大云網論文資料論文范文正文

基于SSL VPN系統架構網絡的應用

2013-12-05 15:10:53 電力信息化　點擊量：評論 (0)

摘要：本文對實現VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了S

eb 應用 X X

客戶端/ 服務器應用 X X

內聯網內容 X X

電子郵件 X X

文件服務器 X X

服務器套接應用 X X

五、SSL VPN安全接入方案

天津電力的遠程接入的需求體現在下面：

天津電力的絕大多數應用系統是B/S的WEB應用；部分用電營銷網點的網絡規模比較小，和公司總部以及直屬單位之間沒有網絡互聯，業務需要通過遠程接入進行訪問內部網絡資源；內部員工在進行移動辦公時要求能夠安全地訪問公司內部信息網絡資源；遠程和移動接入系統需要具有強有力的用戶身份認證機制，確保公司信息網避免受到非法用戶的惡意訪問；遠程和移動接入系統需要具有強有力的訪問控制機制，確保用戶通過認證后只能訪問到被授權的內容；遠程和移動接入需要進行數據加密功能，避免敏感信息被竊取和篡改；遠程和移動接入系統需要具有抵御針對安全、設備與系統軟件集成方面的攻擊，并對客戶端提供安全脆弱性檢查功能；遠程和移動接入系統需要解決來自Internet的病毒和惡意入侵威脅；公司的很多應用系統需要進行域集成登陸，或者從usb key中讀取用戶信息進行認證。

根據上面的需求，我們選擇制訂出SSL VPN接入方案(如圖3)：

圖3：SSL VPN 接入方案

采用專用SSL VPN接入系統平臺，客戶端只要有標準的web瀏覽器，無需進行任何部署硬件、軟件、設備，也無需對內部服務器進行任何修改，也沒有地址翻譯的影響，也不受私有地址沖突的影響，而且幾乎不需要任何后期維護，可以讓用戶方便、安全的接入內部網絡。為了提高整個遠程訪問和接入系統的安全，在內部網和Internet之間部署防火墻、IDP在線入侵防護系統以及網關防毒墻系統，從網絡和應用層面為內部網提供安全保障。

同時，專用的SSL VPN接入系統平臺可以強制對遠程用戶的安裝防火墻及防病毒軟件做出要求。與公司的防病毒軟件可以緊密的結合，只需要設置一些選項。還可以自行定義強制檢查其它的運行程序或windows注冊表項目。

在應用層面上實施安全策略，SSL VPN可以比IPsecVPN更加細化；由于SSL VPN遠程接入產品是應用層網關，采用應用層面的安全策略后，內部的應用服務器可以得到有效保護，而不必將應用服務器的第四層端口完全暴露給外部；前端的防火墻上只需配置打開tcp SSL443端口的策略就可以。

除了對B/S和email等應用的支持外，SSL VPN遠程接入產品可以對C/S的應用提供很好的支持，對常用的應用包括Lotus、Outlook等系列軟件， SSL VPN系統可以將這些應用轉化為SSL標準數據流，并不影響這些應用，例如，文件仍然可以下載到本地。

從安全角度考慮，SSL VPN遠程接入產品部署在Inte