移动办公SSLVPN远程接入解决方案.doc
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《移动办公SSLVPN远程接入解决方案.doc》由会员分享,可在线阅读,更多相关《移动办公SSLVPN远程接入解决方案.doc(9页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、移动办公SSL VPN远程接入解决方案杭州沃联科技有限公司目 录一、需求概述3二、深信服SSL VPN解决方案3三、解决方案优势53.1 安全性53.1.1 https安全web访问接入53.1.2 认证安全63.1.2.1用户名密码方式73.1.2.2 USB key方式83.1.2.3 动态短信码方式93.1.2.4 硬件特征码方式93.1.3 终端接入安全103.2 可管理性113.2.1 管理员分级管理113.2.2 权限管理和划分123.2.2.1 用户-角色-资源管理123.2.2.2 主从账号绑定143.2.3 访问控制153.2.3.1 终端准入控制153.2.3.2 用户超时
2、/过期控制163.2.4 日志审计17四、实施与售后服务204.1 售后服务体系204.2 售后服务承诺214.3 专业的CTI中心,完善的用户档案系统22一、 需求概述为提高企业的工作效率、增强企业的竞争力以和降低不必要的运营成本,运营商需要建设一个基于Internet网络平台的远程安全接入系统。该系统用于部分运营商内部人员和第三方代维人员的远程办公(WEB、FTP、电子邮件应用和基于TCP的C/S应用)、远程业务受理以和远程网络维护(Terminal Service)等需要。根据实际使用情况,远程安全接入系统方案应重点关注安全性和可管理性两个方面。安全性包括认证的安全性和接入终端的安全性;
3、可管理性包括对访问系统资源的权限划分和系统访问控制机审计日志等方面。二、 深信服SSL VPN解决方案通过配置SSL VPN网关,将用户临时性的需要访问公司内部资源发布到SSL VPN平台上,只为使用者开放某些系统的访问权限,利用SSL的多种加密和认证方式保障使用的安全。对使用者来说,不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入,对管理员来说,避免了管理员大范围客户端的安装和配置问题。部署方案:通过安装SANGFOR SSL VPN安全网关,开通300个SSL VPN并发授权,可以同时允许最多300个终端使用;网络扩展性:随着SSL VPN系统应用的深入和业务的发展,可将DCN
4、网络应用和相关业务系统应用发布到SSL VPN远程访问平台,此时只需要增加相应的并发授权,SANGFOR M5450-S支持800并发用户访问,在性能和设备接口上均可支持良好的网络拓展性:三、 解决方案优势3.1 安全性 3.1.1 https安全web访问接入登录页面可进行定制:如下为中国移动总部和东莞银行定制页面:SSL VPN的一个显著特点就是客户端的易用性,客户端事先并不需要安装任何程序,只要在IE浏览器中输入M5450-S对应的公网IP地址(在动态IP环境下访问WebAgent或动态域名)即可进行安全访问接入。3.1.2 认证安全根据接入用户的分布,本方案建议远程用户采用以下四种登录
5、方式,分别是用户名密码方式,USB key方式,动态短信码方式和硬件特征码认证。3.1.2.1用户名密码方式登录全过程如下: 在浏览器地址栏中输入设备网址,出现登录界面。初次登录时系统会提示您安装ProxyIE控件。 点击用户登录,输入用户名密码。 登录成功,直接鼠标点击需要访问各种资源3.1.2.2 USB key方式对于采用USB KEY作严格身份认证的用户,登录全过程如下: 将DKEY插入电脑中的USB口,在IE浏览器中输入设备网址 在出现的如下对话框中输入PIN码 接入成功,开始访问资源 也可以在线修改密码3.1.2.3 动态短信码方式对于采用动态短信作严格身份认证的用户,登录全过程如
6、下: 在浏览器地址栏中输入设备网址,出现登录界面。 输入用户名密码,点击获取短信密码。 出现如下页面,输入由设备刚发送的短信码。 接入成功,开始访问资源。3.1.2.4 硬件特征码方式启用设备的硬件特征码认证,通过终端的CPU、硬盘等信息生成硬件特征码,实现将用户绑定在特定的终端上,无论是更改IP还是MAC都能正确的识别终端。在硬件特征码认证配置中限制每个用户只允许拥有一个或几个硬件特征码,并开启硬件特征码的自动审批功能。如,对某用户启用了用户名/密码+硬件特征码认证,该用户第一次登录SSLVPN时,由于在SSLVPN设备配置中该用户的硬件特征码信息为空,所以在通过了用户名/密码认证后的跳转页
7、面会显示请用户提交硬件特征码的提示。点击提交硬件特征码后设备对该认证码进行自动审批,并将用户的页面转到该用户权限的资源列表页面。此时登录到控制台,在硬件特征码管理中可以查看到该用户提交的硬件特征码信息。包含用户名、特征码、MAC地址、机器名等信息。设备在该用户每次登陆的时候都会收集其登录终端的硬件特征码。若是在同一台终端上登录,即可直接通过用户名/密码认证后,跳转到相应的资源列表页面。若是换一台终端进行登录,则显示硬件特征码出错信息:可以设置一个账号对应一个硬件特征码(即只允许使用某一台终端登录SSL VPN)或几个硬件特征码(即要求一个账号使用固定的几台电脑登陆);3.1.3 终端接入安全在
8、用户通过计算机浏览器打开SSL 登录界面时,SINFOR SSL VPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,通过客户端接入的时间、登录IP、接入线路IP来衡量该客户端是否允许接入,保证SINFOR SSL VPN接入安全,避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。3.2 可管理性3.2.1 管理员分级管理SINFOR SSL VPN安全网关能够为管理员访问也提供和普通用户相同的安全保障手段。根据企业内部的管理形式,深信服将设备管理员分为超级管理员和受限管理员,受限管理员只能管理所辖组的用户、用户组、所
9、在组的硬件特征码、关联所在组的角色,不能对于不在所辖组的用户进行管理和维护。3.2.2 权限管理和划分3.2.2.1 用户-角色-资源管理SANGFOR SSL VPN通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。图:用户组管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式,为远程接入用户分配细致的访问权限控制。 图:IP资源生成 图:角色管理-用户/用户组绑定图:角色管理-资源绑定3.2.2.2 主从账号绑定主从帐号绑
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 移动 办公 SSLVPN 远程 接入 解决方案
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内