《[互联网]中国石油SSL VPN技术交流.ppt》由会员分享,可在线阅读,更多相关《[互联网]中国石油SSL VPN技术交流.ppt(47页珍藏版)》请在三一文库上搜索。
1、2019/1/29,中国石油天然气股份有限公司 广域网改进项目VPN设备技术交流,苏剑虹 Array Networks,2019/1/29,2,目录,Array Networks公司介绍 中国石油SSL VPN解决方案 Array SSL VPN技术特点 常见问题分析 SSL VPN案例分析,2019/1/29,3,Array Networks公司介绍,市场领导者: SSL VPN & 应用加速 主要产品: SSL VPN 通用安全访问网关 SSL+SLB 应用加速器 目标客户: 电信运营商,石油石化 能源电力,金融证券,大型企业 客户: F500中有超过200家采用Array的产品 公司业绩
2、: 从2002年开始,每年保持100%+的增长 Array在中国:总部在北京,在广州、上海均设有分支机构 在北京设有全球第二个研发中心,2019/1/29,4,目录,Array Networks公司介绍 中国石油SSL VPN解决方案 Array SSL VPN技术特点 常见问题分析 SSL VPN案例分析,2019/1/29,5,中国石油需求概述,设立九大VPN接入点为中国石油系统内用户服务 大庆区域、辽河区域、新疆区域、西安区域、兰州区域、西南区域、集团总部、洲际大厦和勘探院 每个区域中心都是250用户的并发 采用统一的VPN 接入域名,用户就近接入,各点之间互为备份 股份公司: 集团公
3、司: 使用统一的用户身份验证策略和加密策略 现在:Microsoft域用户管理 未来:LDAP 产品成熟、应用广泛、技术领先,2019/1/29,6,中国石油应用分析,股份公司和集团公司各有独立的应用系统,认证系统也是独立的。 分别定制各自的登录界面和应用界面。 用户根据在AD上的分组进行相应的授权管理。 目前股份和集团公司的VPN用户都分为领导、财务、IT管理人员、ERP人员、东方物探和普通用户等组。 每个组的访问权限可按照中石油的具体要求设置。,2019/1/29,7,股份公司的应用系统,股份OA系统 网上报销系统 合同管理系统 科技管理系统 监察管理系统 审计管理系统 销售投资管理系统
4、 法律管理系统 化工与销售领导办公系统 内部门户链接,2019/1/29,8,集团公司的应用系统,财务信息传输 计划综合统计 科技项目管理 总部档案管理 股权管理信息 出国网上审批 职工工资查询系统 话单查询系统 内部门户链接,2019/1/29,9,认证、授权和审计,认证采用中国石油内部的AD服务器 股份公司目前配置了2个AD服务器 10.3.52.32; 10.3.52.11(北京) 集团公司目前配置了2个AD服务器 10.3.52.212;10.3.52.211(北京) 授权采用AD与SPX上的组影射功能实现 AD上的组与SPX上的组一一对应,在SPX上设置访问权限 审计采用Array提
5、供的日志分析软件 配置两个日志服务器,安装Array的软件 各个区域中心的log都上传到这两台日志服务器 日志服务器实时进行分析,产生各类报表,2019/1/29,10,方案:总体架构,勘探院,洲际大厦,集团总部,兰州区域,西安区域,新疆区域,AD,西南区域,辽河区域,大庆区域,Array SSL VPN,Array GSLB,SPX,TMX,TMX,SPX,SPX,SPX,SPX,SPX,SPX,SPX,SPX,2019/1/29,11,目前的各点部署情况,洲际大厦 100M网通出口链路 集团总部 30M电信出口链路 勘探院 20M铁通出口链路 辽河 100M电信出口链路 新疆 100M电信
6、出口链路 兰州 100M网通出口链路 西南 100M电信出口链路 西安 100M电信出口链路 大庆 未部署,2019/1/29,12,用户接入的方案,按照用户的地理位置和所使用的ISP分配到最近的接入中心。 电信用户 北方电信的用户比较少,可以分配到集团总部和辽河这两个中心。 新疆、西藏、青海,甘肃等地属于电信,可分配到新疆接入中心。 陕西、宁夏的用户分配到西安接入中心。 四川、重庆的用户分配到西南接入中心。 其余的南方电信用户分配到西安、西南节点。 网通用户 网通的用户分配到洲际大厦、勘探院和兰州这三个中心。 铁通用户 全国的铁通用户相对较少,分配到洲际大厦、勘探院这两个中心。 移动或联通用
7、户 洲际大厦和勘探院,2019/1/29,13,SSL VPN 设备部署,SPX3000 SPX3000是SSL VPN设备,实现远程用户的接入。 TMX2000 TMX2000主要用于全国范围内用户接入的负载均衡。 TMX2000对各接入中心的SPX3000设备和互联网出口链路进行检查,实现SSL VPN接入的冗余功能,提高服务的可用性。 两台TMX2000部署在不同的地方,实现自身的冗余备份。 在洲际大厦和勘探院分别部署一台TMX2000和SPX3000设备 在其余的7个接入中心各部署一台SPX3000设备。 集团总部;大庆区域;辽河区域;新疆区域;兰州区域;西安区域;西南区域。,2019
8、/1/29,14,接入中心的部署架构-1,2019/1/29,15,接入中心的部署架构-2,2019/1/29,16,方案:业务实现,中国石油专网,全国中心(北京),GSLB,成都LDNS,7,Array SSL VPN,Array GSLB,2019/1/29,17,SSL VPN用户访问流程,用户在自己的浏览器中输入统一的接入域名,如: https:/ 浏览器向成都本地DNS请求对该域名的解析 本地DNS将请求发到全国中心的TMX TMX根据欲设策略,选择最佳的接入中心,将成都接入中心的IP地址返回本地DNS 本地DNS将成都接入中心的IP地址发给用户 用户向成都接入中心发出请求,这样用户
9、就近接入到中石油的专网。 成都接入中心通过专网快速访问大庆的内部资源,然后反馈给用户。,假如西南区域的SPX设备或互联网链路故障,北京的TMX在对西南区域的SPX探测时就会发现,那么就不会再将新用户引导到西南接入中心, TMX就会根据策略将西南地区的用户引导到就近的接入中心,如西安。等待西南接入中心恢复后,当地用户将被重新接回到本地接入中心。,2019/1/29,18,方案的特点,全网统一的接入域名 用户自动就近接入 智能检测各个接入节点的状态 就近性算法 维护配置简单,2019/1/29,19,目录,Array Networks公司介绍 中国石油SSL VPN解决方案 Array SSL V
10、PN技术特点 常见问题分析 SSL VPN案例分析,2019/1/29,20,解决之道Array SSL VPN,Array SPX系列 SSL VPN 访问网关 领先竞争对手10倍的处理性能和可扩展性,唯一的可以同时保障安全性和高性能的SSL VPN产品 唯一的通过一个安全平台可以支持各种终端进行安全访问的SSL VPN产品 提高端到端的安全策略管理和多层应用安全保护 最佳的性能价格比,最好的投资回报率,全球500强企业中的120个客户在使用Array SPX,共超过250,000个并发用户,平均每个客户采购超过2,000个并发用户,2019/1/29,21,端到端的安全解决方案,End-P
11、oint Security,Data Transit Security,Security-Hardened Platform & OS,Adaptive Access Privilege Management,Directory Integration,异步加密 RSA 同步加密 DES 3DES RC4 数字签名 MD5 SHA-1,双因素认证 动态令牌 客户端证书 接入节点安全检查 3rd Party Software Compliance Registry, processes, files, custom DLLs, ports, etc. Application Authentici
12、ty Check Recurring Host Check Cache清除 Eliminate session data Delete temp files,集中管理的安全网关 特殊设计的安全操作系统 多层安全保护 DDOS Protection URL Attack Protection Network Firewall SSL Transport,精细化、灵活的权限管理 Group Based URL, Host, Port Client/Destination End Point/Connection Check Certificate User Agent Interface 虚拟化技
13、术和网络隔离,灵活多样的认证管理 Radius LDAP AD SecurID CA,2019/1/29,22,系统兼容性,2019/1/29,23,通用安全访问的解决方案,无线方式 WLAN GPRS CDMA,有线方式 LAN 专线 ADSL,智能终端 Palm Blackbarry 多普达 ,手机 Nokia Sony Ericsson Moto ,浏览器 IE Netscape Firefox Mozilla ,操作系统 Windows Linux Unix MacOS ,Array SSL VPN,2019/1/29,24,独一无二的处理性能和扩展性,每秒可处理的用户请求,只有Arr
14、ay SSL VPN解决方案可以同时提供安全性和高效处理性能 只有Array SSL VPN解决方案可以提供上万量级的并发用户能力 只有Array SSL VPN解决方案可以提供百万量级的用户扩展能力,Web应用的响应时间,Testing performed in 3Q, 2005 by a worldwide communications vendor,2019/1/29,25,对不同应用类型的支持,用户层,应用层,TCP 传统应用 服务器,Web 服务器,专用客户端,Browser,动态端口、流媒体、 等复杂应用服务器,SSL VPN,复杂应用客户端,Browser,WRM,ClientA
15、PP,L3 VPN,文件服务器,文件共享,2019/1/29,26,Array SSL VPN对客户的价值,安全的将核心应用扩展到Internet上 保护核心数据安全,保护应用安全 随时随地的安全访问应用 实现灵活多样的终端接入 无需客户端程序,极大降低管理成本 提高企业生产力,获得最大的IT投资回报率,投资回报率,提高生产效率,应用/数据安全,业务覆盖范围,2019/1/29,27,Array 优势- 性能、安全、服务,各个层次的性能优化: SSL 专用硬件加速卡 TCP - Speed Stack 技术减少数据包处理时延 更快的IP数据包处理 完成所以功能数据包只穿越协议栈一次 HTTP
16、集成在ArrayOS内部的快速反向代理 SSL 高达10000 SSL Transactions/秒 整体的安全方案 Array Networks通过部署SPX和TMX设备,可以实现全局的SSL VPN负载均衡接入解决方案。 各种安全技术 WebWall、加密、认证/授权、客户端安全检测 本地化的支持、服务 北京设有全球第二大研发中心 中国分公司达50名员工,2019/1/29,28,TM系列产品功能,集群,快速缓存,链路负载分担 & Qos,SSL加速,HTTP压缩,WebWall,GSLB,集中实现主流流量管理和性能增强功能:,服务负载分担 (Service Load Balance),2
17、019/1/29,29,全局服务器负载均衡(GSLB),目的:通过DNS的redirection功能 在多个可提供相同服务的站点之间 根据相应的分配策略将 用户请求“路由”到合适的站点上 GSLB的优点 实现内容的高可用性,高扩展性 实现对用户请求最快/最近的响应 实现系统负载的合理分担 TM提供高性能的GSLB功能Smart DNS,SICP TM在站点内和站点之间交换健康信息和状态信息,Site A,Site C,Site B,LDNS,用户,2019/1/29,30,健康检查,ICMP 向后台的Real IP发送ICMP echo请求,并根据是否收到响应判断健康状态网络层检查 UDP D
18、NS TCP 与后台的服务器尝试建立一个特定端口的TCP连接,根据能否建立连接来判断健康状态传输层检查 HTTP 请求/响应 向后台服务器发送一个预先配置的HTTP请求,将接收到的响应与预先配置的内容进行比较,以此来判断健康状态应用层检查 缺省的请求是“HEAD / HTTP/1.0rnrn”. 缺省的响应是“200 OK”.,服务器1,服务器3,服务器2,Internet,2019/1/29,31,设备选型,1U设备 LEDs, console and Nic Pentium 4 CPU/2.8GHz 1GB内存 2个固定的10/100/1000网络端口 基于硬件的SSL卡 最大支持2500
19、个并发用户 超过300M bps的加密数据吞吐量,1U设备 LEDs, console and Nic Pentium 4 CPU/2.4GHz 512MB基本内存; 最大扩展到1GB内存 2个固定的10/100/1000网络端口 可以处理每秒3万个DNS请求,Array SPX 3000,Array TMX 2000,2019/1/29,32,目录,Array Networks公司介绍 中国石油SSL VPN解决方案 Array SSL VPN技术特点 常见问题分析 SSL VPN案例分析,2019/1/29,33,SSL VPN使用说明,中国石油股份公司员工在外网使用,打开IE浏览器,输入
20、: http:/ https:/ 中国石油集团公司的员工在外网使用,打开IE浏览器,输入: http:/ https:/ 中国石油主要是使用L3 VPN功能模块 在登录VPN系统后,系统会自动运行L3 模块,完成后会在右下角出现红色的A标志。 第一次运行需要先下载L3的客户端插件。 可以通过双击A标志或在命令行下使用ipconfig /all命令查看用户分配的IP地址。,2019/1/29,34,常见问题分析,用户出现问题时需要收集的信息 用户登录名; 用户端的OS版本,IE版本; 用户端IP地址,LDNS地址(通过ipconfig /all 命令可以查询); 登录失败的时间和现象; 使用pi
21、ng 或所返回的IP;,2019/1/29,35,常见问题分析,输入VPN链接后,页面无法显示 察看网络连接是否正常,是否可以访问其他网站? 在命令行下,使用ping 的命令,看看是否返回IP地址。 如果没有返回IP地址,请确认是否是DNS解析问题。 根据返回的IP地址,确认该VPN设备是否正常。 L3 模块没有运行,没有出现红色的A标志 可能是因为L3 模块的安装不正常,可以关闭IE,然后重新进入VPN。 如果还是不成功,可以进入到控制面板添加/删除程序中,把以Array开头的程序删除,然后再重新登录。 有些时候可能是IE等浏览器本身的拦截机制导致L3 无法安装,见下图。 如果是被防火墙禁止
22、,可以先关闭防火墙进行尝试,如果关闭后可以正常使用,那么再对防火墙进行配置调整。,2019/1/29,36,常见问题分析,2019/1/29,37,常见问题分析,有时可能出现用户被锁死的情况:重复提示用户要重新登录后才能使用。 进入到控制面板添加/删除程序中,把以Array开头的程序删除,然后再重新登录。 登录后一切正常,但是有些链接或主机无法访问 是不是网络问题,如主机故障等。 权限问题,普通用户没有访问如OA等系统和一些主机的权限。 在使用VPN时无法使用本地的网络资源,如打印机等 与本地局域网的IP地址冲突导致。 需要协调解决。,2019/1/29,38,国外的主要客户,2019/1/2
23、9,39,国内的主要客户,政府和金融 广东地税 广州地税 广东国税 深圳地税 惠州社保 江门社保 河北省政府 山西公安厅 上海市国资委 上海海关 广东国土局 上海市燃气管理局 深圳中行 东华大学,电信运营商 中国移动总部 上海移动 浙江移动 广东移动 内蒙古移动 中国铁通总部 陕西联通 山西联通 黑龙江网通 吉林网通 山西网通 上海电信 天津电信 四川电信,ICP/ISP ChinaCache EMay 尚阳科技 腾讯科技 华体网 淘宝网 用友软件 阿里巴巴,大型企业 中国石油 国电信息中心 天津电力 黑龙江电力 神华集团 一汽大众 航天信息 海南航空 上海宝钢集团 神华集团 南粤物流 宝钢
24、华为 申国万银 太平保险,2019/1/29,40,天津电力,Array SPX,CA服务器,AD服务器,应用服务器,天津电力内网,民用电营销点,采用USB存储的X.509数字证书认证,天津电力的12个内部系统,35个类别的应用,Array SPX,民用电营销点,远程办公用户,面临的挑战 部分营销网点需要通过Internet接入 以便更多营销网点的增加和部署 雇员需要远程接入访问企业内部的OA 及其他信息系统,为客户带来的价值 提高企业信息的安全性。 部署和维护简单,降低企业管理成本 远程用户接入更方便,有效提高企业工 作效率,2019/1/29,41,广东移动,面临问题: 应用环境复杂,既有
25、向外发布的web资源,又有文件共享、Lotus Notes等应用服务,同时对于设备维护也要求通过VPN方式。要保证这些应用的安全性,采用SSL VPN技术进行组网是一种理想的选择。 ArrayNetworks 解决方案: Array SP系列产品将SSL VPN转换成一种安全高效的全球及全天候安全访问的解决方案。它在提供公司内部和外部便捷访问的同时,保证了网络和核心资源免受各种攻击。该平台采用了一套简化的集成方法,集网络安全和Web优化应用于一体,包括SSL VPN,身份管理,应用层防火墙,安全文件共享和非Web应用支持、网络层VPN等多种功能。,2019/1/29,42,国内最近的新用户,中国移动总部 浙江移动公司 上海电信 中国铁通总部 华为公司 用友软件 国电信息中心 阿里巴巴,2019/1/29,43,股份公司VPN系统,输入用户名和密码(与邮件服务的相同),未申请用户可以点击下载VPN申请表,2019/1/29,44,股份公司VPN系统,2019/1/29,45,集团公司VPN系统,输入用户名和密码(与邮件服务的相同),未申请用户可以点击下载VPN申请表,2019/1/29,46,集团公司VPN系统,2019/1/29,Q&A Thanks!,
链接地址:https://www.31doc.com/p-1998439.html