[VPN接入解决方案.docxVIP

SSL VPN接入解决方案根据******移动用户接入实际情况，我们采用华盾SSL VPN系列产品提供整体网络安全互联解决方案，解决其所面临的网络互访、传输保密、用户认证、安全防护、网络访问控制等问题。VPN解决方案SSL VPN配置方案如下描述：在总部Internet出口处安装华盾VPN280SSL安全网关，其接入方式为采用路由模式。另外，还可以在SSL VPN网关上开启防火墙、入侵检测和防御、内容过滤、带宽管理等安全功能，根据实际需要设置各个功能模块的具体安全防护策略，以确保中心本地网络免受各种外来威胁。华盾VPN280SSL网关最大可支持2000并发用户，完全满足目前应用及以后扩展的需求；在网关上根据不同用户的划分可以对用户进行角色和组的权限设定，这种设定可以细致的划分每一个用户的访问权限，即可指定某用户在指定时间访问指定服务器的指定端口，从而保证了内网服务器的安全性；同时，为了保护内网服务器的安全，管理员还可以指定用户必须安装指定的安全防护软件才能访问内网服务器，这样进一步对内网进行防护；移动用户要访问内网服务器时，仅需打开浏览器，输入公开的服务器地址及自己的用户名口令（或者直接用证书的形式访问，免除输入用户名口令的麻烦），即可访问授权的内部资源，由于各种访问资源的权限已经由管理员设定好，用户可以直接点击资源连接进行访问； 对于管理员的操作及用户的访问，华盾VPN网关提供详细的日志查询功能（包括管理员、用户及服务器），可以很容易的看到各种状态。还可以在线管理（禁用，踢下线）用户，日志为标准Syslog格式，可导入其他日志查看器查看。使用华盾SSL VPN实现的远程接入如下图所示：图4.1SSL VPN网络结构通过部署华盾SSL VPN设备组建的企业移动办公网络，网络结构简单，维护成本低，用户只需使用浏览器就可以做到安全的连接网络，并能针对不同的用户，给予不同的应用权限。因此通过华盾SSL VPN很好的解决了“随时随地”的网络资源安全共享的需求。华盾IPSec/SSL VPN一体化安全网关主要功能功能类别描述SSL VPN提供远程安全接入功能，通过通用浏览器登录，即可访问内部网络资源无需安装和配置客户端支持SSL 2.0/3.0/TLS1.0协议，支持多种标准算法选择支持Web转发、端口转发、全网接入、Web文件共享支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证支持数字证书＋UKEY+口令多因子认证支持X.509 数字证书认证，内置CA中心，支持第三方CA支持帐户启用和禁止管理，支持公共帐户登录支持本地数据库认证（Localdb）支持基于RADIUS/AD/LDAP/SecureID等协议的外部服务器认证支持分组授权、支持独立用户授权和授权继承支持基于URL、访问路径、访问文件、访问动作的细粒度授权支持基于时间的访问授权方式支持本地授权、支持外部组映射授权、支持证书用户授权支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用支持基于IP协议的各种B/S、C/S应用，如WEB、EMAIL，FTP，ERP，CRM，Oracle，OA，文件共享，VOIP及视频点播等支持端点安全策略，接入客户端能够清除cookie、缓存、历史记录等访问痕迹，支持隧道内的内容过滤和病毒过滤支持拔KEY隧道自动中断支持用户超时自动退出，超时时间可以设置实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息，管理员可强制中断在线用户的隧道连接支持本地日志和外部日志服务器，详细记录用户登录认证过程、各种认证授权错误、内网资源访问情况、访问流量等信息防火墙基于状态检测的动态包过滤防火墙，支持完全内容检测CCI支持基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间、用户、角色的访问控制策略支持H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、TFTP等协议支持报文合法性检查支持双向NAT支持动态地址转换和静态地址转换支持多对一、一对多和一对一等多种方式的地址转换支持虚拟防火墙，支持虚拟服务器功能支持IP/MAC绑定，支持IP/MAC地址自动探测IPSec VPN符合国家密码管理政策，支持国家密码管理机构批准的高强度专用算法，支持国际标准加密算法全面支持IPSec协议标准支持标准PKI体系结构，支持预共享密钥、数字证书的身份认证，支持X.509标准证书提供完善的VPN网络安全管理中心（SMC），支持集中认证、策略分发、权限管理、统一监控和日志报警等功能支持最新NAT穿越（NATT）协议，支持双向NAT穿越支持隧道数据压缩支持星型、树型和网状VPN组网方式支持全动态IP地址的VPN组网方案支持动态域名解析（DDNS），提供VPN专用