某部委监管项目远程访问系统软众虚拟局域网VNN解决方案

用户基本功能需求：

为了满足全国统一监督管理的需要，需要将全国各地几千个远程用户的上传表单数据汇总于总部数据库服务器进行备份和管理。现在上报数据的方式是所有用户通过因特网远程访问部署在总部具有公网IP的Web服务器，在登录首页上输入访问帐号进入数据表单录入界面，处理完表单数据后可以将表单打印回本地，同时输入数据实时汇总备份到数据库之中。

现有解决方案存在的问题：

前端Web服务器使用公网IP固定端口对远程用户开放提供访问服务，非常容易遭到黑客扫描端口和暴力破解访问口令的攻击，在安全性上存在缺陷。

远程用户输入的登录口令全部以明文方式传送到总部认证服务器上，这样极易引起口令在传输过程中被“骇客”侦听和拦截，造成很大的安全隐患，容易引起机密信息的丢失。如下图所示：

众多远程用户同时访问将会带来峰值访问流量，对服务器和网络接入设备都是很大的压力，现有的单服务器和单接入网关架构无法避免单点故障和提供访问流量负载均衡功能。

VNN提供的解决方案：

部署实施：

远程用户使用VNN-U3令牌插入本地计算机，此U3令牌将把此用户的身份识别码以加密的方式发送到总部部署的VNN远程安全访问控制网关（双机冗余负载）上，经过身份认证后按照其访问权限向其开放此用户能够访问的服务器资源，此时两端主机的交互数据完全通过VNN数据安全传输通道进行快速安全传送，以确保实时数据远程传输的安全性与私密性。VNN远程安全访问控制网关使用了虚拟化服务器和智能远程连接技术，可支持1万个用户的峰值访问，同时具有网络安全防护、负载均衡和双机冗余功能，可以为用户提供安全可靠的远程访问服务平台。                      

VNN实施拓扑图如下所示

方案优点：

1. 针对用户平台的稳定性和健壮性需求，VNN远程安全访问控制网关双机HA部署，既可以满足几千用户同时并发访问的需求又可以提供冗余连接和负载均衡功能，以避免单台硬件设备存在的安全隐患。

2.  针对快速高效访问远程服务器系统的需求，VNN通过终端智能路由选择和广域网加速功能可以有效提高跨ISP和跨区域远程访问速度。

3.  在VNN安全通讯平台上可以配置隧道防火墙来限制远程用户只能访问服务器的固定应用程序，从而减少远程用户主机通过网络对总部服务器的病毒感染可能，提高服务器的安全性。

4.  VNN对远程用户进行身份识别时具有双因子认证功能，可以结合用户的硬件参数进行捆绑认证。

5.  具有强大的中央管理功能，管理员可以随时对远程帐号进行维护操作和配置修改。

6.  智能化操作和使用界面，远程用户操作完全是自动化透明化。

7.  VNN远程安全访问平台不仅能够提供简单的BS访问方式，还可以针对各种远程应用提供通讯支持，软件界面自动集成了文件加速传输、远程桌面访问和远程文件共享等功能。

8.  VNN远程安全访问平台在具有高性能的同时运行稳定可靠，并具有全面的安全自防护功能和运行状况自检测功能，通过详细的运行日志和连接状态记录方便管理员的日常维护工作。

其他远程安全访问方案的不足：

IPSec VPN:
   总部部署VPN网关，远程用户在本地主机安装IPSec VPN客户端软件与总部进行安全通讯。
不足：

l  IPSec VPN客户端软件容易与本地主机安装的安全软件产生冲突，并且配置使用复杂，加大了管理人员部署和维护的工作量。

l  IPSec VPN网关通常需要串接在用户的网络出口处，容易造成用户网络的性能瓶颈和单点故障引起的全网业务中断。

SSL VPN：
   总部部署SSL VPN网关，远程用户使用IE下载的Active X插件来访问总部服务器资源。

不足：

 ActiveX插件如果没有经过签名认证将会引起浏览器的安全警报和阻截，造成用户无法正常访问总部服务器，此外很多安全防护软件也对第三方插件进行警告和阻拦。

 SSL VPN网关硬件不易升级和扩展使用，中端设备最大支持1000～2000用户，高端型号价格昂贵，并且无法做到负载均衡。

无法解决跨ISP远程访问速度慢的难题。

SSL VPN设备因为自身对外开放TCP 443端口，非常容易遭到SYN Flood拒绝服务式攻击，系统的安全防护性不高，自身防护功能比较脆弱。

VNN远程安全访问平台的介绍及特色功能：

VNN(虚拟本地网－Virtual Native Network)是能够让处于不同物理位置的网络用户进行快速安全连接的网络平台，它具有如下特色功能：

1. 无需公网地址：处于不同物理位置的主机只要能上网，就可以进行虚拟本地网互联。

2. 准确直连：VNN利用专利技术，对各种防火墙、路由器等宽带互联设备都可以准确判断出NAT连接类型，从而让处于NAT设备后的VNN用户进行快速准确的直接连接。

3. 优选传输通道：使用P2P VPN技术，可以选择最快的传输通道，明显改善VPN数据传输速度。

4. 网络适应性强：能够上网的地方就都能够接入VNN网络，对上网环境没有任何要求(支持拨号上网PSTN、宽带拨号ADSL、小区宽带以及有线电视宽带CableModem和各种无线网络接入方式)。

5. 支持各种应用程序：可以支持基于IP的各种C/S或者B/S的应用，对哪些需要双向通讯的应用也能够支持，例如远程监控和视频语音会议等。

6. 实施快捷性价比高：在几个小时内可以完成一个中型远程通讯网络的搭建，使用与维护管理成本与其他VPN方案相比更具优势。

7. 支持U3即插即用：用户端无需安装VNN软件，使用U3闪盘自动接入VNN本地网络。

8. 支持自动登录：设置为自动登录模式,用户开机后即可迅速加入VNN本地网络，对用户而言是透明化使用。

9. 稳定性高：远程网络连接平台所有模块都经过稳定性运行的长期测试，可支持双机冗余负载部署，避免硬件网关的单点故障。

10. 安全性高：按需安装部署灵活，只在需要连入总部虚拟专网的主机上进行连接，有效避免了IPSecVPN造成的全网络访问范围过大所引起安全隐患；点对点全程数据加密通讯，总部远程连接平台自身具有网络安全功能以保护自身的运行安全。

11. 中央管理：可以由管理员对组内用户访问行为进行集中管理控制，增强安全性和可控性。

12. 一套系统可建立多个VPN网络：中大型企业客户可以建立自己的VNN网络支持系统，可以建立多个VPN网络供多个部门和合作伙伴使用，使用虚拟化和负载冗余技术最多可支持1万个用户同时加入虚拟本地网对总部进行安全访问。

13. 广域网加速：针对跨运营商VPN连接速度慢的问题，使用独有的WOC(宽带网优化连接)技术可以有效解决困扰企业的难题。

14. 大文件传输加速：独有的V2V大文件传输加速功能，可以有效避免其他VPN产品无法传输大文件的现象。

15. 实施维护管理成本低：在各个终端节点上安装VNN虚拟本地网软件后即可组成安全通讯平台，安装周期短，使用简单无需培训，集中化管理维护方式稳定可靠。

 VNN远程安全访问控制平台软硬件需求列表：