Juniper SSL VPN远程安全接入解决方案4386.docx

《Juniper SSL VPN远程安全接入解决方案4386.docx》由会员分享，可在线阅读，更多相关《Juniper SSL VPN远程安全接入解决方案4386.docx（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Juniper SSL VPN远程安全接入技术方案Juniiperr SSSL VVPN 远程安全全接入解解决方案案上海软盛盛信息技技术有限限公司目 录录一、企业业网络远远程访问问面临挑挑战3二、安全全接入技技术的选选择3三、方案案建议443.1 系统特特性63.2 IVEE系统对对安全的的控制773.3 员工和和合作伙伙伴轻松松访问相相应的应应用和资资源8331无需安安装客户户端的远远程安全全访问99335提高网网络传输输性能110336用户使使用界面面自定制制103.4 系统扩扩展性和和高可用用性11135全全面的远远程接入入安全保保护111354安全的的数据传传输122355坚固安安全的

2、系系统平台台1337部部署和管管理远程程访问系系统133371部署过过程133372管理配配置144373系统日日志和维维护144374管理员员权限分分配155四、总结结15五、成功功案例11551东东方航空空SSLL VPPN应用用案例11552掌掌上灵通通SSLL VPPN应用用案例118一、企业业网络远远程访问问面临挑挑战随着互联联网的发发展和电电子商务务的普及及，越来来越多公公司的员员工已经经不仅仅仅是坐在在办公室室里处理理日常事务务，象出差员员工、家家庭办公公等多种种类型的的远程访访问公司司内部资资源和应应用的需需要变得得十分的的迫切。同时，这种网络连接的发生也为企业网络引入了新的安

3、全威胁，但是目前的网络安全方案又是十分的昂贵和复杂。目前的企业极需要一种简单实用的解决方案，可以安全的实现远程员工、合作伙伴乃至客户对企业内部网络资源的访问，而又不会为企业网络带来新的安全风险。二、安全全接入技技术的选选择随着信息息技术的的快速发发展，为为了提高高服务的的质量和和水平、在在市场竞竞争中取取得优势势，企业业建立了了内部局局域网，使使内部办办公人员员通过网网络可以以迅速地地获取信信息。然然而，随随着个人人电脑和和互联网网应用技技术的普普及，“在在家办公公”、“异异地办公公”、“移移动办公公”等多多种远程程办公模模式逐渐渐普及，同同时合作作伙伴的的人员也也希望能能访问到到相应的的信息

4、资资源，企企业的IIT管理理人员面面临将远远程办公公模式作作为内部部办公网网络的延延伸和对对合作伙伙伴人员员提供外外联网接接入的需需求，为为远程办办公的员员工提供供访问内内部信息息和为合合作伙伴伴人员访访问与其其身份相相符的信信息的方方便。然然而，要要享受通通过互联联网访问问企业内内部的信信息资源源的便利利，就需需要实施施适当的的信息安安全策略略，在严严格防止止企业信信息资源源被非法法窃取的的同时，对对合法的的访问要要提供方方便，同同时还需需尽量降降低信息息安全策策略的实实施和维维护成本本。企业通过过Intternnet数数据传输输平台，实实施加密密的VPPN实现现安全接接入的办办法主要要有两

5、种种：一种种是IPPsecc VPPN，另另一种是是SSLL VPPN。两两种技术术在不同同领域各各有其优优势，我我们建议议：在实实施固定定的站点点到站点点的VPPN和复复杂应用用的移动动用户接接入VPPN时，采采用IPPsecc技术；在实施施普通应应用的移移动用户户接入VVPN时时，采用用SSLL技术，原原因是SSSL无无需在客客户端安安装客户户端软件件、实施施和维护护灵活简简单、不不受地址址翻译影影响、控控制策略略更加细细化、总总体拥有有成本较较低，而而且由于于SSLL VPPN不是是打开一一个网络络层通道道，而只只是提供供了联系系应用层层请求的的固化网网络接口口，所以以提高了了与VPPN

6、相关关的整个个系统的的安全性性。SSSL和IIPseec技术术的详细细比较请请参考SSSL vs. IPPSecc一文文。在本方案案中，我我们建议议根据具具体的网网络需求求，灵活活结合两两种流行行VPNN。当然然，因为为目前的的需求仅仅仅是总总体建议议，还需需要针对对更具体体的网络络情况进进行调整整。三、方案案建议安全协议议安全套套接层（SSSL）技技术是一一项在互互联网上上广泛实实施的标标准安全全协议，全全面支持持认证和和加密，所所有标准准webb浏览器器都支持持SSLL。基于于贵公司司的安全全接入模模式以移移动办公公用户远远程访问问为主，我我们建议议主要采采用SSSL VVPN方方案，对对

7、于一些些特殊的的应用和和特殊的的用户环环境，辅辅助以IIPSeec VVPN。Juniiperr SAA 系列列的远程程接入产产品是广广受好评评的SSSL VVPN产产品，采采用的是是Insstannt VVirttuall Exxtraanett(IVVE)的的系统平平台，客客户只要要有标准准的weeb浏览览器，无无需进行行任何部部署或安安装硬件件、软件件客户端端设备，也也无需对对内部服服务器进进行任何何修改，没没有地址址翻译穿穿越的影影响，也也不受私私有地址址冲突的的影响，而而且几乎乎不需要要任何后后期维护护，所以以可以方方便地让让用户安安全地接接入网络络。建议在贵贵公司实实施的SSSL

8、VPNN安全接接入的网网络拓扑扑示范图图如下：设备采用用双层保保护，防防火墙实实现基本本DoSS保护、策策略过滤滤，以及及IPSSec VPNN功能。SSA设备备则实现现SSLL VPPN，进进行应用用层保护护过滤和和接入。对于核心心的基于于WEBB的应用用，如内内部邮件件、办公公应用系系统等，Juniper SA产品提供全面的服务。包括ActiveX、Java、JavaScript、PHP等，支持的全面性、灵活性远远超过我们的竞争对手。并且在安安全策略略上实施施的是应应用层面面的安全全策略，可可以比IIPseec更加加细化；由于JJuniiperr SAA 系列列的远程程接入产产品是坚坚固可

9、靠靠的应用用层网关关，采用用应用层层面的安安全策略略后，内内部的应应用服务务器可以以得到有有效保护护，而不不必将服服务器的的第4层层端口完完全暴露露给外部部；前端端的防火火墙上只只需配置置打开ttcp SSLL端口的的策略即即可。除了对wweb和和emaail等等应用的的支持外外，Juunipper SA对对非weeb的许许多客户户端/服服务器应应用也提提供很好好的支持持，所以以采用JJuniiperr SAA系列的的远程接接入产品品实施SSSL VPNN来实现现远程接接入被许许多国际际著名企企业（如如花旗银银行、德德意志银银行）采采用。对对贵公司司来说，最最常用的的应用包包括Ouutlooo

10、k等等系列软软件，JJuniiperr IVVE虽然然将这些些应用转转化为SSSL标标准数据据流，但但并不影影响这些些应用，例例如，文文件仍然然可以下下载到本本地。对对于绝大大多数的的C/SS应用，例例如Paassiive模模式FTTP、贵贵公司独独立开发发的TCCP特殊殊应用、数数据库远远程连接接等，JJuniiperr SAA是透明明支持的的。对于许多多常用的的C/SS应用，如如Tellnett/SSSH和CCitrrix等等，Juunipper SA都都已经将将这些应应用的支支持固化化在核心心WEBB应用当当中，用用户无需需再定义义可直接接使用。Juniiperr支持广广泛的文文件共享享

11、，Unnix和和Winndowws，并并且支持持中文共共享。对于特殊殊的应用用，特别别是那些些需要更更底层通通讯功能能的协议议，Juunipper SA还还提供了了Nettworrk CConnnectt功能，相相当于三三层的通通道，适适用于几几乎所有有的IPP层协议议应用。例例如Acctivve模式式的FTTP，流流媒体应应用等。中心点按按照我们们的建议议已经放放置了支支持IPPSecc VPPN的防防火墙，可可以建立立到分支支点出口口防火墙墙的VPPN，以以及PCC拨号DDiallup VPNN。Juniiperr SAA设备支支持HAA功能。配配合流量量负载设设备，JJuniiperr

12、SAA支持aactiive-acttivee的HAA方式，不不仅可以以实现备备份功能能，更可可以扩大大容量，实实现流量量分担。同时，JJuniiperr-SAA 系列列的远程程接入产产品可以以强制对对远程用用户的安安装防火火墙及防防病毒软软件做出出要求。Juniper IVE系统与当前市场上流行的个人防火墙、防病毒软件做最紧密的结合，如Sygate Enforcement API、Sygate Security Agent、Zone Labs: ZoneAlarm Pro and Zone Labs Integrity、McAfee Desktop Firewall、InfoExpress C

13、yberGatekeeper Agent等，用户只需要用鼠标选择一些选项便可完成。而且用户还可以自行定义强制检查其它的运行程序或windows注册表项目。Juniiperr SAA 系列列的远程程接入产产品获得得的奖项项包括PPC杂志志的220033年最佳佳网络奖奖，网网络世界界SSSL VVPN 网关评评测中获获得评分分最高的的世界级级产品奖奖，和网网络计算算杂志志的编辑辑选择奖奖。IVE系系统的设设计和开开发被安安全保障障公司和和顾问TTruSSecuure所所审查和和验证，TTruSSecuure是是世界级级Intternnet互互联安全全保障解解决方案案的领先先者，为为Junnipee

14、r IIVE硬硬件系统统发布了了一个安安全保障障声明。Dan Farmer，令人尊重的安全顾问和SATAN（Secuirty Administrator Tool for Analyzing Networks）的作者，以及Cryptography Research，SSL 3.0的设计者之一，也对Juniper IVE系统进行了审查和验证。3.1 系统特特性为了从根根本上简简化安全全远程访访问，JJuniiperr的IVVE系统统按以下下目标进进行架构构和设计计： l 运行平台台必须抵抵御针对对安全、设设备与系系统软件件集成方方面的攻攻击。为为了满足足该目标标，系统统被固化化，核心心层对流流量

15、进行行数据包包级过滤滤。l 运行平台台必须抵抵御针对对机密性性和所有有通过IIVE系系统的数数据集成成方面的的攻击。为为了满足足该目标标，系统统使用SSSL在在本地文文件系统统上存储储加密的的信息。l 系统必须须能够通通过简单单的基于于Webb的管理理控制台台在几小小时内进进行实施施。为了了满足该该目标，IIVE系系统进行行大量的的预先配配制工作作，管理理员只需需要进行行少量的的系统和和网络配配置就可可以完成成IVEE系统的的实施。l 系统必须须提供给给客户与与直接访访问公司司内部网网相同的的访问能能力。为为了满足足该目标标，系统统使用JJuniiperr代理引引擎来透透明地向向远程用用户发送

16、送资源。l 系统必须须具有可可靠性和和可扩展展性，能能够扩展展到多个个硬件系系统。为为了满足足该目标标，系统统支持集集群系统统，集群群中的多多个系统统提供故故障恢复复能力、性性能扩展展能力，并并且支持持主备备或双主主动模式式。Juniiperr 的IIVE系系统可以以支持广广泛的企企业应用用，包括括：1、 基于Weeb的各各项应用用，包括括浏览企企业内网网、访问问基于wweb的的outtloook和iiNottes；2、 基于Miicroosofft EExchhangge和LLotuus NNotees邮件件系统、以以及其他他基于IIMAPP4、PPOP33和SMMTP的的标准的的邮件应应用

17、；3、 对于文件件服务器器的文件件及目录录共享控控制提供供支持，方方便用户户上传、下下传文件件；4、 Telnnet/SSHH；5、 对大多数数cieent/serrverr应用提提供支持持； 6、 网络全连连接方式式（即PPC的全全部流量量都可以以通过SSSL VPNN到达企企业内网网）； 7、 个人防火火墙/防防病毒软软件等强强制性检检查；8、 对于来自自非安全全设备或或临时访访问设备备（如网网吧）的的访问，强强制caachee清除。Juniiperr IVVE系统统支持的的接入安安全控制制的细化化包括：1、 动态认证证策略：可以通通过多种种要素对对用户身身份进行行认证，包包括提供供身份前

18、前检查和和提供身身份后检检查，其其中提供供身份前前检查的的内容可可包括：源地址址、网络络接口（内内/外）、证证书、节节点安全全（包括括主机检检查和缓缓存清除除）、浏浏览器的的useer aagennt、登登录的UURL、SSSL版版本和加加密级别别；提供供身份后后检查的的内容可可包括：身份确确定、证证书特性性、密码码长度、同同时登录录用户数数、目录录服务密密码；2、 角色定义义和策略略匹配：管理员员可以定定义用户户属于一一个或多多个角色色，对不不同角色色提供不不同的访访问权限限。对属属于多个个角色的的用户可可以一次次性地给给该用户户多个角角色的总总和，也也可以让让用户选选择采用用某个角角色进行

19、行应用访访问；3、 资源访问问策略：对于不不同的应应用资源源，管理理员可以以提供不不同的访访问策略略，作为为第三层层的访问问控制手手段；Juniiperr IVVE系统统支持数数字证书书的使用用，支持持多种认认证服务务器（包包括RAADIUUS、LDAAP、Winndowws NNT DDomaain、Acttivee Diirecctorry、UNIIX NNIS、duaal ffacttor认认证，包包括AcctivvCarrd AActiivPaack、RSAA SeecurrID和Seccuree Coompuutinng SSafeeWorrd PreemieerAcccesss以以

20、及X.5099客户端端数字证证书），也也可在设设备上建建立本地地用户数数据库，更更支持LLDAPP/Acctivve DDireectoory的的用户组组的特性性，方便便管理员员定义策策略。此此外，还还支持一一次登录录访问多多个需认认证的应应用的功功能（基基于coookiie的认认证），为为远程安安全接入入用户提提供方便便。3.2 IVEE系统对对安全的的控制1) 硬硬件平台台和加固固的操作作系统IVE系系统采用用了优化化的Liinuxx内核和和额外优优化的服服务器软软件的加加固硬件件系统，该该系统被被设计成成可以抵抵御针对对系统的的攻击和和针对通通过该系系统数据据的攻击击。系统统可以通通过只

21、运运行完成成关键任任务的服服务来防防止攻击击，这些些关键的的服务在在开发时时就进行行了安全全加固，确确保系统统的安全全性。IVE系系统不运运行通常常的用户户和程序序服务，因因此不会会导致针针对这些些服务的的攻击。IIVE系系统不允允许管理理员创建建、维护护系统级级的用户户帐号。因因为没有有交互式式的Shhelll和打开开的系统统帐号，潜潜在的入入侵者无无法尝试试利用脆脆弱的口口令、缺缺省帐号号或遗弃弃的帐号号对系统统进行非非授权的的访问。2) 流流量监控控和过滤滤IVE使使用核心心级包过过滤模块块来监控控系统所所收到的的包，并并决定是是接受或或拒绝该该流量。该该特性使使得系统统使用预预定义的的

22、控制网网络流量量规则组组，在接接受之前前在不同同阶段对对流量进进行验证证。包过过滤限制制了流量量从本系系统到想想要连接接的系统统。3) 数数据的完完整性和和机密性性IVE使使用世界界范围的的Intternnet安安全标准准协议：Seccuree Soockeets Layyer (SSSL)。SSLL在Weeb浏览览器和IIVE系系统之间间提供一一个安全全的通道道。SSSL有效效地阻止止了人为为的服务务器欺骗骗和数据据完整性性的攻击击，因为为：所有通讯讯采用1128位位密钥加加密系统通过过证书进进行认证证IVE也也可选来来支持客客户端证证书，它它可以通通过基于于X.5509的的证书对对用户进进

23、行鉴别别。SSSL对系系统之间间的交换换数据的的完整性性和机密密性的保保护，确确保任何何未经授授权访问问的发生生。4） 用用户鉴别别和认证证IVE系系统集成成了领先先的认证证系统，包包括双因因子系统统和客户户端证书书系统。通通过一个个合法的的证书，用用户可以以发起一一个会话话。每个个到系统统的子请请求根据据该会话话进行认认证，系系统对非非法登录录请求的的频率进进行限制制，防止止字典攻攻击。如果用户户信息是是合法的的，系统统产生一一个认证证令牌。通通过Weeb请求求，该令令牌被保保存在一一个加密密的会话话Coookiee中。因因为系统统使用HHTTPPS和SSSL对对传送的的数据进进行加密密，在

24、这这过程中中会话不不可能被被劫取。5) 审审计系统产生生细化的的日志，该该日志存存储在本本地，系系统也可可以将这这些信息息发送到到SYSSLOGG服务器器。系统统管理员员可以通通过用系系统的日日志管理理器或外外部的SSYSLLOG服服务器审审计的资资源或应应用程序序对单一一用户的的访问采采取一些些操作。6) 文文件系统统和I/O所有存储储在设备备上的数数据使用用AESS进行加加密，只只有Juunipper的的系统软软件可以以读取存存储的加加密数据据。更进进一步讲讲，用户户和管理理员不能能替换任任意的可可执行文文件，他他们也无无法拥有有系统级级的帐号号，因此此，黑客客无法针针对系统统进行权权限升

25、级级的攻击击。系统统本身的的安全性性远远高高于我们们的竞争争对手。3.3 员工和和合作伙伙伴轻松松访问相相应的应应用和资资源任何熟悉悉浏览器器的用户户无需任任何特殊殊的培训训就可以以使用IIVE系系统。用用户登录录后就可可以访问问电子邮邮件、文文件服务务器和WWeb资资源。认认证和启启用一个个IVEE会话之之后，用用户可以以访问通通过访问问控制列列表和基基于组权权限的资资源。系系统以安安全方式式存储了了用户的的认证信信息使得得用户无无需登录录多次，用用户就可可以使用用浏览器器、标准准的电子子邮件客客户端、私私有的信信息应用用程序或或其他客客户端访访问所需需要的资资源。1) 访问Weeb应用、I

26、Intrraneet WWeb站站点、文文件服务务器和TTelnnet/SSHH为了访问问文件和和Webb资源，用用户可以以连接到到IVEE系统通通过以下下方式来来实现：a) 启动具有有Intternnet连连接的WWeb浏浏览器b) 浏览网络络管理员员定义的的安全的的URLL资源c) 登录到系系统d) 浏览IVVE主页页上提供供的资源源，用户户可以自自己定制制URLL书签和和文件服服务器。2) 使用IVVE访问问信息服服务器和和客户端端服务务器应用用为了访问问这些服服务器，用用户可以以登录到到IVEE并启动动会话，当当用户被被认证通通过，IIVE自自动启动动安全应应用管理理器（SSAM），该

27、该管理器器可以通通过SSSL作为为网关连连接内部部应用。对对于teelneet和SSHH，它可可以用作作终端仿仿真器。对对于信息息和客户户端服服务器应应用，它它可以用用作基于于Javva或WWinddowss的应用用代理，SSAM在在SSLL中封装装流量，客客户端和和内部服服务器通通过IVVE系统统建立安安全的连连接和通通讯。IIVE系系统可以以使远程程用户在在不安装装任何客客户端软软件和修修改任何何配置的的条件下下，透过过Intternnet提提供对现现有应用用和服务务器的安安全访问问。 331无需需安装客客户端的的远程安安全访问问Juniiperr的IVEE远程安安全访问问系统，在在无需安

28、安装客户户端的前前提下，利利用系统统已有的的标准的的WEBB浏览器器，通过过浏览器器支持的的SSLL安全协协议，实实现对企企业内网网的应用用服务器器的安全全访问。访访问过程程中，重重要数据据在互联联网上以以SSLL加密的的形式传传输。IIVE系系统通过过以下三三种方式式帮助远远程客户户端实现现对企业业内部应应用服务务器的访访问。332核心心WEBB方式核心方式式（coore acccesss）的访访问采用用标准WWEB方方式，远远程用户户首先登登陆到IIVE系系统当中中，进行行相关的的安全机机制检查查和身份份认证，通通过认证证和授权权后，直直接点击击IVEE系统主主页上的的相关预预定义好好的网

29、络络标签实实现对内内部服务务器的访访问。核心方式式的访问问支持如如下的应应用： 安全的wweb应应用访问问：对基基于weeb的内内容和应应用提供供支持，也也包括 HTMML, Javvasccrippt, DHTTML, VBBScrriptt, JJavaa apppleets等等。 安全的文文件共享享访问：动态 Winndowws 和和 Unnix 文件 (CIFFS/NNFS)的webb化 基于标准准的 EE-maail 客户端端访问（outlook web access） 安全的终终端访问问：对TTelnnet/SSHH 主机机 (VVT1000, VT3320)的访访问COREE方式

30、主主要适合合于远程程合作伙伙伴或者者用户进进行WEEB访问问之用。333安全全内容管管理器在安全内内容管理理器（SSAM, seecurre aappllicaatioon mmanaagerr) 方方式中，远程用户首先登陆到IVE系统当中，进行相关的安全机制检查和身份认证，通过认证和授权后，远程系统会自动加载一个小插件，这个插件可以将指定的网络访问进行重新的定向和SSL封装，将请求传给SA系统，由IVE系统对请求进行解析，并且对企业内部的应用服务器进行访问请求。SAM模式可以保证现有的客户化应用不受改变。采用SAAM的方方式可以以支持如如下的应应用： 访问客户户端/服务器器应用, 包括括na

31、ttivee meessaaginng cclieentss（Miccrossoftt Ouutloook andd IBBM/LLotuus NNotees） 其他的基基于固定定服务端端口，较较为简单单的应用用SAM方方式主要要适合于于远程合合作伙伴伴或者用用户进行行C/SS架构的的相关访访问之用用。334网络络层连接接（neetwoork connnecct）在网络层层连接（nettworrk cconnnectt）方式中中，远程程用户首首先登陆陆到IVVE系统统当中，进进行相关关的安全全机制检检查和身身份认证证，通过过认证和和授权后后，远程程系统会会自动加加载一个个小插件件，这个个插件可

32、可以从IIVE系系统中自自动的获获得一个个内部网网络的IIP地址址，从而而实现对对内部网网络资源源的访问问，该种种访问方方式与IIPSeec类似似。采用NCC的方式式可以支支持几乎乎全部的的网络应应用，包包括相对对复杂的的视频会会议、IIP电话话等等。一般来说说这种方方式的访访问适合合于网络络管理员员进行远远程管理理用。335提高网网络传输输性能远程访问问的速度度问题，一一直是VVPN系系统需要要解决的的问题之之一，与与IPSSec的的VPNN解决方方案方便便，Juunipper IVEE系统提提供了更更高的网网络传输输性能，采采用的技技术手段段包括： 利用预协协商好的的GZIIP压缩缩机制来

33、来在对应应用部分分的流量量在加密密之前首首先进行行压缩处处理，只只对应用用层的数数据进行行加密，不不进行协协议的再再次封装装，从而而减少互互联网上上传送的的流量, 提高高了网络络传输的的性能。 提供隧道道分割(Spllit Tunnnellingg)能力力，如果果使用了了NC或或者SAAM方式式，系统统通过设设置可以以完成只只允许流流向LAAN的流流量通过过VPNN连接器进行传传输。而而去其他他地方(如其他他的互联联网访问问)的流流量将通通过客户户端原有有的网关关之间访访问。336用户户使用界界面自定定制管理员可可以自由由调整用用户登陆陆IVEE系统的的标识与与详细界界面的外外观，比如可可以修

34、改改LOGGO,界界面的颜颜色等等等，这样样可以更更好地匹匹配公司司的风格格。同时时管理员员可以对对不同的的用户组组实现不不同的登登陆界面面和URRL。3.4 系统扩扩展性和和高可用用性在选择产产品型号号时，考考虑的因因素包括括并发用用户数、网网络的应应用的复复杂程度度和实际际流量，其其中并发发用户数数是一个个最主要要的指标标。由于于Junnipeer IIVE系系统无需需客户端端，所以以无需考考虑客户户端软件件的费用用。高可用性性方面，可可以通过过两台NNS-SSA设备备实现状状态保持持下的主主/备切切换，也也可通过过第三方方的负载载均衡器器来实现现双主动动。0 高高可用性性解决方方案实现现

35、故障切切换和最最佳性能能，系统统对端可可以同步步： 系统统状态 用户户档案状状态 会话话状态 群集集对多站点点群集对对LANN上的主主动/主动配配置选项项WAAN上的的主动/被动配配置选项项35全全面的远远程接入入安全保保护Juniiperr 的远远程接入入解决方方案提供供全方位位的安全全保护，从从客户端端的接入入，到数数据在互互联网上上的传输输，再到到IVEE接入平平台，到到对后台台服务器器的资源源防护控控制等各各个方面面，都提提供了相相应的安安全机制制。351节点点安全机机制检查查随着远程程用户的的接入，对对于网络络管理员员来说，相相当于将将企业的的办公网网络进行行了延伸伸，如何何将企业业

36、原有的的安全保保护措施施和安全全策略对对于新接接入的主主机也同同样有效效，Juunipper的的IVEE系统提提供全面面的解决决方案，可可以对接接入节点点的安全全策略进进行检查查，并且且根据检检查的结结果，实实施相应应的访问问控制。并并且允许许管理员员对以下下的选项项进行定定制。 和第三方方节点安安全解决决方案整整合，如如InffoExxpreess，McAAfeee，Syggatee，Zonne LLabss等 注册表参参数检查查 开放/不不允许的的 poortss检查 允许/不不允许的的进程检检查 允许/不不允许的的文件检检查 检查定制制的dllls 对第三方方软件实实施心跳跳检查 应用认

37、证证检查 (进程程, 文件件 MDD5 HHashh) 与赛们铁铁可的恶恶意软件件防护功功能相结结合，提提供了客客户端对对恶意软软件访问问的支持持352访问问缓存清清除代理理如果远程程用户使使用了不不可信任任的远程程主机，对对企业的的内部网网络进行行了访问问，浏览览器的缓缓存中将将会保留留一部分分访问的的数据，很很容易造造成敏感感信息的的意外泄泄漏，JJuniiperr的IVVE系统统为此提提供了缓缓存清除除的功能能，用户户在登陆陆内部网网络的时时候，自自动在本本地加载载一个缓缓存清除除代理，在在用户正正常注销销或者非非正常退退出的情情况下，清清除系统统的该次次访问留留下的会会话数据据和临时文

38、文件。保保证了敏敏感信息息不会保保留在客客户端主主机上。353对登登陆用户户的身份份验证IVE系系统支持持数字证证书的使使用，可可以单独独的利用用客户端端的数字字证书对对用户身身份进行行验证，从从而避免免了输入入用户名名/密码的的麻烦。同同时，IIVE系系统还支支持多种种认证服服务器（包包括RAADIUUS、LDAAP、Winndowws NNT DDomaain、Acttivee Diirecctorry、UNIIX NNIS、duaal ffacttor认认证，包包括AcctivvCarrd AActiivPaack、RSAA SeecurrID和Seccuree Coompuutinng

39、 SSafeeWorrd PreemieerAcccesss以以及X.5099客户端端数字证证书），也也可在设设备上建建立本地地用户数数据库，更更支持LLDAPP/Acctivve DDireectoory的的用户组组的特性性，方便便管理员员定义策策略。354安全全的数据据传输远程访问问的用户户的数据据在不可可信任的的互联网网上传输输的时候候，采用用了SSSL加密密的技术术，保证证了信息息不会因因为被侦侦听，窃窃取而造造成重要要信息的的泄露。SSSL 传输可可以设定定相关的的加密的的强度，为为了安全全需要，可可以采用用高强度度的加密密传输，数数据的加加密采用用对称密密钥的方方式，系系统缺省省2

40、分钟钟协商一一次密钥钥信息，保保证了恶恶意的攻攻击者无无法得到到准确的的密钥。如果用户户提交的的认证信信息正确确，系统统将会发发放一个个授权的的标记（TTOKEEN），在在WEBB请求当当中，这这个标记记保存在在一个加加密的回回话COOOKIIE当中中，这种种做法保保证了系系统不会会受到冒冒认者的的攻击。因因为一个个攻击者者需要来来伪造一一个会话话的标记记（TOOKENN）才能能达到冒冒认的效效果，而而这又是是很难实实现的，同时在互互联网上上传输的的数据包包，其目目的地址址都是对对于与IIVE平平台的公公网地址址，也不不会泄露露网络内内部服务务器的网网络拓扑扑。355坚固固安全的的系统平平台I

41、VE系系统采用用了优化化的Liinuxx内核和和额外优优化的服服务器软软件的加加固硬件件系统，该该系统被被设计成成可以抵抵御针对对系统的的攻击和和针对通通过该系系统数据据的攻击击。系统统可以通通过只运运行完成成关键任任务的服服务来防防止攻击击，这些些关键的的服务在在开发时时就进行行了安全全加固，确确保系统统的安全全性。IVE系系统不运运行通常常的用户户和程序序服务，因因此不会会导致针针对这些些服务的的攻击。IIVE系系统不允允许管理理员创建建、维护护系统级级的用户户帐号。因因为没有有交互式式的Shhelll和打开开的系统统帐号，潜潜在的入入侵者无无法尝试试利用脆脆弱的口口令、缺缺省帐号号或遗弃

42、弃的帐号号对系统统进行非非授权的的访问。IVE系系统内部部采用了了内核级级别的包包过滤机机制，利利用预定定义的一一些规则则，对进进入系统统的数据据包进行行判断和和检查，保保证了只只有合法法的数据据包才可可以进入入或者通通过IVVE系统统。IVE系系统上的的所有信信息都采采用了AAES的的加密处处理，保保证了及及时设备备被进入入或者被被偷走，恶恶意的攻攻击者都都无法看看到系统统中的相相关信息息。Juniiperr IVVE 平平台的设设计和开开发过程程通过多多个安全全专业保保障公司司和专家家的审查查和验证证，TrrueSSecuure，世世界领先先的针对对互联网网连接安安全提供供保证方方案的组组

43、织，为为Junnipeer IIVE平平台进行行了验证证，并且且提供了了相关的的报告，JJuniiperr IVVE也是是SSLL VPPN同类类产品中中唯一通通过TrrueSSecuure验验证的产产品，另另外，DDan Farrmerr（SAATANN的作者者，一位位受人尊尊重的安安全专家家）和CCrypptoggrapphy Ressearrch（SSSL 3.00的合作作设计者者）也对对IVEE系统进进行了审审计和验验证37部部署和管管理远程程访问系系统371部署署过程通常的基基于客户户端的VVPN解解决方案案，在部部署的时时候，无无论是VVPN服服务器，还还是数量量众多的的客户端端，

44、都需需要花费费大量的的资金，并并且在系系统的管管理和维维护上也也需要IIT部门门大量的的时间。而而部署JJuniiperr远程访访问系统统则很简简单，只只需要进进行下面面几个步步骤：1 安装并且且启动远远程访问问系统；2 将远程访访问系统统接入IINTEERNEET ,并且进进行简单单的网络络设置和和用户访访问控制制设置，如如接口的的IP地地址、用用户的认认证授权权服务器器等；3 告诉你的的员工、客客户和合合作伙伴伴你已经经可以提提供这项项服务，告告诉他们们一个UURL地地址，通通过这个个地址可可以远程程访问内内部的资资源。372管理理配置系统的管管理采用用WEBB的方式式，简单单易用，你你可

45、以采采用标准准的WEEB浏览览器来访访问和管管理配置置该设备备。IVVE的管管理和配配置可以以分为如如下几个个功能模模块：1 系统管理理器显示当前前系统资资源使用用状况，允允许你远远程重启启或者关关掉系统统，同时时也支持持许可证证的安装装，系统统升级管管理和NNTP时时间同步步管理等等。2 配置管理理器支持系统统配置的的导入/导出，你你可以将将系统恢恢复到以以前的某某个配置置，也可可以将配配置导入入另外的的系统当当中。3 用户（组组）管理理器管理员可可以浏览览和管理理IVEE系统中中的用户户（组），修修改相关关的用户户的连接接属性和和IP访访问规则则，同时时也支持持对基于于用户（组组）的网网络

46、标签签（Boookmmarkk）的设设置。4 访问控制制管理器器管理员可可以集中中的管理理每个用用户组的的访问权权限，可可以定义义用户允允许或者者不允许许访问指指定服务务器上的的网络资资源，访访问控制制策略可可以细化化到文件件共享和和URLL以及子子目录级级别。5 日志管理理器管理员可可以登陆陆到IVVE服务务器，实实时的浏浏览日志志，也可可以通过过设置SSYSLLOG日日志服务务器的方方式，自自动的接接收日志志。6 用户界面面定制管管理器管理员可可以定制制系统的的用户界界面，可可以加入入企业的的LOGGO，颜颜色配置置等等。7 证书管理理简化WEEB服务务器证书书和客户户端证书书的管理理。3

47、73系统统日志和和维护IVE系系统可以以生成详详细的日日志信息息，这些些日志信信息可以以在本地地保存，也也可以传传送给相相应的SSYSLLOG服服务器，由由于SSSL信道道和认证证子模块块可以对对客户端端和服务务器终端端进行检检查，并并且记录录下相关关的信息息，我们们可以用用这些日日志进行行审计。管管理员通通过IVVE系统统的日志志管理器器或者SSYSLLOG日日志服务务器，可可以判断断什么用用户在指指定的系系统或者者资源上上做了什什么访问问。同时时可以利利用日志志管理器器提供的的过滤搜搜索功能能，方便便的查找找出你想想得到的的信息。同时，IIVE系系统内部部也提供供了多种种维护和和调试的的工具，如如系统的的状态显显示、PPINGG/TRRACEEROUUTE/TCPPDUMMP等工工具等。374管理理员权限限分配IVE系系统对不不同的管管理员用用户进行行策略的的匹配和和相关的的权限的的分配，确确定管理理员角色色的因素素包括用用户名、用用户属性性、客户户端IPP地址、客客户端