客户需求:
湖南中烟工业有限责任公司(下面简称中烟)是一家从事烟草制品的生产、销 售,烟用物资、烟机进出口业务以及烟草制品生产销售相关的其他生产经营的多元 化经营,资产经营的公司。 公司开发了一套OA系统,这套OA 系统集成了公司内部论坛,OA 以及邮件系统 等多种网络应用系统,这些系统通过公司购买的Websphere平台发布到一个统一 的web页面,用户只需要在WebSphere的首页进行登录,就可以一次性登录所有在 WebSpher上发布的网络应用,这些后台的登录及传参由中烟的相关开发人员自己 开发来实现。目前系统仅在内部使用,并没有发布到 internet 上给远程用户使用。
中烟的信息中心希望将设备发布到 internet 上给远程用户使用,但是需要考虑下 面几个问题:
1:安全性:只有授权的用户才能够实现访问
2:机密性:所有的访问数据均加密
3 :使用 SSL VPN 来实现上述保护
网络拓扑图
方案说明
> 将SonicWALL Aventail SSL VPN网关部署于中烟公司防火墙内DMZ区域,并 配置双机热备模式,这种部署方式对现有网络不需进行任何修改,
> 对于请求接入并成功通过认证的用户,通过SonicWALL Aventail SSL VPN上 的EPC终端扫描技术来验证用户端PC自身的安全性,
> 针对难以确定网络拔入者的身份,无法针对用户进行授权及审计的问题,我们通 过Aventail上的硬件信息和用户信息绑定的技术,将用户端接入设备的硬件信息 通用户账号信息实现技术绑定,
> 实现指定的用户只能够访问授权的目标服务资源。确保了只有经过验证的合法终 端和用户才能拔入,并根据不同群组用户、分配不同资源使用权限。
> 强力清除用户端得浏览记录或者直接接管用户端在访问时的桌面,禁止用户对核 心资料进行私自拷贝复制打印,防止核心资料泄露。
> 对于通过网络浏览下载到用户本地接入设备上的数据,需要通过特定的手段来 清除或者限制用户将这些数据通过拷贝、截屏、打印等方式传递出去,******限度 的保障这些数据的机密性,使用SonicWALL Aventail的ASD虚拟桌面技术来实 现这些功能,避免数据的失密。
设备选型
SonicWALL SRA6000 两台