1.1.1 安全性和高可用性
VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
远程安全接入安全性包含以下特征:
- 数据加密:在安全性要求高的场合应用数据加密则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。
- 数据验证:在不安全的网络上,特别是构建远程安全接入的公用网上,数据包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改,保证了数据的完整性。
- 用户验证:远程安全接入可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通过AAA可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于远程安全接入具有尤为重要的意义。
- 高可用性:在远程安全接入中,要防止出现单点故障,确保一台设备发生故障时,能够保证应用的正常访问。
1.1.2 技术先进性、实用性原则
远程安全接入不仅要求能充分利用现有的网络资源,而且要满足未来发展的需要。这就要求规划设计必须考虑到技术的可行性和先进性,同时要考虑到前瞻性。在安全接入产品的选择上,需要权衡现有需求和未来发展需要之间、现有技术的可获得性和未来技术发展方向之间的矛盾。远程安全接入设计在满足以上要求的同时还必须做到经济实用,以节约投资,必须以有限的投资获得较高的性能,即系统应该具有较高的性能价格比。
1.1.3 可管理性原则
系统的管理维护是一项繁重的工作,代价也极高。可以说,一个系统的易维护性决定了该系统的寿命,也决定了该系统的实际运行成本,同时,如果一个系统容易维护,则发生错误的概率就会大大降低。系统的管理易维护性体现在软硬件两个方面。硬件易维护性主要指安装、升级简单方便,后备配件充足。软件易维护性主要指体系结构清楚,易理解,同时,管理界面友好,易操作。
1.1.4 规模可扩充性原则
易扩展性是业务发展的需要。随着企业用户的不断增加,业务的不断扩展,应用规模也迅速膨胀。为了保护现有投资,也为了满足用户的需要,提供优质服务,必须保证组建的系统很容易扩展。在业务数量剧增的情况下依然能够提供优质服务,这就要求我们的系统具有良好的可扩展性
远程安全接入设计必须架构在科学的体系和框架之上,因为框架是方案设计和分析的基础。为了系统、科学地分析远程安全接入涉及的各种问题,行业里的专家们提出了远程安全接入的整体设计理念模型,远程安全接入模型示意图如下:
在此体系模型中,完整地将远程安全接入的全部内容进行了科学和系统的归纳,详尽地描述了远程安全接入所使用的技术、服务的对象和涉及的范围。
确保为用户提供高安全性、高可用性、高性能、易管理的解决方案。
