质检机构VPN组网方案设计.docVIP

PAGE PAGE 1 质检机构VPN组网方案设计 　　摘要:随着我国VPN技术的发展，降低了我国各行各业对接入网建设的成本耗费。于质检机构的信息化建设中起着不可估量的作用。VPN在提升传输速率的同时，也保证了内网传输数据的安全，各个vpn设备生产厂商不断发展将VPN技术向多元化的方向推广，为质检机构应用提供了多元化的选择方向。 　　关键词：质检机构vpn组网方案 　　中图分类号：S886文献标识码：A文章编号： 　　一．背景介绍 　　随着质检机构对于网络的依赖程度越来越高，大部分质检机构都建立了局域网和广域网。随着信息化建设的深入，围绕不同的网络平台而展开的业务系统越来越多。由于博州质量与计量检测所需要对外开展业务，使在单位之外的工作人员通过internet网络访问，并进行工作。其核心的关键业务系统放在内部的局域网来访问，对于广域网上的工作人员访问业务系统来说，面临如下几个方面的问题： 　　1.业务系统直接挂在公网上，容易被黑客攻击 　　2.业务系统数据未加密，很容易被黑客所窃取 　　3.没有足够的安全保障，在广域网上访问的电脑客户端所携带的木马病毒极易侵入到内部网络中 　　4.业务系统认证手段单一，很容易造成冒名登录，造成信息泄漏 　　以上是广域网访问遇到的问题，但是对于在局域网访问的核心关键业务系统来说也是不可避免的，下面我们看下我们到底会面临哪些问题呢？ 　　二．目前面临的问题 　　1.为了保护核心关键业务系统的安全，直接将其放置在内部局域网访问，核心关键业务系统只针对部分人员开放，但互联网上的其他办公人员极有可能登录访问，因此存在一定安全隐患，所以需要对于核心关键业务系统进行逻辑隔离。 　　2.核心关键业务系统在内网进行访问，已经足够安全，但是核心关键业务系统的数据未进行加密，而这些核心关键数据将直接暴露给局域网的其他用户，其他用户极有可能通过一些黑客工具获取到这些数据，造成信息泄漏，因此存在数据被窃取的风险 　　3.对于内部的核心关键业务系统来说，只采用了简单的用户名和密码认证方式，这些简单的认证方式极易被内部的技术高超者所破解，就很容易出现冒名登录的情况，因此存在着冒名登录的风险 　　4.内部有关键业务系统，接入访问人员不一，因此存在着越权访问的风险 　　5.对于哪些需要访问核心关键业务系统的电脑来说，一旦这些电脑中毒或者中了木马，那么这些危险的信息就有可能在访问这些核心关键业务系统时而感染这些业务系统，极有可能造成内部核心关键业务系统的瘫痪，因此存在着客户端的安全隐患. 　　三．解决方案 　　为了更好地解决针对内部应用系统进行保护隔离，笔者提出了SSLVPN解决方案。 　　SSLVPN应用隔离保护拓扑： 　　互联网用户通过ADSL设备连接到SSLVPN设备，SSLVPN由于使用ADSL拨号的方式连接互联网，所以分配了动态的IP地址。SSLVPN使用动态域名手段来解决动态IP的问题。当用户连接到VPN后，可以访问博州质量检测所的质检系统。 　　解决方案简述： 　　1.为了更好地保护内部核心关键业务系统，通过SSLVPN来进行逻辑隔离，保护内部核心关键业务系统 　　2.为了保证数据传输的安全性，SSLVPN提供多种加密算法，并通过SSL协议保证数据传输的安全性 　　3.为了对于接入访问人员进行控制防止冒名访问，深信服提供多种身份认证手段保证接入访问身份的安全性。 　　4.对于有核心关键业务系统，而核心关键业务系统使用者不一的情况，SSLVPN提供细致的权限划分，为不同的接入人员划分不同的访问权限，防止越权访问 　　5.为了保证接入终端的安全性，提供客户端安全检查功能，防止客户端携带的木马病毒威胁核心关键业务服务器。 　　四．SSLVPN功能介绍 　　SSLVPN安全网关使用安全套接层（SSL协议）提供数据加密，保证数据在公网上传输的安全。由于SSL协议属于高层安全机制，因而广泛应用于Web浏览程序和Web服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议，因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。 　　SSLVPN安全网关内置了CA认证，用户可自建CA中心，也可支持第三方CA认证。除了支持常规的LocalDB，LDAP/AD，Radius，SecurID等认证以外，SSLVPN安全网关还支持USBDkey的双因素身份认证。通过将SSL加密隧道与USBKey认证相结合，结合客户端计算机安全检查功能，SSLVPN安全网关为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员，只要通过任何标准Web浏览器，就可以在任何场所、通过任何终端，无需安装任何客户终端软件就可以安全访问公司的任何资源。 　　由于采用了IPTunnel技术，SSLVPN安