【IT168 资讯】一，  SSL VPN 网络部署概述

    Juniper SA系列SSL VPN设备是一款解决网络应用层访问安全的网络设备。以SA6500为例， 它可直接接入企业核心交换机上，或者根据不同企业网络需求，将SA6500接入服务器区域的汇聚层交换机上。SA6500的连接方式采用Bypass方式部署， 这样部署的特点表现为：1）不影响现有网络架构拓扑；2）不会影响原有网络的业务应用。用户只需在防火墙上将TCP 443端口（SSL应用端口）映射到SA设备的内网地址上，就可达到公网访问SSL VPN的效果，部署相当简单。

    二，Juniper SSL VPN常规功能应用案例

    我们在这里看一个企业应用需求实例：

    1， 该公司总部在上海，全国共有90家分公司。各分公司办公人员使用公司电脑，需要在不安装任何VPN客户端软件的情况下，通过Internet24小时无间断的安全访问上海总部ERP系统，操作生产线所下订单和产品配发及物流储运。

    2， 全国销售专员使用个人笔记本随时访问企业总部OA和ERP系统。所有访问行为必须有准确授权，所有数据通信必须实施AES或3DES加密。每销售专员访问资源根据职位高低分配不同网络访问权限。
3， 所有分公司访问和移动办公人员访问的电脑必须检测是否安装卡巴斯基6.0以上杀毒软件。不符合要求的笔记本或商务电脑一律禁止访问公司内部资源。

    我们再来看看那Juniper SSL VPN解决方案是如何满足用户需求的：

    1， 统计企业分公司和移动办公人员访问公司总部资源数量，并发在线用户总数约1500人左右。 同时结合企业分公司增长速度和移动办公人员增长情况选择SSL VPN产品型号为SA6500。SA6500是一款内嵌SSL硬件加速模块，并支持最大并发用户数10000。

    2， 考虑到用户各分公司没有专职的网络管理员，为减少网络维护负担和复杂度，将SA6500设备架设在总部：所有访问直接使用Https的方式，避免客户端安装的繁琐工作。

    3， SA6500的访问方式为Https，访问建立后的所有数据通信可根据用户要求，选择AES和3DES等多种加密方式，确保所有通信数据的高安全性。

    4， 企业用户ERP系统为用友软件服务系统后台，是基于JAVA和Windows平台开发的ERP系统。应用SA6500独特的WSAM 安全应用管理器，用户只需使用Web 浏览器即可接入客户端/ 服务器应用；还支持本机接入终接服务器应用，无需预装客户端。

    5， 考虑到用户分公司数量多，移动办公人员数量庞大，为了确保所有访问者的电脑处在安全的状态下，当用户准备登陆SA6500访问内部资源时，SA6500使用预先配置主机安全检查器（Host Check）对访问者电脑进行检查，该功能可从会话开始到结束一直检查客户计算机，以验证需要安装/运行端点安全应用(防病毒软件和防火墙等)的可接受设备安全状态。还支持定制检查，包括验证打开/ 关闭的端口，检查文件/ 流程并通过Message Digest 5 (MD5)散列校验和验证它们的真实性，验证寄存器的设置及产品证书等。

    6， 此外，根据企业用户的职能和行政职位不同，在网络访问公司资源时，Juniper SA系统也做了详细区分。Juniper SA可以做到基于角色/ 资源的混合策略模式，动态验证策略，动态角色映射，资源授权，细粒度的审计和日志记录每位企业用户的访问行为。多重地授权及审计机制确保用户的不同类型人员各司其职，各尽其能。

    SA6500网络访问流程简图：

    综上所述，SA6500是一款满足用户 网络端到端的分层安全性需求，并降低总体拥有成本，具备丰富的接入权限管理功能和用户自助服务功能，并可根据按用途进行调配网络访问资源的一台网络安全访问产品。