服务与解决方案

获取IT解决方案报价

企业SSL VPN

日期:2021-08-13 来源:原创 打印 返回


1. 产生背景 / 市场需求

1.远程/混合工作模式的兴起

2.规避信息风险的同时保障生产力

3.易于安排以便利各级员工

4.员工的VPN权限管理

5.用户访问监控 (包括员工及合作伙伴)

SSL(安全套接字层)是一种安全协议,有助于在Web服务器和Web浏览器之间(即服务器与客户端之间)创建加密链接。因此,通过SSL证书适当的加密和解密,保护用户隐私信息免于第三方窃听,中间人,银行卡数据窃取,企业数据泄露等。

虚拟专用网(Virtual Private Network,VPN),就是建立在公用网上的、由某一组织或某一群用户专用的通信网络,其虚拟性表现在任意一对VPN用户之间没有专用的物理连接,而是通过ISP提供的公用网络来实现通信,其专用性表现在VPN之外的用户无法访问VPN内部的网络资源,VPN内部用户之间可以实现安全通信。

2. 主要功能

1. 十足的安全性: 提供全面的安全功能,包括用户认证、多层权限、主机终端检查和虚拟桌面,以防止数据泄漏和未经授权的入侵

2. 可靠的远程连接以提高生产率:  通过提供高性能和便捷的远程访问功能,为远程用户提供从任何设备的VPN访问,并提高了员工的工作效率,方便在外洽公员工远程使用公司资源

3. 零接触部署: 可以通过网络浏览器远程设置SSL VPN,让公司员工轻松实施远程登入

4. 易于使用: 降低成本及复杂的安装程序, 操作简易,可因应业务发展步伐自由配置

3. 如何运作

image.png

SSL的工作原理

无论是个人还是组织需要SSL证书保护其网站都需要先向CA(证书颁发机构)颁发SSL证书。可以通过创建CSR(证书签名请求),填写证书所需要的组织信息来激活SSL证书。服务器就会自主创建一对密钥,分别是公钥和私钥,公钥是包含在CSR文件中。企业的信息与公钥相对应,然后管理员将完整的文件发送到CA机构进行验证。CA机构验证其信息无误时,即会向企业颁发相对应的SSL证书,接收WEB服务器将证书与私钥进行配对比较。

安装完成后,SSL证书就可以开始系统地工作。当浏览器尝试与网站建立连接时,网站首先要求网络服务器识别自己,然后网站通过SSL证书的副本标识自己。而浏览器基于SSL证书的真实性决定是否信任网站/服务器。如果浏览器信任并接受SSL证书,则会向服务器发送一条消息,该消息将使用数字签名的确认进行响应,启动SSL加密通信。用户当用户通过浏览器向服务器发送登录或隐私信息时,可通过SSL证书识别网站的真实身份。身份确认无误后,用户输入的信息就被SSL证书的公钥进行加密,并安全传输到服务器。服务器接收到信息后就用使用SSL证书的私钥进行解密,查看验证用户信息,并向用户发送相关的信息。

可以让远程用户随时随地存取公司资源的安全网关,为用户提供安全可靠的远程登入通信

这里讲的VPN是指在Internet上建立的、由用户(组织或个人)自行管理的VPN,而不涉及一般电信网中的VPN。后者一般是指X. 25、帧中继或者ATM虚拟专用线路。

企业内部虚拟网

利用Intranet VPN方式可在Internet上构建全球Intranet VPN,企业内部资源用户只需连入本地ISP的接入服务提供点POP(Point Of Presence)即可相互通信,而实现传统WAN组建技术均需要有专线。利用该VPN线路不仅可保证网络的互联性,而且,可利用隧道、加密等VPN特性保证在整个VPN上的信息安全传输。这种 VPN通过一个使用专用连接的共享基础设施,连接企业总部和分支机构,企业拥有与专用网络的相同政策,包括安全、服务质量可管理性和可靠性,如总公司与分公司构建的企业内部VPN。

企业虚拟专用网服务的配置和管理

1、企业虚拟专用网部署的目的大多数企业都有属于自己的企业内网,内网中有着很多共 享资源。企业员工在上班时可以通过连接内网访问共享资源,但是如果员工回家后,该如果访问企业内网资源,直接访问显然是行不通的,那么如何让员工在家中,使用公网网络访问企业内网资源?人们发明了虚拟专用网来解决该问题

2、虚拟专用网络Virtual Private Network,在公用网络上建立专用网络,这就好比架设了一条专线一样,但是它并不需要真正的去铺设光纤之类的物理线路,它通过对数据包的加密和数据包目标地址的转换实现远程访问,简单的说虚拟专用网的核心就是利用公共网络建立虚拟私有网。

3、企业虚拟专用网支持设备企业虚拟专用网可以通过硬件或者软件方式实现。在Windows Server 2019中支持软件定义虚拟专用网功能。虚拟专用网设备一般采用双网卡结构,内网卡接入公司的内部局域网,外网卡使用公网IP接入互联网。

4、网络拓扑及说明(工作原理简述)


image.png

当企业员工家中电脑想通过虚拟专用网访问公司内部服务器时,数据包1经过互联网转发到虚拟专用网服务器的网卡1中,经过虚拟专用网技术进行封装,将数据包1的源地址由公网IP转换成了一个内网IP。然后网卡2会把这个数据包1发送给公司内部服务器。当公司内部服务器返回数据包2时,经过虚拟专用网服务器,虚拟专用网服务会将数据包2的目的地址由内网地址转换为公网IP。


关注
我们
关注微信公众号
在线
联系