1.前言
由于互联网的开放性和通信协议原始设计的局限性,所有信息采用明文传输,从而导致互联网的安全性问题日益严重。非法访问、网络攻击等频频发生,给公司的正常运行带来安全隐患甚至不可估量的损失,因此必须利用信息安全技术来确保网络的安全问题。
2.网络解决方案描述
通过深入分析迈普公司现有的网络模式和EIP业务流程,保证对现有网络的不做大的改动,同时节约设备投资,建议采用MPSec SSL600因特办公隧道系统来组建该安全网络。
2.1 网络拓扑结构
2.2 网络实施方案
MPSec SSL600因特办公隧道系统主要由SSL隧道网关(MPSec SSL 600)和SSL隧道客户端软件(MPSec SSL600 Client)组成。另外用户还需要向证书颁发机构(如CA中心或者MPSec CMS证书管理系统)为SSL隧道网关和SSL隧道客户端申请数字证书。
网络实施方案如下:
1)安装证书管理服务器(MPSec CMS)
MPSec CMS服务器为安全代理网关及各远程固定用户或移动用户颁发数字证书,数字证书中绑定了各自的身份信息。在安全代理网关与各远程用户或移动用户之间的网络传输中使用数字证书进行身份验证及信息的加密传输。
将证书管理服务器安装在方便管理员使用的子网中,其具体步骤如下:
安装证书管理系统
分配管理员并颁发相应的管理员证书
安装证书管理客户端
为远程用户或移动用户颁发证书
所颁发的证书分发的各远程用户或移动用户手中
2)安装MPSec SSL600系统
在网络的边缘加入安全代理网关(MPSec SSL600),安全代理网关位于防火墙之后,可以利用现有的公网IP地址做NAT,使远程用户或移动用户通过公网能够访问到安全代理网关,再由安全代理网关访问ERP服务器。
3)安装MPSec SSL600 Client 客户端
在远程固定用户或移动用户的客户端机器上安装安全传输代理客户端软件。以此来实现由安全代理网关服务器对客户端用户身份的认证、安全代理网关服务器与远程用户或移动用户客户端机器之间的信息加密传输。