. 项目介绍
H企业为满足内部员工外出等环境下的移动办公需求,需部署VPN提供外网接入内网功能,其中包含的资源有OA内网办公系统、内网共享文件系统等。某公司SSL VPN帮助用户实现端到端的安全防护,优化端到端的业务访问体验,为客户打造一个更安全、体验更好的统一业务安全接入平台。某公司统一业务安全接入平台,帮助用户在任何时间、任何地点、使用任何终端都能安全、快速地接入业务系统。它以SSL/IPSec二合一VPN网关作为基础,又融合了EasyConnect(应用虚拟化)、EasyApp(App安全加固)、EMM(企业移动管理)、L3VPN等多种移动终端的安全接入方式,通过构建一套平台,就可以统一地管理移动用户接入的身份认证、访问权限、移动设备,提升移动接入的安全性,简化安全策略的部署,同时还提供优化的传输速度,让用户获得最佳的移动访问体验,帮助企业节省大量的IT建设开支。
. 需求调研
1、SSLVPN产品介绍
VPN(Virtual Private Network)是虚拟专用网的简称,虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术,实现低成本、高安全地解决数据传输及应用发布平台。VPN 架构中采用了多种安全机制,如身份认证技术(Authentication)、加解密技术(Encryption)、密钥管理技术、隧道技术(Tunneling)等。通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。
端点接入VPN包含多个技术,如IPSec、PPTP、L2TP、OpenVPN、SSL VPN等,经过多年的发展,已完全成熟。
不同的VPN技术有各自的特点。IPSec采用专用的传输协议承载,主要用来进行用于网络到网络的网络互联,经过Xauth协议扩展、IKEv2增强之后,支持端点接入;PPTP是PPP协议的扩展,是一种点对点的VPN接入协议;L2TP实在PPP基础上的一种进一步优化,较多用于运营商的VPDN业务,对运营商核心网支持良好,可通过与IPSec结合支持加密;OpenVPN是一种开源的VPN技术,主要场景是设备的远程VPN接入,主要用于个人VPN接入场景。
SSL VPN是VPN的主流技术之一,即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。
SSL协议是基于WEB应用的安全协议,它包括:服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。
相对于IPSec VPN等其他传统的VPN技术而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,非常适用于远程移动办公、无专门管理人员的分支接入等场景。而从OSI七层模型来看,SSL VPN是基于第七层应用层的VPN技术,相对于传统的IPSec VPN(三层网络层)、L2TP(二层数据链路层)、PPTP(二层数据链路层)等VPN连接方式,SSL VPN在对应用权限的划分上可做得更为细致,数据传递机制也不是简单的封装转发,从整体业务发布安全性的角度上来说安全系数更高。同时,基于SSL VPN部署的灵活性、使用的灵活性等特质,从安全防护方面,SSL VPN可引申出网络逻辑隔离、服务器隔离保护、应用系统强认证等多种安全解决方案,为用户提供多方面价值。
2、集群介绍
集群可以使一组相互独立的服务器在网络中表现为单一的系统,并以单一系统的模式加以管理。集群的各个节点(SSL 设备)由一个分发器和一组真实服务器组成,分发器和真实服务器都是 SSL 设备(分发器本身也是一台真实服器)。网络客户接入 SSLVPN的时候,会由分发器合理的分配给集群中最空闲的真实服务器为客户提供服务。集群可以达到提高容量和性能的目的,为客户提供更高可靠性的服务。
. 实施步骤
1、实施拓扑
本事实施拓扑如下,两台VPN设备单臂旁挂于核心交换机设备:
2、方案步骤规划
1) 信息收集与确认
(1)收集需要对外映射的业务以及相对应的端口。
(2)确认SSLVPN设备和这些向外映射的资源的可达性。
(3)确认集权序列号是否已经开通。
2) 设备上架
(1)设备单臂旁挂于核心交换机设备。
(2)三层交换机提前配置好接口。
. 方案规划
1、确认序列号
2、网络配置
4.2.1 配置VPN1的内网接口地址
4.2.2 配置VPN2的内网接口地址
3、网络配置
4.3.1 开启VPN1的集群部署功能
(1)启用集群部署模式;
(2)选择集群模式:选择负载均衡;
(3)设置集群密钥;
(4)选择VPN1优先作为分发器;
4.3.2 开启VPN2的集群部署功能
(1)启用集群部署模式;
(2)选择负载均衡模式;
(3)设置集群密钥,跟VPN1保持一致。
(4)选择通过优先级选举分发器;
4.3.3 查看VPN集群状态
4.3.4 出口设备映射
VPN部署在内网,而且配置的是私网地址,需满足外出员工在外网进行接入,则需要在出口设备将VPN的内网地址映射出去,映射443端口到出口设备。
4、SSL VPN配置
4.4.1 创建用户
在【SSL VPN设置】-【用户管理】点击新建用户,在基本属性里填写用户名和密码:
4.4.2 新建资源
在【SSL VPN设置】-【资源管理】新建WEB资源/TCP资源/L3VPN资源/远程应用资源,配置对应的协议类型、地址和端口,各资源特性和适用场景说明如下:
(1)WEB应用通过SSL设备将内网服务转换成HTTPS协议。常规测试不建议使用WEB应用,较常用于手机,无IE浏览器等无法安装ActiveX控件条件的环境接入:
(2)TCP应用的实现是通过在Client安装Proxy IE控件,由控件抓取访问服务器的数据并对数据进行封装,将普通的TCP连接转换成SSL协议数据实现的。应用于所有TCP应用。
(3)L3VPN应用的实现是通过在Client安装虚拟网卡,由虚拟网卡抓取访问服务器的数据,进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到Server。
(4)远程应用资源是直接打开远程终端服务器上的应用程序,客户端无需安装应用程序,一般应用于手机终端不需要安装应用程序就可以直接点击资源打开访问的场景:
这里选择新建l3vpn资源:
4.4.3创建角色
在SSL控制台【SSL VPN设置】-【角色授权】-新建角色:
4.4.4 关联用户和资源
(1)用户的作用是做用户认证,确认可以登录设备帐号。
(2)资源是确认可以外网访问的服务器或者是应用。
(3)角色是把用户和资源绑定,确认用户接入之后访问资源的情况。
5、外网接入测试
测试过程:
公网用户访问映射的外网地址加端口,访问改地址将会自动下载VPN客户端。登陆客户端后即可在公网环境下访问处于公司内网的资源。
. 价值呈现
某公司SSL VPN方案支持组织的业务全面接入,如三层VPN、Web应用、移动App接入、互联网应用接入,满足组织不同的远程移动接入需求。
采用某公司 SSL VPN对内部应用平台的统一发布,全面的保障了应用的安全性。结合SSL VPN身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制,保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。SSL VPN支撑了整个应用平台安全的延伸到各个分支、各个移动用户,组建灵活的应用发布网络。
整个业务发布平台的整体稳定性都基于SSL VPN的稳定性,某公司 SSL VPN从高稳定硬件平台、多线路技术、集群技术等多个方面保证支撑平台的高稳定性,免去了IT管理人员的后顾之忧。
. 项目总结
快速访问提升工作效率
在面对高丢包高延时、跨运营商访问、无线访问等恶劣网络环境情况下,结合某公司 SSL VPN多重加速技术,可大幅提升用户的访问速度。SSL VPN访问速度的提升,内部应用访问速度的加快,直接提升了用户的工作效率。无须再为网络的磕磕绊绊、移动办公的缓慢速度困扰网络办公的进度,在越短的时间内能处理越多的事情,为组织创造更多的价值。
便捷的用户使用体验,降低管理工作量
SSL VPN的建立仅依托于浏览器中内置的SSL协议,无须在终端主机上安装任何客户端软件,十分适合移动用户的使用。接入方式非常贴合用户登录网银、电子邮箱等日常网络行为,对于用户而言易用性高、上手快。同时结合某公司 SSL VPN提供的系统托盘、默认服务页面等多种易用性功能,进一步提高用户的使用体验。
同时,无须安装终端软件、贴合日常使用的访问方式,将大大降低管理员对整套VPN系统的管理和维护工作量,也更易于整套远程办公平台的推广。 |