深信服广东网通SSL VPN解决方案

三、广东网通公司SSL VPN产品选型

为了便于用户既能很好的解决网间互连，又能便捷的推广移动办公应用，我们需要一种同时具备IPSEC和SSL两种主流VPN技术的产品，以便取长补短，最大程度上利用VPN技术的先进性，又避免由此带来的负面作用。

广东网通经过对在线营业系统的安全需求分析，最终采用了深信服科技的SINFOR SSL VPN 运营级产品M5800-S，该产品除具备SSL VPN的全部功能和技术特点，还内置有企业级防火墙和IPSec VPN功能。同时，M5800-S将SSL加密技术与基于USB Key的双因素身份认证相结合，通过从任何标准 Web浏览器接入，用户可实现到公司内部网络和应用程序的远程安全接入。对经常外出的移动办公人员，可以在任何场所、通过任何终端，无需安装任何VPN客户端软件就可以安全的访问公司内部资源。并且，基于USB Key的认证方式，可以同时应用于IPSec VPN和SSL VPN客户端中，省去了管理员维护大量IPSec和SSL客户端的诸多麻烦，网络管理成本也随之降低。

四、广东网通公司SSL VPN技术实现方案

经过对广东网通需求的了解，其采用了如下的方案对SSL VPN系统进行部署。需求网络图如下：

SSL VPN网关选用SINFOR M5800-S，采用两台做双机热备，为广东网通的VPN应用提供高可用性和可靠性。SSL VPN网关M5800-S部署在网通现有的防火墙后方，可得到防火墙的保护，以加强接入安全性。设备的LAN口与在线营业系统及网通内部信息系统通过交换机相连。

远程用户可通过任意方式从Internet安全的接入并使用网通内部业务系统。公司员工认证采用USB KEY加帐号密码的双因子认证方式。
采用SINFOR M5800-S，对于需要实现网间互连的分公司、用户（如开发商），还可通过IPSEC网关实现整网连入，如下图所示：

除需要SSL VPN的基本功能外，广东网通还须实现下列附加功能：

1、采用USB DKEY 进行身份认证。

SINFOR M5800－S中SSL VPN采用SSL协议加密建立安全的专用加密通道，除了使用1024位的非对称密钥加强安全性，还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证，并使用PIN码保护DKEY的安全。由网管员预先将移动用户访问权限录入到DKEY中，例如让某个员工只能访问CRM和文件服务系统等，而营业网点则只能访问在线业务系统。

2、权限的分配及管理

SINFOR M5800－S 通过独特的角色管理功能，提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配进行访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问控制为企业网络提供了较强的安全性。通过行为跟踪引擎，管理员还可以查看远程接入用户的所有访问记录。

3、多线路叠加功能，提高传输速度

M5800-S 支持4条广域网线路的负载均衡，为远程接入提供更大的带宽。在VPN隧道连接过程中，M5800-S会将接入用户均衡分配到各条线路上，一条线路中断，不会影响SSL VPN 用户的接入。

4、双机热备实现稳定传输

广东网通公司采用SINFOR M5800－S双机备份热备机制，保证了VPN网络稳定、高效地运行。

5、单臂部署不改变原有网络结构

广东网通公司网络结构规划十分规范和严格，因此在进行SSL VPN的部署需要在最大程度上减少对原有网络的影响。由于SINFOR M5800－S只使用443端口传输数据，避免了在防火墙上作过多的设置。用户使用标准的SSL协议和标准的浏览器可以轻易的穿越防火墙，方便的接入到VPN网络，避免了网络兼容性的麻烦，对广东网通公司原有网络几乎未造成任何影响，网络维护量也大大下降，保护了广东网通公司的原有投资。

五、SINFOR VPN实现广东网通公司高效传输

SINFOR SSL VPN 给广东网通公司实现如下价值：

1、实现广东网通公司全省各营业网点安全联入公司在线营业系统，实时录入和查询，整合了在线营业业务系统；

2、广东网通公司业务人员通过SSL VPN可以随时调取总部CRM系统客户信息，不受地域的限制，拓展更多客户资源，及时录入CRM系统中；

3、简单迅速实现部署，不对原有网络造成任何影响，也更易于维护和管理，降低了网络管理员的维护量。