清华大学SSL VPN项目案例剖析

   针对以上的需求，清华大学SSL VPN项目具有以下规划目标：

　　1．学校各学科教师，研究生无论是上班、寒暑假或者是在外出差都可以随时随地的获得学校办公系统，视频点播系统，电子图书馆，网络管理系统等各项资源；

　　2．方案必须能够提供很好的性能和很高的可靠性；

　　3．系统必须对现有的各种网络设备和认证系统具有很好的兼容性。

　　清华大学SSL VPN项目方案：

　　该项目使用两台Succendo 2000 SSL VPN (500用户)，结合原有的F5负载均衡器提供双机热备和负载均衡功能,为学校教职工提供全天候、全方位的远程安全访问方案。下图较为简单地描述了该应用的拓扑：

    
    Succendo SSL VPN部署方式本身非常灵活，既可以作为网关设备接在网络边缘，也可以单独作为访问控制设备放置在内网，保证最大限度的利用目前的网络环境。该方案灵活、实用，既发挥了SSL VPN强大的精细粒度的控制功能，又充分利用和兼容了清华大学现有的各种网络设备，有非常高性价比，非常值得其他各大高校借鉴和推广。在防火墙上配置了到负载均衡设备的NAT规则，仅需要开放443 port即可，SSL VPN屏蔽了外部用户到内网服务器的直接访问。这个方案具有以下几个特点：

　　使用简单方便：无需安装客户端，用户只需要通过浏览器即可以访问内网资源；

　　网络适应能力强：Sucendo SSL VPN系列产品通过串连方式接入校园，无需改变清华原有网络的拓扑，包括服务器群的位置；

　　双机热备：有效防止了单点故障，并有效保证广大师生到内网连接的持续性。

　　个性化设计：用户接入页面支持中文简体，也可以更具实际的需要来设计，保证个性化的需要；

　　广泛的应用支持：支持丰富的TCP/UDP的应用服务，各种动态的多媒体应用服务，支持CIFS/NFS的文件共享；

　　高安全性 ：Succendo SSL VPN结合多种安全技术，在数据加密、接入用户身份验证、接入用户权限控制等方面为用户提供了全面的安全保障。Succendo SSL VPN可以支持SecurID，Raidus，AD，LDAP，证书等认证方式。可以设置基于角色的更细致的服务访问权限来杜绝安全隐患。如在只有教师才可以使用OA系统，而普通的学生是不能使用的；教师可是使用OA系统，但是其中的某些教师不可以访问财务系统。Succendo SSL VPN可以正对不同的用户使用不同的权限。避免因权限过大造成的安全隐患。

　　完善的用户日志记录：有效的记录用户的连接访问活动，根据记录分析，将有利于对网络资源进行更加合理的配置，同时也使网络资源处于安全监控之下。

　　系统的使用现状和收益：

　　清华大学Sucendo SSL VPN运行以来，整个系统运行稳定，实现了当初的方案设计，解决了学校对移动办公和资源共享的需求。

　　对于学校的教师可以随时的使用OA办公系统来处理公务，和其它内部系统资源的查阅。

　　对于学校的学生来说，可以方便的进行移动选课，随时随地的查阅图书馆的电子书籍等，更有效更安全的使用学校的资源。

　　对于学校的网络管理员来说，可以方便的随时随地的了解学校网络运行情况，快随及时的处理网络故障，保证网络安全稳定的运行。

　　总之，清华大学的Sucendo SSL VPN项目具有投资少、建设时间短、见效快的特点；它的建成，提高了首师大的工作效率，拓展了全校师生的工作空间，其社会效益和经济效益是显而易见的。

上一页  [1] [2] 

【责编:Zenghui】