1、 移动办公 SSL VPN 远程接入解决方案1移动办公 SSL VPN 远程接入解决方案杭州沃联科技有限公司移动办公 SSL VPN 远程接入解决方案2目 录一、 需求概述 .3二、 深信服 SSL VPN 解决方案 .3三、 解决方案优势 .53.1 安全性 .53.1.1 https 安全 web 访问接入 .53.1.2 认证安全 .63.1.2.1 用户名密码方式 .73.1.2.2 USB key 方式 .83.1.2.3 动态短信码方式 .93.1.2.4 硬件特征码方式 .93.1.3 终端接入安全 .103.2 可管理性 .113.2.1 管理员分级管理 .113.2.2 权限
2、管理及划分 .123.2.2.1 用户-角色-资源管理 .123.2.2.2 主从账号绑定 .143.2.3 访问控制 .153.2.3.1 终端准入控制 .153.2.3.2 用户超时/过期控制 .163.2.4 日志审计 .17四、 实施与售后服务 .204.1 售后服务体系 .204.2 售后服务承诺 .214.3 专业的 CTI 中心,完善的用户档案系统 .22移动办公 SSL VPN 远程接入解决方案3一、需求概述为提高企业的工作效率、增强企业的竞争力以及降低不必要的运营成本,运营商需要建设一个基于 Internet 网络平台的远程安全接入系统。该系统用于部分运营商内部人员及第三方代
3、维人员的远程办公(WEB、FTP、电子邮件应用和基于 TCP 的 C/S 应用)、远程业务受理以及远程网络维护(Terminal Service)等需要。根据实际使用情况,远程安全接入系统方案应重点关注安全性及可管理性两个方面。安全性包括认证的安全性及接入终端的安全性;可管理性包括对访问系统资源的权限划分及系统访问控制机审计日志等方面。二、深信服 SSL VPN 解决方案通过配置 SSL VPN 网关,将用户临时性的需要访问公司内部资源发布到 SSL VPN 平台上,只为使用者开放某些系统的访问权限,利用 SSL 的多种加密和认证方式保障使用的安全。对使用者来说,不需要安装任何客户端软件、通过
4、浏览器就可以实现 WEB 安全接入,对管理员来说,避免了管理员大范围客户端的安装和配置问题。部署方案:通过安装 SANGFOR SSL VPN 安全网关,开通 300 个 SSL VPN 并发授权,可以同时允许最多 300 个终端使用;网络扩展性:随着 SSL VPN 系统应用的深入及业务的发展,可将 DCN 网络应用及相关业务系统移动办公 SSL VPN 远程接入解决方案4应用发布到 SSL VPN 远程访问平台,此时只需要增加相应的并发授权,SANGFOR M5450-S 支持 800 并发用户访问,在性能及设备接口上均可支持良好的网络拓展性:移动办公 SSL VPN 远程接入解决方案5三
5、、解决方案优势3.1 安全性 3.1.1 https 安全 web 访问接入登录页面可进行定制:如下为中国移动总部及东莞银行定制页面:移动办公 SSL VPN 远程接入解决方案6SSL VPN 的一个显著特点就是客户端的易用性,客户端事先并不需要安装任何程序,只要在 IE 浏览器中输入 M5450-S 对应的公网 IP 地址(在动态 IP 环境下访问 WebAgent或动态域名)即可进行安全访问接入。3.1.2 认证安全根据接入用户的分布,本方案建议远程用户采用以下四种登录方式,分别是用户名密码方式,USB key 方式,动态短信码方式及硬件特征码认证。3.1.2.1 用户名密码方式登录全过程
6、如下: 在浏览器地址栏中输入设备网址,出现登录界面。初次登录时系统会提示您安装ProxyIE 控件。移动办公 SSL VPN 远程接入解决方案7 点击用户登录,输入用户名密码。 登录成功,直接鼠标点击需要访问各种资源3.1.2.2 USB key 方式对于采用 USB KEY 作严格身份认证的用户,登录全过程如下: 将 DKEY 插入电脑中的 USB 口,在 IE 浏览器中输入设备网址移动办公 SSL VPN 远程接入解决方案8 在出现的如下对话框中输入 PIN 码 接入成功,开始访问资源 也可以在线修改密码3.1.2.3 动态短信码方式对于采用动态短信作严格身份认证的用户,登录全过程如下:
7、在浏览器地址栏中输入设备网址,出现登录界面。 输入用户名密码,点击获取短信密码。 出现如下页面,输入由设备刚发送的短信码。 接入成功,开始访问资源。移动办公 SSL VPN 远程接入解决方案93.1.2.4 硬件特征码方式启用设备的硬件特征码认证,通过终端的 CPU、硬盘等信息生成硬件特征码,实现将用户绑定在特定的终端上,无论是更改 IP 还是 MAC 都能正确的识别终端。在硬件特征码认证配置中限制每个用户只允许拥有一个或几个硬件特征码,并开启硬件特征码的自动审批功能。如,对某用户启用了用户名/密码+硬件特征码认证,该用户第一次登录 SSLVPN 时,由于在 SSLVPN 设备配置中该用户的硬
8、件特征码信息为空,所以在通过了用户名/ 密码认证后的跳转页面会显示请用户提交硬件特征码的提示。点击提交硬件特征码后设备对该认证码进行自动审批,并将用户的页面转到该用户权限的资源列表页面。此时登录到控制台,在硬件特征码管理中可以查看到该用户提交的硬件特征码信息。包含用户名、特征码、MAC 地址、机器名等信息。设备在该用户每次登陆的时候都会收集其登录终端的硬件特征码。若是在同一台终端上登录,即可直接通过用户名/ 密码认证后,跳转到相应的资源列表页面。若是换一台终端进行登录,则显示硬件特征码出错信息:可以设置一个账号对应一个硬件特征码(即只允许使用某一台终端登录 SSL VPN)或几个硬件特征码(即
9、要求一个账号使用固定的几台电脑登陆) ;移动办公 SSL VPN 远程接入解决方案103.1.3 终端接入安全在用户通过计算机浏览器打开 SSL 登录界面时,SINFOR SSL VPN 安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,通过客户端接入的时间、登录 IP、接入线路 IP 来衡量该客户端是否允许接入,保证SINFOR SSL VPN 接入安全,避免客户端计算机的不安全因素通过 SSL VPN 传输到企业内部网络产生的安全隐患。3.2 可管理性3.2.1 管理员分级管理SINFOR SSL VPN 安全网关能够为管理员访问也提供和普通用户相同的安全保障手段。
