本次江苏省邮政承建的"社会加盟管理安全接入项目"是邮政系统的大项目,因为牵扯到邮政系统对外合作,所以此项目更是重中之重,安全性要求更好,易用性、互操作性、分级简单管理等都是重点考虑因素。该项目是为全省乡镇企业提供加盟网上开展业务的服务,换句话说就是网上开店。目前已经开展的业务有水电费、汽车火车票等加盟店网点的缴费办理。整个系统的规划业务容量达到20000个并发用户,由全省集中运营,整个江苏省包括所有地市和县,分为省中心,地市中心,县中心三级管理。
综上分析,江苏省邮政需要建设一套省中心集中的SSL VPN接入平台及用户身份认证系统,满足VPN用户互联网安全接入、用户认证授权管理的需求。该方案目标主要包括两部分:SSL VPN 网关设备和用户身份认证系统。为了保证代理点、合作营业厅、增值合作商接入可靠性,服务提供的安全性,中小企业交易的保密性、完整性等,加盟平台接入必须采取以下解决方案来保证江苏省邮政接入的安全运营。
一、解决方案
联想网御公司采用两台电信级SSL VPN安全网关设备SAG-11000启动负载均衡功能,实现冗余热备份,后期随着业务的发展再线性扩展。并结合亚信联创统一认证系统组合起来构成加密认证的整体解决方案
首先:采用两台SAG硬件负载均衡并互为热备,通过专利算法进行登录用户在两台硬件设备上的均衡与热备。同时联想网御SAG产品支持多台的专利线性集群技术,提升硬件的同时还支持大的并发用户,联想网御SSL VPN产品SAG还支持不同硬件型号的集群功能。每台设备的并发许可10000个,两台同时工作最大支持并发用户20000个。随着用户业务的扩展,我们通过集群可以升级到253台设备的最大集群,任意一台出现故障,通过均衡热备专利算法将故障机的登录用户无缝均衡到其他设备上,保证在线用户数量。两个SAG单臂接入,经过SAG处理的都是SSLVPN的认证加密流量,只需要一个接口接入网络即可,不需要单独配置HA心跳口。
其次:由下图可知,联创的统一身份管理平台中增加CA用户的支持,SAG根据联创提供的认证协议接口实现认证授权抽象层。通过该实现,SAG将联创的统一身份管理平台作为认证、授权的数据源纳入的SAG的认证体系中,实现了两大系统的无缝整合。登陆SAG的用户,可以直接使用联创统一身份管理平台进行认证和授权,而用户管理则管理员可以直接在联创的统一身份管理平台中进行。从而实现的用户管理和权限分配的统一及认证和授权的统一。
最后:根据江苏省邮政网络应用特点,联想网御SSL VPN 产品SAG-11000提供多级管理等的专业功能。产品根据SaaS(Software as a Service)软件及服务的理念提出了基于"云计算"基础的多层次灵活架构,率先在业内将综合智能(Collective Intelligence)引入到SSL VPN 产品中,分层次管理将管理任务分配给不用权限,不同地域的管理员均可以根据自己地区用户的应用特点配置SSL VPN网关,总部系统管理员可以将不同级别的权限分配给每个不同区域的管理员,使得庞大系统各司其职,井然有序的运行。
此项基于"云计算"的综合智能系统功能恰当地满足了江苏省邮政社会加盟平台的建设,省中心系统管理员将不同的管理权限分配给南京、无锡、常州、苏州等地市的管理员,各地市管理员根据地市业务开展的不同程度来管理省中心SSL VPN系统,使得每个地市接入根据业务和应用的不同而不同。对于每一个地市的管理员来讲,就像省中心专门为其购买了一整套SSL VPN系统供其使用。而对于省中心来讲,可以收集所有全省的数据,根据数据情况进行深度挖掘分析,重新调整业务重点,增加邮政系统在社会中的竞争力。
联想网御SSL VPN 电信级产品SAG-11000以其出色的性能和完备的功能以及完整的解决方案从各竞争厂商中脱颖而出,为用户节省投资,避免分布式部署,统一购买并发用户,使得用户数资源可以复用,保障用户投资,系统更加稳定。集群不仅可以做到设备之间负载均衡,在一台设备故障的情况,剩余设备继续负载均衡,并且还提供高数量用户的并发,避免分布式部署存在的单点故障或海量投资的问题。
安全产品部署说明:
部署产品 |
部署位置 |
部署作用 |
SAG11000 |
生产网对外DMZ区 |
提供社会加盟管理平台的安全接入,两台SAG11000负载均衡,通过每台10000并发授权,提供20000并发用户的接入容量 |
20000授权 |
江苏省各地加盟店 |
提供同时20000用户的并发接入 |
统一认证系统 |
服务器群区 |
提供用户认证信息和日志 |
#p#
二、实施效果
整个项目实施完成以后,得到用户方,合作方,集成方等各方相关厂商及技术人员的认可和褒扬。用户方表示这样的实施结果超出他们的预期,之前他们也使用其他厂家的SSL VPN产品,但是小问题很多,邮政系统内用户反映很大,体验效果差,所以这次也非常谨慎,用户方对能实现这样的效果向联想网御公司以及整个产品组表示感谢。
联想网御SSL VPN作为公司的旗舰产品以其出色的性能、完备的功能和完整的解决方案为用户提供一站式的应用服务;先进的SaaS(Software as a Service)软件及服务的理念,率先在业内将综合智能(Collective Intelligence)引入到SSL VPN 产品;先进性专利线性集群技术,为用户提供强大的升级扩容空间;提供完善的第三方接口,无需定制开发,直接可以和第三方认证系统联动。众多产品优点以及领先行业的理念使得用户最终选择联想网御SSL VPN产品。联想网御SAG产品将继续以SSL VPN第一品牌的姿态引领行业方向,为用户应用提供完美支撑。
三、特色描述
1)根据SaaS(Software as a Service)软件及服务的理念提出了基于"云计算"基础的多层次灵活架构,率先在业内将综合智能(Collective Intelligence)引入到SSL VPN 产品。
2)先进性专利线性集群技术,支持253台不同硬件型号SSL VPN产品的集群部署,向用户提供强大的升级扩容空间。
3)完善的与第三方统一认证系统结合,完整的解决方案,向最终用户提供一站式服务。
【编辑推荐】