需要的提出
为了实现企业管理信息化,很多制造业实施了ERP管理系统,但是对制造业,一般工厂在郊区,而公司的销售在市中心,销售部门需要及时访问公司的ERP服务器来,同时公司也有分公司或者办事处,也需要实时访问公司的系统。但是在以前,采用IPSEC的VPN,ERP需要频繁的调用数据库,在总部和分支机构之前频繁进行数据交换,由于目前网络环境带宽低,而且存在电信联通跨网互联,传统的IPSEC VPN在ERP的互联中显得力不从心,造成访问数据慢,ERP系统远程访问根本无法实现。而且由于传统的IPSEC VPN需要安装客户端,造成系统投资大,维护复杂,成本高,特别在IPSEC在NAT的穿越的局限性,给ERP的远程访问带来无法跨越的障碍。因此需要一种技术可以把C/S结构的ERP转换成B/C结构,远程用户通过IE,实现零客户端的安全接入,同时又可以解决ERP的访问的速度。
SSL VPN技术介绍
SSL协议是网景公司设计的基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证, SSL协议栈由握手协议、密钥更改协议和告警协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(MessageAuthenticationCode)算法,用于生成在SSL记录中发送的加密密钥。SSL记录协议是为各种高层协议提供基本的安全服务,其工作机制如下:应用程序消息被分割成可管理的数据块(可以选择压缩数据),并产生一个MAC信息,加密,插入新的文件头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证、解压缩、重组数据报然后交给高层应用进行处理。SSL密钥更改协议是由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组。SSL警告协议主要是用于为对等实体传递与SSL相关的告警信息,包括警告、严重和重大等三类不同级别的告警信息。
基于安全的考虑,目前由于SSL的零客户端,适合B/S架构的应用系统的安全接入,广泛应用在移动办公和ERP互联。
SSL VPN的突出优势在于Web安全和移动接入。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。
但SSL VPN并不能取代IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个局域网之间通过Internet建立的安全连接,保护的是点对点之间的通信,并且,它不局限于Web应用,而是构建了局域网之间的虚拟专用网络,功能和应用的扩展性更强。
BILLION创新性的推出了S系列IPSEC+SSL 一体化VPN网关:首先S系列一体化网关具备完整的VPN功能,内置企业级防火墙。同时,S系列一体化网关将SSL加密隧道与基于动态令牌的双因素身份认证相结合,通过任何标准 Web浏览器为用户提供到公司内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员,可以在任何场所、通过任何终端,无需在客户终端安装任何软件(如果需要使用动态令牌做双因素认证,则需要在线安装动态口令系统驱动),就可以安全的访问公司内部资源。这样就省去的管理员大量的客户维护。
方案结合说明
1、方案介绍
说明:
总部(ERP数据库放置地)放置SSL VPN总部端,采用BILLION S系列IPSEC+SSL一体化网关;可以根据企业实际情况接一条或多条ADSL线路,分支机构无需采用任何硬件,另外,移动用户无需安装IPSEC VPN移动客户端软件,这样远程的客户端采用IE浏览器经过身份认证之后就可以实现安全的接入,由于软件统一部署,维护非常方便。如果还有其他基于IP层的应用,可以在总部的配置一台IPSEC+SSL VPN一体化网关,并在每个分支配置一台IPSECVPN的网关,这样达成的效果就是各分支节点、移动人员与总部联为一体,组成了一个大型的企业内部局域网,不但可以让ERP的访问无限扩展,还可以实现内部所有服务的无限扩展,如网络邻居,视频和VOIP语音通信。
另外,为了提高数据传输的速度,BILLION推出了SSL VPN与虚拟终端技术相结合的技术,并可将虚拟终端服务器与ERP服务器安装在同一台服务器上,通过SSL VPN实现应用程序发布和访问控制,通过IE就可以实现安全接入,同时通过远程终端服务器,对ERP软件访问进行加速,解决了ERP访问速度慢的问题,这样可以大大节省项目投入和开支,同时,各分支机构局域网内的PC和移动办公PC均可通过SSL VPN内置的远程终端代理来访问总部ERP服务器,实现随时随地的安全快速接入。
2、方案效果
(1) C/S架构转换程B/S架构
通过在总部部署SSL VPN,只需要在总部部署一台SSL VPN,分支机构和远程的PC需要部署任何硬件网关和客户端程序,利用IE浏览器就可以实现安零客户端的安全访问,大大降低投资成本和日后的维护难度。
(2) 加速ERP的远程应用
通过SSL VPN和远程终端服务,由于BILLION的SSL VPN内置了远程终端代理,通过远程终端对ERP应用进行加速,实现财务、ERP系统的全公司互联:各分支机构与总部象在同一间办公室里一样共享并同步应用ERP管理系统,让公司管理更加统一规范,保证数据实时更新。
(3) 局域网内所有应用的扩展
除ERP外,所有局域网内的应用系统、打印机等都可以得到无限扩展,如果不作权限设置,远程分支、移动用户将与总部内网用户没有任何区别。
(4) 直观“网上邻居”,文件资源共享
使得企业所有不同办公地点的机构形成了内部完整的企业局域网,实现公司网络资源共享,包括文件资源安全规范共享的文档管理。
(5) 访问控制
可以非常细致地设定SSL VPN内网访问权限,能够限制用户对特定资源的访问,可实现用户分组和独立的权限设定,特别的是,BILLION的SSL VPN支持EPS(远程客户安全检查),可以对接入的远程客户的安全性进行检查,如PC有没有安装杀毒软件,或者有没安装补丁程序,只有接入的PC符合制定的条件,才能访问公司的内网的应用程序,保证访问的安全性。
(6) 真正意义上移动办公
使用VPN技术使得出差人员、各级领导无论身在何处,都可以实时连入公司内部,查看数据报表,或直接通过网上邻居拷贝所需文件。
(7) QOS应用
基于防火墙和VPN不同层次的智能QOS可以确保用户重要数据的优先传送,防火墙的QOS分流上网与VPN数据,而VPN内的智能QOS可动态为各优先级别的VPN应用合理分配带宽,在网络繁忙时优先传送更重要的数据(如ERP系统数据等)。
3、SSL VPN与其他远程接入软件的方案比较
远程接入软件是一项终端接入技术,它与SSL VPN的原理存在本质上的区别,二者都能同效果实现ERP远程互联,但是SSL VPN的功能更强大,目前技术上已经可以实现SSL 和IPSEC一体化,充分发挥IPSECVPN和SSL VPN各自的优点,同时还通过远程终端服务,实现以前IPSEC VPN需要安装客户端,分散部署,无法对应用程序发布,速度慢的不足,同时也能发挥IPSEC VPN对其他IP层的业务的支持,如网络邻居,VOIP,视频通信等服务。除此之外,多WAN口的设置,可以接入运营商跨网的带宽瓶颈,实现ERP系统统一部署,维护方便简单。另外,SSL +IPSEC 一体化网关集成了路由,防火墙和SSL VPN,客户无需另外购买其他网络安全设备,降低了系统投资。除ERP互联外,它还可以实现本地局域网内所有应用的扩展,如网上邻居等。客户需根据自己的需要选择实现方式,比较如下:
BILLION SSL VPN+远程终端接入VS其它远程接入方案比较
|
项目 |
SSL VPN+远程终端接入 |
远程接入软件 |
|
接入方式 |
ADSL或光纤 |
ADSL或光纤 |
|
安装环境 |
WINDOWS2003,1G内存 |
WINDOWS2003,2G内存 |
|
实现方式 |
SSL VPN,加远程终端,WINDOWS自带,兼容性好 |
远程终端,无法得到微软开放资源,兼容性一般 |
|
带宽要求 |
低.28.8k |
低 |
|
速度 |
快 |
快 |
|
架构 |
C/S,B/S |
B/S |
|
客户端 |
远程PC无需安装客户端,IE浏览器 |
远程PC无需安装软件客户端 |
|
实现原理 |
传输屏幕和键盘鼠标信息 |
传输屏幕和键盘鼠标信息 |
|
安全性 |
可以用户认证,数据经过加密 |
没有用户认证,数据不加密 |
|
远程登录方式 |
自带或第三方DDNS,无需开放内网端口,安全性高 |
第三方DDNS,需开放内网端口,容易受攻击,安全性低 |
|
其它外加设备 |
VPN,防火墙,路由功能,具有带宽流量管理,防BT下载,防止蠕虫病毒 |
需要另外配置路由器或防火墙,增加投资 |
|
跨运行商接入 |
可以,具有双WAN口,可以同时接入电信和网通双线路,满足全国性公司的接入需要,或者做到上网和VPN应用专线专用 |
必须购买其它第三方的硬件设备来实现,购买成本高 |
|
造价成本 |
低 |
高 |
|
日后维护成本 |
标准技术,维护成本低,无系统冲突 |
高,容易由于新装系统造成冲突 |
|
增值功能 |
可以实现网络邻居,VOIP,视频等其它增值功能 |
无 |
|
获利能力 |
利润高,可为大中型企业接受,也可以针对中小企业 |
安全性无法满足大中型企业的需求,价格无法被中小企业接受 |
|
扩容能力 |
简单,增加服务器内存,远程终端无需购买 |
购买授权,增加服务器内存 |
|
服务可延续性 |
标准的技术,可得到永久的服务 |
受制于原远程接入软件公司,如果该公司发展有问题,客户无法得到服务 |
本方案中提及的SSL VPN产品集成了 SSL VPN和虚拟终端代理两种技术,其中,SSL VPN部分包含了WEB VPN的各项主要技术特性;实现零客户端的安全接入,虚拟终端部分,采用windows操作系统自带的虚拟终端功能。由于BILLION 的SSL VPN内置了远程虚拟终端代理,非常方便的实现安全接入,无论客户身在何处,只要能上网并且有IE,就可以实现安全接入,无需调用远程终端程序,就可以实现安全接入。而且BILLION 的SSL VPN集成了路由,防火墙,SSL VPN,是性价比极高的SSL VPN产品,并在中国建立自己的动态域名服务器。,保证了系统的稳定因此,本产品是一款非常适合企业实现系统互联的性价比极高的一体化解决方案,既可以通过VPN技术解决网络连接和安全的问题,又可以通过虚拟终端来保证数据传输的速度。 |
