作为新一代无线通信网络运营商,上海长城金点定位测控有限公司(简称上海长城金点)致力于地面定位测控和数据通信两大业务,通过提供专业级的定位测控和无限数据通信技术,在城市应急联动、物流配送、智慧交通、导航定位、人员监控和工业设备远程监测等诸多领域提供基于位置的各类LBS应用咨询服务。
目前公司的网络架构为:本地网与应用网组成业务核心,是整个公司的工作网,业务数据和服务内容都由这个网络提供;呼叫中心、操作网和对外服务网则通过低端的二层交换机完成简单连接。公司网络与外部主要有两个边界:一个是与SDH传输网络的边界,一个是与互联网间的边界。公司办公网有自己的互联网出口,并且与内部其他网络没有连接。
近来,随着公司业务的迅速拓展和移动办公的盛行,在外出差的员工、分支机构的相关人员以及合作伙伴等随时随地远程接入内部网络的安全需求与日俱增,上海长城金点迫切需要部署全新的远程接入解决方案,构建更加安全、高效的资源共享平台,实现便捷而安全的远程局域网接入和访问。
部署有效的解决方案
通过对多家安全厂商的解决方案进行对比分析,上海长城金点最终选择了凹凸科技Succendo SSL VPN网关,认为其具有突出的功能优势,兼具稳定的性能和良好的性价比。
针对公司的应用现状和要求,凹凸科技从可靠性、安全性以及易于管理的角度进行了分析,为公司首先部署了一台Succendoreg; 502 SSL-VPN网关,为公司的终端服务对象提供安全可靠的VPN远程接入服务。该网关设备配置在公司防火墙后面,采用旁路方式与后端服务器群组连接(如下图所示)。除了支持常规的Web、FTP、VNC等应用外,它对客户特有的CCP应用也提供了完美的支持。
该解决方案成功部署后,上海长城金点认为其在整合公司的应用系统资源、构建专用的远程传输绿色通道方面发挥了重要作用,同时实现了对远程网络访问的集中控制和保护,在使用、管理、维护方便的基础上,创造了安全便捷的网络环境,并大大提高了公司运营效率。
应用一:多种访问模式实现差异化服务
上海长城金点的远程接入解决方案面对的是不同要求的客户,包括为内部员工提供对一些关键应用的访问服务,让IT人员能够通过其进行网络管理,以及为合作伙伴开放某一个专门的受SSL保护的Web服务等。为了满足不同用户群体的远程访问要求,Succendoreg; SSL VPN为上海长城金点的远程用户提供了四种接入模式:目的地址映射(DNAT),为企业提供网络层的服务映射,使得企业可以通过Succendoreg; SSL VPN网关对外提供一些开放的服务;虚拟服务(Virtual Service),在Succendoreg; SSL VPN网关上为用户提供基于SSL加密的服务代理,这种应用模式可以保护上海长城金点的一些公开访问服务;代理服务(Proxy),帮上海长城金点公司企业实现任意基于TCP的应用延伸到Internet可以到达的地方,实现移动办公;网络连接(Network Connector),帮助出差在外的员工随时随地访问企业内部网络的任意资源,帮助IT人员对企业网络实现远程维护。
应用二:任意协议满足多种应用需求
Succendoreg; SSL VPN网关提供网络连接访问方式,客户端登录系统之后,实现了客户端同Intranet之间的网络层面的互连,客户端可以从服务器上获取Intranet的IP地址。这样从逻辑上看,远程客户就好像是在上海长城金点企业内部网络一样,因此网络连接访问方式可以承载任何基于IP的应用。同时,Succendoreg; SSL VPN网关可以实现在网络连接基础上的细粒度的访问控制,可以根据角色来实现对不同用户访问上海长城金点的不同服务进行控制。在精细控制的基础上,Succendoreg; SSL VPN网关还可以允许通过网络连接登陆的用户之间相互访问,为远程用户提供了局域网应用体验。
应用三:提供多个IP连接地址
Succendoreg; SSL VPN网关支持多个ISP接入功能,这样上海长城金点的技术工程师可以将接口标注为Internal接口或者External接口;如果为External接口,那么就可以为该接口制定默认网关,如果有多个External接口有默认网关,那么就可以实现连接多个ISP,同时Succendoreg; SSL VPN网关能够根据各个IP地址不同的连通性情况来决定使用哪一个IP地址作为连接的地址,从而保证远程用户能够得到较好的使用体验。
应用四:双机备份保障远程接入
Succendoreg; SSL VPN网关支持双机热备,可以提供主从、主主两种业务模式,Succendoreg; SSL VPN的高可用性可以在不同的型号之间也能实现,只要软件版本相同即可,这样即使上海长城金点未来需要增加SSL VPN网关设备,也可以最大限度地保护已有投资。
应用五:多种安全措施保障认证安全
Succendoreg; SSL VPN网关提供多种安全措施来保障用户口令的安全,保障了上海长城金点远程接入的安全性。首先,对本地用户的口令的保存是保存“哈希”结果,保证用户的口令在系统中的安全性;其次,可以支持远程认证用户,使得管理员可以集中精力确保认证服务器的安全即可;第三,支持用户超时和重认证机制,保证用户端在一段时间内没有使用的时候关闭客户端以避免被人误用;第四,支持动态口令,比如RSA SecureID、Secure Computing等,使得用户可以选择安全性更高的口令系统;第五,支持用户登录验证的图形附加码功能,使得用系统避免了对用户口令的字典式供给;最后,支持对登陆密码的“哈希”计算来防止口令并重放和窃听的攻击。
应用六:多种用户添加管理方式简化管理
作为一个基于角色的用户远程接入访问控制系统,Succendoreg; SSL VPN网关对用户的添加和管理是系统中一个关键的部分。Succendoreg; SSL VPN网关提供多种用户添加管理方式,包括添加单个用户,或者通过导入文件添加多个用户,也可以从远程认证服务器下载账号,或者直接使用远程认证服务器来进行用户认证。这一功能为上海长城金点公司的网管员提供了多种可选的途径,使其可以方便地根据企业信息系统中现有的用户管理系统情况来决定Succendoreg; SSL VPN网关上的用户管理方式。
应用七:系统监控和Log提供基础数据
Succendoreg; SSL VPN网关为管理员提供详细的日志,包括终端用户的登入、登出、认证、资源访问等,配置管理员对系统的设置信息等,同时提供基于用户和服务的TOP N信息的统计和导出,方便上海长城金点的网管员及时了解网络的使用情况。Succendoreg; SSL VPN网关支持对日志的定期导出,可以根据管理员的设置定期地将符合条件的日志形成文件传递到ftp服务器上去,便于数据的长期保存。Succendoreg; SSL VPN网关支持实时地通过Syslog把数据传递到外不得日志服务,便于上海长城金点对系统日志进行统一管理。
应用八:安全检查保障接入终端安全
Succendoreg; SSL VPN网关支持基于用户的终端安全检查和缓存清除,可以根据上海长城金点网管员的设定检查远程计算机上是否安装了合适的防病毒软件,是否存在spyware,是否开启了不该开启的网络应用等。Succendoreg; SSL VPN网关还可以根据管理员的定义清除指定的文件夹,这种灵活的终端安全措施可以帮助上海长城金点公司实施自己的终端安全策略,确保企业信息系统的安全。
应用九:公告栏发布最新消息
Succendoreg; SSL VPN网关为上海长城金点提供了方便的自定义功能,可以让管理员自己定义登录页面的色彩,欢迎词、图片等,便于企业统一公司形象。其消息发布功能使得企业在Succendo上发布一些公司消息,便于远程接入的用户了解上海长城金点公司的最新动态。
应用十:智能客户端方便使用
Succendoreg; SSL VPN网关通过在web页面中嵌入智能客户端组件的方式,实现了无需安装维护客户端软件和高级智能之间的平衡,可以让上海长城金点的网管员设置一些关联应用,便于用户使用。同时,Succendoreg; SSL VPN网关的客户端还可以为用户实现单点登录,方便用户的访问。其自动选路、自动重连等功能则可以帮助用户选择最优线路,提高用户体验和满意度。
总之,通过部署凹凸科技Succendoreg; SSL VPN网关设备,上海长城金点确保信息流的畅通和资源的共享。上海长城金点的工程师认为,凹凸科技Succendoreg; SSL VPN具有安装方便、维护简单、功能强大稳定等特点,能够全面满足网络运营商的安全需要。