监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 2098|回复: 3
打印 上一主题 下一主题

IDC机房基于SSL VPN设备的托管服务器远程管理解决方案

[复制链接]
跳转到指定楼层
1
发表于 2009-12-17 11:51:12 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
本帖最后由 scanywhere 于 2010-1-5 16:29 编辑

1、用户背景
   某IDC公司成立于1998年,是国内知名的大型互联网基础服务商和IDC服务商。公司成立十年来,一直致力于发展以IDC数据中心业务、ASP互联网基础服务、以及ISP互联网接入服务、灾难备份业务为主;以SP电信增值业务、B2B电子商务服务、软件开发、行业解决方案为辅的互联网信息化服务。

2、用户需求
    IDC机房管理方式的安全风险分析。目前机房管理有两种方式,一是进入机房管理,二是远程管理。这两种管理方式都存在着安全漏洞。
l正常是进入机房管理。因为用户进入后很难控制,用户进入机房后,可以做出多种行为危害机房的正常运转,如碰掉网线,如在机器上植入木马或者其它间谍软件,给IDC机房带来巨大的风险和危害。所以在日常管理中尽量不让用户进入机房。部分机房采用软切换方式来控制风险。
l远程管理。远程开放telnet/SSH,这种管理方式没有安全机制保证,口令和密码都不加密,3389漏洞非常多,所有远程管理方式一般也不采用。
因此,用户需要一个有安全机制的,可控的设备来保证用户在登录后,在授权范围内管理自己的设备。
具体如下:
l用户需要一种高强度的身份认证方式,确保身份的真实性
l用户登录后再授权范围内访问资源
l用户登录后操作系统的用户名密码不用输入

3、解决方案
l建设证书服务器,采用高强度的证书+USB KEY双因素认证方式来确保登录者身份的真实性。
  >证书服务器负责证书的日常管理;
  >管理终端完成证书的申请和发放工作;
  >为应用服务器颁发服务器证书,为个人用户颁发个人证书;登录时,实现双向验证,确保应用服务器身份和个人身份的真实性;
  >用户手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K;用于私钥存储,确保私钥的安全;
  >采用SQL数据库,用于证书服务器生成证书和CRL的存储。

l建设SSL VPN系统,确保用户在授权范围内访问资源。根据操作系统,我们SSL VPN提供控制机器方式是不一样的,分别阐述如下:
  >对于采用WIN操作系统的设备,采用terminal service来管理,我们把terminal service嵌入浏览器中,即在应用层对terminal service进行过封装。
  >对于Linux/Unix操作系统,采用 telnet/ ssh来管理,同样也是把telnet/ sshIE里,即也在应用层对telnet/ ssh进行过封装。
  >对于网络设备,如Cisco交换机和路由器,采用 telnet/ ssh来管理,同样也是把telnet/ sshIE里,即也在应用层对telnet/ ssh进行过封装。
  >对于防火墙等用WEB方式调试的设备,用SSL VPN设备的BS方式管理就可以了。

4、用户收益
在本方案顺利实施完成后,将会获得如下收益:
l通过采用SSL VPN系统,可以实现安全远程管理,设备维护成本大大降低,可管理性大大加强。
l登录SSL VPN用户,由于采用了双因素的强身份认证的方式,从理论上确保了登录用户身份的真实性。
l对设备管理时,所有传输数据被加密,确保数据无法被侦听和窃取,保证了传输中的数据的安全性。
l通过应用层安全传输网关在应用层隔离,防止服务器免受网络层威胁的侵扰。
l对不同身份的用户给不同的访问权限,禁止用户越权访问,确保用户在授权范围内访问。





---------------------------------------------------------------------------------  
      北京安软天地科技有限公司
  --- 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
  --- 公司网址:www.scanywhere.com
  --- 联系电话:010-67080263
2
 楼主| 发表于 2009-12-24 15:06:23 | 只看该作者
华为金牌代理
大家一起交流探讨~
3
 楼主| 发表于 2010-1-5 16:32:11 | 只看该作者
华为金牌代理
4
 楼主| 发表于 2010-1-18 16:18:55 | 只看该作者
观摩  学习
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-14 19:19 , Processed in 0.066071 second(s), 27 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表