远程移动办公安全解决方案

  文件类型：DOC/Microsoft Word  文件大小：1073664字节

内容摘要：

远程移动办公安全解决方案远程移动办公安全解决方案
该方案特点:
很多单位为解决远程移动用户(如:在外出差人员)的接入问题,在单位内部安装了"拨号服务器"(RAS).远程移动用户可以通过远程拨号,接入到单位内部的拨号服务器后,进入内部局域网.
本公司采用安全网关,通过VPN技术和internet技术相结合,提出了替代上述系统的最优解决方案.
特别适合企事业单位对"拨号服务器RAS"系统的改造.
方案概述:
目前网络的现状
XX公司总部设置了拨号服务器.集团在全国各地设立分公司和办事处,通过拨号接入公司总部内网.分公司及办事处与总部之间通过内部的拨号网络沟通和交换信息.网络示意图如下:
图1 目前的网络示意图
目前网络系统存在的安全隐患和问题
2.1安全问题
目前拨号服务器是通过口令和密 码识别拨入PC,其口令和密码很容易泄露,一旦泄露,黑客可以仿冒内部用户通过拨号server进入公司内网,偷盗公司内部机密.另外,拨号的PC与拨号server间传递的信息通过电话线明文传播,安全没有保障,能够从线路中窃取交流的信息.
2.2并发接入用户数限制问题
受到拨号server的拨入modem数量限制,同时连入拨号server的用户数量有限,所以如果分部一多,就会出现大量的占线,拨不上拨号服务器的现象.
2.3 带宽问题
受到拨号网络的限制,拨号带宽不会大于64K,所以只能满足一些小数据量的窄带业务需求.
2.4 拨号话费问题
接入总部的拨号server必须通过电话网络拨号,必须支付电话话费,尤其是外地的公司,将要支付高额的长途电话费用.
综上所述,如何很好地解决上述问题是本方案重点讨论要解决的问题.
3,解决方案
该方案对原有网络进行较大幅度改造,主要考虑采用宽带接入,全面解决2中提到的4个问题.
公司总部最好有固定真实IP地址(如考虑到费用问题,也可以选择便宜的ADSL接入),采用本公司硬件安全网关SGW25C-3.SGW25C-3为3端口100M接入的高性能企业级安全网关,处于总部网络边界.对总部LAN起到Firewall作用,对远程分支机构和移动用户可起到VPN接入作用.如下图.
分部可用ADSL接入Internet(解决拨号接入带宽问题),或使用拨号网络接入Internet,从而和集团总部相连.根据分部网络的大小,预算等具体情况可采取不同的建设方案.
具体来讲,分为两种情况:
1.对于一些较小的点往往只有几台机器上网或者只有一台机器需要和总部进行安全通信,可以采用安全客户端软件来实现.安全客户端是本公司配合安全网关开发的动态IP主机安全接入内部网络的软件,该软件支持Windows2000/XP/98三种操作系统,配合SureID使用,操作简单,使用灵活,对接入方式没有限制.
在下一节中将详细介绍该产品.
2.对于一些规模较大的分部网络,如采用ADSL接入,推荐使用支持PPPOE的SGW25B安全网关,该安全网关支持ADSL接入,加密吞吐率可达到6Mbps,完全可以满足ADSL接入的要求,另外有防火墙模块,可以做到基于状态检测的访问控制.
分部和总部整体网络结构示意图如下:
图2 全面改造后整体网络结构示意图
在上图中,在internet和intranet接口处使用的本公司研制的"安全网关"SGW25C就彻底地解决了上述问题.分支机构及其出差员工只要通过本地ISP(如:163)拨号接入internet ,然后利用安装在其他机器上的"安全网关客户端"软件,就可以安全透明地通过与安全网关构成的加密隧道从internet上安全接入企业的内网,如下图所示:
图3 "安全网关客户端"使用示意
基于上述原因,在该方案中建议可以省去中心机方中的"拨号服务器"(如图1所示).如果这些节点通过拨本地公用电话网,连入internet,再用"安全网关客户端"软件接入企业的专网,这样对于外地的机构就只需要交纳本地的电话费,不需要支付长途话费(解决话费问题);同时不用投资建"内部的拨号Server",而且由于通过安全网关的vpn隧道接入公司内网(解决数据传输安全问题),既安全,又不受拨号Server的并发接入限制(解决并发拨入限制问题),可以让各个分支机构与公司总部之间保持实时连通和长期在线.
INTERNET
在外地出差的员工
需要及时安全地与公司交流信息
本公司安全网关
拨号
当地ISP
安全网关客户端
公司总部
加密隧道
·上一篇：壹Java语言简介
·下一篇：客户解决方案