一、Rabobank银行简介 这是一间总部位于荷兰的跨国银行,在34个国家有194个办公室,员工5928人。在其九百万个客户中,有企业、金融机构和许多个人。银行的主要业务。业务范围包括批发,零售商业,保险,养老金,医疗保险,,风险投资,租赁等。2002年的业务收入为85.6亿欧元。是荷兰的第三大银行。 随着公司的业务发展,急需要搭建一个VPN设备,实现银行总部与各分支的联系。但在实际操作中,却发现有几个难点: 1,各地分支机构与总部的连接都是VPN。现有的VPN已经解决了联网的安全性,也满足了公司的安全政策。但是这种安全性仅存在于办公室的局域网内。员工回家,就离开了安全的局域网,可以用VPN Client保护单台电脑。VPN Client是一个软件,安装运行到每个电脑中,有大量的维护工作,原因是电脑的软硬件配置不尽相同。 2,配置问题。由于现有的VPN工作在网络第三层,会涉及到网络层的设置问题,这是一个比较专业的问题。那么多金融问题专家能搞懂网络层的设置?而且这种设置可能与上网方式还有关,他们自己能否解决?如果要IT部门帮助的话,工作量巨大。 3,身份认证问题。在办公室内,不允许来历不明的电脑接入局域网,这是一种身份的甄别。如果允许从家里登陆,仅用口令进行身份识别显得很不安全。 二、iGate如何帮助解决技术难关 iGate是一款SSL-VPN设备,用于解决远程用户访问的安全问题,具有以下特点。 极强的安全可靠性 iGate采用对称和非对称两种方式执行加密操作。 作为出入企业内部系统的唯一关口, iGate代理服务器通常被放置在防火墙和后端服务器之间,且只开放443端口(或80端口)。客户端到iGate之间通过采用SSL协议建立安全的专用加密通道,而iGate与后端服务器之间则使用标准的http通讯协议,不会因为SSL加解密工作给服务器带来任何负担。当移动用户需要连接到公司网络时,用户首先需要插入iKey身份认证令牌并输入PIN码进行登录身份认证。对服务器端的身份认证使用标准SSL验证,对客户端则使用MD5哈希算法的挑战-响应进行验证。双方验证通过后,所有通讯均使用HTTPS协议,保证了从客户端到iGate之间的通讯安全。对于应用系统的攻击,因为只针对相应开启的应用程序,所以黑客不易侦测出系统内部的网络结构,所受到的威胁仅限于程序本身,因此攻击的机会将大大减少。同样,使用iGate,病毒从远程客户端入侵的可能性也会大大降低。因为感染病毒的机器只会局限在某一台进行远程接入的主机,不会蔓延到整个网络,而且这个病毒必须针对远程接入应用程序,不同类型的病毒也不会感染主机。 快速部署,易于使用,无需安装客户端程序 iGate最大的好处就是不需要安装客户端程序,远程用户基本上不需要IT部门的支持就可以随时随地从任何支持SSL协议的浏览器安全地访问应用程序,从而最大限度的减少了分发和管理客户端软件的麻烦,降低了系统部署成本和IT部门日常性的管理支持工作费用。任何一台可以上网的电脑都安装了浏览器。只要可以上网,就可以使用iGate。由于只通过443端口作为唯一的传输通道,因此管理员不需要在防火墙上作任何修改,也不会因为不同系统的需求修改防火墙上的设定,他可以在几个小时内轻松完成安装,所有安装界面都是通过浏览器界面实现。另外,由于采用了彩虹公司独有的CryptoSwift SSL硬件加速装置承担并加快安全功能的处理工作,因而,iGate 代理服务器的响应速度更快,进而可留出更多资源给其他任务。 适用广泛,支持 B/S和C/S应用以及手持设备等 iGate能保证在任何地方访问基于IP应用程序的安全,包括Web和C/S应用,老的应用程序,网络文件传输和共享,终端服务,电子邮件服务以及PDA等手持无线设备。对于大多数操作系统,只要是支持SSL协议的浏览器,不论是Windows, Mackintosh, Unix还是Linux,都可以透过iGate进行远程安全接入。 超强的访问控制管理和认证能力 所有内外部访问都经过唯一的iGate ACL权限控制软件进行管理,为IT人员提供了更加集中且容易控制访问权限管理工具。对于客户身份的认证,由于使用彩虹独有的iKey身份认证令牌代替了传统的口令密码认证方式,使iGate具备了超强的身份认证机制,通过挑战响应原理和内置有算法的芯片,在客户端存储唯一验证值,同时在服务器端保留相同的验证值,从而确保整个验证实现的唯一性。 三、iGate怎么解决IT的苦恼的呢? 1, 无客户端的特点解放了IT工作人员。iGate不需要在客户端安装任何软件,而只要客户端安装了浏览器如IE。IE是Windows的内含软件,无须单独购买,因而不会增加客户端的开支。只要装了Windows,就有了IE。如果安装了客户端程序,就会带来许多麻烦。即使这个程序做得非常简单,安装和使用都简单,经验告诉IT管理员,也免不了有很多求救电话。用户会怀疑一切奇怪的现象都与新安装的客户端程序有关,因为它无法判断与客户端程序无关。有个使用过IPSEC VPN的IT管理员说,他接到一个电话,是从刚刚运行客户端软件不久的用户打来的,问为什么他的电脑自动输入了很多‘0’之后键盘不接受任何输入。好在用户不远,IT管理员来到用户那里,发现有一本书压在键盘上。事情倒是很简单,但IT管理员觉得很不爽。如果这件事情发生在家里而且是半夜12点,会怎么样?如果没有客户端软件,用户有什么问题就不会来找他了。 2, 配置问题。以前的IPSEC需要在客户端配置IP,这会带来麻烦。第一,让每个员工自己去配置,就可能会遇到前面所述的问题。第二,服务器的IP可能会变化。一旦变化,就会要求所有客户端重新修改IP配置。这比一开始设置更难。 3, iKey比口令还方便。用iKey是安全的。口令不能代表一个人,因为口令可以共享。iKey是一个硬件,不能共享。虽然iKey也不能代表一个人,但是相比指纹,视网膜识别,iKey的成本比较低,是可以接受的。口令的危险性在于我不知道别人知道了我的口令。然而,丢失了iKey,可以马上告诉管理员,重新发一个新的。iKey的危险性仅存在于丢失与报失这一段时间内。即使在这一段时间内,盗用者也需要知道PIN才能使用iKey。PIN是不可以试出来的,如果连续三次错误,iKey就被锁死了。 4, 有的员工休假两周之后,什么都忘了,口令太多,而且复杂,往往有员工打电话过来,要求重新设置口令。用了iKey,就没有这个问题,因为PIN简单,容易记住。所以说,iKey不但安全,而且方便。 5, 终端服务解决只能把文档存放在服务器上的要求。终端服务是一个软件,能够让远方电脑当成服务器的一个终端,远方的用户能够看到文档的内容,也可以修改/保存,但是,不能保存到本地的硬盘。在终端服务的环境下,Word/Excel只能对服务器的硬盘进行操作,不能对本地硬盘进行操作。 使用iGate,可以确保终端服务传输的数据是加密的,不会在Internet泄漏数据。 四、实施效果 “iG
信息发布:广州名易软件有限公司 http://www.myidp.net
|