-
第一章
SSL
VPN
接入解决方案
根据
******
移动用户接入实际情况,我们采用华盾
SSL VPN
系列产品提供整体网络安
全互联解决方案,解
决其所面临的网络互访、传输保密、用户认证、安全防护、网络访问控
制等问题。
1.1
VPN
解决方案
SSL VPN
配置方案如下描述:
1
.
在总部
Internet
出口处安装华盾
VP
N280SSL
安全网关,其接入方式为采用路由模式。
另外,
还可以在
SSL VPN
网关上开启防火墙、入侵检测和防御、
内容过滤、带宽管理
等安全功能,根据实际需要设置各个功能模块的具体安全防护策略,
以确保中心本地
网络免受各种外来威胁。华盾
VPN280SS
L
网关最大可支持
2000
并发用户,
完全满足目
前应用及以后扩展的需求;
2
.
在网关
上根据不同用户的划分可以对用户进行角色和组的权限设定,这种设定可以细
致的划分每
一个用户的访问权限,即可指定某用户在指定时间访问指定服务器的指定
端口,从而保证
了内网服务器的安全性;同时,为了保护内网服务器的安全,管理员
还可以指定用户必须
安装指定的安全防护软件才能访问内网服务器,这样进一步对内
网进行防护;
3
.
移动用户要访问内网服务器时,仅需打开浏览器,输入公开的服务器地址及自己的用
户名口令(或者直接用证书的形式访问,免除输入用户名口令的麻烦)
,即可访问授
权
的内部资源,由于各种访问资源的权限已经由管理员设定好,用户可以直接点击资源<
/p>
连接进行访问;
4
.
对于管
理员的操作及用户的访问,华盾
VPN
网关提供详细的日志查询
功能(包括管理
员、用户及服务器)
,可以很容易的看到各种状
态。还可以在线管理(禁用,踢下线)
用户,日志为标准
Sys
log
格式,可导入其他日志查看器查看。
5
.
使用华盾
SSL
VPN
实现的远程接入如下图所示:
1
图
4.1
SSL
VPN
网络结构
通过部署华盾
SSL VPN
设备组建
的企业移动办公网络,网络结构简单,维护成本低,
用户只需使用浏览器就可以做到安全
的连接网络,
并能针对不同的用户,
给予不同的应用权
限。因此通过华盾
SSL
VPN
很好的解决了“随时随地”的网络资源安全共享的需求。
1.1
华盾
IPSec/SSL
VPN
一体化安全网关主要功能
功能类别
SSL VPN
描
述
提供远程安全接入功能,
通过通用浏览器登录,
即可访问内部网络资源
2
无需安装和配置客户端
支持
SSL
2.0/3.0/TLS1.0
协议,支持多种标准算法选择
支持
Web
转发、端口转发、全网接入
、
Web
文件共享
< br>支持“用户名+口令”
、
“用户名+口令+图形认证码”
认证
支持数字证书+
UKEY+
口令多因子认证
支持
X.509
数字证书认证,内置
CA
中心,支持第三方
CA
支持帐户启用和禁止管理,支持公共帐户登录
支持本地数据库认证(
Localdb
)
支持基于
RADIUS/AD/LDAP/Sec
ureID
等协议的外部服务器认证
支持分组授权、支持独立用户授权和授权继承
支持基于
URL
、访问路径、访问文件、访问动作的细
粒度授权
支持基于时间的访问授权方式
支持本地授权、支持外部组映射授权、支持证书用户授权
支持
HTML
、
J
AP
、
ASP
、
JA
V
A APPLET
、
ACTIVE
、
Cookies
等各种
Web
应用
支持基于
IP
协议的各种
B/S
、
C/S
应用,如
WEB
、
EMAIL
,<
/p>
FTP
,
ERP
,
CRM
,
Oracle
,
OA
,文件共享,
VOI
P
及视频点播等
支持端点安全策略,
接入客户端能够清除
cookie
、缓存、历史记录等访
问痕迹,支持隧道内的内容过滤和病毒过滤
支持拔
KEY
隧道自动中断
支持用户超时自动退出,超时时间可以设置
< br>实时监控在线用户的登录时间、在线时间、访问流量,认证方式等多种
信息,管理
员可强制中断在线用户的隧道连接
支持本地日志和外部日志服
务器,
详细记录用户登录认证过程、
各种认
证授权错误、内网资源访问情况、访问流量等信息
基于状态检测的动态包过滤防火墙,支持完全内容检测
CCI
支持基于源
/
目的
IP
地址、源
/
目的
MAC
地址、源
/
目的端口
、协议、时
间、用户、角色的访问控制策略
< br>支持
H.323
、
SIP
、
FTP
、
RTSP
、
SQL*NET
、
< br>MMS
、
RPC(msrpc,dcerpc)
、
TFTP
等协议
防火墙
支持报文合法性检查
支持双向
NA
T
支持动态地址转换和静态地址转换
支持多对一、一对多和一对一等多种方式的地址转换
支持虚拟防火墙,支持虚拟服务器功能
支持
IP/MAC
绑定,支持
IP/
MAC
地址自动探测
符合国家密码管
理政策,支持国家密码管理机构批准的高强度专用算
法,支持国际标准加密算法
全面支持
IPSec
协议标准
IPSec VPN
支持
标准
PKI
体系结构,支持预共享密钥、数字证书的身份认证,
支持
X.509
标准证书
提供完善的
VPN
网络安全管理中心
(
SMC
)
,
支持集中认证、
策略分发、
权限管理、统一监控和日
志报警等功能
3 <
/p>
支持最新
NA
T
穿越(
NATT
)协议,支持双向
NA
T
穿越
支持隧道数据压缩
支持星型、树型和
网状
VPN
组网方式
支持全动态
IP
地址的
VPN
组网方案
支持动态域名解析(
DDNS
)
,提供
V
PN
专用
DDNS
服务器
支持
PPTP
、
L2TP
和
GRE
隧道
协议
集成华盾
VPN
动态隧道技术,与华盾
VPN
网关、安全管理中心
SMC
、
VPN
客
户端全面兼容
灵活易用的
VPN
客户端,支持硬件特征码绑定和认证,提供
6
个不同安
全等级的版本,可根据不同安全需求限定客户端的版本
支持移动用户的访问授权控制
采用完全内容检测(
Complete Content
Inspection
)技术
支持
IPSEC/SSL
VPN
隧道内的内容过滤
支持基于流、数据包、透明代理的过滤方式
< br>支持对
HTTP
、
SMTP
、
POP3
、
FT
P
、
IMAP
、
RSH
等协议的深度内容过
滤,可以根据需要过滤对敏感内容
的访问
支持
URL
< br>过滤,可以根据需要过滤对敏感页面的访问
支持对移动代码如
Java Applet
、
Active-X
、
VBScr
ipt
、
JScript
、
Java Script
的过滤
内容过滤
支持对邮件的收发地址以及附件的文件名、文件类型过滤
支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过
滤
可屏蔽受保护主机
/
服务器系统信息,
如替换服务器
(
FTP
、
SMTP
、
POP3
、
telnet,HTTP
)的
BANNER
和版本信息。
< br>
支持
MSN
,
QQ
,
Skype
、
YahooMSG
、网易泡泡、新浪
UC
、阿里旺旺
等
Instant
Messenger
通信,并可对这些应用进行限制
可对
BT
,
eMule
,
eDonkey
、
< br>PPLive
、
PPStream
、
迅雷、
超级旋风等
P2P
应用实现禁止、带宽控制或连接数限制,保障正常业务访问的带宽。
<
/p>
可防御
Synflood
、
Icmpflood
、
Udpflood
、
Portscan
、
i
psweep
、
land
、
Smurf
、
Ping of
Death
、
winnuke
、
tcp_scan
、
ip_option<
/p>
、
teardrop
、
< br>targa3
、
ipspoof
等攻击
入侵防御
< br>支持抗
CC
攻击,可通过设置端口和阀值阻断
CC
攻击
可与国内主流
的
IDS
设备联动,以提高入侵检测效率
可根据数据包的来源和特征进行阻断设置
SYN
代理:对来自定义区域的
Syn
Flood
攻击行为进行阻断过滤
当有攻击事件发生时,可记录日志并开启报警功能
根据
IP
、协议、网络接口、时间定义带宽分配策
略
支持最小保证带宽和最大限制带宽
流量管理
支持分层的带宽管理
支持
8
级优先级控制
支持<
/p>
VPN
隧道内的带宽管理
QOS
高可用性
支持双机热备(
Active-
Standby
模式)
支持负载均衡(
Active-
Active
模式)
4
支持系统故障切换
支持服务器的负载均衡,提供轮询、加权轮叫、最少连接、加权最少连
接等多种
负载均衡方式供用户选择
支持生成树协议,可实现链路负载均衡
支持链路备份功能
支持双系统引导,
当主系统损坏时,可以启用备用系统,不影响设备的
正常使用
支持
Watchdog
功能
支持使用一次性口令认证(
OTP
)
、本地认证、双因子认证(
SecurID
)
以及数字证书(
CA
)等常用的安全认证方式
用户认证
支持使用第三方认证服务器,
如
RAD
IUS
、
TACACS/TACACS+
、
LDAP
、
AD
< br>域认证等安全认证方式,支持
OCSP
在线证书认证
支持
Session
认证、
HTTP
会话认证
支持认证保活功能
可将认证用户信息加密存放在本地数据库
支持路由、透明、混合模式
支持静态路由、动态路由
支持基于源
/
目的地址、接口、
Metric
的策略路由
支持单臂路由,可以单臂模式接入网络,并提供路由转发
支持
Vlan
路由,能在不同的
VLAN
虚接口间实现路由
支持
RIP
、
OSPF
等路由协议
支持
IGM
P
组播协议
支持
IGMP SNOOPING
可有效地实现视频会议等多媒体应用
网络功能
支持与交换机的
Trunk
接口对接,并且能够实现
Vlan
间通过安全设备
传播路由
支持
802.1Q
,能进行
8
02.1Q
的封装和解封
支持
ISL
,能进行
ISL
的封装和解封
在同一个
Vlan<
/p>
内能进行二层交换
支持
802.1D
生成树协议,包括
PVST
及
CST
等协议
支持
ARP
代理、
AR
P
学习
可设置静态
ARP
支持对非
IP
协议
IPX/NetBEUI
的传输与控制
支持
DHCP
Client
、
DHCP
Relay
、
DHCP Server
支持以太网、光纤、
ADSL
、
CD
MA
、
GPRS
等多种接入方式
支持多线路捆绑和负载均衡
支持
Welf
、
Syslo
g
等多种日志格式的输出
支持通过第三方软件来查看日志
支持日志分级
安全管理
支持对接收到的日志进行缓冲存储
通
过安全审计系统,可获得更详尽的日志分析、审计和报表功能
,
并能
提供员工上网行为管理功能
支持
网络接口监测、
CPU
利用率监测、内存使用率监测、操作系统
状
5
-
-
-
-
-
-
-
-
-
上一篇:医嘱缩写
下一篇:Mastercam安装教程本教程只适用于WINWINWin位系统