基于SSL VPN系統(tǒng)架構(gòu)網(wǎng)絡(luò)的應(yīng)用

2013-12-05 15:10:53 電力信息化　點(diǎn)擊量：評(píng)論 (0)

摘要：本文對(duì)實(shí)現(xiàn)VPN（Virtual Private Network）的幾種技術(shù)做了介紹，比較詳細(xì)地對(duì)IPSec VPN和SSL VPN進(jìn)行比較，從應(yīng)用、安全角度等考慮如何選擇合適的VPN技術(shù)，并且結(jié)合天津電力的應(yīng)用和安全需求，介紹了S

rnet防火墻的 DMZ區(qū)，遠(yuǎn)程和移動(dòng)用戶通過(guò)Internet訪問(wèn)發(fā)布在SSL VPN上的應(yīng)用。由SSL VPN安全接入系統(tǒng)作為用戶和內(nèi)網(wǎng)應(yīng)用之間的安全代理。

SSL VPN安全接入系統(tǒng)從以下方面加強(qiáng)性能：

l 安全性：采用專(zhuān)用的操作系統(tǒng)和硬件平臺(tái)；遠(yuǎn)程接入只是從應(yīng)用層面建立安全連接，同時(shí)對(duì)內(nèi)網(wǎng)資源提供非常細(xì)的訪問(wèn)控制粒度，提高了公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全；

l 系統(tǒng)性能和可靠性：代理功能和VPN遠(yuǎn)程接入功能在不同的平臺(tái)上實(shí)現(xiàn)，系統(tǒng)性能得到了提高。同時(shí)雙機(jī)或者集群方式可以進(jìn)一步提高系統(tǒng)的性能和可靠性；

l 穩(wěn)定性：采用專(zhuān)用硬件平臺(tái)，系統(tǒng)地穩(wěn)定性提高；

l 可管理性：SSL VPN安全接入系統(tǒng)具有非常方便的管理工具，可以對(duì)系統(tǒng)、用戶、訪問(wèn)控制和日志進(jìn)行直觀的管理。

l 對(duì)PKI系統(tǒng)的支持：遠(yuǎn)程接入和移動(dòng)用戶通過(guò)載有證書(shū)信息的USB Key進(jìn)行用戶身份認(rèn)證和授權(quán)，SSL VPN安全接入系統(tǒng)將用戶信息直接轉(zhuǎn)發(fā)給身份認(rèn)證服務(wù)器Active Directory Server，PKI系統(tǒng)不需要做任何改動(dòng)。

六、用戶認(rèn)證和授權(quán)介紹

在身份認(rèn)證機(jī)制上，以公司PKI系統(tǒng)為基礎(chǔ)，采用證書(shū)作為遠(yuǎn)程和移動(dòng)接入的身份認(rèn)證機(jī)制，提供用戶身份認(rèn)證的安全性。SSL VPN安全接入系統(tǒng)用戶身份認(rèn)證通過(guò)認(rèn)證服務(wù)器完成。

PKI系統(tǒng)以Active Directory作為用戶屬性和證書(shū)存儲(chǔ)服務(wù)器，并提供用戶認(rèn)證服務(wù)。以Active Directory作為用戶身份認(rèn)證服務(wù)器。在SSL VPN系統(tǒng)上并不存儲(chǔ)用戶身份信息。避免由于Active Directory服務(wù)器上用戶信息更新時(shí)，SSL VPN安全接入系統(tǒng)需要進(jìn)行用戶身份信息的同步和更新。在進(jìn)行用戶身份認(rèn)證時(shí)，SSL VPN安全接入系統(tǒng)會(huì)將用戶證書(shū)和認(rèn)證信息轉(zhuǎn)發(fā)到Active Directory，由Active Directory進(jìn)行身份認(rèn)證后將相關(guān)信息發(fā)送給SSL VPN安全接入系統(tǒng)，從而完成用戶身份認(rèn)證。為了提高用戶認(rèn)證、訪問(wèn)控制和數(shù)據(jù)傳輸?shù)陌踩?，引入了PKI系統(tǒng)，利用數(shù)字證書(shū)作為用戶身份的唯一識(shí)別標(biāo)志。數(shù)字證書(shū)包含了用戶基本信息、簽發(fā)者信息、用戶公鑰、用戶數(shù)字簽名信息。數(shù)字證書(shū)的存放可以是在IE等軟件中，也可以存放在智能卡等專(zhuān)用硬件設(shè)備中。為了保證數(shù)字證書(shū)的安全性，系統(tǒng)考慮采用專(zhuān)用硬件設(shè)備USBKey來(lái)存放數(shù)字證書(shū)，提高數(shù)字證書(shū)的安全。

如果員工遺失了智能卡，可以取消遺失智能卡的合法性，從而使遺失的智能卡無(wú)法用于遠(yuǎn)程訪問(wèn)。即時(shí)能夠訪問(wèn)合法的智能卡，入侵者也必須有 PIN 才能訪問(wèn)智能卡的登錄證書(shū)，這進(jìn)一步降低了無(wú)授權(quán)網(wǎng)絡(luò)訪問(wèn)的風(fēng)險(xiǎn)。

用戶認(rèn)證和授權(quán)流程示意圖

用戶的認(rèn)證和授權(quán)包

上一頁(yè) 1 2 3 4 5 6 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊