WEB资源的安全管控者：GoodLan-CAC

谷兰web资源授信访问与控制系统（GoodLan-CAC）是一套采用反向代理技术，能够对WEB资源进行有效管控的安全互联与加固设备。

谷兰GoodLan-CAC在如下两类场景中具备独特的技术价值：

场景一、WebVPN远程安全互联解决方案

随着信息技术的发展，越来越多的政企用户开始考虑将内部的业务向互联网进行开放，以便人们在工作时不必拘泥于物理位置的限制，可以在任何地点随时随地的办公，加速业务处理的效率。

GoodLan-CAC基于反向代理与泛域名解析技术，能够实现被代理资源的发布与流量牵引。通过认证、授权、加密等安全机制的应用，完美实现WebVPN功能。

相比于传统VPN配置的繁琐，WebVPN技术允许用户终端在无需安装任何插件的情况下就能够实现安全的远程连接。远程用户只需要像访问普通HTTP网站一样访问WebVPN的登陆页，通过认证后即可访问相应的内网资源。

WebVPN这种“零安装、零配置”特性极大的减轻了网络运维人员的工作压力，为高校、大型企业等大流量、高并发应用环境的用户提供了安全、简单、易用的安全互联解决方案。

谷兰GoodLan-CAC的WebVPN核心功能包括：

1.多种灵活的认证方式

谷兰GoodLan-CAC支持多种方式认证，包括本地账号认证、微信认证、以及Radius、LDAP等系统认证。

2.所见即所得的授权资源

谷兰GoodLan-CAC允许管理员定义不同的WEB导航页，从而为不同角色的用户提供所见即所得的访问资源。用户与资源之间相互隔离，权限分明，大大提高了系统自身安全和资源系统安全。

3.密文加密传输

通过在用户与WebVPN系统之间采用基于SSL高强度加密方式的数据传输，可充分保障数据传输的可靠性、安全性，系统同时提供用户身份保护机制，可有效避免窃取和攻击等安全风险。

4.简单易用、兼容性强

WebVPN系统免去了传统VPN需要安装插件、安装客户端软件等繁琐操作，不仅简单易用，而且不再限制用户端的使用环境，用户只要具备“浏览器”，就可以直接建立安全连接，兼容性与易用性得到极大的增强。

5.安全可靠

WebVPN系统突破传统VPN的四层端口限制，避免运营商封锁。系统采用HTTP（HTTPS）网页透传实现资源代理访问并记录访问日志，存储历史记录，满足《网络安全法》的相关规定。

6.安全部署

WebVPN部署于DMZ区域，通过防火墙与内部数据中心的业务服务器安全隔离；WebVPN与谷兰应急处置系统可有效联动，通过对系统账号的权限监测，可及时发现越权的违规操作并可触发应急关停等处置动作，终止入侵行为。

场景二、网站授权访问与安全加固解决方案

Web服务以SOAP作为基本的通信协议，不需要经过复杂的协议转换，就能使不同平台的软件之间可以互相通信，很好地解决了互联网中跨平台软件的连接问题，这在很大程度上方便了Web服务的使用者。

但Web服务在使用过程中，安全风险也如影随行。突出的安全风险主要表现在以下几个方面：

1.WEB网站在对外开放服务后，面临较大的安全风险，尤其在操作系统暴露出漏洞时，部分系统因为开发环境的限制可能无法进行漏洞修复。当这种隐患常期存在时，业务系统面临较大的安全风险；

2.部分网站采用HTTP协议提供服务，不支持安全的HTTPS协议，数据的交互容易被窃听和篡改；

3.WEB站点分布于各处，建设与管理分离，无法集中统一管理和控制；

4.新的WEB业务系统在上线时需要申请域名、完成资源发布等工作，上述过程不利于业务的快速上线；

5.不同WEB站点均有各自独立的访问入口和授权访问人群，为了便于使用和管理，需要通过“统一入口”的方式进行资源整合和管理。

GoodLan-CAC从“隔离”的角度出发，通过多种安全技术，有效的加强了网站系统的安全性。

核心功能包括：

1.隔离漏洞隐患，增加安全强度

以往对外网提供访问的业务系统，由于允许用户直接访问，攻击者可能会通过操作系统、数据库、中间件等系统级别的漏洞攻击服务器。通过GoodLan-CAC的隔离代理机制，能够有效切断外部攻击者对内部服务器的攻击路径，隔离安全风险，极大的增强内部脆弱系统的安全性。

2.统一发布与管理机制     

GoodLan-CAC可为客户提供完善的内部管控机制，通过对内部网站的统一备案和发布，可有效管控资源发布环节，避免私搭站点导致的技术风险和法律风险。

GoodLan-CAC采用泛域名解析技术，可以让域名支持无限的子域名，帮助客户快速的开通和上线新业务。

3.加固网站安全

GoodLan-CAC具备https替换功能，可将客户内部的http网站以https加密的方式对外提供服务，从而实现安全的透明改造。

GoodLan-CAC具备URL替换方式的乱序功能，允许服务的提供者以“虚假的URL”向外部提供站点服务，从而隐藏内部的真实情况，避免恶意攻击者的攻击和入侵。

4.VDS安全引擎，恶意代码深度监测与控制

GoodLan-CAC可选择加载VDS（Virus Detection System）引擎模块，VDS模块通过对数据包进行协议解析和数据还原分析，能够获取到网络流量中的攻击事件和病毒样本等关键信息，帮助网络管理者准确掌握代理流量中存在的恶意攻击事件和网络安全态势。