高校SSL VN远程接入解决方案.docVIP

XX大学 SSL VPN解决方案 (v1.0) 南京易安联网络技术有限公司 Nanjing Enlink Network Technology Co., Ltd. 200.05 目 录 一、 需求分析 2 二、 设计原则 3 2.1 安全性原则 3 2.2 方便性原则 4 2.3 经济性原则 4 2.4 零维护原则 4 三、 解决方案 5 3.1 方案的准备工作 5 3.2 方案产品选型 5 3.3 网络拓朴 6 3.4 布署与应用 6 四、 方案优点 7 五、 ENLINK SSL VPN的技术优势 7 需求分析 经过发展，已经建成了数字化图书馆、OA办公系统、校园一卡通等网络化平台但是校园网是一个封闭的局域网络，如何让这些系统在教师、学生离开校园网络环境下也能够顺利使用？　　另外，如何让非常经济、方便、安全、高效地通过Internet接受远程教育？ 目前教育行业针对远程接入，主要有以下几种方式： 专线。这一接入方式非常稳定，但因每年须交纳不菲的专线租用费用而提高了接入成本。 MPLS VPN也即电信VPN。这一接入方式较专线经济，但仍需铺设专门的线路，需要每年支付线路租用费用。同样，也不适合老师与学生的校外访问。 IPSEC　VPN。这一方式目前为部分学校采用，但它有几个方面的缺陷： 安全性不够。因为它基于网络层的加密传输，当VPN通道建立以后，远程用户随即成为局域网内的一员，其权限也和内网用户一样，很容易将病毒、攻击带入校园网络。 无权限控制。IPSEC　VPN属于透明访问，无法做到精细的权限控制，仅能通过端口作有限的控制。 需要安装客户端。需要进行IP设置等系列的复杂设置，如果远程使用人员较多，将使网络维护工作量非常繁重。 兼容性不够。现有的各IPSEC　VPN之间可能不兼容，将造成连接不上的问题。当系统更新时会造成设备浪费。 反向代理。这一接入方式仅适用于纯粹的B/S系统，而现在多数应用系统都是需要加载JAVA等中间件的混合架构，…，这样就无法访问。另外它的数据是明文传输，缺乏安全性。 ..等会拦截，给老师使用带来困难；另外，安装插件的方式只支持IE内核的浏览器，而高校老师使用的浏览器千姿百态，如IE、FireFox、遨游、腾迅、Google…，会造成非IE内核浏览器无法访问。 需要进行流量控制。因为高校带宽有限，而且资源厂商也有下载限制。如果不对流量加以限制，会出现问题。 能够对资源的访问进行统计。比如各用户对各资源在单位时间的访问次数，以方便技术部门提供辅助决策。 能够与Radius、LDAP、汇文、ilas……等认证系统结合。减轻手工维护帐号的工作量。 现在，ENLINK SSL VPN这种安全、经济、便捷的远程接入方式诞生了，它弥补了前者的缺陷，在高校应用如火如荼。故建议校方用户的校外访问采用SSL VPN接入。ENLINK远程访问系统有绝对的技术优势： 图书馆的远程访问（光盘镜像例外）将不再需要安装插件。从以前SSL VPN在高校的实际应用来看，老师对安装插件多抱有抵触情绪，即使该插件有数字签名被证明是安全的。另外安装插件时一些杀毒软件如卡巴斯基、瑞星、安全卫士等工具会拦截它，可能会导致无法正常安装向网管人员求助，加大网管人员的工作量。 支持所有浏览器。如果安装插件，则99%的SSL VPN只支持IE内核的浏览器。高校老师使用的浏览器千姿百态：IE、遨游、FireFOX、腾迅、Google、Opera….，一旦老师使用的非IE内核浏览器，就无法访问图书馆。因ENLINK访问图书馆无需安装插件，这一问题迎刃而解。 部分远程访问产品无需安装插件可访问图书馆部分资源，但对于需要阅读器的电子资源如超星、APABI…等则无法访问，需借助安装插件并通过C/S模式访问。ENLINK对需要阅读器的电子资源访问同样不需要插件支持。 对于C/S应用如FTP、Telnet、光盘镜像…，ENLINK仍然需要安装经Microsoft数字签名的插件。故ENLINK采用分级管理： 多数普通老师只需要访问图书馆，那么管理员对应分配图书馆应用，则无需安装插件。 对于那些需要访问FTP、Telnet等C/S应用的人员例如技术部门，分配匹配的应用，才会提示安装插件。即便这样，在访问图书馆时，仍然无需插件支持。 日志功能更加强大。除详细记录访问信息如用户名、访问的应用、原始登录IP…等外，还可统计总的应用访问次数、每个用户的应用访问次数；可以统计各电子资源的总访问次数、可以统计每个用户访问各资源的次数。 可以对流量进行控制和统计。例如每天/每月可以访问的流量，以区别对待不同用户及防止过量下载电子资源。 可以控制用户的使用时间。比如：每天在几点钟至几点钟可以访问、每天访问时长、每月