随着移动互联技术的发展,越来越多的人使用智能移动终端,智能手机、平板电脑、PDA等产品,通过互联网处理各种业务。企业员工在家或在其他地方办公时,移动作业的应用需求也不断增加,他们通过移动设备(如智能手机、智能平板)访问公司内网信息,处理工作上的应用业务。因而企事业单位就提出在移动的状态下安全接入公司内网的需求。如何使各企事业单位的出差人员,分支机构人员以及在家办公人员能够快速、安全地通过Internet远程接入总部网络,实现各种业务的远程处理及数据交换,就是移动安全接入解决的核心问题。
移动安全接入方案概述
为满足众多移动用户方便快捷地接入公司网络的互连需求,防止用户直接从互联网接入导致的安全问题,解决数据在互联网传输中的安全问题,天融信提供了全面的移动接入解决方案。网络结构如图1所示,用户可以根据自身的网络和业务特点选择以下两种方式:
•SSL VPN方式接入,针对不同的业务分别使用不同的客户端,目前天融信VPN网关支持的客户端有天融信自开发的Topconnect,Topbrowser,SSLVpnClient。
•IPSEC客户端方式接入,可以处理所有的业务数据。目前天融信VPN网关支持IOS系统系统自带VPN中的IPSEC接入。Android系统可以支持部分手机自带VPN的IPSEC接入,支持开源NCP软件的IPSEC接入。
图1
移动安全接入优势与特点
安全的远程连接可以通过天融信各种客户端和VPN之间建立SSL隧道或IPSEC隧道进行。天融信可以提供一体化设备,同时支持这两种接入方式,无需分别部署、管理独立的设备,就能够获得最高的灵活性和应用接入。
采用SSL方式进行移动接入时,用户端只需具备安装SSL客户端,在可以接入互联网的任何位置,都能够远程访问内网资源。发起者首先通过客户端与VPN网关建立SSL隧道,在经过严格的身份认证后,用户可根据预先分配好的访问控制策略进行安全数据传输。SSL 接入方式可以处理虚拟应用、虚拟桌面、OA、WEB等大部分应用访问。SSL VPN可以提供完整的身份认证、数据加密、Session保护、历史信息清除等安全功能。
IPSEC接入方式具备完善的远程接入功能,能够完全访问公司内网资源。利用IPSEC,用户可以访问任何应用,就好像自己与总部局域网建立了实际连接。而IPSEC协议众多的安全特性也保证了采用该方式进行接入时数据的安全性。
移动安全接入的优势可总结为以下几个方面:
•扩展企业网络和应用
采用移动安全接入可以显著扩展企业的网络边界和应用服务范围,极大提高生产效率。如OA、ERP、财务、内部邮件远程扩展等业务系统提供一个安全的网络互联平台。
•提供随时随地的移动安全接入
天融信移动安全接入方案提供了多种灵活的接入方式,即:基于SSL以及IPSEC 协议的VPN接入,只要Internet能够到达的地方即可进行远程接入。同时,基于标准SSL和IPSEC协议的认证、强加密等属性也保证了数据在传输过程中不被窃取和篡改,在连接的用户认证、应用资源访问控制、用户流量审计等方面均具备相应的安全措施。
•提供SSL与IPSEC 一体化网关,应用更灵活
天融信可提供一体化的网关设备,同时支持SSL与IPSEC两种接入方式,吸收最主流的IPSec VPN和SSL VPN 各自的优点,使得用户在拥有一台设备的同时拥有更广泛的功能,可自主选择更适用的方式。
移动安全产品
天融信安全移动接入方案中IPSEC接入客户端主要使用的是智能终端系统自带的VPN,这里不进行介绍。SSL VPN方式接入主要使用的是天融信自开发的Topbrowser,Topconnect,SSLVpnClient。对于天融信自开发的SSL VPN不同的接入方式,可应用于不同的应用场景。
TopBrowser,是将浏览器、SOCKS5代理服务器和SSLVPN端口转发模块相结合,实现基于SSLVPN的安全浏览器。该产品基于SSLVPN端口转发功能,为用户提供内置VPN的安全浏览器客户端。该APP支持iOS和Android系统。支持国密协议、国密算法和专用国密硬件Key,支持用户名口令、证书、双因子、硬件证书、硬件证书双因子、图形认证码、短信认证码的认证方式。该APP接入只适用于B/S系统的应用访问,如,如CRM、OA、ERP等。
下图即是TopBrowser典型应用的拓扑结构图:
图2 Topconnect提供基于SSLVPN的远程桌面
TopConnect,天融信SSL VPN设备的TopConnect功能和终端服务器搭建移动办公平台,通过远程发布Windows应用的形式,将办公系统延伸到个人PC或智能终端上,通过如个人PC、iPad、iPhone、Android等平板电脑或智能手机实现远程便捷办公,TopConnect将数据保存在终端服务器上,只有鼠标键盘点击的控制信息和屏幕更新经过网络传输,TopConnect让管理员可以为指定的用户群分配应用访问。用户的各种终端通过天融信SSL VPN接入业务数据中心,可以实现跨平台的快速访问,为用户提供与桌面操作系统一致的用户体验。该APP支持iOS和Android系统。支持国密协议、国密算法和专用国密硬件Key,支持用户名口令、证书、双因子、硬件证书、硬件证书双因子、图形认证码、短信认证码的认证方式。
SSLVpnClient,是SSLVPN全网接入方式的移动VPN客户端。该产品基于SSLVPN全网接入功能,为用户提供内置VPN的全网接入客户端。该APP只支持Android系统。支持国密协议、国密算法和专用国密硬件Key,支持用户名口令、证书、双因子、硬件证书、硬件证书双因子、图形认证码、短信认证码的认证方式。该APP接入不仅适用于B/S系统的应用访问,还适用于C/S系统的应用访问。