企业SSL VPN最佳解决方案
这两年我国的中小企业不断的进行扩张,企业分支网络和移动办公需求的不断增加,VPN于企业信息化而言,得到了快速的发展。尤其是新兴的SSL VPN,它凭借自身优点乘势而上,成为现代化中小企业建设VPN网络的最佳方案之一。
SSL VPN受到企业青睐的原因主要有三点:首先,它更适合远程办公用户、移动员工用户同企业内网服务器之间建立VPN;第二,SSL VPN容易针对用户、资源、服务、文件等应用,进行更细化的访问权限划分;第三,SSL VPN不仅能够让企业避开网络入侵者和安全突破,而且还能够让企业节省安装和管理软件的成本。
目前面临问题
数据安全性无法保障:在企业信息平台上的应用数据现在都是未经加密等安全处理的,跑在互联网这个不安全而又开放的网络上。一旦数据遭到篡改 或窃取,带来的损失将无法估量。
分公司、门市部访问总部内网资源:涉及到公司核心数据的应用如财务系统、业务系统等并没有发布到公网上,分公司、门市部的人员都需要接入到总部进行信息化办公,作数据交换等。
出差领导、员工的接入:出差在外的领导和员工需要实现随时随地的接入到总部内网访问应用,实现移动办公。
应用权限划分:对于许多重要的应用,尤其是第三方人员接入的情况下,需要进行相应的权限划分来保证内网应用的安全性,防止越权访问。
应用访问安全性:用户在终端访问时所有访问的应用系统数据都保存在本地客户端主机,尤其是一些安全性级别较高的数据,存在数据泄漏的安全隐患。
专线价格昂贵,扩展性差:全国分公司众多,如果全部使用专线进行互联开销很大,而且专线的扩展性差,也无法实现出差领导和员工的移动接入。
重要应用认证手段单一:对于公司重要的应用如财务系统、CRM等,使用的是普通的帐号密码认证,安全手段较为单一,密码存在被窃取的风险。
不安全终端接入的风险:公司总部有很好的网络安全防护,但部分小型分公司和出差人员的移动终端的安全措施往往得不到很好的保障,这部分接入的主机成为了总部的安全短板,存在将病毒、木马、黑客等引入到总部的风险。
管理权限无法划分:处于管理的需要,需要切合网络部门管理的结构,面对不同的接入用户需要实现分级分权限管理,提高管理效率。
IPSec VPN使用复杂,不易操作:IPSec VPN的移动应用需要安装客户端软件,而下面接入单位众多,电脑水平参差不齐,易造成操作失误或者兼容性问题导致业务中断。
解决方案
针对于企业网络建设中存在的问题,网神 SSL VPN提出以下解决方案:
部署说明:
在总部网络中网神 SSL VPN以网关/路由/单臂模式进行部署,各分公司员工及出差领导、员工等通过SSL VPN授权,使用浏览器接入总部。
对于拥有比较高的应用权限、安全性要求比较高的分公司领导,关系到公司重要数据的财务部门,以及出差的领导员工等,使用高级别认证方式接入总部。
方案优势:
数据强加密:网神 SSL VPN设备使用基于应用层的SSL VPN协议进行数据加密处理,在客户终端与SSL 设备之间构建一条旁人无法破译的专有通道,保证数据在传输中的绝对安全性。
安全发布应用,访问便利:使用SSL VPN对内网应用进行发布,并根据组织原有的Internet线路通过浏览器内置的SSL协议构建在单点接入用户和内部的应用系统之间架设一条安全的通道。无需安装任何客户端软件,实现分公司和移动办公人员的安全、方便的远程接入。
细致权限划分:网神 SSL VPN通过“角色”的设置,进行用户、用户组、应用资源的绑定,并可通过基于时间的客户端检查授权规则赋予用户、用户组不同时间的不用应用的访问权限,实现基于用户、用户组、时间、应用的细致权限划分。
多种认证方式相结合:针对单一用户名/密码认证的安全强度不足的问题,网神 SSL VPN支持多种认证方式“与”、“或”方式相结合,包括短信认证、CA认证、LDAP、RADIUS、动态令牌卡的多种方式,加强了认证的安全性。
客户端安全检查:网神 SSL VPN支持客户端的安全检测策略,通过检查终端的操作系统、注册表、进程、文件、接入线路的IP、接入线路的时间、登录IP等各项信息对客户端进行全面检测,并进行允许/不允许接入SSLVPN或授予不同的应用访问权限的操作。从源头对终端接入带来的安全风险进行控制,保障了总部的安全。
终端易用性:网神 SSL VPN通过浏览器就能实现对内网资源的访问,无需安装客户端软件。并支持B/S和C/S应用的单点登录,用户通过认证并登录到SSL VPN后,直接可以打开相应的资源进行内网应用的访问,不需要再反复的输入用户名密码,大大降低在终端上访问内网办公的复杂程度。
移动终端支持:网神SSL VPN提供独创的安全云接入平台,除了支持Windows平台的移动PC终端以外,还通过桌面虚拟化技术,支持iOS、Android、Windows Moblie等手机、平板电脑的平滑接入。