选取合适的接入网方式是接入网项目中非常重要的一环,于是我们拿一个实例来说明,在选取接入网方式时需要特别注意的地方,在这里拿出来和大家分享一下,希望对大家有用。高校图书馆应该选择何种VPN技术以解决目前校外用户合理访问图书馆各类资源的需求呢?从目前图书馆使用的情况来看,比较合理的应用方式应该是IPSEC和SSL共同使用。
正如我们前面所分析的,上游资源商对于资源的应用是有限制的,除了限制发起请求的IP地址外,还会限制单个IP地址所产生的流量,因此在图书馆大量的校外用户群中,我们将用户分为两个类型,一类是使用图书馆资源较为频繁、访问数据量较大的用户(以教师为主,数量较少),另一类则是使用次数较少、访问数据不多的用户(以学生为主,数量较多),通过用户划分,我们给访问量大但数量少的教师用户分配IPSEC接入网方式,这样就可以把大量的用户流量分配到不同的IP地址上,避免单个IP流量过大造成的问题,而那些数量众多但访问量小的学生用户分配SSL接入网方式,利用SSL VPN无需部署客户端的特性大大降低客户端的维护工作量,从而实现VPN在图书馆应用的快速部署。
经过长时间的测试,华师图书馆选择使用国内专业VPN厂商深信服科技推出了IPSEC/SSL 一体化VPN平台:Sinfor M5100-S。该产品在一台网关上同时集成了IPSEC和SSL VPN功能,利用两种技术的集成很好解决了图书馆应用的需求,同时一体化的设计能够大幅度的降低整个VPN产品的投入,满足教育行业低成本高效率IT建设的需求。
由于IPSEC客户端在部署过程中需要进行配置,这严重影响了整个VPN系统在图书馆应用中的使用,对于大量的校外用户来说,VPN仅仅是其实现访问校园网资源的一个途径,如果需要其掌握专业的技术才能应用,必将极大影响整个应用的部署。针对以上难题,深信服科技推出了基于USB KEY的客户端零配置功能,可以将远程用户的安全策略存储在类似U盘的USB Key(又名DKEY)中。这样远程用户随身携带标识自己身份和存储了对应安全策略配置信息的DKEY,可以在任何一台电脑安全的接入到图书馆。安装好IPSEC客户端软件后,用户无需进行任何配置,只需要插入DKEY,输入自己的密码就可以完成接入网方式的选择,做到了VPN客户端零配置,和使用银行取款机一样安全方便。
多线路智能选路,解决跨运营商网络互连问题
目前,大规模VPN网络往往都是跨运营商的。但是国内运营商间互联互通的带宽过低,导致不同运营商间的访问速度很低,严重影响了VPN的应用效果。作为国内领先的VPN和网络安全研发产商,深信服科技在IPSec VPN 中,创新性地采用了多线路智能选路功能,并成功应用到IPSec/SSL一体化网关-Sinfor M5100-S中。对于分布到不同运营商网络的远程接入用户,M5100-S会自动迁移到最快的线路上。只要在VPN总部端,申请多条运营商线路,便能最有效地解决跨运营商之间连接延迟大、带宽小的问题。
若要解决跨运营商网络互连出现的问题,通常其他方案则需要单独购买一个线路负载均衡器,才能实现多线路负载均衡的效果。而Sinfor M5100-S的多线路负载均衡,为高校图书馆节省了采购成本,并且降低了日后的维护量。对于高校图书馆来说,大量校外用户是采用电信提供的ADSL等上网线路,其直接访问教育网资源的速度并不理想,利用多线路智能选路这个功能,图书馆仅需向电信运营商申请一条普通线路(如ADSL),即可实现校外用户的高速访问。
多种认证方式,高安全性
SINFOR M5100-S中SSL VPN采用SSL协议加密建立安全的专用加密通道,除了使用1024位的非对称密钥加强安全性,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。这种USB DKEY可以支持两套VPN系统,安全方便。SINFOR M5100-S内置有LDAP/AD、Radius、SecurID、短信认证等多种安全认证方式,可以根据相应的安全级别,对客户端组合几种认证方式,最大限度地保证了接入用户的合法性。同时,由于在隧道连接过程中,SINFOR SSL VPN仅仅使用443端口传输数据,大大降低了病毒从远程客户端入侵VPN网络的可能。
更细致的访问控制功能、完善的用户和资源管理
SINFOR M5100-S 通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为网络提供了较强的安全性。通过合理的角色划分,管理员可以根据远程用户的身份和权限为其分配可供其访问的各种电子资源,如教师可以访问国外的各种资源,而学生用户则仅能访问国内教育网资源。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
SINFOR M5100-S内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入。 M5100-S支持LDAP/AD、RADIUS等第三方认证,可以根据组、公用帐号、私有帐号等多种方式对用户进行管理。同时,M5100-S集成了组用户并发限制、公用帐号并发限制和用户流量限制等多种方式,保证了用户合理地使用VPN资源。并且,在M5100-S直观式管理图形用户界面(GUI)的实时监控状态栏中,可以实时地监控用户的接入情况,观察整个VPN系统的运行状况。
支持动态ip、方便易用
由于宽带的普及以及ADSL资费的降低,国内中小型企业通常采用ADSL拨号等动态ip的接入网方式。Sinfor M5100-S集成了深信服科技的基于web的动态ip寻址技术,使的Sinfor M5100-S 在部署的时候无需固定ip,完全支持动态ip。并且,当企业在使用M5100-S的SSL VPN功能时,可以使用和IP Sec VPN 相同的webagent来解析网关的动态ip,减少了管理员的维护量。移动办公人员使用浏览器连接入公司内网时,也更加便捷。由于支持动态ip,M5100-S同样也适合中小型企业。
传统的IPSEC VPN在部署客户端的时候,往往需要复杂的安装和配置。借助于Sinfor M5100-S独创的基于web的IPSec客户端在线安装方式,用户可以很方便安装使用IPSec VPN 。可以结合自身的需求,按需部署IPSec /SSL VPN网络。
适应广泛
SINFOR M5100-S不仅提供对Web系统的安全访问,还能通过ssl proxy技术,实现对绝大多数C/S应用的访问。不管是Windows还是Linux客户端,甚至是手持设备,只要有SSL浏览器就可以方便的使用SSL VPN安全的接入网方式。
集成防火墙,有效保护内部服务
和多数SSL VPN不同,SINFOR M5100-S集成了高性能的企业级防火墙,对外只开放443端口,能有效保护内部服务器免受来自Internet的各种攻击,包括对开放端口的DOS攻击。采用IPSEC/SSL一体化的VPN安全网关,可以很好的解决数字图书馆的远程访问应用多方面的考虑,IPSEC/SSL VPN二合一的技术必将成为一种新的趋势,被广泛应用和推广。
……