电信运营商
SSL VPN运营方案
―――――――――――――――――――――――
一、前言
随着网络应用领域的不断增加,互联网的开放性也带来了许多内在的安全隐患,类似黑客入侵、数据篡改、截获事件发生不断。另外,由于多数系统采用用户名+口令的认证方式,很难保证访问用户的合法身份及访问权限。如何让有授权的人在没有安全威胁的前提下打开机构内部系统?同时,如何使复杂的安全措施不对用户产生妨碍,不因为安全牺牲性能?
近年来,VPN引起了人们的广泛注意。它可以利用Internet网建立安全、可靠、经济、高效的专用传输链路。利用VPN,位于不同地区的人员只需分别接入本地的Internet网,就可以组成一个安全的虚拟专用网络。UUDynamics的iStar远程安全访问解决方案在传统的VPN技术基础上,针对复杂的Internet接入环境、操作人员技术水平参差不齐、内网服务器的易被攻击、国内固定IP的缺乏等众多不利因素,进行了技术、产品的创新,为电信运营商构建了一个灵
活的远程安全接入运营平台。通过该运营平台,电信运营商的企业用户只需通过租用或购买设备的方式就可以实现企业SSL VPN功能。
二、系统方案介绍
2.1方案定位
目前,大部分大中小企业都有远程访问的需求,包括出差员工访问公司资源,远程分支机构或代理合作伙伴等都有远程访问公司内部资源的需求,传统的IPSEC VPN由于其技术本身的限制以及用户端配置等方面的原因,无法很好的解决远程访问的需要,SSL VPN的出现,很好的解决了该问题。但是由于目前SSL VPN设备普遍比较贵,对于很多企业并不希望一次性投入太多的成本去购买SSL VPN设备,他们更多的是希望以租赁的形式来获得安全可靠便捷的SSL VPN服务。
在电信服务方面,国内目前主要集中在电信、网通、移动、联通和铁通等几大运营商。但是在数据业务方面,几大运营商提供的服务基本相同。因此,目前各大运营商都在探寻新的运营模式,在其电信资源上提供更多的增值业务,为其获得更多的运营收入和客户。我
们希望通过构建SSL VPN运营网络,为电信运营商增加运营收入的同时,也为电信运营商巩固并带来更多的企业高端用户。
通过SSL VPN运营网络,实现企业和电信运营商双赢的局面。对于企业,无需一次性投入很多的成本去搭建SSL VPN网络,只需通过租赁的形式获得电信级的SSL VPN服务;对于电信运营商,在提供增值业务的同时,也绑定了高端企业用户。
2.2解决方案
电信运营商在其骨干网络上架构UUSwitch作为其核心SSL VPN运营网络,企业用户端根据用户需求部署不同级别的UUpublisher。远程用户要访问企业内部资源时,通过电信运营商SSL VPN运营网来实现。具体拓扑结构如下:
随着信息化的发展,基于Internet的VPN互连方式以其低成本、高效率的解决方案正日益受到推崇,通过该SSL VPN平台,满足了企业用户的如下需求:
(1)接入需求
用户VPN能做到任意点的接入。并且能够支持大量用户的同时访问能力。
(2不换号转运营商)功能性需求
完全支持各种基于B/S,C/S架构的应用系统和文件共享等功能,满足绝大部分企业用户的功能需求。
(3)安全性需求
在安全性方面,不同的企业根据各自企业的实际情况,采用不同的安全认证策略,灵活方便。
(4)易用性需求
在用户数量庞大的情况下,必然会出现用户操作水平参次不齐的情况,使用简单、方便就显得十分重要。这就要求用户端不需要预装客户端软件,接入系统的方式采用IE浏览器方式,并且原有应用系统的使用方式不变。
2.3 SSL VPN运营平台组成
2.3.1.交换单元
交换单元是电信运营商SSL VPN运营网络中放置铁通骨干网的交换设备,用来提供给企业发布单元进行注册功能。它能够物理上分布在多个地点。 交换单元在发布单元和使用者两方进行应用资料交换之前提供"信令"的功能。 在不使用公共IP地址的双方转发应用资料时,交换单元能透明地转发应用数据。 但它不参与KEY的交换或加解密,以确保信息的安全和高效。
在电信运营商SSL VPN运营网络中,我们建议先部署UUSwitch。并首期以两台以上UUSwitch做负载均衡冗余备份。
2.3.2.发布单元
发布单元位于应用服务所在的一方,也就是企业用户一方,以便将应用服务发布给远程使用。 应用服务不仅仅可以是Web Server,同时支持如IBM/Lotus Notes Server,MS Exch
ange Mail Server,Oracle Database Server,Netmeeting等等的C/S应用。 多台发布单元能集成为高效能和均衡负载的组。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论