天融信VPN远程接入方案

　　随着信息技术的飞速发展，为了提高企业整体竞争力并在激烈的市场竞争中取得优势，各企业建立了内联网，使内部办公人员通过网络可以迅速地获取信息并交流信息。然而，随着个人电脑和互联网应用技术的普及，“移动办公” 、“在家办公”、“异地办公”等多种远程办公模式逐步普及，同时合作伙伴也希望能访问到相应的信息资源，企业的IT管理人员面临将远程办公模式作为内联网的延伸和对合作伙伴人员提供外联网接入的需求，为远程办公的员工提供访问内部信息和为合作伙伴人员提供访问与其身份相符的信息。然而，要享受通过互联网访问企业内部的信息资源的便利，就需要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，对合法的访问要提供方便，同时还需尽量降低信息安全策略的实施和维护成本。

　　当今企业通过因特网实现安全接入的方式主要有两种方式：一种是IPSec VPN方式，一种是SSL VPN方式。两种技术在不同领域各有其优势。在实施固定的网络到网络的VPN和复杂应用的移动用户接入时，采用IPSec VPN技术更合适；在实施普通应用的移动用户接入时，采用SSL VPN技术更合适，原因是SSL VPN无需在终端用户安装客户端软件、控制策略更加细化、实施和维护简单方便、不受网络地址转换(NAT)影响、总体拥有成本较低，而且SSL VPN可以只提供连接应用层请求的固化网络接口，所以提高了和SSL VPN相关的整个系统的安全性。

　　TopSEC SSL VPN的解决方案提供的功能更好的满足以上用户需求。并包括广泛的应用的支持：

　　* 基于Web的各种应用，包括浏览企业内网，访问基于Web的outlook2003和iNotes；

　　* 支持文件服务器的文件及目录共享控制，方便用户上传/下传/更名/移动文件；

　　* 支持Microsoft Exchange和Lotus Notes邮件系统、以及其他基于IMAP4、POP3和SMTP的标准的邮件应用；

　　* 支持商业管理软件，如客户关系管理软件(CRM)和企业资源计划系统(ERP)等；

　　* 支持FTP文件上传和下载；

　　* 支持安全终端设备维护：远程登录Telnet和SSH；

　　* 支持应用无关的网络层安全接入；

　　* 支持丰富的安全远程网络扩展访问，如VNC和Windows 终端服务(RDP)等；

　　* 支持大多数Cient/Server企业应用；

　　* 支持对在非安全网络或临时访问设备（如网吧）的访问时浏览痕迹的清除；

　　TopSEC SSL VPN提供3种不同的接入方式，允许管理员根据具体目的来设置接入权限。

　　1. 无客户端的Web接入

　　提供到所有基于Web的应用的接入，如Microsoft Outlook OWA 2003、公司内部Web及应用，以及文件共享等。

　　2. 安全Agent代理接入

　　提供对客户端/服务器应用的可控接入 ，对网络中特定应用能够进行可控接入，而不是IPSec VPN很难控制的完整的IP网络层接入，从而进一步提高了企业安全性。与无客户端Web接入一样，只需通过 Web 浏览器就可以接入客户端/服务器应用。

　　3. 安全的网络层接入

　　提供类似IPSec VPN的完整的网络层接入。此种接入使远程工作人员或漫游工作人员等远程客户端能够对企业网络进行类似IPSec VPN的IP层的接入。即保持了IPSec VPN网络层接入的广泛性，也解决了IPSec VPN的网络地址转换（NAT）的问题，主要优势包括：

　　* SSL无需预装在接入设备上。

　　* SSL允许通过防火墙连接，这些防火墙常配置用于阻止IPSec VPN。

　　* SSL提供最终用户熟悉的简单登录界面，而不是复杂的客户端软件。

　　TopSEC SSL VPN具有以下特点：

　　1． 无需安装客户端软件的访问能力

　　由于没有配置、管理和支持终端使用者复杂的IPSec VPN客户端的负担，TopSEC SSL VPN的支持相比IPSec VPN更容易部署。同时，不用安装客户端的访问能力意味着提供除了访问基于Web应用以外范围更广、使用更容易的访问接入的能力。

　　2． 任何地点访问

　　TopSEC SSL VPN能为使用者提供任意地点的接入访问。使用者可以在他们能得到因特网接入的地点访问所需的应用。这些地点可以是酒店商务中心，任何他人的电脑，甚至无线手持设备。此外，TopSEC SSL VPN没有网络地址转换（NAT）的问题，可以成功地穿越防火墙。

　　3． 增强的安全性

　　TopSEC SSL VPN 提供了安全的代理的SSL连接，用于访问使用者被授权访问的资源。因此，在使用者和他们要访问的资源之间没有直接建立的连接。同时，TopSEC SSL VPN还隐藏了内部域名解析系统（DNS）的命名空间以及所访问的URL，为资源的访问提供增强的额外保护。

　　为了提供SSL协议本身的安全性以外更多的安全保护，TopSEC SSL VPN使用了两种不同的代理技术。针对Web应用，TopSEC SSL VPN提供一个集成了HTTP反转代理的安全Web网关。针对非Web的应用，使用Agent对应用流打包保证安全。

　　同时，TopSEC SSL VPN提供数据加密、认证、细粒度的访问控制、日志和更灵活的报表统计。

　　4． 使用更方便和部署更便捷

　　采用TopSEC SSL VPN使用者可以从任何浏览器更安全地访问应用，因而减少管理、分发和维护客户端组件的麻烦。

　　TopSEC SSL VPN的解决方案无需改变使用者的配置，无需改变网络环境，也无需改变防火墙配置。从而比IPSec VPN更容易部署，相比IPSec VPN的解决方案有更低的总拥有成本。

　　对于商业伙伴和客户的接入访问，TopSEC SSL VPN的解决方案提供了基于角色的资源配置策略，给企业提供控制商业伙伴和客户更高层的安全。由于无需合作伙伴在其网络中添加任何设备，所以TopSEC SSL VPN更容易被合作伙伴接受，同时也因其在应用层的访问控制使之比传统的IPSec VPN更少受到来自合作伙伴网络环境的威胁。

　　典型应用

　　使用该部署方案，受保护的后方服务器前端放置TopSEC SSL VPN 安全接入网关实现身份认证和安全通讯。网关可以采用多种认证方式和基于URL的访问控制，帮助用户安全接入企业网络。TopSEC SSL VPN网关和用户端浏览器之间实现SSL安全通道，确保远程接入访问的安全。