天涯部落

小圈子,大声音!呼朋引伴网聚部落!

创建新部落?

校园网远程接入SSL VPN 解决方案

楼主:梦露映波 时间:2008-06-22 18:40:00 点击:377 回复:0
脱水模式给他打赏只看楼主 阅读设置
行业现状
随着互联网的迅速发展,高校信息化的深入进行,人们的工作和生活模式几乎可以说发生了彻底改变,更加需要随时随地的获取互联网资源。而对于校园网而言,信息量的增长巨大,应用范围的日益广泛,老师和学生对于校内网络资源以及其他数据库资源的访问需求已不仅局限在校内,而逐渐扩展到在任何具备互联网接入的地方都可以访问学校的这些资源,校园网的远程接入、方便快捷的访问校内信息资源就成为了亟需解决的问题。
行业需求
校园网校内网络上有很多资源,如图书馆内的图书资源、学术资源、各类数据库资源等。这些资源除了部分对教育网开放,其它只对内网用户开放,想要访问这些内部资源,就必需拥有校内网络的地址,否则不能正常使用校内资源。解决这一问题的传统方式是VPN 接入。采用这种方式不仅配置复杂、运行维护成本高,而且缺乏对客户端点安全的评估手段,难以保证端对端的安全性。
而校园网内部信息对于安全性的要求是比较高的,外部访问内网的目的不仅要考虑高速高效的达成,还要考虑到用户接入前的身份认证及接入后的访问权限问题。
解决方案
基于校园网对于远程接入的需求和传统VPN 接入方式的不足,主要针对如下三方面内容,Juniper 制定了自己的有效解决方案。
● 远程接入内网的便利性
● 内部访问的安全性
● 运行及维护的低成本
便利性
由于IETF 的IPsec 技术规范(rfc 2401-rfc 2411) 中只定义了网关设备之间身份认证的机制,而没有定义远程用户身份认证的机制,各厂商为了通过IPsec 协议实现远程用户的VPN 接入,都对IPsec 的密钥管理协议IKE 作了不同的扩展,以实现IPsec 协议的远程用户身份认证。但由于这些机制对IKE 的修改都破坏了IKE 协议完美的安全性,同时各个厂家的扩展还造成各种vpn 客户端软件的不兼容以及企业IT 人员需要维护大量桌面客户端软件带来的管理和运维负担,使得IPsec 并不是一种完美的移动用户VPN 接入手段。Juniper 的SSL 安全访问产品(可简称为IVE)从根本上解决了高校师生移动作业的远程访问问题,可以为高校的教师、学生等用户提供对高校内网资源的安全远程访问。同时Juniper 的IVE 系统提供了三种方式的接入手段,以适应不同应用需求,消除了因为远程用户客户端的维护等带来的诸多不便。
Core Access 方式
Core Access 方式采用标准Browser/Server 机制,远程用户首先通过浏览器登陆IVE 系统进行身份认证和端点安全检查;通过认证和授权后,通过点击IVE 系统门户(Portal) 上预定义的书签(Bookmark) 或在指定的输入栏中输入内部服务器的url 地址实现对内部Web 资源的访问。
所有这些访问都由IVE 系统进行转接,用户端的浏览器并不直接建立与内部服务器的TCP 连接,因此在HTTP 会话转接过程中,IVE 系统要进行大量复杂的HTTP 报文重写(Rewrite) 工作,因此对各种Web 语言的重写能力是衡量SSL VPN 接入系统水准的重要指标。Juniper IVE 系统支持对HTML,DHTML,Javascript,Vbscript,Java applets,ActiveX,Flash,XML 等Web 脚本的重写。
此外Juniper IVE 系统还可通过Java applet 等技术以Web 的方式支持诸如文件共享、基于Web 的mail 、终端访问、远程桌面等非web 应用。
安全应用管理器SAM(Secure Application Manager) 方式
在安全内容管理器(SAM,Secure Application Manager) 方式中,远程用户通过浏览器登陆IVE 系统,进行身份认证和端点安全检查;通过认证和授权后,远程浏览器从IVE 系统加载一个基于ActiveX 或JavaApplet 的小插件,将指定的应用程序访问指定服务器指定端口的数据流重定向到SSL 封装的隧道中传给SA 系统;再由IVE 系统转发到企业内部的应用服务器。SAM 模式可以支持大量传统的C/S 应用而不仅仅是Web 应用。但SAM 基于端口转发的特质也决定了它只适用于固定端口的服务,而不适用于多通道动态协商端口的应用。
Network Connect 方式
远程用户首先通过浏览器登陆到IVE 系统进行身份认证和端点安全检查;通过认证和授权后,远程浏览器从IVE 系统加载一个基于ActiveX 或JavaApplet 的小插件,以建立到IVE 系统的VPN 隧道,并把所有数据都通过该隧道进行传输。在这种方式下,IVE 系统以类似IPsec VPN 网关的方式工作,只不过该VPN 隧道建立在TCP 443 及HTTPS 的端口之上。可以支持全部的网络应用,包括复杂的、动态端口协商的视频会议及IP 电话等应用。
安全性
Juniper IVE 系统采用丰富的身份认证手段,支持与现有的iPlanet LDAP 目录服务器集成,强大的端点安全强制审查机制,保证端到端的安全性,以实现为教师和学生建立不同登陆域、用户属性授权、不同院系学生登陆访问不同资源等功能。
我们建议将Juniper 的IVE 系统安装在中心网络的DMZ 区。在出口防火墙上为IVE 设备映射一个公网可路由的IP 地址,以便互联网用户可以连接到IVE 设备,同时在防火墙上也需要添加相应的安全策略,使得远程用户可以访问IVE 设备的443 端口,同时又对IVE 设备和内部服务器进行保护。
Juniper IVE 系统支持众多的身份认证方式,同时也支持多种身份认证方式的同时并存:为方便校园网网络中心进行大规模用户帐号系统的管理,可使用集中的身份认证系统来统一进行包括IVE 系统和其他业务应用系统在内的统一集中认证。根据各高校自身特点,可以灵活选用适合自己的认证系统,比如PKI 系统,以X.509 数字证书的方式进行用户身份认证;或者通过LDAP 目录服务器/MS Active Directry 的目录系统,以基于LDAP 的组织层次结构来进行用户的分组管理;或者基于成熟的Radius 协议,基于用户的Radius 属性来进行用户身份的权限控制。Juniper 公司本身即提供运营商级别的SBR Radius AAA 认证服务解决方案,当然还可以组合多种认证方式进行复合的身份管理。
低成本
Juniper 的IVE 系统作为用户接入手段,不需安装传统的VPN 客户端,并且可选择采用校内原有的RADIUS 对用户进行认证,大大降低运维成本。
Juniper 的IVE 设备部署和维护十分简单,不需要任何客户端软件的安装,也不需要对服务器端进行特殊设置,是目前仅有的通过很短时间的配置就可以为成千用户提供远程访问的卓越方案,同时这种方案不需要指定客户端设备,不需要其他的安全设备和应用程序的支持,而仅仅利用标准WEB 浏览器的安全功能就实现了安全的远程访问。
IVE 平台提供整体的网络访问控制,通过专利加固的系统完成对外部应用请求的转换,同时对各种连接进行细粒度的访问控制,而这种安全上的保障,是不以投资、复杂性和稳定性的牺牲为前提的。转自:杜松之家。

相关推荐

    发表回复

    请遵守天涯社区公约言论规则,不得违反国家法律法规