解決方案
重慶市地稅局移動(dòng)安全接入網(wǎng)是在不改變?cè)芯W(wǎng)絡(luò)架構(gòu)的情況下對(duì)原有網(wǎng)絡(luò)的擴(kuò)充����,市局和直屬機(jī)構(gòu)和區(qū)縣局繼續(xù)采用專線連接,而移動(dòng)安全接入則采用可靈活部署�����、成本低廉����,同時(shí)又能確保安全保密的虛擬專用網(wǎng)技術(shù)。
相對(duì)專線接入方式而言����,構(gòu)建在公用網(wǎng)絡(luò)上的VPN(虛擬專用網(wǎng))不僅成本低廉,而且組網(wǎng)靈活���、安全保密�,具有極大的靈活性和安全性�,尤其適合移動(dòng)辦公的需要。在VPN發(fā)展的初期�,它還是主要作為一種"窮人"的專線技術(shù)為廣大中小企業(yè)所采用,隨著技術(shù)和應(yīng)用的發(fā)展����,VPN也逐漸被大中型組織接納�。
經(jīng)過對(duì)各種接入技術(shù)和方案的全面評(píng)價(jià)���、比較�����,重慶市地稅局決定采用SSL VPN技術(shù)建設(shè)自己的移動(dòng)辦公接入網(wǎng)絡(luò)���。與另一種VPN技術(shù)–IPSec VPN相比,SSL VPN在安全性�、易用性、可管理性�、使用和維護(hù)成本等方面均有優(yōu)勢(shì)。
建立在應(yīng)用層的SSL VPN可以比建立在第三層上的IPSec上提供更多的訪問控制���,從而可以為不同用戶設(shè)定不同的訪問權(quán)限�。另外�,SSL VPN還具有良好的網(wǎng)絡(luò)愈合能力,能夠啟用沒有客戶機(jī)的VPN���,提高網(wǎng)絡(luò)容量或者性能����,從而有效降低運(yùn)營(yíng)成本���、延長(zhǎng)網(wǎng)絡(luò)的壽命�,使網(wǎng)絡(luò)具有良好的可擴(kuò)展性����。
隨著技術(shù)的發(fā)展,SSL VPN不僅支持WEB應(yīng)用���,滿足EMAIL���、企業(yè)內(nèi)部網(wǎng)頁(yè)瀏覽等B/S應(yīng)用和訪問ftp服務(wù)的需要,而且可以O(shè)A系統(tǒng)���、CRM/ERP等C/S應(yīng)用�。在對(duì)主要VPN廠商的方案和產(chǎn)品進(jìn)行比較后��,重慶市地稅局最終選擇上海冰峰公司提供的SSL VPN產(chǎn)品和解決方案��。
該方案采用上海冰峰公司的ICEFLOW SSL VPN系列產(chǎn)品進(jìn)行組網(wǎng)���,市局采用ICEFLOW F5500��,主要移動(dòng)客戶端根據(jù)情況可采用ICEFLOW R系列路由器或者客戶端軟件�����。 ICEFLOW F5500是上海冰峰網(wǎng)絡(luò)推出的整合多種安全防護(hù)功能的新一代智能網(wǎng)絡(luò)安全防火墻設(shè)備��。
它以冰峰網(wǎng)絡(luò)自行開發(fā)的安全操作系統(tǒng)(ICEFLOW Security System)為核心�,集成了防火墻、VPN�����、入侵檢測(cè)���、帶寬管理�、防拒絕服務(wù)網(wǎng)關(guān)�、認(rèn)證授權(quán)、內(nèi)容安全控制����、高可用性配置能力等眾多安全角色,提供高度安全、可信和健壯的安全解決方案����,實(shí)現(xiàn)了單一設(shè)備對(duì)網(wǎng)絡(luò)的全面安全防護(hù)。 ICEFLOW F5500支持寬帶接入與千兆級(jí)企業(yè)網(wǎng)絡(luò)流量����,可以為用戶提供實(shí)時(shí)的安全保障����,全面滿足大中型單位的安全需求。
客戶端既可使用專用VPN設(shè)備�����,也可使用客戶端軟件建立與市局的安全通道�,接入方式也沒有任何限制,可以任意通過ADSL�、Cable Modem、無(wú)線等接入Internet����,真正實(shí)現(xiàn)無(wú)障礙、靈活自由的安全接入�。
系統(tǒng)特點(diǎn):
上海冰峰為重慶市地稅局提供的移動(dòng)辦公接入網(wǎng)絡(luò)解決方案主要具備以下特點(diǎn):
1、 簡(jiǎn)單易用,使用靈活�����,維護(hù)方便��。無(wú)論是使用冰峰VPN專用設(shè)備還是客戶端軟件的用戶����,安裝連接都非常簡(jiǎn)單。安裝完成后��,用戶可以直接使用瀏覽器訪問各種Web應(yīng)用���、客戶端/服務(wù)器應(yīng)用���、電子郵件和文件共享,并且無(wú)需安裝其他客戶端程序���,上海冰峰根據(jù)重慶地稅局的應(yīng)用專門定制了友好界面�,使用更加簡(jiǎn)便����。該網(wǎng)絡(luò)還支持PDA���,瀏覽器,Linux�����,Unix���,Windows等常見系統(tǒng)�����,用戶無(wú)須考慮上網(wǎng)設(shè)備和操作系統(tǒng)的兼容性。
網(wǎng)絡(luò)設(shè)備支持業(yè)界標(biāo)準(zhǔn)的802.1Q��、VLAN協(xié)議��,系統(tǒng)管理員可劃分邏輯子接口并提供路由和透明模式下的802.1Q����、VLAN,實(shí)現(xiàn)分級(jí)別管理��,方便地部署資源訪問權(quán)限;系統(tǒng)提供Console���、SSH���、HTTP等多種管理手段���,系統(tǒng)管理員可通過監(jiān)控中心即時(shí)監(jiān)測(cè)各個(gè)節(jié)點(diǎn)使用狀態(tài),方便地導(dǎo)入�����、導(dǎo)出不同設(shè)備上的配置文件�,并可通過設(shè)備內(nèi)建Update功能輕松實(shí)現(xiàn)軟件升級(jí);系統(tǒng)具有詳細(xì)的多層次審計(jì)功能,支持外部日志服務(wù)器���,支持到應(yīng)用程序和端口的細(xì)粒度訪問控制;系統(tǒng)支持ActiveX插件�,無(wú)需提供成本高昂的長(zhǎng)期客戶端支持與維護(hù);另外���,系統(tǒng)還具有自動(dòng)撥號(hào)���、斷線自動(dòng)恢復(fù)功能,在線路恢復(fù)正常后VPN可在10秒內(nèi)愈合�。所有這些特點(diǎn),都大大方便了系統(tǒng)管理員的管理控制工作��,減少了運(yùn)行維護(hù)的工作量。
2�、 重身份認(rèn)證機(jī)制,確保網(wǎng)絡(luò)安全可靠���。系統(tǒng)可強(qiáng)制施行客戶端安全策略���,并提供了基于角色(用戶名密碼)、USB KEY安全認(rèn)證方式����、硬件特征碼等多種訪問控制,實(shí)現(xiàn)了與LDAP����、Radius��、SecureID�����、數(shù)字證書認(rèn)證等第三方認(rèn)證的無(wú)縫接合��,并支持端口轉(zhuǎn)發(fā)����,非軍事區(qū)發(fā)布主機(jī)(DMZ)����,啟用/禁用廣域網(wǎng)PING����,DNS代理、MAC地址克隆�、NTP支持,URL過濾���,電子郵件報(bào)警��,DHCP服務(wù)器(信息和顯示表)����,確保網(wǎng)絡(luò)安全可靠�。
系統(tǒng)還具備入侵檢測(cè)過濾、分布式拒絕服務(wù)攻擊防御和病毒蠕蟲保護(hù)功能�,可抵御SYN flood、UDP flood�、ICMP flood、Tear Drop��、Smurf、Land Attack���、Ping Of Death等多種當(dāng)今流行的Dos/Ddos攻擊�。
3��、 網(wǎng)絡(luò)流量控制和備份功能���,優(yōu)化網(wǎng)絡(luò)資源�����。系統(tǒng)采用硬件加速功能��、透明壓縮���、緩存等技術(shù),具備實(shí)時(shí)查看數(shù)據(jù)流量和帶寬分配管理功能����。專業(yè)全面的帶寬及流量控制系統(tǒng)�,確保充分利用網(wǎng)絡(luò)資源,系統(tǒng)管理員可通過設(shè)置總流量�����、流量策略和流量規(guī)則組以達(dá)到優(yōu)化網(wǎng)絡(luò)資源的目的。
系統(tǒng)還支持多線路(ISP)智能選路功能和負(fù)載均衡功能���,可同時(shí)連接多個(gè)運(yùn)營(yíng)商�����,并智能選擇運(yùn)營(yíng)商����,滿足重慶地稅局目前有重慶有線電視網(wǎng)��、重慶電信提供的DDN專線�����、ISP等多種寬帶接入方式的網(wǎng)絡(luò)狀況����,配合智能化自我監(jiān)控自我恢復(fù)功能,支持單機(jī)雙線路或雙機(jī)熱備份���,可以輕松應(yīng)對(duì)因緊急事件而引起的數(shù)據(jù)流和服務(wù)高峰����,徹底解決服務(wù)當(dāng)機(jī)問題,實(shí)現(xiàn)高可靠性和災(zāi)難恢復(fù)能力��。
應(yīng)用效果:
系統(tǒng)實(shí)施后���,目前全市所有處級(jí)以上領(lǐng)導(dǎo)及市地稅局和區(qū)縣地稅局局長(zhǎng)及部份業(yè)務(wù)科長(zhǎng)的筆記本電腦�����,共約600多個(gè)用戶����,均可通過SSL技術(shù)�����,經(jīng)過身份認(rèn)證和筆記本的硬件地址(MAC地址)認(rèn)證����,根據(jù)不同的線路接入系統(tǒng)進(jìn)行數(shù)據(jù)交互。因系統(tǒng)部署時(shí)具備了多角色認(rèn)證和主動(dòng)式防御功能���,能保證安全的被授權(quán)機(jī)器才可以進(jìn)行訪問�����,有效的提高了整個(gè)移動(dòng)辦公網(wǎng)絡(luò)的安全性�����。系統(tǒng)的硬件加速����、緩存功能�,以及流量控制和帶寬管理功能,能有效避免移動(dòng)辦公系統(tǒng)的帶寬瓶頸和服務(wù)故障����。
冰峰SSL VPN設(shè)備和系統(tǒng)的部署,為重慶地稅局及下屬區(qū)縣地稅局的領(lǐng)導(dǎo)和業(yè)務(wù)負(fù)責(zé)人提供了在任意時(shí)間����、任何地點(diǎn)進(jìn)行訪問的能力,大大提高了業(yè)務(wù)系統(tǒng)的應(yīng)用效率����,確保各項(xiàng)工作的順利開展和稅務(wù)系統(tǒng)服務(wù)水平的提高。對(duì)于冰峰產(chǎn)品技術(shù)的表現(xiàn)以及公司在該項(xiàng)目中提供的完善服務(wù),市局和各區(qū)縣信息中心的管理人員均給予很高評(píng)價(jià)���。
