基于SSL VPN系統(tǒng)架構(gòu)網(wǎng)絡(luò)的應(yīng)用

2013-12-05 15:10:53 電力信息化　點(diǎn)擊量：評論 (0)

摘要：本文對實(shí)現(xiàn)VPN（Virtual Private Network）的幾種技術(shù)做了介紹，比較詳細(xì)地對IPSec VPN和SSL VPN進(jìn)行比較，從應(yīng)用、安全角度等考慮如何選擇合適的VPN技術(shù)，并且結(jié)合天津電力的應(yīng)用和安全需求，介紹了S

rnet防火墻的 DMZ區(qū)，遠(yuǎn)程和移動用戶通過Internet訪問發(fā)布在SSL VPN上的應(yīng)用。由SSL VPN安全接入系統(tǒng)作為用戶和內(nèi)網(wǎng)應(yīng)用之間的安全代理。

SSL VPN安全接入系統(tǒng)從以下方面加強(qiáng)性能：

l 安全性：采用專用的操作系統(tǒng)和硬件平臺；遠(yuǎn)程接入只是從應(yīng)用層面建立安全連接，同時(shí)對內(nèi)網(wǎng)資源提供非常細(xì)的訪問控制粒度，提高了公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全；

l 系統(tǒng)性能和可靠性：代理功能和VPN遠(yuǎn)程接入功能在不同的平臺上實(shí)現(xiàn)，系統(tǒng)性能得到了提高。同時(shí)雙機(jī)或者集群方式可以進(jìn)一步提高系統(tǒng)的性能和可靠性；

l 穩(wěn)定性：采用專用硬件平臺，系統(tǒng)地穩(wěn)定性提高；

l 可管理性：SSL VPN安全接入系統(tǒng)具有非常方便的管理工具，可以對系統(tǒng)、用戶、訪問控制和日志進(jìn)行直觀的管理。

l 對PKI系統(tǒng)的支持：遠(yuǎn)程接入和移動用戶通過載有證書信息的USB Key進(jìn)行用戶身份認(rèn)證和授權(quán)，SSL VPN安全接入系統(tǒng)將用戶信息直接轉(zhuǎn)發(fā)給身份認(rèn)證服務(wù)器Active Directory Server，PKI系統(tǒng)不需要做任何改動。

六、用戶認(rèn)證和授權(quán)介紹

在身份認(rèn)證機(jī)制上，以公司PKI系統(tǒng)為基礎(chǔ)，采用證書作為遠(yuǎn)程和移動接入的身份認(rèn)證機(jī)制，提供用戶身份認(rèn)證的安全性。SSL VPN安全接入系統(tǒng)用戶身份認(rèn)證通過認(rèn)證服務(wù)器完成。

PKI系統(tǒng)以Active Directory作為用戶屬性和證書存儲服務(wù)器，并提供用戶認(rèn)證服務(wù)。以Active Directory作為用戶身份認(rèn)證服務(wù)器。在SSL VPN系統(tǒng)上并不存儲用戶身份信息。避免由于Active Directory服務(wù)器上用戶信息更新時(shí)，SSL VPN安全接入系統(tǒng)需要進(jìn)行用戶身份信息的同步和更新。在進(jìn)行用戶身份認(rèn)證時(shí)，SSL VPN安全接入系統(tǒng)會將用戶證書和認(rèn)證信息轉(zhuǎn)發(fā)到Active Directory，由Active Directory進(jìn)行身份認(rèn)證后將相關(guān)信息發(fā)送給SSL VPN安全接入系統(tǒng)，從而完成用戶身份認(rèn)證。為了提高用戶認(rèn)證、訪問控制和數(shù)據(jù)傳輸?shù)陌踩裕肓薖KI系統(tǒng)，利用數(shù)字證書作為用戶身份的唯一識別標(biāo)志。數(shù)字證書包含了用戶基本信息、簽發(fā)者信息、用戶公鑰、用戶數(shù)字簽名信息。數(shù)字證書的存放可以是在IE等軟件中，也可以存放在智能卡等專用硬件設(shè)備中。為了保證數(shù)字證書的安全性，系統(tǒng)考慮采用專用硬件設(shè)備USBKey來存放數(shù)字證書，提高數(shù)字證書的安全。

如果員工遺失了智能卡，可以取消遺失智能卡的合法性，從而使遺失的智能卡無法用于遠(yuǎn)程訪問。即時(shí)能夠訪問合法的智能卡，入侵者也必須有 PIN 才能訪問智能卡的登錄證書，這進(jìn)一步降低了無授權(quán)網(wǎng)絡(luò)訪問的風(fēng)險(xiǎn)。

用戶認(rèn)證和授權(quán)流程示意圖

用戶的認(rèn)證和授權(quán)包

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊