0 (991) 2819290 周一~周五, 10:00 - 19:00
APP下载 链接二维码

安卓扫码下载

iOS扫码下载

SSLVPN加密传输解决方案

日期: 2018-02-11 17:09:15 作者: 点击数:   返回

一、需求分析

随着企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。虚拟专用网(VPN)满足了企业对网络的灵活性、安全性、经济性、扩展性等多方面要求,赢得了越来越多的企业的青睐,使企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。

传统专线网基于现有的物理网络,例如数字电路、ATM/FR、DDN等,这种方式安全性和可靠性非常高,但对于客户来说,相应的建设成本和使用费用昂贵,并且只能实现有限的专网访问,缺乏联网的灵活性。因此伴随互联网的发展,通过互联网搭建企业VPN得模式越来越引起客户的兴趣。

企业通过Internet数据传输平台,实施加密的VPN实现安全接入的办法主要有两种:一种是IPsec VPN,另一种是SSL VPN。两种技术在不同领域各有其优势,在实施固定的站点到站点的VPN和复杂应用的移动用户接入VPN时,一般采用IPsec技术;在实施普通应用的移动用户接入VPN时,通常采用SSL技术。

二、技术特点

部署方便快捷

SSLVPN架构下,SSLVPN网关设备直接以并联方式接入内网,不对内网环境做任何改动,不需要在客户端安装VPN设备。使用者只要插入USBKEY,利用浏览器,透过网络便可以访问VPN网关后保护的内容。

用户连接的随意性

SSLVPN利用Internet构建三层隧道VPN的方式,可以允许用户以任意方式接入VPN, 并且不受地理因素的限制,无论用户在外地或海外,只需要从当地接入Internet即可。

用户身份认证的可靠性

SSLVPN安全设备配合XJCA发放的写入用户信息的USBKEY使用,同时在内网架设LDAP服务器进行数字证书有效性验证。保证了用户身份的可靠性,不会出现冒名登录的情况

良好的可扩展性

SSL VPN具有良好的可扩展性,可以选择多种身份认证方式,可以根据客户的要求改变加密算法,访问容量的扩展不需要更换硬件设备,设备支持集群、容错等功能。

三、具体方案

该组网方案采用单链路单网关方式,采用上海格尔软件公司的SSLVPN网关设备实现。在总部局域网数据中心部署VPN中心端设备与LDAP证书验证服务器,实现通过互联网进行VPN通信,同时不需要对内网环境做任何改动。对用户发放写入用户信息的USBKEY,用户使用USBKEY通过LDAP验证登入VPN 。