解決方案
重慶市地稅局移動安全接入網(wǎng)是在不改變原有網(wǎng)絡(luò)架構(gòu)的情況下對原有網(wǎng)絡(luò)的擴充��,市局和直屬機構(gòu)和區(qū)縣局繼續(xù)采用專線連接��,而移動安全接入則采用可靈活部署�����、成本低廉,同時又能確保安全保密的虛擬專用網(wǎng)技術(shù)���。
相對專線接入方式而言���,構(gòu)建在公用網(wǎng)絡(luò)上的VPN(虛擬專用網(wǎng))不僅成本低廉,而且組網(wǎng)靈活���、安全保密��,具有極大的靈活性和安全性���,尤其適合移動辦公的需要�����。在VPN發(fā)展的初期�,它還是主要作為一種"窮人"的專線技術(shù)為廣大中小企業(yè)所采用,隨著技術(shù)和應(yīng)用的發(fā)展���,VPN也逐漸被大中型組織接納��。
經(jīng)過對各種接入技術(shù)和方案的全面評價��、比較�����,重慶市地稅局決定采用SSL VPN技術(shù)建設(shè)自己的移動辦公接入網(wǎng)絡(luò)。與另一種VPN技術(shù)–IPSec VPN相比��,SSL VPN在安全性、易用性�����、可管理性�����、使用和維護成本等方面均有優(yōu)勢�����。
建立在應(yīng)用層的SSL VPN可以比建立在第三層上的IPSec上提供更多的訪問控制,從而可以為不同用戶設(shè)定不同的訪問權(quán)限��。另外���,SSL VPN還具有良好的網(wǎng)絡(luò)愈合能力�,能夠啟用沒有客戶機的VPN����,提高網(wǎng)絡(luò)容量或者性能���,從而有效降低運營成本、延長網(wǎng)絡(luò)的壽命���,使網(wǎng)絡(luò)具有良好的可擴展性���。
隨著技術(shù)的發(fā)展���,SSL VPN不僅支持WEB應(yīng)用���,滿足EMAIL、企業(yè)內(nèi)部網(wǎng)頁瀏覽等B/S應(yīng)用和訪問ftp服務(wù)的需要,而且可以O(shè)A系統(tǒng)�、CRM/ERP等C/S應(yīng)用。在對主要VPN廠商的方案和產(chǎn)品進行比較后�����,重慶市地稅局最終選擇上海冰峰公司提供的SSL VPN產(chǎn)品和解決方案���。
該方案采用上海冰峰公司的ICEFLOW SSL VPN系列產(chǎn)品進行組網(wǎng)��,市局采用ICEFLOW F5500,主要移動客戶端根據(jù)情況可采用ICEFLOW R系列路由器或者客戶端軟件����。 ICEFLOW F5500是上海冰峰網(wǎng)絡(luò)推出的整合多種安全防護功能的新一代智能網(wǎng)絡(luò)安全防火墻設(shè)備���。
它以冰峰網(wǎng)絡(luò)自行開發(fā)的安全操作系統(tǒng)(ICEFLOW Security System)為核心���,集成了防火墻、VPN���、入侵檢測、帶寬管理��、防拒絕服務(wù)網(wǎng)關(guān)�、認證授權(quán)�、內(nèi)容安全控制�����、高可用性配置能力等眾多安全角色��,提供高度安全�、可信和健壯的安全解決方案,實現(xiàn)了單一設(shè)備對網(wǎng)絡(luò)的全面安全防護����。 ICEFLOW F5500支持寬帶接入與千兆級企業(yè)網(wǎng)絡(luò)流量,可以為用戶提供實時的安全保障�,全面滿足大中型單位的安全需求。
客戶端既可使用專用VPN設(shè)備�,也可使用客戶端軟件建立與市局的安全通道�,接入方式也沒有任何限制,可以任意通過ADSL��、Cable Modem�����、無線等接入Internet���,真正實現(xiàn)無障礙��、靈活自由的安全接入�。
系統(tǒng)特點:
上海冰峰為重慶市地稅局提供的移動辦公接入網(wǎng)絡(luò)解決方案主要具備以下特點:
1、 簡單易用��,使用靈活�,維護方便。無論是使用冰峰VPN專用設(shè)備還是客戶端軟件的用戶����,安裝連接都非常簡單。安裝完成后�,用戶可以直接使用瀏覽器訪問各種Web應(yīng)用��、客戶端/服務(wù)器應(yīng)用���、電子郵件和文件共享����,并且無需安裝其他客戶端程序,上海冰峰根據(jù)重慶地稅局的應(yīng)用專門定制了友好界面���,使用更加簡便����。該網(wǎng)絡(luò)還支持PDA,瀏覽器��,Linux���,Unix�,Windows等常見系統(tǒng)���,用戶無須考慮上網(wǎng)設(shè)備和操作系統(tǒng)的兼容性�。
網(wǎng)絡(luò)設(shè)備支持業(yè)界標(biāo)準(zhǔn)的802.1Q�����、VLAN協(xié)議��,系統(tǒng)管理員可劃分邏輯子接口并提供路由和透明模式下的802.1Q��、VLAN�����,實現(xiàn)分級別管理,方便地部署資源訪問權(quán)限;系統(tǒng)提供Console��、SSH���、HTTP等多種管理手段,系統(tǒng)管理員可通過監(jiān)控中心即時監(jiān)測各個節(jié)點使用狀態(tài)����,方便地導(dǎo)入、導(dǎo)出不同設(shè)備上的配置文件��,并可通過設(shè)備內(nèi)建Update功能輕松實現(xiàn)軟件升級;系統(tǒng)具有詳細的多層次審計功能��,支持外部日志服務(wù)器��,支持到應(yīng)用程序和端口的細粒度訪問控制;系統(tǒng)支持ActiveX插件����,無需提供成本高昂的長期客戶端支持與維護;另外,系統(tǒng)還具有自動撥號���、斷線自動恢復(fù)功能���,在線路恢復(fù)正常后VPN可在10秒內(nèi)愈合�����。所有這些特點�,都大大方便了系統(tǒng)管理員的管理控制工作����,減少了運行維護的工作量。
2��、 重身份認證機制��,確保網(wǎng)絡(luò)安全可靠�����。系統(tǒng)可強制施行客戶端安全策略�,并提供了基于角色(用戶名密碼)、USB KEY安全認證方式��、硬件特征碼等多種訪問控制���,實現(xiàn)了與LDAP�����、Radius�����、SecureID����、數(shù)字證書認證等第三方認證的無縫接合����,并支持端口轉(zhuǎn)發(fā)�,非軍事區(qū)發(fā)布主機(DMZ),啟用/禁用廣域網(wǎng)PING�,DNS代理、MAC地址克隆���、NTP支持����,URL過濾�,電子郵件報警,DHCP服務(wù)器(信息和顯示表),確保網(wǎng)絡(luò)安全可靠����。
系統(tǒng)還具備入侵檢測過濾、分布式拒絕服務(wù)攻擊防御和病毒蠕蟲保護功能�,可抵御SYN flood、UDP flood����、ICMP flood、Tear Drop�、Smurf、Land Attack�、Ping Of Death等多種當(dāng)今流行的Dos/Ddos攻擊。
3����、 網(wǎng)絡(luò)流量控制和備份功能,優(yōu)化網(wǎng)絡(luò)資源�����。系統(tǒng)采用硬件加速功能��、透明壓縮����、緩存等技術(shù)��,具備實時查看數(shù)據(jù)流量和帶寬分配管理功能��。專業(yè)全面的帶寬及流量控制系統(tǒng)�,確保充分利用網(wǎng)絡(luò)資源����,系統(tǒng)管理員可通過設(shè)置總流量、流量策略和流量規(guī)則組以達到優(yōu)化網(wǎng)絡(luò)資源的目的�。
系統(tǒng)還支持多線路(ISP)智能選路功能和負載均衡功能,可同時連接多個運營商�����,并智能選擇運營商��,滿足重慶地稅局目前有重慶有線電視網(wǎng)����、重慶電信提供的DDN專線�����、ISP等多種寬帶接入方式的網(wǎng)絡(luò)狀況,配合智能化自我監(jiān)控自我恢復(fù)功能�����,支持單機雙線路或雙機熱備份����,可以輕松應(yīng)對因緊急事件而引起的數(shù)據(jù)流和服務(wù)高峰,徹底解決服務(wù)當(dāng)機問題�����,實現(xiàn)高可靠性和災(zāi)難恢復(fù)能力����。
應(yīng)用效果:
系統(tǒng)實施后,目前全市所有處級以上領(lǐng)導(dǎo)及市地稅局和區(qū)縣地稅局局長及部份業(yè)務(wù)科長的筆記本電腦�,共約600多個用戶,均可通過SSL技術(shù)����,經(jīng)過身份認證和筆記本的硬件地址(MAC地址)認證,根據(jù)不同的線路接入系統(tǒng)進行數(shù)據(jù)交互���。因系統(tǒng)部署時具備了多角色認證和主動式防御功能���,能保證安全的被授權(quán)機器才可以進行訪問��,有效的提高了整個移動辦公網(wǎng)絡(luò)的安全性�����。系統(tǒng)的硬件加速����、緩存功能��,以及流量控制和帶寬管理功能��,能有效避免移動辦公系統(tǒng)的帶寬瓶頸和服務(wù)故障����。
冰峰SSL VPN設(shè)備和系統(tǒng)的部署,為重慶地稅局及下屬區(qū)縣地稅局的領(lǐng)導(dǎo)和業(yè)務(wù)負責(zé)人提供了在任意時間�����、任何地點進行訪問的能力���,大大提高了業(yè)務(wù)系統(tǒng)的應(yīng)用效率���,確保各項工作的順利開展和稅務(wù)系統(tǒng)服務(wù)水平的提高。對于冰峰產(chǎn)品技術(shù)的表現(xiàn)以及公司在該項目中提供的完善服務(wù)����,市局和各區(qū)縣信息中心的管理人員均給予很高評價。
