行业关键词
背景分析
伴随着SSL VPN技术在各个行业领域的迅速普及应用,由冰峰网络自主研发的SSL VPN也迅速普及推广开来。“百事可乐”作为一名世界500强企业中的食品加工行业巨头,作为与ICEFLOW长期合作的伙伴,百事可乐(上海)有限公司于08年初,再次选用冰峰SSL VPN改进了原有网络接入体系,在保证原有的冰峰IPSec VPN应用基础上实现SSL VPN移动接入的升级。
百事可乐采用的ICEFLOW SSL VPN解决方案,是利用SSL(安全套接层)协议、认证、加密、完整性验证技术,使用户能够无需在最终用户PC上预装客户端软件,即可灵活安全的接入企业资源、VPN和外联网。此解决方案主要特点为:
·SSL通过简单易用的方法实现信息远程连通,任何安装浏览器的机器都可以使用SSL VPN,网络部署灵活方便。
·提高访问控制能力,安全易用以及高额的投资回报率。
·提升C/S应用程序的加速执行,为应用程序向B/S结构提供过渡。
·便于大规模单点接入管理,用户授权与安全认证进一步加强。
·Web资源发布更加集中、简便。
·在原系统上升级,降低设备成本投入。
百事可乐公司的原有应用基础以IPSec VPN为主,目的在于将全国各分公司的局域网进行统一互联,并拓展为一个整体的协同合作局域网,保证内部资源的共用性与统一管理。在移动接入方法,仅仅是采用了低安全性的PPTP方式进行互联,虽然在应用上体现了简单易用,但其低安全性与B/S结构的应用数据,并不能很好的实施。
新系统组网
如上图所示:
百事公司数据中心通过公司防火墙和ICEFLOW S系列产品接在Internet,一方面实现远程移动用户拨入功能,另一方面,通过自身带有的防火墙和入侵防护功能,承担对局域网的安全保护工作,为了使整个网络具备多重安全防护,ICEFLOW S系列产品支持多线路(ISP)智能选路和负载均衡功能,可同时连接多个运营商,并智能选择运营商,有效提高连接的可靠性和性能。
·原有系统部局:百事公司的原有网络体系是以IPSec VPN为基础,将全国各分公司的局域网进行统一的互联,并将其拓展成为一个协同合作的大范围局域网,保证内部资源的共用性与统一管理,对C/S结构应用的合作管理尤其有效。在移动接入方面,仅仅是采用了低安全性的PPTP方式进行互联,所以网络的低安全性与B/S结构的应用数据因此不能很好的配合实施。
·新系统部局:在采用冰峰SSL VPN解决方案后,冰峰为百事公司在网络体系上实行IPSec/SSL双效兼容的全面升级,通过用户名密码+USB KEY的双重安全认证的方式支持移动用户的接入,并且提供无需客户端接入的Web SSL VPN应用,满足大规模的移动接入的需要,提高了员工办公的工作效率,并且还保证大规模接入同时的访问管理的控制能力,为C/S转B/S过渡提供基础,加速了C/S程序下的应用效率。
系统网络的主要功能特点:
安全:
SSL安全接入,采用1024位非对称密钥进行身份认证过程加密,保证安全。
支持“8+6”策略及多种双因子认证方式。
账号输错自动锁定,保障安全。
自动客户端安全扫描。能依据客户端操作系统安装杀毒软件情况、安全补丁版本、防火墙配置等因素来评估客户端安全级别,并根据不同安全级别分配不同的权限,防止客户端的不安全因素通过SSL VPN传播到内部网络而产生安全隐患。
内置CA系统,可为企业搭建自用CA中心,颁发企业专有的数字证书。
可控:
集中式授权,便于管理。
细粒度访问控制,细化控制到目标应用程序和目标主机端口。
实时监控用户接入和系统运行状况、强制中断用户、实时统计和URL过滤。
简单实用的组策略,支持地址组、用户组、时间组等多种分组方式,每种分组可配置多种组策略。
全面细致的用户访问控制,单用户和组用户流量实时控制、组用户并发限制、用户累计流量限制等。
拨入访问时段控制,可对单一用户或批量用户设置拨入时段。
完善的日志管理和故障定位功能,能对系统运行实时监控和报警。提供访问日志、告警日志、错误日志、调试日志、防火墙日志、VPN日志、移动用户日志、系统日志等多种日志。
强大的客户端安全控制。支持客户端缓存清空、Cookie清除、访问记录清除,支持超时检测和自动断线功能,拔除USB Key后,自动关闭VPN连接并清空数据。
可将VPN设为默认网关,全面控制用户的上网行为。
兼容:
支持多达五种移动接入方式,全面支持客户端到中心以及客户端与客户端之间的网络访问能力,涵盖不同用户的不同需求。
支持全网连接,适用于基于TCP和UDP协议的所有C/S和B/S应用,无缝透明的支持WebDav、 文件共享、EMail、Lotus Notes、Telnet服务、Web访问、FTP下载、远程终端、Citrix、流媒体、数据库等现有企业应用。
集成VPN、路由器、防火墙、上网行为控制,性价比极高。
独特的网络访问机制,可解析企业内网专有域名。
支持与现有用户数据库的快速结合,支持本地认证、LDAP、Active Directory、RADIUS、自定义用户数据库等多种统一身份认证平台,快速实现用户授权工作。
支持AES、DES、3DES、MD5 、RC4、RSA等高强度安全算法,支持加载扩展安全模块。
支持多浏览器及多系统平台操作。
无需更改网络和防火墙设置,与现有网络结构无缝融合。
提供远程镜像技术,实现C/S转B/S过渡,提升C/S应用加速。
简便易用的优化管理操作
支持集群接入及无限扩展的稳定功能
完善的统计功能
个性化的定制功能
应用效果:
百事可乐公司运用ICEFLOW的改进方案之后,在以下几个方面突出了综合应用的效果。
·综合应用,满足了基于SSL技术的移动拨入的需求,使全球化移动合作进一步加强,用户随时随地都可以通过移动方式接入中心系统。
·安全性,通过“8+6”认证授权方式,对不同环境下,不同级别的用户进行分组式授权,有效地提升分组的安全管理性。
·经济上,WEB SSL VPN的价值仅需要在原有设备系统上完成换代升级,成本投入上相对降低了重复投入的高额成本,低廉的安全投资上为“百事”带来在各项管理系统中最大的安全保障。
·实施上,凭借远程服务,现场实施,仅仅利用现有的人力和技术资源,ICEFLOW为“百事”一次性全面完成整个主体方案,并针对应用的不同部分进行分阶段实行。保证了“百事”的正常作业流程。
伴随着SSL VPN技术在各个行业领域的迅速普及应用,由冰峰网络自主研发的SSL VPN也迅速普及推广开来。“百事可乐”作为一名世界500强企业中的食品加工行业巨头,作为与ICEFLOW长期合作的伙伴,百事可乐(上海)有限公司于08年初,再次选用冰峰SSL VPN改进了原有网络接入体系,在保证原有的冰峰IPSec VPN应用基础上实现SSL VPN移动接入的升级。
百事可乐采用的ICEFLOW SSL VPN解决方案,是利用SSL(安全套接层)协议、认证、加密、完整性验证技术,使用户能够无需在最终用户PC上预装客户端软件,即可灵活安全的接入企业资源、VPN和外联网。此解决方案主要特点为:
·SSL通过简单易用的方法实现信息远程连通,任何安装浏览器的机器都可以使用SSL VPN,网络部署灵活方便。
·提高访问控制能力,安全易用以及高额的投资回报率。
·提升C/S应用程序的加速执行,为应用程序向B/S结构提供过渡。
·便于大规模单点接入管理,用户授权与安全认证进一步加强。
·Web资源发布更加集中、简便。
·在原系统上升级,降低设备成本投入。
百事可乐公司的原有应用基础以IPSec VPN为主,目的在于将全国各分公司的局域网进行统一互联,并拓展为一个整体的协同合作局域网,保证内部资源的共用性与统一管理。在移动接入方法,仅仅是采用了低安全性的PPTP方式进行互联,虽然在应用上体现了简单易用,但其低安全性与B/S结构的应用数据,并不能很好的实施。
新系统组网
如上图所示:
百事公司数据中心通过公司防火墙和ICEFLOW S系列产品接在Internet,一方面实现远程移动用户拨入功能,另一方面,通过自身带有的防火墙和入侵防护功能,承担对局域网的安全保护工作,为了使整个网络具备多重安全防护,ICEFLOW S系列产品支持多线路(ISP)智能选路和负载均衡功能,可同时连接多个运营商,并智能选择运营商,有效提高连接的可靠性和性能。
·原有系统部局:百事公司的原有网络体系是以IPSec VPN为基础,将全国各分公司的局域网进行统一的互联,并将其拓展成为一个协同合作的大范围局域网,保证内部资源的共用性与统一管理,对C/S结构应用的合作管理尤其有效。在移动接入方面,仅仅是采用了低安全性的PPTP方式进行互联,所以网络的低安全性与B/S结构的应用数据因此不能很好的配合实施。
·新系统部局:在采用冰峰SSL VPN解决方案后,冰峰为百事公司在网络体系上实行IPSec/SSL双效兼容的全面升级,通过用户名密码+USB KEY的双重安全认证的方式支持移动用户的接入,并且提供无需客户端接入的Web SSL VPN应用,满足大规模的移动接入的需要,提高了员工办公的工作效率,并且还保证大规模接入同时的访问管理的控制能力,为C/S转B/S过渡提供基础,加速了C/S程序下的应用效率。
系统网络的主要功能特点:
安全:
SSL安全接入,采用1024位非对称密钥进行身份认证过程加密,保证安全。
支持“8+6”策略及多种双因子认证方式。
账号输错自动锁定,保障安全。
自动客户端安全扫描。能依据客户端操作系统安装杀毒软件情况、安全补丁版本、防火墙配置等因素来评估客户端安全级别,并根据不同安全级别分配不同的权限,防止客户端的不安全因素通过SSL VPN传播到内部网络而产生安全隐患。
内置CA系统,可为企业搭建自用CA中心,颁发企业专有的数字证书。
可控:
集中式授权,便于管理。
细粒度访问控制,细化控制到目标应用程序和目标主机端口。
实时监控用户接入和系统运行状况、强制中断用户、实时统计和URL过滤。
简单实用的组策略,支持地址组、用户组、时间组等多种分组方式,每种分组可配置多种组策略。
全面细致的用户访问控制,单用户和组用户流量实时控制、组用户并发限制、用户累计流量限制等。
拨入访问时段控制,可对单一用户或批量用户设置拨入时段。
完善的日志管理和故障定位功能,能对系统运行实时监控和报警。提供访问日志、告警日志、错误日志、调试日志、防火墙日志、VPN日志、移动用户日志、系统日志等多种日志。
强大的客户端安全控制。支持客户端缓存清空、Cookie清除、访问记录清除,支持超时检测和自动断线功能,拔除USB Key后,自动关闭VPN连接并清空数据。
可将VPN设为默认网关,全面控制用户的上网行为。
兼容:
支持多达五种移动接入方式,全面支持客户端到中心以及客户端与客户端之间的网络访问能力,涵盖不同用户的不同需求。
支持全网连接,适用于基于TCP和UDP协议的所有C/S和B/S应用,无缝透明的支持WebDav、 文件共享、EMail、Lotus Notes、Telnet服务、Web访问、FTP下载、远程终端、Citrix、流媒体、数据库等现有企业应用。
集成VPN、路由器、防火墙、上网行为控制,性价比极高。
独特的网络访问机制,可解析企业内网专有域名。
支持与现有用户数据库的快速结合,支持本地认证、LDAP、Active Directory、RADIUS、自定义用户数据库等多种统一身份认证平台,快速实现用户授权工作。
支持AES、DES、3DES、MD5 、RC4、RSA等高强度安全算法,支持加载扩展安全模块。
支持多浏览器及多系统平台操作。
无需更改网络和防火墙设置,与现有网络结构无缝融合。
提供远程镜像技术,实现C/S转B/S过渡,提升C/S应用加速。
简便易用的优化管理操作
支持集群接入及无限扩展的稳定功能
完善的统计功能
个性化的定制功能
应用效果:
百事可乐公司运用ICEFLOW的改进方案之后,在以下几个方面突出了综合应用的效果。
·综合应用,满足了基于SSL技术的移动拨入的需求,使全球化移动合作进一步加强,用户随时随地都可以通过移动方式接入中心系统。
·安全性,通过“8+6”认证授权方式,对不同环境下,不同级别的用户进行分组式授权,有效地提升分组的安全管理性。
·经济上,WEB SSL VPN的价值仅需要在原有设备系统上完成换代升级,成本投入上相对降低了重复投入的高额成本,低廉的安全投资上为“百事”带来在各项管理系统中最大的安全保障。
·实施上,凭借远程服务,现场实施,仅仅利用现有的人力和技术资源,ICEFLOW为“百事”一次性全面完成整个主体方案,并针对应用的不同部分进行分阶段实行。保证了“百事”的正常作业流程。
【责任编辑 丁宏波】
