Junipersslvpn技术白皮书.doc

Juniper 远程安全访问系统技术白皮书 (v1.0) Juniper Networks, Inc. 2006.3 目 录 1 企业网络远程访问面临挑战 4 2 Juniper远程安全访问解决方案 4 3 员工和合作伙伴如何应用远程安全访问系统 5 3.1 访问WEB应用，企业内部网站、文件服务器和TELNET/SSH 6 3.2 访问消息服务器和C/S服务 6 4 网络管理员如何部署和管理远程访问系统 6 5 Juniper IVE系统结构简介 8 5.1 WEB请求处理器 9 5.2 客户端请求处理器 9 5.3 交换引擎 10 5.3.1 解析和转换器 10 5.3.2 协议连接器 11 5.4 其他安全组件 12 5.4.1 硬件平台和固化的操作系统 12 5.4.2 流量检测和过滤 13 5.4.3 数据的完整性和机密性保护 13 5.4.4 用户认证和授权 13 5.4.5 日志审计 14 5.4.6 文件系统和I/O 14 5.4.7 访问控制子模块 14 6 请求的处理过程 15 6.1 进站请求 15 6.2 出站响应 16 7 第三方的安全认证 17 8 总结 17 企业网络远程访问面临挑战 随着互联网的发展和电子商务的普及，越来越多公司uniper远程安全访问解决方案 Juniper的远程安全访问产品（可简称为IVE）从根本上解决了企业的远程访问问题，可以为企业的远程员工、合作伙伴或者最终客户提供对企业内网资源的安全远程访问。同时它又消除了由于远程用户的客户端软件的维护工作等带来的诸多不便。 极大的减少了工程投资 Juniper的远程访问解决方案极大的减少了工程的投资，IVE设备的部署和维护都十分的简单，不需要任何客户端软件的安装，也不需要对服务器端进行特殊的设置，是目前仅有的可以通过很短时间的配置就可以为成千用户提供远程访问的方案，同时这种方案不需要指定单独的客户端设备、不需要其他的安全设备和应用程序的支持，仅仅利用标准WEB浏览器的安全功能就实现了安全的远程访问。 同其他的网络层的VPN设备一样，IVE平台也兼容已经存在的网络服务器和网络资源，不需要再做单独的定制开发和软件集成，IVE平台大大减少了系统部署的费用，由于不存在客户端软件的安装，也就减少了由此而引起的出差维护和管理的费用。 提高了系统安全性 IVE平台提供整体的网络安全设计，通过坚固的系统平台完成对外部应用请求的转换，同时对各种连接进行细粒度的访问控制，同时这种安全上的保障，是不以投资、复杂性和稳定性的牺牲为前提的。 IVE平台可以为用户提供方便安全的远程访问，包含但不局限于以下应用： 内部网络的内容应用和基于WEB的应用 客户端/服务器 应用 所有的消息服务器（MS Exchange,Lotus Notes） 文件服务器（MS CIFS,NFS） Telnet,SSH 标准的邮件服务器（IMAP,POP,SMTP） 下图描述了Juniper远程安全访问应用的简单模型，远程员工或者合作伙伴通过INTERNET 连接到IVE设备上，该设备通过身份认证、授权和中间转换等技术响应用户对内部资源的访问，而不需要对内部的服务器做任何的改动。 员工和合作伙伴如何应用远程安全访问系统 任何可以熟练使用WEB浏览器的用户，都可以很方便的使用远程访问系统。用户通过WEB浏览器登陆IVE服务器的主页后，就可以访问内部网络的EMAIL服务，文件服务器和WEB资源，也包括其他的C/S服务。用户身份认证结束后，其所用的主机客户端与IVE服务器就建立SSL连接，用户可以通过WEB浏览器，标准的EMAIL客户端以及其他的一些客户端程序，访问系统中指定的得到授权的资源，同时，系统会安全的保存用户的身份，而不需要用户进行多次的登陆。 访问WEB应用，企业内部网站、文件服务器和TELNET/SSH 远程用户可以方便的访问企业内部网络的资源，只需要做下面几步： 打开一个已经拥有INTERNET连接的标准WEB浏览器； 输入管理员提供的一个安全的URL地址(IVE的地址)； 登陆到IVE系统当中； 从IVE主页或者企业定制的门户主页访问相应的网络资源； 用户也可以修改指向特定URL或者文件服务器的标签，来定制主页。 访问消息服务器和C/S服务 要访问这些服务器，用户首先需要登陆到IVE系统当中，并且建立一个会话，当用户通过身份认证后，系统会自动在客户端加载SAM(安全应用管理器)模块，SAM的作用是转换针对内部网络服务器的访问请求。对于Telnet和SSH来说，就相当于一个终端模仿器。对于消息服务或者其他的C/S服务来说，就相当于一个基于JAVA或者Wi