Juniper-SSL-VPN遠(yuǎn)程安全接入解決方案

JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)JuniperSSLVPN遠(yuǎn)程平安接入解決方案上海軟盛信息技術(shù)JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)目錄一、企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)面臨挑戰(zhàn) 3二、平安接入技術(shù)的選擇 3三、方案建議 43.1系統(tǒng)特性 63.2IVE系統(tǒng)對(duì)平安的控制 73.3員工和合作伙伴輕松訪問(wèn)相應(yīng)的應(yīng)用和資源 83．3．1無(wú)需安裝客戶端的遠(yuǎn)程平安訪問(wèn) 93．3．5提高網(wǎng)絡(luò)傳輸性能 103．3．6用戶使用界面自定制 103.4系統(tǒng)擴(kuò)展性和高可用性 113．5全面的遠(yuǎn)程接入平安保護(hù) 113．5．4平安的數(shù)據(jù)傳輸 123．5．5穩(wěn)固平安的系統(tǒng)平臺(tái) 133．7部署和管理遠(yuǎn)程訪問(wèn)系統(tǒng) 133．7．1部署過(guò)程 133．7．2管理配置 143．7．3系統(tǒng)日志和維護(hù) 143．7．4管理員權(quán)限分配 15四、總結(jié) 15五、成功案例 155．1東方航空SSLVPN應(yīng)用案例 155．2掌上靈通SSLVPN應(yīng)用案例 18JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)一、企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)面臨挑戰(zhàn)隨著互聯(lián)網(wǎng)的開(kāi)展和電子商務(wù)的普及，越來(lái)越多公司的員工已經(jīng)不僅僅是坐在辦公室里處理日常事務(wù)，象出差員工、家庭辦公等多種類型的遠(yuǎn)程訪問(wèn)公司內(nèi)部資源和應(yīng)用的需要變得十分的迫切。同時(shí)，這種網(wǎng)絡(luò)連接的發(fā)生也為企業(yè)網(wǎng)絡(luò)引入了新的平安威脅，但是目前的網(wǎng)絡(luò)平安方案又是十分的昂貴和復(fù)雜。目前的企業(yè)極需要一種簡(jiǎn)單實(shí)用的解決方案，可以平安的實(shí)現(xiàn)遠(yuǎn)程員工、合作伙伴乃至客戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)，而又不會(huì)為企業(yè)網(wǎng)絡(luò)帶來(lái)新的平安風(fēng)險(xiǎn)。二、平安接入技術(shù)的選擇隨著信息技術(shù)的快速開(kāi)展，為了提高效勞的質(zhì)量和水平、在市場(chǎng)競(jìng)爭(zhēng)中取得優(yōu)勢(shì)，企業(yè)建立了內(nèi)部局域網(wǎng)，使內(nèi)部辦公人員通過(guò)網(wǎng)絡(luò)可以迅速地獲取信息。然而，隨著個(gè)人電腦和互聯(lián)網(wǎng)應(yīng)用技術(shù)的普及，“在家辦公〞、“異地辦公〞、“移動(dòng)辦公〞等多種遠(yuǎn)程辦公模式逐漸普及，同時(shí)合作伙伴的人員也希望能訪問(wèn)到相應(yīng)的信息資源，企業(yè)的IT管理人員面臨將遠(yuǎn)程辦公模式作為內(nèi)部辦公網(wǎng)絡(luò)的延伸和對(duì)合作伙伴人員提供外聯(lián)網(wǎng)接入的需求，為遠(yuǎn)程辦公的員工提供訪問(wèn)內(nèi)部信息和為合作伙伴人員訪問(wèn)與其身份相符的信息的方便。然而，要享受通過(guò)互聯(lián)網(wǎng)訪問(wèn)企業(yè)內(nèi)部的信息資源的便利，就需要實(shí)施適當(dāng)?shù)男畔⑵桨膊呗裕趪?yán)格防止企業(yè)信息資源被非法竊取的同時(shí)，對(duì)合法的訪問(wèn)要提供方便，同時(shí)還需盡量降低信息平安策略的實(shí)施和維護(hù)本錢(qián)。企業(yè)通過(guò)Internet數(shù)據(jù)傳輸平臺(tái)，實(shí)施加密的VPN實(shí)現(xiàn)平安接入的方法主要有兩種：一種是IPsecVPN，另一種是SSLVPN。兩種技術(shù)在不同領(lǐng)域各有其優(yōu)勢(shì)，我們建議：在實(shí)施固定的站點(diǎn)到站點(diǎn)的VPN和復(fù)雜應(yīng)用的移動(dòng)用戶接入VPN時(shí)，采用IPsec技術(shù)；在實(shí)施普通應(yīng)用的移動(dòng)用戶接入VPN時(shí)，采用SSL技術(shù)，原因是SSL無(wú)需在客戶端安裝客戶端軟件、實(shí)施和維護(hù)靈活簡(jiǎn)單、不受地址翻譯影響、控制策略更加細(xì)化、總體擁有本錢(qián)較低，而且由于SSLVPN不是翻開(kāi)一個(gè)網(wǎng)絡(luò)層通道，而只是提供了聯(lián)系應(yīng)用層請(qǐng)求的固化網(wǎng)絡(luò)接口，所以提高了與VPN相關(guān)的整個(gè)系統(tǒng)的平安性。SSL和IPsec技術(shù)的詳細(xì)比較請(qǐng)參考?SSLvs.IPSec?一文。在本方案中，我們建議根據(jù)具體的網(wǎng)絡(luò)需求，靈活結(jié)合兩種流行VPN。當(dāng)然，因?yàn)槟壳暗男枨髢H僅是總體建議，還需要針對(duì)更具體的網(wǎng)絡(luò)情況進(jìn)行調(diào)整。JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)三、方案建議平安協(xié)議平安套接層〔SSL〕技術(shù)是一項(xiàng)在互聯(lián)網(wǎng)上廣泛實(shí)施的標(biāo)準(zhǔn)平安協(xié)議，全面支持認(rèn)證和加密，所有標(biāo)準(zhǔn)web瀏覽器都支持SSL?；谫F公司的平安接入模式以移動(dòng)辦公用戶遠(yuǎn)程訪問(wèn)為主，我們建議主要采用SSLVPN方案，對(duì)于一些特殊的應(yīng)用和特殊的用戶環(huán)境，輔助以IPSecVPN。JuniperSA系列的遠(yuǎn)程接入產(chǎn)品是廣受好評(píng)的SSLVPN產(chǎn)品，采用的是InstantVirtualExtranet(IVE)的系統(tǒng)平臺(tái)，客戶只要有標(biāo)準(zhǔn)的web瀏覽器，無(wú)需進(jìn)行任何部署或安裝硬件、軟件客戶端設(shè)備，也無(wú)需對(duì)內(nèi)部效勞器進(jìn)行任何修改，沒(méi)有地址翻譯穿越的影響，也不受私有地址沖突的影響，而且?guī)缀醪恍枰魏魏笃诰S護(hù)，所以可以方便地讓用戶平安地接入網(wǎng)絡(luò)。建議在貴公司實(shí)施的SSLVPN平安接入的網(wǎng)絡(luò)拓?fù)涫痉秷D如下：設(shè)備采用雙層保護(hù)，防火墻實(shí)現(xiàn)根本DoS保護(hù)、策略過(guò)濾，以及IPSecVPN功能。SA設(shè)備那么實(shí)現(xiàn)SSLVPN，進(jìn)行應(yīng)用層保護(hù)過(guò)濾和接入。對(duì)于核心的基于WEB的應(yīng)用，如內(nèi)部郵件、辦公應(yīng)用系統(tǒng)等，JuniperSA產(chǎn)品提供全面的效勞。包括ActiveX、Java、JavaScript、PHP等，支持的全面性、靈活性遠(yuǎn)遠(yuǎn)超過(guò)我們的競(jìng)爭(zhēng)對(duì)手。并且在平安策略上實(shí)施的是應(yīng)用層面的平安策略，可以比IPsec更加細(xì)化；由于JuniperSA系列的遠(yuǎn)程接入產(chǎn)品是穩(wěn)固可靠的應(yīng)用層網(wǎng)關(guān)，采用應(yīng)用層面的平安策略后，內(nèi)部的應(yīng)用效勞器可以得到有效保護(hù)，而不必將效勞JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)器的第4層端口完全暴露給外部；前端的防火墻上只需配置翻開(kāi)tcpSSL端口的策略即可。除了對(duì)web和email等應(yīng)用的支持外，JuniperSA對(duì)非web的許多客戶端/效勞器應(yīng)用也提供很好的支持，所以采用JuniperSA系列的遠(yuǎn)程接入產(chǎn)品實(shí)施SSLVPN來(lái)實(shí)現(xiàn)遠(yuǎn)程接入被許多國(guó)際著名企業(yè)〔如花旗銀行、德意志銀行〕采用。對(duì)貴公司來(lái)說(shuō)，最常用的應(yīng)用包括Outlook等系列軟件，JuniperIVE雖然將這些應(yīng)用轉(zhuǎn)化為SSL標(biāo)準(zhǔn)數(shù)據(jù)流，但并不影響這些應(yīng)用，例如，文件仍然可以下載到本地。對(duì)于絕大多數(shù)的C/S應(yīng)用，例如Passive模式FTP、貴公司獨(dú)立開(kāi)發(fā)的TCP特殊應(yīng)用、數(shù)據(jù)庫(kù)遠(yuǎn)程連接等，JuniperSA是透明支持的。對(duì)于許多常用的C/S應(yīng)用，如Telnet/SSH和Citrix等，JuniperSA都已經(jīng)將這些應(yīng)用的支持固化在核心WEB應(yīng)用當(dāng)中，用戶無(wú)需再定義可直接使用。Juniper支持廣泛的文件共享，Unix和Windows，并且支持中文共享。對(duì)于特殊的應(yīng)用，特別是那些需要更底層通訊功能的協(xié)議，JuniperSA還提供了NetworkConnect功能，相當(dāng)于三層的通道，適用于幾乎所有的IP層協(xié)議應(yīng)用。例如Active模式的FTP，流媒體應(yīng)用等。中心點(diǎn)按照我們的建議已經(jīng)放置了支持IPSecVPN的防火墻，可以建立到分支點(diǎn)出口防火墻的VPN，以及PC撥號(hào)DialupVPN。JuniperSA設(shè)備支持HA功能。配合流量負(fù)載設(shè)備，JuniperSA支持active-active的HA方式，不僅可以實(shí)現(xiàn)備份功能，更可以擴(kuò)大容量，實(shí)現(xiàn)流量分擔(dān)。同時(shí)，Juniper-SA系列的遠(yuǎn)程接入產(chǎn)品可以強(qiáng)制對(duì)遠(yuǎn)程用戶的安裝防火墻及防病毒軟件做出要求。JuniperIVE系統(tǒng)與當(dāng)前市場(chǎng)上流行的個(gè)人防火墻、防病毒軟件做最緊密的結(jié)合，如SygateEnforcementAPI、SygateSecurityAgent、ZoneLabs:ZoneAlarmProandZoneLabsIntegrity、McAfeeDesktopFirewall、InfoExpressCyberGatekeeperAgent等，用戶只需要用鼠標(biāo)選擇一些選項(xiàng)便可完成。而且用戶還可以自行定義強(qiáng)制檢查其它的運(yùn)行程序或windows注冊(cè)表工程。JuniperSA系列的遠(yuǎn)程接入產(chǎn)品獲得的獎(jiǎng)項(xiàng)包括?PC雜志?的2003年最正確網(wǎng)絡(luò)獎(jiǎng)，?網(wǎng)絡(luò)世界?SSLVPN網(wǎng)關(guān)評(píng)測(cè)中獲得評(píng)分最高的世界級(jí)產(chǎn)品獎(jiǎng)，和?網(wǎng)絡(luò)計(jì)算?雜志的編輯選擇獎(jiǎng)。IVE系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)被平安保障公司和參謀TruSecure所審查和驗(yàn)證，TruSecure是世界級(jí)Internet互聯(lián)平安保障解決方案的領(lǐng)先者，為JuniperIVE硬件系統(tǒng)發(fā)布了一個(gè)平安保障聲明。DanFarmer，令人尊重的平安參謀和SATAN〔SecuirtyAdministratorToolforAnalyzingNetworks〕的作者，以及CryptographyResearch，SSL3.0的設(shè)計(jì)者之一，也對(duì)JuniperIVE系統(tǒng)進(jìn)行了審查和驗(yàn)證。JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)3.1系統(tǒng)特性為了從根本上簡(jiǎn)化平安遠(yuǎn)程訪問(wèn)，Juniper的IVE系統(tǒng)按以下目標(biāo)進(jìn)行架構(gòu)和設(shè)計(jì)：運(yùn)行平臺(tái)必須抵御針對(duì)平安、設(shè)備與系統(tǒng)軟件集成方面的攻擊。為了滿足該目標(biāo)，系統(tǒng)被固化，核心層對(duì)流量進(jìn)行數(shù)據(jù)包級(jí)過(guò)濾。運(yùn)行平臺(tái)必須抵御針對(duì)機(jī)密性和所有通過(guò)IVE系統(tǒng)的數(shù)據(jù)集成方面的攻擊。為了滿足該目標(biāo)，系統(tǒng)使用SSL在本地文件系統(tǒng)上存儲(chǔ)加密的信息。系統(tǒng)必須能夠通過(guò)簡(jiǎn)單的基于Web的管理控制臺(tái)在幾小時(shí)內(nèi)進(jìn)行實(shí)施。為了滿足該目標(biāo)，IVE系統(tǒng)進(jìn)行大量的預(yù)先配制工作，管理員只需要進(jìn)行少量的系統(tǒng)和網(wǎng)絡(luò)配置就可以完成IVE系統(tǒng)的實(shí)施。系統(tǒng)必須提供應(yīng)客戶與直接訪問(wèn)公司內(nèi)部網(wǎng)相同的訪問(wèn)能力。為了滿足該目標(biāo)，系統(tǒng)使用Juniper代理引擎來(lái)透明地向遠(yuǎn)程用戶發(fā)送資源。系統(tǒng)必須具有可靠性和可擴(kuò)展性，能夠擴(kuò)展到多個(gè)硬件系統(tǒng)。為了滿足該目標(biāo)，系統(tǒng)支持集群系統(tǒng)，集群中的多個(gè)系統(tǒng)提供故障恢復(fù)能力、性能擴(kuò)展能力，并且支持主－備或雙主動(dòng)模式。Juniper的IVE系統(tǒng)可以支持廣泛的企業(yè)應(yīng)用，包括：基于Web的各項(xiàng)應(yīng)用，包括瀏覽企業(yè)內(nèi)網(wǎng)、訪問(wèn)基于web的outlook和iNotes；基于MicrosoftExchange和LotusNotes郵件系統(tǒng)、以及其他基于IMAP4、POP3和SMTP的標(biāo)準(zhǔn)的郵件應(yīng)用；對(duì)于文件效勞器的文件及目錄共享控制提供支持，方便用戶上傳、下傳文件；Telnet/SSH；對(duì)大多數(shù)cient/server應(yīng)用提供支持；網(wǎng)絡(luò)全連接方式〔即PC的全部流量都可以通過(guò)SSLVPN到達(dá)企業(yè)內(nèi)網(wǎng)〕；個(gè)人防火墻/防病毒軟件等強(qiáng)制性檢查；對(duì)于來(lái)自非平安設(shè)備或臨時(shí)訪問(wèn)設(shè)備〔如網(wǎng)吧〕的訪問(wèn)，強(qiáng)制cache去除。JuniperIVE系統(tǒng)支持的接入平安控制的細(xì)化包括：動(dòng)態(tài)認(rèn)證策略：可以通過(guò)多種要素對(duì)用戶身份進(jìn)行認(rèn)證，包括提供身份前檢查和提供身份后檢查，其中提供身份前檢查的內(nèi)容可包括：源地址、網(wǎng)絡(luò)接口〔內(nèi)/外〕、證書(shū)、節(jié)點(diǎn)平安〔包括主機(jī)檢查和緩存去除〕、瀏覽器的userJuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)agent、登錄的URL、SSL版本和加密級(jí)別；提供身份后檢查的內(nèi)容可包括：身份確定、證書(shū)特性、密碼長(zhǎng)度、同時(shí)登錄用戶數(shù)、目錄效勞密碼；角色定義和策略匹配：管理員可以定義用戶屬于一個(gè)或多個(gè)角色，對(duì)不同角色提供不同的訪問(wèn)權(quán)限。對(duì)屬于多個(gè)角色的用戶可以一次性地給該用戶多個(gè)角色的總和，也可以讓用戶選擇采用某個(gè)角色進(jìn)行應(yīng)用訪問(wèn)；資源訪問(wèn)策略：對(duì)于不同的應(yīng)用資源，管理員可以提供不同的訪問(wèn)策略，作為第三層的訪問(wèn)控制手段；JuniperIVE系統(tǒng)支持?jǐn)?shù)字證書(shū)的使用，支持多種認(rèn)證效勞器〔包括RADIUS、LDAP、WindowsNTDomain、ActiveDirectory、UNIXNIS、dualfactor認(rèn)證，包括ActivCardActivPack?、RSASecurID?和SecureComputingSafeWord?PremierAccess?以及客戶端數(shù)字證書(shū)〕，也可在設(shè)備上建立本地用戶數(shù)據(jù)庫(kù)，更支持LDAP/ActiveDirectory的用戶組的特性，方便管理員定義策略。此外，還支持一次登錄訪問(wèn)多個(gè)需認(rèn)證的應(yīng)用的功能〔基于cookie的認(rèn)證〕，為遠(yuǎn)程平安接入用戶提供方便。3.2IVE系統(tǒng)對(duì)平安的控制1)硬件平臺(tái)和加固的操作系統(tǒng)IVE系統(tǒng)采用了優(yōu)化的Linux內(nèi)核和額外優(yōu)化的效勞器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設(shè)計(jì)成可以抵御針對(duì)系統(tǒng)的攻擊和針對(duì)通過(guò)該系統(tǒng)數(shù)據(jù)的攻擊。系統(tǒng)可以通過(guò)只運(yùn)行完成關(guān)鍵任務(wù)的效勞來(lái)防止攻擊，這些關(guān)鍵的效勞在開(kāi)發(fā)時(shí)就進(jìn)行了平安加固，確保系統(tǒng)的平安性。IVE系統(tǒng)不運(yùn)行通常的用戶和程序效勞，因此不會(huì)導(dǎo)致針對(duì)這些效勞的攻擊。IVE系統(tǒng)不允許管理員創(chuàng)立、維護(hù)系統(tǒng)級(jí)的用戶帳號(hào)。因?yàn)闆](méi)有交互式的Shell和翻開(kāi)的系統(tǒng)帳號(hào)，潛在的入侵者無(wú)法嘗試?yán)么嗳醯目诹?、缺省帳?hào)或遺棄的帳號(hào)對(duì)系統(tǒng)進(jìn)行非授權(quán)的訪問(wèn)。2)流量監(jiān)控和過(guò)濾IVE使用核心級(jí)包過(guò)濾模塊來(lái)監(jiān)控系統(tǒng)所收到的包，并決定是接受或拒絕該流量。該特性使得系統(tǒng)使用預(yù)定義的控制網(wǎng)絡(luò)流量規(guī)那么組，在接受之前在不同階段對(duì)流量進(jìn)行驗(yàn)證。包過(guò)濾限制了流量從本系統(tǒng)到想要連接的系統(tǒng)。3)數(shù)據(jù)的完整性和機(jī)密性IVE使用世界范圍的Internet平安標(biāo)準(zhǔn)協(xié)議：SecureSocketsLayer(SSL)。SSL在Web瀏覽器和IVE系統(tǒng)之間提供一個(gè)平安的通道。SSL有效地阻止了人為的效勞器欺騙和數(shù)據(jù)完整性的攻擊，因?yàn)椋核型ㄓ嵅捎?28位密鑰加密系統(tǒng)通過(guò)證書(shū)進(jìn)行認(rèn)證JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)IVE也可選來(lái)支持客戶端證書(shū)，它可以通過(guò)基于X.509的證書(shū)對(duì)用戶進(jìn)行鑒別。SSL對(duì)系統(tǒng)之間的交換數(shù)據(jù)的完整性和機(jī)密性的保護(hù)，確保任何未經(jīng)授權(quán)訪問(wèn)的發(fā)生。4〕用戶鑒別和認(rèn)證IVE系統(tǒng)集成了領(lǐng)先的認(rèn)證系統(tǒng)，包括雙因子系統(tǒng)和客戶端證書(shū)系統(tǒng)。通過(guò)一個(gè)合法的證書(shū)，用戶可以發(fā)起一個(gè)會(huì)話。每個(gè)到系統(tǒng)的子請(qǐng)求根據(jù)該會(huì)話進(jìn)行認(rèn)證，系統(tǒng)對(duì)非法登錄請(qǐng)求的頻率進(jìn)行限制，防止字典攻擊。如果用戶信息是合法的，系統(tǒng)產(chǎn)生一個(gè)認(rèn)證令牌。通過(guò)Web請(qǐng)求，該令牌被保存在一個(gè)加密的會(huì)話Cookie中。因?yàn)橄到y(tǒng)使用HTTPS和SSL對(duì)傳送的數(shù)據(jù)進(jìn)行加密，在這過(guò)程中會(huì)話不可能被劫取。5)審計(jì)系統(tǒng)產(chǎn)生細(xì)化的日志，該日志存儲(chǔ)在本地，系統(tǒng)也可以將這些信息發(fā)送到SYSLOG效勞器。系統(tǒng)管理員可以通過(guò)用系統(tǒng)的日志管理器或外部的SYSLOG效勞器審計(jì)的資源或應(yīng)用程序?qū)我挥脩舻脑L問(wèn)采取一些操作。6)文件系統(tǒng)和I/O所有存儲(chǔ)在設(shè)備上的數(shù)據(jù)使用AES進(jìn)行加密，只有Juniper的系統(tǒng)軟件可以讀取存儲(chǔ)的加密數(shù)據(jù)。更進(jìn)一步講，用戶和管理員不能替換任意的可執(zhí)行文件，他們也無(wú)法擁有系統(tǒng)級(jí)的帳號(hào)，因此，黑客無(wú)法針對(duì)系統(tǒng)進(jìn)行權(quán)限升級(jí)的攻擊。系統(tǒng)本身的平安性遠(yuǎn)遠(yuǎn)高于我們的競(jìng)爭(zhēng)對(duì)手。3.3員工和合作伙伴輕松訪問(wèn)相應(yīng)的應(yīng)用和資源任何熟悉瀏覽器的用戶無(wú)需任何特殊的培訓(xùn)就可以使用IVE系統(tǒng)。用戶登錄后就可以訪問(wèn)電子郵件、文件效勞器和Web資源。認(rèn)證和啟用一個(gè)IVE會(huì)話之后，用戶可以訪問(wèn)通過(guò)訪問(wèn)控制列表和基于組權(quán)限的資源。系統(tǒng)以平安方式存儲(chǔ)了用戶的認(rèn)證信息使得用戶無(wú)需登錄屢次，用戶就可以使用瀏覽器、標(biāo)準(zhǔn)的電子郵件客戶端、私有的信息應(yīng)用程序或其他客戶端訪問(wèn)所需要的資源。訪問(wèn)Web應(yīng)用、IntranetWeb站點(diǎn)、文件效勞器和Telnet/SSH為了訪問(wèn)文件和Web資源，用戶可以連接到IVE系統(tǒng)通過(guò)以下方式來(lái)實(shí)現(xiàn)：?jiǎn)?dòng)具有Internet連接的Web瀏覽器瀏覽網(wǎng)絡(luò)管理員定義的平安的URL資源登錄到系統(tǒng)JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)瀏覽IVE主頁(yè)上提供的資源，用戶可以自己定制URL書(shū)簽和文件效勞器。使用IVE訪問(wèn)信息效勞器和客戶端－效勞器應(yīng)用為了訪問(wèn)這些效勞器，用戶可以登錄到IVE并啟動(dòng)會(huì)話，當(dāng)用戶被認(rèn)證通過(guò)，IVE自動(dòng)啟動(dòng)平安應(yīng)用管理器〔SAM〕，該管理器可以通過(guò)SSL作為網(wǎng)關(guān)連接內(nèi)部應(yīng)用。對(duì)于telnet和SSH，它可以用作終端仿真器。對(duì)于信息和客戶端－效勞器應(yīng)用，它可以用作基于Java或Windows的應(yīng)用代理，SAM在SSL中封裝流量，客戶端和內(nèi)部效勞器通過(guò)IVE系統(tǒng)建立平安的連接和通訊。IVE系統(tǒng)可以使遠(yuǎn)程用戶在不安裝任何客戶端軟件和修改任何配置的條件下，透過(guò)Internet提供對(duì)現(xiàn)有應(yīng)用和效勞器的平安訪問(wèn)。3．3．1無(wú)需安裝客戶端的遠(yuǎn)程平安訪問(wèn)Juniper的IVE遠(yuǎn)程平安訪問(wèn)系統(tǒng)，在無(wú)需安裝客戶端的前提下，利用系統(tǒng)已有的標(biāo)準(zhǔn)的WEB瀏覽器，通過(guò)瀏覽器支持的SSL平安協(xié)議，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)網(wǎng)的應(yīng)用效勞器的平安訪問(wèn)。訪問(wèn)過(guò)程中，重要數(shù)據(jù)在互聯(lián)網(wǎng)上以SSL加密的形式傳輸。IVE系統(tǒng)通過(guò)以下三種方式幫助遠(yuǎn)程客戶端實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部應(yīng)用效勞器的訪問(wèn)。3．3．2核心WEB方式核心方式〔coreaccess〕的訪問(wèn)采用標(biāo)準(zhǔn)WEB方式，遠(yuǎn)程用戶首先登陸到IVE系統(tǒng)當(dāng)中，進(jìn)行相關(guān)的平安機(jī)制檢查和身份認(rèn)證，通過(guò)認(rèn)證和授權(quán)后，直接點(diǎn)擊IVE系統(tǒng)主頁(yè)上的相關(guān)預(yù)定義好的網(wǎng)絡(luò)標(biāo)簽實(shí)現(xiàn)對(duì)內(nèi)部效勞器的訪問(wèn)。核心方式的訪問(wèn)支持如下的應(yīng)用：平安的web應(yīng)用訪問(wèn)：對(duì)基于web的內(nèi)容和應(yīng)用提供支持，也包括HTML,Javascript,DHTML,VBScript,Javaapplets等。平安的文件共享訪問(wèn)：動(dòng)態(tài)Windows和Unix文件(CIFS/NFS)的web化基于標(biāo)準(zhǔn)的E-mail客戶端訪問(wèn)〔outlookwebaccess〕平安的終端訪問(wèn)：對(duì)Telnet/SSH主機(jī)(VT100,VT320…)的訪問(wèn)CORE方式主要適合于遠(yuǎn)程合作伙伴或者用戶進(jìn)行WEB訪問(wèn)之用。JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)3．3．3平安內(nèi)容管理器在平安內(nèi)容管理器〔SAM,secureapplicationmanager)方式中，遠(yuǎn)程用戶首先登陸到IVE系統(tǒng)當(dāng)中，進(jìn)行相關(guān)的平安機(jī)制檢查和身份認(rèn)證，通過(guò)認(rèn)證和授權(quán)后，遠(yuǎn)程系統(tǒng)會(huì)自動(dòng)加載一個(gè)小插件，這個(gè)插件可以將指定的網(wǎng)絡(luò)訪問(wèn)進(jìn)行重新的定向和SSL封裝，將請(qǐng)求傳給SA系統(tǒng)，由IVE系統(tǒng)對(duì)請(qǐng)求進(jìn)行解析，并且對(duì)企業(yè)內(nèi)部的應(yīng)用效勞器進(jìn)行訪問(wèn)請(qǐng)求。SAM模式可以保證現(xiàn)有的客戶化應(yīng)用不受改變。采用SAM的方式可以支持如下的應(yīng)用：訪問(wèn)客戶端/效勞器應(yīng)用,包括nativemessagingclients〔MicrosoftOutlookandIBM/LotusNotes〕其他的基于固定效勞端口，較為簡(jiǎn)單的應(yīng)用SAM方式主要適合于遠(yuǎn)程合作伙伴或者用戶進(jìn)行C/S架構(gòu)的相關(guān)訪問(wèn)之用。3．3．4網(wǎng)絡(luò)層連接〔networkconnect〕在網(wǎng)絡(luò)層連接〔networkconnect〕方式中，遠(yuǎn)程用戶首先登陸到IVE系統(tǒng)當(dāng)中，進(jìn)行相關(guān)的平安機(jī)制檢查和身份認(rèn)證，通過(guò)認(rèn)證和授權(quán)后，遠(yuǎn)程系統(tǒng)會(huì)自動(dòng)加載一個(gè)小插件，這個(gè)插件可以從IVE系統(tǒng)中自動(dòng)的獲得一個(gè)內(nèi)部網(wǎng)絡(luò)的IP地址，從而實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)，該種訪問(wèn)方式與IPSec類似。采用NC的方式可以支持幾乎全部的網(wǎng)絡(luò)應(yīng)用，包括相對(duì)復(fù)雜的視頻會(huì)議、IP等等。一般來(lái)說(shuō)這種方式的訪問(wèn)適合于網(wǎng)絡(luò)管理員進(jìn)行遠(yuǎn)程管理用。3．3．5提高網(wǎng)絡(luò)傳輸性能遠(yuǎn)程訪問(wèn)的速度問(wèn)題，一直是VPN系統(tǒng)需要解決的問(wèn)題之一，與IPSec的VPN解決方案方便，JuniperIVE系統(tǒng)提供了更高的網(wǎng)絡(luò)傳輸性能，采用的技術(shù)手段包括：利用預(yù)協(xié)商好的GZIP壓縮機(jī)制來(lái)在對(duì)應(yīng)用局部的流量在加密之前首先進(jìn)行壓縮處理，只對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行加密，不進(jìn)行協(xié)議的再次封裝，從而減少互聯(lián)網(wǎng)上傳送的流量,提高了網(wǎng)絡(luò)傳輸?shù)男阅?。提供隧道分?SplitTunneling)能力，如果使用了NC或者SAM方式，系統(tǒng)通過(guò)設(shè)置可以完成只允許流向LAN的流量通過(guò)VPN連接器進(jìn)行傳輸。而去其他地方(如其他的互聯(lián)網(wǎng)訪問(wèn))的流量將通過(guò)客戶端原有的網(wǎng)關(guān)之間訪問(wèn)。3．3．6用戶使用界面自定制JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)管理員可以自由調(diào)整用戶登陸IVE系統(tǒng)的標(biāo)識(shí)與詳細(xì)界面的外觀，比方可以修改LOGO,界面的顏色等等，這樣可以更好地匹配公司的風(fēng)格。同時(shí)管理員可以對(duì)不同的用戶組實(shí)現(xiàn)不同的登陸界面和URL。3.4系統(tǒng)擴(kuò)展性和高可用性在選擇產(chǎn)品型號(hào)時(shí)，考慮的因素包括并發(fā)用戶數(shù)、網(wǎng)絡(luò)的應(yīng)用的復(fù)雜程度和實(shí)際流量，其中并發(fā)用戶數(shù)是一個(gè)最主要的指標(biāo)。由于JuniperIVE系統(tǒng)無(wú)需客戶端，所以無(wú)需考慮客戶端軟件的費(fèi)用。高可用性方面，可以通過(guò)兩臺(tái)NS-SA設(shè)備實(shí)現(xiàn)狀態(tài)保持下的主/備切換，也可通過(guò)第三方的負(fù)載均衡器來(lái)實(shí)現(xiàn)雙主動(dòng)。 高可用性解決方案實(shí)現(xiàn)故障切換和最正確性能，系統(tǒng)對(duì)端可以同步：? 系統(tǒng)狀態(tài)? 用戶檔案狀態(tài)? 會(huì)話狀態(tài)? 群集對(duì)? 多站點(diǎn)群集對(duì)? LAN上的主動(dòng)/主動(dòng)配置選項(xiàng)? WAN上的主動(dòng)/被動(dòng)配置選項(xiàng)3．5全面的遠(yuǎn)程接入平安保護(hù)Juniper的遠(yuǎn)程接入解決方案提供全方位的平安保護(hù)，從客戶端的接入，到數(shù)據(jù)在互聯(lián)網(wǎng)上的傳輸，再到IVE接入平臺(tái)，到對(duì)后臺(tái)效勞器的資源防護(hù)控制等各個(gè)方面，都提供了相應(yīng)的平安機(jī)制。3．5．1節(jié)點(diǎn)平安機(jī)制檢查JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)隨著遠(yuǎn)程用戶的接入，對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，相當(dāng)于將企業(yè)的辦公網(wǎng)絡(luò)進(jìn)行了延伸，如何將企業(yè)原有的平安保護(hù)措施和平安策略對(duì)于新接入的主機(jī)也同樣有效，Juniper的IVE系統(tǒng)提供全面的解決方案，可以對(duì)接入節(jié)點(diǎn)的平安策略進(jìn)行檢查，并且根據(jù)檢查的結(jié)果，實(shí)施相應(yīng)的訪問(wèn)控制。并且允許管理員對(duì)以下的選項(xiàng)進(jìn)行定制。和第三方節(jié)點(diǎn)平安解決方案整合，如InfoExpress，McAfee，Sygate，ZoneLabs等注冊(cè)表參數(shù)檢查開(kāi)放/不允許的ports檢查允許/不允許的進(jìn)程檢查允許/不允許的文件檢查檢查定制的dlls對(duì)第三方軟件實(shí)施心跳檢查應(yīng)用認(rèn)證檢查(進(jìn)程,文件MD5Hash)與賽們鐵可的惡意軟件防護(hù)功能相結(jié)合，提供了客戶端對(duì)惡意軟件訪問(wèn)的支持3．5．2訪問(wèn)緩存去除代理如果遠(yuǎn)程用戶使用了不可信任的遠(yuǎn)程主機(jī)，對(duì)企業(yè)的內(nèi)部網(wǎng)絡(luò)進(jìn)行了訪問(wèn)，瀏覽器的緩存中將會(huì)保存一局部訪問(wèn)的數(shù)據(jù)，很容易造成敏感信息的意外泄漏，Juniper的IVE系統(tǒng)為此提供了緩存去除的功能，用戶在登陸內(nèi)部網(wǎng)絡(luò)的時(shí)候，自動(dòng)在本地加載一個(gè)緩存去除代理，在用戶正常注銷(xiāo)或者非正常退出的情況下，去除系統(tǒng)的該次訪問(wèn)留下的會(huì)話數(shù)據(jù)和臨時(shí)文件。保證了敏感信息不會(huì)保存在客戶端主機(jī)上。3．5．3對(duì)登陸用戶的身份驗(yàn)證IVE系統(tǒng)支持?jǐn)?shù)字證書(shū)的使用，可以單獨(dú)的利用客戶端的數(shù)字證書(shū)對(duì)用戶身份進(jìn)行驗(yàn)證，從而防止了輸入用戶名/密碼的麻煩。同時(shí)，IVE系統(tǒng)還支持多種認(rèn)證效勞器〔包括RADIUS、LDAP、WindowsNTDomain、ActiveDirectory、UNIXNIS、dualfactor認(rèn)證，包括ActivCardActivPack?、RSASecurID?和SecureComputingSafeWord?PremierAccess?以及客戶端數(shù)字證書(shū)〕，也可在設(shè)備上建立本地用戶數(shù)據(jù)庫(kù)，更支持LDAP/ActiveDirectory的用戶組的特性，方便管理員定義策略。3．5．4平安的數(shù)據(jù)傳輸遠(yuǎn)程訪問(wèn)的用戶的數(shù)據(jù)在不可信任的互聯(lián)網(wǎng)上傳輸?shù)臅r(shí)候，采用了SSL加密的技術(shù)，保證了信息不會(huì)因?yàn)楸粋陕?tīng)，竊取而造成重要信息的泄露。SSL傳輸可以設(shè)定相關(guān)的加密的強(qiáng)度，為了平安需要，可以采用高強(qiáng)度的加密傳輸，數(shù)據(jù)的加密采用對(duì)稱密鑰的方式，系統(tǒng)缺省2分鐘協(xié)商一次密鑰信息，保證了惡意的攻擊者無(wú)法得到準(zhǔn)確的密鑰。JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)如果用戶提交的認(rèn)證信息正確，系統(tǒng)將會(huì)發(fā)放一個(gè)授權(quán)的標(biāo)記〔TOKEN〕，在WEB請(qǐng)求當(dāng)中，這個(gè)標(biāo)記保存在一個(gè)加密的回話COOKIE當(dāng)中，這種做法保證了系統(tǒng)不會(huì)受到冒認(rèn)者的攻擊。因?yàn)橐粋€(gè)攻擊者需要來(lái)偽造一個(gè)會(huì)話的標(biāo)記〔TOKEN〕才能到達(dá)冒認(rèn)的效果，而這又是很難實(shí)現(xiàn)的，同時(shí)在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)包，其目的地址都是對(duì)于與IVE平臺(tái)的公網(wǎng)地址，也不會(huì)泄露網(wǎng)絡(luò)內(nèi)部效勞器的網(wǎng)絡(luò)拓?fù)洹?．5．5穩(wěn)固平安的系統(tǒng)平臺(tái)IVE系統(tǒng)采用了優(yōu)化的Linux內(nèi)核和額外優(yōu)化的效勞器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設(shè)計(jì)成可以抵御針對(duì)系統(tǒng)的攻擊和針對(duì)通過(guò)該系統(tǒng)數(shù)據(jù)的攻擊。系統(tǒng)可以通過(guò)只運(yùn)行完成關(guān)鍵任務(wù)的效勞來(lái)防止攻擊，這些關(guān)鍵的效勞在開(kāi)發(fā)時(shí)就進(jìn)行了平安加固，確保系統(tǒng)的平安性。IVE系統(tǒng)不運(yùn)行通常的用戶和程序效勞，因此不會(huì)導(dǎo)致針對(duì)這些效勞的攻擊。IVE系統(tǒng)不允許管理員創(chuàng)立、維護(hù)系統(tǒng)級(jí)的用戶帳號(hào)。因?yàn)闆](méi)有交互式的Shell和翻開(kāi)的系統(tǒng)帳號(hào)，潛在的入侵者無(wú)法嘗試?yán)么嗳醯目诹睢⑷笔ぬ?hào)或遺棄的帳號(hào)對(duì)系統(tǒng)進(jìn)行非授權(quán)的訪問(wèn)。IVE系統(tǒng)內(nèi)部采用了內(nèi)核級(jí)別的包過(guò)濾機(jī)制，利用預(yù)定義的一些規(guī)那么，對(duì)進(jìn)入系統(tǒng)的數(shù)據(jù)包進(jìn)行判斷和檢查，保證了只有合法的數(shù)據(jù)包才可以進(jìn)入或者通過(guò)IVE系統(tǒng)。IVE系統(tǒng)上的所有信息都采用了AES的加密處理，保證了及時(shí)設(shè)備被進(jìn)入或者被偷走，惡意的攻擊者都無(wú)法看到系統(tǒng)中的相關(guān)信息。JuniperIVE平臺(tái)的設(shè)計(jì)和開(kāi)發(fā)過(guò)程通過(guò)多個(gè)平安專業(yè)保障公司和專家的審查和驗(yàn)證，TrueSecure，世界領(lǐng)先的針對(duì)互聯(lián)網(wǎng)連接平安提供保證方案的組織，為JuniperIVE平臺(tái)進(jìn)行了驗(yàn)證，并且提供了相關(guān)的報(bào)告，JuniperIVE也是SSLVPN同類產(chǎn)品中唯一通過(guò)TrueSecure驗(yàn)證的產(chǎn)品，另外，DanFarmer〔SATAN的作者，一位受人尊重的平安專家〕和CryptographyResearch〔SSL3.0的合作設(shè)計(jì)者〕也對(duì)IVE系統(tǒng)進(jìn)行了審計(jì)和驗(yàn)證3．7部署和管理遠(yuǎn)程訪問(wèn)系統(tǒng)3．7．1部署過(guò)程通常的基于客戶端的VPN解決方案，在部署的時(shí)候，無(wú)論是VPN效勞器，還是數(shù)量眾多的客戶端，都需要花費(fèi)大量的資金，并且在系統(tǒng)的管理和維護(hù)上也需要IT部門(mén)大量的時(shí)間。而部署Juniper遠(yuǎn)程訪問(wèn)系統(tǒng)那么很簡(jiǎn)單，只需要進(jìn)行下面幾個(gè)步驟：安裝并且啟動(dòng)遠(yuǎn)程訪問(wèn)系統(tǒng)；將遠(yuǎn)程訪問(wèn)系統(tǒng)接入INTERNET,并且進(jìn)行簡(jiǎn)單的網(wǎng)絡(luò)設(shè)置和用戶訪問(wèn)控制設(shè)置，如接口的IP地址、用戶的認(rèn)證授權(quán)效勞器等；JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)告訴你的員工、客戶和合作伙伴你已經(jīng)可以提供這項(xiàng)效勞，告訴他們一個(gè)URL地址，通過(guò)這個(gè)地址可以遠(yuǎn)程訪問(wèn)內(nèi)部的資源。3．7．2管理配置系統(tǒng)的管理采用WEB的方式，簡(jiǎn)單易用，你可以采用標(biāo)準(zhǔn)的WEB瀏覽器來(lái)訪問(wèn)和管理配置該設(shè)備。IVE的管理和配置可以分為如下幾個(gè)功能模塊：系統(tǒng)管理器顯示當(dāng)前系統(tǒng)資源使用狀況，允許你遠(yuǎn)程重啟或者關(guān)掉系統(tǒng)，同時(shí)也支持許可證的安裝，系統(tǒng)升級(jí)管理和NTP時(shí)間同步管理等。配置管理器支持系統(tǒng)配置的導(dǎo)入/導(dǎo)出，你可以將系統(tǒng)恢復(fù)到以前的某個(gè)配置，也可以將配置導(dǎo)入另外的系統(tǒng)當(dāng)中。用戶〔組〕管理器管理員可以瀏覽和管理IVE系統(tǒng)中的用戶〔組〕，修改相關(guān)的用戶的連接屬性和IP訪問(wèn)規(guī)那么，同時(shí)也支持對(duì)基于用戶〔組〕的網(wǎng)絡(luò)標(biāo)簽〔Bookmark〕的設(shè)置。訪問(wèn)控制管理器管理員可以集中的管理每個(gè)用戶組的訪問(wèn)權(quán)限，可以定義用戶允許或者不允許訪問(wèn)指定效勞器上的網(wǎng)絡(luò)資源，訪問(wèn)控制策略可以細(xì)化到文件共享和URL以及子目錄級(jí)別。日志管理器管理員可以登陸到IVE效勞器，實(shí)時(shí)的瀏覽日志，也可以通過(guò)設(shè)置SYSLOG日志效勞器的方式，自動(dòng)的接收日志。用戶界面定制管理器管理員可以定制系統(tǒng)的用戶界面，可以參加企業(yè)的LOGO，顏色配置等等。證書(shū)管理簡(jiǎn)化WEB效勞器證書(shū)和客戶端證書(shū)的管理。3．7．3系統(tǒng)日志和維護(hù)IVE系統(tǒng)可以生成詳細(xì)的日志信息，這些日志信息可以在本地保存，也可以傳送給相應(yīng)的SYSLOG效勞器，由于SSL信道和認(rèn)證子模塊可以對(duì)客戶端和效勞器終端進(jìn)行檢查，并且記錄下相關(guān)的信息，我們可以用這些日志進(jìn)行審計(jì)。管理員通過(guò)IVE系統(tǒng)的日志管理器或者SYSLOG日志效勞器，可以判斷什么用戶在指定的系統(tǒng)或者資源上做了什么訪問(wèn)。同時(shí)可以利用日志管理器提供的過(guò)濾搜索功能，方便的查找出你想得到的信息。JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)同時(shí)，IVE系統(tǒng)內(nèi)部也提供了多種維護(hù)和調(diào)試的工具，如系統(tǒng)的狀態(tài)顯示、PING/TRACEROUTE/TCPDUMP等工具等。3．7．4管理員權(quán)限分配IVE系統(tǒng)對(duì)不同的管理員用戶進(jìn)行策略的匹配和相關(guān)的權(quán)限的分配，確定管理員角色的因素包括用戶名、用戶屬性、客戶端IP地址、客戶端證書(shū)、證書(shū)屬性、節(jié)點(diǎn)平安狀況、瀏覽器等等；管理員從權(quán)限上也可以劃分為超級(jí)用戶、只讀用戶等多種，同時(shí)針對(duì)特定的用戶組，也可以設(shè)定改組的管理員用戶，可以對(duì)僅限于改組的用戶信息進(jìn)行維護(hù)，包括增加用戶、刪除用戶等等。四、總結(jié)采用Juniper基于IVE系統(tǒng)的遠(yuǎn)程平安接入產(chǎn)品防止了復(fù)雜的客戶端軟件的安裝、配置和維護(hù)，實(shí)施的是基于應(yīng)用和資源訪問(wèn)權(quán)限的細(xì)化的應(yīng)用訪問(wèn)策略，內(nèi)網(wǎng)的效勞器受JuniperIVE系統(tǒng)的保護(hù)而不直接暴露給用戶，既提高了平安性，又降低了總體擁有本錢(qián)。五、成功案例5．1東方航空SSLVPN應(yīng)用案例中國(guó)東方航空集團(tuán)公司是中國(guó)三大國(guó)有大型骨干航空企業(yè)集團(tuán)之一，于2002年在原東方航空集團(tuán)的根底上，兼并中國(guó)西北航空公司，聯(lián)合云南航空公司重組而成。集團(tuán)總部位于中國(guó)經(jīng)濟(jì)最活潑、最興旺的城市――上海，擁有貫穿中國(guó)東西部，連接亞洲、歐洲、澳洲和美洲的龐大航線網(wǎng)絡(luò)。中國(guó)東方航空股份自成立以來(lái)在業(yè)界獲得過(guò)許多榮譽(yù)，其品牌在海內(nèi)享有廣泛聲譽(yù)，創(chuàng)造過(guò)全國(guó)民航效勞質(zhì)量評(píng)比唯一“五連冠〞紀(jì)錄，還榮獲國(guó)際航空業(yè)界的“五星鉆石獎(jiǎng)〞。在航空運(yùn)輸主營(yíng)業(yè)務(wù)方面，集團(tuán)正全面實(shí)施“中樞網(wǎng)絡(luò)運(yùn)營(yíng)〞戰(zhàn)略，一個(gè)以上海為中心、依托長(zhǎng)三角、連接全球市場(chǎng)、客貨并重的龐大航空網(wǎng)絡(luò)正在快速形成中。同時(shí)，集團(tuán)全力構(gòu)建、完善高效的“統(tǒng)一運(yùn)營(yíng)管理模式〞，逐步建立起與世界水平接近的飛行平安技術(shù)、空中和地面效勞、機(jī)務(wù)維修、市場(chǎng)營(yíng)銷(xiāo)、運(yùn)行控制等支柱性業(yè)務(wù)體系。多元化拓展是集團(tuán)戰(zhàn)略重要的一環(huán)，航空進(jìn)出口、金融效勞、航空食品、旅游票務(wù)、房產(chǎn)物業(yè)、通用航空、機(jī)械制造、廣告?zhèn)髅降容o業(yè)板塊已經(jīng)初步建立，多元化拓展已形成全新格局。需求分析：JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)隨著公司業(yè)務(wù)的增加，個(gè)人電腦和互聯(lián)網(wǎng)應(yīng)用技術(shù)的普及，“分公司人員〞、“出差員工〞、“在家辦公〞、“異地辦公〞、“移動(dòng)辦公〞等多種遠(yuǎn)程辦公模式的需求日益增加，同時(shí)合作伙伴的人員也希望能訪問(wèn)到相應(yīng)的信息資源，企業(yè)的IT管理人員面臨將遠(yuǎn)程辦公模式作為內(nèi)部辦公網(wǎng)絡(luò)的延伸和對(duì)合作伙伴人員提供外聯(lián)網(wǎng)接入的需求，需要為遠(yuǎn)程辦公的員工提供訪問(wèn)內(nèi)部信息和為合作伙伴人員訪問(wèn)與其身份相符的信息。公司內(nèi)部具有復(fù)雜的ERP應(yīng)用系統(tǒng)，包括：物流、內(nèi)部網(wǎng)站、票物系統(tǒng)、內(nèi)部郵件等。公司原來(lái)部署了IPSECVPN來(lái)滿足加油站、外部合作單位的業(yè)務(wù)需求。這種方式有以下缺點(diǎn)：不易維護(hù)和擴(kuò)展——需要在每個(gè)客戶端安裝vpn客戶端軟件，不易部署?？偛烤W(wǎng)絡(luò)存在平安風(fēng)險(xiǎn)——由于ipsecvpn方式?jīng)]有很好的權(quán)限管理策略，所以下屬網(wǎng)點(diǎn)與總部間的網(wǎng)絡(luò)通道可能成為病毒和黑客攻擊公司總部的跳板。高昂的本錢(qián)——由于需要在每個(gè)分支機(jī)構(gòu)部署VPN網(wǎng)關(guān)，對(duì)于售票點(diǎn)這樣級(jí)別的客戶來(lái)說(shuō)，量非常大且不易維護(hù)。技術(shù)要求針對(duì)東方航空公司的網(wǎng)絡(luò)狀況和應(yīng)用現(xiàn)狀，其主要的技術(shù)要求如下：方便的無(wú)客戶端安裝的遠(yuǎn)程訪問(wèn)；數(shù)據(jù)在不可信任互聯(lián)網(wǎng)上的加密傳輸；細(xì)粒度的訪問(wèn)控制策略；與PKI系統(tǒng)無(wú)縫的身份認(rèn)證的結(jié)合。替換現(xiàn)有的繁瑣的IPSECVPN連接方式，使用更為簡(jiǎn)便使用及維護(hù)的方法來(lái)進(jìn)行VPN接入軟盛提供的解決方案針對(duì)東方航空公司的需求及技術(shù)要求，軟盛推薦采用Juniper公司的SA6000系統(tǒng)實(shí)現(xiàn)平安的遠(yuǎn)程訪問(wèn)。任何可以熟練使用WEB瀏覽器的用戶，都可以很方便的使用遠(yuǎn)程訪問(wèn)系統(tǒng)。用戶通過(guò)WEB瀏覽器登陸Juniper提供的SA效勞器的主頁(yè)，身份認(rèn)證結(jié)束后，就可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)的資源，用戶可以通過(guò)WEB瀏覽器，標(biāo)準(zhǔn)的EMAIL客戶端以及其他的一些客戶端程序，方便的實(shí)現(xiàn)遠(yuǎn)程資源訪問(wèn)或者遠(yuǎn)程辦公。軟盛提供的部屬與實(shí)施方案軟盛將Juniper的SA6000遠(yuǎn)程訪問(wèn)系統(tǒng)安裝在用戶網(wǎng)絡(luò)的效勞器區(qū)。在企業(yè)的出口防火墻上，為SA設(shè)備映射一個(gè)合法可路由的IP地址，以便互聯(lián)網(wǎng)的用戶可以正常的連接到IVE設(shè)備上，同時(shí)在防火墻上也需要添加相應(yīng)的平安策略，遠(yuǎn)程用戶只能訪問(wèn)SA設(shè)備的443端口〔HTTPS連接〕，對(duì)SA設(shè)備和內(nèi)部效勞器進(jìn)行保護(hù)。具體的拓?fù)鋱D如下：JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)軟盛提供的售后技術(shù)效勞硬件設(shè)備的部署及功能配置：效勞描述：對(duì)工程所設(shè)計(jì)的硬件設(shè)備在網(wǎng)絡(luò)中的接入進(jìn)行規(guī)劃并進(jìn)行部署及配置，包括內(nèi)部門(mén)人員上網(wǎng)的策略制定、效勞器保護(hù)的策略配置、外部移用用戶訪問(wèn)與底下核心交換機(jī)的聯(lián)動(dòng)等。應(yīng)急響應(yīng)上門(mén)效勞效勞描述：對(duì)用戶發(fā)生的緊急平安事件提供規(guī)定時(shí)間內(nèi)的效勞方式：包括對(duì)問(wèn)題事件的判別、異常訪問(wèn)的控制、處理報(bào)告記錄等。及郵件支持效勞效勞描述：當(dāng)出現(xiàn)一些不是非常嚴(yán)重的故障，可以直接通過(guò)或者電子郵件尋求我們工程師的支持。如有必要，我們也可以通過(guò)自己的網(wǎng)絡(luò)系統(tǒng)或者撥號(hào)上網(wǎng)與客戶的網(wǎng)絡(luò)系統(tǒng)進(jìn)行連接，遠(yuǎn)程對(duì)客戶系統(tǒng)所出現(xiàn)的故障進(jìn)行診斷、分析。投資回報(bào)分析與客戶評(píng)價(jià)Juniper的SA遠(yuǎn)程平安訪問(wèn)解決方案從根本上解決了東方航空公司辦公網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)問(wèn)題，可以為山東網(wǎng)通的遠(yuǎn)程員工、合作伙伴提供對(duì)企業(yè)內(nèi)網(wǎng)資源的平安遠(yuǎn)程訪問(wèn)。同時(shí)它又消除了由于遠(yuǎn)程用戶的客戶端軟件的維護(hù)工作等帶來(lái)的諸多不便。降低總擁有本錢(qián)，提高投資回報(bào)——采用Junipersslvpn后，總公司部署了一臺(tái)SA-6000，每個(gè)售票點(diǎn)申請(qǐng)一條adsl，而且速度大大提高，加快了售票點(diǎn)的業(yè)務(wù)流程。網(wǎng)絡(luò)平安得到保障——所有的數(shù)據(jù)傳輸都是基于ssl加密，并且Juniper具有主機(jī)檢查和緩存去除功能，所以無(wú)論是客戶端、效勞器還是傳輸過(guò)程都是保證了平安。JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)簡(jiǎn)化維護(hù)流程——所有的策略都在總公司的SA-6000上面部署，客戶端無(wú)需安裝任何軟件，只要有標(biāo)準(zhǔn)的瀏覽器即可。并可實(shí)現(xiàn)復(fù)雜的動(dòng)態(tài)平安策略。上海東方航空公司的采購(gòu)中心劉經(jīng)理感言：通過(guò)軟盛公司提供的JuniperSA6000遠(yuǎn)程訪問(wèn)解決方案，我們可以輕松的，隨時(shí)隨地的實(shí)現(xiàn)了企業(yè)局域網(wǎng)的接入，大大提高了對(duì)于緊急事件的響應(yīng)速度，提高了工作的效率。5．2掌上靈通SSLVPN應(yīng)用案例掌上靈通是中國(guó)最大的無(wú)線增值效勞供應(yīng)商之一。公司1999年成立于上海，2004年3月在美國(guó)納斯達(dá)克成功上市：NASDAQ:LTON，成為全球第一個(gè)在NASDAQ上市的無(wú)線增值業(yè)務(wù)效勞商。掌上靈通的總部在上海，是為中國(guó)用戶提供增值效勞〔如媒體、娛樂(lè)及聯(lián)系等〕的最大供應(yīng)商。通過(guò)與中國(guó)移動(dòng)和中國(guó)聯(lián)通的緊密合作，掌上靈通為世界最大的無(wú)線市場(chǎng)中國(guó)的用戶提供了多種效勞和大量的內(nèi)容，其中包括彩鈴、圖像、屏保、互動(dòng)短信、游戲及信息效勞等。公司為中國(guó)用戶開(kāi)展、集合并分配了這些產(chǎn)品，并利用內(nèi)部的開(kāi)展團(tuán)隊(duì)聯(lián)合了國(guó)際著名內(nèi)容提供商如卡通網(wǎng)、星空衛(wèi)視、索尼唱片等等。掌上靈通在全國(guó)多個(gè)省市設(shè)有分公司和辦事處，其中在上海的總部和在北京的分公司均設(shè)有兩百人以上的團(tuán)隊(duì)。公司提供標(biāo)準(zhǔn)、嚴(yán)謹(jǐn)?shù)墓ぷ鳝h(huán)境和有競(jìng)爭(zhēng)力的薪酬福利。2005年11月，掌上靈通公司獲得由?財(cái)富?雜志中文版與華信惠悅〔WatsonWyattWorldwide〕聯(lián)合評(píng)選的“2005年最正確雇主〞的稱號(hào)。目前公司在全國(guó)有700人左右員工，其中有300人左右銷(xiāo)售人員分布在全國(guó)各地，為了便于銷(xiāo)售人員在外地使用公司lotusnotes和erp系統(tǒng)，決定實(shí)施SSLVPN工程。業(yè)務(wù)問(wèn)題與障礙掌上靈通作為一家效勞提供企業(yè)，其網(wǎng)絡(luò)的平安性和穩(wěn)定性是非常重要的，必須通過(guò)有效的網(wǎng)絡(luò)平安保護(hù)措施，保證其內(nèi)部網(wǎng)絡(luò)的機(jī)密性、完整性和可用性。保證其重要應(yīng)用和主機(jī)的平安，穩(wěn)定運(yùn)行。掌上靈通的網(wǎng)絡(luò)是一個(gè)大型的企業(yè)局域網(wǎng)絡(luò)，存在著多個(gè)分支公司網(wǎng)絡(luò)，接入的方式采用的是電信幀中繼專線的模式，同時(shí)隨著業(yè)務(wù)的增加，也有大量的移動(dòng)用戶撥入公司網(wǎng)絡(luò)的需求。掌上靈通內(nèi)部的重要敏感信息在這些網(wǎng)絡(luò)中傳輸，存在著很大的平安隱患，惡意的用戶可以通過(guò)偵聽(tīng)，截取和偽造等多種技術(shù)手段，來(lái)竊取掌上靈通的重要信息，甚至可以對(duì)信息進(jìn)行篡改和冒認(rèn)。同時(shí)，要享受通過(guò)互聯(lián)網(wǎng)訪問(wèn)企業(yè)內(nèi)部的信息資源的便利，就需要實(shí)施適當(dāng)?shù)男畔⑵桨膊呗裕捎谡粕响`通的核心業(yè)務(wù)信息的敏感性，要求必須采取相應(yīng)的技術(shù)手段，嚴(yán)格防止企業(yè)信息資源被非法竊取。對(duì)合法的訪問(wèn)要提供方便，還需盡量降低信息平安JuniperSSLVPN遠(yuǎn)程平安接入技術(shù)方案第21頁(yè)共21頁(yè)策略的實(shí)施和維護(hù)本錢(qián)。技術(shù)要求針對(duì)掌上靈通的網(wǎng)絡(luò)狀況和應(yīng)用現(xiàn)狀，其主要的技術(shù)要求如下：利用防火墻技術(shù)對(duì)內(nèi)部重要資源進(jìn)行訪問(wèn)控制和攻擊阻斷；總部與分支節(jié)點(diǎn)實(shí)現(xiàn)網(wǎng)絡(luò)共享連接；對(duì)于撥入的移動(dòng)客戶端，實(shí)現(xiàn)方便的無(wú)客戶端安裝的遠(yuǎn)程訪問(wèn)；數(shù)據(jù)在不可信任互聯(lián)網(wǎng)上的加密傳輸；細(xì)粒