用户需求:
本方案是将XX集团公司的ERP和OA系统集成到企业总部的门户中来,使集团公司的内部授权用户能够从互联网上通过VPN隧道安全接入到企业的门户,并可通过"帐号+短信动态口令"的方式进行VPN系统的登陆认证,而且部署的VPN系统应当能够支持用户已有的Windows
AD或LDAP身份认证系统。
需求特点:
1)使用该VPN系统的移动用户数量庞大,需要设备的高性能、高性价比,支持大并发VPN隧道;
2)ERP和OA系统均为用户重要的生产和办公系统,从互联网上接入的用户,需要保证身份认证的可靠性和数据传输安全;移动用户要支持"帐号+静态口令"或"帐号+短信动态口令"的身份认证方式,可选支持硬件SureID(USB KEY),并且VPN系统需要和用户已有的Windows
AD或LDAP服务器联动;
3)移动用户的计算机水平参差不齐,不便安装VPN客户端软件,最好通过浏览器即可实现VPN远程安全接入;
4)能够按照用户角色来管理其可访问的资源,为不同身份的移动用户提供不同的访问控制权限;并让移动接入用户所见即所得,可直观看到可访问的内网资源;
部署示意:
上述案例中,在用户网络的边界处,部署百兆线速的SJW74C型安全网关,移动用户只需要使用IE等主流互联网浏览器,通过"帐户+静态/动态口令"或USB
KEY等认证方式,即可和网关建立VPN隧道,接入内网,进而为各种B/S和C/S的IP应用提供透明的网络传输平台。同时,移动用户也可采用传统的"安全客户端"软件(即:IPSec客户端)和网关建立VPN隧道。
应用特点:
1)高安全性:
数据加密传输,确保不会被黑客破解;
移动用户可以采用"帐户+静态/短信动态口令"、USB KEY、数字证书等多种身份认证方式,并可外挂Windows
AD或LDAP服务器;
2)高性价:
采用"安全网关+软件终端(可配套使用USB KEY)"构建VPN网络,并可根据预算和网络情况灵活选择各种性能的VPN安全网关部署在总部;
安达通SJW74安全网关支持IPSec和SSL协议,不仅可用于"移动用户--网"的接入,也可用于实现"网--网"的连接,无须购买两台VPN网关(1台为IPSec类型VPN网关,1台为SSL类型VPN网关);
3)易部署:
使用IPSec/SSL二合一的SJW74系列安全网关,移动用户不需要安装客户端软件,采用IE浏览器即可和总部网关建立VPN隧道,实现安全移动办公;
同时也兼容采用IPSec VPN协议的"安全客户端"软件;
4)适应性:
支持NAT穿透,不受IP地址限制,移动用户可采用各种方式从internet任意地方远程连接到总部;
移动用户采用创新的"IPSEC over HTTPS/HTTP技术",只要能够进行网页浏览,即可建立VPN隧道;
5)透明性:
对IP应用完全透明,支持所有B/S和C/S数据应用、视频和语音应用;
6)差异化服务:
根据移动用户身份,通过Web页面,直观展现不同角色的可访问资源(如下图)。安达通VPN安全网关是基于"用户--角色--资源"的方式对移动用户进行权限管理的。
|
