移动办公SSL+VPN远程接入解决方案

移动办公SSLVPN远程接入解决方案1移动办公SSLVPN远程接入解决方案杭州沃联科技有限公司移动办公SSLVPN远程接入解决方案2目录一、需求概述..........................................................................................................3二、深信服SSLVPN解决方案..............................................................................3三、解决方案优势..................................................................................................53.1安全性................................................................................................................................53.1.1https安全web访问接入.......................................................................................53.1.2认证安全.................................................................................................................63.1.2.1用户名密码方式.................................................................................................63.1.2.2USBkey方式..................................................................................................73.1.2.3动态短信码方式..............................................................................................83.1.2.4硬件特征码方式................................................................................................93.1.3终端接入安全.........................................................................................................103.2可管理性........................................................................................................................103.2.1管理员分级管理.....................................................................................................103.2.2权限管理及划分.....................................................................................................113.2.2.1用户-角色-资源管理.......................................................................................113.2.2.2主从账号绑定..................................................................................................133.2.3访问控制.................................................................................................................143.2.3.1终端准入控制..................................................................................................143.2.3.2用户超时/过期控制.......................................................................................163.2.4日志审计...............................................................................................................16四、实施与售后服务............................................................................................194.1售后服务体系..................................................................................................................194.2售后服务承诺..................................................................................................................204.3专业的CTI中心，完善的用户档案系统.....................................................................21移动办公SSLVPN远程接入解决方案3一、需求概述为提高企业的工作效率、增强企业的竞争力以及降低不必要的运营成本，运营商需要建设一个基于Internet网络平台的远程安全接入系统。该系统用于部分运营商内部人员及第三方代维人员的远程办公（WEB、FTP、电子邮件应用和基于TCP的C/S应用）、远程业务受理以及远程网络维护（TerminalService）等需要。根据实际使用情况，远程安全接入系统方案应重点关注安全性及可管理性两个方面。安全性包括认证的安全性及接入终端的安全性；可管理性包括对访问系统资源的权限划分及系统访问控制机审计日志等方面。二、深信服SSLVPN解决方案通过配置SSLVPN网关，将用户临时性的需要访问公司内部资源发布到SSLVPN平台上，只为使用者开放某些系统的访问权限，利用SSL的多种加密和认证方式保障使用的安全。对使用者来说，不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入，对管理员来说，避免了管理员大范围客户端的安装和配置问题。部署方案：通过安装SANGFORSSLVPN安全网关，开通300个SSLVPN并发授权，可以同时允许最多300个终端使用；网络扩展性：随着SSLVPN系统应用的深入及业务的发展，可将DCN网络应用及相关业务系统应移动办公SSLVPN远程接入解决方案4用发布到SSLVPN远程访问平台，此时只需要增加相应的并发授权，SANGFORM5450-S支持800并发用户访问，在性能及设备接口上均可支持良好的网络拓展性：移动办公SSLVPN远程接入解决方案5三、解决方案优势3.1安全性3.1.1https安全web访问接入登录页面可进行定制：如下为中国移动总部及东莞银行定制页面：移动办公SSLVPN远程接入解决方案6SSLVPN的一个显著特点就是客户端的易用性，客户端事先并不需要安装任何程序，只要在IE浏览器中输入M5450-S对应的公网IP地址（在动态IP环境下访问WebAgent或动态域名）即可进行安全访问接入。3.1.2认证安全根据接入用户的分布，本方案建议远程用户采用以下四种登录方式，分别是用户名密码方式，USBkey方式，动态短信码方式及硬件特征码认证。3.1.2.1用户名密码方式登录全过程如下：①在浏览器地址栏中输入设备网址，出现登录界面。初次登录时系统会提示您安装ProxyIE控件。移动办公SSLVPN远程接入解决方案7②点击用户登录，输入用户名密码。③登录成功，直接鼠标点击需要访问各种资源3.1.2.2USBkey方式对于采用USBKEY作严格身份认证的用户，登录全过程如下：①将DKEY插入电脑中的USB口，在IE浏览器中输入设备网址移动办公SSLVPN远程接入解决方案8②在出现的如下对话框中输入PIN码③接入成功，开始访问资源④也可以在线修改密码3.1.2.3动态短信码方式对于采用动态短信作严格身份认证的用户，登录全过程如下：①在浏览器地址栏中输入设备网址，出现登录界面。②输入用户名密码，点击获取短信密码。③出现如下页面，输入由设备刚发送的短信码。④接入成功，开始访问资源。移动办公SSLVPN远程接入解决方案93.1.2.4硬件特征码方式启用设备的硬件特征码认证，通过终端的CPU、硬盘等信息生成硬件特征码，实现将用户绑定在特定的终端上，无论是更改IP还是MAC都能正确的识别终端。在硬件特征码认证配置中限制每个用户只允许拥有一个或几个硬件特征码，并开启硬件特征码的自动审批功能。如，对某用户启用了用户名/密码+硬件特征码认证，该用户第一次登录SSLVPN时，由于在SSLVPN设备配置中该用户的硬件特征码信息为空，所以在通过了用户名/密码认证后的跳转页面会显示请用户提交硬件特征码的提示。点击提交硬件特征码后设备对该认证码进行自动审批，并将用户的页面转到该用户权限的资源列表页面。此时登录到控制台，在硬件特征码管理中可以查看到该用户提交的硬件特征码信息。包含用户名、特征码、MAC地址、机器名等信息。设备在该用户每次登陆的时候都会收集其登录终端的硬件特征码。若是在同一台终端上登录，即可直接通过用户名/密码认证后，跳转到相应的资源列表页面。若是换一台终端进行登录，则显示硬件特征码出错信息：可以设置一个账号对应一个硬件特征码（即只允许使用某一台终端登录SSLVPN）或几个硬件特征码（即要求一个账号使用固定的几台电脑登陆）；移动办公SSLVPN远程接入解决方案103.1.3终端接入安全在用户通过计算机浏览器打开SSL登录界面时，SINFORSSLVPN安全网关通过客户端计算机安全扫描功能，检查计算机系统是否打了补丁、是否安装有相应杀毒程序等，通过客户端接入的时间、登录IP、接入线路IP来衡量该客户端是否允许接入，保证SINFORSSLVPN接入安全，避免客户端计算机的不安全因素通过SSLVPN传输到企业内部网络产生的安全隐患。3.2可管理性3.2.1管理员分级管理SINFORSSLVPN安全网关能够为管理员访问也提供和普通用户相同的安全保障手段。移动办公SSLVPN远程接入解决方案11根据企业内部的管理形式，深信服将设备管理员分为超级管理员和受限管理员，受限管理员只能管理所辖组的用户、用户组、所在组的硬件特征码、关联所在组的角色，不能对于不在所辖组的用户进行管理和维护。3.2.2