VPN方案建议书研讨.docVIP

VPN方案建议书 ( VOL. 1 ) 目 录 1　前言 3 2　*********** 4 3　SSL VPN技术简介 5 4　SSL VPN设备选型 7 4.1　选型原则 7 4.2 Juniper简介 8 4.3 Juniper设备选型 8 5　SSL VPN方案设计 10 5.1 结构设计 10 5.2 主要功能设计与配置 10 5.2.1 用户认证和权限管理 11 5.2.2无客户端核心WEB接入权限 14 5.2.3　SAM接入权限 14 5.2.4　NC接入权限 14 5.2.5 主机检查和缓存清除 15 6　Juniper SA其它特性 15 6.1 系统特性 15 6.2 系统对安全的控制 17 6.3 系统扩展性和高可用性 18 6.4 利用IVE系统轻松访问 19 6.5 系统设备型号选择 20 7　Juniper IVE解决方案优势 21 8　SecuID双因素认证系统 22 9　IPSec VPN解决方案 26 9.1 产品选型 26 9.2 方案设计 33 10．售后服务承诺 35 1　前言 随着网络技术的发展，基于IPSec协议的VPN模式成为企业VPN的主流，IPSec VPN甚至成为企业VPN的代名词。实上IPSec VPN并不能完全代表VPN，2003年，一个VPN家族新成员进入人们视线—SSL VPN。 SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得仅仅通过一台接入了Internet的计算机就能访问企业资源，这为企业提高了效率也带来了方便。由于SSL VPN不像IPSec VPN那样要购买和维护远程客户端或软件，因而要比后者很多。中港第四航务工程局创建于1951年，是一家集勘察、设计、科研、施工于一体，具有港口与航道、公路、桥梁与市政工程等施工总承包一级资质的大型国有建筑施工企业，在国内15个省（市、自治区）以及十多个地区和国家建设了70多公里的码头岸线、800多公里的公路、桥梁和隧道。 以下为我公司根据贵方的现状及实际需求，所作的方案，敬请审阅。 2　*********** 中港四航局经过多年的建设，已经形成一个比较完善的综合网络，目前网上承载的应用主要有网站、信息发布系统、OA邮件系统、FTP、视频点播、视频会议、用友财务、紫光档案、单位内部网络文件共享等，由于项目的需要，中港四航局需要在现有的网络上给分支机构建立以IPSec及给远程用户建立以SSL　VPN技术为基础的远程办公平台。 总体上，对于移动用户的SSL VPN系统能达到以下几个主要方面： 1、灵活地对用户权限进行分配； 2、支持本地、ACE/SecureID等多种用户认证方式； 3、支持WEB服务访问； 4、支持FTP 服务访问； 5、支持OA邮件服务访问； 6、支持网络文件共享访问； 7、支持能够以C/S方式访问中港四航局的内容发布系统和其它系统； 8、支持日志记录并分类管理； 9、支持NAT穿透； 10、设备本身支持抗dos、ddos攻击、碎片攻击、洪水攻击； 11、支持群集调度； 12、支持多种加密算法； 13、同一平台上最大能扩展到1000并发用户； 而对于分支机构连接的IPSec　VPN能达到以下几个主要方面： 支持标准的IPSec协议； 支持基于路由的IPSec VPN连接； 由于分支机构的网络管理水平参差不一，要做到中央式的管理； 所有的访问控制只需在总部设置即可，不需对每一台设备进行配置； 以上几个方面均必须分别在同一平台上实现，因此应结合中港四航局的网络特点，制定切实可行的解决方案。我们提供的解决方案力图从应用的实际需求入手，在网络的各个层次上解决远程访问的方便性与安全性问题。 3　SSL VPN技术简介 SSL（安全套接层 Secure Sockets Layer）VPN用户安装任何客户端软件，所有主流浏览器都支持。市场调查机构META Group的数据显示，到2005～2006年，将有80％使用者采用SSL解决方案，成为远程访问方案的技术主流; 而根据Infonetics的预估，SSL VPN的整体市场商机，将从2005年的3.6亿美元，增长到2007年的5.91亿美元。 SSL是Internet上应用最为广泛的安全协议。SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成，其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端“在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙”。在数据传输期间，记录协议利用握手协议生成的密钥加密和解密后来交换的数据。 SSL独立于应用，因此任何一个应用程序都可以享受它的安全性