|
深信服:高校数字图书馆远程接入解决方案 作者:不详 来源:深信服 2008年4月27日 进入社区
客户面临的问题: 随着2004年启动的中国高等教育数字化图书馆(cadlis)建设项目的开展,大多数高校都购买了国内/国外的数字资源,以便于学生和老师的学习和教学科研等工作使用。 然而在图书馆数字资源的使用过程中,由于数字资源提供商出于版权保护的需求,采取了一些防止非授权访问和使用的措施,大多限制访问的ip地址范围,主要通过以下方式实现: 1、 采购数字资源存储在提供商服务器上而非图书馆服务器上,高校支付费用后,提供商根据访问者ip地址判断是否是经过授权的用户。 2、 只要是从校园网出去的ip地址都是授权认可的,所以校内用户可以使用。 3、 如果教师、学生在家里上网、外地出差时需要访问这些数字资源,其接入internet获得的是动态非授权ip地址,无法通过提供商的验证。 综上可见,处在校外的用户无法访问这些数字资源。而高校后勤社会化促使越来越多的教师和学生在校外居住,大量校友、客座教授、外聘教师也需要随时随地地接入校园网访问资源。因此高校图书馆需要一套可认证、可管理、安全可控的远程接入解决方案。 传统的解决方案包括反向代理和ipsec vpn等。反向代理仅能将内网的b/s应用提供给外网用户,用户身份认证简单而不安全,所有接入用户使用同一个内网ip,无法避免数字资源提供商对单ip流量过大的限制;而ipsec vpn方式,需要每用户安装专用客户端软件和烦杂配置,普通用户难于使用,又增加了it部门的工作量,通常采用用户名/密码身份认证的用户又不具备细致划分的权限,使得ipsec vpn也不是一种理想的解决方案。 深信服科技的sslvpn远程接入解决方案可以为高校用户带来: 1. 为外网每接入用户分配独立的校内ip地址 网关上指定校园内网某ip地址段作为“ip pool”,每个移动接入用户,都会自动从“ip pool”中获得一个校内ip地址,从而既实现校内与校外用户双向访问,又解决了提供商对授权ip范围的限制,以及单ip流量过大的问题。 2. 多方式保障移动用户接入安全问题 整体安全性包括:传输、认证、权限和端点四个方面: 深信服科技采用128-bits aes加密算法,其比3des安全性更高且速度更快,保障传输数据的安全性。 采用用户名/密码认证方式,难免存在帐号泄漏、被记录的风险。深信服首创的硬件特征码专利技术,通过提取接入设备的硬件特征,绑定指定账户和指定终端,避免账户泄漏和盗用的风险;此外,sinfor sslvpn还支持短信认证、usb-key、动态令牌、数字证书等,并可组合使用,比网银还安全;结合第三方ldap、ad、radius、数字证书服务器(支持第三方ca和自作ca)完成用户身份认证。 对接入用户分组,对资源根据其ip地址、端口、提供的服务、甚至是url地址进行资源分组,通过“角色”关联,实现用户灵活的资源访问授权。 终端设备携带的病毒、木马等可能被带入内网,深信服的网络准入规则专利,检测终端设备的操作系统版本和补丁、杀毒软件及病毒库、防火墙软件、注册表、进程和硬盘文件等,拒绝“安全不达标”的终端建立sslvpn隧道,保障内网安全。另外注销和超时退出后,用户的所有访问记录、cache、cookie等将全部清除,规避风险。 3. 多线路技术:解决教育网和电信/网通的带宽瓶颈 图书馆很多数字资源位于教育网,而通过电信/网通线路访问则速度较慢。深信服凭借多线路绑定和智能选路专利,网关能连接教育网、电信、网通等最多四条公网线路,各线路间自动优选,解决了跨运营商的带宽瓶颈问题。结合http压缩、流压缩、webpush技术等,传输效率平均提升为明文的130%,尤其在cdma、gprs和未来3g网络中,提升200%以上。 4. 无客户端、免配置,方便简单的使用和操作 sinfor ssl vpn可以将内网所有基于tcp、udp、icmp的b/s、c/s应用发布到sslvpn网络中,高校可将内网教学、教务系统、网上选课等发布于该sslvpn平台上。移动用户无需安装任何客户端软件,无需配置,减轻了it管理者的工作量,通过浏览器建立到内网的vpn隧道,使用简单方便。 用户访问界面的全面定制,改进了用户的访问体验。
通过在学校网络出口处部署sinfor sslvpn网关,同时连接教育网、电信、网通等多条公网链路,系统自动优选最佳接入线路提供给用户;用户通过严格身份认证和识别后,建立的sslvpn隧道,如同一条“虚拟网线”将用户连接到学校内部网络,从而方便的使用内网的各种资源和it应用。 sinfor ssl vpn网关采用加固和优化的sinfor os系统,对外网仅开放tcp 443端口,结合网关内置基于状态检测技术的防火墙,保障网关本身安全,也保障了内网安全。 【】【】 【进入社区】 (责任编辑:admin) |
