BILLION BiGuard e键联SSL VPN ERP部署 客户端加速访问

　为了实现企业管理信息化，制造业企业实施了ERP管理系统，但是对制造业而言，一般工厂在郊区，而公司的销售在市中心，公司销售部门需要及时访问公司的ERP系统，同时公司在全国各地设有分公司或者办事处，另外公司的管理层出差或者销售人员出差在外，也需要实时访问公司的系统。目前主流的ERP软件大多采用C/S结构，除了在总部部署服务之外，还需要在各分支机构部署ERP软件客户端，客户端与服务器端需要反复大量的数据，但是在目前的带宽条件下，如果采用IPSEC VPN，ERP软件客户端需要频繁的调用数据库，在总部和分支机构之前频繁进行数据交换，存在速度慢等问题，传统的IPSEC VPN在ERP的互联中显得力不从心，严重影响了工作效率。而且IPSEC VPN需要安装拨号客户端，造成系统投资大，维护复杂，除了IPSEC VPN的客户端之外，还需要维护大量的ERP软件客户端和大量的本地数据，特别是一个大型的企业网络，工作量将成几何倍数增加。另外，IPSEC VPN存在NAT的穿越的局限性，给ERP的远程访问和移动办公带来无法跨越的障碍。而SSL VPN的出现，则很好地适应技术的发展，通过结合远程终端技术，实现了C/S结构的ERP转换成B/C结构，使ERP软件远程访问WEB化，实现零客户端安全加速访问，既降低了VPN和ERP部署的复杂性，实现了VPN和ERP软件的统一部署，又可以解决ERP的访问的速度。

　　SSL VPN技术介绍

　　SSL协议是网景公司设计的基于Web应用的安全协议，它指定了在应用程序协议(如HTTP，Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证，SSL协议栈由握手协议、密钥更改协议和告警协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主要是用于服务器和客户之间的相互认证，协商加密算法和MAC(MessageAuthenticationCode)算法，用于生成在SSL记录中发送的加密密钥。SSL记录协议是为各种高层协议提供基本的安全服务，其工作机制如下：应用程序消息被分割成可管理的数据块(可以选择压缩数据)，并产生一个MAC信息，加密，插入新的文件头，最后在TCP中加以传输；接收端将收到的数据解密，做身份验证、解压缩、重组数据报然后交给高层应用进行处理。SSL密钥更改协议是由一条消息组成，其作用是把未定状态拷贝为当前状态，更新用于当前连接的密钥组。SSL警告协议主要是用于为对等实体传递与SSL相关的告警信息，包括警告、严重和重大等三类不同级别的告警信息。

　　SSL VPN的突出优势在于零客户端部署，只需要能上网，采用IE浏览器，就可以实现安全接入。目前，对SSL VPN公认的三大好处是：首先来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要安装，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，可以适用于任何的终端及操作系统。

　　 针对ERP远程接入，BILLION创新性的推出了BIGUARD e键联 ERP远程SSL VPN接入网关，BIGUARD e键联内置路由，防火墙和SSL VPN，支持网关部署的单臂部署，非常方便，设备内置了远程终端服务代理，可以方便的把服务器的ERP应用程序发布出来，远程的客户端通过任何标准 Web浏览器就可以登录，同时BIGUARD e键联提供了远程接入的PC的身份认证，只有授权的PC才能访问公司内部的ERP系统，如果是OA，可以提供细粒度的访问控制，为不同的人提供不同的访问权限。对经常外出的移动办公人员，可以在任何场所、通过任何终端，无需在客户终端安装任何软件，就可以安全的访问公司内部资源。这样就省去的管理员大量的客户维护。另外采用了SSL VPN，无需开放1433或3389远程桌面端口，只需要开放443加密端口，不会暴露服务器地址，保证了服务器的安全。另外SSL VPN是应用层的VPN，只是开放了应用程序，远程的客户端无法越权访问IP层的应用，同时也无法通过SSL VPN攻击总部的网络，包括木马，冲击波病毒。

　　　具体的方案是总部（ERP数据库放置地）放置一台BIGUARD e键联ERP 远程接入SSL VPN，可以根据企业实际情况接一条或多条ADSL线路，分支机构无需采用任何硬件,并且在总部部署一台WIN2003 SERVER，启用终端服务，在并在服务器安装ERP远程客户端，通过BIGUARD e键联的应用程序发布功能，把服务器上的ERP客户端程序发布出来，这样，远程的客户根据相应的权限，只能看到发布的ERP客户端程序，而无法看到整个服务器桌面，无法操作其他程序活数据库，远程客户只需要点击连接按钮，就可以运行ERP程序，同时远程客户也可以实现本地打印和数据存储，十分方便。由于远程分支或移动用户无需安装IPSEC VPN移动客户端软件，采用IE浏览器经过身份认证之后就可以实现安全的接入，无需再安装ERP客户端软件，所有的操作都在服务器上进行，只是把屏幕，鼠标，键盘的信息传输到远程的PC上，这样就大大降低远程的数据传输，降低传统IPSEC VPN对带宽的依赖，实现了ERP的快速访问，真正实现软件统一部署，部署和日后的维护非常方便。如果还有其他基于IP层的应用，BIGUARD e键联也支持NE，即L3层VPN，可以支持IP层应用，包括网络文件共享等，网络邻居，视频和VOIP语音通信。

　　　　2、方案效果

　　（1） C/S架构转换程B/S架构

　　通过在总部部署SSL VPN，只需要在总部部署一台BIGUARD e键联SSL VPN，分支机构和远程的PC不需要部署任何硬件网关和客户端程序，利用IE浏览器就可以实现安零客户端的安全访问，大大降低投资成本和日后的维护难度。

　　（2） 加速ERP的远程应用

　　通过SSL VPN和远程终端服务，由于BILLION的SSL VPN内置了远程终端代理，通过远程终端对ERP应用进行加速，实现财务、ERP系统的全公司互联，支持本地打印和存储：各分支机构与总部象在同一间办公室里一样共享并同步应用ERP管理系统，让公司管理更加统一规范，保证数据实时更新。

　　（3） 局域网内所有应用的扩展

　　除ERP外，所有局域网内的应用系统、打印机等都可以得到无限扩展，如果不作权限设置，远程分支、移动用户将与总部内网用户没有任何区别。

　　（4） 直观“网上邻居”，文件资源共享

　　使得企业所有不同办公地点的机构形成了内部完整的企业局域网，实现公司网络资源共享，包括文件资源安全规范共享的文档管理。

　　（5） 访问控制

可以非常细致地设定SSL VPN内网访问权限，能够限制用户对特定资源的访问，可实现用户分组和独立的权限设定

（6） 真正意义上移动办公

　　BIGUARD e键联内置了多种应用代理，真正实现无客户端访问，使用SSL VPN技术使得出差人员、各级领导无论身在何处，都可以实时连入公司内部，查看数据报表，或直接通过网上邻居拷贝所需文件。

　　（7） QOS应用

　　基于防火墙和VPN不同层次的智能QOS可以确保用户重要数据的优先传送，防火墙的QOS分流上网与VPN数据，而VPN内的智能QOS可动态为各优先级别的VPN应用合理分配带宽，在网络繁忙时优先传送更重要的数据（如ERP系统数据等）。

标签： ssl ssl vpn 安全 标准 防火墙 服务器 服务器安装 服务器地址 服务器端 企业 权限 数据库 通信 网络 问题 信息化 选择 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。