【编者按】
根据当前的网络技术发展的状况,拨号接入方式:费用高,带宽小,已经远远不能满足现代网络应用的需要,那么采用VPN设备在Internet上架设虚拟专用网,择是比较切实可行方式。
|
|
|
|
|
项目背景:
国内某著名勘测设计机构创建于1958年,为国家甲级勘测设计院。遵循“服务项目,顾客信赖,员工乐业,社会满意”的宗旨,为社会广大客户提供系统规划、火力发电、送变电、通讯、工业与民用建筑工程的勘测设计及岩土工程、工程监理、工程总承包等技术和管理质询业务。1996-1999年连续4年被评为全国勘测设计综合实力百强企业,2001年被命名为全国“一流设计企业”称号,1996-2004年连续九年被命名为全国“一流设计企业”称号,1996-2004年连续九年被评为“AAA”资信等级;2002、2003年进入国家勘测设计企业营业收入前100名单位。
由于科研和日常工作的需要,该机构在其内部实现了很多网络应用,部署了OA办公系统、内部网站、BBS、FTP、Email、资料查询系统以及相关的行业专用系统。但遗憾的是这么多的系统都只能在内部局域网上使用,仅仅极少数的人可以通过拨号方式远程接入使用,且费用高昂。
随着,对网络应用系统的依赖性不断增强,在外人员无法访问内部资源的问题凸现出来,为了不断提升机构的运作效率、不断机构的业务与规模,以及降低不必要的运营成本,考虑建设一个基于Internet网的远程安全访问系统,用于满足远程分支机构接入、移动办公、远程作业以及远程维护等需要。
另外,该机构经常有兄弟单位的技术人员来进行学术交流和培训,在这个过程中存在核心技术资料以及内部服务器系统的安全防护问题。(该机构曾经发生过外来交流/培训人员通过内部局域网,复制走大量核心技术资料的恶性事件),所以,急需一套兼容原有系统的安全认证及访问控制系统,用来保证核心资料的分级授权访问(口令+物理认证方式)。
需求分析:
整体项目需求可归纳总结为以下这些有待解决问题:
1. 移动办公:确保在外人员远程可以随时随地通过Internet网,不受上网环境影响的访问机构内部应用资源,实现移动办公,比如:穿越防火墙、NAT、代理服务器实现远程访问。
2. 数据加密:由于数据传输中包含了许多有价值的信息,如果被截获,会造成重大的损失,因此在Internet上的数据传输必须加密,并确保保密性、完整性和不可否认性。
3. 服务器安全:如果直接将服务器接入Internet极易遭受黑客和病毒的攻击,使用防火墙保护、NAT技术等方式对服务器安全性有所提高。但其开放的一个个标准TCP端口也给黑客、蠕虫病毒留下了进行攻击和侵入的很大空间,进而威胁整个内部网络的的安全。故此需要安全访问系统具备应用代理机制,隐藏开放的TCP端口,并确保所有用户必须通过应用代理,间接对内网中的应用服务器进行访问。
4. 强制分级认证:由于系统的使用对象众多,包括:机构内部多个部门,机构外部的兄弟单位和合作伙伴的部分人员;内部的网络应用资源也十分丰富,且包含核心机密;所以要求不管从内网还是从外网访问应用资源,都必须经过身份认证,根据权限的不同,开放不同的应用资源。
5. 高可靠性:由于该系统运行必须保证7*24小时不间断,一旦中断后果不堪设想。故此要求设备自身具有冗余备份功能,在不增加外部设备的情况下,独立实现负载均衡和N+1冗余热备份,保证系统的不间断运行。
6. 客户端安全:一般应用系统虽然设置了用户名+密码的认证方式,但是用户名和密码往往比较容易被盗用和破译。尤其是密码的强度问题,使用短小易记的密码,很容易被破解;如果使用复杂的长密码,对于使用者又难以记忆,往往会把它随手记录在记事本甚至贴在电脑旁边,使得盗窃者更加方便。故此,仅以目前的用户名+密码的认证方式,不足以保证客户登录认证的安全性,必须结合硬件USB KEY来实现双因子认证,即用户在登录系统时要输入用户名/密码,并且必须插入USB KEY。另外,使用者可能在网吧或他人的计算机上远程访问内部资源,因此对客户端的特征扫描以及系统临时文件的及时清除也是必须解决的问题。
7. 部署、使用简便:由于内部信息化建设已经有一定的规模,实际使用的系统数量众多,且原有一部分身份认证系统;故此,安全访问系统在部署时,不能影响现有系统的运行,与现有系统并行(过渡期);不改动原有网络结构和应用程序,与原有网络应用、认证系统无缝结合;并且只需简单配置即可投入使用。
方案选择:
根据当前的网络技术发展的状况,拨号接入方式:费用高,带宽小,已经远远不能满足现代网络应用的需要,那么采用VPN设备在Internet上架设虚拟专用网,择是比较切实可行方式。目前市场上的VPN主要由两种类型:
1. 使用IPSec VPN——这是一种传统的VPN解决方法。他可以在客户端和总部局域网之间利用Internet建立一条IPSec隧道,使这两点间的数据就像在一个专用网络中传输而不被截获,从而可以保证数据在网络传输中的安全性。但是,使用IPSec VPN也存在着它的局限性。首先,每一个客户端都需要安装客户端软件,设置这些软件需要一定的网络知识,而不是每个工作人员都具备这样的知识,因此无形中增加了原有系统使用的难度。其次,由于IPSec VPN是通过在网络层加密实现的,在Internet中传输会遇到大量NAT和穿越防火墙的问题,特别是在外办公,可能会同时存在Modem拨号、ADSL、宽带、局域网等多种方式,更增加了连接VPN的困难,屡屡出现无法访问的情况。再有一点,就是客户端的电脑直接通达内部网络,会在不知不觉中将病毒、蠕虫等威胁带入。
|
|
|
投稿信箱: | 内容合作:010—65245588—3137 |
相
关
文
章
|
|
|
|
|
