper遠程平安訪問應用的簡潔模型,遠程員工或者合作伙伴通過INTERNET連接到IVE設備上,該設備通過認證、授權(quán)和中間轉(zhuǎn)換等技術(shù)響應用戶對內(nèi)部資源的訪問,而不須要對內(nèi)部的服務器做任何的改動。網(wǎng)絡部署XXX網(wǎng)絡須要部署邊界的網(wǎng)絡防火墻,將企業(yè)的網(wǎng)絡劃分為兩個部分:內(nèi)網(wǎng)和服務器區(qū),一般來說,遠程的用戶對企業(yè)內(nèi)部網(wǎng)絡的訪問主要是針對服務器區(qū)的一些重要的應用服務器,如OA系統(tǒng)、業(yè)務系統(tǒng)、郵件系統(tǒng)等等。我們建議將Juniper的遠程訪問系統(tǒng)安裝在用戶網(wǎng)絡的DMZ區(qū)。在企業(yè)的出口防火墻上,須要為IVE設備映射一個合法可路由的IP地址,以便互聯(lián)網(wǎng)的用戶可以正常的連接到IVE設備上,同時在防火墻上也須要添加相應的平安策略,遠程用戶只能訪問IVE設備的443端口(HTTPS連接),對IVE設備和內(nèi)部服務器進行愛護。同時我們也須要不是身份認證服務器對遠程用戶的身份信息進行驗證。對于XXX網(wǎng)絡,由于已經(jīng)部署了PKI系統(tǒng),可以利用X.509格式證書認證的方式,來實現(xiàn)遠程用戶的訪問。遠程的用戶首先通過WEB閱讀器登陸IVE設備,向IVE遞交相應的證書,IVE驗證客戶端證書后,可以向相應的LDAP服務器進行查詢,得到該證書的相關(guān)屬性,并且進行訪問的授權(quán),這樣的話,用戶就可以訪問內(nèi)部相關(guān)的服務器資源。遠程用戶的客戶機與IVE設備之間的通訊,采納了SSL加密的手段,也就保證了這些敏感的數(shù)據(jù)在不行信任的互聯(lián)網(wǎng)上的平安傳輸。同時,為了保證業(yè)務的連續(xù)性,為遠程的用戶供應不間斷的服務,可以采納Juniper的多臺IVE設備,配置成集群的模式,集群模式可以采納主備的模式,在一臺IVE設備發(fā)生故障的時候,另外的設備可以自動的接替它的工作;也可以采納多主的模式,對遠程連接實現(xiàn)負載均擔,提高網(wǎng)絡的訪問性能。下圖是JuniperIVE設備部署的一個典型的拓撲圖:無需安裝客戶端的遠程平安訪問Juniper的IVE遠程平安訪問系統(tǒng),在無需安裝客戶端的前提下,利用系統(tǒng)已有的標準的WEB閱讀器,通過閱讀器支持的SSL平安協(xié)議,實現(xiàn)對企業(yè)內(nèi)網(wǎng)的應用服務器的平安訪問。訪問過程中,重要數(shù)據(jù)在互聯(lián)網(wǎng)上以SSL加密的形式傳輸。IVE系統(tǒng)通過以下三種方式幫助遠程客戶端實現(xiàn)對企業(yè)內(nèi)部應用服務器的訪問。核心WEB方式核心方式(coreaccess)的訪問采納標準WEB方式,遠程用戶首先登陸到IVE系統(tǒng)當中,進行相關(guān)的平安機制檢查和身份認證,通過認證和授權(quán)后,干脆點擊IVE系統(tǒng)主頁上的相關(guān)預定義好的網(wǎng)絡標簽實現(xiàn)對內(nèi)部服務器的訪問。核心方式的訪問支持如下的應用:平安的web應用訪問:對基于web的內(nèi)容和應用供應支持,也包括HTML,Javascript,DHTML,VBScript,Javaapplets等。平安的文件共享訪問:動態(tài)Windows和Unix文件(CIFS/NFS)的web化基于標準的E-mail客戶端訪問(outlookwebaccess)平安的終端訪問:對Telnet/SSH主機(VT100,VT320…)的訪問CORE方式主要適合于遠程合作伙伴或者用戶進行WEB訪問之用。平安內(nèi)容管理器在平安內(nèi)容管理器(SAM,secureapplicationmanager)方式中,遠程用戶首先登陸到IVE系統(tǒng)當中,進行相關(guān)的平安機制檢查和身份認證,通過認證和授權(quán)后,遠程系統(tǒng)會自動加載一個小插件,這個插件可以將指定的網(wǎng)絡訪問進行重新的定向和SSL封裝,將懇求傳給SA系統(tǒng),由IVE系統(tǒng)對懇求進行解析,并且對企業(yè)內(nèi)部的應用服務器進行訪問懇求。SAM模式可以保證現(xiàn)有的客戶化應用不受變更。采納SAM的方式可以支持如下的應用:訪問客戶端/服務器應用,包括nativemessagingclients(MicrosoftOutlookandIBM/LotusNotes)其他的基于固定服務端口,較為簡潔的應用SAM方式主要適合于遠程合作伙伴或者用戶進行C/S架構(gòu)的相關(guān)訪問之用。網(wǎng)絡層連接(networkconnect)在網(wǎng)絡層連接(networkconnect)方式中,遠程用戶首先登陸到IVE系統(tǒng)當中,進行相關(guān)的平安機制檢查和身份認證,通過認證和授權(quán)后,遠程系統(tǒng)會自動加載一個小插件,這個插件可以從IVE系統(tǒng)中自動的獲得一個內(nèi)部網(wǎng)絡的IP地址,從而實現(xiàn)對內(nèi)部網(wǎng)絡資源的訪問,該種訪問方式與IPSec類似。采納NC的方式可以支持幾乎全部的網(wǎng)絡應用,包括相對困難的視頻會議、IP電話等等。一般來說這種方式的訪問適合于網(wǎng)絡管理員進行遠程管理用。提高網(wǎng)絡傳輸性能遠程訪問的速度問題,始終是VPN系統(tǒng)須要解決的問題之一,與IPSec的VPN解決方案便利,JuniperIVE系統(tǒng)供應了更高的網(wǎng)絡傳輸性能,采納的技術(shù)手段包括:利用預協(xié)商好的GZIP壓縮機制來在對應用部分的流量在加密之前首先進行壓縮處理,只對應用層的數(shù)據(jù)進行加密,不進行協(xié)議的再次封裝,從而削減互聯(lián)網(wǎng)上傳送的流量,提高了網(wǎng)絡傳輸?shù)男阅?。供應隧道分?SplitTunneling)實力,假如運用了NC或者SAM方式,系統(tǒng)通過設置可以完成只允許流向LAN的流量通過VPN連接器進行傳輸。而去其他地方(如其他的互聯(lián)網(wǎng)訪問)的流量將通過客戶端原有的網(wǎng)關(guān)之間訪問。用戶運用界面自定制管理員可以自由調(diào)整用戶登陸IVE系統(tǒng)的標識與具體界面的外觀,比如可以修改LOGO,界面的顏色等等,這樣可以更好地匹配公司的風格。同時管理員可以對不同的用戶組實現(xiàn)不同的登陸界面和URL。系統(tǒng)日志和維護IVE系統(tǒng)可以生成具體的日志信息,這些日志信息可以在本地保存,也可以傳送給相應的SYSLOG服務器,由于SSL信道和認證子模塊可以對客戶端和服務器終端進行檢查,并且記錄下相關(guān)的信息,我們可以用這些日志進行審計。管理員通過IVE系統(tǒng)的日志管理器或者SYSLOG日志服務器,可以推斷什么用戶在指定的系統(tǒng)或者資源上做了什么訪問。同時可以利用日志管理器供應的過濾搜尋功能,便利的查找出你想得到的信息。同時,IVE系統(tǒng)內(nèi)部也供應了多種維護和調(diào)試的工具,如系統(tǒng)的狀態(tài)顯示、PING/TRACEROUTE/TCPDUMP等工具等。高可用性配置為了解決單機單點故障引起的遠程訪問的中斷,JuniperIVE設備支持HA功能??梢灾С譅顟B(tài)保持下的主/備模式,當主IVE設備出現(xiàn)故障(包括網(wǎng)絡故障和主機故障),備份的IVE設備就會自動的切換為主設備,接替原有設備的工作,由于多臺集群設備之間實現(xiàn)了狀態(tài)的自動同步,已有的用戶連接不會中斷。協(xié)作流量負載設備,JuniperIVE系統(tǒng)支持多主的負載均擔方式,不僅可以實現(xiàn)備份功能,更可以擴大容量(如增加系統(tǒng)的并發(fā)用戶數(shù)),又可以實現(xiàn)流量分擔,供應訪問的速度?;榧旱脑O備之間,可以針對以下的信息進行同步。系統(tǒng)狀態(tài)用戶檔案狀態(tài)會話狀態(tài)群集對多站點群集對主動/主動配置選項全面的遠程接入平安愛護Juniper的遠程接入解決方案供應全方位的平安愛護,從客戶端的接入,到數(shù)據(jù)在互聯(lián)網(wǎng)上的傳輸,再到IVE接入平臺,到對后臺服務器的資源防護限制等各個方面,都供應了相應的平安機制。接入節(jié)點的平安節(jié)點平安機制檢查隨著遠程用戶的接入,對于網(wǎng)絡管理員來說,相當于將企業(yè)的辦公網(wǎng)絡進行了延長,如何將企業(yè)原有的平安愛護措施和平安策略對于新接入的主機也同樣有效,Juniper的IVE系統(tǒng)供應全面的解決方案,可以對接入節(jié)點的平安策略進行檢查,并且依據(jù)檢查的結(jié)果,實施相應的訪問限制。并且允許管理員對以下的選項進行定制。和第三方節(jié)點平安解決方案整合,如InfoExpress,McAfee,Sygate,ZoneLabs等注冊表參數(shù)檢查開放/不允許的ports檢查允許/不允許的進程檢查允許/不允許的文件檢查檢查定制的dlls對第三方軟件實施心跳檢查應用認證檢查(進程,文件MD5Hash)與賽們鐵可的惡意軟件防護功能相結(jié)合,供應了客戶端對惡意軟件訪問的支持訪問緩存清除代理假如遠程用戶運用了不行信任的遠程主機,對企業(yè)的內(nèi)部網(wǎng)絡進行了訪問,閱讀器的緩存中將會保留一部分訪問的數(shù)據(jù),很簡潔造成敏感信息的意外泄漏,Juniper的IVE系統(tǒng)為此供應了緩存清除的功能,用戶在登陸內(nèi)部網(wǎng)絡的時候,自動在本地加載一個緩存清除代理,在用戶正常注銷或者非正常退出的狀況下,清除系統(tǒng)的該次訪問留下的會話數(shù)據(jù)和臨時文件。保證了敏感信息不會保留在客戶端主機上。對登陸用戶的身份驗證IVE系統(tǒng)支持數(shù)字證書的運用,可以單獨的利用客戶端的數(shù)字證書對用戶身份進行驗證,從而避開了輸入用戶名/密碼的麻煩。同時,IVE系統(tǒng)還支持多種認證服務器(包括RADIUS、LDAP、WindowsNTDomain、ActiveDirectory、UNIXNIS、dualfactor認證,包括ActivCardActivPack?、RSASecurID?和SecureComputingSafeWord?PremierAccess?以及X.509客戶端數(shù)字證書),也可在設備上建立本地用戶數(shù)據(jù)庫,更支持LDAP/ActiveDirectory的用戶組的特性,便利管理員定義策略。對于XXX系統(tǒng),由于已經(jīng)存在了PKI系統(tǒng),我們可以利用證書的方式對客戶端進行認證,這樣我們須要為IVE系統(tǒng)也申請一個數(shù)字證書(也可以將根CA證書導入到IVE系統(tǒng)當中),這樣的話,只有遞交了正確的數(shù)字證書的用戶,才能夠通過IVE系統(tǒng)的認證,具有對后臺服務器的訪問權(quán)限。同時,IVE系統(tǒng)還支持通過CRL下載或者OCSP協(xié)議等,對證書的狀態(tài)進行查詢,這樣的話,失效的證書也無法登陸IVE平臺。同時我們也可以采納用戶名、密碼與數(shù)字證書相結(jié)合的方式,登陸的用戶必需在遞交合法的數(shù)字證書的同時,輸入相應的用戶名和密碼,才能夠登陸IVE平臺。IVE平臺也供應了對用戶端密碼暴力破解的防護,為了防止字典探測攻擊。系統(tǒng)對多次登陸懇求的頻率進行了限制。平安的數(shù)據(jù)傳輸遠程訪問的用戶的數(shù)據(jù)在不行信任的互聯(lián)網(wǎng)上傳輸?shù)臅r候,采納了SSL加密的技術(shù),保證了信息不會因為被偵聽,竊取而造成重要信息的泄露。SSL傳輸可以設定相關(guān)的加密的強度,為了平安須要,可以采納高強度的加密傳輸,數(shù)據(jù)的加密采納對稱密鑰的方式,系統(tǒng)缺省2分鐘協(xié)商一次密鑰信息,保證了惡意的攻擊者無法得到精確的密鑰。假如用戶提交的認證信息正確,系統(tǒng)將會發(fā)放一個授權(quán)的標記(TOKEN),在WEB懇求當中,這個標記保存在一個加密的回話COOKIE當中,這種做法保證了系統(tǒng)不會受到冒認者的攻擊。因為一個攻擊者須要來偽造一個會話的標記(TOKEN)才能達到冒認的效果,而這又是很難實現(xiàn)的,同時在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)包,其目的地址都是對于與IVE平臺的公網(wǎng)地址,也不會泄露網(wǎng)絡內(nèi)部服務器的網(wǎng)絡拓撲。堅實平安的系統(tǒng)平臺IVE系統(tǒng)采納了優(yōu)化的Linux內(nèi)核和額外優(yōu)化的服務器軟件的加固硬件系統(tǒng),該系統(tǒng)被設計成可以抵擋針對系統(tǒng)的攻擊和針對通過該系統(tǒng)數(shù)據(jù)的攻擊。系統(tǒng)可以通過只運行完成關(guān)鍵任務的服務來防止攻擊,這些關(guān)鍵的服務在開發(fā)時就進行了平安加固,確保系統(tǒng)的平安性。IVE系統(tǒng)不運行通常的用戶和程序服務,因此不會導致針對這些服務的攻擊。IVE系統(tǒng)不允許管理員創(chuàng)建、維護系統(tǒng)級的用戶帳號。因為沒有交互式的Shell和打開的系統(tǒng)帳號,潛在的入侵者無法嘗試利用脆弱的口令、缺省帳號或遺棄的帳號對系統(tǒng)進行非授權(quán)的訪問。IVE系統(tǒng)內(nèi)部采納了內(nèi)核級別的包過濾機制,利用預定義的一些規(guī)則,對進入系統(tǒng)的數(shù)據(jù)包進行推斷和檢查,保證了只有合法的數(shù)據(jù)包才可以進入或者通過IVE系統(tǒng)。IVE系統(tǒng)上的全部信息都采納了AES的加密處理,保證了剛好設備被進入或者被偷走,惡意的攻擊者都無法看到系統(tǒng)中的相關(guān)信息。JuniperIVE平臺的設計和開發(fā)過程通過多個平安專業(yè)保障公司和專家的審查和驗證,TrueSecure,世界領(lǐng)先的針對互聯(lián)網(wǎng)連接平安供應保證方案的組織,為JuniperIVE平臺進行了驗證,并且供應了相關(guān)的報告,JuniperIVE也是SSLVPN同類產(chǎn)品中唯一通過TrueSecure驗證的產(chǎn)品,另外,DanFarmer(SATAN的作者,一位受人敬重的平安專家)和CryptographyResearch(SSL3.0的合作設計者)也對IVE系統(tǒng)進行了審計和驗證。動態(tài)全面的資源訪問限制JuniperIVE系統(tǒng)支持全面的細粒度的訪問限制機制,真正實現(xiàn)了對用戶身份(Who),訪問的目的資源(What),時間(When),位置(Where)和方式(How)的動態(tài)限制。動態(tài)認證策略:IVE平臺可以通過多種要素對用戶身份進行認證,包括供應身份前檢查和供應身份后檢查,其中供應身份前檢查的內(nèi)容可包括:源地址、網(wǎng)絡接口(內(nèi)/外)、證書、節(jié)點平安狀況檢查(包括主機檢查和緩存清除)、閱讀器、登錄的URL、SSL版本和加密級別;供應身份后檢查的內(nèi)容可包括:身份確定、證書特性、密碼長度、同時登錄用戶數(shù)、書目服務密碼等等;IVE平臺可以依據(jù)這些內(nèi)容,將登陸的用戶劃分為相應的角色,并且基于角色實現(xiàn)授權(quán)。另外上面的很大一部分檢查都是一個動態(tài)的過程,IVE平臺可以定時的檢查客戶端的相關(guān)信息。如可以定時的檢查客戶端的防病毒軟件是否開啟,假如用戶在運用過程中關(guān)閉了防病毒軟件,系統(tǒng)可能會因此在用戶的訪問過程中變更該用戶所屬的角色,重新為該用戶安排相應的權(quán)限。這樣的話,就實現(xiàn)了一個動態(tài)的訪問規(guī)則的限制。角色定義和訪問手段的限制:管理員可以定義用戶屬于一個或多個角色,對不同角色供應不同的訪問權(quán)限。對屬于多個角色的用戶可以一次性地給該用戶多個角色的總和,也可以讓用戶選擇采納某個角色進行應用訪問;對于不同的用戶角色,管理員賜予不同的訪問權(quán)限,首先是對訪問方式的授權(quán),如指定的用戶只能通過WEB或者C/S方式進行等等對目的資源的訪問限制策略:對于不同的應用資源,管理員可以供應不同的訪問策略,策略可以以IP地址為基礎,也可以實現(xiàn)到基于URL級別或者文件級別的應用層的訪問限制,對于XXX網(wǎng)絡,我們可以實現(xiàn)通過得到LDAP書目服務器的相關(guān)證書信息,依據(jù)這些信息進行權(quán)限的安排。平安訪問產(chǎn)品的選擇Juniper遠程訪問系統(tǒng)產(chǎn)品線說明Juniper網(wǎng)絡公司供應的系列SSLVPN遠程訪問系統(tǒng)可以依據(jù)用戶應用狀況、運用環(huán)境等的不同,供應四款不同型號的產(chǎn)品,來滿意不同用戶的實際需求。SecureAccess700系列,為中小企業(yè)供應經(jīng)濟高效的平安方式,支持員工遠程平安的接入企業(yè)網(wǎng)絡。SecureAccess700系列支持的并發(fā)用戶數(shù)為10-25個,可以依據(jù)license的不同進行限制。SecureAccess700系列運用平安套接層(SSL)供應加密傳輸,因此,用戶只需Web閱讀器便可即時接入網(wǎng)絡。這消退了為每位用戶安裝、配置以及維護客戶端軟件的昂揚成本。由于運用SSL傳輸,SecureAccess700還消退了傳統(tǒng)遠程接入產(chǎn)品中常見的網(wǎng)絡地址轉(zhuǎn)換(NAT)和防火墻穿越問題。SecureAccess700利用了網(wǎng)絡連接技術(shù),這擴展了最廣泛的遠程連接形式,且無需安裝桌面系統(tǒng)軟件,因為它運用了包含在標準Web閱讀器中的平安協(xié)議。SecureAccess2000系列和SecureAccess4000系列SSLVPN分別為中小型企業(yè)和大中型企業(yè)供應經(jīng)濟高效平安的遠程接入。SA2000系列支持的并發(fā)用戶數(shù)為25-100個,SA4000系列支持的并發(fā)用戶數(shù)為50-1000個,可以依據(jù)license的不同進行限制。SA2000和SA4000系列基于InstantVirtualExtranet平臺,該平臺運用全部標準Web閱讀器中所運用的平安協(xié)議SSL作為平安接入傳輸機制。SSL的運用使客戶不再須要部署客戶端軟件、修改內(nèi)部服務器或進行成本昂揚的后期維護。SecureAccess產(chǎn)品還可以供應先進的合作伙伴/客戶外聯(lián)網(wǎng)特性來只允許特定用戶和用戶組接入,而且只須要很少甚至根本不須要基礎設施修改、DMZ部署或軟件代理程序。這一功能還使企業(yè)可以愛護企業(yè)內(nèi)聯(lián)網(wǎng)接入的平安性,使管理員可以依據(jù)不同員工、承包商和訪問者須要的資源來限制他們的接入權(quán)限。該系列產(chǎn)品可以部署在經(jīng)濟高效的群集對(ClusterPair)中以供應企業(yè)須要的冗余性、高可用性和無縫的故障切換功能。SecureAccess6000系列SSLVPN可以為那些有大量平安接入和困難授權(quán)要求的企業(yè)供應一流的性能、可擴展性和冗余。單臺SA6000系列支持的并發(fā)用戶數(shù)為100-2500個該產(chǎn)品系列特地設計用于滿意最嚴格的性能要求--支持大量用戶、資源密集型應用程序和困難的運用模式--以供應更高的可擴展性。SA6000系列產(chǎn)品可以供應豐富的接入管理策略實施功能,使企業(yè)可以為大量差分用戶供應平安遠程接入的優(yōu)勢,同時輕松而經(jīng)濟高效地愛護外聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的平安性。借助NetScreen-SA6000,企業(yè)就可以獲得平安的合作伙伴/客戶外聯(lián)網(wǎng)的優(yōu)勢,同時最大限度地削減成本很高而且須要大量維護工作的基礎設施修改、DMZ部署和/或分布式軟件代理程序。SA6000產(chǎn)品系列還可以用于愛護企業(yè)內(nèi)聯(lián)網(wǎng)平安性。此外,由于SA6000產(chǎn)品可以集中管理并以多單元和多站點群集的方式部署,所以這種平安解決方案易于管理而且可擴展。SA6000產(chǎn)品可以供應企業(yè)級性能可擴展性和高可用性,其特性包括兩個千兆以太網(wǎng)端口、SSL加速和基于硬件的HTTP壓縮功能,因此可以供應最高的性能。這些產(chǎn)品既可以作為獨立設備以群集對(ClusterPairs)方式部署,又可以部署為多單元群集(Multi-UnitClusters)以實現(xiàn)無與倫比的高吞吐量和冗余。產(chǎn)品的選擇在選擇產(chǎn)品型號時,考慮的因素包括并發(fā)用戶數(shù)、網(wǎng)絡的應用的困難程度和實際流量,其中并發(fā)用戶數(shù)是一個最主要的指標。由于IVE系統(tǒng)無需客戶端,所以無需考慮客戶端軟件的費用。依據(jù)項目的閱歷,對于遠程訪問,并發(fā)用戶一般是系統(tǒng)總用戶數(shù)的1/5到1/4,用戶可以依據(jù)自己的實際狀況選擇相應的產(chǎn)品型號和用戶數(shù)許可證。對于IVE平臺的訪問方式的支持,須要依據(jù)系統(tǒng)中實際的應用來推斷,如遠程用戶運用WEB進行訪問,建議采納CORE的方式,遠程用戶運用CS架構(gòu)進行訪問,建議采納SAM,遠程管理員進行遠程維護,建議采納NC的方式。部署和管理遠程訪問系統(tǒng)部署過程通常的基于客戶端的VPN解決方案,在部署的時候,無論是VPN服務器,還是數(shù)量眾多的客戶端,都須要花費大量的資金,并且在系統(tǒng)的管理和維護上也須要IT部門大量的時間。而部署Juniper遠程訪問系統(tǒng)則很簡潔,只須要進行下面幾個步驟:安裝并且啟動遠程訪問系統(tǒng);將遠程訪問系統(tǒng)接入INTERNET,并且進行簡潔的網(wǎng)絡設置和用戶訪問限制設置,如接口的IP地址、用戶的認證授權(quán)服務器等;告知你的員工、客戶和合作伙伴你已經(jīng)可以供應這項服務,告知他們一個URL地址,通過這個地址可以遠程訪問內(nèi)部的資源。管理配置系統(tǒng)的管理采納WEB的方式,簡潔易用,你可以采納標準的WEB閱讀器來訪問和管理配置該設備。IVE的管理和配置可以分為如下幾個功能模塊:系統(tǒng)管理器顯示當前系統(tǒng)資源運用狀況,允許你遠程重啟或者關(guān)掉系統(tǒng),同時也支持許可證的安裝,系統(tǒng)升級管理和NTP時間同步管理等。配置管理器支持系統(tǒng)配置的導入/導出,你可以將系統(tǒng)復原到以前的某個配置,也可以將配置導入另外的系統(tǒng)當中。用戶(組)管理器管理員可以閱讀和管理IVE系統(tǒng)中的用戶(組),修改相關(guān)的用戶的連接屬性和IP訪問規(guī)則,同時也支持對基于用戶(組)的網(wǎng)絡標簽(Bookmark)的設置。訪問限制管理器管理員可以集中的管理每個用戶組的訪問權(quán)限,可以定義用戶允許或者不允許訪問指定服務器上的網(wǎng)絡資源,訪問限制策略可以細化到文件共享和URL以及子書目級別。日志管理器管理員可以登陸到IVE服務器,實時的閱讀日志,也可以通過設置SYSLOG日志服務器的方式,自動的接收日志。用戶界面定制管理器管理員可以定制系統(tǒng)的用戶界面,可以加入企業(yè)的LOGO,顏色配置等等。證書管理簡化WEB服務器證書和客戶端證書的管理。系統(tǒng)日志和維護IVE系統(tǒng)可以生成具體的日志信息,這些日志信息可以在本地保存,也可以傳送給相應的SYSLOG服務器,由于SSL信道和認證子模塊可以對客戶端和服務器終端進行檢查,并且記錄下相關(guān)的信息,我們可以用這些日志進行審計。管理員通過IVE系統(tǒng)的日志管理器或者SYSLOG日志服務器,可以推斷什么用戶在指定的系統(tǒng)或者資源上做了什么訪問。同時可以利用日志管理器供應的過濾搜尋功能,便利的查找出你想得到的信息。同時,IVE系統(tǒng)內(nèi)部也供應了多種維護和調(diào)試的工具,如系統(tǒng)的狀態(tài)顯示、PING/TRACEROUTE/TCPDUMP等工具等。管理員權(quán)限安排IVE系統(tǒng)對不同的管理員用戶進行策略的匹配和相關(guān)的權(quán)限的安排,確定管理員角色的因素包括用戶名、用戶屬性、客戶端IP地址、客戶端證書、證書屬性、節(jié)點平安狀況、閱讀器等等;管理員從權(quán)限上也可以劃分為超級用戶、只讀用戶等多種,同時針對特定的用戶組,也可以設定改組的管理員用戶,可以對僅限于改組的用戶信息進行維護,包括增加用戶、刪除用戶等等。Juniper公司介紹公司介紹Juniper網(wǎng)絡公司致力于實現(xiàn)網(wǎng)絡商務模式的轉(zhuǎn)型。作為全球領(lǐng)先的聯(lián)網(wǎng)和平安性解決方案供應商,Juniper網(wǎng)絡公司對依靠網(wǎng)絡獲得戰(zhàn)略性收益的客戶始終賜予親密關(guān)注。公司的客戶來自全球各行各業(yè),包括主要的網(wǎng)絡運營商、企業(yè)、政府機構(gòu)以及探討和教化機構(gòu)等。J
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年度新能源汽車充電樁安裝與維護個人聘用合同4篇
- 2025年食堂外包項目績效考核與評估合同3篇
- 2025年度個人消費分期貸款合同模板(2025版)4篇
- 2025年度個人工廠品牌形象及營銷權(quán)轉(zhuǎn)讓合同2篇
- 2025年全球及中國三環(huán)癸烷二甲醇二甲基丙烯酸酯行業(yè)頭部企業(yè)市場占有率及排名調(diào)研報告
- 2025年全球及中國全自動線材前處理機行業(yè)頭部企業(yè)市場占有率及排名調(diào)研報告
- 2025-2030全球調(diào)濕蒸紗機行業(yè)調(diào)研及趨勢分析報告
- 2025年度個人借款延期還款及擔保人責任合同2篇
- 2025年度個人房產(chǎn)交易定金擔保合同范本2篇
- 2025年度企業(yè)間技術(shù)秘密保密及合作開發(fā)合同4篇
- 勵志課件-如何做好本職工作
- 2024年山東省濟南市中考英語試題卷(含答案解析)
- 2024年社區(qū)警務規(guī)范考試題庫
- 2024年食用牛脂項目可行性研究報告
- 靜脈治療護理技術(shù)操作標準(2023版)解讀 2
- 2024年全國各地中考試題分類匯編(一):現(xiàn)代文閱讀含答案
- 2024-2030年中國戶外音箱行業(yè)市場發(fā)展趨勢與前景展望戰(zhàn)略分析報告
- GB/T 30306-2024家用和類似用途飲用水處理濾芯
- 家務分工與責任保證書
- 消防安全隱患等級
- 溫室氣體(二氧化碳和甲烷)走航監(jiān)測技術(shù)規(guī)范
評論
0/150
提交評論