联想网御数字校园应用安全解决方案

核心提示： 为解决充分认证的问题，联想网御SSL VPN安全网关提供了Web SSO功能，联想网御数字校园应用安全解决方案(3)，即单点登录，用户第一次提交认证信息登录SSL VPN后，利用校园网现有认证系统中的帐户信息验证身份，有效的保障了数字图书馆的信息安全，访问校园网内数字图书馆时，无需再次提交

为解决充分认证的问题，联想网御SSL VPN安全网关提供了Web SSO功能，即单点登录。用户第一次提交认证信息登录SSL VPN后，访问校园网内数字图书馆时，无需再次提交认证信息，只需打开已登录的认证页面，第二次认证信息就会自动由SSL VPN安全网关代替完成。联想网御SSL VPN安全网关提供了NTML（AD域认证）和Form（表单认证）的单点登录方式，几乎适用于所有数字图书馆的认证方式。

多级安全保障机制

通过SSL VPN将校园内数字图书馆对互联网开放，在注重易用性的同时，安全性也不容小觑。是否允许任意一台终端接入；接入终端是否要求具备一定的安全措施；建立安全通道后，是否允许隧道以外的访问；能否过滤隧道内不健康的访问等，都是数字图书馆远程访问解决方案需要兼顾的问题。

联想网御SSL VPN安全网关，可在远程终端接入之前自动检测该终端是否安装了杀毒软件；是否安装了桌面防火墙；是否运行了访问数字图书馆所需程序等等，如果未通过检测则禁止接入。另外，联想网御SSL VPN安全网关还提供了伪造识别功能，防止远程用户伪造信息、非法登录。除了检查客户终端特征外，联想网御SSL VPN安全网关还可将帐号与终端进行绑定，进一步提高了访问的可靠性。同时，管理员还可设置实现远程用户接入SSL VPN后对其他网络的访问权限，有效杜绝了其他网络接入对安全通道的隐患。此外，联想网御SSL VPN安全网关，还针对Web应用提供了必要的防御措施，如：灰色控件过滤、防SQL注入、非法URL入侵等，配合基于帐号最大并发上限的控制功能全方位保障数字图书馆系统的安全运行。

智能路径选择

国内网络有“北网通”和“南电信”的说法，不同ISP下的主机彼此访问时会出现不同程度的延时。为了解决这个问题，校园网管理员往往会选择向不同的ISP申请多个公网IP，以提高访问服务质量。

而联想网御SSL VPN安全网关具备智能路径选择功能。当网关具备不同ISP公网IP时，其通过识别来源地址与目的地址的ISP服务商归属，即可智能选择最优路径，以提高访问速度。

Site to Site SSL VPN

数字图书馆服务器除了部署在校园总部，各个分校区也可能部署，甚至还可能部署在国外。如何实现各个分校区服务器之间的信息同步，也是SSL VPN需要解决的问题。

联想网御SSL VPN安全网关独创的Site to Site SSL VPN给出了很好的答案。通过在SSL VPN安全网关之间建立安全传输通道，各个数字图书馆服务器之间即可实现安全的信息同步。同时，为了给用户提供更好的访问速度体验。同时，联想网御SSL VPN安全网关还采用了先进的加速技术和连接预处理技术，可满足高流量转发和某突发大量连接的性能需求。

图1 联想网御数字校园应用安全解决方案

综上所述，联想网御SSL VPN数字校园应用安全解决方案为公网终端和校园网搭建了一条安全通道。接入用户可通过动态口令，短信口令，证书＋电子钥匙的多因素认证方式登录SSL VPN，利用校园网现有认证系统中的帐户信息验证身份。有效的保障了数字图书馆的信息安全，彻底的解决了用户在校外安全访问数字图书馆的需求。