由于教育行业信息化应用的迅速发展,电子科技大学内部布署大量的不同种类的应用服务以满足教学、研究工作的开展。但是随着应用的进一步扩展和信息化进程的不断加深,电子科技大学对于校外的教职员工远程访问图书馆等各种电子资源的需求越来越明显。
项目实施前的电子科技大学图书馆网络只能支持校内用户通过校园内部网络进行资源访问和IT资源使用,高校教育具有它一定的特殊性,大量的教师需要从校外对校内网络进行安全便捷的访问,这些应用包括:数字图书馆、VOD视频点播、数据库查询,以及学校其他内部网络资源系统。
电子科技大学根据自身的需求,对远程访问应用系统的解决方案中提出了如下的要求:
1、高可用性,高性能。要求系统支持多种终端设备接入校园内网,用户接入后可以使用电子科大现有所有数字资源;设对并发用户数和支持总用户数都有较高要求。
2、支持强认证。需支持USB-Key认证方式,并可以和电子科大原有的第三方认证服务器无缝结合使用;且用户认证操作简单方便。
3、支持多线路,可扩展,集成防火墙。为解决教育网和公网之间互访带宽瓶颈问题,设备至少具有两个外网接入通道,实现接入多家互联网服务商;设备本身可扩展功能;集成防火墙做过滤和抵御攻击
4、管理方便,日志丰富。系统要求具有完善的后台管理功能,管理者能方便地实现用户管理、流量限制、安全设置、数据统计及报表生成等功能。
电子科大通过与多个高校的交流,选择了深信服科技的SSL VPN解决方案。此方案先后应用于华南师范大学、北京航空航天大学、中国政法大学等多所知名院校,使用效果比较理想。针对目前电子科大的实际网络环境和用户需求,深信服的SSLVPN网关采用单臂模式部署在用户校园网络中,如下拓扑图部署,如此项目实施迅速,并且不影响原有网络环境,仅需对深信服SSLVPN网关所连接的交换机进行镜像端口配置即可。
凭借SSLVPN天生的优势,解决了用户使用多种终端设备利用SSLVPN接入内网的问题,并且无须安装任何客户端软件,用户使用简单方便且免维护,支持多种操作系统平台和PDA,掌上电脑,智能手机等终端设备接入;作为一款技术领先的SSL VPN,深信服SSL VPN可支持所有TCP/UDP/ICMP应用,甚至支持VoIP,视频等;通过对接入用户分配内网的指定IP地址,即使海外的数据库资源是基于校内IP地址进行认证的,并且对单一IP发起的会话数目进行了限制,通过该特性仍然可以让身处校外的用户顺利访问海外数据库资源,完全做到了对电子科大所有数字资源的远程访问;电子科大根据自有的网站风格重新定制了SSLVPN访问界面,给用户更佳访问体验;深信服SSL VPN凭借优良品质和高性能满足了用户的要求。
除支持USB-Key外,此方案还支持动态令牌卡,短信认证,数字证书,混合认证等,提高认证强度,并且可以和用户现有支持微软AD,LDAP,Radius等协议的第三方认证服务器无缝配合使用。针对用户授权, SSLVPN设备支持基于角色的权限管理,对用户分组,对被访问资源根据资源IP地址,端口,服务甚至URL地址和时间进行分组,用户(组)和资源(组)之间可以进行灵活的关联绑定,完全做到只给合适的用户授予合适的权限。
由于电子科技大学对用户的接入安全极为重视,此方案在安全策略方面的优势正好满足了电子科大的需要。深信服SSL VPN具备VPN专线功能,防止黑客通过公网远程控制用户客户端,进而进入VPN隧道潜入用户内部网络,由于现在安全威胁已经从恶意的破坏逐渐发展为蓄意入侵,进而窃取用户的机密信息。VPN专线功能可以避免中招木马、间谍软件的PC将一些安全隐患携带到电子科大的内网;另外,深信服SSL VPN可启用客户端安全准入技术,将检查接入的客户端是否满足预设的安全条件,比如windows xp系统是否安装sp2补丁,是否安装某杀毒软件等,只有满足该预设条件的客户端才准许建立到内网的VPN隧道;
同时,深信服SSLVPN设备具有多线路复用和智能选路专利技术,一台设备可以使用多条公网线路,一方面可以解决跨运营商网络带宽瓶颈问题,另一方面多线路可以增加出口带宽,线路之间可以实现负载均衡和备份,既为您提高访问效率又节省了单独采购负载均衡设备的花费。
借助于数据中心组件,电子科大可以实现海量日志存储和查询,从SSL VPN网关记录的翔实丰富的日志中,根据用户指定条件进行快速查询和绘图;另外不管是数据中心组件还是该SSL VPN设备都提供基于web的配置管理界面,让管理员轻松上手。
通过SSL VPN,电子科大的教师们无论是在外开会,还是在家中办公,都可以随时随地的安全接入到学校的校园网,访问所需资源,让资源实现了真正的扩展。