前 言
上海大学的校园网络由于其高用户数、高访问量,素有‘小电信’之称。海加网络的SRA-1000 SSL VPN凭借着产品的高性能,高可靠性,绝佳的性价比和快速的技术支持响应,在上海大学SSL VPN接入项目中一举中标。
综 述
上海大学是一所综合性大学,是国家“ 211工程”重点建设高校之一,是上海市重要的人才培养基地。
随着校园网信息化工作的不断推进和学校规模的迅速扩大,分院校的逐渐增多,分院校的师生也有大量的访问学校总部网络资源的需求;同时越来越多的合作院校、上级主管单位也需要经常访问学校总部的网络资源,如图书馆系统、学校人事管理系统等等。
目前,上海大学校园通信光缆联接三个校区以及所有大楼,建成了较完整的信息网络服务体系。为构建更高标准的信息化校园网络,建成与上海现代化国际大都市地位相适应的高层次人才教育体系和科技创新体系,上海大学经过了深入的研究和讨论,决定引入国际先进的SSL VPN产品来改造现有的校园网络,以满足越来越高的校内资源共享和远程访问的需求。
上海大学在对市场上主流的国内外产品进行比较之后,选择了包括海加网络在内的五家国内外知名厂商的产品作为备选方案。
需求分析
为了保证重要业务信息在学校校园网以及在互联网通道上传输的安全,学校信息化工作办公室提出了以下要求:
第一,需要严格认证用户身份,保证接入人员的可控性;
第二,需要对接入用户的权限实现控制,保证内部应用的安全性;
第三,需要保证链路通道的安全保密性,这样可以保证数据传输的安全;
第四,需要逻辑隔离后台应用系统,用户需要通过代理访问后台服务器,保证后台服务器的安全,同时必须确保不改变用户的使用习惯。
上海大学网络中心安全接入项目的典型用户有两类:一类是普通教职员工,他们需要访问诸如教务系统等应用系统;一类是网络管理员和领导,他们需要访问更多的应用系统,包括对应用系统的管理配置等。
在充分理解原有实现情况的基础上,对上海大学网络安全接入项目的关键需求进行了分析和归纳,作为系统总体设计的依据,具体如下:
- 互联互通需求
方案必须实现教职员工和管理员用户能够安全地接入上海大学网络中心内部,实现访问各种业务系统的要求,包括B/S应用和C/S应用。
- 身份认证和授权需求
方案必须保证只有合法的用户才能访问经过授权的应用,从而从技术上保证作人员各司其职,防止非法访问和越权访问。
对一般教职员工采用USB Key数字证书认证方式,保证用户身份的唯一性;
对于网络管理员和学校领导,采用指纹USB Key数字证书认证方式,这样既加强了认证同时又方便了用户使用。
- 数据传输和交换的安全性需求
由于网络中心包含了各种业务系统和数据库,必须确保数据的安全性,在传输过程中不能被非法窃取,同时保证信息系统不受到内部和外部的攻击。
系统设计
根据上述需求分析,本系统设计制定并遵循了以下几个原则:
第一,安全性和保密性原则
本原则一是保证在业务系统传输的业务数据的机密性和完整性,不能被非法或未授权用户获取和篡改;二是建立完善的用户和设备认证机制,确保非法用户和非法设备不能进入系统。
第二,高可用性和可靠性原则
本原则要求在设计上要充分考虑提供安全可靠的技术和管理方式,系统必须要保证其工作的高可靠性和高稳定性;能够提供长期不间断的服务。
第三,易操作性原则
本原则主要对安全接入系统的可操作性进行严格要求。用户界面友好,操作方便、简单;系统维护方便、简单。
系统架构
实施效果
1. 实现了安全方便的互联互通
只需将海加网络SSL VPN设备接入在防火墙后面,同时将443端口开放映射到海加SSL VPN设备,用户内部的网络结构不需要做任何改动。用户只需要访问海加SRA设备的AccessPortal门户系统,通过认证授权以后,在用户和海加设备之间建立一条安全通道,就可以透明地访问内部的B/S应用和C/S应用。
2. 数据传输的安全
网络中心的用户只有在经过认证和授权以后才可以访问网络中心的应用服务器,并且用户对网络中心的应用服务器的访问是以数据加密的方式来实现的,从而保证了数据传输的安全。
3. 支持网络中心B/S和C/S应用
方案无缝地支持B/S和C/S应用。对B/S应用,方案提供无客户端的接入方式,也就是说,用户只要通过浏览器就可以安全地接入网络中心;对于C/S应用,方案提供可自动下载的插件或者客户端软件,实现对C/S应用的支持。
方案重点在于保护具体的敏感数据,可以根据用户的不同身份,给予不同的访问权限。就是说,虽然不同的网络中心人员或者教职员工都可以进入网络中心,但是可以为不同人员设置不同的访问权限。
方案采用安全方便Web界面方式,用户只要通过SRA SSL VPN的SRA Manager管理模块就可以管理所有的用户和访问控制策略,集中实现对用户的安全接入进行控制。
总结
上海大学对此次选型进行了公开招标,最终海加网络的SRA-1000 SSL VPN凭借着先进的技术,完整的SSL VPN应用实现,快速的技术支持响应,绝佳的性价比,一举中标!
海加网络 SRA 系列SSL VPN是采用国际最先进的技术,针对国内市场特别设计的SSL VPN产品,产品的各项功能和性能技术指标完全达到甚至超过国际一流水平。产品应用了一系列业界最为先进的技术和部分海加网络专有技术,如可实现对WEB应用的全面支持(如微软的OWA)的专有动态URL重构技术;能够有效防止黑客攻击和病毒入侵的专有端口复用技术和代理技术;能够实现了真正意义上的无客户端安装;业界最完善的细粒度访问控制技术,确保内部网络重要数据的安全等。
上海大学已制定了学校中长期发展战略规划,提出了更高的奋斗目标,即发扬自强不息精神,构建绿色、文明、信息化校园,建成与上海现代化国际大都市地位相适应的高层次人才教育体系和科技创新体系,成为国内一流的综合性研究型大学。海加网络将继续为上海大学的远大目标提供最优质的产品和服务,助力高校信息化的发展!