UUDynmics iSTAR VPN移动访问应用方案
需求分析
电力设计行业是移动访问性比较高的行业,设计人员经常在客户和其他地方进行设计,经常需要访问设计院的资源,同时这些电力设计的资料又是非常保密的,所以江苏省电力设计院需要一个非常适合远程访问而且有能保障其安全的解决方案。
如果通过IPSEC VPN实现整个方案,在日常的运行中,将存在着许多问题:
配置管理复杂,工作量大
由于远程用户通过宽带网络接入到设计院,需要设置设计院的防火墙开放IPSec的通讯端口,同时需要给访问的设计人员安装IPSec客户端软件,并需要培训相关人员如何使用客户端软件,网络管理员的配置和维护工作量很大。
为了一个应用程序,必须开放整个网络
为了让使用者使用内部的应用资源,必须从网络层进行连接,导致网络的安全性降低。如果访问用户的计算机感染蠕虫病毒,势必影响到设计院总部的网络和服务器。如果客户端被黑客安装了木马,黑客将利用IPSec通道入侵到整个设计院企业网络中。
不适合远程访问
设计人员在移动办公时需要远程访问设计院的应用资源,为此网管人员必须随时根据需要修改IPSec VPN设备上的使用者认证配置。 即便如此,由于某些上网的地方,设置了上网安全策略,经常发生在外的人员无法使用企业的网络资源。
安全性不高
设计人员在移动办公时需要远程访问设计院的应用资源,一般都是使用用户名密码的方式,但是由于使用者使用习惯方面的原因,密码都设置的非常简单,非常容易被盗取,严重影响远程访问的使用安全。
解决方案
如下图所示,在江苏省设计院的内部网络中部署一台iSTAR™ UU200。将设计院的内部的WEB OA系统,FTP系统以及WEB应用系统通过iSTAR™ SSL VPN提供给员工访问,同时分配给相关人员的相应权限。保证访问者依据自身的权限进行合适的访问.
方案特点
在iSTAR™ SSL VPN解决方案中,对每个访问者配发USB KEY,使用用户名密码加USB KEY的方式进行双因子的身份认证,实际保障整个远程访问的安全性。采用基于iSTAR™构建的SSL VPN为设计院带来了安全、便捷、可靠的服务:
1.基于使用者的资源共享,高安全性
iSTAR™ SSL VPN提供的只是应用层的互连,每个使用者只能访问授权给他的应用程序,除此之外的其它任何资源都无法访问,确保了系统资源的安全性。
2.使用方便,无需培训
通过浏览器即可执行访问企业内部资源,原应用系统的操作接口没有任何改变,无论是在什么地方,都和在设计院内部使用一样,使用者无需任何培训。
3.灵活、易于扩展
移动用户可以方便的访问企业内部网络资源,企业未来的扩展不会影响网络的整个体系结构,新增加的办事处或者分支机构随时都可以访问企业总部资源。
4.管理简单,最低的管理成本
配置和维护简单,工作量小,总体维护和管理成本低。
应用效果
该企业的相关业务人员和移动员工在使用iSTAR™ SSL VPN解决方案之后,认为不但降低了成本,与以前相比,处理业务的速度还更加快速、方便、安全及可靠。
