工程概述:
计算机网络系统是该公司信息系统的基础设施,网络系统的高安全性、可用性、稳定性是公司信息系统发展的基础和保障。目前,由于移动办公和SOHO办公的需求强烈,且涉及OA、网站、邮件等各类应用,因此使用安全性和可靠性是本项目的关键,为满足武汉钢铁集团相关部门工作和便利及安全性考虑,所以需要较高性能的SSL VPN接入网关。因此,本项目中采用1台Juniper SA4000的VPN网关。建立域认证管理机制,采用了Radius和Secur ID的令牌认证方式,加上各类B/S和C/S的服务,所以增加了NC/SAM和Advance等功能的License。
部署方式:
Juniper SA4000以旁路模式部署在外连交换机Cisco4503上,SA4000划分一个内网IP在Internel口上,网关指向交换机的Vlan IP。然后由外网防火墙做地址映射,给SA4000分配一个公网IP,以便互联网用户访问使用。SSL-VPN接入,在本项目中,考虑到网络接入和安全和可靠性,我们采用了旁路方式,即将设备旁路接入到交换机上,通过在FW上作静态NAT来实现对其公网IP的指向。Juniper SA4000以旁路模式部署在外连交换机Cisco4503上,SA4000划分一个内网IP在Internel口上,网关指向交换机的Vlan IP。然后由外网防火墙做地址映射,给SA4000分配一个公网IP,以便互联网用户访问使用。
经济效益:
Secure Access 4000 (SA 4000) SSL VPNs 可以为大中型企业提供经济高效地,通过任何标准Web浏览器访问的远程及合作伙伴外联网接入。基于获奖的IVE平台的SA 4000 可提供丰富的接入权限管理功能,可用于创建安全的客户/合作伙伴外联网或合作伙伴外联网,无需更改基础设施、无需部署DMZ、也无需安装软件代理。这项功能还使企业能够安全接入企业内联网,因此,不同员工和访问者可充分利用其所需的资源,同时遵守企业安全策略。如果环境需要,软件许可还能提供 内建的能够对各种数据进行压缩的功能以提高性能,以及SSL 加速。不需要部署客户端软件或更改服务器,几乎不需要长期维护。
安全的外联网接入,无需构建DMZ、无需加固服务器、无需复制资源、或无需增加部署来添加应用或用户。集中管理选项提供统一管理,用户自助服务功能,可提高用户生产效率并降低管理成本,基于角色分配管理任务,群集对部署选项,可为整个LAN和WAN提供高可用性。
SA 4000 的改进特性使企业能够实现远程的安全接入,基本的客户/合作伙伴外联网或安全内联网接入。高级版本还能提供更多先进的功能,通过不同的听众,用户案例以及Juniper 的Central Manager实现更加复杂的部署需求。可以部署在经济高效的群集对(Cluster Pair)中以提供企业需要的冗余性、高可用性和无缝的故障切换功能。SA 4000系列基于Instant Virtual Extranet平台,该平台使用所有标准Web浏览器中所使用的安全协议SSL作为安全接入传输机制。SSL的使用使客户不再需要部署客户端软件、修改内部服务器或进行成本高昂的后期维护。Secure Access产品还可以提供先进的合作伙伴/客户外联网特性来只允许特定用户和用户组接入,而且只需要很少甚至根本不需要基础设施修改、DMZ部署或软件代理程序。这一功能还使企业可以保护企业内联网接入的安全性,使管理员可以根据不同访问者需要的资源来限制他们的接入权限,使得该公司的一定办公和SOHO办公的安全型和可靠性得到保障,利于更高的提高工作效率,保证生产网络的安全性。