|
您的组织机构中包括一些对企业网上资源具有不同访问级别的用户。ssl-vpn 2000可将安全远程访问从远程办事处及企业控制笔记本电脑扩展至不受企业it部门控制与管理的网络环境及远程计算机。内置精细访问控制使您不仅能为您的员工,而且能为可信合同商、合作伙伴及客户提供根据公司设定策略对特定及确定资源的访问
2.2方案补充说明
该方案在公司的internet网关处部署一台sonicwall utm防火墙,sonicwall utm防火墙内部集成了网关防病毒、入侵检测以及反间谍软件功能,当远程客户端发起ssl-vpn连接时,该防火墙的nat和访问控制策略会自动映射访问请求到sonicwall ssl-vpn2000上来完成ssl-vpn协商以及用户认证、授权等动作,当ssl-vpn2000工作在代理模式时,客户端到ssl-vpn2000的链路是经过ssl加密的,防火墙不能够识别,但是,此时ssl-vpn2000会代理用户访问内部应用服务器,此时的链路将再回到防火墙并指向内网应用服务器,此链路是已经解密过的,是纯粹的ip链路,因此,防火墙上的utm引擎能够正确识别该数据包并针对其做应用层安全扫描,可以识别应用层的攻击行为,如,封包中夹带的病毒、木马程序等。同样,当ssl-vpn2000工作在netextender模式时,穿过防火墙回到内部网络应用服务器的链路也是被解密过的,防火墙的utm引擎也能够正确识别并做相应的应用层内容安全扫描,因此,可以大大提高内部网络的安全级别。 另外,由于sonicwall utm防火墙可以针对所有流经防火墙的数据进行utm应用层内容安全扫描,因此,内网用户也能够得益于该设备,可以通过sonicwall utm防火墙来过滤掉来自internet或者内网传出传入的安全威胁。 sonicwall utm防火墙采用独一无二的逐个包扫描深度包检测引擎专利技术,无需对数据包重组及对文件进行缓存就可以实现对病毒和入侵的扫描和防护,所以sonicwall对同时下载的文件数目和文件的大小没有任何限制。sonicwall直接在安全网关上匹配全面的签名库,对网页下载、邮件传输及压缩文件的潜在威胁进行安全扫描。sonicwall utm设备能够并行扫描超过50种协议上的25000种病毒,检测并阻断(根据管理员的设置)超过2000种入侵威胁。 另外,sonicwall还支持对100多种及时消息(im,如msn、qq)和对等应用(p2p,如bt下载、emule下载)的通信控制,能够扫描netbios over tcp/ip,防止病毒通过windows文件共享进行扩散。同时,sonicwall解决方案还可以限制带有宏的office文件、密码保护的压缩文件和“加壳”的可执行文件的传输。 采用dea 架构,sonicwall的安全设备做到了每个小时自动更新病毒签名库和入侵签名库。sonicwall的utm设备还能阻止病毒在内部网络扩散,防止内部的黑客入侵行为。此外,sonicwall的utm设备即将支持反间谍软件功能,通过简单的软件升级,现有的网关防病毒和ips用户可直接享用反间谍软件服务。 上述功能适用于sonicwall全系列产品。 另外,由于公司已经部署了防火墙,再额外部署一台防火墙是需要考虑到企业的成本以及投资回报问题的,为此,我们在设计方案的时候特别考虑到了该设备的利用率的问题,尽最大的努力避免设备的重复配置,减少企业投资成本。我们的设计思路如下: 由于防火墙是工作在internet的接入点,是处在网关处,一旦该设备出现单点失效将使得internet变得不可用,不利于企业的信息化及时沟通,为了避免这种问题,我们将现存的防火墙作为冷备份,不需要更改任何配置,sonicwall utm防火墙的访问控制策略采用现存防火墙的配置,充当主防火墙,当其中任何一台防火墙失效时,手动启动另外一台冷备中的防火墙即可自动接管当前的网络流量,保障了网络的高可用性,sonicwall utm防火墙内建支持client-site方式的ipsec vpn,即使当ssl-vpn出现单点故障,远程用户也可以临时通过sonicwall utm防火墙里内建的ipsec vpn连安全连接到公司内部网络,保障了网络的不间断运行。 方案实施后将能达到如下效果: (责任编辑:admin) (责任编辑:admin) |
