赛蓝科技SSL VPN茂名学院应用案例-VPN解决方案.doc
赛蓝科技 SSL VPN 茂名学院应用案例 -VPN 解决方案 用户需求 茂名学院的需求是将学校的教务系统发布出来,可以让教师能够实现在家里可以访问学院的相关资源,能够进行备课查资料。 1、实现远程的访问; 2、所有访问资源都进行加密,保证其安全访问; 3、实现简单接入,使办公无所不在; 应用背景 传统的组网方案中,要进行远程与本地互连,除了租用 DDN 专线或帧中继之外,并无更好的解决方法。对于移动用户与远端用户而言,只能通过拨号线路进入单位的局域网。这样的方案必然导致高昂的长途线路租用费及长途电话费。于是,虚拟专用网 VPN( Virtual Private Network)的概念与市场随之出现。其实虚拟专用网 VPN 技术并不是什么新鲜事物,早在 1993 年,欧洲虚拟专用网联盟( EVUA)就成立了,力图在全欧洲范围内推广 VPN。然而却是由于 Internet的迅猛发展为 VPN 提供了技术基础,全球化的企业为 VPN 提供了市场,使得 VPN开始遍布全世界。 在 VPN 技术的支持下,位于不同地点的单位分支机构只需分别联入当地的Internet,就可以组成一个高效统一的虚拟专用网络。赛蓝科技提供的 CYLAN VPN解决方案在传统的 VPN 技术基础上,针对国内固定 IP 的匮乏、复杂的 Internet接入方式、操作人员技术能力参差不齐等多种不利因素进行了技术和产品上的创新,为提供一种高安全、高性能、高稳定性的远程接入解决方案。 CYLAN 建议政府及事业单位通过互联网络采用 SSL/IPSEC 技术建立自己的虚拟专用网络。CYLAN VPN 解决方案,能有效满足单位系统宽带网建设的各项要求,能有效保障含有单位机密信息的 "内网 "的绝对安全,使单位办公人员随时随地实现移动办公。 虚拟专用网是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户,公司分支机构,公司业务伙伴等跟公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用,而事实上并非如此,所以称之虚拟 专用。之所以采用虚拟专用网是因为 VPN 有以下几方面好处: 应用特点 降低成本 通过公用网来建立 VPN,就可以节省大量的通信费用。此外, VPN 还可使单位不必投入大量的人力和物力去安装和维护 WAN 设备和远程访问设备,这些工作都可以由 ISP 负责完成。 可随意与合作伙伴联网 用户如果想与合作伙伴联网,如果没有 VPN,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了 VPN 之后,只需双方配置安全连接信息即可。当不再需联网时,也很容易拆除连接。 完全控制主动权 单位可以自己组建管理 VPN,不受第三方控制。 安全性 CYLAN VPN 内核是基于专用的硬件平台,可抵御任何强度的黑客的攻击, CYLAN 支持高级入侵检测,当设备检测到有攻击时,设备会先记录下黑客的 IP地址和攻击时间,然后断开和黑客的连接。确保用户的网络安全; CYLAN 产品的 VPN 帐号信息全部存储在本设备中 ,身份认证过程也在本设备完成 ,不需要第三方的设备 ; CYLAN VPN 身份认证采用目前最安全的 X.509 证书和数字签名 RSA 技术 ,可以确保用户的身份信息在公网上不被恶意篡 改 ;目前银行、 证券的网上支付都是采用 X.509 证书和数字签名作为身份认证的方法,所以企业的安全是可以得到保证的; 具有的稳定性 CYLAN 产品是专用硬件产品 ,硬件工艺成熟 ,而且硬件在出厂前都经过严格的负载测试 ,能保证用户在复杂的网络环境全天候的使用而不死机 ;CYLAN 所有产品平均持续无故障工作时间 5 万小时 (大约 5.7 年 ),普通电脑无法达到这种效果 ,所以软件 VPN 的稳定性一定没有硬件 VPN 的好。 CYLAN 能抵御病毒的攻击 ,用户不用担心硬件 VPN 会被病毒破坏。 (软件 VPN很容易被病毒攻 击 ,所以用户要经常把 WINDOWS 系统重新安装 ,再安装软件 VPN,用户还要经常的升级来减少系统漏洞 ;软件 VPN 也会影响到一些防火墙软件和应用软件不能正常使用 ) 可管理性 CYLAN VPN 的管理平台,可以为整个体系提供详细的管理。网络管理员可以根据功能需要灵活配置各种逻辑结构。 易扩展性 如果需要加入新的节点,以前的节点不用作任何的设置。这也是 CYLAN VPN产品与众不同的地方。 网状连接、即时通讯性 许多客户都有一种观点,我们只有各节点连接到中心点就可以了,不需要分点 之间互相通讯。这里首先要澄清一个技术观点,网状连接可以容易变成星状连接,反之则不然。 CYLAN VPN 的架构也是很容易形成星状连接的。 还需要说明的一个问题是:网状连接与数据集中不会矛盾。在一些系统之中,数据库可能会集中到一个中心点,集中到总部运算。其实真正的先进的模型是集中式管理,分布式运算。这与 Cylan VPN 设计的思路是一致的。 Cylan VPN 可以详细的设置各分点之间的通讯权限,形成的网状连接是先进的网络架构。 网状连接、实时在线、分布运算、互联互通是未来通讯之潮流。 CYLAN VPN 的易用性 易用性决定了 VPN 项目实施的难易程度、广泛推广的可能性、维护成本高低的因素。在原有网络互联比较复杂的情况下,项目能否实施的关键因素。 效果分析 茂名学院为了安全管理、科学管理、集中管理,注重信息技术在本学院的应用。现在要实现使教师在家里可以访问学院的资源进行备课和查询资料以实现资源的实时性。 为满足系统应用需求和从节约总部与下属的联网成本考虑,在方案的选择过程中,我们要照顾到用户应用的可用性,安全性,兼顾带宽的合理选择和联网成本 ,同时也会出现资源浪费的情况, 综合考虑后决定采用 Cylan SSL VPN 的方式组网。该方式是目前政府机构和集团公司首选的广域网组网方式,是一种成熟的解决方案。 具体设计 上网带宽选择 教师家中基本以 ADSL 等上网方式,目前基本上能满足 VPN 组网需求。 VPN 设备的选用 考虑到总部要连近 200 左右的并发用户数,因此,需选用处理能力强、连接数量多、可靠性和安全性高的 VPN 设备,在此建议选用客户端免维护的 Cylan SSL 620 VPN 设备来连接所有的教师到学院应用教务系统。 产品选型 针对茂名 学院网络现状,我们建议使用赛蓝 SSL VP 产品可以满足企业的所有客户需要并提供全面远程接入的 VPN。赛蓝 VPN 利用两种接入方式,一、 Web Browser 基于浏览器的接入 (可以访问 Web 应用程序和文件共享 );二、桌面共享 一个即时下载的 Java 小应用程序 (可访问客户 /服务器应用程序 )。赛蓝 VPN能满足所有你的远程接入需要。赛蓝 VPN 技术为你提供增强的灵活性,以便更好地配合学院的安全性和基础结构需要,同时给你的用户一个统一的、容易的界面和一个简化的用户经验。赛蓝 VPN 还提供了高可用性,它具有可 靠的冗余能力,排除了单点故障的可能性,减少系统停机时间,另外它还具有负载均衡的能力,提高系统的整体性能。 网络拓扑图