SSLVPN解决方案.doc

CYLANSSLVPN解决方案公司简介二、荣誉及资质三、为代表的全球性信息化浪潮迅猛发展,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,从典型的如金融业务系统、网上证券交易业务系统,逐渐扩展到企业内部系统应用,大幅度地改进了工作方式,提高了工作效率。然而如何确保在网络中传输的身份认证、机密性、完整性、合法性等问题已成为进一步发展和推动企业信息化应用的关键。目前最好的应用安全解决方案是采用PKI(PublicKeyInfrastructure,公钥基础设施)技术建立数字证书认证中心(CA),为企业用户颁发证书来确定身份,保证企业敏感信息的机密性、完整性以及抗抵赖性。四、需求分析企业信息化是对企业信息在深度和广度上的开发利用,而及时、准确、全面的信息,才是科学决策的可靠依据。由于企业信息中的许多内容,如账目、凭证、采购销售、资金使用、生产计划、客户等方面的信息,都在不同程度上关系到企业的兴衰成败,如果这些信息一旦失真或被内部人员、黑客和商业间谍窃取将有可能导致严重的后果。因此,采取强有力的安全措施来保障企业的信息安全将变得尤为重要。•身份认证:目前,很多应用系统采用“用户名+密码”的方式来验证访问用户的身份,用户输入的用户名和密码通过明文方式传输,用户口令易被窃取而导致损失。因此,需要采用安全的手段,解决应用系统身份认证需求;•机密性、完整性:大量企业敏感信息在网上传输,非法用户很容易监听网络传输的数据甚至篡改相关数据,或者入侵到应用系统,窃取有关资料。因此,需要采用有效的方式保证应用系统传输数据的机密性和完整性;•抗抵赖性:信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖,不能否认自己发送信息的行为。因此,需要提供一种有效的机制,来保证业务系统中传递信息的抗抵赖性;•其他安全需求:安全是不能仅仅靠技术来保证,必须要有相应的组织管理体制配合、支撑,才能确保信息系统安全、稳定运行;五、解决方案推荐1、方案概述远程安全访问解决方案,通过CylanSSLVPN和CA中心认证系统的结合合。即把CA的根证书植入赛蓝的VPN平台,进行终端用户数字证书的颁发,和远程接入用户终端的可信身份验证。同时使用硬件USB-Key作为终端用户的私钥、数字证书存储介质。方案实现了远程终端用户的强制身份认证,通过建立PKI/CA认证系统,可以确保各种人员、资源的身份,防止网络欺诈行为和抵赖行为,为内网的业务系统提供了有效的安全保障。部署硬件的安全终端产品,能更大程度上确保接入应用系统的稳定、安全、可靠。方案的设计原则是:完全遵从安全标准;不改动原网络架构;方案实施简单快捷。2、产品选型及登录方式总部:通过在内网布署一台CYLANSGA650移动管理产品作为远程接入的网关设备,把办公系统及其他业务系统等企业信息资源发布到这个平台即可。远程登录方式:1、各分公司人员PC通过浏览器登录到移动管理平台上,通过认证后可访问总部企业信息资源;2、手机或平板电脑安装一个小客户端软件,联接登录到移动管理平台上,访问总部的企业信息资源。认证手段:USBKEY数字证书认证,保证访问用户身份的合法性。3、CYLANSGA650网关产品概述CYLANSGA650网关产品是以国际标准SSL协议为基础,通过虚拟化技术手段,专为企业定制的基于应用层设计、多种安全防护功能的新一代智能网络安全集中应用发布的远程接入产品,它是完全技基于Linux自主研发的网络操作系统为核心,集成了VPN、认证授权、内容安全授权访问、高可用性配置等众多安全角色,提供高度安全、可信和健壮的系统安全解决方案。实现了单一设备对多应用的全面安全防护。为用户提供更快、更安全的保障,全面满足大中型企事业单位的安全和快速接入的需求。终端用户无需安装业务应用软件的客户端,完全是基于Web方式访问。CYLANSGA650网关产品可以集中管理企业内部的应用资源,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。4、部署方式此方案设备采用单臂方式接入,与现有的网络无缝整合,无需更改现有的网络架构,SSLVPN平台代理远程的请求,再与内部服务器进行通讯,因移动管理平台并不处在网络通讯的关键路径上,这样就避免了网络单点故障;采用此解决方案可以非常方便解决因人员增加的扩容问题。部署方案网络拓扑图如下:部署简单说明:设备部署:在数据中心机房安装一台Cylan650,最大并发支持到3000个开放前置端口:以单臂形式部署,需要在防火墙上做TCP的XXX端口映射,保证能够正常访问。如果需要远程进行登录维护请开启XXXX端口。5、组成部分功能远程安全访问解决方案主要由SSLVPN网关、认证中心和终端用户证书组成,各组成部分的功能如下:VPN网