SSL VPN远程维护解决方案上海软盛信息技术有限公司目录一、背景介绍二、远程维护解决方案三、产品优势一背景介绍当今世界瞬息万变，全球化的商业环境使分布在全国甚至是世界各地的企业分支机构员工、合作伙伴和客户之间的联系更加紧密。

如何安全、快速、方便的VPN远程访问企业内部资源成为企业首先要解决的当务之急。

（图一 VPN技术应用的发展）然而到目前为止，大多数的VPN远程安全访问解决方案仍然停留在97年的IPSec VPN技术。

随着移动办公和远程用户的急速增加，源于10年前的IPSec 技术不再适合今天多变的网络环境。

IPSec的易用性差，和防火墙兼容度低，维护成本高，更关键的是：在实际的网络环境中经常无法正常工作；2001年所面世的第一代SSL VPN技术（第一代VPN）又受限於架构上的缺失，因此企业莫不寻求更好的远程访问技术，亦或者根本放弃远程访问技术。

Juniper公司开发的SA系列，是针对解决现代网络安全问题所设计的新世代网络安全平台。

我们强调「网络安全平台」这一观念，即无论是远程访问或是内网安全，也无分是WAN 还是LAN，都需要一个「安全平台」来保障其资源、主机与通讯的安全性，避免不速之客的威胁及蠕虫的传播。

SA集成了已知各种VPN的优点，架构出新世代的网络安全平台，能广泛的保障远程访问、Lan-to-Lan、内网保护、实体隔离、物理隔离以及远程维护等各种网络应用的安全。

它能适应不同的网络环境，支持各种应用软件的运行，能最快速的架构出适合各行各业的网络安全平台。

Juniper的两级式（2-level）管理概念，使得它不但符合企业的安全需求，更能够为服务商（Service Provider）提供一个网络安全服务的营运平台。

二远程维护解决方案在竞争日益激烈的资讯化社会里，许多IT软件公司为了给客户提供迅速、优质的服务，并且不断降低成本和扩大客户群，已经开始考虑通过互联网给用户提供远程维护服务。

但是，为地区分散且数量庞大的客户群提供服务并不是一件容易的事，如何选用一套合适的远程维护系统成了这些企业的当务之急。

传统的远程维护软件，都需要将被控端计算机的 IP地址告诉主控端，然后开启控制程序，诸如 PC Anywhere或 Netmeeting远程桌面共享等程序，只能实现“点对点”控制，即一台电脑控制另一台电脑，并且只能控制拥有公网IP地址的那台计算机，无法做到整网控制、不能控制局域网内的其它电脑。

而且需要在客户端的防火墙上开放向内的一系列的端口，安全性上也是个问题。

再者，目前国内的静态公网地址比较缺乏，许多企业使用的动态公网地址，虽然也可以使用PC Anywhere等软件进行连接。

但是一旦客户端动态公网地址发生变化，又需要重新连接，无法保证持续维护的质量。

（一）某流通服务业信息系统服务商远程维护需求该服务商为国内最专业流通服务业信息系统服务厂商，业务范围为POS软件开发、辅导客户上线，提供项目开发、依客户需求加工及软件包等不同等级的服务，服务对象包括流通业、饭店休旅业、餐饮业及烘焙业。

产品涵盖ERP、SCM、CRM、BI等系统。

然而据点的分散让该服务商的维护费用迟迟无法降低，因此该服务商希望透过SSL VPN结合远程维护的措施，能有效的降低维护费用，并且加强客户服务的力度。

（图五Juniper远程维护解决方案示意图）方案说明：1、基于企业的需求，Juniper在企业总部部署一个SA 6000，发布各项内部服务，并且可以把服务器放入防火墙的DMZ区域。

2、其余的客户端服务器或计算机上只需要安装pcanywhere或远程桌面软件即可3、客再无需安装任何软件而可以通过网业方式直接建立到软件维护中心的连接，实时获得专业的服务。

获得效益：●降低服务成本维护技术人员集中在维护服务中心，可以节省出差的费用，大大降低服务成本，●扩大客户群以前企业需要大量的人员出差解决问题，使得技术支持的资源相当紧缺，抑制了企业进一步扩大客户群的动力。

导入解决方案后更可技术支持人员放在公司维护中心即时解决问题。

技术支持资源得到合理调度，企业可以进一步扩大自己的客户群，而不用再为缺乏技术支持人员而担心。

●提高服务效率由于通过互联网就可以实时的为客户提供支持，客户一旦发现问题，维护服务中心技术人员就可以在几分钟内进行远程维护，效率非常高，同时更可以提供24小时的实时服务。

●客户端操作简单所以对客户端的技术要求非常低，不需要专业技术人员就可以操作。

而维护中心的人员更可像是在局域网中，针对远程的服务器或软件系统进行维护。

●安全性高客户端进行连接时，只需要开放防火墙向外的TCP 443端口，无需开放任何向内端口，安全性高，同时整个连接过程使用SSL加密技术进行，可靠保证整个数据传输的保密安全。

三产品优势节点安全机制检查随着远程用户的接入，对于网络管理员来说，相当于将企业的办公网络进行了延伸，如何将企业原有的安全保护措施和安全策略对于新接入的主机也同样有效，Juniper的IVE系统提供全面的解决方案，可以对接入节点的安全策略进行检查，并且根据检查的结果，实施相应的访问控制。

并且允许管理员对以下的选项进行定制。

✓和第三方节点安全解决方案整合，如InfoExpress，McAfee，Sygate，Zone Labs等✓注册表参数检查✓开放/不允许的 ports检查✓允许/不允许的进程检查✓允许/不允许的文件检查✓检查定制的dlls✓对第三方软件实施心跳检查✓应用认证检查 (进程, 文件 MD5 Hash)✓与赛们铁可的恶意软件防护功能相结合，提供了客户端对恶意软件访问的支持访问缓存清除代理如果远程用户使用了不可信任的远程主机，对企业的内部网络进行了访问，浏览器的缓存中将会保留一部分访问的数据，很容易造成敏感信息的意外泄漏，Juniper的IVE系统为此提供了缓存清除的功能，用户在登陆内部网络的时候，自动在本地加载一个缓存清除代理，在用户正常注销或者非正常退出的情况下，清除系统的该次访问留下的会话数据和临时文件。

保证了敏感信息不会保留在客户端主机上。

对登陆用户的身份验证IVE系统支持数字证书的使用，可以单独的利用客户端的数字证书对用户身份进行验证，从而避免了输入用户名/密码的麻烦。

同时，IVE系统还支持多种认证服务器（包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor认证，包括ActivCard ActivPack™、RSA SecurID®和Secure Computing SafeWord™ PremierAccess™以及X.509客户端数字证书），也可在设备上建立本地用户数据库，更支持LDAP/Active Directory的用户组的特性，方便管理员定义策略。

对于XXX系统，由于已经存在了PKI系统，我们可以利用证书的方式对客户端进行认证，这样我们需要为IVE系统也申请一个数字证书(也可以将根CA证书导入到IVE系统当中)，这样的话，只有递交了正确的数字证书的用户，才能够通过IVE系统的认证，具有对后台服务器的访问权限。

同时，IVE系统还支持通过CRL下载或者OCSP协议等，对证书的状态进行查询，这样的话，失效的证书也无法登陆IVE平台。

同时我们也可以采用用户名、密码与数字证书相结合的方式，登陆的用户必须在递交合法的数字证书的同时，输入相应的用户名和密码，才能够登陆IVE平台。

IVE平台也提供了对用户端密码暴力破解的防护，为了防止字典探测攻击。

系统对多次登陆请求的频率进行了限制。

安全的数据传输远程访问的用户的数据在不可信任的互联网上传输的时候，采用了SSL加密的技术，保证了信息不会因为被侦听，窃取而造成重要信息的泄露。

SSL 传输可以设定相关的加密的强度，为了安全需要，可以采用高强度的加密传输，数据的加密采用对称密钥的方式，系统缺省2分钟协商一次密钥信息，保证了恶意的攻击者无法得到准确的密钥。

如果用户提交的认证信息正确，系统将会发放一个授权的标记（TOKEN），在WEB请求当中，这个标记保存在一个加密的回话COOKIE当中，这种做法保证了系统不会受到冒认者的攻击。

因为一个攻击者需要来伪造一个会话的标记（TOKEN）才能达到冒认的效果，而这又是很难实现的，同时在互联网上传输的数据包，其目的地址都是对于与IVE平台的公网地址，也不会泄露网络内部服务器的网络拓扑。

坚固安全的系统平台IVE系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统，该系统被设计成可以抵御针对系统的攻击和针对通过该系统数据的攻击。

系统可以通过只运行完成关键任务的服务来防止攻击，这些关键的服务在开发时就进行了安全加固，确保系统的安全性。

IVE系统不运行通常的用户和程序服务，因此不会导致针对这些服务的攻击。

IVE系统不允许管理员创建、维护系统级的用户帐号。

因为没有交互式的Shell和打开的系统帐号，潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。

IVE系统内部采用了内核级别的包过滤机制，利用预定义的一些规则，对进入系统的数据包进行判断和检查，保证了只有合法的数据包才可以进入或者通过IVE系统。

IVE系统上的所有信息都采用了AES的加密处理，保证了及时设备被进入或者被偷走，恶意的攻击者都无法看到系统中的相关信息。

Juniper IVE 平台的设计和开发过程通过多个安全专业保障公司和专家的审查和验证，TrueSecure，世界领先的针对互联网连接安全提供保证方案的组织，为Juniper IVE 平台进行了验证，并且提供了相关的报告，Juniper IVE也是SSL VPN同类产品中唯一通过TrueSecure验证的产品，另外，Dan Farmer（SATAN的作者，一位受人尊重的安全专家）和Cryptography Research（SSL 3.0的合作设计者）也对IVE系统进行了审计和验证。

动态全面的资源访问控制Juniper IVE系统支持全面的细粒度的访问控制机制，真正实现了对用户身份（Who）,访问的目的资源（What）,时间（When）,位置（Where）和方式（How）的动态控制。

✓动态认证策略：IVE平台可以通过多种要素对用户身份进行认证，包括提供身份前检查和提供身份后检查，其中提供身份前检查的内容可包括：源地址、网络接口（内/外）、证书、节点安全状况检查（包括主机检查和缓存清除）、浏览器、登录的URL、SSL版本和加密级别；提供身份后检查的内容可包括：身份确定、证书特性、密码长度、同时登录用户数、目录服务密码等等；IVE平台可以根据这些内容，将登陆的用户划分为相应的角色，并且基于角色实现授权。