Juniper SSL VPN
远程平安接入解决方案
Juniper Networks
学唱歌的技巧
一、平安接入技术选择
随着信息技术快速开展,为了提高效劳质量与水平、在市场竞争中取得优势,企业建立了内部局域网,使内部办公人员通过网络可以迅速地获取信息。然而,随着个人电脑与互联网应用技术普及,“在家办公〞、“异地办公〞、“移动办公〞等多种远程办公模式逐渐普及,同时合作伙伴人员也希望能访问到相应信息资源,企业IT管理人员面临将昆虫标本制作远程办公模式作为内部办公网络延伸与对合作伙伴人员提供外联网接入需求,为远程办公员工提供访问内部信息与为合作伙伴人员访问与其身份相符信息方便。然而,要享受通过毕业文案朋友圈互联网访问企业内部信息资源便利,就需要实施适当信息平安策略,在严格防止企业信息资源被非法窃取同时,对合法访问要提供方便,同时还需尽量降低信息平安策略实施与维护本钱。
企业通过Internet数据传输平台,实施加密VPN实现平安接入方法主要有两种:一种是IPsec VPN,另一种是SSL VPN。两种技术在不同领域各有其优势,我们建议:在实施固定站点到站点VPN与复杂应用移动用户接入VPN时,采用IPsec技术;在实施普通应用移动用户接入VPN时,采用SSL技术,原因是SSL无需在客户端安装客户端软件、实施与维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有本钱较低,而且由于SSL VPN不是翻开一个网络层通道,而只是提供了联系应用层请求固化网络接口,所以提高了与VPN相关整个系统平安性。SSL与IPsec技术详细比拟请参考SSL vs. IPSec一文。
在本方案中,我们建议根据具体网络需求,灵活结合两种流行VPN。当然,因为目前需求仅仅是总体建议,还需要针对更具体网络情况进展调整。
二、方案建议
平安协议平安套接层〔SSL〕技术是一项在互联网上广泛实施标准平安协议,全面支持认证与加密,所有标准web浏览器都支持SSL。基于贵公司平安接入模式以移动办公用户远程访问为主,我们建议主要采用SSL VPN方案,对于一些特殊应用与特殊用户环境,辅助以IPSec VPN。
广东省高校排名
NetScreen SA 系列远程接入产品是广受好评SSL VPN产品,采用是Instant Virtual Extranet(IVE)系统平台,客户只要有标准web浏览器,无需进展任何部署或安装硬件、软件客户端设备,也无需对内部效劳器进展任何修改,没有地址翻译穿越影响,也不受私有地址冲突影响,而且几乎不需要任何后期维护,所以可以方便地让用户平安地接入网络。
建议在贵公司实施SSL VPN平安接入网络拓扑示范图如下:
设备采用双层保护,防火墙实现根本DoS保护、策略过滤,以及IPSec VPN功能。SA设备那么实现SSL VPN,进展应用层保护过滤与接入。
对于核心基于WEB应用,如内部邮件、办公应用系统等,NetScreen SA产品提供全面效劳。包括ActiveX、Java、JavaScript、PHP等,支持全面性、灵活性远远超过我们竞争对手。
并且在平安策略上实施是应用层面平安策略,可以比IPsec更加细化;由于NetScreen SA 系列远程接入产品是巩固可靠应用层网关,采用应用层面平安策略后,内部应用效劳器可以得到有效保护,而不必将效劳器第4层端口完全暴露给外部;前端防火墙上只需配置翻开tcp SSL端口策略即可。
除了对web与email等应用支持外,NetScreen SA对非web许多客户端/效劳器应用也提供很好支持,所以采用NetScreen SA系列远程接入产品实施SSL VPN来实现远程接入被许多国际著名企业〔如花旗银行、德意志银行〕采用。对贵公司来说,最常用应用包括Outlook等系列软件,NetScreen IVE虽然将这些应用转化为SSL标准数据流,但并不影响这些应用,例如,文件仍然可以下载到本地。对于绝大多数C/S应用,例如Passive模式FTP、贵公司独立开发TCP特殊应用、数据库远程连接等,NetScreen SA是透明支持。
对于许多常用C/S应用,如Telnet/SSH与Citrix等,NetScreen SA都已经将这些应用支持固化在核心WEB应用当中,用户无需再定义可直接使用。
能挣钱的方法NetScreen支持广泛文件共享,Unix与Windows,并且支持中文共享。
对于特殊应用,特别是那些需要更底层通讯功能协议,NetScreen SA还提供了Network Connect功能,相当于三层通道,适用于几乎所有IP层协议应用。例如Active模式FTP,流媒体应用等。
中心点按照我们建议已经放置了支持IPSec VPN防火墙,可以建立到分支点出口防火墙VPN,以及PC拨号Dialup VPN。
NetScreen SA设备支持HA功能。配合流量负载设备,NetScreen SA支持active-activeHA方式,不仅可以实现备份功能,更可以扩大容量,实现流量分担。
同时,NetScreen-SA 系列远程接入产品可以强制对远程用户安装防火墙及防病毒软件做出要求。NetScreen IVE系统与当前市场上流行个人防火墙、防病毒软件做最严密结合,如Sygate Enforcement APISygate Security AgentZone Labs: ZoneAlarm Pro and Zone Labs Integrity花洒哪个品牌好McAfee Desktop FirewallInfoExpress CyberGatekeeper Agent等,用户只需要用鼠标选择一些选项便可完成。而且用户还可以自行定义强制检查其它运行程序或windows注册表工程。