广西企业远程访问接入解决方案.docVIP

企业远程安全访问接入解决方案 广州神州数码有限公司 2005年11月 目录 第一章 简介 2 第二章 需求分析 3 2.1具体需求分析 4 第三章 SSL-VPN 解决方案 5 3.1网络拓补图 5 3.2方案分析 5 第四章 SSL VPN 产品选型 8 4.1 F5 FirePass 的关键技术 8 4.2 F5 FirePass系统设备型号选择 11 第五章 成功案例 15 第一章 简介 什么是VPN: VPN就是指利用公共网络，如公共分组交换网、网、或等的一部分来发送专用信息，形成逻辑上的专用网络VPN实际上就是一种服务，用户感觉好象直接和他们的个人网络相连，但实际上是通过服务商来实现连接的用户的需求正是 VPN 技术诞生的直接原因 需要强的安全控制 需要容易部署和管理 VPN实现安全接入的两种主要办法 IPSec VPN SSL VPN SSL VPN将成为远程访问技术主流 降低维护费用并提高效率 与IPSec 相比采用SSL VPN 在三年的时间内节省 $80,000 到 $260,000 (Breakaway Marketing Group August 2004) 丰富的客户端活动日志和审计功能 优异的安全性 精确适当的访问权限 IPSec 用来为子网对子网的安全通道而设计，不适用于远程客户端访问 远程访问系统是管理系统而非纯业务系统 第二章 需求分析 某企业的总公司设在南宁，南宁本地也有自己的分公司，另在全国各地有24家办事处，七百多业务员： 通过VPN实现总部和分公司及各办事处的互联 VPN主要跑ERP数据和OA系统 业务员通过OA发送销售日报、周报、月报回总公司 业务员会在公共场所发送数据，要确保数据的安全性，可行性 不需在客户端安装软件即能实现VPN的连接 2.1具体需求分析 根据客户的SSLVPN的要求,我们总结出来，具体需求如下: 1． 通过SSL VPN来实现对总局内部网络的无客户端软件访问模式，实现方便快捷的访问； 2． SSL　VPN用户最大并发的SSL VPN访问人数可能达到700人；以后随着业务的增长，并发数有可能继续增长； 3． 保证业务员在公共场所发送数据的安全性。用户的认证管理既可以使用Firepass自身的用户数据库进行管理，也支持使用用户已有的用户数据库进行认证，并且支持多种认证方式，包括外部Radius Server认证管理模式以及双因数认证方式，例如RSA的SecuID和RAINBOW的IEKY； 5． 通过SSL VPN接入总公司内部以后，可以支持总公司内部资源的访问及其它典型应用。 6． 灵活的扩展空间，根据实际应用的需求灵活投资，提高整体服务能力 第三章 SSL-VPN 解决方案 3.1网络拓补图 3.2方案分析 将F5 FirePass 连接到总公司的核心交换机上，利用原有存在防火墙，在防火墙上映射一个合法可路由的IP地址为FirePass VPN设备，并添加相应的安全策略，在FirePass vpn 设备上添加用户组，并且为每个用户组添加相应的用户（如广州办、福州办等），为每个用户组设置相应的访问权限。远程分之机构用户、移动用户只需要在本机的IE浏览器输入映射的IP地址或者域名即可访问到FirePass vpn的首页内容，然后输入分配的用户名和密码，即可访问相应的内部资源。 该方案有以下优点： 适宜具体需求，满足用户的应用； 可行性强，实施方便，减少整体投资，具有良好的性能价格比系统可扩展性强，因为VPN是建立在公网上的私有连接，因此当网络拓扑改变时，不依附于资源提供商和物理设备；可以很好适宜各种网络结构，对网络的调整减少到最小数据高度必威体育官网网址, 提供最高级别的安全保护设定每条vpn通道的策略，确保每个连接权限易用性和灵活性好，用户可以通过固定网络（ADSL/DDN/FR/ISDN）或拨号随时随地通过VPN访问数据。如果专线出现问题或若分支机构地点改变不会影响同网络安全及VPN中心信息交换， 这很好解决由于专线出故障无法同网络安全及VPN中心信息交换的问题。? 支持microsoft outlook等客户端邮件系统的应用，支持采用pop3、smtp收发邮件的方式； ? 支持基于web的邮件收发方式（http方式）； 2) 文件传输 支持ftp文件传输，包括normal、passive两种方式。 3) 文件共享 支持与内部网microsoft windows桌面系统的文件共享。 4) 基于web的intranet系统的应用 通过http方式，访问内部OA网站，进行办公自动化处理。 3、 远程技术支持及维护 当总公司的计算机业务处理系统发生故障，而相关的技术部维护人员不在现场时，可以通过INTERNET，以最快速度连接我的内部网络上，进行故障排查及系