內(nèi)網(wǎng)訪問安全解決方案
應(yīng)用背景
現(xiàn)在,隨著移動(dòng)存儲(chǔ)技術(shù)及商務(wù)模式的發(fā)展,選擇遠(yuǎn)程辦公的人越來越多。隨著中國(guó)經(jīng)濟(jì)的騰飛,企事業(yè)單位對(duì)員工移動(dòng)辦公、遠(yuǎn)程接入總部?jī)?nèi)網(wǎng)辦公的需求越來越強(qiáng),特別是WLAN技術(shù)、無線技術(shù)的發(fā)展更加劇了這種趨勢(shì)。如何實(shí)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)隔離、服務(wù)器隔離,構(gòu)建安全的業(yè)務(wù)子網(wǎng),供組織日常辦公,這已成為IT管理者面臨的重大挑戰(zhàn)。
問題分析
在移動(dòng)辦公、分支機(jī)構(gòu)、第三方機(jī)構(gòu)接入業(yè)務(wù)子網(wǎng),如何保障接入及接入后的訪問安全問題時(shí),IT管理者碰到以下問題:
使用無線通訊接入的員工,其WLAN賬號(hào)WPA和WEP容易被人破解,這可能會(huì)給內(nèi)部業(yè)務(wù)子網(wǎng)帶來非法訪問問題。而目前的業(yè)務(wù)局域網(wǎng)及子網(wǎng),其對(duì)非法接入的用戶無法做隔離,這樣會(huì)造成組織內(nèi)部資源信息的泄漏。
目前組織的局域網(wǎng)及子網(wǎng),無法對(duì)內(nèi)部眾多的訪問提供細(xì)致的身份認(rèn)證與權(quán)限訪問,這樣可能造成越權(quán)訪問,給組織信息資源訪問帶來混亂,F(xiàn)有的網(wǎng)絡(luò)也無法在訪問過程中對(duì)傳輸?shù)臄?shù)據(jù)加密,這無法保證數(shù)據(jù)的安全性。
隨著內(nèi)網(wǎng)服務(wù)器的安全等級(jí)的進(jìn)一步提升,傳統(tǒng)的服務(wù)器的認(rèn)證已經(jīng)不能滿足新的安全要求,這種認(rèn)證仍然存在著賬號(hào)被竊取的風(fēng)險(xiǎn)。我們對(duì)內(nèi)部的服務(wù)器需要做邏輯隔離,這樣就可以做到按權(quán)限訪問,保障業(yè)務(wù)系統(tǒng)運(yùn)用到合適的人手中。
深信服SSL VPN業(yè)務(wù)內(nèi)網(wǎng)及子網(wǎng)構(gòu)建方案
該方案在組織總部?jī)?nèi)網(wǎng),以單臂模式部署深信服SSL VPN設(shè)備。SSL VPN對(duì)接入總部用戶進(jìn)行精確的的身份認(rèn)證,然后對(duì)確定身份的用戶進(jìn)行權(quán)限劃分,通過邏輯隔離服務(wù)器,讓不同身份的用戶接入不同的應(yīng)用服務(wù)器,使用不同的業(yè)務(wù)系統(tǒng)及資源。
這樣可以有效保障無線接入客戶通過SSL VPN認(rèn)證,訪問總部關(guān)聯(lián)的資源;而分支的A、B、C部門的工作人員,通過SSL VPN接入到總部,不同部門的人員接入不同服務(wù)器,不同權(quán)限的人員只能訪問相應(yīng)授權(quán)的服務(wù)器,這樣可以防止越權(quán)訪問;而總部的A、B、C、D、E服務(wù)器,在深信服SSL VPN的保護(hù)下,分支機(jī)構(gòu)、移動(dòng)辦公用戶等通過公網(wǎng)接入時(shí),只有授權(quán)的客戶才能訪問服務(wù)器,這有效保證了服務(wù)器的安全訪問。
目前,無線接入組織業(yè)務(wù)內(nèi)網(wǎng)、子網(wǎng)的應(yīng)用逐漸增多,業(yè)務(wù)系統(tǒng)的應(yīng)用日趨豐富,相應(yīng)的服務(wù)器也不斷增多。通過深信服SSL VPN,企事業(yè)單位可以建立的安全可靠遠(yuǎn)程接入訪問機(jī)制,構(gòu)建專業(yè)的業(yè)務(wù)局域網(wǎng)及子網(wǎng),這樣駐外人員、移動(dòng)辦公人員、第三方合作伙伴及客戶,可以憑借合法精確的訪問權(quán)限,訪問自己能訪問的特定服務(wù)器與業(yè)務(wù)系統(tǒng),進(jìn)一步加快并優(yōu)化自己的業(yè)務(wù)流程。