BILLION BiGuard e键联SSL VPN ERP部署 客户端加速访问
2018-06-11 来源:
为了实现企业管理信息化,制造业企业实施了ERP管理系统,但是对制造业而言,一般工厂在郊区,而公司的销售在市中心,公司销售部门需要及时访问公司的ERP系统,同时公司在全国各地设有分公司或者办事处,另外公司的管理层出差或者销售人员出差在外,也需要实时访问公司的系统。目前主流的ERP软件大多采用C/S结构,除了在总部部署服务之外,还需要在各分支机构部署ERP软件客户端,客户端与服务器端需要反复大量的数据,但是在目前的带宽条件下,如果采用IPSEC VPN,ERP软件客户端需要频繁的调用数据库,在总部和分支机构之前频繁进行数据交换,存在速度慢等问题,传统的IPSEC VPN在ERP的互联中显得力不从心,严重影响了工作效率。而且IPSEC VPN需要安装拨号客户端,造成系统投资大,维护复杂,除了IPSEC VPN的客户端之外,还需要维护大量的ERP软件客户端和大量的本地数据,特别是一个大型的企业网络,工作量将成几何倍数增加。另外,IPSEC VPN存在NAT的穿越的局限性,给ERP的远程访问和移动办公带来无法跨越的障碍。而SSL VPN的出现,则很好地适应技术的发展,通过结合远程终端技术,实现了C/S结构的ERP转换成B/C结构,使ERP软件远程访问WEB化,实现零客户端安全加速访问,既降低了VPN和ERP部署的复杂性,实现了VPN和ERP软件的统一部署,又可以解决ERP的访问的速度。
SSL VPN技术介绍
SSL协议是网景公司设计的基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证,SSL协议栈由握手协议、密钥更改协议和告警协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(MessageAuthenticationCode)算法,用于生成在SSL记录中发送的加密密钥。SSL记录协议是为各种高层协议提供基本的安全服务,其工作机制如下:应用程序消息被分割成可管理的数据块(可以选择压缩数据),并产生一个MAC信息,加密,插入新的文件头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证、解压缩、重组数据报然后交给高层应用进行处理。SSL密钥更改协议是由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组。SSL警告协议主要是用于为对等实体传递与SSL相关的告警信息,包括警告、严重和重大等三类不同级别的告警信息。
SSL VPN的突出优势在于零客户端部署,只需要能上网,采用IE浏览器,就可以实现安全接入。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。
针对ERP远程接入,BILLION创新性的推出了BIGUARD e键联 ERP远程SSL VPN接入网关,BIGUARD e键联内置路由,防火墙和SSL VPN,支持网关部署的单臂部署,非常方便,设备内置了远程终端服务代理,可以方便的把服务器的ERP应用程序发布出来,远程的客户端通过任何标准 Web浏览器就可以登录,同时BIGUARD e键联提供了远程接入的PC的身份认证,只有授权的PC才能访问公司内部的ERP系统,如果是OA,可以提供细粒度的访问控制,为不同的人提供不同的访问权限。对经常外出的移动办公人员,可以在任何场所、通过任何终端,无需在客户终端安装任何软件,就可以安全的访问公司内部资源。这样就省去的管理员大量的客户维护。另外采用了SSL VPN,无需开放1433或3389远程桌面端口,只需要开放443加密端口,不会暴露服务器地址,保证了服务器的安全。另外SSL VPN是应用层的VPN,只是开放了应用程序,远程的客户端无法越权访问IP层的应用,同时也无法通过SSL VPN攻击总部的网络,包括木马,冲击波病毒。
具体的方案是总部(ERP数据库放置地)放置一台BIGUARD e键联ERP 远程接入SSL VPN,可以根据企业实际情况接一条或多条ADSL线路,分支机构无需采用任何硬件,并且在总部部署一台WIN2003 SERVER,启用终端服务,在并在服务器安装ERP远程客户端,通过BIGUARD e键联的应用程序发布功能,把服务器上的ERP客户端程序发布出来,这样,远程的客户根据相应的权限,只能看到发布的ERP客户端程序,而无法看到整个服务器桌面,无法操作其他程序活数据库,远程客户只需要点击连接按钮,就可以运行ERP程序,同时远程客户也可以实现本地打印和数据存储,十分方便。由于远程分支或移动用户无需安装IPSEC VPN移动客户端软件,采用IE浏览器经过身份认证之后就可以实现安全的接入,无需再安装ERP客户端软件,所有的操作都在服务器上进行,只是把屏幕,鼠标,键盘的信息传输到远程的PC上,这样就大大降低远程的数据传输,降低传统IPSEC VPN对带宽的依赖,实现了ERP的快速访问,真正实现软件统一部署,部署和日后的维护非常方便。如果还有其他基于IP层的应用,BIGUARD e键联也支持NE,即L3层VPN,可以支持IP层应用,包括网络文件共享等,网络邻居,视频和VOIP语音通信。
2、方案效果
(1) C/S架构转换程B/S架构
通过在总部部署SSL VPN,只需要在总部部署一台BIGUARD e键联SSL VPN,分支机构和远程的PC不需要部署任何硬件网关和客户端程序,利用IE浏览器就可以实现安零客户端的安全访问,大大降低投资成本和日后的维护难度。
(2) 加速ERP的远程应用
通过SSL VPN和远程终端服务,由于BILLION的SSL VPN内置了远程终端代理,通过远程终端对ERP应用进行加速,实现财务、ERP系统的全公司互联,支持本地打印和存储:各分支机构与总部象在同一间办公室里一样共享并同步应用ERP管理系统,让公司管理更加统一规范,保证数据实时更新。
(3) 局域网内所有应用的扩展
除ERP外,所有局域网内的应用系统、打印机等都可以得到无限扩展,如果不作权限设置,远程分支、移动用户将与总部内网用户没有任何区别。
(4) 直观“网上邻居”,文件资源共享
使得企业所有不同办公地点的机构形成了内部完整的企业局域网,实现公司网络资源共享,包括文件资源安全规范共享的文档管理。
(5) 访问控制
可以非常细致地设定SSL VPN内网访问权限,能够限制用户对特定资源的访问,可实现用户分组和独立的权限设定
(6) 真正意义上移动办公
BIGUARD e键联内置了多种应用代理,真正实现无客户端访问,使用SSL VPN技术使得出差人员、各级领导无论身在何处,都可以实时连入公司内部,查看数据报表,或直接通过网上邻居拷贝所需文件。
(7) QOS应用
基于防火墙和VPN不同层次的智能QOS可以确保用户重要数据的优先传送,防火墙的QOS分流上网与VPN数据,而VPN内的智能QOS可动态为各优先级别的VPN应用合理分配带宽,在网络繁忙时优先传送更重要的数据(如ERP系统数据等)。
标签: ssl ssl vpn 安全 标准 防火墙 服务器 服务器安装 服务器地址 服务器端 企业 权限 数据库 通信 网络 问题 信息化 选择 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:安普布线大连国际金融中心