WebVPN
一、基本背景
随着互联网技术飞速发展,商业模式也打破了传统的地域局限,越来越多的企业利用互联网技术提升业务效率。利用信息化,加速业务流程;利用互联网,实现随时随地的业务响应。互联网技术已经彻底改变传统的业务办理模式,借助信息化,许多业务信息实现快速处理和共享,人员无论在何时何地,只要能连上互联网,就能实现业务的及时处理。
与此同时,业务信息网络化也带来了安全威胁:企业商业数据、用户数据等信息一旦被泄露,则会带来难以估计的损失,而一旦通讯或存储的信息被篡改,则更会带来难以估计的后果。因此业务信息化,首要关注的就是安全问题。
为解决此安全问题,最具有性价比的解决方案就是使用VPN(Virtual Private Network 虚拟专用网)技术来构建安全的业务网络。目前常用VPN方式均为了解决Lan To Lan(网对网)的安全问题,随着越来越多Port To Lan(点对网)远程接入需求出现,此类VPN方式明显力不从心,且存在以下弊端:授权有限,配置复杂,终端兼容性差,弱口令风险,易被运营商屏蔽……
WebVPN技术就应运而生,其简单易用、无需客户端、安全性强、兼容性好等特点,为其快速发展提供了有力条件。构建一个能够验证用户身份,保障其安全访问内部资源和已购外网资源,同时记录详细日志的WebVPN系统,已成为各企业或高校的迫切需求。
二、产品需求
2.1.传统VPN受限
在信息化发展迅猛的今天,远程办公、远程学习已成为常态,通过VPN方式访问资源已成为用户最常用的方式。随着VPN技术的不断发展,传统VPN方式也暴露出众多问题:
授权有限,授权用户数越多,价格越高;
配置复杂,需要安装客户端或在浏览器里安装插件;
更新频繁,用户登录时必须先完成更新,否则无法使用;
兼容性差,对终端系统及浏览器等版本均有要求。
2.2.业务暴漏风险
在企业信息化逐步实现常态化、规模化的同时,企业向互联网发布业务也越来越多。员工、管理者等各种角色和手机、平板电脑等多种终端均需要访问业务,易造成业务暴露信息过多,面临被恶意扫描、攻击入侵的风险。
2.1.权限控制瓶颈
移动互联网时代到来,众多移动终端的出现,使传统VPN基于IP的静态访问控制机制逐渐落伍。此机制限制了移动终端的灵活性,无法根据用户安全状态调整访问权限,已不能有效保护核心业务资源。
2.1.缺乏运维审计
在现今信息安全事故频发背景下,如果缺乏有效运维审计能力,一旦出现运维事故,难以进行回溯追责。自2017年6月施行的《中华人民共和国网络安全法》第二十一条(三)项规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。如果缺乏详细的运维日志信息,将面临严重的处罚。
三、功能介绍
华域智能WebVPN系统具有WebVPN、SSL VPN、服务器管理等多种功能,既为普通用户提供内部资源和已购外网资源的快速安全访问方式,又帮助特定用户实现特定资源访问的身份验证和权限控制。以下为华域智能WebVPN系统的优势功能:
3.1.WebVPN
华域智能WebVPN系统提供基于Web资源的应用访问控制,允许授权用户访问只对内网开放的Web业务,包括内网业务系统、已购外网资源等,实现类似VPN(虚拟专用网)的功能。相较于传统VPN方式,WebVPN具有如下优势:
标准HTTP/HTTPS协议,避免运营商封锁;免客户端接入,不改变用户原有使用习惯;无需浏览器插件,兼容所有标准HTTP浏览器;终端系统无要求,兼容IOS、Android、Windows等终端系统。。
图4.1. WebVPN访问
3.2.权限控制
华域智能WebVPN系统具有精细化控制策略,帮助用户实现多维度的访问权限控制。
访问终端方面:针对终端类型、浏览器类型、来源地址进行自定义管控;
业务资源方面:限制电子资源下载,控制资源访问流量,定义资源开放时间;
账户管理方面:既可以使用自带本地账户管理系统,也可以通过自助申请开通,还能够通过第三方认证系统对接实现账户快速上线;
用户身份方面:针对不同类型用户身份,定义不同用户权限,包括临时用户、普通用户和运
维管理
用户。
3.3.认证防护
华域智能WebVPN系统集成丰富的认证方式,既支持系统自带的认证方式,包括密码、短信动态口令、验证码等,又支持与三方系统的联动认证方式,包括CAS、LDAP、RADIUS、企业微信、钉钉等。
3.4.远程协作
华域智能WebVPN系统集成远程协作功能,开启后原厂工程师可远程接入设备,提供原厂技术支持服务。
3.5.远程运维
华域智能WebVPN系统具有服务器管理功能,以4A(认证Authentication、授权Authorization、账号Account、审计Audit)管理理念为基础,为用户提供一套先进的运维安全管控与审计方式。通过B/S形式进行管理,实现对IT运维过程的全面监管,满足用户安全管理需求。
服务器管理功能支持RDP、SSH、VNC、Telnet等多种主流服务器管理协议。
3.6.会诊平台
在遇到需要多方协作解决的IT故障时,华域智能WebVPN系统能够为用户提供在线的远程协助会诊平台,实现以下效果:
一键协同:只需一键生成分享链接,协作多方即可通过该URL进入到同一会话界面,进行系统会诊;
操作权限切换:会话操作控制权可以在参与会话的用户之间进行方便的切换;
运维操作控制:系统管理员及会话发起者拥有会话最高权限,可全程监控会话,一旦发现会话存在危险或违规操作,可随时剥夺操作者的操作权限,甚至踢出当前会话;
会话过程记录:会话全过程,包括参与会诊的协同者的所有操作,均有会话录制,可供是够回溯追责,同时形成知识积累。
3.7.服务预警
WebVPN系统作为用户与资源之间的重要桥梁,关键性不言而喻。为保障系统稳定性及安全性,华域智能WebVPN系统提供了一套完善服务预警机制,不仅可以及时发现系统异常情况,还可以帮助用户监控其它业务系统状态。
服务预警既监控自身系统运行状态,如硬件状态、服务情况等,又监控用户异常行为,如非正常频率访问,尝试破解业务系统密码等,同时支持多种即时预警方式,包括邮件、短信、语音、微信、API等,适用于各种用户场景。
3.8.资源访问优化
日志系统
华域智能WebVPN系统具备完善的日志系统,并支持“日志零管理”技术。帮助用户实现:
日志自动维护:根据日志自动维护计划设置,系统在指定时间自动进行相应日志数据备份;
日志查询:系统提供多种审计日志查询条件,包括时间、账户、业务资源、关键字等;
分类统计:系统支持对资源访问进行分类统计,如:电子资源访问统计报表、资源下载统计报表、关键字搜索统计报表、用户下载统计报表等;
用户轨迹:从用户视角对海量日志进行分析提取,以时间为轴把用户
所有操作串联起来,形成完整的用户资源访问体系;
审计报表:系统提供详细的多维度报表,既有访问量、设备类型、请求来源、资源访问变化趋势等信息的可视化报表,又有资源访问原始日志数据统计。支持PDF、DOC等多种格式导出,帮助管理人员全方位掌握系统运行状态、资源访问情况以及远程运维频率等信息。
3.9.热备集群
高可用性HA(High Availability)指的是通过尽量缩短因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机时间,以提高系统和应用的可用性。HA系统是目前企业防止核心业务系统因故障停机的最有效手段。
华域智能WebVPN系统为保障业务高可用性,支持多机热备、集群部署等高可用性部署模式,保障WebVPN业务稳定性,提升WebVPN服务可扩展性,充分利用硬件性能。同时结合系统集中管理,快速实现多台设备的策略下发。
3.10.敏感词汇过滤
华域智能WebVPN系统提供关键字过滤机制,过滤机制可以根据学校的政策和规定,制定敏感词汇列表,在站点访问时进行内容替换。确保与学校的需求与价值观保持一致,屏蔽违规内容。除了基本的过滤功能,还支持正则表达式,可以更全面地过滤和替换敏感内容。