1、 企业 SSL VPN 网络组网方案 2006 年 08 月 WatchGuard Technologies, Inc. I目 录 第一章 用户对 VPN 网络需求的分析 . 1 1.1 用户对VPN网络的需求 1 1.2 SSL技术在VPN网络中的应用. 1 第二章 VPN 网络设计方案 . 3 2.1 VPN网络拓扑结构 3 2.2 方案说明 4 2.3 设备清单及报价. 6 第三章 WatchGuard SSL VPN 产品 8 3.1 使用极其便利. 8 3.2 强大的安全性. 9 3.3 强大的管理控制系统 9 3.4 总体占有成本较低. 10 3.5 产品特性 10 3.6 产品规
2、格.11 WatchGuard Technologies, Inc. 1第一章 用户对 VPN 网络需求的分析 1.1 用户对VPN网络的需求 1、 构建覆盖全国的VPN网络,用于企业内部业务应用系统的运行; 2、 以北京Office为中心,接入上海、广州、北京库房这三地局域网用户及出差或居家的移动用户,通过VPN网络可以随时安全、快速地访问企业内部资源; 3、 对VPN客户端设置实现自动化,无需人工干预,以降低管理强度,提高VPN的可用性; 4、 以北京为管理中心,对部属在各地的服务器进行有效的、安全的远程管理,降低设备为维护成本; 5、 避免因南北电信分割问题导致的访问缓慢或VPN不畅通等
3、问题; 6、 第三方用户通过VPN进入北京服务器网络,要求进行访问权限控制; 7、 提供良好的技术服务、友好的产品界面,良好的投资保护; 1.2 SSL技术在VPN网络中的应用 1、 从安全、方便、实用的角度考虑,我们在设计VPN网络的时候推荐使用SSL协议构建VPN网络。 2、 SSL VPN则非常适合于成员分散于不同地点的组织使用。不管身处何地,只需要支持SSL并在Java或Windows环境下运行浏览器的联网设备,如笔记本电脑、PDA、智能电话等,都可以进行WatchGuard Technologies, Inc. 2安全的网络访问。 3、 将上海、广州、北京库房用户也可以看为是移动用户
4、,他们同样在局域网中可以使用SSL VPN连接北京Office的局域网。 4、 SSL协议构建的VPN网络使用通讯端口TCP 443,因此所有可以上网的环境均可以实现SSL通讯,这是与IPSec技术不同的。IPSec对运营商的要求比较高,必须允许IPSec协议通过网络,有些宽带运营商如无线移动服务商、小区宽带、公共场所无线上网等,可能对IPSec通讯不能提供很好地支持。由于中国南北电信的特点,导致南北方IP地址在构建IPSec VPN时也存在一些问题。这些因素是我们不推荐使用IPSec技术的原因。 5、 SSL VPN组网后,IT管理员无需维护客户端配置,这也是SSL技术的特色。而IPSec技
5、术要求IT管理员要维护IPSec客户端的配置,才可以使得远程用户与中心建立起VPN连接。这样做使得IT管理员的维护量增加,用户使用起来也不是很方便。这是我们不推荐使用IPSec技术的另一个原因。 WatchGuard Technologies, Inc. 3第二章 VPN 网络设计方案 2.1 VPN网络拓扑结构 WatchGuard Technologies, Inc. 42.2 方案说明 1、 在方案中我们推荐使用美国WatchGuard公司的SSL VPN Gateway。 2、 在Beijing LAN内部署WatchGuard SSL VPN Gateway 一台,连接在Router
6、的一个内部接口。若用户实际环境中Router无更多的可用接口,也可将SSL VPN Gateway连接在Switch上使用。 3、 在Internet出口处的Router上作地址映射,将Router外口的一个公网IP地址全部映射给SSL VPN Gateway的接口,或者仅映射一个公网IP地址的TCP 443端口给SSL VPN Gateway即可。目的是为了来自Internet的SSL访问可以到达SSL VPN Gateway设备。 4、 在SSL VPN Gateway上进行访问控制,包括设置用户名、用户组、设置认证系统、分配使用权限、分配可使用资源等。 5、 IT管理员访问SSL门户IP
7、:https:/ipAddress:9001,可以下载管理工具或启用管理工具。 在这里,WatchGuard提供了丰富的在线帮助模版,帮助管理员WatchGuard Technologies, Inc. 5使用SSL VPN。 6、 管理员需要登录到管理工具, 默认的登录用户及口令是:root,rootadmin 管理工具界面如下图: 7、 远程用户(包括所有分支机构PC及移动用户PC)访问分配给SSL VPN Gateway的公网IP地址(在此后称SSL门户IP),如在浏览器中输入:https:/ipaddress,即可出现SSL VPN Gateway登录画面。用户端自动下载并安装安全插件
8、即可使用SSL VPN功能。 WatchGuard Technologies, Inc. 68、 远程用户对SSL VPN网络的访问,如同访问一个局域网环境,所有的权限设定均在SSL VPN Gateway上设置,由IT管理员来维护。 9、 利用WatchGuard SSL VPN Gateway组建的VPN网络具有一次用户认证永久在线的功能,即远程用户即使因某些原因离开网络脱离VPN,那么其再次进入VPN网络时,无需再次认证。这样非常方便IT管理员对远程服务器进行远程管理。只要远程服务器加入到VPN网络中后不离线,IT管理员在Beijing的LAN中,或通过SSL Client进入到VPN网
9、络,均可以对远程服务器进行远程管理。这个功能是其它SSL VPN Gateway无法实现的,也是我们推荐是使用WatchGuard SSL VPN产品的原因。 10、 对远程服务器的管理可以使用SSL Client自带的共享桌面功能,无须在远程主机上安装其他的远程管理软件。 2.3 设备清单及报价 1、 设备清单及报价 WatchGuard Technologies, Inc. 7产品描述编号单价数量总价WatchGuardFireboxSSL CoreTMVPN GatewayWGSSL05¥158,161.00 1¥158,161.00FireboxSSL VPN Gateway 50Tu
10、nnel PackWG018013¥257,453.00 1¥257,453.00FireboxSSL CoreTM1-YearLiveSecurityWG018015¥25,927.00 1¥25,927.00FireboxSSL 55 Tunnel 1-YearLiveSecurityRenewalWG018034¥34,115.00 1¥34,115.00¥475,656.000.0%¥475,656.00合计:折扣:总计:在这里,我们设计了55个SSL VPN用户许可,即SSL Core VPN Gateway本身带5个Tunnel,另外再购买50个Tunnel(如果不满足用户数量的需
11、求,可随时更改)。 2、 本地提供免费安装、现场培训;第一年免费硬件维修; 3、 每年需要的固定费用为: SSL Core LiveSecurity的年费,包括软件升级、硬件保修、安全信息通告等; SSL Tunnel LiveSecurity的年费,包括技术支持费用(不含现场服务费用); 4、 预计的额外费用为: 增加SSL用户数量的费用,WatchGuard产品按照5、10、15、20、50个Tunnel软件包提供选择;例如:用户需要再增加20个用户,需要再购买Firebox SSL VPN Gateway 20 Tunnel Pack包; 在购买了Tunnel Pack包后,还必须为新购
12、置的Tunnel购买相应数量的SSL Tunnel LiveSecurity;例如:用户需要再增加20个用户,在购买了Firebox SSL VPN Gateway 20 Tunnel Pack包后,需要再购买20 Tunnel 1-Year LiveSecurity Renewal; WatchGuard Technologies, Inc. 8第三章 WatchGuard SSL VPN 产品 今天,中等规模企业正面临寻找安全的远程网络访问解决方案,以及IPSec难以运行和维护的难题。由于防火墙及客户端兼容性、用户电脑配置、各个运营商所提供的服务不同等方面的问题,引起IPSec VPN连接
13、不稳定及连接受阻,使得支持远程用户变得复杂起来,并且后期维护成本高昂。当前,许多SSL VPN解决方案在应用程序及协议访问方面的支持上存在局限性,且安全和管理都很复杂,作为IT管理员,需要一种可靠、便捷的解决VPN方案。 美国WatchGuard公司的SSL VPN产品FireboxSSL Core VPN网关,为每位IT管理员提供了这样的可靠、便捷、无阻碍的VPN解决方案。它提供对应用程序或网络资源的无阻碍通用访问,且无需连接器和模块,无需客户管理,无需购买任何附件。 3.1 使用极其便利 通过单盒式解决方案,企业将获得强劲、安全的访问体验,无需附加成本、无需重新设置与开发工作、且无管理难题
14、。一旦连接,便可保持飞快的访问速度。 无需附加组件、适配器、特殊应用程序连接器; 无论何时连网,客户软件均可自动升级,无需安装、维护与支持; 由于配备了直观界面,IT管理员花费在配置及管理访问策略上的时间极大的减少; 如同在办公室内的局域网工作,体验高效的工作效率; WatchGuard Technologies, Inc. 93.2 强大的安全性 FireboxSSL Core VPN网关为从端点到网络资源与从管理设备到未管理设备之间的信息传输提供了强大的安全防御: 通过对设备安全方面,包括对IP地址、防护墙设置、操作系统、嵌补等级和防病毒软件等的检查,确认其安全性; 加密:196位TLS支
15、持包括3-DES和RC4在内的所有OpenSSL加密程序; 隐藏远程网络的IP地址,以防止病毒入侵; 会话超时系统能防止公司的信息被未授权用户使用; 附加安全能力,包括支持双因素认证及PEM数字化认证,缓解网络访问扩展引发的安全问题; 可与Firebox X UTM设备连同运行,以增强安全并防止来自基于网络、应用程序和内容的攻击; 在采用Kiosk模式通话时,只传输远端主机的图像而非数据信息,因此无需清理缓存,也不会在使用的计算机上留下任何数据痕迹; 3.3 强大的管理控制系统 简单有效的访问控管使IT管理员能够通过一个集中的控制平台进行统一登记和报告,从而轻易地调配并管理用户和组织的访问。I
16、T管理员可以: 根据不同认证,包括LDAP、Radius、Windows Domain及RSA SecurID,给予用户和组织不同的网络和应用程序访问权限; 通过内置端点安全核查,控制设备的网络访问; 运用先进的网络功能,包括IP查询、可选分割连通、负载平衡支持、动态或静态路由选择,保障网络拓扑开发所需的灵活性; WatchGuard Technologies, Inc. 103.4 总体占有成本较低 通过单盒式解决方案,用户可以不受限制地同时获得最好的IPSec和SSL VPN访问效果。由于本系统的以下优点,用户对其的占有成本极大的降低了: 无需附加适配器、应用程序连接器,无需重新配置网络;
17、 无需安装及维护客户端软件; 由于配备了直观界面,IT管理员花费在配置及管理访问策略上的时间极大的减少; SSL加密远程帮助支持,提供内置桌面共享服务; 3.5 产品特性 完全的网络访问 支持所有的协议 支持所有的应用 获得在公司内部的体验 可穿透任何防火墙 可以从任何地方进行访问(Kiosk 模式) 预防蠕虫穿透 应用级的访问控制 自动升级, 基于Web配置的客户端(安全访问客户端) 永远在线的能力(持久稳固的连接) 不会在公用的Kiosk后面留下任何信息 内建的桌面共享 WatchGuard Technologies, Inc. 11 内建的端点安全 对UDP流量做优化包括VoIP 3.6 产品规格
