《深信服SSL-VPN方案模板.docx》由会员分享,可在线阅读,更多相关《深信服SSL-VPN方案模板.docx(12页珍藏版)》请在优知文库上搜索。
1、SANGFOR深信服科技SSLVPN组网方案深信服科技有限公旬20XX年XX月XX日目录第1章需求分析11.l背景介绍11.2 目前面临问题11.3 方案设计原则2第2章解决方案及方案价值22.1 SANGFOR解决方案22.2 部署拓扑42.3 方案优势4第3章技术优势53.1 便捷的访问53.2 安全的访问63.3 快速的访问73.4 方便的管理8第4章成功客户案例94.1 深信服SSLVPN助力中国人民银行总行打造高效安全连接平台.94.2 更多客户名单10第5章售后服务体系错误!未定义书签。5.1 技术支持与服务错误!未定义书签。5.2 用户培训错误!未定义书签。第6章深信服科技介绍及
2、在VPN行业的影响力错误!未定义书签。第1章需求分析1.1 背景介绍XX公司是XX行业的领先者,经过多年的积累,已成为备受客户赞誉的行业翘楚。(添加客户的背景)XX公司总部位于深圳,在北京、上海、广州等全国X个城市设立了分公司,并在XX、XX等地成立了办事处。由于业务的需要,公司领导和员工经常要到全国各地出差办公。XX公司对于信息化建设一直都非常重视,为了保障全公司业务开展的有序性和高效性,建立起了一套统一的信息平台系统。此信息平台系统承载着ERP、OA、邮件系统等应用系统。各分公司、办事处人员都需要通过互联网接入到系统中进行日常的办公。1.2 目前面临问题1 .数据安全性无法保障:在XX企业
3、信息平台上的应用数据现在都是未经加密等安全处理的,跑在互联网这个不安全而又开放的网络上。一旦数据遭到篡改或窃取,带来的损失将无法估量。2 .分公司、办事处访问总部内网资源:涉及到公司核心数据的应用如财务系统、业务系统等并没有发布到公网上,分公司、办事处的人员都需要接入到总部进行信息化办公。3 .出差领导、员工的接入:出差在外的领导和员工需要实现随时随地的接入到总部内网访问应用,实现移动办公。4 .应用权限划分:对于许多重要的应用,尤其是第三方人员接入的情况下,需要进行相应的权限划分来保证内网应用的安全性,防止越权访问。5 .应用访问安全性:用户在终端访问时所有访问的应用系统数据都保存在本地客户
4、端主机,尤其是一些安全性级别较高的数据,存在数据泄漏的安全隐患。6 .应用访问速度慢:面对遍布全国南北的分公司和出差领导、员工,线路的丢包延时严重,2小时只能做1小时的事,访问速度的低下直接影响到员工的办公效率。7 .专线价格昂贵,扩展性差:全国分公司众多,如果全部使用专线进行互联开销很大,而且专线的扩展性差,也无法实现出差领导和员工的移动接入。8 .重要应用认证手段单一:对于公司重要的应用如财务系统、CRM等,使用的是普通的帐号密码认证,安全手段较为单一,密码存在被窃取的风险。9 .不安全终端接入的风险:公司总部有很好的网络安全防护,但部分小型分公司和出差人员的移动终端的安全措施往往得不到很
5、好的保障,这部分接入的主机成为了总部的安全短板,存在将病毒、木马、黑客等引入到总部的风险。10 .终端使用复杂:大量的应用系统需要记忆众多的用户名和密码,且容易混淆,导致效率下降。11 .管理权限无法划分:处于管理的需要,需要切合网络部门管理的结构,面对不同的接入用户需要实现分级分权限管理,提高管理效率。12 .IPSeCVPN使用复杂,不易操作:IPSeCVPN的移动应用需要安装客户端软件,而下面接入单位众多,电脑水平参差不齐,易造成操作失误或者兼容性问题导致业务中断。1.3方案设计原则1 .应用支持完整性:SSLVPN系统需要拥有完整而强大的应用支持性,不仅能够支持现在企业正在使用的所有应
6、用,还必须能与其他将来所有可能会运用到的应用无缝结合。2 .稳定可靠性,整个企业的SSLVPN网络支撑着企业的重要业务系统,需要具有高稳定可靠性来保证整个信息平台的畅通运行。3 .快速性,对于身在外地接入人员来说,最重要的是得到速度上的保证,能够快速的接入并使用各种应用,顺利的开展业务。4 .易用性:许多分公司员工、移动办公人员的IT水平都不高,而且在外接入的环境各异,VPN系统需要最大的保证易用性,让人人都能很快上手,方便的使用。5 .安全性,VPN系统需要全方位的保障整个系统、网络传输、用户接入的安全性,从而保障整个公司信息系统安全畅通的使用。第2章解决方案及方案价值2.1SANGFOR解
7、决方案针对于X网络建设中存在的问题,SANGFORSSLVPN提出以下解决方案:1.数据强加密:SANGFORSSLVPN设备使用基于应用层的SSLVPN协议进行数据加密处理,在客户终端与SSL设备之间构建一条旁人无法破译的专有通道,保证数据在传输中的绝对安全性。2 .安全发布应用,访问便利:使用SSLVPN对内网应用进行发布,并根据组织原有的Internet线路通过浏览器内置的SSL协议构建在单点接入用户和内部的应用系统之间架设一条安全的通道。无需安装任何客户端软件,实现分公司和移动办公人员的安全、方便的远程接入。3 .细致权限划分:SANGFoRSSLVPN通过“角色”的设置,进行用户、用
8、户组、应用资源的绑定,并可通过基于时间的客户端检查授权规则赋予用户、用户组不同时间的不用应用的访问权限,实现基于用户、用户组、时间、应用的细致权限划分。4,融合多种加速技术:SANGFc)RSSLVPN结合了多种加速技术,分别从数据削减、线路优化、传输提速三方面全面的提升数据传输速度。通过流缓存技术、B/S、C/S压缩将削减冗余数据,通过HTP快速传输协议针对丢包延时现象进行线路优化,通过基于码流特征的数据优化技术在保证数据实时性和完整性的前提下大幅降低数据传输量、提升传输速度,使用多线路技术、Web优化、WebCache.资源负载均衡、IP服务加速进行数据传输的提速,打造“最快速”的SSLV
9、PN应用访问。5 .多种认证方式相结合:针对单一用户名/密码认证的安全强度不足的问题,SANGFORSSLVPN支持多种认证方式“与”、“或”方式相结合,包括短信认证、CA认证、LDAP、RADIUS.动态令牌卡的多种方式,加强了认证的安全性。6 .客户端安全检查:SANGFORSSLVPN支持客户端的安全检测策略,通过检查终端的操作系统、注册表、进程、文件、接入线路的IP、接入线路的时间、登录IP等各项信息对客户端进行全面检测,并进行允许/不允许接入SSLVPN或授予不同的应用访问权限的操作。从源头对终端接入带来的安全风险进行控制,保障了总部的安全。7终端易用性:SANGFORSSLVPN通
10、过浏览器就能实现对内网资源的访问,无需安装客户端软件。并支持B/S和C/S应用的单点登录,用户通过认证并登录到SSLVPN后,直接可以打开相应的资源进行内网应用的访问,不需要再反复的输入用户名密码,大大降低在终端上访问内网办公的复杂程度。8 .管理员分级管理:SANGFORSSLVPN支持设置多达16级的多级管理员,上级管理员可对其下级管理员进行相应的权限设置和配置的强制继承,既切合组织网络管理的结构,又保证了管理配置上的一致性。2.2部署拓扑部署说明:1.在总部网络中SANGFORSSLVPN以网关/路由/单臂模式进行部署,各分公司员工及出差领导、员工等通过SSLVPN授权,使用浏览器接入总
11、部。2.对于拥有比较高的应用权限、安全性要求比较高的分公司领导,关系到公司重要数据的财务部门,以及出差的领导员工等,使用DKEY认证接入总部。2.3方案优势1 .高安全性:通过SANGFoRSSLVPN的多种认证方式、多重安全机制保障了内部重要应用既实现了信息平台的共享,又实现了从应用发布、用户认证、用户接入乃至断开连接的一整套的高安全性。消除了企业信息平台共享的安全风险。2 .高稳定性:SANGF0RSSLVPN经过了公安部和国家保密局的严格测试,是国家VPN标准的制定者,并与国际领先的测试方案提供商思博伦(Spirent)合作,进行设备的高强度全面测试以保证设备稳定性。全国5000多家客户
12、、上万个网络的大容量成功实际使用也证明了深信服SSLVPN的高稳定性。3 .高速接入体验:速度性远超普通的VPN,提供了网络的高速和高可用性。在速度方面深信服科技的VPN产品可以远超其它品牌的VPN产品,具有特有的多线路复用技术、跨运行商智能选路技术、畅联技术、动态压缩技术等广域网加速技术的应用,通过配置可选的加速模块甚至能让广域网的传输速度接近局域网的效果,从而保证了快速接入。4 .应用的统一管理:通过SSLVPN对公司应用进行统一发布,实现对用户的应用使用权限划分、接入流量限制等等管理措施,保证各个用户的访问在授权范围内,不会对主要的系统造成影响和破坏。并支持日志数据中心,详细的记录了各个
13、用户的访问日志和应用资源的使用情况,为以后的业务审计和网络规划提供了参考依据。5 .便捷经济性:采用SANGFORSSLVPN系列产品实现远程安全快速的内网接入,提高了网络的可用性,相对于专线高昂的费用节约了大量运营成本。SANGFoRSSLVPN具有部署方便、使用便利的特点,方便网络部门进行管理维护的同时,大幅提升用户的访问体验。6 .方便扩容、平滑升级:SANGFORSSLVPN扩容便利,新增用户只需要在设备用户数支持范围之内再开通授权即可。特有的集群技术,对于新增用户数超出设置支持的情况,只要再购买满足日后扩容需要的设备,即可通过集群实现设备之间支持用户数的叠加,很好的保护了原有设备的投
14、资。第3章技术优势3.1便捷的访问SANGF0RSSLVPN,是利用浏览器中内嵌的SSL协议,在移动客户端与总部的SSLVPN中建立一条SSLVPN通道。出差领导和员工、分公司员工只需要打开浏览器登录相应的SSLVPN页面并通过认证,即可通过SSLVPN访问内网资源,不需要在终端上安装任何客户端软件。SANGFORSSLVPN支持B/S和C/S应用的单点登录功能,实现只需要通过SSLVPN认证,无需反复输入各种系统的帐号密码就可以直接使用所有的远程应用。启动了单点登录功能在成功登陆SSLVPN页面直接跳转到对应用的资源列表页面,对于B/S资源直接点击就可以进入,对于C/S资源,通过启用该应用的
15、客户端软件就可以直接使用,大大提高了访问应用的易用性。JSLBIHX ylrw?IT tcEgEE”131M2E:2251 e4H.f.9”.,W【;”XVJ3.2安全的访问SANGFORVPN对于安全方面的定义分为接入的安全、传输的安全、资源的安全、断开的安全四个方面进行全面的保障。1.接入的安全,单纯的帐号密码认证容易遭到密码丢失、密码遭到破解等威胁,SANGFORSSLVPN支持多种认证方式,提供比网银还安全的认证,包括短信认证、动态令牌卡认证、USBKey认证、CA认证等方式的“与”、“或”组合。支持与企业原有LDAP、RADIUS认证的无缝结合。支持硬件特征码的终端绑定功能,并可通过客户端安全检查全面检测终端的应用系统、杀毒软件、防火墙、注册表、文件等信息,将SSLVPN的安全范围扩大到终端,避免由于终端的安全短板给内网资源带来的威胁,。2 .传输的安全:SANGFORVPN通过DES/3DES/AES/RC4等多种国际主流加密算法保证数据传输的安全。支持VPN专线功能,对于重要的如财务系统等应用,可设定特定用户接入VPN后自动断开其他一切的互联网连接,避免出现黑客以接入终端作为攻击内网的跳板