移动办公SSLVPN远程接入处理方案杭州沃联科技目录一、需求概述3二、深信服SSLVPN处理方案3三、处理方案优势53.1安全性53.1.1https安全web访问接入53.1.2认证安全63.1.2.1用户名密码方法73.1.2.2USBkey方法83.1.2.3动态短信码方法93.1.2.4硬件特征码方法93.1.3终端接入安全103.2可管理性113.2.1管理员分级管理113.2.2权限管理及划分123.2.2.1用户-角色-资源管理123.2.2.2主从账号绑定143.2.3访问控制153.2.3.1终端准入控制153.2.3.2用户超时/过期控制163.2.4日志审计17四、实施和售后服务204.1售后服务体系204.2售后服务承诺214.3专业CTI中心，完善用户档案系统22需求概述为提升企业工作效率、增强企业竞争力和降低无须要运行成本，运行商需要建设一个基于Internet网络平台远程安全接入系统。该系统用于部分运行商内部人员及第三方代维人员远程办公（WEB、FTP、电子邮件应用和基于TCPC/S应用）、远程业务受理和远程网络维护（TerminalService）等需要。依据实际使用情况，远程安全接入系统方案应关键关注安全性及可管理性两个方面。安全性包含认证安全性及接入终端安全性；可管理性包含对访问系统资源权限划分及系统访问控制机审计日志等方面。深信服SSLVPN处理方案经过配置SSLVPN网关，将用户临时性需要访问企业内部资源公布到SSLVPN平台上，只为使用者开放一些系统访问权限，利用SSL多个加密和认证方法保障使用安全。对使用者来说，不需要安装任何用户端软件、经过浏览器就能够实现WEB安全接入，对管理员来说，避免了管理员大范围用户端安装和配置问题。布署方案：经过安装SANGFORSSLVPN安全网关，开通300个SSLVPN并发授权，能够同时许可最多300个终端使用；网络扩展性：伴随SSLVPN系统应用深入及业务发展，可将DCN网络应用及相关业务系统应用公布到SSLVPN远程访问平台，此时只需要增加对应并发授权，SANGFORM5450-S支持800并发用户访问，在性能及设备接口上均可支持良好网络拓展性：处理方案优势3.1安全性3.1.1https安全web访问接入登录页面可进行定制：以下为中国移动总部及东莞银行定制页面：SSLVPN一个显著特点就是用户端易用性，用户端事先并不需要安装任何程序，只要在IE浏览器中输入M5450-S对应公网IP地址（在动态IP环境下访问WebAgent或动态域名）即可进行安全访问接入。3.1.2认证安全依据接入用户分布，本方案提议远程用户采取以下四种登录方法，分别是用户名密码方法，USBkey方法，动态短信码方法及硬件特征码认证。3.1.2.1用户名密码方法登录全过程以下：在浏览器地址栏中输入设备网址，出现登录界面。首次登录时系统会提醒您安装ProxyIE控件。点击用户登录，输入用户名密码。登录成功，直接鼠标点击需要访问多种资源3.1.2.2USBkey方法对于采取USBKEY作严格身份认证用户，登录全过程以下：将DKEY插入电脑中USB口，在IE浏览器中输入设备网址在出现以下对话框中输入PIN码接入成功，开始访问资源也能够在线修改密码3.1.2.3动态短信码方法对于采取动态短信作严格身份认证用户，登录全过程以下：在浏览器地址栏中输入设备网址，出现登录界面。输入用户名密码，点击获取短信密码。出现以下页面，输入由设备刚发送短信码。接入成功，开始访问资源。3.1.2.4硬件特征码方法启用设备硬件特征码认证，经过终端CPU、硬盘等信息生成硬件特征码，实现将用户绑定在特定终端上，不管是更改IP还是MAC全部能正确识别终端。在硬件特征码认证配置中限制每个用户只许可拥有一个或多个硬件特征码，并开启硬件特征码自动审批功效。如，对某用户启用了用户名/密码+硬件特征码认证，该用户第一次登录SSLVPN时，因为在SSLVPN设备配置中该用户硬件特征码信息为空，所以在经过了用户名/密码认证后跳转页面会显示请用户提交硬件特征码提醒。点击提交硬件特征码后设备对该认证码进行自动审批，并将用户页面转到该用户权限资源列表页面。此时登录到控制台，在硬件特征码管理中能够查看到该用户提交硬件特征码信息。包含用户名、特征码、MAC地址、机器名等信息。设备在该用户每次登陆时候全部会搜集其登录终端硬件特征码。若是在同一台终端上登录，即可直接经过用户名/密码认证后，跳转到对应资源列表页面。若是换一台终端进行登录，则显示硬件特征码犯错信息：能够设置一个账号对应一个硬件特征码（即只许可使用某一台终端登录SSLVPN）或多个硬件特征码（即要求一个账号使用固定几台电脑登陆）；3.1.3终端接入安全在用户经过计算机浏览器打开SS