移动办公ssl+vpn远程接入解决方案.docVIP

移动办公SSL VPN远程接入解决方案 PAGE PAGE 3 移动办公SSL VPN远程接入 解决方案 杭州沃联科技有限公司  目 录 TOC \o 1-3 \h \z \u 一、 需求概述 3 二、 深信服SSL VPN解决方案 3 三、 解决方案优势 5 3.1 安全性 5 3.1.1 https安全web访问接入 5 3.1.2 认证安全 6 用户名密码方式 7 USB key方式 8 动态短信码方式 9 硬件特征码方式 9 3.1.3 终端接入安全 10 3.2 可管理性 11 3.2.1 管理员分级管理 11 3.2.2 权限管理及划分 12 用户-角色-资源管理 12 主从账号绑定 14 3.2.3 访问控制 15 终端准入控制 15 用户超时/过期控制 16 3.2.4 日志审计 17 四、 实施与售后服务 20 4.1 售后服务体系 20 4.2 售后服务承诺 21 4.3 专业的CTI中心，完善的用户档案系统 22 需求概述 为提高企业的工作效率、增强企业的竞争力以及降低不必要的运营成本，运营商需要建设一个基于Internet网络平台的远程安全接入系统。该系统用于部分运营商内部人员及第三方代维人员的远程办公（WEB、FTP、电子邮件应用和基于TCP的C/S应用）、远程业务受理以及远程网络维护（Terminal Service）等需要。 根据实际使用情况，远程安全接入系统方案应重点关注安全性及可管理性两个方面。安全性包括认证的安全性及接入终端的安全性；可管理性包括对访问系统资源的权限划分及系统访问控制机审计日志等方面。 深信服SSL VPN解决方案 通过配置SSL VPN网关，将用户临时性的需要访问公司内部资源发布到SSL VPN平台上，只为使用者开放某些系统的访问权限，利用SSL的多种加密和认证方式保障使用的安全。对使用者来说，不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入，对管理员来说，避免了管理员大范围客户端的安装和配置问题。 部署方案： 通过安装SANGFOR SSL VPN安全网关，开通300个SSL VPN并发授权，可以同时允许最多300个终端使用； 网络扩展性： 随着SSL VPN系统应用的深入及业务的发展，可将DCN网络应用及相关业务系统应用发布到SSL VPN远程访问平台，此时只需要增加相应的并发授权，SANGFOR M5450-S支持800并发用户访问，在性能及设备接口上均可支持良好的网络拓展性： 解决方案优势 3.1 安全性 3.1.1 https安全web访问接入 登录页面可进行定制： 如下为中国移动总部及东莞银行定制页面： SSL VPN的一个显著特点就是客户端的易用性，客户端事先并不需要安装任何程序，只要在IE浏览器中输入M5450-S对应的公网IP地址（在动态IP环境下访问WebAgent或动态域名）即可进行安全访问接入。 3.1.2 认证安全 根据接入用户的分布，本方案建议远程用户采用以下四种登录方式，分别是用户名密码方式，USB key方式，动态短信码方式及硬件特征码认证。 用户名密码方式 登录全过程如下： 在浏览器地址栏中输入设备网址，出现登录界面。初次登录时系统会提示您安装ProxyIE控件。 点击用户登录，输入用户名密码。 登录成功，直接鼠标点击需要访问各种资源 USB key方式 对于采用USB KEY作严格身份认证的用户，登录全过程如下： 将DKEY插入电脑中的USB口，在IE浏览器中输入设备网址 在出现的如下对话框中输入PIN码 接入成功，开始访问资源 也可以在线修改密码 动态短信码方式 对于采用动态短信作严格身份认证的用户，登录全过程如下： 在浏览器地址栏中输入设备网址，出现登录界面。 输入用户名密码，点击获取短信密码。 出现如下页面，输入由设备刚发送的短信码。 接入成功，开始访问资源。 硬件特征码方式 启用设备的硬件特征码认证，通过终端的CPU、硬盘等信息生成硬件特征码，实现将用户绑定在特定的终端上，无论是更改IP还是MAC都能正确的识别终端。 在硬件特征码认证配置中限制每个用户只允许拥有一个或几个硬件特征码，并开启硬件特征码的自动审批功能。 如，对某用户启用了用户名/密码+硬件特征码认证，该用户第一次登录SSLVPN时，由于在SSLVPN设备配置中该用户的硬件特征码信息为空，所以在通过了用户名/密码认证后的跳转页面会显示请用户提交硬件特征码的提示。 点击提交硬件特征码后设备对该认证码进行自动审批，并将用户