ENLINK高校远程访问解决方案.doc

ENLINK高校远程访问解决方案 经过逐年发展，很多大学已经建成了数字化图书馆、OA办公系统、校园一卡通等网络化平台，但是校园网是一个封闭的局域网络，如何让这些系统在教师、学生离开校园网络环境下也能够顺利使用？ 数字图书馆电子资源厂商出于版权保护原因，几乎都设置为校园网内IP段才能合法访问。而学校的师生希望在家里、出差时也能访问图书馆电子资源，如何让师生能够顺利访问这些电子资源？ 另外，远程教育的访问者希望能够远程访问XX大学的先进教育成果和优势资源，如何让他们非常经济、方便、安全、高效地通过Internet接受远程教育？ 目前教育行业针对远程接入，主要有以下几种方式： 1. 专线。这一接入方式非常稳定，但因每年须交纳不菲的专线租用费用而提高了接入成本，对于自治区各远程教育的接入而言成本非常昂贵。同时，它只适用固定场所的对等局域网连接，不适用于师生在家中、出差时的访问 2. MPLS VPN也即电信VPN。这一接入方式较专线经济，但仍需铺设专门的线路，需要每年支付较高的线路租用费用。同样，它适用于固定场所的对等局域网连接，也不适合老师与学生的校外访问。 3. IPSEC　VPN。这一方式目前为部分学校采用，但它有几个方面的缺陷： 安全性不够。因为它基于网络层的加密传输，当VPN通道建立以后，远程用户随即成为局域网内的一员，其权限也和内网用户一样，很容易将病毒、攻击带入校园网络。 无权限控制。IPSEC　VPN属于透明访问，无法做到精细的权限控制，仅能通过端口作有限的控制。 需要安装客户端。需要进行IP设置等系列的复杂设置，如果远程使用人员较多，将使网络维护工作量非常繁重。 兼容性不够。现有的各IPSEC　VPN之间可能不兼容，将造成连接不上的问题。当系统更新时会造成设备浪费。 4. 反向代理。这一接入方式仅适用于纯粹的B/S系统，而现在多数应用系统都是需要加载JAVA等中间件的混合架构，或者纯粹的C/S架构，例如FTP、Telnet…，这样就无法访问。另外它的数据是明文传输，缺乏安全性。 以前，高校在无奈之下，采用IPSec VPN和反向代理实现远程接入。现在，ENLINK SSL VPN这种安全、经济、便捷的远程接入方式诞生了，它弥补了前者的缺陷，在高校应用开始如火如荼。故建议校方远程接入用户的校外访问采用ENLINK SSL VPN接入。 二、设计原则 2.1 安全性原则 校园网对于远程接入特别是移动用户的接入，安全性是首要考虑的问题。安全性涉及三方面：传输安全、接入安全、访问安全。 传输安全指数据在传输时必须加密，而不能采用明文传输。ENLINK SSL VPN采用SSL 128位加密，保障数据传输过程的安全性。即使数据在传输时被截获，也只能是一堆无用的乱码。 接入安全指远程接入用户接入的安全。ENLINK SSL VPN可对接入用户进行HostCheck，包括病毒、注册表、系统补丁等，另外ENLINK SSL VPN可与国家CA认证的PKI身份认证结合，如USBKey、Secure ID等，既保障即使远程使用人员的登录用户名、密码被他人获知也无法进行VPN连接，同时保障远程机器即使有病毒、黑客攻击也无法进入内网传播。 访问安全指远程使用人员在VPN接入后，不能对内网资源肆意访问，而必须对其访问进行有效约束。ENLINK SSL VPN具有细颗粒度的精细权限控制，对不同部门、不同岗位的使用人员可设置不同的权限，使之仅能访问对应的系统。例如只有特定人员才能访问受版权保护的图书馆资源。 通过ENLINK SSL VPN，可到达以下安全目的： 远程客户登录内网后，能够通过统一界面分别访问内部各种资源 远程客户访问内部资源，尽量提高登陆的安全和密码保护 远程客户登录内网后，不同用户被赋予不同的访问权限，权限控制要精细化 远程客户的本地机器在登录前得到安全检查 远程登陆客户要求简便易用 2.2 方便性原则 使用人员计算机水平各异，故VPN系统的设计必须不给使用设置障碍，不改变使用者使用习惯，尽可能的符合使用者的初始习惯。ENLINK SSL VPN通过IE浏览器建立VPN通道，无须安装VPN客户端。另外，对于C/S系统，使用人员可直接从VPN界面中调用本地C/S客户端，为使用者提供极大便利。 对于网络管理人员而言，VPN管理配置应尽量简洁、清晰、严谨，过于复杂的配置页面为网络管理人员所诟病。ENLINK SSL VPN为国内最早投入商用的SSL VPN产品之一，通过多年努力，设计了符合网络管理的GUI配置。 2.3 经济性原则 这里的经济性指客户为整个方案的实施所需支付的总费用包括后续费用，也即TCO。针对本方案，指设备的总价格、支付运营商的年度费用及后续服务的费用。 Enlink Networks为每一个客户提供个性化的、恰当的、经济的解决方案以帮助客户尽可能地节约投资。 2.4 零维护原则 无论是使用人员还是网络管理人员，VPN系统的零维护都十分重要。特别是网络管理人员，如果VPN维护量大，则会消耗他们很多精力，这样的VPN系统显然不能满足要求。 ENLINK SSL VPN由于通过IE浏览器建立VPN通道，采用集中管理的模式，使用人员无维护之苦。同时，ENLINK SSL VPN采用全球独创的FreeRoute技术，网络管理人员无须配置IP地址池、无须进行网络配置，做到即插即用，真正做到零维护。 三、解决方案 根据学校的需求、TCO的考虑及ENLINK SSL VPN功能特点，特提供以下解决方案供参考。 3.1 方案的准备工作 XX大学目前只有教育网出口，而远程访问的师生在家中、出差时采用的是电信/网通线路，由于IPS互连互通的问题，造成即便访问XX大学的主页速度也非常慢，更不用说访问校内的其他应用。 因此，在实施SSL VPN远程访问方案之前，学校需要向电信申请一条带公网固定IP地址的Internet宽带。XX大学作为重要的教育信息交换中心，数据流量非常大，考虑到校外访问人数及流量，建议申请的电信Internet线路带宽不低于20M。这样有两个便利：一是Internet用户访问XX大学的学校主页速度将大幅提升；二是师生在家中、出差时通过SSL VPN访问学校内部应用如OA、数字图书馆的速度非常快。 3.2 方案产品选型 本方案中心设备选用ENLINK ES3000。ES3000为千兆VPN设备，它集成SSL VPN与IPSec VPN， 提供4 个10/100/1000M Base-T接口。SSL VPN吞吐能力为350Mbps，最大支持16000个并发会话，每秒新建会话1200个，IPSec VPN隧道数500，最大可支持2000个并发用户。它具备以下特点： 特性 优势 通道加密 采用标准浏览器内置的安全套接层加密算法，采用加密算法，保证数据安全传输 细颗粒度访问授权 支持用户组管理，对实行细颗粒度的精细访问控制，有效控制远程用户的访问权限 HostCheck 客户端安全检查，可检测注册表、进程、补丁、杀毒软件等完整性及合法性 清除 注销后自动清除缓存和临时文件，防止被非法利用 内置硬件加速 内置硬件加速芯片，同步提高吞吐性能 支持 进行会话保护，进行设备故障检测及链路故障检测 支持单点登录 减少用户重复输入帐号等工作 超时休止 可定义超时休止时间，超时非活动即退出，防止他人滥用 多认证机制 支持Local DB、AD/LDAP、Radius等认证，支持、动态令牌、PKI等认证 带宽叠加 可支持多达3条线路的带宽叠加和备份，增加连接稳定性 SmartLink智能选路 自动选择最佳线路，解决不同运营商互连的延迟和速度问题 支持 高性能处理，支持堆叠 支持所有应用 实现所有基于TCP、UDP、ICMP协议的、C/S应用 支持包过滤、过滤、访问控制、用户认证、控制、DHCP服务等 加速算法 数据传输速度 技术 保障应用数据传输稳定可靠 技术 全网络即插即用，无须配置地址池和路由 技术 可灵活分配网络接口为外网口或内网口 管理 采用WEB管理界面，方便网管远程管理 备份 可进行系统备份与恢复 隧道自愈 一俟线路中断恢复，隧道自动连接 记录远程用户访问时间、访问地址、所访问的应用、会话持续时间等信息 3.3 布署与应用 1) 在中心机房DMZ区布署一台ES3000，采用单臂或跨接模式接入网络，将电信公网固定IP地址通过防火墙的443端口映射到ES3000(如果有空闲的公网固定IP，可将独立的公网IP指定到ES3000)。 2) 将校园网的B/S应用（例如图书馆电子资源、部门内部网站…）和C/S应用（例如视频点播、FTP、Telnet、OA…）分别发布到ES3000的对应平台。 3) 建立用户帐号(如果校方有Radius身份认证、SQL数据库、一卡通数据库，也可与之绑定，这样可以减轻手工管理帐号的工作量)。 4) 学校的老师和学生在IE中键入远程SSL VPN地址(https://xxx.xxx.xxx.xxx)，输入登录账号即进入SSL VPN页面(如采用身份认证还需进行身份匹配)，即可访问OA、图书馆电子资源、FTP下载、视频点播…..。 5) 管理人员可在任何地点通过SSL VPN管理员帐号远程连接到ES3000进行配置及维护。 四、方案优点 4.1 使用简便。无需象IPSec VPN那样安装客户端，通过浏览器建立VPN通道，使得计算机水平各异的老师都能顺利、便捷使用它。 4.2 安全性高。与IPSec VPN通过网络层传输不同，SSL VPN通过应用层传输，即使远程客户端有病毒和黑客攻击，也无法进入校园内网，只能到达VPN设备，内网相对远程连接的机器而言是黑盒子。正是基于它的高安全性，银行的网上电子交易全部采用这种SSL方式。 4.3 权限控制精细。可以设定不同级别、不同岗位的人能够看到的应用不同，对远程使用人员而言，内网不是透明的，他只能使用授权的应用，其他应用则不可见。 4.4 可与校园一卡通、Radius身份认证等结合。当使用人员较多时，可减少手工建立帐号的工作量。 4.5 所有只能在校园网内使用的系统，例如OA、部门网站、视频点播、远程调试交换机、Telnet…….，都可以在校外（家里、出差时）顺利实现访问。 4.6 数字图书馆所有电子资源如万方、超星、维普、知网….都能在校外顺利访问。 4.7 高度可扩展性。本方案选用ES3000千兆VPN设备，它的并发能力达700M，可同时支持5000个用户在线访问，完全满足XX大学未来用户扩展的需求。不需要更换设备，只需增加用户授权即可。 五、ENLINK SSL VPN的技术优势 5.1 ENLINK SSL VPN采用独创的TransFirm技术，保障C/S数据传输稳定可靠。几乎所有竞争对手的产品可能出现VPN通道能够建立，但数据无法传输的现象；对WINDOS XP系统，如果KB884020补丁未打，则VPN通道干脆无法建立。 5.2 ENLINK SSL VPN采用独创的FreeRoute技术，在全网连接时无须路由、无须地址池，无须更改现在网络结构。部分竞争对手的产品需要地址池、需要在交换机上设置路由。 5.3 ENLINK SSL VPN在处理B/S和C/S应用时，当远程访问的双方私有IP地址相同，不会产生地址冲突问题。几乎所有竞争对手的产品在VPN远程访问的两端地址相同时，将导致地址冲突。 5.4 ENLINK SSL VPN采用领先的e-Translating Engine技术，对各种复杂的B/S应用能够轻松转译。部分竞争对手的产品在针对复杂的B/S应用(例如有FLASH、JAVA、APPLETS等)可能无法完全转译。 5.5 ENLINK SSL VPN可配置客户端接入VPN后禁止/允许访问Internet其他资源。部分竞争对手的产品接入VPN后即无法访问其他Internet资源。 5.6 ENLINK SSL VPN可以设置同一帐号多次/单次登录，并可设置允许登录的次数。部分竞争对手的产品只能单次登录。 5.7 ENLINK SSL VPN可以配置超级用户(VIP用户)。所谓VIP用户指企业购买了一定数量的并发License，但需要使用VPN的人员较多，这时可以保证在使用人员已经达到License极限的情况下，超级用户仍然可以畅通无阻地使用VPN。它的优先级类似于QQ付费会员相对免费会员具备某些特权一样。 5.8 ENLINK SSL VPN在访问图书馆电子资源(包括需要阅读器的超星、APABI、书生之家…)时，无须安装插件，支持全部浏览器。几乎所有竞争对手的产品在访问需要阅读器的电子资源时，都需要安装插件并且只能采用C/S模式访问，同时只支持IE内核浏览器，不支持FireFOX等非IE内核浏览器。 5.9 ENLINK SSL VPN可以对访问的流量进行控制和统计，以防止电子资源过量下载。几乎所有竞争对手的产品都无法对访问的流量进行控制。 5.10 ENLINK SSL VPN可以针对每个用户所访问的每个资源进行访问统计。几乎所有竞争对手的产品仅对访问的用户名、登录时间、访问原始IP等信息进行简单记录，无统计功能。