《[互联网]中国石油SSL VPN技术交流.ppt》由会员分享,可在线阅读,更多相关《[互联网]中国石油SSL VPN技术交流.ppt(47页珍藏版)》请在三一办公上搜索。
1、2023/4/30,中国石油天然气股份有限公司广域网改进项目VPN设备技术交流,苏剑虹Array Networks,2023/4/30,2,目录,Array Networks公司介绍中国石油SSL VPN解决方案Array SSL VPN技术特点常见问题分析SSL VPN案例分析,2023/4/30,3,Array Networks公司介绍,市场领导者:SSL VPN&应用加速主要产品:SSL VPN 通用安全访问网关 SSL+SLB 应用加速器目标客户:电信运营商,石油石化 能源电力,金融证券,大型企业客户:F500中有超过200家采用Array的产品公司业绩:从2002年开始,每年保持10
2、0%+的增长Array在中国:总部在北京,在广州、上海均设有分支机构 在北京设有全球第二个研发中心,2023/4/30,4,目录,Array Networks公司介绍中国石油SSL VPN解决方案Array SSL VPN技术特点常见问题分析SSL VPN案例分析,2023/4/30,5,中国石油需求概述,设立九大VPN接入点为中国石油系统内用户服务大庆区域、辽河区域、新疆区域、西安区域、兰州区域、西南区域、集团总部、洲际大厦和勘探院每个区域中心都是250用户的并发采用统一的VPN 接入域名,用户就近接入,各点之间互为备份股份公司:集团公司:使用统一的用户身份验证策略和加密策略现在:Micro
3、soft域用户管理未来:LDAP产品成熟、应用广泛、技术领先,2023/4/30,6,中国石油应用分析,股份公司和集团公司各有独立的应用系统,认证系统也是独立的。分别定制各自的登录界面和应用界面。用户根据在AD上的分组进行相应的授权管理。目前股份和集团公司的VPN用户都分为领导、财务、IT管理人员、ERP人员、东方物探和普通用户等组。每个组的访问权限可按照中石油的具体要求设置。,2023/4/30,7,股份公司的应用系统,股份OA系统 网上报销系统 合同管理系统 科技管理系统 监察管理系统 审计管理系统 销售投资管理系统 法律管理系统 化工与销售领导办公系统内部门户链接,2023/4/30,8
4、,集团公司的应用系统,财务信息传输 计划综合统计 科技项目管理 总部档案管理 股权管理信息 出国网上审批 职工工资查询系统 话单查询系统内部门户链接,2023/4/30,9,认证、授权和审计,认证采用中国石油内部的AD服务器股份公司目前配置了2个AD服务器10.3.52.32;10.3.52.11(北京)集团公司目前配置了2个AD服务器10.3.52.212;10.3.52.211(北京)授权采用AD与SPX上的组影射功能实现AD上的组与SPX上的组一一对应,在SPX上设置访问权限审计采用Array提供的日志分析软件配置两个日志服务器,安装Array的软件各个区域中心的log都上传到这两台日志
5、服务器日志服务器实时进行分析,产生各类报表,2023/4/30,10,方案:总体架构,勘探院,洲际大厦,集团总部,兰州区域,西安区域,新疆区域,AD,西南区域,辽河区域,大庆区域,Array SSL VPN,Array GSLB,SPX,TMX,TMX,SPX,SPX,SPX,SPX,SPX,SPX,SPX,SPX,2023/4/30,11,目前的各点部署情况,洲际大厦 100M网通出口链路集团总部 30M电信出口链路勘探院 20M铁通出口链路辽河 100M电信出口链路新疆 100M电信出口链路兰州 100M网通出口链路西南 100M电信出口链路西安 100M电信出口链路大庆 未部署,2023
6、/4/30,12,用户接入的方案,按照用户的地理位置和所使用的ISP分配到最近的接入中心。电信用户北方电信的用户比较少,可以分配到集团总部和辽河这两个中心。新疆、西藏、青海,甘肃等地属于电信,可分配到新疆接入中心。陕西、宁夏的用户分配到西安接入中心。四川、重庆的用户分配到西南接入中心。其余的南方电信用户分配到西安、西南节点。网通用户网通的用户分配到洲际大厦、勘探院和兰州这三个中心。铁通用户全国的铁通用户相对较少,分配到洲际大厦、勘探院这两个中心。移动或联通用户洲际大厦和勘探院,2023/4/30,13,SSL VPN 设备部署,SPX3000SPX3000是SSL VPN设备,实现远程用户的接
7、入。TMX2000TMX2000主要用于全国范围内用户接入的负载均衡。TMX2000对各接入中心的SPX3000设备和互联网出口链路进行检查,实现SSL VPN接入的冗余功能,提高服务的可用性。两台TMX2000部署在不同的地方,实现自身的冗余备份。在洲际大厦和勘探院分别部署一台TMX2000和SPX3000设备在其余的7个接入中心各部署一台SPX3000设备。集团总部;大庆区域;辽河区域;新疆区域;兰州区域;西安区域;西南区域。,2023/4/30,14,接入中心的部署架构-1,2023/4/30,15,接入中心的部署架构-2,2023/4/30,16,方案:业务实现,中国石油专网,全国中心
8、(北京),GSLB,成都LDNS,7,Array SSL VPN,Array GSLB,2023/4/30,17,SSL VPN用户访问流程,用户在自己的浏览器中输入统一的接入域名,如:https:/本地DNS将请求发到全国中心的TMXTMX根据欲设策略,选择最佳的接入中心,将成都接入中心的IP地址返回本地DNS本地DNS将成都接入中心的IP地址发给用户用户向成都接入中心发出请求,这样用户就近接入到中石油的专网。成都接入中心通过专网快速访问大庆的内部资源,然后反馈给用户。,假如西南区域的SPX设备或互联网链路故障,北京的TMX在对西南区域的SPX探测时就会发现,那么就不会再将新用户引导到西南接
9、入中心,TMX就会根据策略将西南地区的用户引导到就近的接入中心,如西安。等待西南接入中心恢复后,当地用户将被重新接回到本地接入中心。,2023/4/30,18,方案的特点,全网统一的接入域名用户自动就近接入智能检测各个接入节点的状态就近性算法维护配置简单,2023/4/30,19,目录,Array Networks公司介绍中国石油SSL VPN解决方案Array SSL VPN技术特点常见问题分析SSL VPN案例分析,2023/4/30,20,解决之道Array SSL VPN,Array SPX系列 SSL VPN 访问网关领先竞争对手10倍的处理性能和可扩展性,唯一的可以同时保障安全性和
10、高性能的SSL VPN产品唯一的通过一个安全平台可以支持各种终端进行安全访问的SSL VPN产品提高端到端的安全策略管理和多层应用安全保护最佳的性能价格比,最好的投资回报率,全球500强企业中的120个客户在使用Array SPX,共超过250,000个并发用户,平均每个客户采购超过2,000个并发用户,2023/4/30,21,端到端的安全解决方案,End-PointSecurity,DataTransitSecurity,Security-Hardened Platform&OS,Adaptive Access Privilege Management,DirectoryIntegrati
11、on,异步加密RSA同步加密DES3DESRC4数字签名MD5SHA-1,双因素认证动态令牌客户端证书接入节点安全检查3rd Party Software ComplianceRegistry,processes,files,custom DLLs,ports,etc.Application Authenticity CheckRecurring Host CheckCache清除Eliminate session dataDelete temp files,集中管理的安全网关特殊设计的安全操作系统多层安全保护DDOS ProtectionURL Attack ProtectionNetwor
12、k FirewallSSL Transport,精细化、灵活的权限管理Group Based URL,Host,PortClient/DestinationEnd Point/Connection CheckCertificateUser AgentInterface虚拟化技术和网络隔离,灵活多样的认证管理RadiusLDAPADSecurIDCA,2023/4/30,22,系统兼容性,2023/4/30,23,通用安全访问的解决方案,无线方式 WLAN GPRS CDMA,有线方式 LAN 专线 ADSL,智能终端 Palm Blackbarry 多普达,手机 Nokia Sony Eric
13、sson Moto,浏览器 IE Netscape Firefox Mozilla,操作系统 Windows Linux Unix MacOS,Array SSL VPN,2023/4/30,24,独一无二的处理性能和扩展性,每秒可处理的用户请求,只有Array SSL VPN解决方案可以同时提供安全性和高效处理性能 只有Array SSL VPN解决方案可以提供上万量级的并发用户能力 只有Array SSL VPN解决方案可以提供百万量级的用户扩展能力,Web应用的响应时间,Testing performed in 3Q,2005 by a worldwide communications
14、vendor,2023/4/30,25,对不同应用类型的支持,用户层,应用层,TCP 传统应用服务器,Web 服务器,专用客户端,Browser,动态端口、流媒体、等复杂应用服务器,SSL VPN,复杂应用客户端,Browser,WRM,ClientAPP,L3 VPN,文件服务器,文件共享,2023/4/30,26,Array SSL VPN对客户的价值,安全的将核心应用扩展到Internet上保护核心数据安全,保护应用安全随时随地的安全访问应用实现灵活多样的终端接入无需客户端程序,极大降低管理成本提高企业生产力,获得最大的IT投资回报率,投资回报率,提高生产效率,应用/数据安全,业务覆盖范
15、围,2023/4/30,27,Array 优势-性能、安全、服务,各个层次的性能优化:SSL 专用硬件加速卡TCP-Speed Stack 技术减少数据包处理时延更快的IP数据包处理完成所以功能数据包只穿越协议栈一次HTTP 集成在ArrayOS内部的快速反向代理SSL 高达10000 SSL Transactions/秒整体的安全方案Array Networks通过部署SPX和TMX设备,可以实现全局的SSL VPN负载均衡接入解决方案。各种安全技术WebWall、加密、认证/授权、客户端安全检测本地化的支持、服务北京设有全球第二大研发中心中国分公司达50名员工,2023/4/30,28,T
16、M系列产品功能,集群,快速缓存,链路负载分担&Qos,SSL加速,HTTP压缩,WebWall,GSLB,集中实现主流流量管理和性能增强功能:,服务负载分担(Service Load Balance),2023/4/30,29,全局服务器负载均衡(GSLB),目的:通过DNS的redirection功能在多个可提供相同服务的站点之间根据相应的分配策略将用户请求“路由”到合适的站点上GSLB的优点实现内容的高可用性,高扩展性实现对用户请求最快/最近的响应实现系统负载的合理分担TM提供高性能的GSLB功能Smart DNS,SICPTM在站点内和站点之间交换健康信息和状态信息,Site A,Sit
17、e C,Site B,LDNS,用户,2023/4/30,30,健康检查,ICMP向后台的Real IP发送ICMP echo请求,并根据是否收到响应判断健康状态网络层检查UDP DNSTCP与后台的服务器尝试建立一个特定端口的TCP连接,根据能否建立连接来判断健康状态传输层检查HTTP 请求/响应向后台服务器发送一个预先配置的HTTP请求,将接收到的响应与预先配置的内容进行比较,以此来判断健康状态应用层检查缺省的请求是“HEAD/HTTP/1.0rnrn”.缺省的响应是“200 OK”.,服务器1,服务器3,服务器2,Internet,2023/4/30,31,设备选型,1U设备 LEDs,
18、console and NicPentium 4 CPU/2.8GHz1GB内存2个固定的10/100/1000网络端口基于硬件的SSL卡最大支持2500个并发用户超过300M bps的加密数据吞吐量,1U设备 LEDs,console and NicPentium 4 CPU/2.4GHz512MB基本内存;最大扩展到1GB内存2个固定的10/100/1000网络端口可以处理每秒3万个DNS请求,Array SPX 3000,Array TMX 2000,2023/4/30,32,目录,Array Networks公司介绍中国石油SSL VPN解决方案Array SSL VPN技术特点常见问
19、题分析SSL VPN案例分析,2023/4/30,33,SSL VPN使用说明,中国石油股份公司员工在外网使用,打开IE浏览器,输入:http:/https:/https:/VPN功能模块在登录VPN系统后,系统会自动运行L3 模块,完成后会在右下角出现红色的A标志。第一次运行需要先下载L3的客户端插件。可以通过双击A标志或在命令行下使用ipconfig/all命令查看用户分配的IP地址。,2023/4/30,34,常见问题分析,用户出现问题时需要收集的信息用户登录名;用户端的OS版本,IE版本;用户端IP地址,LDNS地址(通过ipconfig/all 命令可以查询);登录失败的时间和现象;
20、使用ping 或所返回的IP;,2023/4/30,35,常见问题分析,输入VPN链接后,页面无法显示察看网络连接是否正常,是否可以访问其他网站?在命令行下,使用ping 的命令,看看是否返回IP地址。如果没有返回IP地址,请确认是否是DNS解析问题。根据返回的IP地址,确认该VPN设备是否正常。L3 模块没有运行,没有出现红色的A标志可能是因为L3 模块的安装不正常,可以关闭IE,然后重新进入VPN。如果还是不成功,可以进入到控制面板添加/删除程序中,把以Array开头的程序删除,然后再重新登录。有些时候可能是IE等浏览器本身的拦截机制导致L3 无法安装,见下图。如果是被防火墙禁止,可以先关
21、闭防火墙进行尝试,如果关闭后可以正常使用,那么再对防火墙进行配置调整。,2023/4/30,36,常见问题分析,2023/4/30,37,常见问题分析,有时可能出现用户被锁死的情况:重复提示用户要重新登录后才能使用。进入到控制面板添加/删除程序中,把以Array开头的程序删除,然后再重新登录。登录后一切正常,但是有些链接或主机无法访问是不是网络问题,如主机故障等。权限问题,普通用户没有访问如OA等系统和一些主机的权限。在使用VPN时无法使用本地的网络资源,如打印机等与本地局域网的IP地址冲突导致。需要协调解决。,2023/4/30,38,国外的主要客户,2023/4/30,39,国内的主要客户
22、,政府和金融广东地税广州地税广东国税深圳地税惠州社保江门社保河北省政府山西公安厅上海市国资委上海海关广东国土局上海市燃气管理局深圳中行东华大学,电信运营商中国移动总部上海移动浙江移动广东移动内蒙古移动中国铁通总部陕西联通山西联通黑龙江网通吉林网通山西网通上海电信天津电信四川电信,ICP/ISPChinaCacheEMay尚阳科技腾讯科技华体网淘宝网用友软件阿里巴巴,大型企业中国石油国电信息中心天津电力黑龙江电力神华集团一汽大众航天信息海南航空上海宝钢集团神华集团南粤物流宝钢华为申国万银太平保险,2023/4/30,40,天津电力,Array SPX,CA服务器,AD服务器,应用服务器,天津电力
23、内网,民用电营销点,采用USB存储的X.509数字证书认证,天津电力的12个内部系统,35个类别的应用,Array SPX,民用电营销点,远程办公用户,面临的挑战 部分营销网点需要通过Internet接入 以便更多营销网点的增加和部署 雇员需要远程接入访问企业内部的OA 及其他信息系统,为客户带来的价值 提高企业信息的安全性。部署和维护简单,降低企业管理成本 远程用户接入更方便,有效提高企业工 作效率,2023/4/30,41,广东移动,面临问题:应用环境复杂,既有向外发布的web资源,又有文件共享、Lotus Notes等应用服务,同时对于设备维护也要求通过VPN方式。要保证这些应用的安全性
24、,采用SSL VPN技术进行组网是一种理想的选择。ArrayNetworks 解决方案:Array SP系列产品将SSL VPN转换成一种安全高效的全球及全天候安全访问的解决方案。它在提供公司内部和外部便捷访问的同时,保证了网络和核心资源免受各种攻击。该平台采用了一套简化的集成方法,集网络安全和Web优化应用于一体,包括SSL VPN,身份管理,应用层防火墙,安全文件共享和非Web应用支持、网络层VPN等多种功能。,2023/4/30,42,国内最近的新用户,中国移动总部浙江移动公司上海电信中国铁通总部华为公司用友软件国电信息中心阿里巴巴,2023/4/30,43,股份公司VPN系统,输入用户名和密码(与邮件服务的相同),未申请用户可以点击下载VPN申请表,2023/4/30,44,股份公司VPN系统,2023/4/30,45,集团公司VPN系统,输入用户名和密码(与邮件服务的相同),未申请用户可以点击下载VPN申请表,2023/4/30,46,集团公司VPN系统,2023/4/30,Q&AThanks!,