整理第一医院SSL VPNAC整体解决方案Word格式.docx
- 文档编号:22429118
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:26
- 大小:410.42KB
整理第一医院SSL VPNAC整体解决方案Word格式.docx
《整理第一医院SSL VPNAC整体解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《整理第一医院SSL VPNAC整体解决方案Word格式.docx(26页珍藏版)》请在冰豆网上搜索。
解决以上问题一方面可以提高企业的效率,做到数据统一,实现远程移动员工安全访问内网,对内网用户访问公网进行管理,避免法律效率等问题。
二、解决方案
前言
针对此次根据客户的需求,我公司推荐品牌为深信服VPN-2050SSLVPN设备和AC1200设备上网阻断设备,这是因为深信服的产品不管在性能、服务,还是市场占有率方面都表现的非常突出,具体体现在:
1.深信服科技有限公司是中国规模最大、创新能力最强的前沿网络设备供应商,致力于通过创新、高品质的产品及卓越的服务,帮助用户在业务向互联网转型中获得成功。
2.深信服上网行为管理设备是业界第一品牌,2006年推出专业上网行为管理设备,推出的最早,说明技术积淀最深厚。
3.截止到2009年8月,已有超过14000家用户选择了同深信服合作并取得了显著收益。
这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业,也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。
4.深信服产品稳定可靠,得到众多客户的使用和认同,如果购买深信服上网行为管理设备则不会承担“小白鼠”的风险。
深信服上网行为管理设备性能最强,可以满足高带宽要求,同时可以超前满足客户未来三到五年的带宽扩容要求。
5.2005年-2009年,深信服连续5次获得德勤“中国高科技高成长50强”、“亚太地区高科技高成长500强”。
6.深信服产品在市场上的占有率自2006年以来一直都是第一,这是业界其它产品很难达到的高度。
7.深信服的产品可以提供第三方的评测数据。
8.……
2.1设备选型及介绍
根据对第一医院的需求的分析,本方案采用VPN和上网行为管理一体化的方案,在医院总部使用深信服科技的VPN-2050SSLVPN设备和AC1200设备。
通过VPN-2050移动办公人员可以使用SSLVPN,实现移动用户和出差在外用户安全便捷接入总部内部网络进行业务处理。
通过AC1200上网行为管理设备,一方面可以对内部用户的上网行为进行管理,监控和审计,对用户使用的P2P下载软件进行流量带宽管理,对不同的用户组分配不同的权限和带宽。
另外,AC设备业界最领先的识别率,基于统计学的智能检测技术,丰富的日志报表功能,强大的性能,给机构的内部网络管理提供保障。
深信服科技的SSLVPN设备和AC上网行为管理设备目前已经成功运行在政府、医疗、教育科研、电信、金融证券、电网电力、石油石化、制造等行业。
2.2深信服SSLVPN网关特点
SINFORSSLVPN安全网关对于内部员工、合作伙伴、移动人员可利用SSLVPN的易用性实现安全接入。
最大限度地发挥了SSLVPN给企业带来的效益,节约了企业大量的管理成本和投入成本。
2.2.1多线路技术实现智能选路和负载均衡
目前,大规模VPN网络往往都是跨运营商的。
但是国内运营商间的带宽太小,严重影响了VPN的应用效果。
作为国内领先的VPN和网络安全研发产商,深信服科技在IPSecVPN中,创新性地采用了多线路智能选路功能,并成功应用到SINFORSSLVPN安全网关中。
所谓多线路智能选路技术,即是指在企业数据中心网络的网关位置部署SINFORSSLVPN安全网关,并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽叠加。
当远程的众多VPN客户端在使用不同运营商的上网线路访问总部资源时,SINFORSSLVPN网关会自动检测最优线路,使得采用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高,解决了用户在不同运营商网络之间部署VPN网络时存在延迟大、带宽小的瓶颈问题。
若采用其他方案来解决类似问题,则用户往往需要单独购买一个线路负载均衡器,才能实现多线路负载均衡的效果。
而SINFORSSLVPN的多线路技术,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了多条线路的带宽叠加和负载均衡,用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。
SINFORSSLVPN安全网关的多线路智能选路和负载均衡功能,减少了企业在IT部署的采购投入,降低了企业的总体拥有成本。
多线路智能选择最优线路
2.2.2完整支持IP层以上所有应用
目前对于大部分SSLVPN设备而言,所支持的应用类型是有限的,几乎仅限于支持Web等B/S的应用,而无法像IPSecVPN一样支持基于网络层以上的所有应用,因而也限制了SSLVPN的发展。
SINFORSSLVPN安全网关通过html智能重构技术、应用转换技术和IPTunnel技术,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,包括:
网上邻居、文件共享、FTP、OUTLOOK、SQL、LotusNOTES、SYBASE、ORACLE、CITRIX等各种应用。
由于采用了IPTunnel技术,SINFORSSLVPN安全网关实现了对应用程序的完整支持,客户端在打开浏览器的SSLVPN登录界面时,只需安装一个ActiveX控件(可选),在客户端的机器上会生成一块专门用于SSLVPN通讯的虚拟网卡,因而SSL远程登录用户便可使用所有基于IP网络层以上的应用。
若SINFORSSLVPN在总部网络采用路由模式的部署方式,总部网络还能够实现与远程接入用户的双向访问。
这种领先技术的应用,使得SINFORSSLVPN能够支持任何复杂的各种B/S和C/S的应用。
完整支持IP层以上的所用应用
2.2.3客户端安全检查,保证接入安全
在用户通过计算机浏览器打开SSL登录界面时,SINFORSSLVPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证SINFORSSLVPN接入安全,避免客户端计算机的不安全因素通过SSLVPN传输到企业内部网络产生的安全隐患。
SSLVPN客户端安全检查保证接入安全
2.2.4内置CA中心,集成短信认证等多种认证方式
SINFORSSLVPN安全网关采用SSL协议加密建立安全的专用加密通道,除了使用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。
这种USBDKEY可以同时支持两套VPN(IPSec和SSL)系统,安全方便。
SINFORSSLVPN安全网关内置了CA中心,企业或者事业单位可自建CA中心,用户可不必购买单独的CA认证体系,为企业减少了投入成本。
同时,SINFORSSLVPN安全网关也可无缝支持已有的第三方CA认证。
SINFORSSLVPN安全网关内置有LDAP/AD、Radius、SecurID、短信认证等多种安全认证方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。
当前,间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。
深信服科技采用了基于手机短信的动态身份认证系统来消除该隐患,方便易用,保证了用户使用SSLVPN访问总部资源时的安全性。
2.2.5提供细致的访问权限控制功能
SINFORSSLVPN通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。
通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。
基于角色的访问限制为企业网络提供了较强的安全性。
通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
2.2.6完善的用户和资源管理
SINFORSSLVPN内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入,支持LDAP/AD、RADIUS等第三方认证,可以根据用户、用户组、公用账号、私有账号等多种方式对用户进行管理。
管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式,为远程接入用户分配细致的访问权限控制。
同时,SINFORSSLVPN集成了组用户并发限制、公用账号并发限制和用户流量限制等多种方式,保证了用户合理地使用VPN资源。
并且,在SSLVPN网关中的直观式管理图形用户界面(GUI)的实时监控状态栏中,可以实时地监控用户的接入情况,观察整个VPN系统的运行状况。
2.2.7支持动态IP、方便易用
由于宽带的普及以及ADSL资费的降低,国内中小型企业通常采用ADSL拨号等动态IP的方式接入互联网。
SINFORSSLVPN集成了深信服科技独创的基于Web的动态IP寻址技术(专利技术),使的SINFORSSLVPN网关在部署的时候无需固定IP,完全支持动态IP。
并且,当企业在使用SINFORSSLVPN网关的SSLVPN功能时,可以使用和IPSecVPN相同的Webagent来解析网关的动态IP,减少了管理员的维护量。
移动办公人员使用浏览器连接入医院内网时,也更加便捷。
由于支持动态IP接入,SINFORSSLVPN同样也适合中小型企业。
2.2.8集成企业级状态防火墙
和多数SSLVPN不同,SINFORSSLVPN网关集成了高性能的企业级状态防火墙,对外只开放443端口,能有效保护内部服务器免受来自Internet的各种攻击。
内置的防DOS攻击功能,不仅可以有效防范来自外部网络的DOS攻击,对于内网计算机发起的DOS攻击,SSLVPN安全网关也可以进行防御。
2.2.9丰富的日志中心
SINFORSSLVPN通过独立的第三方日志服务器,用户可以按照系统日志和用户日志两大类日志进行查询。
管理员可对指定时间范围内的日志以及日志的级别如:
错误、告警、信息、调试和进程类型进行查询。
同时,管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数,用户的登录次数、告警次数等进行直观显示,并可直接打印和导出。
SINFORSSLVPN安全网关丰富的日志中心,可详细分析出企业VPN资源的详细使用情况,为网络管理员和决策者提供了最有效的数据支持
2.3SINFORAC安全网关特点
2.3.1P2P智能识别
P2P(peer-to-peer)应用的兴起直接导致了P2P软件及各种版本的爆炸性增长。
如何对P2P行为进行全面有效的管控成为业界的难题之一。
部分厂商通过封堵种子共享网站、过滤种子文件的下载、封堵资源服务器IP或封堵端口等方式进行P2P管控,费时费力且达不到理想效果。
AC的深度内容检测TCD技术对常用P2P软件进行识别;
P2P行为特征的智能分析技术实现对不常见和未来可能出现的P2P应用的识别,为您提供了全面、高效的P2P行为管控手段。
能够全面识别P2P行为是进一步管控的基础。
对P2P的管控包括封堵和流控两方面,即全面禁止指定部门使用P2P软件,或允许其使用,但对P2P行为占用的带宽资源进行限制和管理,既实现带宽使用的优化,又为机构员工提供了人性化的管理方式。
2.3.2代理服务器识别
机构的内网员工通过MicrosoftISA、Sygate、CCproxy等代理服务器上网,但由于防火墙、内容控制等设备对内网员工的管理是基于目的地址和端口的,这将无法识别通过代理服务器的员工流量和行为。
对于通过ProxyServer代理上网的情况,AC可以很好地适应并发挥其作用。
AC的深度内容检测TCD技术识别用户的数据包含代理信息后,通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据,进而对用户的网络行为进行管控和记录。
2.3.3全面的应用识别
作为上网行为管控方案,必须能对应用全面识别。
无法识别,何谈管控、审计?
内网员工的上网行为种类纷繁复杂,且伴随着应用“加密化”和“种类爆发”的趋势,如何实现全面的应用识别能力,成为管理者考量上网行为管控方案的重要标准之一。
AC的多种应用识别技术,全面识别各种应用、进而管控和审计。
主要包括如下:
a)URL识别:
以HTTP形式访问的URL地址,和SSL加密形式访问的网站,AC都能识别;
搜索引擎输入的关键字、网页正文包含的关键字、URL地址关键字等AC也能彻底识别;
从而实现对用户访问网站的管理和审计。
b)文件类型识别:
以HTTP、FTP上传下载的文件,无论是非标准端口的FTP行为,还是输入URL地址后通过页面跳转下载文件,AC都能识别、控制和审计。
c)深度内容检测:
IM聊天工具、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等,通过深度内容检测TCD技术,都能有效识别,且支持手工添加新的检测规则,实现个性化识别、封堵和审计。
P2P智能识别:
种类泛滥的P2P行为,静态“应用识别规则”已经捉襟见肘,通过P2P智能识别,识别不常见、未来可能出现的P2P行为,进而封堵、流控和审计。
2.3.4深度的内容检测技术及在线网关监控技术
(1)深度的内容检测技术:
目前的P2P软件,如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件,在用TCP或者UDP数据包的传送过程中,其报文段都会有一段特征码,该特征码是用来标识其数据包类型。
SINFORAC安全网关的深度内容检测技术,可以检测出数据包的报文中相对应的特征码,并根据预置策略进行及时封堵。
SINFORAC安全网关内置了多种深度内容检测技术所依赖的特征码规则,并且可以从网站上更新下载。
依靠这种技术,SINFORAC安全网关可以封堵目前所有的P2P软件;
避免了最终用户在IM或者P2P软件上浪费时间,提高了员工的工作效率和企业的生产效率,并防止泄密或由于员工泄密引起的重大损失。
(2)在线网关监控技术:
与其他旁路监听的访问监控产品不同的是,SINFORAC使用了在线网关监控技术。
所有的旁路监听产品,对UDP发送的数据都难以拦截,并且拦截往往有一定时延,拦截敏感数据的效果不佳,并且容易遗漏监控数据。
SINFORAC的在线拦截监控技术能保证拦截到所有敏感数据,外出数据无一纰漏。
2.3.5流量控制管理
(1)P2P软件流量控制:
针对目前P2P软件泛滥,完全影响网络使用带宽的情况。
深信服创造性的提出不仅仅要封堵,更重要的是进行流量的限制,彻底将P2P赶到应用的死角。
针对每一种P2P应用进行上行流量和下行流量的控制。
(2)QOS控制:
QOS(网络服务质量)技术包括专用带宽、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证。
AC同样采用了QOS技术,对流经WAN和LAN的数据进行了优先级处理,保证了重要服务的带宽质量。
2.3.6邮件的延迟审计(专利技术)
SINFORAC安全网关独有的邮件延迟审计功能保证了企业的重要信息不外泄。
目前电子邮件已经成为人们最重要的沟通方式。
电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。
企业内部大量的信息都通过电子邮件方式发送到外部,因而电子邮件也成为泄漏企业重要信息的重要途径之一。
SINFORAC安全网关独创的邮件延迟审计功能,可以对经由AC安全网关的所有邮件进行延迟审计。
对于内网用户向外发送邮件,AC安全网关会对其进行延迟缓存,只有等待管理员审计后才能发出,确保了企业信息资产不外泄,保证了企业内网信息的安全,且邮件延迟审计对发件人完全透明。
2.3.7独有的网络访问准入规则(专利技术)
企业的安全隐患,往往是由于内网用户客户端缺乏安全防范造成的。
为了从根本上杜绝企业内部网络安全隐患,减少内网用户遭受间谍软件、病毒的风险。
深信服科技创新性地采用了网络访问准入规则这一技术。
网络访问准入规则,是管理员在SINFORAC安全网关的准入规则中预先定制好内网计算机的安全策略。
所谓安全策略,是指特定的安全标准。
如:
用户计算机的操作系统是否安装有管理员指定的系统补丁,以及用户的计算机是否安装有相应的杀毒程序或者防火墙,或者是用户的计算机是否启动相应的杀毒程序、防火墙程序等等,这一系列的安全标准都可以定制成相应的安全策略。
当用户计算机访问网络请求的数据包通过SINFORAC安全网关时,若启用了WEB认证,当用户通过WEB认证后,此时用户的计算机会自动从AC安全网关下载相应的安全策略扫描程序,并根据指定的安全策略启动扫描程序,检查用户的计算机是否具备了相应的安全策略。
只有符合相应的安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不允许上网。
这样从根本上提高了企业用户计算机的安全性,减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。
2.3.8WEB认证技术
AC安全网关基于Web的用户认证功能,使得管理员对上网用户的管理变得十分灵活方便。
用户启用了Web认证功能以后,除了对客户端的本地身份(如:
用户名密码认证,LDAP、RADIUS、MicrosoftAD、POP3认证)进行常规性认证以外,还将启用Web认证。
当客户端在浏览器中输入任意网址时,AC安全网关会要求用户输入用户名和密码进行认证。
只有当用户输入了正确的帐号,该用户才能够访问Internet。
三、SSLVPN&
AC整体方案给客户带来的价值
通过深信服科技推荐的针对第一医院的SSLVPN&
上网行为管理整体网络解决方案,利用SSLVPN和AC互补优势,在第一医院的具体实施中给客户带来以下价值:
3.1SSLVPN价值
3.1.1方便易用
SSLVPN最大的好处之一就是不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全的接入到内部网络,安全地访问应用程序,因此降低了管理员维护客户端的成本。
利用SSL的易用性,用户也可以非常方便的部署IPSec客户端,在使用SSL的同时,也可以通过在线安装IPSec客户端,实现从SSLVPN到IPSecVPN的安全切换。
另外,由于SINFORVPN-2050只使用443端口传输数据,因此避免了在防火墙上作过多的部署。
使用标准的SSL协议和标准的浏览器可以轻易的穿越防火墙,使得移动用户几乎在任何网络环境下都可以方便的接入到VPN网络,避免了网络兼容性的麻烦。
3.1.2丰富认证方式
SINFORVPN-2050中SSLVPN采用SSL协议加密建立安全的专用加密通道,除了使用1024位的非对称密钥加强安全性,还使用DKEY(一种USB的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。
这种USBDKEY可以支持两套VPN系统,安全方便。
SINFORM5X00-S内置有LDAP/AD、Radius、SecurID、短信认证等多种安全认证方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。
同时,由于在隧道连接过程中,SINFORSSLVPN仅仅使用443端口传输数据,大大降低了病毒从远程客户端入侵VPN网络的可能。
3.1.3细致的角色管理
SINFORVPN-2050通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。
SINFORVPN-2050内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入。
VPN-2050支持LDAP/AD、RADIUS等第三方认证,可以根据组、公用帐号、私有帐号等多种方式对用户进行管理。
同时,VPN-2050集成了组用户并发限制、公用帐号并发限制和用户流量限制等多种方式,保证了用户合理地使用VPN资源。
并且,在VPN-2050直观式管理图形用户界面(GUI)的实时监控状态栏中,可以实时地监控用户的接入情况,观察整个VPN系统的运行状况。
3.2上网行为管理设备价值
3.2.1网络流量管理
数据中心组件:
AC上网行为管理产品通过审计、控制、优化和带宽叠加等功能,协助管理者全面分析和优化广域网带宽资源。
AC的数据中心(NetworkDataCenter,NDC)对局域网发生的所有网络行为进行记录、分析和趋势报告。
借助图形化的数据和报表,用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源,网页浏览,收发邮件,还是疯狂的P2P下载。
同样,我们还可以了解到哪个员工在网上购物方面表现出了异于常人的活跃,哪些部门在上班时间观看了最多的在线影片。
通过对网络使用情况的深入了解,管理者能够制定出最适合自身组织机构情况和的互联网访问策略。
由于AC提供对各种网络服务的拦截和管理,以往的拔网线、通报点名的强制性手段将成为过去,如何发挥AC的强大功能只取决于你的决心。
如果你在“彻底封杀某个服务”,还是“完全放开这项服务”的决定中摇摆不定(例如P2P下载,其吞噬带宽的同时也带给了我们丰富的信息资源),你也可以选择对应用的流量进行调整。
P2P软件控制:
P2P技术使人们可以高速获取海量的网络资源,而P2P软件对带宽的占用也使其招致种种恶言。
一个2M以太网出口的局域网,只要有2个以上的员工不限速地使用BT,所有人的正常网络浏览都将成为不可完成的任务(MissionImpossible)。
每天,互联网上都会有人发布最新的P2P软件,这让大多数的P2P控制工具望尘莫及,它们往往只能封堵“昨天的BT软件”。
AC改变了这一切。
通过对P2P下载软件的智能检测(专利号:
200610156977.8),管理员甚至可以彻底封锁所有的P2P流量。
如果你不想做的太绝,你可以选择针对特定用户和相应的P2P工具进行流量控制,只要不超出网络使用者的容忍程度,大多数用户还是可以允许内网中存在P2P下载。
带宽优化和多线路策略:
AC产品也继承
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 整理第一医院SSL VPNAC整体解决方案 整理 第一 医院 SSL VPNAC 整体 解决方案
![提示](https://static.bdocx.com/images/bang_tan.gif)