一、 需求簡述

廣西電網公司目前已經擁有了OA辦公系統，及企業內部郵件和內部網站等應用系統 ，內部網使用100M光纖接入互聯網。現有100個公司內部用戶因業務特點，需要從公司外利用互聯網接入公司內部網絡訪問上述應用系統服務，實現移動辦公。

針對此次廣西電網公司既要滿足眾多移動用戶能方便快捷地接入公司網絡的互連需求，又要保證數據在互聯網傳輸以及用戶直接從互聯網接入的安全問題。廣西電網公司決定采用SSL VPN來解決。

同時廣西電網公司結合自身實際SSL VPN的需求分析，考慮到SSL VPN接入系統主要解決廣西電網公司工作人員能方便、快捷地在各地通過Internet接入公司內部OA、郵件、網站等系統實現移動辦公而提出的。因而針對方便、安全、穩定、多種系統的支持等要求，廣西電網對所選SSL VPN設備提出以下幾點要求:

1、 方便性,無需安裝客戶端軟件

移動用戶數量眾多、使用場所和上網方式也各不相同。隨著公司的發展，甚至可能是廣西電網公司以外的用戶。因此VPN設備必須能實現免客戶端的接入方式。

當接入眾多的用戶后，也要能夠對接入用戶進行方便、統一、有效的治理和維護，避免總部治理員工作量因此而增加。

2、 安全性，保證傳輸和接入安全以及接入之后的權限

數據通過高強度的加密算法進行底層傳輸，要確保數據傳輸具備防竊聽，防竄改特性;要有安全可靠的身份認證機制保證接入用戶的合法性。同時， VPN系統還必須具備權限治理功能，能根據不同的用戶、設置不同的內網訪問權限。

3、 容量、性能和穩定性

移動用戶的數量眾多，加之繁忙期間大量用戶同時在線操作，必須要求VPN設備能夠長期穩定、高效的運行，不影響業務的正常進展。故對VPN設備的容量、性能和穩定性提出更高的挑戰。

4、 擴展性和兼容性

隨著業務的持續發展和深化，用戶覆蓋范圍也越來越廣，數量將不斷增加。同時技術的進步可能使網絡環境向更優良的方案改進。因此要求VPN設備必須有很方便的擴展接口和充足的擴展空間,并嚴格執行行業標準，獲取最好的兼容性。

5、 對C/S系統的支持

隨著SSL VPN承載的應用系統增加，結構復雜，有可能某項應用會使用C/S結構來實現(比如目前的內部郵件)。這就要求SSL設備除了能支持WEB應用，最好還能對C/S應用全面支持。以免出現要重復采購的尷尬局面。

二、 方案建議

廣西電網公司采用100M光纖接入互聯網，帶寬100M。OA、郵件、內部網站服務器可放置于DMZ區域或局域網內。SSL接入用戶將達到100個。

結合在廣西電網公司以上需求，深信服科技作為國內領先的VPN及網絡安全研發廠商推薦廣西電網選用SINFOR M5400-S VPN/防火墻網關的解決方案，最終得到廣西電網公司的一致認可和高度評價。

網絡方案

廣西電網公司總部內部網絡SINFOR M5400-S部署圖如下:

三、 實現效果和技術特點

1、 迅速擁有高效穩定的SSL VPN平臺，用戶只需使用瀏覽器即可接入

方便是Sinfor SSL VPN的一大特點。廣泛的兼容性使其可以很方便的部署于網絡的任何位置。而簡單明了又兼備完整邏輯思路的操作系統可以讓治理員迅速把握，從而方便的配置出滿足自身需求的個性化配置方案。

用戶使用瀏覽器訪問廣西電網公司網站，即可方便地建立SSL VPN鏈接，進而使用內部各個辦公系統系統。在客戶端不需要安裝任何應用軟件，不需做任何配置。

2、 各種基于TCP的應用系統均可利用Sinfor SSL VPN平臺互聯實現移動辦公

廣泛的應用支持是Sinfor SSL VPN的另一特色。其他SSL設備簡單地將HTTP和HTTPS做協議轉換和代理是無法支持所有WEB應用的(詳見要害技術說明)。深信服公司的Html智能重構技術使基于WEB應用的每一項功能都可以實現。而應用轉換技術和基于java的Sinfor PRoxy端口代理技術使FTP、SSH、Telnet、POP3、文件共享、Outlook、SQL、SYBASE、Oracle、CITRIX、Terminal Service、Lotus NOTES等等基于TCP協議的各種應用。

3、 用戶接入的安全認證、CA證書認證和認證重定向

Sinfor SSL VPN具備用戶認證重定向功能，能與第三方認證有效集成。可以從微軟域服務器的Active Directory或LDAP服務器中直接導入用戶數據，能和第3方的LDAP認證服務器或RADIUS認證服務器有效集成。這樣一個組織機構就可以保持一套認證體系，簡化了部署過程，避免多套認證體系帶來的更多維護成本和更多安全風險。同時具備功能完善的本地用戶數據庫。

SINFOR SSL VPN支持導入第三方CA證書驗證。同時自身還內置了一個CA中心，可以減少中小企業構建CA安全認證體系的成本。通過該CA中心，治理員可以給每個遠程接入用戶頒發證書，用來認證每個接入用戶的身份。

4、 接入后的用戶受控于更細致的訪問控制粒度

SINFOR SSL VPN對每個用戶的訪問控制粒度精確到了URL級別。根據組織的構架，用戶可以分組治理，而授權粒度則可以按照角色進行治理，可以為每個用戶或每個組分配一個或多個角色。比如可以為某用戶分配經理和財務的雙重角色，這樣他即可以訪問經理的文檔數據又可以使用財務系統。通過這種有特色的角色權限分配體系能滿足各種現實世界中的權限設置要求。同時SINFOR SSL VPN通過行為跟蹤引擎，對每個遠程接入用戶的所有訪問記錄都留下了日志記錄。

5、 數據傳輸的安全

SINFOR SSL VPN采用SSL協議加密建立安全的專用通道，使用1024位的非對稱密鑰進行身份認證過程的加密，使用128位的RC4算法和3DES算法保護數據傳輸的安全。

6、 集成防火墻，有效保護內部服務

和多數SSL VPN不同，SINFOR SSL VPN集成了高性能的防火墻，對外只開放443端口，能有效保護內部服務器免受來自Internet的各種攻擊，包括對開放端口的DOS攻擊。

性能、容量、擴展和兼容性

1、 性能和容量

Sinfor M5400-S: 支持3000個并發用戶，15000個并發會話。并大量使用高效率的哈希算法查詢，使單用戶狀態和多用戶狀態的性能差別可以忽略不計，只要網絡的物理帶寬能夠滿足應用系統的數據流量，Sinfor SSL VPN不會成為整個系統的性能瓶頸，以出色的性能保證系統的穩定性。

2、 擴展和兼容

只需要更改Sinfor SSL VPN設備的一個序列號就可以完成用戶數量的擴充。并且傳統的SSLVPN授權購買模式一般是按用戶數階梯購買的，這樣只需要30個授權的客戶在沒有30個授權的設備的情況下就不得不花很多冤枉錢買50個授權設備。而SINFOR SSL VPN提供按需求定制的VPN授權體系，客戶可以根據自己的實際需要購買精確的授權數目。

SINFOR SSL VPN嚴格遵照SSL協議標準，借助于瀏覽器技術，SINFOR SSL VPN可以支持所有網絡環境，只要瀏覽器能夠上網就可以使用SSL VPN。采用Java技術實現對擴展應用的支持，由于Java的跨平臺特性，因此Sinfor SSL VPN可以運行于任何支持SSL協議和Java的終端設備上。