欢迎来到天天文库
浏览记录
ID:9440768
大小:51.50 KB
页数:5页
时间:2018-04-30
《大屯煤电集团分公司远程安全接入方案研究》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、大屯煤电集团分公司远程安全接入方案研究 近年来、随着信息技术的飞速发展和公司信息化建设的不断深入,在公司办公X络中已经建成了许多关键应用系统,这些关键的应用系统如OA办公、ERP、调度报表、主数据、邮件、病毒防护、财务管理、人力资源管理等系统。公司员工可以轻松通过公司内部X访问这些应用系统资源,不仅提高了公司的管理效率,而且促进了各项业务的发展,保证了公司的安全生产。 随着公司驻外分公司及办事处的设立以及远程办公、移动办公人员的增加,使用远程办公和移动办公的人也越来越多,更多驻外办公需要接入到公司的内部X络中,访问这些应用系统,公司X络应用中实现远程接入的需求变得日益迫切。 1
2、现状及存在问题 目前大屯煤电集团所有的应用系统和信息资源均布置在集团总部,驻外分公司及办事处通过X络运营商的10M专线接入互联X。随着集团信息化的进一步深入,积累的应用系统和信息资源越来越多,包括文件共享、调度报表、MRP、ERP、主数据、OA、邮件、RP系统、ERP系统、法律事务系统等所使用的公X地址和端口,很容易被黑客或不怀好意的人入侵,易感染病毒,用户及其访问的内容没有审计,缺少对访问内部资源用户身份认证和授权机制,整体安全性较低。这些关键的应用系统有些需要使用到某些特殊应用端口,而往往这些端口在许多地方被封掉,从而造成移动办公的人员不能正常访问一部分公司的关键应用系统。
3、2SSLVPN远程安全接入的必要性 考虑到安全、高可用、实用、可管理、可扩展等因素,为了满足该集团驻外分公司、各办事处员工及出差人员访问内部资源其日常办公的需求,急需建立一个远程安全接入的平台。 VPN是一种在公用X络上建立专用X络的技术,VPNX络的任意两个节点之间的连接并没有传统专X所需的端到端的物理链路,而是架构在公用X络服务商所提供的X络平台,它可以提供远程的安全接入,而终端用户无需安装或设置客户端软件。目前,对SSLVPN公认的三大好处是:第一个好处来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行
4、;第三个好处是兼容性好,可以适用于任何终端及操作系统。所有的远程用户只需要打开浏览器即可成功接入集团总部内部X络。 采用SSLVPN接入方式不需要再安装任何客户端软件,操作使用方便,另外,SSLVPN对接入用户的访问权限可以进行控制,可以做到严格授权。 3方案设计 本次安全接入的目标是应用远程接入技术实现驻外分公司及各办事处对公司关键应用系统的安全访问,使驻外人员可随时接入到公司内部X络中,并建成一个统一、便捷、高效的内部X络平台。 SSLVPN与IPSecVPN是目前流行的两种因特X远程安全接入技术,它们之间具有类似的功能特性,但也存在很大不同。 IPSecVPN提供完整
5、的X络层连接功能,是实现多专用X安全连接的最佳选项,而SSLVPN的零客户端架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业XWeb应用。IPSecVPN需要软件客户端支撑,不支持公共Inter站点接入,但能实现Web或非Web类企业应用访问。 因此,集团公司选定了SSLVPN方式,同时,为了避免X络冲突,集团对所属企业、驻外分公司及各办事处的X络进行统一部署方案。 总体设计思路如下:(1)在集团总部内X部署高性能的SSLVPNX关;(2)在驻外机构及各办事处,办公人员通过远程接入到公司内部X,访问关键应用系统资源;(3)在集团总部SSLVPNX关上配置用户角色及相
6、应的访问权限;(4)X关上设置可以自动生成系统日志和用户操作日志等。 4实施方案 根据总体部署,我们在公司现有的防火墙后面部署了一台SSLVPN-Plus设备,由防火墙来转发所有对内部应用系统的SSL连接请求到SSLVPN-Plus上,由SSLVPN-Plus来处理用户的认证、授权以及信息的加/解密工作,而正常的X络访问流量通过防火墙的相关策略直接处理,由于防火墙的安全隔离作用,可以有效隔离大部分来自X络的攻击扫描行为,一方面保障了内部X络及服务器的安全,另一方面也可以有效保障VPN-Plus本身的安全性。SSLVPN-Plus工作在单臂模式,远程用户通过HTTPS协议安全连接到
7、SSLVPN-Plus进行加/解密信息交换以及用户认证,并获得应用资源访问授权。当应用服务器增加时,不需要更改任何防火墙或者路由器策略,也不需要更改任何X络拓扑,只需要在SSLVPN-Plus上增加相应的策略,即可实现远程用户的安全访问,大大提高了易用性。 对于一般的用户而言,由于防火墙的NAT以及访问控制策略的限制,用户能够接触到的只是SSLVPN-Plus,而不可能接触到实际的内部X络应用服务器,所有对内X应用的请求会被防火墙直接强制转移到SSLVP
此文档下载收益归作者所有