企事業(yè)單位移動辦公解決方案

1、 惠爾頓e地通互聯解決方案企事業(yè)單位移動辦公解決方案版權所有：深圳市惠爾頓信息技術有限公司二零壹壹年九月聲明copyright20011 深圳市惠爾頓信息技術有限公司 版權所有。由深圳市惠爾頓信息技術有限公司提供的本方案中包含的所有信息，都將被視為機密信息，本方案僅供選擇網絡異地互聯解決方案時使用，不得將本方案作其他用途。 本方案針對具體的需求而定制，客戶在未與本公司正式簽署合約之前，本業(yè)務方案建議書的知識產權歸深圳市惠爾頓信息技術有限公司所有，不得將本方案內容透露給第三方，且由深圳市惠爾頓信息技術有限公司所開發(fā)的任何原始概念、結構、設計、處理方法不得用于商業(yè)用途。文檔說明深圳市惠爾頓信息技術

2、有限公司（以下簡稱“惠爾頓”）憑借長期以來對現實異地互聯方案的專業(yè)考察，依托于國家863科研成果，惠爾頓實力雄厚、技術領先的研發(fā)隊伍開發(fā)出了填補國際空白的全球第一套自主知識產權的e地通系列產品，不僅具有傳統vpn的優(yōu)勢，更有vpn運營商無可比擬的優(yōu)勢核心數據區(qū)的內網安全管理，以及未來擴展性強的遠程集中接入優(yōu)勢，可以使c/s軟件b/s化，布署更容易，維護量更小，成為業(yè)界速度最快、最安全、布局最易的產品！我們?yōu)閰⑴c到貴公司管理信息系統的建設，并有機會發(fā)表專業(yè)意見而倍感榮幸！本方案建議書是在我們所了解的需求的背景下得以完成的，但限于時間緊迫，某些非關鍵性問題可能被忽略。對此，我們除表示歉意外，愿意針

3、對大家關心的其它問題再進行補充報告。本方案已列出了能夠滿足當前網絡異地互聯和使用移動終端辦公對速度以及安全的需求，并能夠支持管理系統長期發(fā)展對網絡平臺的需要。目 錄一、前言4二、項目概述41、項目目標42、項目范圍4三、網絡調研情況分析41、網絡互聯展望4四、方案詳細設計51、網絡拓撲52、連接說明63、實現效果6五、e地通方案的優(yōu)勢71、socks5 vpn平臺優(yōu)勢安全、節(jié)省成本71）免安裝的瘦客戶端相比傳統vpn和運營商vpn安裝維護成本更低72）先進的vpn安全體系相比傳統vpn和運營商vpn更安全73）支持各種接入方式相比傳統vpn和運營商vpn線路成本更低82、支持遠程集中接入速度更

4、快，節(jié)省租用帶寬的成本83、優(yōu)秀的防火墻功能保障數據接入安全，節(jié)省客戶投資94、智能化路由管理功能節(jié)省客戶投資95、先進的帶寬疊加和負載均衡功能更穩(wěn)定、速度更快9六、e地通方案的內網安全功能保障內網安全10七、售后服務141、服務目標142、服務簡介143、緊急情況的分類和響應時間144、服務步驟155、服務內容15一、前言在快速發(fā)展的信息化時代，為提升事業(yè)單位信息化管理，以適應快速發(fā)展的管理要求，需布署一套覆蓋數據中心和分支機構的管理信息系統，實現信息共享、業(yè)務互動，系統的、先進的、安全的信息平臺，實現遠程用戶安全、高效、方便地應用總部應用系統。惠爾頓公司基于對上述情況的初步了解和調研分析，

5、根據我們了解到的具體需求，制作了本方案書。二、項目概述1、項目目標實現企事業(yè)單位領導或者辦事人員在異地快速、安全、便捷的接入到應用系統，并保證總部核心數據在內網的安全。2、項目范圍項目范圍涉及惠爾頓e地通異地互聯產品。 三、需求調研情況分析由于時間有限，無法對貴單位現有業(yè)務及網絡環(huán)境進行很深入的分析，此處進行的分析僅是基于一般網絡情況而進行的，其中必有不妥甚至是錯誤的描述。我們期待有機會與貴單位進行更深一步的探討。網絡互聯展望管理軟件數據庫的內網安全是政府信息化的基礎之一。信息化管理3分軟件、7分管理、12分數據，建設一套符合管理軟件數據庫安全需求的網絡優(yōu)化平臺是政府信息化道路上重要組成部分。

6、通過e地通實現整個異地用戶對總部系統的訪問，在實現互聯的過程中、以及實現互聯后通過移動終端來實現異地辦公，我們要面對什么課題？l 首先是互聯計劃的實施難度l 如何使用移動終端實現對公司進銷存軟件的訪問l 互聯后整個網絡的安全性l 互聯后整個網絡的穩(wěn)定性l 互聯后整個網絡其他應用的可拓展性 四、方案詳細設計1、網絡拓撲2、連接說明1） 總部網絡無需替換現有的網關，直接將e地通服務器架設在內網即可，為了保證核心數據區(qū)服務器的安全，我們可以把數據庫服務器和web服務器通過e地通服務器與內網其他電腦隔離。2） 異地客戶端采用web客戶端，綠色客戶端，硬件key,等多種認證方式登錄應用系統。3） 連接模

7、式 使用移動終端連接總部進銷存軟件進行辦公。a、 使用webservers、點對點長連接，請求級響應應答機制。采用公安部制定的移動通訊端到加密算法的vpn技術。b、 無線應用服務器對捆綁的ip及mac、機器碼進行綁定。c、 對通信ip進行驗證、認證及鑒權，沒有符合一致的進行屏蔽。d、 對應用服務器加密處理和軟件防范機制，封閉應用服務器多余端口，修改使用通信端口。 3、實現效果1)、實現外網用戶訪問數據中心的應用系統異地用戶通過惠爾頓e地通系統客戶端只要以任何方式接入internet、便可以安全方便的接入應用系統，隨時隨地移動辦公。2）、實現內網安全管理把應用數據庫服務器隔離出來，杜絕內網用戶對

8、數據服務器的病毒感染。3）、實現總部公司數據中心與分支機構間的文件、資源共享，和安全規(guī)范的共享的文檔管理幫助企事業(yè)單位建立一個專用的文件傳輸網絡，實時進行文件的共享、如同在局域網內一樣。系統擴展方便，再增加其他的用戶時，只需在新的下屬分支局域網內計算機上安裝e地通客戶端，正在使用的分公司單位移動用戶不受任何影響?？偛课募梢赃h程打印、遠程共享，不受文件大小限制。所有的傳輸過程均經過了加密、確保安全。4）、實現遠程網絡鄰居功能惠爾頓e地通支持windows“網上鄰居”功能，在原來局域網里可實現的功能全部可在遠程虛擬局域網里實現，讓企事業(yè)不再受地域限制，就象在一個辦公室里辦公一樣。5）、使用終端設

9、備實現異地安全、便捷辦公 惠爾頓e地通socks 5 vpn助企業(yè)輕松使用筆記本、桌面pc、智能手機、pda等移動終端設備實現安全、便捷的遠程接入內網，在降低運營成本的同時大幅提高企業(yè)的辦公效率。五、e地通方案的優(yōu)勢1、socks5 vpn平臺優(yōu)勢安全、節(jié)省成本惠爾頓e地通socks5 vpn將遠程安全接入延伸到傳統 vpn擴展不到的地方，使更多的員工，在更多的地方，使用更多的設備，安全訪問企業(yè)網絡資源，同時降低了部署和支持費用。 惠爾頓e地通socks5 vpn正在被越來越多的客戶作為遠程接入的首選，下面列舉了其中的一些理由。1）免安裝的瘦客戶端相比傳統vpn和運營商vpn安裝維護成本更低s

10、ocks5 vpn整個系統架構在操作系統的應用層，所以系統的安裝十分簡單，使用相當方便，綠色的vpn，相比ssl vpn的activex安裝，socks5 vpn的使用也十分簡單，并且對原有的操作系統沒有任何影響?；轄栴De地通socks5 vpn成為一種有客戶端但在客戶端免安裝、零配置的解決方案，可以節(jié)省安裝和維護成本，同時vpn server端一旦升級，客戶端自動升級，無須人工干預。傳統的vpn和運營商的vpn需要在遠程終端上安裝特定設備的客戶端程序或客戶端設備，這是一件十分困難的事，而且在某些情況下是不可能的，比如某些合作伙伴。此外，使傳統vpn客戶端保持最新狀態(tài)是it人員的負擔。 惠爾頓

11、e地通socks5 vpn可以在任何地點，利用任何設備，連接到相應的網絡資源上，它具有穿越防火墻的能力。傳統 vpn和運營商vpn通常不能支持復雜的網絡，這是因為它們需要克服穿越防火墻、ip地址沖突、多重路由轉發(fā)等困難。鑒于傳統 vpn和運營商vpn客戶機存在的問題，傳統 vpn和運營商vpn實際上只適用于易于管理的或者位置固定的設備。2）先進的vpn安全體系相比傳統vpn和運營商vpn更安全作為架構在應用層的vpn，系統有效的屏蔽了vpn服務器的網絡結構，也屏蔽了常見的網絡攻擊手段，系統根據授權與認證訪問授信網絡。更重要的是，在系統的客戶端，可以指定特定的應用程序才能發(fā)起連接，連接到服務器，

12、完成應用的代理過程，根據這個控制，系統可以阻止病毒程序不能通過vpn隧道傳輸到vpn服務器端，有效保護了服務器數據資源的病毒威脅。由于傳統 vpn和運營商vpn打通了網絡低層，一旦被侵入，整個網絡都將暴露，建立隧道后，遠程pc就像物理地運行在企業(yè)局域網上一樣，相當于為遠程訪問者敞開了訪問所有資源的大門，并對全部網絡可視，為企業(yè)網絡帶來了安全風險。所以非常容易成為黑客攻擊的目標。而且一旦客戶端被黑客利用，他們會通過vpn訪問企業(yè)內部系統。這種黑客行為越來越普遍，而且后果也越來越嚴重。例如，如果雇員從家里的計算機通過公司vpn訪問企業(yè)資源，在他創(chuàng)建隧道前后，由于個人家用電腦一般缺乏安全防護措施，安

13、全級別很低，如果黑客侵入了這臺沒有保護的pc，他就獲得了經過ipsec vpn隧道訪問公司局域網的能力，而且這臺接入電腦一旦中毒也非常容易通過vpn在整個內網傳輸。 作為架構在會話層的vpn，在vpn服務器端，系統有效地屏蔽了的網絡結構，也屏蔽了常見的網絡攻擊手段，如ping 、udp、icmp包等，系統根據授權與認證訪問授信網絡；在vpn的客戶端，可以指定特定的應用程序才能發(fā)起連接，連接到vpn服務器，完成應用的代理過程，根據這個控制，不僅可以實現精細的訪問控制功能，重要的是可以阻止病毒和黑客程序不能通過vpn隧道傳輸到vpn服務器端，有效保護了服務器端數據資源受到安全防范措施弱的異地端的威

14、脅。e地通 socks5 vpn要求遠程接入者必須正確地使用客戶端軟件或接入設備，將訪問限制在特定的接入設備、客戶端程序、用戶認證機制和預定義的安全關系上，也不允許從公共internet發(fā)起訪問，從而提供了更高水平的安全性。同時提供不需用戶任何干預就可以自動將客戶端機器硬件信息作為用戶認證機制，完美實現了易用、經濟又安全的解決方案。ssl vpn由于完全沒有客戶端，使得ssl vpn允許用戶利用不安全的計算機訪問企業(yè)網絡，這些計算機易于受到鍵盤敲擊記錄軟件和特洛伊木馬的攻擊，對企業(yè)網絡造成威脅。同時用戶在internet上發(fā)起訪問時，ssl vpn客戶端為企業(yè)網絡帶來了風險。為了避免這個缺陷，

15、必須啟用硬件key這樣的外設來做輔助認證工具，這樣又會增加它的整體購買成本，同時也削弱了ssl vpn的便利性特性。3）支持各種接入方式相比傳統vpn和運營商vpn線路成本更低惠爾頓e地通產品支持adsl等各種接入方式，無需固定公網地址，線路的租用成本更低。2、支持遠程集中接入速度更快，節(jié)省租用帶寬的成本采用服務器計算模式，網絡只傳輸鍵盤信息、鼠標點擊和屏幕更新信息，大大降低對帶寬的需求，保證并發(fā)用戶數較多情況下的使用速度。網絡傳輸的不是真正的業(yè)務數據，而是經壓縮和加密后的屏幕變化數據，提供了對遠程訪問的實時監(jiān)控和審計。部署特簡單，不需要修改現有的應用程序，不需要改變原有的網絡結構，不需要在原

16、有的應用系統中加裝任何軟件或插件。按需最靈活，能夠滿足企業(yè)的個性化接入需求，很容易地進行擴展和升級。成本更節(jié)省，集中布署、管理和維護，客戶端免維護，大大降低it投資的總體擁有成本(tco)。e地通通過vpn模式，服務器和分支權限對等，可以實現互通，在服務器添加網絡打印機，直接輸入客戶端內網共享打印機地址,打印時直接選擇打印機即可,這樣既方便了實施安裝，又徹底解決了打印。3、優(yōu)秀的防火墻功能保障數據接入安全，節(jié)省客戶投資l l提供基于ip、mac、port的用戶組管理，對不同的用戶組進行策略控制；l l優(yōu)秀的狀態(tài)檢測引擎，可以為每個防火墻訪問控制策略進行狀態(tài)檢測；l l可提供關鍵字、url地址過

17、濾，抵抗惡意腳本的攻擊；l l支持ip與mac地址綁定，支持和ie無縫整合的用戶訪問認證；l l支持虛擬主機、端口映射功能，支持dmz區(qū)安全訪問服務；l l有效抵抗dos、ddos、掃描、嗅探、同步等多種攻擊，可自定義tcp/udp/icmp的flood攻擊檢測策略；l l基于hash表的快速轉發(fā)功能，極大提高了防火墻的吞吐率；l l支持nat網絡地址轉換，支持lan口多網段綁定；l l可提供管理服務器群的負載平衡能力。4、智能化路由管理功能節(jié)省客戶投資l l獨特的“隧道保活連接”技術，能確保惠爾頓e地通加密通道的全時段連通；l l多線路捆綁技術、實現帶寬捆綁和疊加；l l支持三級流量管理實現

18、不同服務的qos保證，并能為每個訪問控制策略獨立分配帶寬；支持帶寬的嚴格鎖定和動態(tài)平衡方式； l l采用先進的防丟包技術，支持數據的本地隊列，減少數據傳輸丟包率；l l支持智能路由器分離功能、分流上網數據、擴充互聯線路；l l支持dhcp、pppoe、ntp、napt/pat、nat穿越、dns增強版緩存；l l網絡地址轉換(nat).配合apr-proxy技術，可以在不改變現有網絡客戶配制的情況下直接 上網；l l可自由設定靜態(tài)路由，支持集團用戶的多級復雜網絡。5、先進的帶寬疊加和負載均衡功能更穩(wěn)定、速度更快l最大可同時支持五路adsl撥號連接，具有自動帶寬疊加和線路備份，也可以選擇不同的用

19、戶使用不同的adsl接口上網，可以為需要高流量帶寬的用戶提供穩(wěn)定，廉價的解決辦法；l可以為關鍵業(yè)務多且對通信線路保密和可用性要求高的行業(yè)大客戶（如政府、電信、金融等客戶）和已有專線的用戶提供線路備份；l流量帶寬控制及優(yōu)先級設置：可以為用戶組設置三個級別的上網優(yōu)先級，并按需求管理流量，同時為每路接口提供擁塞管理。六、e地通方案的內網安全功能保障內網安全1、首先將核心數據區(qū)與內網中其他用戶隔離。通過e地通中的vlan功能將核心數據從內網中隔離出來，這樣一旦內網中其他機器有安全事故，不會輕易通過內網傳播到核心數據區(qū)。2、需要去訪問核心數據區(qū)的非核心區(qū)的應用客戶端用戶（以下簡稱應用用戶）又如何訪問到已

20、經被隔離了的核心數據區(qū)呢？在應用用戶的機器上運行e地通客戶端，由它監(jiān)控這些用戶對核心數據區(qū)資源的訪問請求，并將這些請求壓縮、加密，然后轉化成socks5代理協議可以識別的請求發(fā)送給放置在核心數據區(qū)邊界的e地通服務器（該設備既有與應用用戶同一網段的ip地址，又有與核心數據區(qū)在同一網段的ip地址）進行處理，e地通服務器則根據發(fā)送者的身份執(zhí)行相應的身份認證和訪問控制策略。在這種方式上，e地通客戶端和e地通服務器扮演了中間代理的角色，可以在應用用戶訪問核心數據區(qū)資源之前執(zhí)行相應的身份認證和訪問控制，只有通過檢查的合法數據才允許流進核心數據區(qū)應用服務器，從而既實現了兩者之間的訪問，又有力地保護了核心數據

21、區(qū)的安全。下面做詳細闡述：如何實現兩個被隔離了的區(qū)域之間的訪問，即應用用戶對核心區(qū)的訪問？通過代理機制：代理服務器的工作原理就是接受用戶的請求并把請求轉發(fā)給用戶原本要訪問的目的主機，反過來，目的主機的應答通過代理服務器再轉發(fā)給用戶。代理服務器根據支持的協議不同而又有所區(qū)別， e地通采用socks5作為代理協議，可以支持所有基于應用層的通信協議?；谝陨犀F有的技術，e地通（如圖五），其中包含有代理客戶端、代理服務器。圖五 代理模式的應用圖解上圖給出了代理模式下e地通客戶端、e地通服務器協同工作的流程，這個流程可以簡單概括如下：1) e地通客戶端監(jiān)聽用戶對核心數據區(qū)的訪問請求，并將該訪問請求以so

22、cks5協議的方式封裝并加密起來發(fā)送給e地通服務器；2) e地通服務器執(zhí)行相關的身份認證及訪問控制策略，決定是否將該請求轉發(fā)到目的應用服務器上。以上步驟簡要的概括了代理模式下如何完成應用用戶對核心區(qū)的訪問。3、如何規(guī)避二者實現訪問后的安全隱患？e地通運行在會話層，并且提供了對應用數據和應用協議的可見性，使網絡管理員能夠對用戶訪問核心數據區(qū)實施安全策略檢查。e地通分析應用信息，執(zhí)行安全策略檢查，并發(fā)揮普通用戶與核心數據區(qū)之間傳輸的關卡作用。1） 、傳輸通道加密數據從裝有e地通客戶端的應用用戶處開始加密，到e地通server端解密，整個傳輸過程中的數據是密文，不是明文，這樣就非常好的保證了應用用戶

23、到核心數據區(qū)的傳輸過程中的安全性，不被惡意的內網用戶嗅探到本不是他該訪問的內容，并防止他分析到傳輸使用的協議，截獲傳輸中的所有數據。同時采用了sha1的數據完整性認證保證傳輸數據的完整性。2）、細粒度訪問控制訪問控制可以保護應用用戶非法操作對核心區(qū)的安全侵襲，切斷應用用戶對核心數據區(qū)指定機器指定應用以外數據的非法訪問。評價一個系統是否具有比較高的安全性能指標，一個重要因素就是看該系統提供的訪問控制粒度。作為一個好的安全系統，細粒度的訪問控制是至關重要的。e地通支持基于ip地址、端口和應用的訪問控制策略，從而方便網絡管理員對應用用戶訪問核心區(qū)應用資源進行更為準確和細致的定位。在訪問控制的具體實現

24、上，訪問控制模塊維護了一個全局的訪問控制列表，列表中定義了每一個用戶的訪問權限，包括被訪問資源的ip地址、端口號及可以被rdp執(zhí)行的應用程序?？梢杂靡豢觅Y源樹型圖簡單的表示其結構：圖六 用戶權限樹型圖每一項網絡資源都擁有若干種訪問權限屬性，上圖簡單列出了最基本的訪問權限屬性，包括ip地址、端口、用戶身份、應用程序路徑等屬性信息。當遠程用戶發(fā)出應用資源訪問請求時，訪問控制模塊可以根據該請求所包含的如下信息：ip地址、端口號、用戶身份、應用協議（協議分析模塊分析而得）判定用戶的請求是否合法，從而決定是否允許用戶進行遠程訪問網絡資源?；谏厦娴挠脩魴嘞迾?，訪問控制模塊對每一個用戶遠程訪問網絡資源的請

25、求作如下過程的解析： 圖七根據以往經驗，為了充分保證該功能的充分實現，最好不要在核心數據區(qū)開放過大過粗的訪問權限（如大到整個核心區(qū)網段的機器；粗到所有的端口，尤其是文件拷貝和粘貼的功能。）3）、身份認證身份認證模塊可以有效地鑒別來訪應用用戶的身份信息，以及確定其是否具有訪問核心區(qū)受控資源的權限。傳統的身份認證機制往往采用的是簡單的用戶名和密碼的形式，在進行身份信息確認的過程中，通常也是采用明文方式來發(fā)送身份信息，比如不支持https的web郵件系統就是一個典型的例子。這種通過明文方式來進行身份信息認證的過程是非常危險的，攻擊者可以很輕松的利用一些常用的嗅探工具（如sniffer pro）就可以

26、得到用戶的身份信息。e地通安全系統在身份認證上提供了簡單安全可靠的雙因素認證方式，既支持傳統的用戶名/密碼認證方式，也支持更為安全的硬件key認證方式，不同的認證方式適合安全需求不同的客戶。對于上述的用戶名/密碼及硬件key認證，它們認證的過程是統一的，唯一的區(qū)別在于硬件key是提供用戶身份信息的唯一途徑，只有擁有該硬件key的用戶才能合法登錄e地通服務器并訪問核心區(qū)受控的資源。此外，在唯一表示用戶身份信息的同時，e地通服務器還可以鑒別硬件設備的唯一性。換句話說，在進行授權的同時既授權用戶的身份信息，同時也授權了用戶所使用的機器硬件信息，這種授權方式特別適防止辦公人員在認證了的辦公機器以外的終

27、端上登錄并獲取核心區(qū)的安全保密信息，從而防止機密信息的外泄。如何規(guī)避黑客和病毒從應用用戶的機器上傳播到核心數據區(qū)？首先，二者是在不同的網段，且相互之間在路由上終止了通訊的功能，所以黑客和病毒想通過這種辦法來穿透不可行；其次有訪問權限的也只是到e地通server，根本無法直接訪問到核心數據區(qū)的應用資源，從e地通server到核心數據區(qū)的訪問也是細到了每個應用，除非開放了的這些應用本身有安全漏洞，否則沒有機會來導致安全侵襲。4、降低核心數據區(qū)工作人員導致的安全事故。通過e地通安全增強工具讓管理員設置操作系統其他帳戶的分級使用權限，例如，可以定義某一個用戶帳號不能對系統盤或者所有硬盤進行任何存取刪除

28、操作。也可以定義一部分人員不能使用或者管理某些特定的應用程序。即對于核心區(qū)操作人員的權限也盡量做到準確和細致，避免過大權限導致的道德風險和其他因素導致的安全事故。七、售后服務1、服務目標服務對象是vpn系統。當網絡出現問題時，我方工程師最短時間趕到現場或通過通訊方式協助解決，保障vpn系統正常穩(wěn)定的運行。2、服務簡介應急響應與應急計劃以及支持和運作緊密相連。應急響應能力可以被視為應急計劃的組件，因為它提供了對正常處理過程中斷提供快速有效響應的能力。廣義地講，應急計劃涉及到所有可能會中斷系統運作的事件。事件處理可以被考慮為應急計劃中響應惡意技術威脅的部分。在客戶運行維護系統過程中，作為客戶方的技

29、術人員由于時間和精力的問題，常常對于這些緊急事件缺乏有效的處理，這樣往往會對系統正常運轉造成重大影響。如果用戶選擇了的應急響應服務，那么在服務期間，一旦客戶系統發(fā)生緊急事件，我方就將派出專業(yè)工程師，到現場或通過遠程方式速快速響應，解決問題，并根據出現的問題及時調整系統設置，幫助用戶在以后的維護中正確解決問題。3、緊急情況的分類和響應時間故障級別定義惠爾頓公司故障響應時間和故障上報時間（深圳地區(qū)）一級故障主要指產品在運行中出現系統癱瘓或服務中斷，導致產品的基本功能不能實現或全面退化的故障。10分鐘內通過netmeeting遠程呼入分析問題并解決問題，如需現場解決1小時內響應。二級故障主要指產品在運行中出現的故障具有潛在的系統癱瘓或服務中斷的危險，并可能產品的基本功能不能實現