网络安全解决方案
某市政府较早开始了信息化建设,先后建成了Sybase数据库系统,Email系统、内部WEB系统等,政府信息中心也在政务网内部建立了各种资源的VOD视频点播系统。
出于对政务网的安全原因,这些资源无法在Internet上访问。政府内部网一直希望把这些应用系统资源整合到一个平台上,让政府员工在家、移动办公的 员工都可以随时随地访问政务网内部VOD系统,Email系统、内部WEB资源系统等各项网络资源,从而实现随时随地、安全地对这些资源的访问。因此,构 建一个安全的、移动资源共享系统就迫在眉睫了。
在项目的早期,政府信息中心就IPSEC VPN和SSL VPN的方案做了一个详细的对比,来寻找更适合他们的解决方案。方案的主要考量的点是:(1)不改变现有网络环境,平滑的部署到网络当中。(2)使用、管 理、维护的便捷性;(3)访问的安全性。通过对比分析,再结合梅州市政府的网络环境,凹凸科技建议采用SSLVPN解决方案来整合企业应用系统资源,从而 实现“随时随地”访问企业网络资源。
系统拓扑图
市政府采用了O2micro 公司自主研发的Succendo2000。Succendo 2000 SSL VPN采用旁路的部署方式部署在梅州市政府网络中心交换机上,把需要对外发布的网络资源通过Succendo SSL VPN发布出来。利用原有存在的防火墙,在防火墙上映射一个合法的、可路由的IP地址为Succendo SSL VPN,并添加一条基于https(port443)应用的安全策略。在Succendo 设备上添加用户,并把用户分配给相应的角色,通过角色设置对网络资源的相应的访问权限。并且可以设定每个角色只能在特定的时间段内去访问企业的网络资源, 从而做到对移动办公人员、员工家庭上网的人员的有效控管。
而对于特殊的服务,如电子政务网的VOD视频点播系统可以使用Succendo带有的NC技术来解决。用户只要保证有一个可靠的internet连接情况下,只需要在本机的IE浏览器输入在防火墙上映射的合法可路由的IP地址( address)或者域名,即可访问到Succendo SSL VPN的首页内容,然后输入分配的用户名和密码,就能够访问相应的内部资源。
Succendo管理实现通过SSL 加密的方式完成,保证了设备在管理时,数据不易被窃听和修改。它的特点和优势在于:
使用简单方便:无需安装客户端,用户只需要通过浏览器即可访问内网资源;
网络适应性强:SSL VPN设备可通过旁路部署方式连入企业网,不需要改变原有网络拓扑,包括服务器群的位置;
个性化设计:用户接入页面可根据实际要求设计,保证个性化的需要;
支持应用广泛:支持丰富的TCP/UDP应用服务,各种动态多媒体应用服务,支持CIFS/NFS的文件共享 ;
提供多种认证机制,确保网络认证安全有效:提供RADIUS/AD/LDAP认证机制,支持PKI /RSA /SecurID /iKey /附加码用户认证 ;
提供基于角色的数据访问控制:完善的角色以及角色权限设置,使网络资源得以更加合理的应用,确保网络不受非法访问;
完善的用户日志记录:有效的记录用户的连接访问活动,根据记录分析,将有利于对网络资源进行更加合理的配置,同时也使网络资源处于安全监控之下。
由此可见,部署Seccendo SSL VPN设备组建的网络结构简单,维护成本低,用户只需使用浏览器就可以做到安全的连接网络,并能针对不同的用户,给予不同的应用权限。可以 说,Seccendo SSL VPN很好地解决了梅州市政府“随时随地”的网络资源安全共享的需求。