|
 |
|
 |
 首页 >> 解决方案 >> 技术解决方案 |
|
|
| SafeEnterprise SSL iGate解决方案 [技术解决方案] |
| ccw.com.cn |
| 2005-10-24 9:41:00 文/ |
|
将SSL加密隧道与双因素身份认证相结合,通过标准Web浏览器为用户提供连接到公司内部网络或应用程序的安全远程接入服务。
由于传统的 IPSec VPN 必须在客户端安装相应的 VPN 程序,下载、设置和维护软件时会花费 IT 部门大量时间,所以企业始终希望能有一种新的技术可以克服这个问题。而SafeEnterprise SSL iGate 将SSL加密隧道与双因素身份认证相结合,通过标准 Web浏览器为用户提供连接到公司内部网络或应用程序的安全远程接入服务。它不需要安装专门的客户端软件,也无须进行特别的配置,所有的网络和客户端/服务器应用程序都可以通过互联网访问,一切IPSec VPN安装和管理问题都随之迎刃而解。
方案实现
iGate的工作位置可以放在DMZ(推荐)区或者防火墙与后端服务器之间,从客户端到SafeEnterprise SSL iGate之间的通信都采用SSL协议加密,而iGate与服务器之间的通信则使用标准的http协议(对于Web应用)或相应的TCP端口(对于C/S结构应用程序),不会因为SSL加解密工作给服务器带来任何负担。
客户登录时使用iKey+PIN码的双因素认证方式,其中对服务器身份使用标准SSL验证,对客户端身份使用MD5哈希算法的挑战响应进行验证。双方验证结束后,所有通信均使用http协议,保证了从客户端到iGate之间的通信安全。信息传递到iGate,由iGate将其解密后以标准http协议或通过相应TCP端口传递到后端的服务器,从服务器返回的信息,再由iGate加密后传递到客户端。
iGate使用单臂模式接入,无需改变任何网络设置,只用一根直联线将iGate与内部网络中的交换机相连,并进行简单的设置,就可以完成对后端服务器的完全保护以及用户的验证工作。
方案特点
较强的安全可靠性
SafeEnterprise SSL iGate采用对称和非对称两种方式执行加密操作。 作为出入企业内部系统的惟一关口, iGate代理服务器通常被放置在防火墙和后端服务器之间,且只开放443端口(或80端口)。客户端到SafeEnterprise SSL iGate之间通过采用SSL协议加密建立安全的专用加密通道,而iGate与后端服务器之间则使用标准的http通信协议或相应的TCP端口,不会因为SSL加解密工作给服务器带来任何负担。对于应用系统的攻击,因为只针对相应开启的应用程序,所以黑客不易侦测出系统内部的网络结构,所受到的威胁仅限于程序本身,因此攻击的机会将大大减少。同样,使用SafeEnterprise SSL iGate,病毒从远程客户端入侵的可能性也会大大降低。因为感染病毒的机器只会局限在某一台进行远程接入的主机,不会蔓延到整个网络,而且这个病毒必须针对远程接入应用程序,不同类型的病毒也不会感染主机。
● 快速部署,易于使用,无需安装客户端程序
SafeEnterprise SSL iGate最大的好处就是不需要安装客户端程序,远程用户基本上不需要IT部门的支持就可以随时随地从任何支持SSL协议的浏览器安全地访问应用程序。由于只通过443端口作为惟一的传输通道,因此管理员不需要在防火墙上作任何修改,也不会因为不同系统的需求修改防火墙上的设定,可以在几个小时内轻松完成安装,所有安装界面都是通过浏览器界面实现。另外,由于采用了SafeNet公司的SSL硬件加速装置承担并加快安全功能的处理工作,因而,可将对应用程序速度的影响降至最低。
图 SafeEnterprise SSL iGate
适用广泛,支持 B/S和C/S应用以及手持设备等
SafeEnterprise SSL iGate能保证在任何地方访问基于TCP应用程序的安全,对于大多数操作系统,只要是支持SSL协议的浏览器都可以通过SafeEnterprise SSL iGate进行远程安全接入。
很强的访问控制管理和认证能力
所有内外部访问都经过惟一的iGate ACL权限控制软件进行管理,为IT人员提供了更加集中且容易控制访问权限管理工具。对于客户身份的认证,由于使用SafeNet独有的iKey身份认证令牌代替了传统的口令密码认证方式,使iGate具备了很强的身份认证机制,通过挑战响应原理和内置有算法的芯片,确保整个验证实现惟一性。
优点 SafeNet的方案在此次参评的VPN专项解决方案中是比较全面的一例,方案针对“如何才能保证在公司以外远程访问公司内部网络系统的安全性?”,以及“如何才能让这些安全措施不对用户产生妨碍?”这两个问题,对SSL VPN的应用需求作了较详细的分析。对业务特点以及该方案适用的业务范围分析准确。方案的特点是将SSL的独特性以及VPN所能提供的安全远程访问控制能力结合起来,这种方式在解决远程用户访问敏感公司数据这个问题上,具有安全性和操作应用的简单性相结合的特点。
方案对系统的描述较为清晰,对风险的评估比较透彻,物理实现较为合理,并具有一定的技术先进性。方案将SSL VPN与传统的IPSec VPN在访问控制能力、安全易用以及投资回报率等方面做了比较,前者更适合于PC到应用服务器的连接。
不足 方案在安全管理方面存在着不足,在安全架构和安全控制方面还有待于继续完善。SafeEnterprise SSL iGate并没有考虑服务器的负载均衡问题,而是建议客户购买具有负载均衡功能的防火墙或交换机来结合iGate实施,这是功能上的一点欠缺。
·IT产品报价大全 |
|
|
|
|
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
