ENLINK高校远程访问解决方案.docVIP

ENLINK高校远程访问解决方案 经过逐年发展，很多大学已经建成了数字化图书馆、OA办公系统、校园一卡通等网络化平台，但是校园网是一个封闭的局域网络，如何让这些系统在教师、学生离开校园网络环境下也能够顺利使用？ 数字图书馆电子资源厂商出于版权保护原因，几乎都设置为校园网内IP段才能合法访问。而学校的师生希望在家里、出差时也能访问图书馆电子资源，如何让师生能够顺利访问这些电子资源？ 另外，远程教育的访问者希望能够远程访问XX大学的先进教育成果和优势资源，如何让他们非常经济、方便、安全、高效地通过Internet接受远程教育？ 目前教育行业针对远程接入，主要有以下几种方式： 1. 专线。这一接入方式非常稳定，但因每年须交纳不菲的专线租用费用而提高了接入成本，对于自治区各远程教育的接入而言成本非常昂贵。同时，它只适用固定场所的对等局域网连接，不适用于师生在家中、出差时的访问 2. MPLS VPN也即电信VPN。这一接入方式较专线经济，但仍需铺设专门的线路，需要每年支付较高的线路租用费用。同样，它适用于固定场所的对等局域网连接，也不适合老师与学生的校外访问。 3. IPSEC　VPN。这一方式目前为部分学校采用，但它有几个方面的缺陷： 安全性不够。因为它基于网络层的加密传输，当VPN通道建立以后，远程用户随即成为局域网内的一员，其权限也和内网用户一样，很容易将病毒、攻击带入校园网络。 无权限控制。IPSEC　VPN属于透明访问，无法做到精细的权限控制，仅能通过端口作有限的控制。 需要安装客户端。需要进行IP设置等系列的复杂设置，如果远程使用人员较多，将使网络维护工作量非常繁重。 兼容性不够。现有的各IPSEC　VPN之间可能不兼容，将造成连接不上的问题。当系统更新时会造成设备浪费。 4. 反向代理。这一接入方式仅适用于纯粹的B/S系统，而现在多数应用系统都是需要加载JAVA等中间件的混合架构，或者纯粹的C/S架构，例如FTP、Telnet…，这样就无法访问。另外它的数据是明文传输，缺乏安全性。 以前，高校在无奈之下，采用IPSec VPN和反向代理实现远程接入。现在，ENLINK SSL VPN这种安全、经济、便捷的远程接入方式诞生了，它弥补了前者的缺陷，在高校应用开始如火如荼。故建议校方远程接入用户的校外访问采用ENLINK SSL VPN接入。 二、设计原则 2.1 安全性原则 校园网对于远程接入特别是移动用户的接入，安全性是首要考虑的问题。安全性涉及三方面：传输安全、接入安全、访问安全。 传输安全指数据在传输时必须加密，而不能采用明文传输。ENLINK SSL VPN采用SSL 128位加密，保障数据传输过程的安全性。即使数据在传输时被截获，也只能是一堆无用的乱码。 接入安全指远程接入用户接入的安全。ENLINK SSL VPN可对接入用户进行HostCheck，包括病毒、注册表、系统补丁等，另外ENLINK SSL VPN可与国家CA认证的PKI身份认证结合，如USBKey、Secure ID等，既保障即使远程使用人员的登录用户名、密码被他人获知也无法进行VPN连接，同时保障远程机器即使有病毒、黑客攻击也无法进入内网传播。 访问安全指远程使用人员在VPN接入后，不能对内网资源肆意访问，而必须对其访问进行有效约束。ENLINK SSL VPN具有细颗粒度的精细权限控制，对不同部门、不同岗位的使用人员可设置不同的权限，使之仅能访问对应的系统。例如只有特定人员才能访问受版权保护的图书馆资源。 通过ENLINK SSL VPN，可到达以下安全目的： 远程客户登录内网后，能够通过统一界面分别访问内部各种资源 远程客户访问内部资源，尽量提高登陆的安全和密码保护 远程客户登录内网后，不同用户被赋予不同的访问权限，权限控制要精细化 远程客户的本地机器在登录前得到安全检查 远程登陆客户要求简便易用 2.2 方便性原则 使用人员计算机水平各异，故VPN系统的设计必须不给使用设置障碍，不改变使用者使用习惯，尽可能的符合使用者的初始习惯。ENLINK SSL VPN通过IE浏览器建立VPN通道，无须安装VPN客户端。另外，对于C/S系统，使用人员可直接从VPN界面中调用本地C/S客户端，为使用者提供极大便利。 对于网络管理人员而言，VPN管理配置应尽量简洁、清晰、严谨，过于复杂的配置页面为网络管理人员所诟病。ENLINK SSL VPN为国内最早投入商用的SSL VPN产品之一，通过多年努力，设计了符合网络管理的GUI配置。 2.3 经济性原则 这里的经济性指客户为整个方案的实施所需支付的总费用包括后续费用，也即TCO。针对本方案，指设备的总价格、支付运营商的年度费用及后续服务的费用。 Enl