大云网论文资料论文范文正文

基于SSL VPN系统架构网络的应用

2013-12-05 15:10:53 电力信息化　点击量：评论 (0)

摘要：本文对实现VPN（Virtual Private Network）的几种技术做了介绍，比较详细地对IPSec VPN和SSL VPN进行比较，从应用、安全角度等考虑如何选择合适的VPN技术，并且结合天津电力的应用和安全需求，介绍了S

eb 应用 X X

客户端/ 服务器应用 X X

内联网内容 X X

电子邮件 X X

文件服务器 X X

服务器套接应用 X X

五、SSL VPN安全接入方案

天津电力的远程接入的需求体现在下面：

天津电力的绝大多数应用系统是B/S的WEB应用；部分用电营销网点的网络规模比较小，和公司总部以及直属单位之间没有网络互联，业务需要通过远程接入进行访问内部网络资源；内部员工在进行移动办公时要求能够安全地访问公司内部信息网络资源；远程和移动接入系统需要具有强有力的用户身份认证机制，确保公司信息网避免受到非法用户的恶意访问；远程和移动接入系统需要具有强有力的访问控制机制，确保用户通过认证后只能访问到被授权的内容；远程和移动接入需要进行数据加密功能，避免敏感信息被窃取和篡改；远程和移动接入系统需要具有抵御针对安全、设备与系统软件集成方面的攻击，并对客户端提供安全脆弱性检查功能；远程和移动接入系统需要解决来自Internet的病毒和恶意入侵威胁；公司的很多应用系统需要进行域集成登陆，或者从usb key中读取用户信息进行认证。

根据上面的需求，我们选择制订出SSL VPN接入方案(如图3)：

图3：SSL VPN 接入方案

采用专用SSL VPN接入系统平台，客户端只要有标准的web浏览器，无需进行任何部署硬件、软件、设备，也无需对内部服务器进行任何修改，也没有地址翻译的影响，也不受私有地址冲突的影响，而且几乎不需要任何后期维护，可以让用户方便、安全的接入内部网络。为了提高整个远程访问和接入系统的安全，在内部网和Internet之间部署防火墙、IDP在线入侵防护系统以及网关防毒墙系统，从网络和应用层面为内部网提供安全保障。

同时，专用的SSL VPN接入系统平台可以强制对远程用户的安装防火墙及防病毒软件做出要求。与公司的防病毒软件可以紧密的结合，只需要设置一些选项。还可以自行定义强制检查其它的运行程序或windows注册表项目。

在应用层面上实施安全策略，SSL VPN可以比IPsecVPN更加细化；由于SSL VPN远程接入产品是应用层网关，采用应用层面的安全策略后，内部的应用服务器可以得到有效保护，而不必将应用服务器的第四层端口完全暴露给外部；前端的防火墙上只需配置打开tcp SSL443端口的策略就可以。

除了对B/S和email等应用的支持外，SSL VPN远程接入产品可以对C/S的应用提供很好的支持，对常用的应用包括Lotus、Outlook等系列软件， SSL VPN系统可以将这些应用转化为SSL标准数据流，并不影响这些应用，例如，文件仍然可以下载到本地。

从安全角度考虑，SSL VPN远程接入产品部署在Inte