公司异地互联解决方案

惠尔顿e地通互联解决方案企事业单位移动办公解决方案二零壹壹年九月惠尔顿e地通互联解决方案●声明Copyright©20011 深圳市惠尔顿信息技术有限公司版权所有。案仅供选择网络异地互联解决方案时使用，不得将本方案作其他用途。本方案针对具体的需求而定制，客户在未与本公司正式签署合约之前，本业务方案建议书的知识产权归深圳市惠尔顿信息技术有限公司所有，不得将本方案内容透露给第三方，且由深圳市惠尔顿信息技术有限公司所开发的任何原始概念、结构、设计、处理方法不得用于商业用途。●文档说明（凭借长期以来对现实异地互联方案的专业863eVPNVPNC/S软件B/S布署更容易，维护量更小，成为业界速度最快、最安全、布局最易的产品！我们为参与到贵公司管理信息系统的建设，并有机会发表专业意见而倍感荣幸！本方案建议书是在我们所了解的需求的背景下得以完成的，但限于时间紧迫，某些非关键性问题可能被忽略。对此，我们除表示歉意外，愿意针对大家关心的其它问题再进行补充报告。本方案已列出了能够满足当前网络异地互联和使用移动终端办公对速度以及安全的需求，并能够支持管理系统长期发展对网络平台的需要。惠尔顿e地通互联解决方案目 录一、前言 4二、项目概述 41、项目目标 42、项目范围 4三、网络调研情况分析 41、网络互联展望 4四、方案详细设计 61、网络拓扑 62、连接说明 63、实现效果 7五、地通方案的优势 81、Socks5平台优势——安全、节省成本 8免安装的瘦客户端——相比传VPN和运营VPN安装维护成本更低 8先进VPN安全体系——相比传VPN和运营商VPN更安全 8支持各种接入方式——相比传VPN和运营VPN线路成本更低 92、支持远程集中接入——速度更快，节省租用带宽的成本 93、优秀的防火墙功能——保障数据接入安全，节省客户投资 94、智能化路由管理功能——节省客户投资 105、先进的带宽叠加和负载均衡功能——更稳定、速度更快 10六、地通方案的内网安全功能——保障内网安全 11七、售后服务 141、服务目标 142、服务简介 143、紧急情况的分类和响应时间 154、服务步骤 155、服务内容 16 惠尔顿e地通互联解决方案一、前言息平台，实现远程用户安全、高效、方便地应用总部应用系统。惠尔顿公司基于对上述情况的初步了解和调研分析，根据我们了解到的具体需求，制作了本方案书。二、项目概述、项目目标数据在内网的安全。、项目范围项目范围涉及惠尔顿e地通异地互联产品。三、需求调研情况分析探讨。网络互联展望管理软件数据库的内网安全是政府信息化的基础之一。信息化管理3分软件、7分管理、12分数据，建设一套符合管理软件数据库安全需求的网络优化平台是政府信息化道路上重要组成部分。通过e地通实现整个异地用户对总部系统的访问，在实现互联的过程中、以及实现互联后通过移动终端来实现异地办公，我们要面对什么课题？首先是互联计划的实施难度地址：深圳市南山区科技园 电话（0755）26546529 第4页 16传真075526635507 网站惠尔顿e地通互联解决方案互联后整个网络的安全性互联后整个网络的稳定性互联后整个网络其他应用的可拓展性地址：深圳市南山区科技园 电话（0755）26546529 第5页 16传真075526635507 网站氐蜕市覃尔褫信息技术宥愕公司

惠尔顿e地通互联解决方案四、方案详细设计1、网络拓扑公司仓l木软打弅户端 公司仓杞软件客； 分公司软件客户端_．_．W6投备、内网川户 眼务器网络安全区域（用户际高）地址：深圳市南山区科技园 电话（0755）26546529 第6页 16传真075526635507 网站惠尔顿e地通互联解决方案2、连接说明总部网络e我们可以把数据库服务器和Web服务器通过e地通服务器与内网其他电脑隔离。异地客户端采用WEB客户端，绿色客户端，硬件KEY,等多种认证方式登录应用系统。连接模式使用移动终端连接总部进销存软件进行办公。a、使用WebServers、点对点长连接，请求级响应应答机制。采用公安部制定的移动通讯端到加密算法的VPN技术。b、无线应用服务器对捆绑的ip及Mac、机器码进行绑定。c、对通信IP进行验证、认证及鉴权，没有符合一致的进行屏蔽。d、对应用服务器加密处理和软件防范机制，封闭应用服务器多余端口，修改使用通信端口。3、实现效果1)、实现外网用户访问数据中心的应用系统异地用户通过惠尔顿e地通系统客户端只要以任何方式接入Internet、便可以安全方便的接入应用系统，随时随地移动办公。、实现内网安全管理把应用数据库服务器隔离出来，杜绝内网用户对数据服务器的病毒感染。、实现总部公司数据中心与分支机构间的文件、资源共享，和安全规范的共享的文档管理帮助企事业单位建立一个专用的文件传输网络，实时进行文件的共享、如同在局域网内一样。系统扩展方便，再增加其他的用户时，只需在新的下属分支局域网内计算机上安装e地通客户端，正在使用的分公司单位移动用户不受任何影响。总部文件可以远程打印、远程共享，不受文件大小限制。所有的传输过程均经过了加密、确保安全。、实现远程网络邻居功能惠尔顿e地通支持Windows“网上邻居”功能，在原来局域网里可实现的功能全部可在远程虚拟局域网里实现，让企事业不再受地域限制，就象在一个办公室里办公一样。、使用终端设备实现异地安全、便捷办公惠尔顿e地通Socks5VPN助企业轻松使用笔记本、桌面PC、智能手机、PDA等移动终端设备实现安全、便捷的远程接入内网，在降低运营成本的同时大幅提高企业的办公效率。地址：深圳市南山区科技园 电话（0755）26546529 第7页 16传真075526635507 网站惠尔顿e地通互联解决方案五、e地通方案的优势1、Socks5VPN平台优势——安全、节省成本惠尔顿e地通Socks5VPN将远程安全接入延伸到传统VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。惠尔顿e地通Socks5VPN正在被越来越多的客户作为远程接入的首选，下面列举了其中的一些理由。1）免安装的瘦客户端——相比传统VPN和运营商VPN安装维护成本更低Socks5VPNVPN，相比SSLVPNActiveX安装，Socks5VPN有任何影响。惠尔顿e地通Socks5VPN成为一种有客户端但在客户端免安装、零配置的解决方案，可以节省安装和维护成本，同时VPNSERVER端一旦升级，客户端自动升级，无须人工干预。传统的VPN和运营商的VPN需要在远程终端上安装特定设备的客户端程序或客户端设备，这是一件十分困难的事，而且在某些情况下是不可能的，比如某些合作伙伴。此外，使传统VPN客户端保持最新状态是IT人员的负担。惠尔顿e地通Socks5VPN可以在任何地点，利用任何设备，连接到相应的网络资源上，它具有穿越防火墙的能力。传统VPN和运营商VPN通常不能支持复杂的网络，这是因为它们需要克服穿越防火墙、IP地址冲突、多重路由转发等困难。鉴于传统VPN和运营商VPN客户机存在的问题，传统VPN和运营商VPN实际上只适用于易于管理的或者位置固定的设备。2）先进的VPN安全体系——相比传统VPN和运营商VPN更安全作为架构在应用层的VPN，系统有效的屏蔽了VPN服务器的网络结构，也屏蔽了常见的网络攻击手段，系统根据授权与认证访问授信网络。更重要的是，在系统的客户端，可以指定特定的应用程序才能发起连接，连接到服务器，完成应用的代理过程，根据这个控制，系统可以阻止病毒程序不能通过VPN隧道传输到VPN服务器端，有效保护了服务器数据资源的病毒威胁。由于传统VPN和运营商VPN打通了网络低层，一旦被侵入，整个网络都将暴露，建立隧道后，PC就像物理地运行在企业局域网上一样，相当于为远程访问者敞开了访问所有资源的大门，并对全部网络可视，为企业网络带来了安全风险。所以非常容易成为黑客攻击的目标。而且一旦客户端VPNVPNPC，他就获得了经过IPSec地址：深圳市南山区科技园 电话（0755）26546529 第8页 16传真075526635507 网站惠尔顿e地通互联解决方案VPN隧道访问公司局域网的能力，而且这台接入电脑一旦中毒也非常容易通过VPN在整个内网传输。作为架构在会话层的VPN，在VPN服务器端，系统有效地屏蔽了的网络结构，也屏蔽了常见的PINGUDPICMPVPN的客户端，可以指定特定的应用程序才能发起连接，连接到VPN不仅可以实现精细的访问控制功能VPN隧道传输到VPN服务器端，有效保护了服务器端数据资源受到安全防范措施弱的异地端的威胁。e地通SOCKS5VPNInternet发起访为用户认证机制，完美实现了易用、经济又安全的解决方案。SSLVPN由于完全没有客户端，使得SSLVPN允许用户利用不安全的计算机访问企业网络，这Internet上发起访问时，SSLVPN客户端为企业网络带来了风险。为了避免这个缺陷，必须启用硬件KEY这SSLVPN3）支持各种接入方式——相比传统VPN和运营商VPN线路成本更低惠尔顿e地通产品支持ADSL等各种接入方式，无需固定公网地址，线路的租用成本更低。2、支持远程集中接入——速度更快，节省租用带宽的成本保证并发用户数较多情况下的使用速度。网络传输的不是真正的业务数据，而是经压缩和加密后的屏幕变化数据，提供了对远程访问的实时监控和审计。部署特简单，不需要修改现有的应用程序，不需要改变原有的网络结构，不需要在原有的应用系统中加装任何软件或插件。按需最灵活，能够满足企业的个性化接入需求，很容易地进行扩展和升级。成本更节省，集中布署、管理和维护，客户端免维护，大大降低IT投资的总体拥有成本(TCO)。e地通通过VPN模式，服务器和分支权限对等，可以实现互通，在服务器添加网络打印机，直接输入客户端内网共享打印机地址,打印时直接选择打印机即可,这样既方便了实施安装，又彻底解决了打印。3、优秀的防火墙功能——保障数据接入安全，节省客户投资提供基于IP、MAC、PORT的用户组管理，对不同的用户组进行策略控制；优秀的状态检测引擎，可以为每个防火墙访问控制策略进行状态检测；地址：深圳市南山区科技园 电话（0755）26546529 第9页 16传真075526635507 网站惠尔顿e地通互联解决方案可提供关键字、URL地址过滤，抵抗恶意脚本的攻击；支持IP与MAC地址绑定，支持和IE无缝整合的用户访问认证；支持虚拟主机、端口映射功能，支持DMZ区安全访问服务；有效抵抗DOS、DDOS、扫描、嗅探、同步等多种攻击，可自定义TCP/UDP/ICMP的Flood攻击检测策略；基于Hash表的快速转发功能，极大提高了防火墙的吞吐率；支持NAT网络地址转换，支持LAN口多网段绑定；可提供管理服务器群的负载平衡能力。4、智能化路由管理功能——节省客户投资独特的“隧道保活连接”技术，能确保惠尔顿e地通加密通道的全时段连通；多线路捆绑技术、实现带宽捆绑和叠加；支持三级流量管理实现不同服务的Qos保证，并能为每个访问控制策略独立分配带宽；支持带宽的严格锁定和动态平衡方式；采用先进的防丢包技术，支持数据的本地队列，减少数据传输丢包率；支持智能路由器分离功能、分流上网数据、扩充互联线路；支持DHCP、PPPoE、NTP、NAPT/PAT、NAT穿越、DNS增强版缓存；网络地址转换(NAT).配合APR-PROXY技术，可以在不改变现有网络客户配制的情况下直接上网；可自由设定静态路由，支持集团用户的多级复杂网络。5、先进的带宽叠加和负载均衡功能——更稳定、速度更快最大可同时支持五路ADSL拨号连接，具有自动带宽叠加和线路备份，也可以选择不同的用户使用不同的ADSL接口上网，可以为需要高流量带宽的用户提供稳定，廉价的解决办法；（和已有专线的用户提供线路备份；流量带宽控制及优先级设置：可以为用户组设置三个级别的上网优先级，并按需求管理流量，同时为每路接口提供拥塞管理。地址：深圳市南山区科技园 电话（0755）26546529 第10页 共16传真075526635507 网站惠尔顿e地通互联解决方案六、e地通方案的内网安全功能——保障内网安全1、首先将核心数据区与内网中其他用户隔离。通过e地通中的VLAN功能将核心数据从内网中隔离出来，这样一旦内网中其他机器有安全事故，不会轻易通过内网传播到核心数据区。2、需要去访问核心数据区的非核心区的应用客户端用户（户）又如何访问到已经被隔离了的核心数据区呢？在应用用户的机器上运行e地通客户端，由它监控这些用户对核心数据区资源的访问请求，并将这些请求压缩、加密，然后转化成Socks5代理协议可以识别的请求发送给放置在核心数据区边界的e地通服务器（该设备既有与应用用户同一网段的IP地址，又有与核心数据区在同一网段的IP地址）e地通服务器扮演了中间代理的角色，可以在应用用户访问核心数据区资源之前执行相了两者之间的访问，又有力地保护了核心数据区的安全。下面做详细阐述：如何实现两个被隔离了的区域之间的访问，即应用用户对核心区的访问？通过代理机制：代理服务器的工作原理就是接受用户的请求并把请求转发给用户原本要访问的目的主机，反过e地通采用Socks5作为代理协议，可以支持所有基于应用层的通信协议。e地通（如图五，其中包含有代理客户端、代理服务器。图五代理模式的应用图解上图给出了代理模式下e地通客户端、e地通服务器协同工作的流程，这个流程可以简单概括如下：eSocks5协议的方式封装地址：深圳市南山区科技园 电话（0755）26546529 第11页 共16传真075526635507 网站惠尔顿e地通互联解决方案并加密起来发送给e地通服务器；e器上。以上步骤简要的概括了代理模式下如何完成应用用户对核心区的访问。3、如何规避二者实现访问后的安全隐患？e地通运行在会话层，并且提供了对应用数据和应用协议的可见性，使网络管理员能够对用户访问核心数据区实施安全策略检查。e地通分析应用信息，执行安全策略检查，并发挥普通用户与核心数据区之间传输的关卡作用。、传输通道加密数据从装有e地通客户端的应用用户处开始加密，到e地通SERVER端解密，整个传输过程中的数据是密文，不是明文，这样就非常好的保证了应用用户到核心数据区的传输过程中的安全性，不被恶意的内网用户嗅探到本不是他该访问的内容，并防止他分析到传输使用的协议，截获传输中的所有数据。同时采用了SHA1的数据完整性认证保证传输数据的完整性。、细粒度访问控制该系统提供的访问控制粒度。作为一个好的安全系统，细粒度的访问控制是至关重要的。EIP地址、端口和应用的访问控制策略，从而方便网络管理员对应用用户访问核IP执行的应用程序。可以用一棵资源树型图简单的表示其结构：用户根用户 ……1资源 资源1 M-1

用户 用户N-1 N资源MIP 应用地址 端口 协议80 443 139图六用户权限树型图每一项网络资源都拥有若干种访问权限属性，上图简单列出了最基本的访问权限属性，包括IP地址：深圳市南山区科技园 电话（0755）26546529 第12页 共16传真075526635507 网站惠尔顿e地通互联解决方案地址、端口、用户身份、应用程序路径等属性信息。当远程用户发出应用资源访问请求时，访问控制模块可以根据该请求所包含的如下信息：IP地址、端口号、用户身份、应用协议（协议分析模块分析而得）判定用户的请求是否合法，从而决定是否允许用户进行远程访问网络资源。基于上面的用户权限树，访问控制模块对每一个用户远程访问网络资源的请求作如下过程的解析：解析用户请求包得到IP，端口、应用协议等信息遍历该用户

IP地址是否合法 NY所有端口

端口是否合法 NY最后检查应用协议结束图七限（如大到整个核心区网段的机器；粗到所有的端口，尤其是文件拷贝和粘贴的功能）、身份认证HTTPS的WEB邮件系统就是一个典型的用的嗅探工具（如Sniffer就可以得到用户的身份信息。E地通安全系统在身份认证上提供了简单安全可靠的双因素认证方式/密码认证方式，也支持更为安全的硬件KEY地址：深圳市南山区科技园 电话（0755）26546529 第13页 共16传真075526635507 网站惠尔顿e地通互联解决方案/密码及硬件KEYKEY是提供用KEY的用户才能合法登录e资源。在进行授权的同时既授权用户的身份信息，同时也授权了用户所使用的机器硬件信息，这种授权方式特别适防止办公人员在认证了的办公机器以外的终端上登录并获取核心区的安全保密信息，从而防止机密信息的外泄。如何规避黑客和病毒从应用用户的机器上传播到核心数据区？首先，二者是在不同的网段，且相互之间在路由上终止了通讯的功能，所以黑客和病毒想通过这种办法来穿透不可行；其次有访问权限的也只是到e地通SERVER，根本无法直接访问到核心数据区的应用资源，从e地通SERVER到核心数据区的访问也是细到了每个应用，除非开放了的这些应用本身有安全漏洞，否则没有机会来导致安全侵袭。4、降低核心数据区工作人员导致的安全事故。通过e地通安全增强工具让管理员设置操作系统其他帐户的分级使用权限，例如，可以定义某一个用户帐号不能对系统盘或者所有硬盘进行任何存取删除操作。也可以定义一部分人员不能使用或者管理某些特定的应用程序。即对于核心区操作人员的权限也尽量做到准确和细致，避免过大权限导致的道德风险和其他因素导致的安全事故。七、售后服务1、服务目标服务对象是VPN系统。当网络出现问题时，我方工程师最短时间赶到现场或通过通讯方式协助解决，保障VPN系统正常稳定的运行。2、服务简介应急响应与应急计划以及支持和运作紧密相连。应急响应能力可以被视为应急计划的组件，因为它提供了对正常处理过程中断提供快速有效响应的能力。广义地讲，应急计划涉及到所有可能会中断系统运作的事件。事件处理可以被考虑为应急计划中响应恶意技术威胁的部分。在客户运行维护系统过程中，作为客户方的技术人员由于时间和精力的问题，常常对于这些紧急事件缺乏有效的处理，这样往往会对系统正常运转造成重大影响。如果用户选择了的应急响应服务，地址：深圳市南山区科技园 电话（0755）26546529 第14页 共16传真075526635507 网站惠尔顿e地通互联解决方案那么在服务期间，一旦客户系统发生紧急事件，我方就将派出专业工程师，到现场或通过远程方式速3、紧急情况的分类和响应时间故障级别

惠尔顿公司故障响应时间和故障定义上报时间（深圳地区）一级故障主要指产品在运行中出现系统瘫痪或服务中