招商证券VPN解决方案-VPN解决方案.doc
招商证券 VPN 解决方案 -VPN 解决方案 随着 INTERNET 的普及和迅速发展,远程接入和访问的需要越来越迫切,对于一些企业来说,异地的网络互联和远程访问已经成为急需解决的问题, VPN 的应用目前已成为一种潮流,他可以让在任何时间,任何地点,安全地访问你想要的资源,下面以招商证券为例,具体介绍一下 SSL VPN 的解决方案。 一、招商证券目前的需要分析 招商证券股份有限公司是一家以国有大型交通企业为主要股东的综合类券商,创建于 1991 年,公司是在招商银行证券业务部的基础上发展壮大起来的,总部设在深圳,目前,公司共设有 14 个部门、在 19 个城市拥有营业网点 31 家证券营业部和 1家证券服务部,深圳的营业网点有 9个,营业时需要和总部互联,需要访问总部的数据库。为确保业务的安全、稳定,证券公司基本都采用专线方式将公司总部与各营业部连接起来,每年高额的专线租用费用对每个证券公司来说都一笔不小的开支。而且, 大部分证券公司的网络结构复杂,通过专线传输的数据中、既有现场 交易的证券指数,又有诸如 Notes 办公系统中的信息,这无疑对网络安全也造成很大隐患。 如果把专线中的一部分其他一种成本较低的连接方式,传输那些非主流的业务数据,则会大大降低公司在网络上的投资成本。 其次,证券数据是相当重要且机密的,在传输过程中决不允许因线路故障而出现中断,线路的稳定性是所有证券公司都需要考虑的问题。如何选择一条价格低,性能高的线路呢? Cylan(赛蓝) SSL VPN 系列产品可以很好的解决上述问题,相对于按期付费的专线,一次性投入的 SSL VPN 系统将在整体成本上具有无可比拟的优越性 。 二、 Cylan(赛蓝) SSL VPN 的功能简介 SSL 的英文全称是“ Secure Sockets Layer”,中文名为“安全套接层协议层”,它是网景( Netscape)公司提出的基于 WEB 应用的安全协议。 SSL 协议指定了一种在应用程序协议 (如 HTTP、 Telenet、 NMTP 和 FTP 等)和 TCP/IP 协议之间提供数据安全性分层的机制,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。 Cylan(赛蓝) SSL VPN 设备适合应用于大中小企业规模,满足 其企业移动用户、分支机构、供应商、合作伙伴等企业资源(如基于 Web 的应用、企业邮件系统、文件服务器、 C/S 应用系统等)安全接入服务。企业利用自身的网络平台和 INTERNET 网络,创建一个安全性的专用网络。 Cylan(赛蓝) SSL VPN 客户端的应用是基于标准 Web 浏览器内置的加密套件与服务器协议出相应的加密方法,即经过授权用户只要能上网就能够通过浏览器接入服务器建立 SSL 安全隧道。 远程用户可以通过两种方式来安全地访问公司的资源: 1、通过浏览器来访问 Web 应用程序, B/S应用, C/S应 用及 WINDOWS应用 ) ; 2、通过 SSL 客户端可以实现类似 IPSEC VPN 隧道的功能,能够实现对数所库访问和主机的访问。 三、 Cylan(赛蓝) SSL VPN 产品优势及特点 1、安全性 :客户对资源的每一次操作都需要经过安全的身份验证和加密,确保点到点的真正安全。因为是直接开启应用系统,并没在网络层上连接,攻击机会相对就减少。 Cylan(赛蓝) SSL VPN 还保护不同协议间的通信,增强安全性。 2、应用程序发布:用户可以将公司的 WINDOWS( UNIX)的全部 C/S 和 WEB应用直接通过 SSL VPN 产品的 WEB 页面发布出来。让不同的用户按不同的权限使用不同的应用程序 3、低带宽特性:通过 Cylan(赛蓝) SSL VPN 平台,即便使用 CDMA 和 GPRS上网方式 也可以流畅的运行您广域网络上的应用,他运行程序仅仅需要 30K 的带宽。 4、跨平台特性:通过 Cylan(赛蓝) SSL VPN 平台,用户可以使用浏览器直接访问公司总部的基于 IBM 和 SUN 的小型机器上的 UNIX、 LIUNIX 的应用。 5、经济性 :使用 Cylan(赛蓝) SSL VPN 只需要在总 部放置一台硬件设备,就可以实现所有用户的远程安全访问快速地接入服务。 6、可扩展性 : Cylan(赛蓝) SSL VPN 一般部署在内网中任一节点处即可,可以随时根据需要,添加需要 VPN 保护的服务器,因此无需影响原有网络结构。 7、访问控制:如 Cylan(赛蓝) SSL VPN 可以根据用户的不同身份,给予不同的访问权限,还可以根据远程访问的机器不同情况 (CPU/内寸 /硬盘大小 /主板和品牌 ),随机生成序列号来进行安全的访问控制。 8、部署与维护成本: Cylan(赛蓝) SSL VPN 避开 了 C/S 部署及管理必要客户软件的复杂性和人力需求。 四、营业点访问总部的 SSL VPN 解决方案 针对于证券行业的特点,给出 Cylan(赛蓝) SSL VPN 的解决方案,如下图: 1、远程各营业厅的部署 由于是使用 Cylan(赛蓝) SSL VPN,所以各营业厅的电脑上是不用装任何软件的,只要电脑能够正常上网就行了。 2、总部的网络部署 Cylan(赛蓝) SSL VPN 可以放在内网,和其它的电脑网络设置方法一样,然后接到交换机上就行了,这样对原有的网络改变几乎是零,但要在防火墙上作一个 SSL 端口( TCP 443)的转发,然后,再发布应用服务器就行了。 3、各营业厅如何访问总部的应用 前面两个部署作好后,远程用户就可以访问总部的资源了,首先,营业厅的人员,先打开一个网址,在地址栏里输入总部的域名(或公网 IP),就可以出来 SSL 的访问界面了,然后 输入用户名和密码,就可以进入应用界面了,用户可以看到在 SSL 上发布的应用软件,只 点下那个图标,就可以用这个软件了,同时,还可以用本地的密码机和刷卡机,因为 Cylan(赛蓝) SSL VPN 是支持串口映射的。 使用了 Cylan(赛蓝) SSL VPN 作为其远程营业厅的安全接入产品 ,可以将C/S应用转换为 WEB的应用 ,招商证券的远程系统的电脑上 ,不用安装任何柜台系统的程序 ,就可以使用总部的证券软件 ,实现了对应用系统的集中管理和发布 ,实现了随时随地远程安全访问的需求,同时降低对 C/S 系统的客户端的安装调试和维护的工作量,充分体现了 Cylan(赛蓝) SSL VPN 在现代网络中的出色应用 。