在银行的网络边缘部署ssl vpn网关-array networks spx ,spx可以放在路由器和防火墙的后面,提供网络银行客户的接入门户。所有网银用户必须登陆此 ssl vpn 门户站点才能访问内部的网银服务器,同时每个用户必须有自己的帐号、口令并享有访问ssl vpn各种资源的相应权限。
array networks 的ssl vpn可以提供丰富的应用支持,支持包括b/s 、c/s结构应用,采用web资源映射、应用程序代理、隧道式vpn等多种方式,支持复杂的网络银行应用,并可以远程安全地对网银设备进行安全的维护操作。
如下图所示:
网上银行的系统需要一个操作实施简单、管理维护容易、 不需要改变网络结构、运营成本低廉的可实施度高的方案。ssl vpn是以ssl 协议为基础的远程安全访问技术,最大的好处就是不需要安装客户端程序,远程用户基本上不需要it部门的支持就可以随时随地从任何安装了支持ssl协议浏览器的客户端安全地访问网络银行,从而最大限度的减少了分发和管理客户端软件的麻烦,降低了系统部署成本和it部门日常性的管理支持工作费用。
array ssl vpn的技术特点 ssl vpn不需要安装客户端程序。array networks ssl vpn只要客户端安装了标准浏览器,如ie、netscape就可以登陆ssl vpn,ie是windows的内含软件,无须单独购买,因而不会增加客户端的开支。同时由于所有的部署工作和维护管理工作都在ssl vpn网关,属于集中部署、集中管理模式,对于vpn的部署和管理带来了极大的便捷。
array networks ssl vpn网关的部署可以非常灵活的适合银行系统现有的网络结构。spx网关在网络边缘可以采用单臂结构或双臂结构,可以放在防火墙后面或dmz区,达到ssl vpn网关本身的高安全性,可以灵活适应nat转换、防火墙只需要对ssl vpn网关只开放443端口就可以了,使黑客或内部不法人员或恶意代码无发力之处。
array networks ssl vpn可以支持多种用户认证方法,localdb,radius、ldap、rsa securid、securcomputing、ad等等,和银行已有的统一认证系统完美的结合起来。此外,array networks ssl vpn组网方案是面向应用的vpn方案,可以做到基于应用的细粒度控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。这是一般基于网络的vpn所办不到的。系统对用户接入网银系统是经过精细授权控制的,针对不同的用户或用户所属的组,ssl vpn可以按预定义的规则来对用户的访问权限进行设定。
array networks ssl vpn网关提供客户端安全检查模块(client security),确定客户端的接入权限,可以对不同用户或组作如下权限设定,如web access、web browser、file share、application manager、l3 vpn,可自定义接入的级别。用户接入网银系统是经过加密的,array networks ssl vpn设备采用强加密算法,同时spx采用专用的ssl加速卡,充分保证ssl的性能,实现网银ssl接入的效能最大化。
ssl vpn解决方案提高网银系统安全性 防止信息泄漏
由于客户端与ssl vpn网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等被保护起来,杜绝了有效信息的泄露。
杜绝非法访问
ssl vpn的访问要经过认证和授权,充分保证用户身份的合法性。ssl vpn只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份,则ssl vpn将拒绝其连接请求,从而限制了非法用户对内网的访问。
保护信息的完整性
ssl vpn使用数字证书进行机密性与完整性参数的协商,它不仅能够对所传输的数据进行机密性的保护,同时也对其提供完整性保护。当在传输过程中的数据被篡改之后,ssl vpn是可以检测到的,如果检测到数据被篡改,他们就会放弃所接收到的数据。
防止用户假冒
array networks提供多种认证和授权方式,包括本地 本地用户数据库,并且可以和其他更加强大的认证系统结合起来,如ad,radius,rsa securid,securecomputing、x.509数字证书认证等。
保证系统的可用性
ssl vpn使用内网、外网相互隔离,只开放所需服务的方式来实现,这样客户端只能通过授权使用所开放的服务,除该服务之外的其它服务都无从访问,从而减少了很多对内网系统进行攻击的途径,达到了对内部网络的最大保护。
