SSL VPN远程维护解决方案

SSL VPN远程维护解决方案

上海软盛信息技术有限公司

目录

一、背景介绍

二、远程维护解决方案

三、产品优势

一背景介绍

当今世界瞬息万变，全球化的商业环境使分布在全国甚至是世界各地的企业分支机构员工、

合作伙伴和客户之间的联系更加紧密。如何安全、快速、方便的VPN远程访问企业内部资源成为企业首先要解决的当务之急。

（图一 VPN技术应用的发展）

然而到目前为止，大多数的VPN远程安全访问解决方案仍然停留在97年的IPSec VPN技术。随着移动办公和远程用户的急速增加，源于10年前的IPSec 技术不再适合今天多变的网络环境。IPSec的易用性差，和防火墙兼容度低，维护成本高，更关键的是：在实际的网络环境中经常无法正常工作；2001年所面世的第一代SSL VPN技术（第一代VPN）又受限於架构上的缺失，因此企业莫不寻求更好的远程访问技术，亦或者根本放弃远程访问技术。

Juniper公司开发的SA系列，是针对解决现代网络安全问题所设计的新世代网络安全平台。我们强调「网络安全平台」这一观念，即无论是远程访问或是内网安全，也无分是WAN 还是LAN，都需要一个「安全平台」来保障其资源、主机与通讯的安全性，避免不速之客的威胁及蠕虫的传播。

SA集成了已知各种VPN的优点，架构出新世代的网络安全平台，能广泛的保障远程访问、Lan-to-Lan、内网保护、实体隔离、物理隔离以及远程维护等各种网络应用的安全。它能适应不同的网络环境，支持各种应用软件的运行，能最快速的架构出适合各行各业的网络安全平台。Juniper的两级式（2-level）管理概念，使得它不但符合企业的安全需求，更能够为服务商

（Service Provider）提供一个网络安全服务的营运平台。

二远程维护解决方案

在竞争日益激烈的资讯化社会里，许多IT软件公司为了给客户提供迅速、优质的服务，并且不断降低成本和扩大客户群，已经开始考虑通过互联网给用户提供远程维护服务。但是，为地区分散且数量庞大的客户群提供服务并不是一件容易的事，如何选用一套合适的远程维护系统成了这些企业的当务之急。

传统的远程维护软件，都需要将被控端计算机的 IP地址告诉主控端，然后开启控制程序，诸如 PC Anywhere或 Netmeeting远程桌面共享等程序，只能实现“点对点”控制，即一台电脑控制另一台电脑，并且只能控制拥有公网IP地址的那台计算机，无法做到整网控制、不能控制局域网内的其它电脑。而且需要在客户端的防火墙上开放向内的一系列的端口，安全性上也是个问题。

再者，目前国内的静态公网地址比较缺乏，许多企业使用的动态公网地址，虽然也可以使用PC Anywhere等软件进行连接。但是一旦客户端动态公网地址发生变化，又需要重新连接，无法保证持续维护的质量。

（一）某流通服务业信息系统服务商远程维护需求

该服务商为国内最专业流通服务业信息系统服务厂商，业务范围为POS软件开发、辅导客户上线，提供项目开发、依客户需求加工及软件包等不同等级的服务，服务对象包括流通业、饭店休旅业、餐饮业及烘焙业。产品涵盖ERP、SCM、CRM、BI等系统。然而据点的分散让该服务商的维护费用迟迟无法降低，因此该服务商希望透过SSL VPN结合远程维护的措施，能有效的降低维护费用，并且加强客户服务的力度。

（图五Juniper远程维护解决方案示意图）

方案说明：

1、基于企业的需求，Juniper在企业总部部署一个SA 6000，发布各项内部服务，并且可以把服务器放入防火墙的DMZ区域。

2、其余的客户端服务器或计算机上只需要安装pcanywhere或远程桌面软件即可

3、客再无需安装任何软件而可以通过网业方式直接建立到软件维护中心的连接，实时获得专业的服务。

获得效益：

●降低服务成本

维护技术人员集中在维护服务中心，可以节省出差的费用，大大降低服务成本，

●扩大客户群

以前企业需要大量的人员出差解决问题，使得技术支持的资源相当紧缺，抑制了企业进一步扩大客户群的动力。导入解决方案后更可技术支持人员放在公司维护中心即时解决问题。技术支持资源得到合理调度，企业可以进一步扩大自己的客户群，而不用再为缺乏技术支持人员而担心。

●提高服务效率

由于通过互联网就可以实时的为客户提供支持，客户一旦发现问题，维护服务中心

技术人员就可以在几分钟内进行远程维护，效率非常高，同时更可以提供24小时

的实时服务。

●客户端操作简单

所以对客户端的技术要求非常低，不需要专业技术人员就可以操作。而维护中心的

人员更可像是在局域网中，针对远程的服务器或软件系统进行维护。

●安全性高

客户端进行连接时，只需要开放防火墙向外的TCP 443端口，无需开放任何向内

端口，安全性高，同时整个连接过程使用SSL加密技术进行，可靠保证整个数据传

输的保密安全。

三产品优势

节点安全机制检查

随着远程用户的接入，对于网络管理员来说，相当于将企业的办公网络进行了延伸，如何将企业原有的安全保护措施和安全策略对于新接入的主机也同样有效，Juniper的IVE系统提供全面的解决方案，可以对接入节点的安全策略进行检查，并且根据检查的结果，实施相应的访问控制。并且允许管理员对以下的选项进行定制。

✓和第三方节点安全解决方案整合，如InfoExpress，McAfee，Sygate，Zone Labs等✓注册表参数检查

✓开放/不允许的 ports检查

✓允许/不允许的进程检查

✓允许/不允许的文件检查

✓检查定制的dlls

✓对第三方软件实施心跳检查

✓应用认证检查 (进程, 文件 MD5 Hash)

✓与赛们铁可的恶意软件防护功能相结合，提供了客户端对恶意软件访问的支持

访问缓存清除代理

如果远程用户使用了不可信任的远程主机，对企业的内部网络进行了访问，浏览器的缓存中将会保留一部分访问的数据，很容易造成敏感信息的意外泄漏，Juniper的IVE系统为此提