高级会员
 精华: 1
 积分: 578
 帖子: 68  威望: 203 点 金钱: 133 币 贡献: 85 点 经验: 02级 
 阅读权限: 50
 注册: 2007-8-17
 状态:
|
1#
大 中
小 发表于 2007-8-24 23:30 只看该作者
“工欲善其事,必先利于器”----某电网公司SSL VPN 系统解决方案
“工欲善其事,必先利于器” ——某电网公司SSL VPN 系统解决方案
近年来电力行业完成了组织机构重组和区域重新划分之后,此行业的经营模式则逐步转向厂网分开、竞价上网的方式。经营模式的改变意味着电力行业原有IT系统也将随之改变蜒由封闭转向有限性开放。电力行业信息系统一直以来处于相对封闭环境,正是由于电力厂网拆分,致使原有一个系统成为了两个系统,每个系统都需为对方开放端口。
电力营销、网上客服、三网融合、数据大集中应用、内部各系统间的互联互通等需求让电厂、电网网络将进一步开放;同时电力行业也加强与金融等第三方服务机构的合作。这些均需要电力行业信息网络进一步增加其外接网络端口数量。
如此众多的外接端口数量,没有强力的安全技术支撑,不能从根本上保证用户数据远程传输的安全性。
与此同时,国家要求电力行业进一步增强盈利能力。因此电力企业尤其是电网企业,为其销售方便设立了多个分公司和办事处;为实现人、财、物等信息流在企业的顺畅流转,纷纷采用ERP和OA 办公系统等多种IT 手段,以降低运营成本提升自身的竞争能力。某电网公司SSL VPN 系统使用就极具代表性。
具体需求
某电网公司现已建立OA 办公系统、内部门户网站、内部邮件系统、ERP系统和联网财务结算等应用系统。网络中心与总部的各个网络节点之间采用了千兆连接技术,以确保数据、信息的高质量传输。另外,内部网络则通过100M 光纤专线,接入互联网。但在总部与各个分支机构之间,如果继续像过去那样采用电信的专线组网方式,那么费用将会非常昂贵,会给企业带来沉重的负担。相比之下,基于VPN(虚拟专用网)的联网方式为其提供了一种经济的手段,它具有不受地域限制、安全性高、费用低廉、设置简便等特点,非常适合现代企业的远程接入和移动办公的需要。这样,不仅分支机构的员工能够使用与总部员工相同的网络应用和服务,而且员工还可以在外出途中或者家中,借助互联网接入到公司内部网络,真正地建立起“移动办公室”或者“家庭办公室”。另外,由于电力系统信息安全问题威胁到电力系统的安全、稳定、优质的运行,影响着数字电力系统信息化的实现。因此,在帮助分支机构或者移动用户方便、快捷地接入公司内部网络的同时,还必须保证数据在互联网上传输的安全性问题。
综合上述因素,某电网公司对所要选择的远程接入系统提出了下列要求:
■方便性:因为各个分支机构和移动用户所使用的上网方式和系统配置各不相同,所以该系统应当能够实现免客户端的连接方式,减轻用户和总部管理人员的工作负担。
■安全性:确保在网络传输数据的安全性,数据通过高强度的加密算法进行底层传输,执行严格的权限管理。这不仅要求对数据进行高强度的加密,还需要利用精确的身份验证、权限管理机制,识别接入用户的身份,授予符合其职能的访问权限。
■稳定性:要求远程接入系统能够长期稳定、高效地运行,并通过故障恢复机制,在不影响业务正常运转的情况下修复故障、制止攻击和升级软硬件。
■扩展性:随着业务规模的增长和用户分布范围的扩大,接入系统应当能够不断地进行扩展,提供方便的扩展接口和充足的扩展空间,以适应业务环境的不断变化。
■兼容性:由于网络应用的种类日益增多和功能的复杂化,接入系统应当具有对不同应用的兼容性,支持Web 方式、客户端/ 服务器、分布式计算等不同的体系结构。
方案建议
经过综合比较和筛选,以Juniper Secure Access 4000(SA 4000)产品为核心的Juniper SSL VPN 解决方案综合评分最高。某电网公司最后选择Juniper 是因为该方案不仅满足了该公司提出了各项技术要求,而且具有便于部署、总拥有成本低等优点,最终得到了公司上下的一致认可和高度评价。Juniper建议在某电网公司实施的SSL VPN安全接入的网络拓扑图如下:
技术特点
■方便易用,用户只需使用标准的Web 浏览器
Juniper Secure Access 4000 (SA 4000)是一款在业界广受好评的SSL VPN 产品,采用Instant Virtual Extranet(IVE)系统平台。因为该产品将标准Web 浏览器内置的SSL 作为加密传输机制,所以用户只需要使用标准的Web 浏览器,就可以迅速地建立SSL VPN 连接,而不需要安装任何额外的软件或者硬件。
■ 用户界面可以定制,只需单次登陆
Juniper SA 4000 支持为不同类别的用户定制不同的登陆界面,让用户可以更加迅速地找到自己最感兴趣的功能。此外,还支持一次登录访问多个需认证的应用的功能,使得用户只需要单次登陆,就能够使用各种不同的安全应用。
■支持多种基于TCP/IP 的应用和网络连接方式
广泛的应用支持是Juniper SSL VPN 解决方案的另一特色。除了对Web和Email等应用的支持外,SA 4000还为许多客户端/ 服务器应用提供了透明支持。
■ 对用户权限进行安全认证
Juniper Netscreen IVE 系统支持多种接入安全措施,包括动态认证策略,角色定义和策略匹配,以及资源访问策略等。管理员可以通过多种标准对用户身份进行认证。管理员还可以定义用户属于一个或多个角色,对不同角色提供不同的访问权限。对属于多个角色的用户可以一次性地给该用户多个角色的总和,也可以让用户选择采用某个角色进行应用访问。
■ 数据传输的安全性
Juniper SSL VPN解决方案采用SSL协议加密建立安全的专用通道,使用1024 位密钥进行身份认证过程的加密,并使用128位算法保护数据传输的安全。而且,所有存储在设备上的数据使用AES进行加密,只有系统软件可以读取存储的加密数据。因此,如果用户和管理员没有系统级账号,就不能替换任意的可执行文件。这样,黑客就无法针对系统进行攻击。
■ 性能强大,便于扩展
Juniper SA 4000 可以同时支持数百个用户,最多可扩展至1000 个并发用户,完全能满足某电网公司的负载要求。在需要进行网络扩容时,该公司只需要在总部升级硬件和软件,而不需要对客户端进行任何改动,大大加快了扩展速度。
■ 具有故障恢复能力,确保高可用性
为了防止因为单机、单点故障导致远程访问中断,Juniper SA 4000 支持高可用性功能。当主IVE 设备出现故障(包括网络故障和主机故障),备用IVE 设备就会自动切换为主设备,接替原有设备的工作,这样已有的用户连接不会中断。
■ 全面的服务和支持
Juniper 网络公司提供了一系列全面、灵活、领先的技术支持、专业服务和培训课程。Juniper 网络公司的专业服务部由很多具有丰富经验的顾问和专家组成,在帮助客户评估网络安全漏洞、制定解决方案和提升网络性能方面都拥有业界领先的专业水平。
实施效果
某电网公司在采用Juniper SSL VPN解决方案之后,建立起了现代化的网络系统管理系统和全面的远程接入服务。该公司的网络业务负责人某表示:“在使用了Juniper的产品之后,我们的员工都能够比以前更加方便地使用内部网络的各项应用和服务,而且我们有效地解决了网络攻击和数据安全问题。今后,我们打算将该解决方案推广到更多的分支机构和合作伙伴,进一步提高我们的信息化水平。“
附件: 您所在的用户组无法下载或查看附件
|
2001-2007 Comsenz Inc.
