年5月29日遠(yuǎn)程移動辦公安全解決方案文檔僅供參考遠(yuǎn)程移動辦公安全解決方案該方案特點(diǎn):很多單位為解決遠(yuǎn)程移動用戶(如:在外出差人員)的接入問題,在單位內(nèi)部安裝了”撥號服務(wù)器”(RAS)。遠(yuǎn)程移動用戶能夠經(jīng)過遠(yuǎn)程撥號,接入到單位內(nèi)部的撥號服務(wù)器后,進(jìn)入內(nèi)部局域網(wǎng)。本公司采用安全網(wǎng)關(guān),經(jīng)過VPN技術(shù)和internet技術(shù)相結(jié)合,提出了替代上述系統(tǒng)的最優(yōu)解決方案。特別適合企事業(yè)單位對”撥號服務(wù)器RAS”系統(tǒng)的改造。方案概述:當(dāng)前網(wǎng)絡(luò)的現(xiàn)狀XX公司總部設(shè)置了撥號服務(wù)器。集團(tuán)在全國各地設(shè)立分公司和辦事處,經(jīng)過撥號接入公司總部內(nèi)網(wǎng)。分公司及辦事處與總部之間經(jīng)過內(nèi)部的撥號網(wǎng)絡(luò)溝通和交換信息。網(wǎng)絡(luò)示意圖如下:圖1當(dāng)前的網(wǎng)絡(luò)示意圖當(dāng)前網(wǎng)絡(luò)系統(tǒng)存在的安全隱患和問題2.1安全問題當(dāng)前撥號服務(wù)器是經(jīng)過口令和密碼識別撥入PC,其口令和密碼很容易泄露,一旦泄露,黑客能夠仿冒內(nèi)部用戶經(jīng)過撥號server進(jìn)入公司內(nèi)網(wǎng),偷盜公司內(nèi)部機(jī)密。另外,撥號的PC與撥號server間傳遞的信息經(jīng)過電話線明文傳播,安全沒有保障,能夠從線路中竊取交流的信息。2.2并發(fā)接入用戶數(shù)限制問題受到撥號server的撥入modem數(shù)量限制,同時連入撥號server的用戶數(shù)量有限,因此如果分部一多,就會出現(xiàn)大量的占線,撥不上撥號服務(wù)器的現(xiàn)象。2.3帶寬問題受到撥號網(wǎng)絡(luò)的限制,撥號帶寬不會大于64K,因此只能滿足一些小數(shù)據(jù)量的窄帶業(yè)務(wù)需求。2.4撥號話費(fèi)問題接入總部的撥號server必須經(jīng)過電話網(wǎng)絡(luò)撥號,必須支付電話話費(fèi),特別是外地的公司,將要支付高額的長途電話費(fèi)用。綜上所述,如何很好地解決上述問題是本方案重點(diǎn)討論要解決的問題。3、解決方案該方案對原有網(wǎng)絡(luò)進(jìn)行較大幅度改造,主要考慮采用寬帶接入,全面解決2中提到的4個問題。公司總部最好有固定真實(shí)IP地址(如考慮到費(fèi)用問題,也能夠選擇便宜的ADSL接入),采用本公司硬件安全網(wǎng)關(guān)SGW25C-3。SGW25C-3為3端口100M接入的高性能企業(yè)級安全網(wǎng)關(guān),處于總部網(wǎng)絡(luò)邊界。對總部LAN起到Firewall作用,對遠(yuǎn)程分支機(jī)構(gòu)和移動用戶可起到VPN接入作用。如下圖。分部可用ADSL接入Internet(解決撥號接入帶寬問題)、或使用撥號網(wǎng)絡(luò)接入Internet,從而和集團(tuán)總部相連。根據(jù)分部網(wǎng)絡(luò)的大小、預(yù)算等具體情況可采取不同的建設(shè)方案。具體來講,分為兩種情況:1．對于一些較小的點(diǎn)往往只有幾臺機(jī)器上網(wǎng)或者只有一臺機(jī)器需要和總部進(jìn)行安全通信,能夠采用安全客戶端軟件來實(shí)現(xiàn)。安全客戶端是本公司配合安全網(wǎng)關(guān)開發(fā)的動態(tài)IP主機(jī)安全接入內(nèi)部網(wǎng)絡(luò)的軟件,該軟件支持Windows/XP/98三種操作系統(tǒng),配合SureID使用,操作簡單,使用靈活,對接入方式?jīng)]有限制。在下一節(jié)中將詳細(xì)介紹該產(chǎn)品。2．對于一些規(guī)模較大的分部網(wǎng)絡(luò),如采用ADSL接入,推薦使用支持PPPOE的SGW25B安全網(wǎng)關(guān),該安全網(wǎng)關(guān)支持ADSL接入,加密吞吐率可達(dá)到6Mbps,完全能夠滿足ADSL接入的要求,另外有防火墻模塊,能夠做到基于狀態(tài)檢測的訪問控制。分部和總部整體網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下:圖2全面改造后整體網(wǎng)絡(luò)結(jié)構(gòu)示意圖在上圖中,在internet和intranet接口處使用的本公司研制的”安全網(wǎng)關(guān)”SGW25C就徹底地解決了上述問題。分支機(jī)構(gòu)及其出差員工只要經(jīng)過本地ISP(如:163)撥號接入internet,然后利用安裝在其它機(jī)器上的”安全網(wǎng)關(guān)客戶端”軟件,就能夠安全透明地經(jīng)過與安全網(wǎng)關(guān)構(gòu)成的加密隧道從internet上安全接入企業(yè)的內(nèi)網(wǎng),如下圖所示:INTERNETINTERNET在外地出差的員工需要及時安全地與公司交流信息本公司安全網(wǎng)關(guān)撥號當(dāng)?shù)豂SP安全網(wǎng)關(guān)客戶端公司總部加密隧道圖3”安全網(wǎng)關(guān)客戶端”使用示意基于上述原因,在該方案中建議能夠省去中心機(jī)方中的”撥號服務(wù)器”(如圖1所示)。如果這些節(jié)點(diǎn)經(jīng)過撥本地公用電話網(wǎng),連入internet,再用”安全網(wǎng)關(guān)客戶端”軟件接入企業(yè)的專網(wǎng),這樣對于外地的機(jī)構(gòu)就只需要交納本地的電話費(fèi),不需要支付長途話費(fèi)(解決話費(fèi)問題);同時不用投資建”內(nèi)部的撥號Server”,而且由于經(jīng)過安全