科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道细解挑战VPN的TAS远程接入技术

细解挑战VPN的TAS远程接入技术

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在远程接入行业,传统的解决方案一般是指DDN专线和IPsec VPN。

作者:Reader 来源:51CTO 2008年7月3日

关键字: TAS VPN 远程接入

  • 评论
  • 分享微博
  • 分享邮件

  随着电子商务、企业信息化、教育信息化等信息化进程的推进,整个社会的信息化程度不断提高,ERP、CRM、SCM、OA等等内部资源处理系统已经渗透到组织的各个业务层面,成为组织的重要财富。由于企业业务的扩展,分支机构不断增多,包括渠道、合作伙伴、远程或移动办公的需求在不断的增加。有调查显示,目前企业集团有50%-70%的人员不在总部办公,企业要打造实时协同的商务能力,就必须让不同的营运点及时准确地获得企业关键应用。因此,从企业探索信息化开始,就从来没有停止对远程接入能力的探索步伐。

  TAS与传统远程接入解决方案的对比

  在远程接入行业,传统的解决方案一般是指DDN专线和IPsec VPN。

  DDN专线网络(Digital Data Network)是利用数字信道提供永久或半永久电路,为用户提供专用的数据点对点传输通道,也可以为用户提供接入到互联网的服务。DDN的特点为质量稳定,故障率低,数字信道传输质量高,可提供高速带宽业务,数据传输速率高达2Mbps。由于DDN通道之间是完全隔离的,具有很好的安全性,所以受到大企业的青睐。但随着企业分布异地的机构越来越多,全部采用DDN接入方案的建设成本非常的高,这是DDN的一个主要的缺点。对于经费有限的中小型企业更是不适用。

  随着互联网的普及,需要一种廉价而安全的方式为更多的组织机构提供远程接入能力。于是VPN(Virtual Private Network)应运而生。 VPN是指在公共的互连网络中建立私有专用网络,也称为“虚拟专用网”,因为数据被加密后仍然在公共网络中传播,而不是真正在物理上隔离的专用网。所以与专线的费用相比,VPN的价格低廉,可有效的为企业节约成本。VPN具有安全、灵活、以及可扩展性强等特点,能充分满足企业分支机构、移动办公安全通信的需求。

  目前应用比较广泛的有IPSec VPN和SSL VPN两种。IPSec是IETF支持的标准之一,它在第三层即IP层对数据进行加密。可以对终端站点间所有的传输数据进行保护,而不管是哪类网络应用。它能够在不同局域网之间以及远程客户端与中心节点之间建立安全的传输通道,因此应用较广。IPSec VPN的主要缺点在于配置复杂,并且客户端需要安装复杂的软件,而且当用户数量增加时,VPN的管理难度将呈几何级数增长。

  SSL VPN是近年比较热门的应用之一。它的优势主要集中在VPN客户端的部署和管理上,无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;但对于非web页面的文件访问,往往要借助于应用转换。

  另外一种比较热门的技术就是以CITRIX和微软Terminal Service为代表的SBC(Server Based Computing)技术。以Terminal Service为例,它是基于RDP(远程桌面协议)的远程控制软件,速度快,操作方便,所需带宽小,比较适合用来进行常规操作。但是,Terminal Service使用的是虚拟桌面,再加上编程的问题,当使用Terminal Service进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现意想不到的结果,而且每个用户相对的成本是较高的,对于中小型企业是一个负担。不过,同样是源于SBC技术的沟通CTBS平台,则较好地解决了以上的问题,成为目前市场上比较受追捧的产品。

  经过几年的发展,目前远程接入行业已经形成了SSL VPN 和SBC两大阵营对垒的局面,总体而言,接入平台在速度方面优势明显,而SSL VPN在安全性方面更有保障。如何在两者之间做出抉择确实不是一件容易的事情。

  于是就有人提出,能不能将两种技术结合起来,发挥各自的优点又规避其缺点呢?国内最大的远程接入平台提供商深圳市沟通科技有限公司在这方面进行了积极的探索,经过一年多的技术研究,终于实现了SSL VPN与SBC技术的无缝结合,推出了远程接入整体解决方案TAS(Total Access Solution),为用户提供一站式的网络接入服务。从而被业界认定为“掀起了远程接入的一场新革命”。

  TAS解决方案是一个整体远程接入平台服务,从网络连接组建到远程访问部署,为客户提供按需接入的整体解决方案。让用户轻松享受接入新革命所带来的所有成果。

  整体解决方案TAS引发企业信息安全革命

  《IT经理世界》做的调查显示,2005年企业CIO最关注的问题是信息的安全性。随着信息化应用的深入,越来越多重要信息运行在各种应用系统上,特别是像ERP、CRM等应用系统,聚集了企业财务、库存、客户关系等核心的信息资源,一旦这些信息被攻击或窃取,后果将不堪设想。

  然而,一些传统的远程接入解决方案在安全性方面并不足以保证信息绝对安全。以IPSEC VPN为例,它是在公网上建立起一个虚拟隧道,将异地的两个局域网连接起来,远程的用户通过IPSEC VPN进入的是整个局域网,一旦局域网中的某台电脑感染病毒或木马,整体局域网内的机器都有感染的危险。用户需要一种更加安全的接入方案。

  作为引领远程接入第三次革命的产品,TAS整体解决方案在原有产品强大的安全性的基础上进行了结合与优化,确保用户的网络应用固若金汤。

  首先是防止外网攻击的安全性。TAS服务器安装在Internet接入的路由器后面或防火墙的DMZ里,对于外部网络是唯一可见的服务器。这种堡垒式的部署方式具备独特的安全优势:从Internet到企业数据中心没有直接的和物理上的路径,远程用户无法访问到企业内部资源,因此远程用户计算机上的病毒永远不会感染内部网计算机。另外,TAS还在客户机与所访问的资源之间建立SSL安全通道,通过代理和反代理,无论在内部网络还是在因特网上数据都不是透明的,所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。

  2

  其次,数据传输的安全性。TAS使用工业标准的128位高强度SSL安全协议传输数据,保证数据在Internet上的机密性和完整性,并在客户端与所访问的资源之间建立安全通道,无论在内部网络还是在Internet上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密,确保端到端的真正安全。对于分支机构、移动用户和家庭办公用户来说,其计算机的安全防护级别往往达不到总部的防护标准,例如:操作系统没有及时打上补丁,容易受到病毒、木马的袭击,甚至计算机可能整体失窃。如果此时计算机硬盘中存有业务数据,将是非常危险的。沟通TAS工作时,远程用户接收到的并不是真实的业务数据,而是经压缩和加密后的屏幕变化数据,远程用户计算机的内存和硬盘中从来没有驻留过任何业务数据,因此也就没有这方面的后顾之忧。

  第三,用户身份认证的安全性。TAS支持多种用户认证方式:它内嵌基于用户名/口令和基于闪存盘的认证方式(登录帐号),同时也支持WindowsNT/2000域认证、数字证书、动态口令、电子密匙等认证方式。用户可以根据安全级别需求、预期费用和方便程度自行选择或组合使用。同时,集成了硬件安全技术,在企业的防火墙后面放置一个SKYFIRE安全网关。当用户在浏览器上输入一个URL后,连接将被SKYFIRE取得,并验证该用户的身份,然后SKYFIRE将连接映射到不同的应用服务器上。因此黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是SKYFIRE,无法攻击到后台的应用服务器,攻击机会相对就减少。

  TAS引发企业IT基础架构革命

  由于企业部署的应用系统不断增多,需要维护的客户端也呈几何倍数上升,再加上公司业务发展所带来的公司规模的扩大,分支机构不断增加,使得企业的IT架构变得加倍复杂。如今,摆在企业CIO面前的似乎是一对矛盾体,一方面要保证公司及时应用上各自先进的应用系统,享受信息化革命的成果,另一方面又要保证公司的IT架构的易管理性,降低IT投资的总体拥有成本(TCO)。在这种双重压力下,企业的网管们需要一场IT架构的革命来从根本上为他们解决烦恼。TAS应运而生,在简化IT架构、集中管理、跨平台接入等方面掀起了一场IT架构的新革命。

  简化IT架构。TAS方案采用的是集中式的部署方式,分支机构、移动办公人员及合作伙伴的客户机上无需安装应用软件的客户端,只要可以上网,通过标准的Web浏览器连接因特网就可以远程访问总部应用。无须作任何网络部署,从而大大简化了企业的IT架构。

  集中部署和管理。采用TAS方案,所有的升级和维护工作全部在总部的服务器进行,无须对远程分支机构的网络架构作任何的维护,同时总部的网管人员可以随时对分支机构的使用权限进行授权和管理,真正实现了集中式部署和管理。

  跨平台。TAS方案集成了SSL VPN技术,通过标准的Web浏览器连接因特网访问企业内部的网络资源。可以直接利用浏览器中内嵌的SSL协议实现跨平台浏览,达致全面的兼容性,实现跨越任何操作系统平台(DOS、MAC、UNIX、JAVA、WIN、LINUX)的连接方式。

  速度升级——体贴中国国情

  接入速度一直是用户最关注的问题,也是衡量一种远程接入解决方案性能优劣的最重要指标。由于我国与发达国家在网络基础建设方面依然存在较大差距,再加上中国特有的“南电信北网通”问题,导致一些在国外接入速度较理想的方案在进入中国后无法满足用户在速度方面的需求,比如用IPSEC VPN部署ERP系统,用户普遍反映接入的速度太慢,甚至有用户为了错开高峰期上网,要在早上七点钟赶到公司做帐。对于中国的用户而言,他们更需要一种适合中国国情的接入方案。

  目前解决速度问题比较理想的解决方案是远程接入平台和SSL VPN。两者在访问速度方面都远远超越了IPSEC VPN和DDN专线等传统的解决方案。其中,远程接入平台采用的是SBC技术,SSL VPN采用的是隧道传输技术。从速度上来讲,接入平台采用三层架构的工作模式,将显示逻辑与事务逻辑分开,仅在网络间传输鼠标、键盘和屏幕更新等信息,传输量比较小,所以对接入带宽的要求要低于SSL VPN。

  TAS的在速度方面的革命性表现于,它将接入平台与SSL VPN的优点完美结合起来,通过SSL VPN在公网上虚拟出一条专用通道,用于传输鼠标、键盘和屏幕更新的信息,从而使接入的速度进一步提高,并很好地解决了南北通的问题。

  沟通科技CEO李继勇在接受赛迪网中国信息化主编程鸿采访时表示,“从产品的应用领域来讲,我们以前主推的CTBS平台只是整个应用的一小部分。至于其他的跨平台应用,整体部署应用和移动商务应用等,还没有很多地涉及到。我们推出TAS方案就是要去占领这些市场。我们下一步将不仅仅针对目前的C/S架构的产品,还将针对B/S架构的产品,解决其速度和安全性问题。另外,还将涉及到PDA、智能手机等终端的接入应用,所以它的使用空间将非常之大。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章