[互联网]中国石油SSL VPN技术交流

Security-Hardened Platform & OS
Directory Integration Adaptive Access Privilege Management
2019/1/29
21
系统兼容性
Devices Supported Windows:
98SE, 2000, ME, XP
最佳的性能价格比，最好的投资回报率
全球500强企业中的120个客户在使用Array SPX，共超过250,000个并发用户，平均每个 客户采购超过2,000个并发用户
2019/1/29
20
端到端的安全解决方案
双因素认证
动态令牌 客户端证书 • 3rd Party Software Compliance • Registry, processes, files, custom DLLs, ports, etc. • Application Authenticity Check • Recurring Host Check • Eliminate session data • Delete temp files
2019/1/29
19
解决之道－Array SSL VPN
Array SPX系列
SSL VPN 访问网关
领先竞争对手10倍的处理性能和可扩展 性，唯一的可以同时保障安全性和高性 能的SSL VPN产品 唯一的通过一个安全平台可以支持各种 终端进行安全访问的SSL VPN产品 提高端到端的安全策略管理和多层应用 安全保护
2019/1/29 17
方案的特点
全网统一的接入域名 用户自动就近接入 智能检测各个接入节点的状态 就近性算法
维护配置简单
2019/1/29
18
目录
Array Networks公司介绍 中国石油SSL VPN解决方案 Array SSL VPN技术特点 常见问题分析 SSL VPN案例分析
中国石油天然气股份有限公司 广域网改进项目VPN设备技术交流
苏剑虹 Array Networks
2019/1/29
目录
Array Networks公司介绍 中国石油SSL VPN解决方案 Array SSL VPN技术特点 常见问题分析 SSL VPN案例分析
2019/1/29
网通用户
网通的用户分配到洲际大厦、勘探院和兰州这三个中心。
铁通用户
全国的铁通用户相对较少，分配到洲际大厦、勘探院这两个中心。
移动或联通用户
洲际大厦和勘探院
2019/1/29
12
SSL VPN 设备部署
SPX3000
SPX3000是SSL VPN设备，实现远程用户的接入。
SPX3000 内部系统
2019/1/29
TMX2000
15
方案：业务实现
全国中心（北京） 大庆区域
GSLB 4 3
健康检查
健康检查
集团总部
Array SSL VPN
Internet
成都 LDNS 5 2 西南区域 6
健康检查
7
Array GSLB
1 用户输入 Https：//
Client/server Applications
Microsoft Outlook Lotus Notes SAP PeopleSoft Siebel Oracle FTP Telnet
Any other TCP-based applications including:
IBM 3270 VNC SSH SMTP
2019/1/29
有线方式 • LAN • 专线 • ADSL 智能终端 • Palm • Blackbarry • 多普达 •…
2019/1/29
22
通用安全访问的解决方案
浏览器 • IE • Netscape • Firefox • Mozilla •… 操作系统 • Windows • Linux • Unix • MacOS •…
AOA
无线方式 • WLAN • GPRS • CDMA Array SSL VPN 手机 • Nokia • Sony Ericsson • Moto •…
集团总部；大庆区域；辽河区域；新疆区域；兰州区域；西安区域；西南 区域。
2019/1/29
13
接入中心的部署架构-1互联网路由器源自Fortigate 防火墙
NE80
SPX3000 内部系统
NetCache
2019/1/29
14
接入中心的部署架构-2
互联网
路由器
Fortigate 防火墙
NE80 NetCache
2019/1/29
3
目录
Array Networks公司介绍 中国石油SSL VPN解决方案 Array SSL VPN技术特点 常见问题分析 SSL VPN案例分析
2019/1/29
4
中国石油需求概述
设立九大VPN接入点为中国石油系统内用户服务 大庆区域、辽河区域、新疆区域、西安区域、兰州区域、西南区域、 集团总部、洲际大厦和勘探院 每个区域中心都是250用户的并发 采用统一的VPN 接入域名，用户就近接入，各点之间互为备份
2019/1/29
7
集团公司的应用系统
财务信息传输 计划综合统计 科技项目管理 总部档案管理 股权管理信息 出国网上审批 职工工资查询系统 话单查询系统 内部门户链接
2019/1/29
8
认证、授权和审计
认证采用中国石油内部的AD服务器
股份公司目前配置了2个AD服务器
2019/1/29
9
方案：总体架构
洲际大厦 新疆区域 AD 勘探院
TMX
SPX
西安区域
SPX
TMX
SPX
集团总部
Array SSL VPN
Internet
SPX
兰州区域
Array GSLB
SPX
SPX
西南区域
大庆区域
SPX
辽河区域
SPX
SPX
2019/1/29
10
目前的各点部署情况
洲际大厦 集团总部 勘探院 辽河 新疆 兰州 西南 西安 大庆 100M网通出口链路 30M电信出口链路 20M铁通出口链路 100M电信出口链路 100M电信出口链路 100M网通出口链路 100M电信出口链路 100M电信出口链路 未部署
2
Array Networks公司介绍
市场领导者: 主要产品: SSL VPN & 应用加速 SSL VPN 通用安全访问网关 SSL+SLB 应用加速器 目标客户: 电信运营商，石油石化 能源电力，金融证券，大型企业 客户: F500中有超过200家采用Array的产品 公司业绩: 从2002年开始，每年保持100%+的增长 Array在中国：总部在北京，在广州、上海均设有分支机构 在北京设有全球第二个研发中心
灵活多样的 认证管理
Radius LDAP AD SecurID CA
接入节点安全检查
同步加密
DES 3DES RC4
数字签名
MD5 SHA-1
• 虚拟化技术和网络隔离
End-Point Security Cache 清除
Data Transit Security
Applications Supported Web Applications Thin Client Applications
Citrix Windows Terminal Services
AAA Infrastructure Supported RADIUS LDAP Active Directory LocalDB Win NT UNIX NIS Custom (through Array Open Architecture) 2-factor authentication devices:
SSL client certificates RSA SecurID USB security tokens Swivel Secure Vasco Safeword Cellphone SIM-ID
MAC Linux Mobile Devices:
Any devices with standard browser Any devices with standard SMTP(s)/IMAP(s) mail client
异步加密
RSA
集中管理的安全网关 特殊设计的安全操作系统 多层安全保护
• • • • DDOS Protection URL Attack Protection Network Firewall SSL Transport
精细化、灵活的权限管 理
• • • • Group Based URL, Host, Port Client/Destination End Point/Connection Check • Certificate • User Agent • Interface
目前股份和集团公司的VPN用户都分为领导、财务、IT管理人员、ERP人 员、东方物探和普通用户等组。 每个组的访问权限可按照中石油的具体要求设置。
2019/1/29
6
股份公司的应用系统
股份OA系统 网上报销系统 合同管理系统 科技管理系统 监察管理系统 审计管理系统 销售投资管理系统 法律管理系统 化工与销售领导办公系统 内部门户链接
中国石油专网
2019/1/29
16
SSL VPN用户访问流程
1. 用户在自己的浏览器中输入统一的接入域名，如： https:/// 2. 浏览器向成都本地DNS请求对该域名的解析 3. 本地DNS将请求发到全国中心的TMX 4. TMX根据欲设策略，选择最佳的接入中心，将成都接入中心的IP地址 返回本地DNS 5. 本地DNS将成都接入中心的IP地址发给用户 6. 用户向成都接入中心发出请求，这样用户就近接入到中石油的专网。 7. 成都接入中心通过专网快速访问大庆的内部资源，然后反馈给用户。 假如西南区域的SPX设备或互联网链路故障，北京的TMX在对西南 区域的SPX探测时就会发现，那么就不会再将新用户引导到西南接入中 心， TMX就会根据策略将西南地区的用户引导到就近的接入中心，如 西安。等待西南接入中心恢复后，当地用户将被重新接回到本地接入中 心。
TMX2000
TMX2000主要用于全国范围内用户接入的负载均衡。 TMX2000对各接入中心的SPX3000设备和互联网出口链路进行检查，实现 SSL VPN接入的冗余功能，提高服务的可用性。 两台TMX2000部署在不同的地方，实现自身的冗余备份。
在洲际大厦和勘探院分别部署一台TMX2000和SPX3000设备 在其余的7个接入中心各部署一台SPX3000设备。
股份公司： 集团公司：
使用统一的用户身份验证策略和加密策略 现在：Microsoft域用户管理 未来：LDAP 产品成熟、应用广泛、技术领先
2019/1/29 5
中国石油应用分析
股份公司和集团公司各有独立的应用系统，认证系统也是独立的。 分别定制各自的登录界面和应用界面。 用户根据在AD上的分组进行相应的授权管理。
2019/1/29
11
用户接入的方案
按照用户的地理位置和所使用的ISP分配到最近的接入中心。 电信用户
北方电信的用户比较少，可以分配到集团总部和辽河这两个中心。 新疆、西藏、青海，甘肃等地属于电信，可分配到新疆接入中心。 陕西、宁夏的用户分配到西安接入中心。 四川、重庆的用户分配到西南接入中心。 其余的南方电信用户分配到西安、西南节点。
•
10.3.52.32; 10.3.52.11（北京）
10.3.52.212;10.3.52.211（北京）
集团公司目前配置了2个AD服务器
•
授权采用AD与SPX上的组影射功能实现
AD上的组与SPX上的组一一对应，在SPX上设置访问权限
审计采用Array提供的日志分析软件
配置两个日志服务器，安装Array的软件 各个区域中心的log都上传到这两台日志服务器 日志服务器实时进行分析，产生各类报表