错误800 不能建立vpn连接
随着江西省农村信用社联合社(以下简称“江西省联社”)业务的快速发展,如何让客户在任何时间任何地点都能得到便捷的金融服务,成为银行转型的关键。借助VPN技术,该社实现了生产和管理业务的便捷接入,助推全省农商银行移动金融的快速发展。文章详细介绍了江西省联社如何利用VPN技术构建统一安全工作空间的应用实践。
随着移动金融的蓬勃发展,移动营销和移动办公在银行业务发展中发挥着越来越重要的作用。虚拟专用网络技术(VPN)是一种安全可控、随时随地可建立的远程接入技术,在现代企业信息网络中的作用日益明显。当前江西省联社初步部署了VPN分区,实现了包括移动OA、移动营销、厅堂管理、测试业务等在内的VPN接入。
当前移动安全接入(VPN实现)在江西省联社业务营销、远程办公以及开发运维中发挥了重要作用,但业务的发展变化对移动安全接入的需求发生了变化,同时对VPN设备的性能也提出了更高的要求,主要表现在以下几方面。
一是VPN分区设备性能需提升。随着更多VPN业务的加入,尤其是大规模远程云桌面的开发,当前VPN分区设备由于使用年限过高,设备的内存和带宽等性能存在瓶颈,需要通过更新硬件来实现性能升级。
二是远程开发运维安全防护有待完善。随着业务的发展,敏捷开发渐成主流,变更的频度越来越高,要求实现随时随地快速运维。通过VPN接入后,云桌面实现远程开发,堡垒机实现远程运维审计。安全形势的变化对安全防护的要求更高。
三是移动办公VPN接入需进一步规范。一方面,当前省中心和成员行是通过各运营商VPN线路接入方式实现移动办公OA的,该方案存在步骤繁杂、系统不稳定的缺点。另一方面,部分成员行有自建OA系统,需要在接入及其他安全方面进一步加强防护。
江西省联社拟通过启动本项目来建立全省统一安全工作空间,实现VPN接入的功能和性能的全面提升,为全省农商银行业务发展提供坚实的技术保障。
一是安全移动办公。通过更安全的移动终端SSL外网接入,搭建全省统一安全工作空间,实现全省OA的终端安全访问和高效异地办公,并提供包括文件存储隔离、剪切板隔离、文件分享隔离、屏幕截取控制等在内的工作数据安全保护功能,实现敏感数据不落地、不泄露。
二是安全开发测试。通过VPN网络外网接入DMZ区,再通过堡垒机和虚拟云桌面,并结合链路上的入侵防御和安全审计设备,实现接入前授权、实施中监控、操作结束后审计的闭环安全管理,提高业务支撑能力和提升故障排查效率。
三是安全移动营销。通过提供基于设备强管控级别的安全接入,实现实时交易和业务营销的外网接入,延伸了柜台的业务办理能力,解除了银行员工的时空营销限制,可以极大地提升江西省联社的网点业务承载能力和扩大营销外拓范围。
四是安全外联接入。通过提供符合最新国密要求的IPsec接入模块,实现专线级别的公网互联,和人民银行、农信银以及其他单位进行IPSEC外联业务对接,进一步满足安全的企业级外联公网接入场景需求。
1. 移动办公场景。一方面,工作空间需实现外网终端安全便捷接入。通过SSL VPN加密接入技术,实现随时随地的移动办公或远程外网接入,同时基于终端网络接入管控技术,实现VPN接入时自动断开外网连接,达到内外网物理上的隔离。另一方面,工作空间需实现App在移动终端上的安全隔离。因此,将全省农商银行OA系统的App端进行安全技术封装,提供文件存储隔离、剪切板隔离、文件分享隔离、屏幕截取控制等功能,防止企业数据泄露。
3. 移动营销场景。统一安全工作空间要求建设具备设备管控级别的安全接入能力,从而打造移动营销拓展的统一运维能力。针对现存的MDM产品使用情况,要规避外部原因所导致的维保风险,则需要提前规划未来两年对PAD等专用设备的管控和更新换代,通过本项目的实施,为后续的移动化营销提供了更优的应用分发和安全保护的解决方案。
4. IPsec对接场景。通过配备最新国密要求的技术模块,和人民银行、其他监管机构或者第三方机构进行IPsec对接,实现省农商行的VPN安全组网,以及外联单位VPN业务的安全接入。
在核心交换机上以单臂方式部署(DMZ)两台移动安全网关VPN设备,组成集群,用作移动安全接入。业务App服务器等与移动安全接入平台共同保证IP可达,构建统一安全工作空间,空间架构如图1所示。
为了保证项目的安全稳定实施,需要对整体方案流程进行详细的流程设计。实施前与客户项目接口人、相关领导确认本项目的需求、实施时间、实施地点。上线前,需要对网络配置、SSL资源访问的相关策略、交换上的新增路由进行确认。提前做好设备上线安放的机柜位置规划、设备互连接入时交换机接口/配置规划、链路建立与连通测试错误800 不能建立vpn连接,确保机房能为SSL VPN提供电源。为厂家提供设备接入网络IP地址,并确保该IP地址可以正常访问服务器资源。根据《网络安全法》要求,日志必须留存6个月以上,因此需要一台服务器,且服务器存储尽量更大一些,具体需要根据每天的日志量评估。为工程师提供测试网络接入,以便设备上线后测试网络的连通性。
方案中的移动应用采用安全的SSL加密协议,保证移动App的传输安全。SSL协议具备良好的安全性和网络穿透性,广泛适用于各个行业的安全传输加密。
1. 握手协议。客户和服务器之间相互鉴别,协商加密算法和密钥,保证连接的安全性。至少对一方实现身份鉴别,也可以是双向鉴别,协商得到的共享密钥是安全的,中间人知道,协商过程是可靠的。
2. 记录协议。SSL记录协议建立在可靠的传输协议(如TCP)之上,保证连接的安全性、保密性和完整性,使用了对称加密算法。
为了实现内网对外提供服务,需要保证远程接入时可以安全访问组织内部网络的业务数据,并同时确保数据的安全。因此,在选择方法时,必须充分考虑多种接入方式以及各个接入方式的安全性。
项目自2020年启动以来,系统运行平稳,未出现因技术原因导致的业务中断问题。该项目获得农信银金融创新信息安全类优秀案例,初步实现了以下效果。
一是全面提升新VPN分区的功能和性能。江西省联社计划以灾备数据中心建设为契机,在艾溪湖数据中心VPN分区拟新增VPN设备,实现VPN硬件环境的提升,为后续VPN业务预留更多的扩展空间。
二是进一步提升远程开发的安全防护水平。在堡垒机和云桌面权限控制和监控的基础上新增IPS和审计功能,形成事前审批、事中监控和事后审计的闭环安全管理,实现远程开发和测试的更高级别的安全防护。
三是实现设备管控级别的终端安全管理。根据业务发展需求,结合当前主流的终端安全防护技术,新的VPN分区具备设备强管控级别的安全防护功能,为江西省联社交易类业务VPN接入的扩展和延续提供基础。
四是构建全省统一的安全工作空间。江西省联社拟搭建全省统一安全工作空间,实现省中心和成员行安全、高效和便捷的OA集成解决方案。
传统订阅:①征订单下载→②填写征订单→③转账汇款→④把征订单及汇款凭证邮件至→⑤电话确认,完成订阅。