移动办公SSLVPN远程接入解决方案样本

移动办公SSLVPN远程接入解决方案杭州沃联科技有限公司

目录一、 需求概述 3二、 深信服SSLVPN解决方案 3三、 解决方案优势 53.1安全性 53.1.1https安全web访问接入 53.1.2认证安全 6顾客名密码方式 7USBkey方式 8动态短信码方式 9硬件特性码方式 93.1.3终端接入安全 103.2可管理性 113.2.1管理员分级管理 113.2.2权限管理及划分 12顾客-角色-资源管理 12主从账号绑定 143.2.3访问控制 15终端准入控制 15顾客超时/过期控制 163.2.4日记审计 17四、 实行与售后服务 204.1售后服务体系 204.2售后服务承诺 214.3专业CTI中心，完善顾客档案系统 22需求概述为提高公司工作效率、增强公司竞争力以及减少不必要运营成本，运营商需要建设一种基于Internet网络平台远程安全接入系统。该系统用于某些运营商内部人员及第三方代维人员远程办公（WEB、FTP、电子邮件应用和基于TCPC/S应用）、远程业务受理以及远程网络维护（TerminalService）等需要。依照实际使用状况，远程安全接入系统方案应重点关注安全性及可管理性两个方面。安全性涉及认证安全性及接入终端安全性；可管理性涉及对访问系统资源权限划分及系统访问控制机审计日记等方面。深信服SSLVPN解决方案通过配备SSLVPN网关，将顾客暂时性需要访问公司内部资源发布到SSLVPN平台上，只为使用者开放某些系统访问权限，运用SSL各种加密和认证方式保障使用安全。对使用者来说，不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入，对管理员来说，避免了管理员大范畴客户端安装和配备问题。布置方案：通过安装SANGFORSSLVPN安全网关，开通300个SSLVPN并发授权，可以同步容许最多300个终端使用；网络扩展性：随着SSLVPN系统应用进一步及业务发展，可将DCN网络应用及有关业务系统应用发布到SSLVPN远程访问平台，此时只需要增长相应并发授权，SANGFORM5450-S支持800并发顾客访问，在性能及设备接口上均可支持良好网络拓展性：解决方案优势3.1安全性3.1.1https安全web访问接入登录页面可进行定制：如下为中华人民共和国移动总部及东莞银行定制页面：SSLVPN一种明显特点就是客户端易用性，客户端事先并不需要安装任何程序，只要在IE浏览器中输入M5450-S相应公网IP地址（在动态IP环境下访问WebAgent或动态域名）即可进行安全访问接入。3.1.2认证安全依照接入顾客分布，本方案建议远程顾客采用如下四种登录方式，分别是顾客名密码方式，USBkey方式，动态短信码方式及硬件特性码认证。顾客名密码方式登录全过程如下：在浏览器地址栏中输入设备网址，浮现登录界面。初次登录时系统会提示您安装ProxyIE控件。点击顾客登录，输入顾客名密码。登录成功，直接鼠标点击需要访问各种资源USBkey方式对于采用USBKEY作严格身份认证顾客，登录全过程如下：将DKEY插入电脑中USB口，在IE浏览器中输入设备网址在浮现如下对话框中输入PIN码接入成功，开始访问资源也可以在线修改密码动态短信码方式对于采用动态短信作严格身份认证顾客，登录全过程如下：在浏览器地址栏中输入设备网址，浮现登录界面。输入顾客名密码，点击获取短信密码。浮现如下页面，输入由设备刚发送短信码。接入成功，开始访问资源。硬件特性码方式启用设备硬件特性码认证，通过终端CPU、硬盘等信息生成硬件特性码，实现将顾客绑定在特定终端上，无论是更改IP还是MAC都能对的辨认终端。在硬件特性码认证配备中限制每个顾客只容许拥有一种或几种硬件特性码，并启动硬件特性码自动审批功能。如，对某顾客启用了顾客名/密码+硬件特性码认证，该顾客第一次登录SSLVPN时，由于在SSLVPN设备配备中该顾客硬件特性码信息为空，因此在通过了顾客名/密码认证后跳转页面会显示请顾客提交硬件特性码提示。点击提交硬件特性码后设备对该认证码进行自动审批，并将顾客页面转到该顾客权限资源列表页面。此时登录到控制台，在硬件特性码管理中可以查看到该顾客提交硬件特性码信息。包括顾客名、特性码、MAC地址、机器名等信息。设备在该顾客每次登陆时候都会收集其登录终端硬件特性码。若是在同一台终端上登录，即可直接通过顾客名/密码认证后，跳转到相应资源列表页面。若是换一台终端进行登录，则显示硬件特性码出错信息：可以设立一种账号相应一种硬件特性码（即只容许使用某一台终端登录SSLVPN）或几种硬件特性码（即规定一种账号使用固定几台电脑登陆）；3.1.3终端接入安全在顾客通过计算机浏览器打开SSL登录界面时，SINFORSSLVPN安全网关通过客户端计算机安全扫描功能，检查计算机系统与否打了补丁、与否安装有相应杀毒程序等，通过客户端接入时间、登录IP、接入线路IP来衡量该客户端与否容许接入，保证SINFORSSLVPN接入安全，避免客户端计算机不安全因素通过SSLVPN传播到公司内部网络产生安全隐患。3.2可管理性3.2.1管理员分级管理SINFORSSLVPN安全网关可觉得管理员访问也提供和普通顾客相似安全保障手段。依照公司内部管理形式，深信服将设备管理员分为超级管理员和受限管理员，受限管理员只能管理所辖组顾客、顾客组、所在组硬件特性码、关联所在组角色，不能对于不在所辖组顾客进行管理和维护。 3.2.2权限管理及划分顾客-角色-资源管理SANGFORSSLVPN通过独特角色管理功能，提供了细致到每个URL和不同应用权限划分。通过给不同顾客设立不同角色来分派访问授权，一种顾客可以赋予各种角色以适合各种复杂组织构造。基于角色访问限制为公司网络提供了较强安全性。图：顾客组 管理员可依照角色、Web资源、C/S资源、IP资源等权限划分方式，为远程接入顾客分派细致访问权限控制。图：IP资源生成图：角色管理--顾客/顾客组绑定图：角色管理--资源绑定主从账号绑定主从帐号绑定，进一步提高顾客核心/核心业务系统认证安全性，防止冒名访问/越权访问，即限制顾客登录SSLVPN后，只可以使用指定帐号登录应用资源，使用其她帐号无法登录该应用资源，WEB、APP、IP资源均可实现该功能。可通过如下两种方式实现：1、勾选『结合单点登录顾客名绑定认证』，使用单点登录方式实现，界面如下：一方面必要对目的资源启用单点登录功能，然后在『顾客管理』列表页面，点击【SSO设立】对目的顾客帐号，绑定需要登录应用系统帐号、密码。2、勾选『通过数据包解析登录顾客名绑定认证』，使用数据包解析方式实现，界面如下：一方面在『数据包为』背面下拉框中选取该应用类型，并依照实际状况填写下方数据信息。然后然后在『顾客管理』列表页面，点击【SSO设立】对目的顾客帐号，绑定需要登录应用系统帐号、密码。3.2.3访问控制终端准入控制通过终端准入规则，做到控制顾客VPN系统接入时间，接入线路，计入IP等，保证接入安全性。系统登录时间限制：只有在规定期间才可以登录远程接入系统。系统登录IP限制：只有符合规定登录IP顾客才容许访问远程接入系统。接入线路IP限制：只有通过符合规定接入线路接入顾客才容许访问远程接入系统。顾客超时/过期控制过期时间：设立账号有效期，当到达账号有效期时，指定账号失效，无法继续登录。个人超时时间：超过一定期间未操作，自动注销SSLVPNSSL专线：接入SSLVPN后，自动断开与互联网连接，避免黑客侵入接入终端，通过SSLVPN作为跳板侵入内网。顾客失效时间：顾客若在指定期间内不登录SSLVPN，则注销该顾客3.2.4日记审计在SSLVPN运营状态中，可以实时查看到接入顾客。并可以选取按顾客组进行接入顾客查看，或是使用按顾客进行筛选，直接查询指定顾客与否已经接入了SSLVPN。在列表中查询构造中，将显示接入顾客顾客名、描述、接入时间、接入IP、接入到内网中分派虚拟IP等信息，并可以通过点击操作中“断开”按钮，对该顾客执行断开SSLVPN操作。同步可以设立第三方数据中心，登录到数据中心控制台，可以查看到详细顾客访问日记。数据中心分为5大模块，分别为网关运营状态，日记查询、记录报表、数据管理、系统设立。下图为日记查询模块。可以查询指定顾客组、顾客、主机IP在某个时间段内登录SSLVPN、访问指定资源记录。下图为记录报表模块。分为惯用记录、流量记录和流速趋势三个板块。图中显示界面为惯用记录中资源活跃限度界面，可以查看到发布资源使用频度。流量记录中可以针对顾客组、顾客、资源进行流量记录排行，排行出来数据可作为在控制台进行流量分派根据，合理优化SSLVPN网络。报表可打印，可下载，也可自动发送到指定管理员邮箱：资源流量排行：资源活跃度：顾客流量排行：基于单个顾客或顾客组生成日记：显示登录时间，顾客行为，访问资源等:

实行与售后服务“顾客至上，服务第一”是深信服科技售后服务始终所秉持售后服务理念。从成立之初到至今，深信服科技逐渐形成了一套完整、规范化服务体系，以“专业人员、积极态度、踏实作风”服务于国内外过万家客户！深信服科技将在提供产品同步向客户提供从安装实行到售后技术支持一系列服务。4.1售后服务体系深信服科技以深圳总部为核心，通过近年完善逐渐在全国范畴内建设了三级服务体系，为广大顾客提供全方位服务。深信服科技服务体系覆盖广泛，布局合理，响应及时，三级服务网络分别为：第一级公司总部专业客服中心在深信服总部，拥有80人CTI呼喊中心由经验丰富资深技术支持工程师为广大客户提供7×24小时热线电话服务，送修服务、远程调试、现场服务和有偿个性化服务。总部产品专家和网络安全专家服务队伍同步负责全国服务网络技术支持、管理、监督与协调，保证顾客问题得到及时、有效解决。同步，在公司总部还组建了一支由负责产品研发工程师构成问题响应支持中心，每天24小时值班，协助大区、本地技术支持中心和合伙伙伴解决技术难题。在深信服科技深圳总部，设有顾客呼喊中心，顾客可随时通过拨打深信服科技免费售后服务电话：800-830-6430（手机顾客可拨打：400-830-6430）进行关于问题查询，并将关于问题提交给深信服科技，以便深信服科技提高对服务祈求追踪和反映速度，更迅速解决顾客浮现问题。并且完善客服系统会自动记录下顾客产品信息和历史故障，为每个顾客建立资料库，以便深信服科技更精确采用有针对性办法来为顾客服务。第二级覆盖全国深信服产品专业服务队伍深信服科技在全国各地设立有庞大专业服务队伍。涉及：华北区、华南区、华东区、西南区、西北区，华中区六个大区和近三十个驻外分支机构，所有分支机构都建立了本地客服中心，直接承担所在地区深信服客户直接服务，达到全国所有一级都市和地区覆盖。全国免费售后服务热线：800-830-6430手机顾客可拨打：400-830-6430未开通800以400地区请拨打：第三级最为广泛深信服合伙伙伴深信服科技通过遍及全国各地区、各行业专业网络服务商，提供延伸到地市级都市产品售前售后服务。当前，通过“深信服产品技术认证工程师”认证合伙伙伴超过400人，强大售后服务保障体系，为广大客户服务提供了最直接贴身服务。4.2售后服务承诺服务期内保修服务VPN目工程实行完毕验收通过后，深信服科技承诺对合伙伙伴最后客户所购买SINFORVPN系列产品在服务期内享有免费保修服务。免费软件升级服务在合伙伙伴最后客户质保期内，如遇软件产品（含微码、驱动程序、操作系统等）升级、改版，深信服科技将免费提供更新、升级等服务服务，保证顾客第一时间享有到深信服科技所带来各项全新技术。同步深信服科技将协助为最后顾客做好服务前各项准备工作（如系统和数据备份）等。对于深信服科技软件产品，深信服科技将为最后客户提供终身免费升级服务。全国免费征询电话对于深信服科技所有顾客，均可拨打深信服科技全国免费800-830-6430电话（手机顾客拨打：400-830-6430）。深信服专业技术支持工程师将耐心解答顾客在设备使用中遇到问题，并及时提出解决问题建议和操作办法。远程技术支持服务在合伙伙伴最后客户质保期内，深信服科技免费提供远程技术支持服务，即：浮现网络故障，通过电话支持无法解决状况下，可通过远程调试技术支持服务予以协助解决。远程服务时间：星期一到星期五：每天8:30－21:00星期六：8:30－18:00免费热线电话支持服务所有客户正式购买深信服科技产品后，均可通过各种方式，享有到深信服科技专业技术服务。客户可以选者800电话，网上在线征询、E-mail或者传真等方式和深信服科技专业售后服务工程师联系。免费售后服务电话：800-830-643