系统安全网络方案.docx

迈普EIP系统安全网络方案2006-12-0615:16:25 阅读(7) 发表评论 ,所有信息采用明文传输,从而导致互联网的安全性问题日益严重。非法访问、网络攻击等频频发生,给公司的正常运行带来安全隐患甚至不可估量的损失,因此必须利用信息安全技术来确保网络的安全问题。 ,保证对现有网络的不做大的改动,同时节约设备投资,建议采用MPSecSSL600因特办公隧道系统来组建该安全网络。 MPSecSSL600因特办公隧道系统主要由SSL隧道网关(MPSecSSL600)和SSL隧道客户端软件(MPSecSSL600Client)组成。另外用户还需要向证书颁发机构(MS证书管理系统)为SSL隧道网关和SSL隧道客户端申请数字证书。网络实施方案如下: 1)安装证书管理服务器(MS) MS服务器为安全代理网关及各远程固定用户或移动用户颁发数字证书,数字证书中绑定了各自的身份信息。在安全代理网关与各远程用户或移动用户之间的网络传输中使用数字证书进行身份验证及信息的加密传输。将证书管理服务器安装在方便管理员使用的子网中,其具体步骤如下: 安装证书管理系统分配管理员并颁发相应的管理员证书安装证书管理客户端为远程用户或移动用户颁发证书所颁发的证书分发的各远程用户或移动用户手中 2)安装MPSecSSL600系统在网络的边缘加入安全代理网关(MPSecSSL600),安全代理网关位于防火墙之后,可以利用现有的公网IP地址做NAT,使远程用户或移动用户通过公网能够访问到安全代理网关,再由安全代理网关访问ERP服务器。 3)安装MPSecSSL600Client客户端在远程固定用户或移动用户的客户端机器上安装安全传输代理客户端软件。以此来实现由安全代理网关服务器对客户端用户身份的认证、安全代理网关服务器与远程用户或移动用户客户端机器之间的信息加密传输。其具体实施步骤如下: 远程固定用户或移动用户下载并安装MPSecSSL600Client软件包; 远程用户或移动用户的证书拿到之后,即可启用安全传输。 4)本方案实施说明 EIP服务器与MPSecSSL600因特办公隧道系统可以并行一段时间,到各远程用户或移动用户已经熟悉新的访问方式之后,即可关闭对ERP服务器的直接明文访问,完全使用加密访问。 MPSecSSL600因特办公隧道系统对于除EIP系统以外的网络应用系统(如其它常用的公网服务器)不做加密和验证处理。 ,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此其有效的信息被保护起来,杜绝了有效信息的泄露。防止非法访问 MS申请数字证书,MS系统对所有的合法用户进行集中管理,充分保证用户身份的合法性。MS所签发的数字证书的用户进行网络连接。如果请求连接的用户没有合法身份,则安全代理网关将拒绝其连接请求,从而限制了非法用户对机密信息的访问。保护信息的完整性安全代理网关与安全传输代理客户端之间使用数字证书进行机密性与完整性参数的协商,它不仅能够