吉大正元 SSL VPN 安全解决方案

    VPN网络规划拓扑方案说明

 银行办公网络SSL VPN解决方案示意图

    如图，吉大正元的SSL VPN解决方案是在银行办公网的数据中心放置SSL VPN网关产品。大多数银行内网分支之间都已经部署了安全连接，此方案主要为员工通过外网访问银行资源提供安全便捷的补充。
    为了保证从银行分支机构，移动用户和soho办公安全地访问绿色区域内的总部网络资源，建议在银行办公网数据中心（总行或者省行）部署吉大正元 SSL VPN设备。设备部署在防火墙内部局域网，通过防火墙隔绝网络攻击，降低物理安全和网络安全风险。在防火墙上为通过地址映射发布VPN安全网关的地址，并仅需打开一个安全端口，有效降低黑客入侵风险。内部和银行内已经部署的认证服务器联动，对访问人员进行身份认证。也可以通过与外部CA中心联动进行授权，或者用同时使用。
    在VPN设备上配置允许外部访问的资源，吉大正元 的SSL VPN可以提供丰富的应用支持，包括B/S 、C/S结构引用，并提供文件共享、支持复杂的办公系统应用，并可以远程安全地对办公网设备进行维护。具体应用如：内部数据库、邮件系统、文件共享系统，远程学习系统，FTP服务器和内部网页等，以及设定相应用户群组的访问资源，用户即可使用。
    由于外部访问可能带入病毒，管理员可以根据安全规范设定客户端检查政策，当用户访问时，只有安全的主机才能接入内部网络。并且通过cache清除功能，使客户访问后主机不留痕迹。
使用时，在任何时间，任何地点都可以通过Internet安全方便地访问内部资源。用户只需打开浏览器，登陆到VPN设备发布的办公网网页，通过口令或者证书证明自己的身份，在通过了VPN对客户端的安全性检查后，即可以继续办公，而且无需改变工作习惯。
    同时，为监控和防范人为因素造成的资源泄漏。SSL VPN网关提供日志和审计功能，对人员访问的痕迹加以记录，为管理和监控提供方便。
    另外，为防范物理风险，可以建议部署高可用性方案，保证发生单点故障时，SSL VPN网关可以正常工作。
    部署吉大正元 SSL VPN的主要技术优势包括：
使用简单方便：无需安装客户端，用户只需要通过浏览器即可访问内网资源；
网络适应性强：VPN设备可通过并、串方式连入网络，不需要改变原有网络拓扑，包括服务器群的位置；可以灵活适应NAT转换，只需对外开放443端口，使恶意的程序和黑客无机可乘；可以同时提供代理和NC方式，既满足了对应用（特别是双向连接应用，如:即时通讯）的广泛支持，又满足了对资源的精细访问控制。针对中国国情开发的多ISP接入方式，保证通过不同ISP接入的用户，都能得到最好的服务。
 个性化设计：用户接入页面可根据实际要求设计，保证个性化的需要；
 单键式启动的安全关联应用：管理员可以设置客户端使用服务的应用程序，使用户使用更加快捷简便；
 支持应用广泛：支持OA系统，Oracle，FTP服务器，网络存储，文件共享，各种动态多媒体应用服务以及基于TCP开发或者定制的软件系统；
 提供多种认证机制，确保网络认证安全有效：提供RADIUS/AD/LDAP认证机制，支持PKI /硬件特征/附加码用户认证 ；可以和认证服务器和CA中心联动；
 提供基于角色的数据访问控制：完善的角色以及角色权限设置，使网络资源得以更加合理的应用，确保网络不受非法访问；
 完善的审计功能：有效的记录用户的使用行为，如登陆/登出、认证/授权失败连接访问活动，根据记录分析，将有利于对网络资源进行更加合理的配置，同时也使网络资源处于安全监控之下。提供TopN功能，对资源的使用情况进行统计。支持Syslog 、Snmp，可以和银行已有的网管系统结合起来，达到高度的安全监控和审计。
 高可用性支持：可以提供双机热备方案，防范单点故障。双A负载均衡和集群方式，在提供更高性能的同时保证系统冗余。
 优越性能：在全系产品中采用强加密算法，在高端系统上使用SSL加密卡，结合数据压缩方式，保证系统最佳性能。
 降低维护成本：无需额外购买和安装客户端软件，无需对使用者进行培训、简单方便地实现接入安全。

(责任编辑：adminadmin2008)