金融行业移动办公解决方案

安全接入技术的选择
随着信息技术的快速发展，为了提高服务质量和服务效率并能在市场竞争中取得优势，企业建立了内部局域网，使内部办公人员通过网络可以迅速获取信息。然而，随着个人电脑和互联网应用技术的普及，“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及，同时合作伙伴也希望能访问到相应的信息资源，企业IT管理人员面临将远程办公模式作为内部办公网络的延伸并对合作伙伴人员提供外联网接入的需求，为远程办公的员工提供内部信息访问和为合作伙伴人员访问与其身份相符信息的便捷。然而，要享受通过互联网访问企业内部信息资源的便利，就需要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，还需要为合法访问提供方便通道，同时还需尽量降低信息安全策略的实施和维护成本。

企业通过Internet 数据传输平台，采用加密的VPN 安全接入方案主要有两种方式：一种是IPSec VPN ，另一种是SSL VPN。两种技术在不同领域各有其优势，我们建议在实施固定的站点到站点VPN和复杂应用的移动用户接入VPN时，采用IPSec 技术；在实施普通应用的移动用户接入VPN时，采用SSL技术，原因是SSL 无需在客户端额外安装软件、实
施和维护灵活简单、不受地址翻译限制、控制策略更加细化、总体拥有成本更低，而且由于SSL VPN并不打开一个网络层通道，而只是提供了联系应用层请求的固化网络接口，所以提高了与VPN 相关的整个系统安全性。

在本方案中，我们建议结合具体网络需求，灵活选用两种主流VPN部署方式，针对目前需求提供总体建议，具体细节还需针对更明确的网络环境和需求做针对性调整。

方案建议
安全套接层（SSL）协议是一项在互联网上广泛实施的标准安全协议，支持全面的认证和加密标准，目前主流浏览器均支持SSL 技术。基于保险公司的安全接入模式以移动办公远程访问为主，我们建议主要采用SSL VPN 方案，并针对一些特殊的应用和特殊的网络环境，辅助以IPSec VPN。Juniper 网络公司 SA 系列的远程接入产品是广受好评的SSL VPN 产品，采用的是Instant Virtual Extranet(IVE)的系统平台，客户只要安装了标准的WEB浏览器，无需部署任何硬件和软件客户端，无需对内部服务器做出任何调整，不存在地址翻译穿越的影响，不受私有地址冲突的影响，而且几乎不需要任何后期维护，非常便于远程用户安全地接入网络。

保险公司实施SSL VPN 安全接入网络拓扑示意图建议如下：

设备采用双层保护，防火墙实现基本攻击保护、接入控制，以及IPSec VPN 功能。SA 设备实现SSL VPN，进行应用层保护过滤和接入。

对于基于WEB 的核心应用，如内部邮件、办公应用系统等，Juniper 网络公司SA 产品提供全面的安全支持服务。包括ActiveX、Java、JavaScript、PHP 等，支持的全面性、灵活性远远超过我们的竞争对手。

并且在安全策略上实施的是基于应用层面的安全策略，策略控制比IPSec更为细致；Juniper SA 系列远程接入产品作为坚固可靠的应用层网关，采用应用层面安全策略后，内部的应用服务器可以得到有效保护，无需将服务器的第4 层端口完全暴露给外部；前端的防火墙上只需打开TCP SSL 端口的策略即可。

除了对WEB 和Email 等应用的支持外，Juniper SA 对非WEB 的许多客户端/ 服务器应用也提供很好的支持，采用Juniper SA 系列远程接入产品部署SSL VPN 远程接入方案被许多国际著名企业（如花旗银行、德意志银行）采用。对保险公司来说，最常用的应用包括Outlook等系列软件，Juniper IVE将这些应用转化为SSL标准数据流，对应用不会带来负面影响。对于绝大多数的C/ S 应用，例如Passive 模式FTP、保险公司独立研发的TCP 特殊应用、数据库远程连接等，Juniper SA 均能够无缝支持。

对于许多常用的C/S 应用，如Telnet/SSH 和Citrix 等，Juniper SA均已将这些应用固化到核心WEB应用当中，用户无需做调整便可直接使用。

Juniper SA 支持Unix、Windows 和Linux 等平台的文件共享，并且支持中文共享。

对于特殊的应用，特别是那些需要更底层通讯功能的协议，Juniper SA 还提供了Network Connect 功能，相当于三层的通道，适用于几乎所有的IP 层协议应用。例如Active 模式的FTP，流媒体应用等。

中心点按照我们的建议已经放置了支持IPSec VPN的防火墙，可以建立到分支点出口防火墙的VPN，以及PC 拨号VPN。
Juniper SA 设备支持HA 功能，配合流量负载均衡设备，Juniper SA 支持Active-Active 的HA 方式，不仅可以实现设备的在线备份功能，还可以拓展容量提高可用性。

同时，Juniper SA 系列的远程接入产品可以对远程用户是否安装防火墙及防病毒软件做出强制要求。Juniper IVE系统与当前市场上流行的个人防火墙、防病毒软件做最紧密的结合，如Zygote Enforcement API、Zygote Security Agent、
Zone Labs: ZoneAlarm Pro and Zone Labs Integrity、McAfee Desktop Firewall、InfoExpress CyberGatekeeper Agent 等，用户只需要用鼠标选择一些选项便可完成。而且用户还可以自行定义强制检查其它的运行程序或windows 注册表项目。
系统特性
为从根本上简化安全远程接入，Juniper IVE系统按以下目标进行架构和设计：
■运行平台必须抵御针对安全、设备与系统软件集成方面的攻击。为了满足该目标，系统被固化，核心层对流量进行数据包级过滤。
■运行平台必须抵御针对机密性和所有通过IVE系统的数据集成方面的攻击。为了满足该目标，系统使用SSL在本地文件系统上存储加密的信息。
■系统必须能够通过简单的基于Web 的管理控制台在几小时内进行实施。为了满足该目标，IVE 系统进行大量的预配制工作，管理员只需要进行少量的系统和网络配置就可以完成IVE 系统的实施。
■系统必须提供给客户与直接访问公司内部网相同的访问能力。为了满足该目标，系统使用Juniper 代理引擎来透明地向远程用户发送资源。
■系统必须具有可靠性和可扩展性，能够扩展到多个硬件系统。为了满足该目标，系统支持集群系统，集群中的多个系统提供故障自动恢复能力、性能扩展能力，并且支持主－备或双主动模式。

Juniper 的IVE 系统可以支持广泛的企业应用，包括：
■基于Web 的各项应用，包括浏览企业内网、访问基于web 的outlook 和iNotes；
■基于Microsoft Exchange 和Lotus Notes 邮件系统、以及其他基于IMAP4、POP3 和SMTP 的标准的邮件应用；
■对于文件服务器的文件及目录共享控制提供支持，方便用户上传、下传文件；
■Telnet/SSH；
■对大多数client/server 应用提供支持；
■网络全连接方式（即PC的全部流量都可以通过SSL VPN到达企业内网）；
■个人防火墙/ 防病毒软件等强制性检查；
■对于来自非安全设备或临时访问设备（如网吧）的访问，强制cache 清除。

Juniper IVE 系统支持的接入安全控制包括：
■动态认证策略：可以通过多种要素对用户身份进行认证，包括身份验证前检查和身份验证后检查，其中身份验证前检查内容包括：源地址、网络接口（内/外）、证书、节点安全（包括主机检查和缓存清除）、浏览器的User Agent、登录的URL、SSL 版本和加密级别；身份验证后检查的内容包括：身份确定、证书特性、密码长度、同时登录用户数、目录服务密码；
■角色定义和策略匹配：管理员可以定义用户属于一个或多个角色，对不同角色提供不同的访问权限。对属于多个角色的用户可以一次性地给该用户多个角色的总和，也可以让用户选择采用某个角色进行应用访问；
■资源访问策略：对于不同的应用资源，管理员可以提供不同的访问策略，作为第三层的接入控制手段；

Juniper IVE系统支持数字证书的使用，支持多种认证服务器（包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、Dual Factor 认证，包括ActivCard ActivPackTM、RSA SecurID® 和Secure Computing SafeWordTM
PremierAccessTM 以及X.509客户端数字证书），也可在设备上建立本地用户数据库，更支持LDAP/Active Directory的用户组的特性，方便管理员定义策略。此外，还支持单点登录即可访问多个应用的功能（基于cookie 的认证），为远程安全接入用户提供方便。

系统扩展性和高可用性
在选择产品型号时，需考虑的因素包括并发用户数、网络应用复杂程度和实际流量，其中并发用户数是一个最主要指标。由于Juniper IVE系统使用标准浏览器作为客户端程序，所以无需考虑客户端软件成本。

高可用性方面，可以通过两台NS-SA设备实现状态保持下的主/ 备切换，也可通过第三方负载均衡器来实现双主动模式，充分发掘设备的可用性。

高可用性解决方案实现故障切换和最佳性能，两台设备可以动态同步如下信息：
■系统状态
■用户档案状态
■会话状态
■群集信息
■多站点群集配置信息
■LAN 上的主动/ 主动配置选项
■WAN 上的主动/ 被动配置选项

员工和合作伙伴访问应用和资源
熟悉浏览器的用户无需任何培训即可使用IVE系统。用户登录后就能够访问电子邮件、文件服务器和Web 资源。在认证和启用一个IVE会话后，用户经过访问控制列表和基于组权限的检查后即可方便的获取应用系统资源。系统将采用安全方式存储用户的认证信息，使用户无需多次登录就可以使用浏览器、标准电子邮件客户端、私有应用程序或其他客户端访问所需资源。
■访问Web 应用、Intranet Web 站点、文件服务器和Telnet/ SSH
为了访问文件和Web 资源，用户可以连接到IVE 系统通过
以下方式来实现：
—启动具有Internet 连接的Web 浏览器
—浏览网络管理员定义的安全URL 资源
—登录系统
—浏览IVE主页上提供的资源，用户可以自己定制URL书签和文件服务器。

■使用IVE 访问信息服务器和客户端－服务器应用
为访问服务器资源，用户可以登录到IVE 并启动会话连接，用户通过验证后，IVE自动启动安全应用管理器（SAM），该管理器作为SSL 网关连接内部应用。对于telnet 和SSH 连接，SAM 可用作终端模拟器。对于信息和客户端－服务器应用，SAM可用作基于Java 或Windows 的应用代理，SAM 在SSL 中封装流量，客户端和内部服务器通过IVE系统建立安全的连接并进行通讯。IVE 系统可以使远程用户在不安装任何客户端软件和做出任何修改调整的情况下，透过Internet提供对现有应用和服务器的安全访问。

真强的哦!~~~~~~~~~呵呵:lol