某國家稅務(wù)局VPN-9150采購項目

發(fā)布人：admin發(fā)布時間：2016/9/1 11:18:43

1.1 背景介紹 
隨著現(xiàn)代信息技術(shù)的發(fā)展，越來越多的組織單位將日常辦公平臺逐漸遷移到網(wǎng)絡(luò)平臺、統(tǒng)一應(yīng)用平臺之上。辦公網(wǎng)絡(luò)化、應(yīng)用集中化的變革帶來了資源全局統(tǒng)一調(diào)配、業(yè)務(wù)流程化、辦公規(guī)范化的巨大優(yōu)勢。 
據(jù)統(tǒng)計現(xiàn)約有20％的企業(yè)員工將自己的iPhone、iPad或Android設(shè)備帶入工作場所，處理工作相關(guān)活動。IT消費化帶來了BYOD新風(fēng)尚，實現(xiàn)了Anydevice的真正自由?，F(xiàn)在，BYOD已經(jīng)不是一個趨勢的概念，她正以不可阻擋之勢改變?nèi)藗兊墓ぷ鞣绞?，成為辦公手段的一個必要補充。我們可以利用更多的時間碎片收發(fā)電郵、跟蹤銷售機會點，將企業(yè)的信息化管理推向前端，使客戶的界面變得更扁平化，提升決策效率和響應(yīng)速度。然而，BYOD的開放性容易引入各種安全和管理風(fēng)險，您的企業(yè)做好了應(yīng)對BYOD挑戰(zhàn)的準(zhǔn)備嗎？ 
目前，單位已經(jīng)建立起一套統(tǒng)一的應(yīng)用平臺，包括（添加客戶現(xiàn)有應(yīng)用情況、網(wǎng)絡(luò)現(xiàn)狀）業(yè)務(wù)系統(tǒng)如MIS系統(tǒng)、生產(chǎn)管理系統(tǒng)、營銷系統(tǒng)等，以及日常辦公系統(tǒng)OA系統(tǒng)、財務(wù)系統(tǒng)、郵件系統(tǒng)等。單位的信息網(wǎng)絡(luò)是以信息中心機房為中心，所有應(yīng)用系統(tǒng)服務(wù)器都安裝在信息中心機房內(nèi)的專屬服務(wù)器區(qū)。各分支單位采用專線或者公網(wǎng)線路與總部互聯(lián)進(jìn)行正常的辦公。為業(yè)務(wù)的進(jìn)一步的快速發(fā)展奠定了堅實的基礎(chǔ)。自應(yīng)用平臺運行以來，內(nèi)部辦公人員通過網(wǎng)絡(luò)可以迅速地獲取信息，大大加快了整體的辦公效率，信息化效益得到彰顯。
 
1.2 需求分析 
隨著業(yè)務(wù)的不斷發(fā)展，IT運用與業(yè)務(wù)結(jié)合的不斷深入，我們發(fā)現(xiàn)目前的網(wǎng)絡(luò)狀況已經(jīng)不能很好的滿足業(yè)務(wù)發(fā)展的需要，有如下問題需要解決：  網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來越頻繁，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來越多，安全性要求也越來越重要。為了實現(xiàn)人們的遠(yuǎn)程辦公，需要保證人員外出時可以安全訪問組織內(nèi)部網(wǎng)絡(luò)進(jìn)行日常操作，并同時確保數(shù)據(jù)的安全。因此必須在選擇方法時，充分考慮多種接入方式以及各個接入方式的安全性。
                                    1.2.1 安全性問題 
結(jié)合客戶的網(wǎng)絡(luò)狀況，我們看到有以下幾個方面的問題亟需解決。 
1、身份認(rèn)證安全 
現(xiàn)有采用的是較為單一的用戶名密碼認(rèn)證方式，安全強度不高，極易遭到竊取、暴力破解造成重要應(yīng)用系統(tǒng)的越權(quán)訪問、強行攻破，導(dǎo)致核心數(shù)據(jù)的泄漏問題。尤其是領(lǐng)導(dǎo)中享有較高級權(quán)限的帳號若是遭到盜竊所造成的損失將更為嚴(yán)重。 

2.終端訪問安全 
一旦遠(yuǎn)程終端通過VPN接入到了總部的網(wǎng)絡(luò)，總部的安全域延伸到了遠(yuǎn)程終端。雖然在總部網(wǎng)絡(luò)中有防火墻、IPS、防毒墻等一系列安全防御設(shè)備，但需要接入到總部的遠(yuǎn)程用戶所使用的終端主機普遍安全防御水平都較低，而總部的防護(hù)設(shè)備又往往不能抵御VPN隧道中的威脅。為了保證整體安全防御水平，就需要對接入的終端主機的安全水平采取一定的控制措施。 
例如金融交易系統(tǒng)等包含重要數(shù)據(jù)的業(yè)務(wù)系統(tǒng)，當(dāng)用戶通過遠(yuǎn)程接入的方式訪問到這些系統(tǒng)時，由于系統(tǒng)交互、緩存等原因往往會在終端主機上保存部分應(yīng)用數(shù)據(jù)，容易導(dǎo)致重要數(shù)據(jù)人為或是無意的泄漏，存在重大的信息安全隱患。如何讓用戶能方便快捷的遠(yuǎn)程辦公的同時保障重要應(yīng)用系統(tǒng)、核心數(shù)據(jù)的不外泄，是IT管理人員需要考慮的一個非常重要的方面。 

3.權(quán)限劃分安全 
總部內(nèi)網(wǎng)中有眾多的應(yīng)用系統(tǒng)，若是沒有采用合理的訪問權(quán)限控制機制，將重要服務(wù)器暴露在所有內(nèi)網(wǎng)甚至外網(wǎng)用戶面前，容易因密碼爆破、越權(quán)訪問等行為導(dǎo)致系統(tǒng)內(nèi)重要數(shù)據(jù)的泄漏，同時，開放的權(quán)限環(huán)境也將給重要的服務(wù)器開放了攻擊通道，一旦遭到攻擊后果將難以估量。所以，對于不同的應(yīng)用系統(tǒng)需要對訪問人員做好細(xì)致的訪問權(quán)限控制， 

4.應(yīng)用訪問審計安全 
為了避免重要的信息系統(tǒng)的訪問安全風(fēng)險，做到有據(jù)可查，同時也為了了解應(yīng)用系統(tǒng)的使用情況，需要對應(yīng)用的訪問采取必要的審計措施，了解何時何地何人訪問了哪些應(yīng)用系統(tǒng)。 

5.業(yè)務(wù)數(shù)據(jù)遷移智能終端訪問安全性。隨著將業(yè)務(wù)系統(tǒng)遷移到BYOD終端，業(yè)務(wù)數(shù)據(jù)呈現(xiàn)于移動智能終端設(shè)備上，如何避免重要的業(yè)務(wù)數(shù)據(jù)隨著智能終端丟失而造成泄密的風(fēng)險，如何保障業(yè)務(wù)數(shù)據(jù)通過BYOD訪問安全性，需要對業(yè)務(wù)系統(tǒng)遷移至智能終端訪問做必要的安全措施。

1.2.2 遠(yuǎn)程訪問速度性問題 

影響用戶遠(yuǎn)程辦公的最主要因素就的訪問速度問題，拖滯的訪問速度將大大影響用戶的訪問體驗及辦公效率，網(wǎng)絡(luò)狀況、傳輸數(shù)據(jù)量及應(yīng)用的交互方式等等都將影響著速度質(zhì)量。 

1.跨運營商訪問問題 
國內(nèi)固網(wǎng)運營商為南電信北網(wǎng)通的格局，跨運營商訪問時往往存在較為嚴(yán)重的丟包現(xiàn)象，一旦遇到丟包導(dǎo)致的頻繁的重傳將大大拖慢了訪問速度。尤其是對于遍布各地遠(yuǎn)程接入用戶而言，線路的運營商環(huán)境也多種多樣，需要尋求一種方式解決跨運營商高丟包導(dǎo)致的速度問題。 

2.高丟包、高延時訪問問題 
無線、偏遠(yuǎn)地區(qū)等高丟包、高延時的惡劣網(wǎng)絡(luò)環(huán)境下的接入速度異常的慢，嚴(yán)重影響了遠(yuǎn)程辦公的效率。如何在高丟包、高延時的網(wǎng)絡(luò)環(huán)境下同樣保證較高的訪問質(zhì)量提高工作效率？ 

3.手持移動終端訪問問題 
許多領(lǐng)導(dǎo)、員工已經(jīng)采用PDA、智能手機等手持移動終端進(jìn)行移動辦公，但手持移動終端的受3G信號的制約，其訪問速度往往不如有線網(wǎng)絡(luò)。對于手持移動終端使用的最多的是B/S架構(gòu)的應(yīng)用，但現(xiàn)在B/S架構(gòu)往往是針對電腦進(jìn)行設(shè)計的，一旦使用PDA、智能手機訪問，往往出現(xiàn)頁面變形、圖像過大等現(xiàn)象，影響用戶體驗的同時，過大的頁面冗余數(shù)據(jù)量也拖慢了用戶的訪問速度。 

4.大量重復(fù)冗余數(shù)據(jù)量 
應(yīng)用系統(tǒng)的使用往往存在大量的冗余數(shù)據(jù)，如同樣的頁面、文件中的相同的元素、系統(tǒng)每次交互的相同數(shù)據(jù)，這些冗余數(shù)據(jù)量的傳輸占用了大量的帶寬資源，拖慢應(yīng)用響應(yīng)速度，影響了工作效率。 

5.微軟RDP協(xié)議本身缺陷。
隨著BYOD的流行，越來越多的企業(yè)為了將業(yè)務(wù)遷移至智能終，采用遠(yuǎn)程應(yīng)用發(fā)布的形式，其核心是基于微軟RDP遠(yuǎn)程桌面協(xié)議，而RDP桌面協(xié)議本身固有的協(xié)議，以及對帶寬大小的要求，導(dǎo)致智能終端通過3G進(jìn)行移動辦公時訪問速度沒有保障，如何避免采用遠(yuǎn)程應(yīng)用發(fā)布時的RDP協(xié)議訪問速度問題成為企業(yè)3A辦公的瓶頸，也成為企業(yè)需要重點考慮的問題。

1.2.3 使用者終端易用性問題 

在考慮到安全接入方式的時候，尤其需要考慮到終端易用性問題。需要接入到總部應(yīng)用系統(tǒng)訪問的人員普遍的IT水平都不高，復(fù)雜的軟件端安裝、參數(shù)調(diào)配都是非常不合適的。同時，接入應(yīng)用系統(tǒng)的核心為辦公，就需要提供一種最便利、最簡單的接入方式，最大的方便接入人員的辦公。 

在一體化辦公平臺有往往需要使用到多個應(yīng)用系統(tǒng)進(jìn)行辦公，遠(yuǎn)程用戶在面對眾多的應(yīng)用系統(tǒng)時就需要記憶眾多的用戶名密碼并依次登錄才能辦公，效率低下的同時，還容易混淆。 
企業(yè)業(yè)務(wù)系統(tǒng)遷移至智能終端時，企業(yè)為智能終端系統(tǒng)Android、iOS開發(fā)業(yè)務(wù)系統(tǒng)APP，能否將VPN SDK包直接嵌入業(yè)務(wù)系統(tǒng)中，避免撥號連接VPN，再次啟動APP，提高用戶辦公效率。 

1.2.4 業(yè)務(wù)穩(wěn)定性問題 

遠(yuǎn)程發(fā)布的業(yè)務(wù)系統(tǒng)將直接關(guān)系到組織的業(yè)務(wù)能否正常運營、工作能否正常開展的問題，需要保證高可靠、高可用的穩(wěn)定性。而VPN作為發(fā)布業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺，同樣需要保證高穩(wěn)定的運行以支撐整個業(yè)務(wù)的持續(xù)穩(wěn)定。 

1.2.5 整網(wǎng)設(shè)備管理便利性問題 

需要接入到總部的部分遠(yuǎn)程分支沒有配備專門的IT管理人員，在構(gòu)建VPN網(wǎng)絡(luò)時需要考慮到客戶端維護(hù)成本問題，若是在分支端采用設(shè)備架設(shè)的方式則必須派專員去對設(shè)備進(jìn)行維護(hù)，造成管理成本的上升。 
組織的規(guī)模較為龐大，處于地域、組織架構(gòu)等管理需要，面對不同的用戶組需要由不同的管理員進(jìn)行管理，保障信息安全的同時亦可提高管理效率。

       VPN技術(shù)介紹  VPN（Virtual Private Network）是虛擬專用網(wǎng)的簡稱，虛擬專用網(wǎng)指的是在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，實現(xiàn)低成本、高安全地解決數(shù)據(jù)傳輸及應(yīng)用發(fā)布平臺。VPN 架構(gòu)中采用了多種安全機制，如身份認(rèn)證技術(shù)（Authentication）、加解密技術(shù)（Encryption）、密鑰管理技術(shù)、隧道技術(shù)（Tunneling）等。通過上述的各項網(wǎng)絡(luò)安全技術(shù)，確保資料在公眾網(wǎng)絡(luò)中傳輸時不被竊取，或是即使被竊取了，對方亦無法讀取數(shù)據(jù)包內(nèi)所傳送的資料。  SSL VPN是VPN的主流技術(shù)之一，即指采用SSL （Security Socket Layer）協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因為SSL 協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。  相對于IPSec VPN等其他傳統(tǒng)的VPN技術(shù)而言，SSL VPN具有部署簡單，無客戶端，維護(hù)成本低，網(wǎng)絡(luò)適應(yīng)強等特點，非常適用于遠(yuǎn)程移動辦公、無專門管理人員的分支接入等場景。而從OSI七層模型來看，SSL VPN是基于第七層應(yīng)用層的VPN技術(shù)，相對于傳統(tǒng)的IPSec VPN（三層網(wǎng)絡(luò)層）、L2TP（二層數(shù)據(jù)鏈路層）、PPTP（二層數(shù)據(jù)鏈路層）等VPN連接方式，SSL VPN在對應(yīng)用權(quán)限的劃分上可做得更為細(xì)致，數(shù)據(jù)傳遞機制也不是簡單的封裝轉(zhuǎn)發(fā)，從整體業(yè)務(wù)發(fā)布安全性的角度上來說安全系數(shù)更高。同時，基于SSL VPN部署的靈活性、使用的靈活性等特質(zhì)，從安全防護(hù)方面，SSL VPN可引申出網(wǎng)絡(luò)邏輯隔離、服務(wù)器隔離保護(hù)、應(yīng)用系統(tǒng)強認(rèn)證等多種安全解決方案，為用戶提供多方面價值。  高性價比組網(wǎng)、安全業(yè)務(wù)發(fā)布、便利的終端使用、更多的價值體現(xiàn)，綜合這幾方面優(yōu)勢，我們推薦采用SSL VPN的方式構(gòu)建整個綜合組網(wǎng)方案。

 
方案設(shè)計原則
3.1 安全性原則  VPN網(wǎng)絡(luò)的運行基礎(chǔ)是Internet，所有的數(shù)據(jù)也必須經(jīng)過Internet進(jìn)行交換，而這些數(shù)據(jù)都是組織機構(gòu)的私密信息，不允許為無關(guān)人員所知。同時VPN網(wǎng)絡(luò)是在開放的Internet平臺之上構(gòu)建的虛擬網(wǎng)絡(luò)，也必須保證沒有獲得授權(quán)的用戶無法接入VPN網(wǎng)絡(luò)。  綜合考慮用戶的具體應(yīng)用和需求，VPN網(wǎng)絡(luò)的安全性有五層含義：一是用戶身份的安全；二是接入終端的安全；三是數(shù)據(jù)傳輸?shù)陌踩?；四是?quán)限訪問安全；五是審計的安全；六是智能終端訪問業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全性，六大安全全面保障VPN的安全性。 
3.2 高速性原則  遠(yuǎn)程辦公最大的制約因素就是速度方面的問題，磕磕絆絆的訪問速度大大拖滯了員工的辦公效率。網(wǎng)絡(luò)速度低下的原因可分為以下幾點：跨運營商訪問、傳輸數(shù)據(jù)量冗余、高丟包高延時的惡劣網(wǎng)絡(luò)環(huán)境、手持移動終端的無線訪問。而從優(yōu)化的層次來看，可分為線路、傳輸協(xié)議、數(shù)據(jù)、應(yīng)用四個層次。所以在設(shè)計接入方案的時候就需要從這四個層次入手解決遠(yuǎn)程辦公速度低下的問題。 
3.3 易用性原則  對于終端用戶而言，如何保證VPN使用的簡單易用是非常重要的一個方面。終端用戶普遍IT水平不高，其在使用VPN最核心的需求是為了接入到總部內(nèi)網(wǎng)進(jìn)行遠(yuǎn)程辦公，在其接入和辦公的過程中就需要最大程度的簡化其復(fù)雜度，避免繁雜的客戶端配置及操作，最大程度的提高用戶的辦公效率，從另一方面也大大降低了網(wǎng)絡(luò)管理人員對整個VPN客戶端維護(hù)工作量。 
3.4 穩(wěn)定性原則  VPN支撐著整個組織的應(yīng)用遠(yuǎn)程發(fā)布，分支機構(gòu)及移動辦公人員都需要依靠VPN網(wǎng)絡(luò)所承載的辦公平臺進(jìn)行日常的辦公和事物的緊急處理。一旦VPN網(wǎng)絡(luò)出現(xiàn)故障，將直接影響到其上所有人員的正常辦公，嚴(yán)重的甚至將導(dǎo)致業(yè)務(wù)的中斷釀成重大的網(wǎng)絡(luò)事故，造成的損失將難以估量。所以，對于VPN這張基礎(chǔ)承載網(wǎng)絡(luò)如何保持長時間高穩(wěn)定的運行顯得尤為的重要。在方案設(shè)計中，將充分的考慮到整個網(wǎng)絡(luò)、業(yè)務(wù)的穩(wěn)定性問題。 
3.5 合理、便利的管理  從IT部門工作的角度出發(fā)，除了需要保證應(yīng)用的發(fā)布安全、用戶的使用方便快捷、網(wǎng)絡(luò)的穩(wěn)定性之外，還需要考慮到網(wǎng)絡(luò)管理的合理化，保證網(wǎng)絡(luò)管理的有序性、安全性、便利性，提高管理效率，降低管理風(fēng)險。

4.1 深信服SSL VPN解決方案  結(jié)合實際網(wǎng)絡(luò)及應(yīng)用情況，我們推薦采用深信服SSL VPN設(shè)備進(jìn)行全網(wǎng)組網(wǎng)/移動辦公，

 方案說明： 
在核心交換上以單臂方式部署一臺深信服VPN-9150 SSL VPN，內(nèi)網(wǎng)服務(wù)器區(qū)應(yīng)用系統(tǒng)的安全發(fā)布；與此同時內(nèi)網(wǎng)部署終端應(yīng)用服務(wù)器，通過深信服EasyConnect將需要通過智能終端訪問的業(yè)務(wù)發(fā)布出去。  應(yīng)用平臺移動辦公采用SSL VPN對應(yīng)用進(jìn)行安全發(fā)布，避免需要將服務(wù)器直接掛在公網(wǎng)上造成的風(fēng)險。用戶在外需要進(jìn)行內(nèi)網(wǎng)接入時，可直接通過瀏覽器打開網(wǎng)頁完成SSL VPN登錄及安全隧道的建立，如同登錄網(wǎng)銀、郵箱一般符合日常的網(wǎng)絡(luò)使用習(xí)慣，容易上手。而SSL協(xié)議是目前公認(rèn)安全等級較高的網(wǎng)絡(luò)安全協(xié)議之一，現(xiàn)今網(wǎng)上銀行基本都采用SSL協(xié)議進(jìn)行數(shù)據(jù)傳輸保護(hù)，對于數(shù)據(jù)傳輸采用標(biāo)準(zhǔn)的AES、RSA、RC4等加密算法對傳輸數(shù)據(jù)進(jìn)行加密，安全性有保障。
  ?
應(yīng)用系統(tǒng)安全加固 
在系統(tǒng)安全加固方面，采用登錄SSL VPN身份驗證、權(quán)限劃分、登錄應(yīng)用身份驗證的主線進(jìn)行保障。SSL VPN接入認(rèn)證方式可采用用戶名密碼、USB KEY、短信認(rèn)證、動態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或多種認(rèn)證的組合，多重組合軟硬結(jié)合確保接入身份的確定性。在用戶接入SSL VPN后進(jìn)行應(yīng)用訪問權(quán)限的劃分對于享有訪問權(quán)限的應(yīng)用系統(tǒng)采用主從賬號綁定SSL VPN登錄賬號和應(yīng)用系統(tǒng)賬號。用戶只可采用指定的賬號訪問應(yīng)用系統(tǒng)。  由于登錄SSL VPN的身份已通過多重認(rèn)證的確認(rèn)，而后又進(jìn)行指定應(yīng)用賬號訪問，即可保障登錄應(yīng)用系統(tǒng)的人員的身份。  ?
專網(wǎng)內(nèi)隧道邏輯隔離，構(gòu)建統(tǒng)一應(yīng)用平臺  對于已經(jīng)建立專線組網(wǎng)的分支，將應(yīng)用系統(tǒng)以SSL VPN資源的方式進(jìn)行，進(jìn)行專網(wǎng)內(nèi)權(quán)限劃分的同時實現(xiàn)統(tǒng)一應(yīng)用平臺的構(gòu)建。根據(jù)不同部門、不同應(yīng)用進(jìn)行對應(yīng)權(quán)限的開放/關(guān)閉，但分支用戶登錄SSL VPN之后，在其資源列表界面將會顯示該用戶權(quán)限下可訪問的應(yīng)用系統(tǒng)，用戶可直接點擊其上的鏈接進(jìn)行快速訪問。同時，可針對這些應(yīng)用系統(tǒng)進(jìn)行單點登錄設(shè)置，點擊鏈接即可自動通過應(yīng)用本身的認(rèn)證，可直接進(jìn)行操作。由于所有訪問總部服務(wù)器區(qū)的數(shù)據(jù)都將經(jīng)由SSL VPN進(jìn)行轉(zhuǎn)發(fā)，對于用戶權(quán)限外的應(yīng)用，SSL VPN將自動阻斷其連接，防止惡意盜鏈。
  ?
服務(wù)器區(qū)隔離保護(hù) 
將深信服SSL VPN設(shè)備以單臂方式部署，通過配置使數(shù)據(jù)流經(jīng)由SSL VPN后走向內(nèi)網(wǎng)服務(wù)器區(qū)，對辦公網(wǎng)與服務(wù)器區(qū)這兩部不同安全級別的區(qū)域進(jìn)行隔離。由于SSL VPN設(shè)備對外只開放443端口，從而可屏蔽掉其他端口的攻擊。SSL VPN的數(shù)據(jù)流處理方式可隱藏內(nèi)網(wǎng)服務(wù)器區(qū)結(jié)構(gòu)，并對服務(wù)器訪問的IP、域名進(jìn)行偽裝。SSL VPN在進(jìn)行用戶對服務(wù)器區(qū)發(fā)起的訪問時，采用SSL VPN登錄認(rèn)證、細(xì)粒度應(yīng)用訪問授權(quán)、傳輸數(shù)據(jù)加密，從數(shù)據(jù)安全的角度提供隔離保護(hù)。
  ?
遠(yuǎn)程應(yīng)用發(fā)布EasyConnect 
深信服EasyConnect遠(yuǎn)程應(yīng)用發(fā)布解決方案通過SSL VPN和企業(yè)內(nèi)網(wǎng)部署的終端服務(wù)器，將企業(yè)應(yīng)用程序界面用圖形的方式呈現(xiàn)于智能終端之上。在部署過程中，無需對現(xiàn)網(wǎng)結(jié)構(gòu)和應(yīng)用程序做任何改變，輕松實現(xiàn)跨平臺訪問，解決企業(yè)用戶通過iPhone、iPad、Android等智能終端訪問的問題，實現(xiàn)業(yè)務(wù)數(shù)據(jù)快速遷移，同時保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)不落地，存儲在終端服務(wù)器，同時根據(jù)本地用戶習(xí)慣，融入本地輸入法、打印機、本地簽名等提升用戶使用便捷度。

EasyApp  對于已具備APP客戶端的業(yè)務(wù)系統(tǒng)，如客戶自主開發(fā)集成VPN功能，需要非常大的工作量。深信服可以為具備Socket開發(fā)能力的第三方應(yīng)用開發(fā)商提供軟件開發(fā)工具包VPN SDK包，極大地降低開發(fā)商的開發(fā)工作量?？蛻艨筛鶕?jù)需要選擇合適的精簡集成SDK的方式，就可使得最終用戶具備多種身份認(rèn)證和數(shù)據(jù)SSL傳輸加密的功能，從而增加業(yè)務(wù)系統(tǒng)的安全性。

5.1 更安全的SSL VPN 

SANGFOR SSL VPN身份認(rèn)證安全、終端訪問安全、數(shù)據(jù)傳輸安全、權(quán)限劃分安全、應(yīng)用訪問審計安全五大安全體系，由頭至尾保證整個SSL VPN接入訪問的安全性。

身份認(rèn)證安全
5.1.1.1 多種方式混合認(rèn)證 
許多部署在局域網(wǎng)內(nèi)重要的應(yīng)用都是采用最簡單的用戶名密碼進(jìn)行驗證。使用單一用戶名密碼進(jìn)行驗證存在帳號密碼遭人盜用而導(dǎo)致越權(quán)訪問的問題，尤其對于重要的應(yīng)用系統(tǒng)如財務(wù)、客戶信息等限定在特定部門、特定人員訪問的核心系統(tǒng)，一旦遭遇用戶名密碼被盜竊，其后果所造成的威脅將是不可估量的。  SANGFOR SSL VPN支持多種認(rèn)證方式的多因素組合認(rèn)證，除了最基本的用戶名密碼認(rèn)證之外，還支持LDAP/AD、Radius、CA等第三方認(rèn)證，支持USB KEY、硬件特征碼、短信認(rèn)證（短信貓和短信網(wǎng)關(guān)）、動態(tài)令牌卡等加強認(rèn)證方式。  單一的認(rèn)證方式容易被暴力破解，為了進(jìn)一步提高身份認(rèn)證的安全性，深信服創(chuàng)新性提出混合認(rèn)證，針對以上認(rèn)證方式可以進(jìn)行多因素的“與”、“或”組合認(rèn)證?！芭c”組合認(rèn)證可實現(xiàn)多達(dá)5種以上認(rèn)證方式的捆綁，必須同時滿足才能夠接入SSL VPN系統(tǒng)?！盎颉苯M合認(rèn)證可對于以上幾種認(rèn)證方式進(jìn)行或組合，只要通過一種認(rèn)證方式即可接入到SSL VPN系統(tǒng)中。  通過多因素組合認(rèn)證大大加強認(rèn)證安全的強度，確保接入SSL VPN的用戶的身份的確認(rèn)性。
5.1.1.2 USB KEY認(rèn)證  SANGFOR SSL VPN支持基于數(shù)字證書的USB KEY認(rèn)證，將CA中心生成的數(shù)字證書頒發(fā)給USB KEY，并為該USB KEY設(shè)置PIN碼。通過硬件存儲數(shù)字證書+PIN碼的方式保證提供用戶高安全的認(rèn)證方式。同時，SANGFOR SSL VPN支持無驅(qū)USB KEY認(rèn)證，客戶端無需安裝驅(qū)動即可使用USB KEY進(jìn)行登錄認(rèn)證，大大提高了客戶端使用的易用性。  USB DKEY可同時支持SSL VPN、IPSec VPN移動客戶端兩套系統(tǒng)，安全方便。  5.1.1.3 動態(tài)令牌認(rèn)證  動態(tài)令牌認(rèn)證是技術(shù)領(lǐng)先的一種雙因素身份認(rèn)證體系，內(nèi)嵌特殊運算芯片，以事件同步的技術(shù)手段，通過符合國際安全認(rèn)可的OATH動態(tài)口令演算標(biāo)準(zhǔn)，使用HMAC-SHA1算法產(chǎn)生6位動態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。由于實際上的安全問題都和密碼有關(guān)，盜竊和破解密碼是最常見的口令攻擊手段，因此動態(tài)令牌很好的解決了以上問題，為用戶的使用提供了極高的安全性保證。  5.1.1.4 短信認(rèn)證  USB KEY、動態(tài)令牌等認(rèn)證方式能非常好的保證認(rèn)證的安全性，但卻需要隨身攜帶USB KEY、動態(tài)令牌這些小硬件，對于經(jīng)常需要出差辦公的人員來說難免有些不方便。  短信認(rèn)證很好的解決了這個問題，此認(rèn)證系統(tǒng)分為手機終端和短信服務(wù)器兩部分，手機往往是隨身攜帶的，相對于USB KEY、動態(tài)令牌隨身攜帶的方式更易讓用戶接受。當(dāng)用戶在進(jìn)行SSL VPN登錄認(rèn)證時，短信服務(wù)器將為該用戶自動生成一個6位的數(shù)字隨機認(rèn)證碼，并以短信的方式發(fā)送到用戶所綁定手機號碼的手持終端上，用戶即可在認(rèn)證界面上輸入該6位認(rèn)證碼通過短信認(rèn)證。短信認(rèn)證很好的解決的多因素認(rèn)證安全性與使用便捷性的問題。