中文字幕无线码一区二区三区|精品美女AⅤ国产女教师|久热re在线视频精品免费|久久久久99人妻一区二区三区

客戶案例
微信二維碼

微信掃一掃,關(guān)注我們

客戶案例

當(dāng)前位置:首頁 > 客戶案例 > 深信服

某國家稅務(wù)局VPN-9150采購項目

發(fā)布人:admin發(fā)布時間:2016/9/1 11:18:43

1.1 背景介紹 
隨著現(xiàn)代信息技術(shù)的發(fā)展,越來越多的組織單位將日常辦公平臺逐漸遷移到網(wǎng)絡(luò)平臺、統(tǒng)一應(yīng)用平臺之上。辦公網(wǎng)絡(luò)化、應(yīng)用集中化的變革帶來了資源全局統(tǒng)一調(diào)配、業(yè)務(wù)流程化、辦公規(guī)范化的巨大優(yōu)勢。 
據(jù)統(tǒng)計現(xiàn)約有20%的企業(yè)員工將自己的iPhone、iPad或Android設(shè)備帶入工作場所,處理工作相關(guān)活動。IT消費化帶來了BYOD新風(fēng)尚,實現(xiàn)了Anydevice的真正自由?,F(xiàn)在,BYOD已經(jīng)不是一個趨勢的概念,她正以不可阻擋之勢改變?nèi)藗兊墓ぷ鞣绞?,成為辦公手段的一個必要補充。我們可以利用更多的時間碎片收發(fā)電郵、跟蹤銷售機會點,將企業(yè)的信息化管理推向前端,使客戶的界面變得更扁平化,提升決策效率和響應(yīng)速度。然而,BYOD的開放性容易引入各種安全和管理風(fēng)險,您的企業(yè)做好了應(yīng)對BYOD挑戰(zhàn)的準(zhǔn)備嗎? 
目前,單位已經(jīng)建立起一套統(tǒng)一的應(yīng)用平臺,包括(添加客戶現(xiàn)有應(yīng)用情況、網(wǎng)絡(luò)現(xiàn)狀)業(yè)務(wù)系統(tǒng)如MIS系統(tǒng)、生產(chǎn)管理系統(tǒng)、營銷系統(tǒng)等,以及日常辦公系統(tǒng)OA系統(tǒng)、財務(wù)系統(tǒng)、郵件系統(tǒng)等。單位的信息網(wǎng)絡(luò)是以信息中心機房為中心,所有應(yīng)用系統(tǒng)服務(wù)器都安裝在信息中心機房內(nèi)的專屬服務(wù)器區(qū)。各分支單位采用專線或者公網(wǎng)線路與總部互聯(lián)進(jìn)行正常的辦公。為業(yè)務(wù)的進(jìn)一步的快速發(fā)展奠定了堅實的基礎(chǔ)。自應(yīng)用平臺運行以來,內(nèi)部辦公人員通過網(wǎng)絡(luò)可以迅速地獲取信息,大大加快了整體的辦公效率,信息化效益得到彰顯。
 
1.2 需求分析 
隨著業(yè)務(wù)的不斷發(fā)展,IT運用與業(yè)務(wù)結(jié)合的不斷深入,我們發(fā)現(xiàn)目前的網(wǎng)絡(luò)狀況已經(jīng)不能很好的滿足業(yè)務(wù)發(fā)展的需要,有如下問題需要解決:  網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來越頻繁,重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來越多,安全性要求也越來越重要。為了實現(xiàn)人們的遠(yuǎn)程辦公,需要保證人員外出時可以安全訪問組織內(nèi)部網(wǎng)絡(luò)進(jìn)行日常操作,并同時確保數(shù)據(jù)的安全。因此必須在選擇方法時,充分考慮多種接入方式以及各個接入方式的安全性。
                                    1.2.1 安全性問題 
結(jié)合客戶的網(wǎng)絡(luò)狀況,我們看到有以下幾個方面的問題亟需解決。 
1、身份認(rèn)證安全 
現(xiàn)有采用的是較為單一的用戶名密碼認(rèn)證方式,安全強度不高,極易遭到竊取、暴力破解造成重要應(yīng)用系統(tǒng)的越權(quán)訪問、強行攻破,導(dǎo)致核心數(shù)據(jù)的泄漏問題。尤其是領(lǐng)導(dǎo)中享有較高級權(quán)限的帳號若是遭到盜竊所造成的損失將更為嚴(yán)重。 

2.終端訪問安全 
一旦遠(yuǎn)程終端通過VPN接入到了總部的網(wǎng)絡(luò),總部的安全域延伸到了遠(yuǎn)程終端。雖然在總部網(wǎng)絡(luò)中有防火墻、IPS、防毒墻等一系列安全防御設(shè)備,但需要接入到總部的遠(yuǎn)程用戶所使用的終端主機普遍安全防御水平都較低,而總部的防護(hù)設(shè)備又往往不能抵御VPN隧道中的威脅。為了保證整體安全防御水平,就需要對接入的終端主機的安全水平采取一定的控制措施。 
例如金融交易系統(tǒng)等包含重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng),當(dāng)用戶通過遠(yuǎn)程接入的方式訪問到這些系統(tǒng)時,由于系統(tǒng)交互、緩存等原因往往會在終端主機上保存部分應(yīng)用數(shù)據(jù),容易導(dǎo)致重要數(shù)據(jù)人為或是無意的泄漏,存在重大的信息安全隱患。如何讓用戶能方便快捷的遠(yuǎn)程辦公的同時保障重要應(yīng)用系統(tǒng)、核心數(shù)據(jù)的不外泄,是IT管理人員需要考慮的一個非常重要的方面。 

3.權(quán)限劃分安全 
總部內(nèi)網(wǎng)中有眾多的應(yīng)用系統(tǒng),若是沒有采用合理的訪問權(quán)限控制機制,將重要服務(wù)器暴露在所有內(nèi)網(wǎng)甚至外網(wǎng)用戶面前,容易因密碼爆破、越權(quán)訪問等行為導(dǎo)致系統(tǒng)內(nèi)重要數(shù)據(jù)的泄漏,同時,開放的權(quán)限環(huán)境也將給重要的服務(wù)器開放了攻擊通道,一旦遭到攻擊后果將難以估量。所以,對于不同的應(yīng)用系統(tǒng)需要對訪問人員做好細(xì)致的訪問權(quán)限控制, 

4.應(yīng)用訪問審計安全 
為了避免重要的信息系統(tǒng)的訪問安全風(fēng)險,做到有據(jù)可查,同時也為了了解應(yīng)用系統(tǒng)的使用情況,需要對應(yīng)用的訪問采取必要的審計措施,了解何時何地何人訪問了哪些應(yīng)用系統(tǒng)。 

5.業(yè)務(wù)數(shù)據(jù)遷移智能終端訪問安全性。隨著將業(yè)務(wù)系統(tǒng)遷移到BYOD終端,業(yè)務(wù)數(shù)據(jù)呈現(xiàn)于移動智能終端設(shè)備上,如何避免重要的業(yè)務(wù)數(shù)據(jù)隨著智能終端丟失而造成泄密的風(fēng)險,如何保障業(yè)務(wù)數(shù)據(jù)通過BYOD訪問安全性,需要對業(yè)務(wù)系統(tǒng)遷移至智能終端訪問做必要的安全措施。

1.2.2 遠(yuǎn)程訪問速度性問題 

影響用戶遠(yuǎn)程辦公的最主要因素就的訪問速度問題,拖滯的訪問速度將大大影響用戶的訪問體驗及辦公效率,網(wǎng)絡(luò)狀況、傳輸數(shù)據(jù)量及應(yīng)用的交互方式等等都將影響著速度質(zhì)量。 

1.跨運營商訪問問題 
國內(nèi)固網(wǎng)運營商為南電信北網(wǎng)通的格局,跨運營商訪問時往往存在較為嚴(yán)重的丟包現(xiàn)象,一旦遇到丟包導(dǎo)致的頻繁的重傳將大大拖慢了訪問速度。尤其是對于遍布各地遠(yuǎn)程接入用戶而言,線路的運營商環(huán)境也多種多樣,需要尋求一種方式解決跨運營商高丟包導(dǎo)致的速度問題。 

2.高丟包、高延時訪問問題 
無線、偏遠(yuǎn)地區(qū)等高丟包、高延時的惡劣網(wǎng)絡(luò)環(huán)境下的接入速度異常的慢,嚴(yán)重影響了遠(yuǎn)程辦公的效率。如何在高丟包、高延時的網(wǎng)絡(luò)環(huán)境下同樣保證較高的訪問質(zhì)量提高工作效率? 

3.手持移動終端訪問問題 
許多領(lǐng)導(dǎo)、員工已經(jīng)采用PDA、智能手機等手持移動終端進(jìn)行移動辦公,但手持移動終端的受3G信號的制約,其訪問速度往往不如有線網(wǎng)絡(luò)。對于手持移動終端使用的最多的是B/S架構(gòu)的應(yīng)用,但現(xiàn)在B/S架構(gòu)往往是針對電腦進(jìn)行設(shè)計的,一旦使用PDA、智能手機訪問,往往出現(xiàn)頁面變形、圖像過大等現(xiàn)象,影響用戶體驗的同時,過大的頁面冗余數(shù)據(jù)量也拖慢了用戶的訪問速度。 

4.大量重復(fù)冗余數(shù)據(jù)量 
應(yīng)用系統(tǒng)的使用往往存在大量的冗余數(shù)據(jù),如同樣的頁面、文件中的相同的元素、系統(tǒng)每次交互的相同數(shù)據(jù),這些冗余數(shù)據(jù)量的傳輸占用了大量的帶寬資源,拖慢應(yīng)用響應(yīng)速度,影響了工作效率。 

5.微軟RDP協(xié)議本身缺陷。
隨著BYOD的流行,越來越多的企業(yè)為了將業(yè)務(wù)遷移至智能終,采用遠(yuǎn)程應(yīng)用發(fā)布的形式,其核心是基于微軟RDP遠(yuǎn)程桌面協(xié)議,而RDP桌面協(xié)議本身固有的協(xié)議,以及對帶寬大小的要求,導(dǎo)致智能終端通過3G進(jìn)行移動辦公時訪問速度沒有保障,如何避免采用遠(yuǎn)程應(yīng)用發(fā)布時的RDP協(xié)議訪問速度問題成為企業(yè)3A辦公的瓶頸,也成為企業(yè)需要重點考慮的問題。

1.2.3 使用者終端易用性問題 

在考慮到安全接入方式的時候,尤其需要考慮到終端易用性問題。需要接入到總部應(yīng)用系統(tǒng)訪問的人員普遍的IT水平都不高,復(fù)雜的軟件端安裝、參數(shù)調(diào)配都是非常不合適的。同時,接入應(yīng)用系統(tǒng)的核心為辦公,就需要提供一種最便利、最簡單的接入方式,最大的方便接入人員的辦公。 

在一體化辦公平臺有往往需要使用到多個應(yīng)用系統(tǒng)進(jìn)行辦公,遠(yuǎn)程用戶在面對眾多的應(yīng)用系統(tǒng)時就需要記憶眾多的用戶名密碼并依次登錄才能辦公,效率低下的同時,還容易混淆。 
企業(yè)業(yè)務(wù)系統(tǒng)遷移至智能終端時,企業(yè)為智能終端系統(tǒng)Android、iOS開發(fā)業(yè)務(wù)系統(tǒng)APP,能否將VPN SDK包直接嵌入業(yè)務(wù)系統(tǒng)中,避免撥號連接VPN,再次啟動APP,提高用戶辦公效率。 

1.2.4 業(yè)務(wù)穩(wěn)定性問題 

遠(yuǎn)程發(fā)布的業(yè)務(wù)系統(tǒng)將直接關(guān)系到組織的業(yè)務(wù)能否正常運營、工作能否正常開展的問題,需要保證高可靠、高可用的穩(wěn)定性。而VPN作為發(fā)布業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺,同樣需要保證高穩(wěn)定的運行以支撐整個業(yè)務(wù)的持續(xù)穩(wěn)定。 

1.2.5 整網(wǎng)設(shè)備管理便利性問題 

需要接入到總部的部分遠(yuǎn)程分支沒有配備專門的IT管理人員,在構(gòu)建VPN網(wǎng)絡(luò)時需要考慮到客戶端維護(hù)成本問題,若是在分支端采用設(shè)備架設(shè)的方式則必須派專員去對設(shè)備進(jìn)行維護(hù),造成管理成本的上升。 
組織的規(guī)模較為龐大,處于地域、組織架構(gòu)等管理需要,面對不同的用戶組需要由不同的管理員進(jìn)行管理,保障信息安全的同時亦可提高管理效率。

 

       VPN技術(shù)介紹  VPN(Virtual Private Network)是虛擬專用網(wǎng)的簡稱,虛擬專用網(wǎng)指的是在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù),實現(xiàn)低成本、高安全地解決數(shù)據(jù)傳輸及應(yīng)用發(fā)布平臺。VPN 架構(gòu)中采用了多種安全機制,如身份認(rèn)證技術(shù)(Authentication)、加解密技術(shù)(Encryption)、密鑰管理技術(shù)、隧道技術(shù)(Tunneling)等。通過上述的各項網(wǎng)絡(luò)安全技術(shù),確保資料在公眾網(wǎng)絡(luò)中傳輸時不被竊取,或是即使被竊取了,對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。  SSL VPN是VPN的主流技術(shù)之一,即指采用SSL (Security Socket Layer)協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認(rèn)證、客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應(yīng)用來說,使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用,也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因為SSL 協(xié)議被內(nèi)置于IE等瀏覽器中,使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。  相對于IPSec VPN等其他傳統(tǒng)的VPN技術(shù)而言,SSL VPN具有部署簡單,無客戶端,維護(hù)成本低,網(wǎng)絡(luò)適應(yīng)強等特點,非常適用于遠(yuǎn)程移動辦公、無專門管理人員的分支接入等場景。而從OSI七層模型來看,SSL VPN是基于第七層應(yīng)用層的VPN技術(shù),相對于傳統(tǒng)的IPSec VPN(三層網(wǎng)絡(luò)層)、L2TP(二層數(shù)據(jù)鏈路層)、PPTP(二層數(shù)據(jù)鏈路層)等VPN連接方式,SSL VPN在對應(yīng)用權(quán)限的劃分上可做得更為細(xì)致,數(shù)據(jù)傳遞機制也不是簡單的封裝轉(zhuǎn)發(fā),從整體業(yè)務(wù)發(fā)布安全性的角度上來說安全系數(shù)更高。同時,基于SSL VPN部署的靈活性、使用的靈活性等特質(zhì),從安全防護(hù)方面,SSL VPN可引申出網(wǎng)絡(luò)邏輯隔離、服務(wù)器隔離保護(hù)、應(yīng)用系統(tǒng)強認(rèn)證等多種安全解決方案,為用戶提供多方面價值。  高性價比組網(wǎng)、安全業(yè)務(wù)發(fā)布、便利的終端使用、更多的價值體現(xiàn),綜合這幾方面優(yōu)勢,我們推薦采用SSL VPN的方式構(gòu)建整個綜合組網(wǎng)方案。

 
方案設(shè)計原則
3.1 安全性原則  VPN網(wǎng)絡(luò)的運行基礎(chǔ)是Internet,所有的數(shù)據(jù)也必須經(jīng)過Internet進(jìn)行交換,而這些數(shù)據(jù)都是組織機構(gòu)的私密信息,不允許為無關(guān)人員所知。同時VPN網(wǎng)絡(luò)是在開放的Internet平臺之上構(gòu)建的虛擬網(wǎng)絡(luò),也必須保證沒有獲得授權(quán)的用戶無法接入VPN網(wǎng)絡(luò)。  綜合考慮用戶的具體應(yīng)用和需求,VPN網(wǎng)絡(luò)的安全性有五層含義:一是用戶身份的安全;二是接入終端的安全;三是數(shù)據(jù)傳輸?shù)陌踩?;四是?quán)限訪問安全;五是審計的安全;六是智能終端訪問業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全性,六大安全全面保障VPN的安全性。 
3.2 高速性原則  遠(yuǎn)程辦公最大的制約因素就是速度方面的問題,磕磕絆絆的訪問速度大大拖滯了員工的辦公效率。網(wǎng)絡(luò)速度低下的原因可分為以下幾點:跨運營商訪問、傳輸數(shù)據(jù)量冗余、高丟包高延時的惡劣網(wǎng)絡(luò)環(huán)境、手持移動終端的無線訪問。而從優(yōu)化的層次來看,可分為線路、傳輸協(xié)議、數(shù)據(jù)、應(yīng)用四個層次。所以在設(shè)計接入方案的時候就需要從這四個層次入手解決遠(yuǎn)程辦公速度低下的問題。 
3.3 易用性原則  對于終端用戶而言,如何保證VPN使用的簡單易用是非常重要的一個方面。終端用戶普遍IT水平不高,其在使用VPN最核心的需求是為了接入到總部內(nèi)網(wǎng)進(jìn)行遠(yuǎn)程辦公,在其接入和辦公的過程中就需要最大程度的簡化其復(fù)雜度,避免繁雜的客戶端配置及操作,最大程度的提高用戶的辦公效率,從另一方面也大大降低了網(wǎng)絡(luò)管理人員對整個VPN客戶端維護(hù)工作量。 
3.4 穩(wěn)定性原則  VPN支撐著整個組織的應(yīng)用遠(yuǎn)程發(fā)布,分支機構(gòu)及移動辦公人員都需要依靠VPN網(wǎng)絡(luò)所承載的辦公平臺進(jìn)行日常的辦公和事物的緊急處理。一旦VPN網(wǎng)絡(luò)出現(xiàn)故障,將直接影響到其上所有人員的正常辦公,嚴(yán)重的甚至將導(dǎo)致業(yè)務(wù)的中斷釀成重大的網(wǎng)絡(luò)事故,造成的損失將難以估量。所以,對于VPN這張基礎(chǔ)承載網(wǎng)絡(luò)如何保持長時間高穩(wěn)定的運行顯得尤為的重要。在方案設(shè)計中,將充分的考慮到整個網(wǎng)絡(luò)、業(yè)務(wù)的穩(wěn)定性問題。 
3.5 合理、便利的管理  從IT部門工作的角度出發(fā),除了需要保證應(yīng)用的發(fā)布安全、用戶的使用方便快捷、網(wǎng)絡(luò)的穩(wěn)定性之外,還需要考慮到網(wǎng)絡(luò)管理的合理化,保證網(wǎng)絡(luò)管理的有序性、安全性、便利性,提高管理效率,降低管理風(fēng)險。

 

4.1 深信服SSL VPN解決方案  結(jié)合實際網(wǎng)絡(luò)及應(yīng)用情況,我們推薦采用深信服SSL VPN設(shè)備進(jìn)行全網(wǎng)組網(wǎng)/移動辦公,

 

 

 方案說明: 
在核心交換上以單臂方式部署一臺深信服VPN-9150 SSL VPN,內(nèi)網(wǎng)服務(wù)器區(qū)應(yīng)用系統(tǒng)的安全發(fā)布;與此同時內(nèi)網(wǎng)部署終端應(yīng)用服務(wù)器,通過深信服EasyConnect將需要通過智能終端訪問的業(yè)務(wù)發(fā)布出去。  應(yīng)用平臺移動辦公采用SSL VPN對應(yīng)用進(jìn)行安全發(fā)布,避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險。用戶在外需要進(jìn)行內(nèi)網(wǎng)接入時,可直接通過瀏覽器打開網(wǎng)頁完成SSL VPN登錄及安全隧道的建立,如同登錄網(wǎng)銀、郵箱一般符合日常的網(wǎng)絡(luò)使用習(xí)慣,容易上手。而SSL協(xié)議是目前公認(rèn)安全等級較高的網(wǎng)絡(luò)安全協(xié)議之一,現(xiàn)今網(wǎng)上銀行基本都采用SSL協(xié)議進(jìn)行數(shù)據(jù)傳輸保護(hù),對于數(shù)據(jù)傳輸采用標(biāo)準(zhǔn)的AES、RSA、RC4等加密算法對傳輸數(shù)據(jù)進(jìn)行加密,安全性有保障。
  ?
應(yīng)用系統(tǒng)安全加固 
在系統(tǒng)安全加固方面,采用登錄SSL VPN身份驗證、權(quán)限劃分、登錄應(yīng)用身份驗證的主線進(jìn)行保障。SSL VPN接入認(rèn)證方式可采用用戶名密碼、USB KEY、短信認(rèn)證、動態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或多種認(rèn)證的組合,多重組合軟硬結(jié)合確保接入身份的確定性。在用戶接入SSL VPN后進(jìn)行應(yīng)用訪問權(quán)限的劃分對于享有訪問權(quán)限的應(yīng)用系統(tǒng)采用主從賬號綁定SSL VPN登錄賬號和應(yīng)用系統(tǒng)賬號。用戶只可采用指定的賬號訪問應(yīng)用系統(tǒng)。  由于登錄SSL VPN的身份已通過多重認(rèn)證的確認(rèn),而后又進(jìn)行指定應(yīng)用賬號訪問,即可保障登錄應(yīng)用系統(tǒng)的人員的身份。  ?
專網(wǎng)內(nèi)隧道邏輯隔離,構(gòu)建統(tǒng)一應(yīng)用平臺  對于已經(jīng)建立專線組網(wǎng)的分支,將應(yīng)用系統(tǒng)以SSL VPN資源的方式進(jìn)行,進(jìn)行專網(wǎng)內(nèi)權(quán)限劃分的同時實現(xiàn)統(tǒng)一應(yīng)用平臺的構(gòu)建。根據(jù)不同部門、不同應(yīng)用進(jìn)行對應(yīng)權(quán)限的開放/關(guān)閉,但分支用戶登錄SSL VPN之后,在其資源列表界面將會顯示該用戶權(quán)限下可訪問的應(yīng)用系統(tǒng),用戶可直接點擊其上的鏈接進(jìn)行快速訪問。同時,可針對這些應(yīng)用系統(tǒng)進(jìn)行單點登錄設(shè)置,點擊鏈接即可自動通過應(yīng)用本身的認(rèn)證,可直接進(jìn)行操作。由于所有訪問總部服務(wù)器區(qū)的數(shù)據(jù)都將經(jīng)由SSL VPN進(jìn)行轉(zhuǎn)發(fā),對于用戶權(quán)限外的應(yīng)用,SSL VPN將自動阻斷其連接,防止惡意盜鏈。
  ?
服務(wù)器區(qū)隔離保護(hù) 
將深信服SSL VPN設(shè)備以單臂方式部署,通過配置使數(shù)據(jù)流經(jīng)由SSL VPN后走向內(nèi)網(wǎng)服務(wù)器區(qū),對辦公網(wǎng)與服務(wù)器區(qū)這兩部不同安全級別的區(qū)域進(jìn)行隔離。由于SSL VPN設(shè)備對外只開放443端口,從而可屏蔽掉其他端口的攻擊。SSL VPN的數(shù)據(jù)流處理方式可隱藏內(nèi)網(wǎng)服務(wù)器區(qū)結(jié)構(gòu),并對服務(wù)器訪問的IP、域名進(jìn)行偽裝。SSL VPN在進(jìn)行用戶對服務(wù)器區(qū)發(fā)起的訪問時,采用SSL VPN登錄認(rèn)證、細(xì)粒度應(yīng)用訪問授權(quán)、傳輸數(shù)據(jù)加密,從數(shù)據(jù)安全的角度提供隔離保護(hù)。
  ?
遠(yuǎn)程應(yīng)用發(fā)布EasyConnect 
深信服EasyConnect遠(yuǎn)程應(yīng)用發(fā)布解決方案通過SSL VPN和企業(yè)內(nèi)網(wǎng)部署的終端服務(wù)器,將企業(yè)應(yīng)用程序界面用圖形的方式呈現(xiàn)于智能終端之上。在部署過程中,無需對現(xiàn)網(wǎng)結(jié)構(gòu)和應(yīng)用程序做任何改變,輕松實現(xiàn)跨平臺訪問,解決企業(yè)用戶通過iPhone、iPad、Android等智能終端訪問的問題,實現(xiàn)業(yè)務(wù)數(shù)據(jù)快速遷移,同時保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)不落地,存儲在終端服務(wù)器,同時根據(jù)本地用戶習(xí)慣,融入本地輸入法、打印機、本地簽名等提升用戶使用便捷度。

EasyApp  對于已具備APP客戶端的業(yè)務(wù)系統(tǒng),如客戶自主開發(fā)集成VPN功能,需要非常大的工作量。深信服可以為具備Socket開發(fā)能力的第三方應(yīng)用開發(fā)商提供軟件開發(fā)工具包VPN SDK包,極大地降低開發(fā)商的開發(fā)工作量??蛻艨筛鶕?jù)需要選擇合適的精簡集成SDK的方式,就可使得最終用戶具備多種身份認(rèn)證和數(shù)據(jù)SSL傳輸加密的功能,從而增加業(yè)務(wù)系統(tǒng)的安全性。

5.1 更安全的SSL VPN 

SANGFOR SSL VPN身份認(rèn)證安全、終端訪問安全、數(shù)據(jù)傳輸安全、權(quán)限劃分安全、應(yīng)用訪問審計安全五大安全體系,由頭至尾保證整個SSL VPN接入訪問的安全性。

身份認(rèn)證安全
5.1.1.1 多種方式混合認(rèn)證 
許多部署在局域網(wǎng)內(nèi)重要的應(yīng)用都是采用最簡單的用戶名密碼進(jìn)行驗證。使用單一用戶名密碼進(jìn)行驗證存在帳號密碼遭人盜用而導(dǎo)致越權(quán)訪問的問題,尤其對于重要的應(yīng)用系統(tǒng)如財務(wù)、客戶信息等限定在特定部門、特定人員訪問的核心系統(tǒng),一旦遭遇用戶名密碼被盜竊,其后果所造成的威脅將是不可估量的。  SANGFOR SSL VPN支持多種認(rèn)證方式的多因素組合認(rèn)證,除了最基本的用戶名密碼認(rèn)證之外,還支持LDAP/AD、Radius、CA等第三方認(rèn)證,支持USB KEY、硬件特征碼、短信認(rèn)證(短信貓和短信網(wǎng)關(guān))、動態(tài)令牌卡等加強認(rèn)證方式。  單一的認(rèn)證方式容易被暴力破解,為了進(jìn)一步提高身份認(rèn)證的安全性,深信服創(chuàng)新性提出混合認(rèn)證,針對以上認(rèn)證方式可以進(jìn)行多因素的“與”、“或”組合認(rèn)證?!芭c”組合認(rèn)證可實現(xiàn)多達(dá)5種以上認(rèn)證方式的捆綁,必須同時滿足才能夠接入SSL VPN系統(tǒng)?!盎颉苯M合認(rèn)證可對于以上幾種認(rèn)證方式進(jìn)行或組合,只要通過一種認(rèn)證方式即可接入到SSL VPN系統(tǒng)中。  通過多因素組合認(rèn)證大大加強認(rèn)證安全的強度,確保接入SSL VPN的用戶的身份的確認(rèn)性。
5.1.1.2 USB KEY認(rèn)證  SANGFOR SSL VPN支持基于數(shù)字證書的USB KEY認(rèn)證,將CA中心生成的數(shù)字證書頒發(fā)給USB KEY,并為該USB KEY設(shè)置PIN碼。通過硬件存儲數(shù)字證書+PIN碼的方式保證提供用戶高安全的認(rèn)證方式。同時,SANGFOR SSL VPN支持無驅(qū)USB KEY認(rèn)證,客戶端無需安裝驅(qū)動即可使用USB KEY進(jìn)行登錄認(rèn)證,大大提高了客戶端使用的易用性。  USB DKEY可同時支持SSL VPN、IPSec VPN移動客戶端兩套系統(tǒng),安全方便。  5.1.1.3 動態(tài)令牌認(rèn)證  動態(tài)令牌認(rèn)證是技術(shù)領(lǐng)先的一種雙因素身份認(rèn)證體系,內(nèi)嵌特殊運算芯片,以事件同步的技術(shù)手段,通過符合國際安全認(rèn)可的OATH動態(tài)口令演算標(biāo)準(zhǔn),使用HMAC-SHA1算法產(chǎn)生6位動態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。由于實際上的安全問題都和密碼有關(guān),盜竊和破解密碼是最常見的口令攻擊手段,因此動態(tài)令牌很好的解決了以上問題,為用戶的使用提供了極高的安全性保證。  5.1.1.4 短信認(rèn)證  USB KEY、動態(tài)令牌等認(rèn)證方式能非常好的保證認(rèn)證的安全性,但卻需要隨身攜帶USB KEY、動態(tài)令牌這些小硬件,對于經(jīng)常需要出差辦公的人員來說難免有些不方便。  短信認(rèn)證很好的解決了這個問題,此認(rèn)證系統(tǒng)分為手機終端和短信服務(wù)器兩部分,手機往往是隨身攜帶的,相對于USB KEY、動態(tài)令牌隨身攜帶的方式更易讓用戶接受。當(dāng)用戶在進(jìn)行SSL VPN登錄認(rèn)證時,短信服務(wù)器將為該用戶自動生成一個6位的數(shù)字隨機認(rèn)證碼,并以短信的方式發(fā)送到用戶所綁定手機號碼的手持終端上,用戶即可在認(rèn)證界面上輸入該6位認(rèn)證碼通過短信認(rèn)證。短信認(rèn)證很好的解決的多因素認(rèn)證安全性與使用便捷性的問題。 

 

 

 

 

嘉善县| 沁阳市| 确山县| 紫阳县| 望江县| 西丰县| 阿瓦提县| 射洪县| 博野县| 隆子县| 永平县| 微博| 应用必备| 浦城县| 杭锦后旗| 溆浦县| 乾安县| 彰化市| 临清市| 时尚| 哈尔滨市| 乐至县| 安福县| 丽江市| 泰来县| 天峨县| 剑阁县| 辉县市| 瑞昌市| 大悟县| 兴业县| 抚州市| 仁寿县| 玉屏| 乌兰察布市| 莒南县| 九龙县| 苗栗市| 张北县| 巴彦县| 甘德县|