华为智能企业远程办公安全解决方案(1)
课程地址
本方案相关课程资源已在华为O3社区发布,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)
课程地址:
- 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
- 点击“培训赋能 > 向导式学习”;
- 在向导式课程中选择《华为智能企业远程办公安全解决方案》即可看到课程相关内容。
华为O3社区平台会有课程配套技术文档和模拟试题。课程所有内容均为本人开发,学习过程中如有任何问题可随时在O3平台课程下方或者本文评论区留言讨论~
方案背景
随着互联网普及和网络技术提升,员工可通过稳定的网络连接在任何地点进行办公。全球化和市场竞争加剧使得跨时区合作成为常态。远程办公消除了地理限制,提高了工作效率,成为了一种适应时代潮流和应对挑战的新型工作模式,为员工和企业带来了诸多优势。
华为智能企业远程办公安全解决方案可基于华为USG设备为企业在外员工提供SSL VPN接入通道,实现员工的远程接入和办公,确保员工可以在任何时间、任何地点进行工作,提高工作效率,同时降低企业和员工的开支。此外,在突发事件中,企业维保人员远程接入可及时进行业务保障和维护,避免企业遭受更大损失。
本文主要讲述华为智能企业远程办公安全解决方案,主要从需求分析、方案设计和方案部署三个方面展开介绍。
需求分析
企业远程办公业务概述
所谓企业远程办公业务,也即企业在外员工通过SSL VPN等隧道技术接入至企业内网进行的各类工作。主要包含以下几类:
- 文件共享:为了方便员工在不同地点访问和共享文件,企业会提供云存储服务。员工可以将文件上传企业云空间,随时随地进行访问和编辑,同时可以与团队成员共享和协作。
- 资源访问:为了使员工能够远程访问企业内部系统和资源(企业OA、邮件服务器等),企业会提供员工远程资源访问途径。员工可通过远程桌面协议(RDP)等方式进行访问相关资源,在安全的环境下实现对企业内网的远程接入和资源访问。
- 远程协作:为了促进团队成员之间的协作和沟通,企业通常会提供远程协作工具,如视频会议软件、即时消息和聊天工具、项目管理平台等。这些工具可以帮助员工进行实时沟通、共享文件和内容,协调工作任务,并保持团队合作的高效性。
- 技术支持:为了使企业维保人员可及时有效地处理各类突发事件,企业会提供远程技术支持和培训,以确保企业业务连续性和系统稳定性。这类业务包括在线培训课程、远程会议技术支持、IT帮助台等服务。
企业远程办公安全风险分析
上文提及的各类企业远程办公业务伴随的网络安全风险如下:
企业远程办公环境搭建需求分析
基于上文分析可知,企业远程办公业务均面临各种网络安全风险。若企业不加以管控地对外部员工提供各类远程业务,将严重威胁企业网络安全。
为防范各类远程办公安全风险、保证企业在外员工的灵活接入和高效办公,企业为外部员工提供一个安全高效的远程办公环境是必要的。企业搭建远程办公环境的具体需求可分为以下几点:
方案设计
组网架构
- 本方案采用华为USG6615F防火墙作为企业SSL VPN安全网关,负责将远程用户的VPN流量转发至企业内网,确保企业远程用户可随时随地灵活接入企业内网进行远程办公。
- 为保证方案整体的稳定性和可靠性,本方案采用两台USG6615F防火墙以主备备份方式组建双机热备系统。
设备选型
华为智能企业远程办公安全解决方案中的产品型号、软件版本推荐如下:
说明:本方案采用的是华为USG6000F系列防火墙作为SSL VPN网关,需要外部终端额外安装VPN客户端(UniVPN Client) 。华为USG6000E系列防火墙也支持SSL VPN功能,且无需额外安装VPN客户端,若客户侧终端不支持额外安装软件,可考虑采购USG6000E系列防火墙完成方案部署。
方案亮点
华为智能企业远程办公安全解决方案,可通过以下功能满足上文分析得出的各类企业远程办公环境搭建需求:
-
加密传输:本方案采用SSL VPN作为企业外部员工接入内网的隧道,SSL VPN是通过SSL(Secure Sockets Layer)协议实现远程安全接入的VPN技术。SSL是在Internet基础上提供的一种保证私密性的安全协议,能使客户端与服务器之间的通信不被窃听,还能验证通信双方身份,保证网络上数据传输的安全性,可以满足企业数据加密的需求。
-
用户认证:防火墙设备提供四种用户认证方式:用户名+密码认证,用户名+密码+证书认证,证书挑战认证和证书匿名认证。多样化的身份认证手段配合严格的密码策略可以保证对企业外部员工的身份校验与核查,避免非法用户接入,满足企业口令管理的需求。
-
流量过滤:通过在防火墙上配置安全策略,严格控制企业远程用户接入范围,只允许业务相关的特定外部员工(业务网段)通过公司提供的SSL VPN隧道接入企业内网进行业务交互和远程办公,拒绝其余流量接入,避免非法流量进入企业内网,威胁企业信息安全和系统运行,满足企业访问控制的需求。
-
统一工具:本方案统一采用UniVPN Client作为企业外部员工接入内网时的VPN客户端。UniVPN Client集成了SSL VPN、L2TP VPN和L2TP over IPSec VPN三大主流的VPN接入技术,是一款安全可靠的VPN接入客户端,可以满足用户在不同场景下的VPN接入需求,满足企业对外部员工远程接入时的工具管控的需求。
-
协议过滤:防火墙在配置业务相关的安全策略时,可根据企业特定的远程接入业务需求,按照最小化原则部署业务策略,仅放行业务相关的协议流量,拒绝其余协议,可以避免无关的协议报文进入企业内网,威胁企业内网安全,影响业务正常交互,满足企业对远程接入协议的管控需求。
-
角色授权:防火墙基于角色进行访问授权,角色是连接用户与业务资源的桥梁。在防火墙上配置SSL VPN网关时可以将权限相同的用户加入到某个角色,然后在角色中关联业务资源(远程用户可以访问的内网资源)可以实现对远程用户的合理授权,满足企业对外部用户接入企业内网时的权限管控需求。
待续……