宝界应用准入网关—与加密整合解决方案20140602.docVIP

宝界应用准入网关与XXX加密软件整合 解决方案 一、需求背景 最常见的是透明加密解决方案产品主要功能在于，包过滤、流量控制、远程接入、P2P协议控制、IP/MAC绑定，它的优势在于不要装客户端，但仅限于边界控制。 产品目前最常见的是透明加密，透明加密是一种根据要求在操作系统层自动地对写入存储介质的数据进行加密的技术它的优势控制更灵活，缺点需要装客户端，会被杀毒软件，个人防火墙封杀。 ??? 将二类产品有效的结合，，当客户端通过上网，与管理进程进行通迅，判断，如果，即自动转入安装网页，。 以上解决方案与产品，既独立又结合，我们没有过多的检查行为放入防火墙处，影响防火墙的性能，同时又解决了客户端重装系统、结束客户端的进程，使的现象。充分发挥了二者的优势。原先需要手动去安装客户端，现在变成，客户端自己主动安装客户端了，极大的减轻了，管理员安装客户端的工作量。 4、SSL VPN远程加密访问服务器 外网用户要访问只能通过SSL VPN，有用户名口令，或加USB-KEY等，才能加密访问服务器，对外不开放常用端口。 2.2、应用准入网关部署方式 1、透明桥接方式 网络拓朴说明： 应用准入设备串接在出口路由/防火墙与三层核心交换机之间，或放在关键服务器区交换机与三层核心交换机之间。 2、策略路由方式 产品部署拓朴结构 应用准入设备直接旁接在三层核心交换机的TRUNK口。 2.3、终端进入加密网络流程 在路由器或关键服务器与交换机之间安装宝界安全准入网关，以透明的桥模式部署，它支持硬件BYPASS功能，即断电直通功能。 在宝界安全准入网关做相关安全准入策略： 准入软件缺省安装网页：可放在内网，也可放在外网。 检测时排除如下源地址：某些IP地址无需安装终端管理客户端也能通过。 检测时排除如下服务地址：不装终端管理客户端，也可访问指定的IP地址的服务器 内网终端用户开机,打开浏览器上网判断，自动转入安装网页，。 2、系统做准入检查轮询的间隔时间，以及终端主机入网后，可以有一段自由时间，这样避免刚上班终端主机一起上线，准入处理数据量过分集中。超过自由时间后，入网的主机如没有安装加密客户端，会立即弹出网页提示安装； 3、检测时接受如下地址的验证信息，为空时接受任意地址的信息，这样可以针对多网段，可以分网段分步实施。 4、允许部份主机不做准入控制，有些服务器或特例的主机，可以不安装加密也能访问服务器； 5、允许部份外网服务器无论做不做准入都能被访问 提示没有安装加密客户端的友好界面设置 2.5、SSL VPN远程访问安全设置 SSLVPN服务端的设置 1、启动SSL VPN服务：打勾表示启动SSL VPN服务。 2、服务器分配的IP地址：指SSL VPN服务启动后，防火墙会新增一个虚拟地址，它是分配给SSL VPN客户端的网关地址。 3、客户端分配的IP 地址范围：指SSL VPN客户端拨入后得到的IP?地址范围。 注意：以上地址段不可与本地TCP/IP地址段相同。 4、启用数据压缩：此服务框打勾后，SSL VPN客户端与总部内网服务器的数据通讯采用TCP/IP压缩技术，可加快数据传输效率。 5、允许客户端互通：此服务框打勾后，可使客户端拨入后互通，其缺省超时时间为30分钟。 6、SSL VPN用户内部网络表：是指SSL VPN客户端拨入后，可访问局域网的地址段或地址 SSLVPN的应用发布功能 应用发布的功能，客户端在访问总部服务器时，可以很方便直接打开相应的应用。结合微软终端服务的桌面应用，解决了外网客户端访问总部服务器慢的问题，同时不需要安装相应的应用软件客户端,大大减少了软件的维护工作。 桌面应用发布 BS应用发布 添加SSLVPN用户 SSL VPN用户添加设置 1、SSL VPN远程访问需要用户名和口令； 2、系统内置CA中，管理员可在此处自成用户证书，并自动导入USB-KEY,这样除了用户名和口令外，还需要插上USB-KEY，才能访问服务器； 3、VPN用户第一次使用本帐号登陆，系统将记住其机器特征码，限制此帐号只能在此PC上登陆，复位特征码按钮可清空记忆； 4、SSL VPN帐号可以有时间限制； 5、对SSL VPN帐号用户访问限制，可以分角色管理，只能访问指定的应用程序的地址及端口。 三、宝界应用准入网关简介 3.1、应用准入模块 应用准入模块通过网页自动重定向，对不合规的终端，进行个性化的友好提示，发送执行合规管理的客户端软件