第三方网络VPN接入解决方案(高安全性)
随着业务规模的扩大,业务系统也在不断延伸,除了建设内部自己使用的业务系统外,还建立了大量供第三人员使用的业务系统。企事业单位的IT支撑体系一般由内部网络+第三方业务网络组成。目前很多企事业单位的第三方业务网络占据着越来越重要的位置,如何使用VPN技术,组建安全经济的第三方接入网络,让上游供应商、下层代理商等第三方机构可以高效使用业务系统,不断优化企事业单位的业务流程,我们建立高安全性的第三方网络VPN接入。
一、第三方业务接入的背景
现在的企事业单位的内部网络主要有OA、ERP、CRM等系统,负责处理、优化内部业务流程;而第三方业务网络则主要解决企业与客户、合作伙伴、监督机构及其他的第三方单位进行业务数据的交互(如税务行业的网上报税、统计行业的工业直报、银行行业的网上银行、制造行业的供应系统等)。
为了解决第三方的接入问题,企事业单位需要建立一套安全、经济的业务网络。此类业 务往往存在着以下几个特点:
1、第三方合作伙伴、客户分散,网络接入分散复杂
此类接入用户往往比较分散,遍布省市、全国甚至 的网络当中,企事业单位在处理这类第三方合作伙伴接入访问时,组建的网络成本高昂,实施和维护复杂。
2、对第三方接入的安全认证问题
目前企事业单位的业务系统一般以明文方式进行数据传输,如果直接把业务系统接口开放在公网上,就会给企事业单位带来数据遭窃或入侵内网的风险;如果将业务系统放在企事业单位内网,对第三方人员接入时,如果无法对接入人员的身份做 的认证,这也会带来严重的安全隐患。
3、第三方接入人员访问方式多元化
事实上,很多第三方合作单位、监督机构的业务合作相对固定,一般由固定的公司电脑发起连接;但部分针对客户的业务则可能随时随地从PC、PDA、智能手机等方式发起连接。目前,运营商、银行、证券、税务、质监、统计、审计、制造等行业的企业用户,都面临着上述问题。
二、针对第三方接入的解决方案
2005年, 台IPSec/SSL一体化VPN产品出世,目前已成为VPN领域的标准配置。2008年,SSL VPN以31.1%的市场份额占据中国SSL VPN 位。在建立第三方业务网络时,我们可以通过IPSec VPN、SSL VPN整合的方式组建安全经济的网络互联,以方便第三方安全接入。
如上图,整个方案只需投入一套VPN设备,部署完成后第三方单位就可以通过SSL VPN或IPSec VPN的方式安全地接入企事业单位业务内网中。其中,对于有一定网络规模、需要固定接入的第三方合作伙伴或用户,可以在第三方网络中架构IPSec VPN设备,通过IPSec VPN将两个局域网连接起来;而对于接入地点不固定、有移动办公需求的用户,则可以使用SSL VPN的方式接入,从而满足业务的多元化。
事实上,VPN可实现开机自动运行、断线自动重连,可以保证VPN的不间断连接,这样很好地适应了第三方用户复杂不一的网络环境;而SSL VPN不需在客户端安装,对用户的技术要求基本没有,这适合第三方用户或合作伙伴数量不大、分散较广的情况。
三、该方案给我们带来的价值
1.有效降低了企业的线路、硬件设备采购成本
采用IPSec VPN、SSL VPN相结合的方式企事业单位可以在总部、大型分支机构部署硬件VPN而在规模较小、较为分散的分支机构及个人用户,则通过SSL VPN的形式接入总部内网,这样可有效节省组网成本。而且这样一来,企事业单位可以将业务系统、服务器集中在总部以进行数据集中,这样可有效节约IT成本及维护,并且这种组网方式降低了企业对光纤、专线的依赖,大大降低了带宽成本。
2.让第三方接入更安全可控
第三方合作伙伴、用户因为业务合作等,其接入时,企事业单位必须得对其身份进行严格认证,对不同权限的身份分配不同等级的业务访问权限,比如一般的供应商,我们只会让他们看到供销业务系统等,而不会让他访问CRM、财务系统等,让合适的人访问合适的资源。
3.组建可持续发展的业务网
当企事业单位的业务网络规模扩大,第三方接入的需求增加时,SSL VPN提供集群功能,使企事业单位并不需要购买更高端的设备来替换原有的SSL VPN,而只需在总部部署另外的SSL VPN,和原有SSL VPN结合起来使用,即可有效的平衡多个VPN设备之间的负载,帮助设备以 大效率进行工作,满足移更多的第三方接入。
目前,云南省国税、新疆电信、贵州省质监局、厦门劳保局等都利用IPSec/SSL VPN第三方解决方案,收到了较好的应用效果。
珠海易云科技有限公司专业技术团队为您企业提供专业、周全的企业网络安全解决方案,并提供深信服产品免费上门试用,欢迎来电咨询:0756-2280670/2280671