应用背景
现在,随着移动存储技术及商务模式的发展,选择远程办公的人越来越多。随着中国经济的腾飞,企事业单位对员工移动办公、远程接入总部内网办公的需求越来越强,特别是WLAN技术、无线技术的发展更加剧了这种趋势。如何实现网络中的数据隔离、服务器隔离,构建安全的业务子网,供组织日常办公,这已成为IT管理者面临的重大挑战。
问题分析
在移动办公、分支机构、第三方机构接入业务子网,如何保障接入及接入后的访问安全问题时,IT管理者碰到以下问题:
使用无线通讯接入的员工,其WLAN账号WPA和WEP容易被人破解,这可能会给内部业务子网带来非法访问问题。而目前的业务局域网及子网,其对非法接入的用户无法做隔离,这样会造成组织内部资源信息的泄漏。
目前组织的局域网及子网,无法对内部众多的访问提供细致的身份认证与权限访问,这样可能造成越权访问,给组织信息资源访问带来混乱。现有的网络也无法在访问过程中对传输的数据加密,这无法保证数据的安全性。
随着内网服务器的安全等级的进一步提升,传统的服务器的认证已经不能满足新的安全要求,这种认证仍然存在着账号被窃取的风险。我们对内部的服务器需要做逻辑隔离,这样就可以做到按权限访问,保障业务系统运用到合适的人手中。
深信服SSL VPN业务内网及子网构建方案
如上图所示,该方案在组织总部内网,以单臂模式部署深信服SSL VPN设备。SSL VPN对接入总部用户进行精确的的身份认证,然后对确定身份的用户进行权限划分,通过逻辑隔离服务器,让不同身份的用户接入不同的应用服务器,使用不同的业务系统及资源。
这样可以有效保障无线接入客户通过SSL VPN认证,访问总部关联的资源;而分支的A、B、C部门的工作人员,通过SSL VPN接入到总部,不同部门的人员接入不同服务器,不同权限的人员只能访问相应授权的服务器,这样可以防止越权访问;而总部的A、B、C、D、E服务器,在深信服SSL VPN的保护下,分支机构、移动办公用户等通过公网接入时,只有授权的客户才能访问服务器,这有效保证了服务器的安全访问。
目前,无线接入组织业务内网、子网的应用逐渐增多,业务系统的应用日趋丰富,相应的服务器也不断增多。通过深信服SSL VPN,企事业单位可以建立的安全可靠远程接入访问机制,构建专业的业务局域网及子网,这样驻外人员、移动办公人员、第三方合作伙伴及客户,可以凭借合法精确的访问权限,访问自己能访问的特定服务器与业务系统,进一步加快并优化自己的业务流程。