Juniper sl-vpn解决方案.docVIP

Juniper 远程安全访问解决方案 Juniper Networks, Inc. 目 录 1 企业网络远程访问面临挑战 4 2 Juniper远程安全访问解决方案 4 3 Juniper远程访问解决方案 5 3.1 全面的远程访问接入 5 3.1.1 网络部署 6 3.1.2 无需安装客户端的远程安全访问 7 3.1.3 提高网络传输性能 9 3.1.4 用户使用界面自定制 9 3.1.5 系统日志和维护 10 3.1.6 高可用性配置 10 3.2 全面的远程接入安全保护 11 3.2.1 接入节点的安全 11 3.2.2 安全的数据传输 13 3.2.3 坚固安全的系统平台 13 3.2.4 动态全面的资源访问控制 14 3.3 安全访问产品的选择 15 3.3.1 Juniper远程访问系统产品线说明 15 3.3.2 产品的选择 16 3.4 部署和管理远程访问系统 17 3.4.1 部署过程 17 3.4.2 管理配置 17 3.4.3 系统日志和维护 18 3.4.4 管理员权限分配 18 4 Juniper公司介绍 19 4.1 公司介绍 19 4.2 企业构想 19 4.3 联系方式 20 企业网络远程访问面临挑战 随着互联网的发展和电子商务的普及，越来越多公司uniper远程安全访问解决方案 企业通过Internet数据传输平台，实施加密的VPN实现安全接入的办法主要有两种：一种是IPsec VPN，另一种是SSL VPN。两种技术在不同领域各有其优势，在实施固定的站点到站点的VPN和复杂应用的移动用户接入VPN时，一般采用IPsec技术；在实施普通应用的移动用户接入VPN时，通常采用SSL技术。 Juniper的SSL安全访问产品（可简称为IVE）从根本上解决了企业的远程访问问题，可以为企业的远程员工、合作伙伴提供对内网资源的安全远程访问。同时它又消除了因为远程用户客户端的维护等带来的诸多不便。 极大的减少了工程投资 Juniper的远程访问解决方案极大的减少了工程的投资，IVE设备的部署和维护都十分的简单，不需要任何客户端软件的安装，也不需要对服务器端进行特殊的设置，是目前仅有的可以通过很短时间的配置就可以为成千用户提供远程访问的方案，同时这种方案不需要指定单独的客户端设备、不需要其他的安全设备和应用程序的支持，仅仅利用标准WEB浏览器的安全功能就实现了安全的远程访问。 同其他的网络层的VPN设备一样，IVE平台也兼容已经存在的网络服务器和网络资源，不需要再做单独的定制开发和软件集成，IVE平台大大减少了系统部署的费用，由于不存在客户端软件的安装，也就减少了由此而引起的出差维护和管理的费用。 提高了系统安全性 IVE平台提供整体的网络安全设计，通过坚固的系统完成对外部应用请求的转换，同时对各种连接进行细粒度的访问控制，而这种安全上的保障，是不以投资、复杂性和稳定性的牺牲为前提的。 Juniper远程访问解决方案 全面的远程访问接入 IVE平台可以为用户提供方便安全的远程访问，包含但不局限于以下应用： 内部网络的内容应用和基于WEB的应用 客户端/服务器 应用 所有的消息服务器（MS Exchange,Lotus Notes） 文件服务器（MS CIFS,NFS） Telnet,SSH 标准的邮件服务器（IMAP,POP,SMTP） 下图描述了Juniper远程安全访问应用的简单模型，远程员工或者合作伙伴通过INTERNET 连接到IVE设备上，该设备通过认证、授权和中间转换等技术响应用户对内部资源的访问，而不需要对内部的服务器做任何的改动。 网络部署 XXX网络需要部署边界的网络防火墙，将企业的网络划分为两个部分：内网和服务器区，一般来说，远程的用户对企业内部网络的访问主要是针对服务器区的一些重要的应用服务器，如OA系统、业务系统、邮件系统等等。我们建议将Juniper的远程访问系统安装在用户网络的DMZ区。在企业的出口防火墙上，需要为IVE设备映射一个合法可路由的IP地址，以便互联网的用户可以正常的连接到IVE设备上，同时在防火墙上也需要添加相应的安全策略，远程用户只能访问IVE设备的443端口（HTTPS连接），对IVE设备和内部服务器进行保护。 同时我们也需要不是身份认证服务器对远程用户的身份信息进行验证。对于XXX网络，由于已经部署了PKI系统，可以利用X.509格式证书认证的方式，来实现远程用户的访问。远程的用户首先通过WEB浏览器登陆IVE设备，向IVE递交相应的证书，IVE验证客户端证书后，可以向相应的LDAP服务器进行查询，得到该证书的相关属性，并且进行访问