东华软件
页面主体部分上边框
  • 网管
主要内容部分容器上边框

xxxx系统 ssl vpn解决方案

1.  xxxx安全需求分析

xxxx是业务运营支撑系统(business operations support system)的简称,它涵盖了以往的计费、结算、营业、帐务和客户服务等系统的功能,对各种业务功能进行集中、统一的规划和整合,是一体化的、信息资源充分共享的支撑系统。

电信xxxx系统一般采用“两级三层”的结构,“两级”指的是:集团建成一级业务中心,负责总部一级的业务支撑;省负责建设全省集中的xxxx系统,全面接管该省的计费、结算、营业、帐务和客户服务等原有系统的功能;地市一级只作为系统的接入,不再存放数据和提供业务应用。“三层”指的是:系统由集中的数据核心层、灵活的业务逻辑层和开放的接入层构成,其中数据核心层又分为数据和服务两个子层,业务逻辑层包含业务函数和业务过程两部分。

xxxx系统的接入层开放性很强,因此应对网络安全问题给予足够的重视。系统接入互联网后,在提高系统开放性的同时,也面临着来自互联网的攻击和风险,反黑防毒的问题必须要解决。而系统安全问题的解决不是买了几个防火墙就可以的,必须进一步提高系统的抗攻击能力。一方面网络中大量存储和传输的数据有可能被盗用、暴露或者篡改,另一方面,xxxx系统本身与internet连接,与其它远端系统的接口及拨号连接等网络接口也都是易受黑客攻击的地方。

xxxx系统的远端接入一般有两种方式,专网和interner接入方式,其中专网接入方式接入相对要安全一些,但也存在用户访问没有认证和鉴权、数据没有加密的安全风险,而通过interner接入则存在更大的安全隐患,所以采用vpn方式是最好的选择。 xxxx系统用户访问应用方式通常有两种,c/s结构,用户端有专用的图形化的客户端软件,另外一种采用b/s架构,利用java,activx等技术。

针对于以上xxxx系统客户接入特点,arraynetworks 设计了ssl vpn安全解决方案来提供xxxx系统的安全,对于c/s架构和b/s接入方式,arraynetworks 都能提供安全的ssl vpn接入.包括用户的登陆认证和灵活的授权,同时,所有数据的传输都是经过加密处理的.而且ssl vpn方案部署相当方便,只需要客户端具有标准的浏览器即可,如ie , netscape等.

ssl vpn具有如下优点:

  • ssl vpn的客户端程序,如microsoft internet explorer、netscape communicator、mozilla等已经预装在了终端设备中,因此不需要再次安装;
  • ssl vpn可在nat代理装置上以透明模式工作;
  • ssl vpn不会受到安装在客户端与服务器之间的防火墙的影响。
  • ssl vpn将远程安全接入延伸到ipsec vpn扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。ssl vpn正在成为远程接入的事实标准,下面列举了其中的一些理由。
  • ssl vpn可以在任何地点,利用任何设备,连接到相应的网络资源上。ssl vpn通信运行在tcp/ udp协议上,具有穿越防火墙的能力。这种能力使ssl vpn能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。ipsec vpn通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、ip地址冲突等困难。鉴于ipsec客户机存在的问题,ipsec vpn实际上只适用于易于管理的或者位置固定的设备。
  • ssl vpn是基于应用的vpn,基于应用层上的连接意味着(和ipsec vpn 比较),ssl vpn 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是ipsec vpn难以做到的)。

2.arraynetworks ssl vpn组网方案

2.1组网方式

下图是ssl vpn解决方案逻辑图:

 

 

如上图,远端用户对xxxx各个系统进行访问时,都可以通过ssl vpn进行。用户首先要登陆arraynetworks ssl vpn网关设备-sp提供的ssl vpn门户站点,这是需要用户提供相应的用户名和口令.这样就可以完成用户的认证和授权,同时数据时经过加密处理的。客户端人员无论是营业厅,代理点,还是维护人员在家、出差,以及大客户在自己办公机构,都可以远程进行安全的接入操作,而不必担心非授权人员的非法访问,甚至对于病毒的渗入也有一定的防护作用。

其网络拓扑图如下:

 

 

上图是一个典型的ssl vpn组网的拓扑结构图,圆圈中为xxxx系统,远端用户通过ip网络与系统数据中心相连。此时,在xxxx系统网络边缘部署ssl vpn网关-arraynetworks sp ( security proxy)。sp可以放在路由器和防火墙的后面,提供ssl vpn门户站点。所有上网用户必须登陆此 ssl vpn 门户站点才能访问ssl vpn,同时每个用户必须有自己的帐号、口令并享有访问ssl vpn各种资源的相应权限。sp提供的门户站点ip地址可以是公网地址,也可以是防火墙等地址提供的nat后的私有地址。此时,防火墙可以只对sp开放https的端口地址,缺省为tcp 443端口。对于xxxx专网用户,sp提供的门户站点地址要求远端专网用户能够访问。

2.2 arraynetworks ssl vpn接入xxxx系统特点:

  • 用户端无需安装专用的vpn客户端软件。使用标准的浏览器,如ie 和 netscape即可接入ssl vpn访问内部系统。ssl vpn能为使用者提供任意地点访问的能力。
  • 服务器端也无需安装任何额外的vpn专用软件。
  • sp 采用的是ssl proxy技术。
  • 用户接入内部系统是经过认证的。
  • 用户接入内部系统是经过授权的。
  • 用户接入内部系统是经过加密的。
  • 用户使用方便。
  • 部署方式灵活多样。
  • 管理更加容易。
  • 支持cluster技术。
  • arraynetowrks ssl vpn解决方案是global access方案。

2.3 arraynetworks ssl vpn安全技术要点

  • 轻松实现内部网到外部网的扩展
  • 支持通用 ssl 加密算法
  • 用户认证、授权
  • 审计和管理
  • 多层安全控制机制
  • 证书管理
  • 支持集群技术
  • single sigh on(单点登录)
  • session 级保护

3.ssl vpn安全接入于xxxx系统的益处

  • 提高信息安全性
  • 灵活的用户管理和访问控制
  • 方便实施,简单使用
  • 降低管理和维护成本
  • 高度的扩展性和灵活性

 

主要内容部分容器下边框
页面主体部分底边框