移动办公SSL+VPN远程接入解决方案(10页).doc

《移动办公SSL+VPN远程接入解决方案(10页).doc》由会员分享，可在线阅读，更多相关《移动办公SSL+VPN远程接入解决方案(10页).doc（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-移动办公SSL+VPN远程接入解决方案-第 10 页移动办公SSL VPN远程接入解决方案杭州沃联科技有限公司目 录一、需求概述3二、深信服SSL VPN解决方案3三、解决方案优势53.1 安全性53.1.1 https安全web访问接入53.1.2 认证安全63.1.2.1用户名密码方式73.1.2.2 USB key方式83.1.2.3 动态短信码方式93.1.2.4 硬件特征码方式93.1.3 终端接入安全103.2 可管理性113.2.1 管理员分级管理113.2.2 权限管理及划分123.2.2.1 用户-角色-资源管理123.2.2.2 主从账号绑定143.2.3 访问控制153

2、.2.3.1 终端准入控制153.2.3.2 用户超时/过期控制163.2.4 日志审计17四、实施与售后服务204.1 售后服务体系204.2 售后服务承诺214.3 专业的CTI中心，完善的用户档案系统22一、 需求概述为提高企业的工作效率、增强企业的竞争力以及降低不必要的运营成本，运营商需要建设一个基于Internet网络平台的远程安全接入系统。该系统用于部分运营商内部人员及第三方代维人员的远程办公（WEB、FTP、电子邮件应用和基于TCP的C/S应用）、远程业务受理以及远程网络维护（Terminal Service）等需要。根据实际使用情况，远程安全接入系统方案应重点关注安全性及可管理

3、性两个方面。安全性包括认证的安全性及接入终端的安全性；可管理性包括对访问系统资源的权限划分及系统访问控制机审计日志等方面。二、 深信服SSL VPN解决方案通过配置SSL VPN网关，将用户临时性的需要访问公司内部资源发布到SSL VPN平台上，只为使用者开放某些系统的访问权限，利用SSL的多种加密和认证方式保障使用的安全。对使用者来说，不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入，对管理员来说，避免了管理员大范围客户端的安装和配置问题。部署方案：通过安装SANGFOR SSL VPN安全网关，开通300个SSL VPN并发授权，可以同时允许最多300个终端使用；网络扩展性：随

4、着SSL VPN系统应用的深入及业务的发展，可将DCN网络应用及相关业务系统应用发布到SSL VPN远程访问平台，此时只需要增加相应的并发授权，SANGFOR M5450-S支持800并发用户访问，在性能及设备接口上均可支持良好的网络拓展性：三、 解决方案优势3.1 安全性 3.1.1 https安全web访问接入登录页面可进行定制：如下为中国移动总部及东莞银行定制页面：SSL VPN的一个显著特点就是客户端的易用性，客户端事先并不需要安装任何程序，只要在IE浏览器中输入M5450-S对应的公网IP地址（在动态IP环境下访问WebAgent或动态域名）即可进行安全访问接入。3.1.2 认证安全

5、根据接入用户的分布，本方案建议远程用户采用以下四种登录方式，分别是用户名密码方式，USB key方式，动态短信码方式及硬件特征码认证。3.1.2.1用户名密码方式登录全过程如下： 在浏览器地址栏中输入设备网址，出现登录界面。初次登录时系统会提示您安装ProxyIE控件。 点击用户登录，输入用户名密码。 登录成功，直接鼠标点击需要访问各种资源3.1.2.2 USB key方式对于采用USB KEY作严格身份认证的用户，登录全过程如下： 将DKEY插入电脑中的USB口，在IE浏览器中输入设备网址 在出现的如下对话框中输入PIN码 接入成功，开始访问资源 也可以在线修改密码3.1.2.3 动态短信码

6、方式对于采用动态短信作严格身份认证的用户，登录全过程如下： 在浏览器地址栏中输入设备网址，出现登录界面。 输入用户名密码，点击获取短信密码。 出现如下页面，输入由设备刚发送的短信码。 接入成功，开始访问资源。3.1.2.4 硬件特征码方式启用设备的硬件特征码认证，通过终端的CPU、硬盘等信息生成硬件特征码，实现将用户绑定在特定的终端上，无论是更改IP还是MAC都能正确的识别终端。在硬件特征码认证配置中限制每个用户只允许拥有一个或几个硬件特征码，并开启硬件特征码的自动审批功能。如，对某用户启用了用户名/密码+硬件特征码认证，该用户第一次登录SSLVPN时，由于在SSLVPN设备配置中该用户的硬件

7、特征码信息为空，所以在通过了用户名/密码认证后的跳转页面会显示请用户提交硬件特征码的提示。点击提交硬件特征码后设备对该认证码进行自动审批，并将用户的页面转到该用户权限的资源列表页面。此时登录到控制台，在硬件特征码管理中可以查看到该用户提交的硬件特征码信息。包含用户名、特征码、MAC地址、机器名等信息。设备在该用户每次登陆的时候都会收集其登录终端的硬件特征码。若是在同一台终端上登录，即可直接通过用户名/密码认证后，跳转到相应的资源列表页面。若是换一台终端进行登录，则显示硬件特征码出错信息：可以设置一个账号对应一个硬件特征码（即只允许使用某一台终端登录SSL VPN）或几个硬件特征码（即要求一个账

8、号使用固定的几台电脑登陆）；3.1.3 终端接入安全在用户通过计算机浏览器打开SSL 登录界面时，SINFOR SSL VPN安全网关通过客户端计算机安全扫描功能，检查计算机系统是否打了补丁、是否安装有相应杀毒程序等，通过客户端接入的时间、登录IP、接入线路IP来衡量该客户端是否允许接入，保证SINFOR SSL VPN接入安全，避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。3.2 可管理性3.2.1 管理员分级管理SINFOR SSL VPN安全网关能够为管理员访问也提供和普通用户相同的安全保障手段。根据企业内部的管理形式，深信服将设备管理员分为超级管理员和

9、受限管理员，受限管理员只能管理所辖组的用户、用户组、所在组的硬件特征码、关联所在组的角色，不能对于不在所辖组的用户进行管理和维护。3.2.2 权限管理及划分3.2.2.1 用户-角色-资源管理SANGFOR SSL VPN通过独特的角色管理功能，提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。图：用户组管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式，为远程接入用户分配细致的访问权限控制。 图：IP资源生成 图：角色管理-用户/用户组绑定图：角

10、色管理-资源绑定3.2.2.2 主从账号绑定主从帐号绑定，进一步提高用户的关键/核心业务系统认证安全性，防止冒名访问/越权访问，即限制用户登录SSL VPN后，只能够使用指定的帐号登录应用资源，使用其他帐号无法登录该应用资源，WEB、APP、IP资源均可实现该功能。可通过以下两种方式实现：1、勾选结合单点登录的用户名绑定认证，使用单点登录方式实现，界面如下： 首先必须对目标资源启用单点登录功能，然后在用户管理列表页面，点击【SSO设置】对目标用户帐号，绑定需要登录应用系统的帐号、密码。2、勾选通过数据包解析登录的用户名绑定认证，使用数据包解析方式实现，界面如下：首先在数据包为后面的下拉框中选择

11、该应用的类型，并根据实际情况填写下方的数据信息。然后然后在用户管理列表页面，点击【SSO设置】对目标用户帐号，绑定需要登录应用系统的帐号、密码。3.2.3 访问控制3.2.3.1 终端准入控制通过终端准入规则，做到控制用户VPN系统接入时间，接入线路，计入IP等，确保接入的安全性。系统登录时间限制：只有在规定的时间才能够登录远程接入系统。系统登录IP限制：只有符合要求的登录IP的用户才允许访问远程接入系统。接入线路IP限制：只有通过符合要求的接入线路接入的用户才允许访问远程接入系统。 3.2.3.2 用户超时/过期控制过期时间：设置账号有效期，当到达账号有效期时，指定账号失效，无法继续登录。个

12、人超时时间：超过一定时间未操作，自动注销SSL VPNSSL专线：接入SSL VPN后，自动断开与互联网的连接，避免黑客侵入接入终端，通过SSL VPN作为跳板侵入内网。用户失效时间：用户若在指定时间内不登录SSL VPN，则注销该用户3.2.4 日志审计在SSLVPN的运行状态中，可以实时查看到接入的用户。并可以选择按用户组进行接入用户的查看，或是使用按用户进行筛选，直接查询指定用户是否已经接入了SSLVPN。在列表中的查询结构中，将显示接入用户的用户名、描述、接入时间、接入IP、接入到内网中分配的虚拟IP等信息，并可以通过点击操作中“断开”按钮，对该用户执行断开SSLVPN的操作。同时可以

13、设置第三方数据中心，登录到数据中心控制台，可以查看到详细的用户访问日志。数据中心分为5大模块，分别为网关的运行状态，日志查询、统计报表、数据管理、系统设置。下图为日志查询模块。可以查询指定用户组、用户、主机IP在某个时间段内登录SSLVPN、访问指定资源的记录。下图为统计报表模块。分为常用统计、流量统计和流速趋势三个板块。图中显示的界面为常用统计中的资源活跃程度的界面，可以查看到发布的资源的使用频度。流量统计中可以针对用户组、用户、资源进行流量统计排行，排行出来的数据可作为在控制台进行流量分配的依据，合理优化SSLVPN网络。 报表可打印，可下载，也可自动发送到指定管理员的邮箱：资源流量排行：

14、资源活跃度：用户流量排行：基于单个用户或用户组生成日志：显示登录时间，用户行为，访问资源等:四、 实施与售后服务 “顾客至上，服务第一”是深信服科技售后服务一直所秉持的售后服务理念。从成立之初到至今，深信服科技逐渐形成了一套完整的、规范化的服务体系，以“专业的人员、积极的态度、踏实的作风”服务于国内外过万家客户！深信服科技将在提供产品的同时向客户提供从安装实施到售后技术支持的一系列服务。4.1 售后服务体系深信服科技以深圳总部为核心，经过多年的完善逐渐在全国范围内建设了三级服务体系，为广大用户提供全方位的服务。深信服科技服务体系覆盖广泛，布局合理，响应及时，三级服务网络分别为：第一级 公司总部

15、专业的客服中心在深信服总部，拥有80人的CTI呼叫中心由经验丰富的资深技术支持工程师为广大客户提供724小时热线电话服务，送修服务、远程调试、现场服务和有偿个性化服务。总部的产品专家和网络安全专家服务队伍同时负责全国服务网络的技术支持、管理、监督与协调，保证用户问题得到及时、有效的解决。同时，在公司总部还组建了一支由负责产品研发的工程师组成的问题响应支持中心，每天24小时值班，帮助大区、本地技术支持中心和合作伙伴解决技术难题。在深信服科技深圳总部，设有用户呼叫中心，用户可随时通过拨打深信服科技免费的售后服务电话：800-830-6430（手机用户可拨打：400-830-6430）进行有关问题的

16、查询，并将有关问题提交给深信服科技，以便深信服科技提高对服务请求的追踪和反应速度，更迅速的解决用户出现的问题。并且完善的客服系统会自动记录下用户的产品信息和历史故障，为每个用户建立资料库，以便深信服科技更准确的采取有针对性的措施来为用户服务。第二级 覆盖全国的深信服产品专业服务队伍深信服科技在全国各地设立有庞大的专业服务队伍。包括：华北区、华南区、华东区、西南区、西北区，华中区六个大区和近三十个驻外分支机构，所有分支机构都建立了本地客服中心，直接承担所在地区深信服客户的直接服务，达到全国所有一级城市和地区覆盖。全国免费售后服务热线：800-830-6430手机用户可拨打： 400-830-64

17、30未开通800以400地区请拨打：0755-26581993第三级 最为广泛的深信服合作伙伴深信服科技通过遍布全国各地区、各行业的专业网络服务商，提供延伸到地市级城市的产品售前售后服务。目前，通过“深信服产品技术认证工程师”认证的合作伙伴超过400人，强大的售后服务保障体系，为广大客户服务提供了最直接的贴身服务。4.2 售后服务承诺1) 服务期内保修服务VPN目工程实施完毕验收通过后，深信服科技承诺对合作伙伴的最终客户所购买的SINFOR VPN系列产品在服务期内享受免费保修服务。2) 免费软件升级服务在合作伙伴的最终客户质保期内，如遇软件产品（含微码、驱动程序、操作系统等）升级、改版，深信

18、服科技将免费提供更新、升级等服务服务，保证用户第一时间享受到深信服科技所带来的各项全新技术。同时深信服科技将协助为最终用户做好服务前的各项准备工作（如系统和数据备份）等。对于深信服科技软件产品，深信服科技将为最终客户提供终身免费升级服务。3) 全国免费咨询电话对于深信服科技所有用户，均可拨打深信服科技全国免费的800-830-6430电话（手机用户拨打：400-830-6430）。深信服专业的技术支持工程师将耐心解答用户在设备使用中遇到的问题，并及时提出解决问题的建议和操作方法。4) 远程技术支持服务在合作伙伴的最终客户质保期内，深信服科技免费提供远程技术支持服务，即：出现网络故障，通过电话支

19、持无法解决的情况下，可通过远程调试技术支持服务予以协助解决。远程服务时间：星期一到星期五：每天8:3021:00 星期六：8:3018:00免费热线电话支持服务所有客户正式购买深信服科技的产品后，均可通过多种方式，享受到深信服科技专业的技术服务。客户可以选者800电话，网上在线咨询、E-mail或者传真等方式和深信服科技专业的售后服务工程师联系。免费的售后服务电话：800-830-6430（客户无需支付任何电话费用）手机用户可拨打：400-830-6430（客户通过手机拨打400电话仅收取本地话费，无需长途费用）未开通800以400地区，请拨打：0755-26581993E-mail：support 4.3 专业的CTI中心，完善的用户档案系统深信服科技在深圳总部的客服中心设有专业的CTI系统，用户通过CTI账号拨打我们的技术支持热线接入后，在每个技术支持工程师的CTI客户端系统就可以立刻弹出该用户的产品记录，版本情况、故障记录等，以便快速、准确地帮助客户了解问题情况，定位故障信息等。每个客户在购买我们产品之后，技术支持工程师将为之建立对应的帐户信息，逐渐搭建起一套完整的用户档案系统。CTI服务流程