编号：时间：2021年x月x日书山有路勤为径学海无涯苦作舟页码：JuniperSSLVPN远程安全接入解决方案上海软盛信息技术有限公司目录一、企业网络远程访问面临挑战3二、安全接入技术的选择3三、方案建议43.1系统特性63.2IVE系统对安全的控制73.3员工和合作伙伴轻松访问相应的应用和资源83．3．1无需安装客户端的远程安全访问93．3．5提高网络传输性能103．3．6用户使用界面自定制103.4系统扩展性和高可用性113．5全面的远程接入安全保护113．5．4安全的数据传输123．5．5坚固安全的系统平台133．7部署和管理远程访问系统133．7．1部署过程133．7．2管理配置143．7．3系统日志和维护143．7．4管理员权限分配15四、总结15五、成功案例155．1东方航空SSLVPN应用案例155．2掌上灵通SSLVPN应用案例18一、企业网络远程访问面临挑战随着互联网的发展和电子商务的普及越来越多公司的员工已经不仅仅是坐在办公室里处理日常事务象出差员工、家庭办公等多种类型的远程访问公司内部资源和应用的需要变得十分的迫切。同时这种网络连接的发生也为企业网络引入了新的安全威胁但是目前的网络安全方案又是十分的昂贵和复杂。目前的企业极需要一种简单实用的解决方案可以安全的实现远程员工、合作伙伴乃至客户对企业内部网络资源的访问而又不会为企业网络带来新的安全风险。二、安全接入技术的选择随着信息技术的快速发展为了提高服务的质量和水平、在市场竞争中取得优势企业建立了内部局域网使内部办公人员通过网络可以迅速地获取信息。然而随着个人电脑和互联网应用技术的普及“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及同时合作伙伴的人员也希望能访问到相应的信息资源企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。然而要享受通过互联网访问企业内部的信息资源的便利就需要实施适当的信息安全策略在严格防止企业信息资源被非法窃取的同时对合法的访问要提供方便同时还需尽量降低信息安全策略的实施和维护成本。企业通过Internet数据传输平台实施加密的VPN实现安全接入的办法主要有两种：一种是IPsecVPN另一种是SSLVPN。两种技术在不同领域各有其优势我们建议：在实施固定的站点到站点的VPN和复杂应用的移动用户接入VPN时采用IPsec技术；在实施普通应用的移动用户接入VPN时采用SSL技术原因是SSL无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低而且由于SSLVPN不是打开一个网络层通道而只是提供了联系应用层请求的固化网络接口所以提高了与VPN相关的整个系统的安全性。SSL和IPsec技术的详细比较请参考《SSLvs.IPSec》一文。在本方案中我们建议根据具体的网络需求灵活结合两种流行VPN。当然因为目前的需求仅仅是总体建议还需要针对更具体的网络情况进行调整。三、方案建议安全协议安全套接层（SSL）技术是一项在互联网上广泛实施的标准安全协议全面支持认证和加密所有标准web浏览器都支持SSL。基于贵公司的安全接入模式以移动办公用户远程访问为主我们建议主要采用SSLVPN方案对于一些特殊的应用和特殊的用户环境辅助以IPSecVPN。JuniperSA系列的远程接入产品是广受好评的SSLVPN产品采用的是InstantVirtualExtranet(IVE)的系统平台客户只要有标准的web浏览器无需进行任何部署或安装硬件、软件客户端设备也无需对内部服务器进行任何修改没有地址翻译穿越的影响也不受私有地址冲突的影响而且几乎不需要任何后期维护所以可以方便地让用户安全地接入网络。建议在贵公司实施的SSLVPN安全接入的网络拓扑示范图如下：设备采用双层保护防火墙实现基本DoS保护、策略过滤以及IPSecVPN功能。SA设备则实现SSLVPN进行应用层保护过滤和接入。对于核心的基于WEB的应用如内部邮件、办公应用系统等JuniperSA产品提供全面的服务。包括ActiveX、Java、JavaScript、PHP等支持的全面性、灵活性远远超过我们的竞争对手。并且在安全策略上实施的是应用层面的安全策略可以比IPsec更加细化；由于JuniperSA系列的远程接入产品是坚固可靠的应用层网关采用应用层面的安全策略后内部的应用服务器可以得到有效保护而不必将服务器的第4层端口完全暴露给外部；前端的防火墙上只需配置打开tcpSSL端口的策略即可。除了对web和email等应用的支持外Ju