深信服EasyApp_SDK項(xiàng)目解決方案_V2.0

1、.深信服 EasyAPP 解決方案.下載可編輯 .目錄1前言52挑戰(zhàn)52.1安全 .52.2快速的業(yè)務(wù)發(fā)布62.3體驗(yàn) .63深信服 EASYAPP 方案介紹73.1簡(jiǎn)介 .73.2快速迭代73.3功能 .113.3.1身份認(rèn)證113.3.2數(shù)據(jù)隔離與防泄密123.3.3鏈路加密133.3.4單邊加速143.3.5威脅防護(hù)153.3.6權(quán)限控制163.3.7訪問審計(jì)163.3.8管理安全16.下載可編輯 .4方案價(jià)值174.1安全的業(yè)務(wù)發(fā)布1 74.2良好的用戶體驗(yàn)1 84.3快速開發(fā)迭代1 85典型案例185.1福建海事局提升政務(wù)效率，構(gòu)建服務(wù)性政府.185.2深圳國(guó)稅在線發(fā)票打印系統(tǒng)提升企

2、業(yè)發(fā)票打印事務(wù)效率1 9.下載可編輯 .下載可編輯 .1 前言隨著移動(dòng)互聯(lián)浪潮的高速發(fā)展，越來越多的移動(dòng)設(shè)備開始進(jìn)入企業(yè)IT 環(huán)境中 。一方面 ，在全球化趨勢(shì)下 ，企業(yè)的地理分布越來越廣，員工移動(dòng)性越來越高，內(nèi)部聯(lián)系越來越緊密，帶來了跨地域和移動(dòng)協(xié)同訴求；另一方面 ，也對(duì)企業(yè)在客戶維護(hù)的質(zhì)量和市場(chǎng)營(yíng)銷的效果提出更高的要求 。 企業(yè)信息移動(dòng)化建設(shè)迫在眉睫，而企業(yè)級(jí)應(yīng)用是企業(yè)信息移動(dòng)化的重要承載體，企業(yè)級(jí)移動(dòng)應(yīng)用市場(chǎng)是一片廣闊的藍(lán)海。2 挑戰(zhàn)以上趨勢(shì)反應(yīng)了一個(gè)令人振奮、日益凸顯的現(xiàn)實(shí) 。然而 ，對(duì)數(shù)據(jù)安全的質(zhì)疑，快速的業(yè)務(wù)發(fā)布，以及關(guān)于員工隱私和自由的討論，和員工使用體驗(yàn)的擔(dān)憂，都使得企業(yè)決策者在

3、移動(dòng)化面前舉棋不定 。2.1安全手機(jī)、平板電腦是公認(rèn)的企業(yè)安全鏈中最薄弱的環(huán)節(jié)，從在過去的 12 個(gè)月，移動(dòng)數(shù)據(jù)遭受的威脅上升了250% 以上：移動(dòng)設(shè)備的遺失或被冒用用戶主動(dòng)或無意識(shí)的信息泄露病毒、間諜軟件或其他黑客攻擊企業(yè)應(yīng)用本身 、防病毒軟件及終端管理軟件自身的漏洞或威脅網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)被竊聽或被篡改.下載可編輯 .企業(yè)應(yīng)用服務(wù)器直接暴露于互聯(lián)網(wǎng)中的安全威脅企業(yè)移動(dòng)的價(jià)值體現(xiàn)在通過提高員工的工作效率進(jìn)而實(shí)現(xiàn)更大的企業(yè)盈利。但企業(yè)面臨的安全風(fēng)險(xiǎn)不僅禍及本地?cái)?shù)據(jù)、應(yīng)用程序 ，還會(huì)危及到企業(yè)數(shù)據(jù)資產(chǎn)，給企業(yè)帶來實(shí)際損失。因此，數(shù)據(jù)安全是抑制企業(yè)移動(dòng)發(fā)展的關(guān)鍵因素之一。2.2快速的業(yè)務(wù)發(fā)布由于移動(dòng)

4、終端和智能終端操作系統(tǒng)更新非常快速，遠(yuǎn)快于摩爾定律 ；例如在硬件終端上，從 IPHONE 到 IPHONE5 只用了不到 5 年，在操作系統(tǒng)方面 ，Android 的 1.0 到 Android 的 4.0也用了不到 5 年時(shí)間，幾乎每個(gè)月都有新的操作系統(tǒng)版本和智能終端產(chǎn)生。因此如何安全快速的實(shí)現(xiàn)業(yè)務(wù)發(fā)布，實(shí)現(xiàn)快速的移動(dòng)應(yīng)用迭代，是每個(gè) IT 管理員必須考慮的問題 。2.3體驗(yàn)微軟 9 月份發(fā)布了 以人為本 ，成就企業(yè)創(chuàng)新發(fā)展 的技術(shù)白皮書 ，強(qiáng)調(diào)企業(yè) IT 建設(shè)只有以人為本 ，關(guān)注人的需求 ，才能更好地釋放人的創(chuàng)造力，從而借助 IT 為企業(yè)創(chuàng)造更大的價(jià)值。要實(shí)現(xiàn)這一目標(biāo)的企業(yè)應(yīng)用必須是：企業(yè)

5、應(yīng)用操作體驗(yàn)良好 ，且訪問使用的高效的 。移動(dòng)應(yīng)用對(duì)于企業(yè)而言，在乎的是它使用的穩(wěn)定性，不輕易更換 。 價(jià)格的斗爭(zhēng) 、功能的多少，已經(jīng)成為應(yīng)用的基本條件。然而，如何保障企業(yè)能夠持續(xù)、穩(wěn)定、便捷、互通地使用移動(dòng)應(yīng)用產(chǎn)品 ，并擁有更好的用戶體驗(yàn)，增強(qiáng)用戶的粘度 ，增強(qiáng)用戶體驗(yàn)才是企業(yè)移動(dòng)應(yīng)用核心競(jìng)爭(zhēng)力 。.下載可編輯 .123.3 深信服 EasyApp 方案介紹3.1簡(jiǎn)介深信服 EasyApp 方案，提供了一種在企業(yè)移動(dòng)應(yīng)用程序中快速集成VPN 客戶端模塊的方案 。用戶通過集成 SDK，配置深信服SSL VPN 網(wǎng)關(guān)即可實(shí)現(xiàn)從用戶 、終端、鏈路、服務(wù)端的全面的防護(hù) 。3.2快速迭代深信服 Eas

6、yApp 方案將傳統(tǒng)的VPN 模塊的 API 接口進(jìn)行全面封裝 ，為用戶提供僅需20行代碼開發(fā)量的SDK 包，即一年左右的程序員2 天左右即可完成所有相關(guān)的編碼和調(diào)試工作，比傳統(tǒng)的 VPN 開發(fā)模塊所需的工作量少了至少10 倍。其中，Android平臺(tái) SDK 對(duì)外提供了通用的 java 接口，可以在 google 提供的 Android 模擬器和任意一款A(yù)ndroid手機(jī)上調(diào)試和運(yùn)行 。iOS 平臺(tái) SDK 對(duì)外提供了 C/C+ 接口，同時(shí)也提供了obj-c 的的包裝接口 ，可以在任意一款真實(shí) iOS 設(shè)備上調(diào)試和運(yùn)行 。下面為偽代碼實(shí)現(xiàn)的示例，黑色和灰色部分為APP 應(yīng)用自身代碼 ，藍(lán)色部

7、分為本方案需要添加的代碼 ，綠色部分為備注文檔 。從藍(lán)色代碼數(shù)量來看 ，即說明 20 行代碼即可實(shí)現(xiàn) VPN 功能 。/ 當(dāng) MainActivity.java APP應(yīng)用程序主進(jìn)程函數(shù)中，初始化 SDK 實(shí)例 （該步驟為必要步驟）public void onCreate(Bundle savedInstanceState)4super.onCreate(savedInstanceState);.下載可編輯 .5setContentView(R.layout.activity_main);6/開始初始化 SDK 實(shí)例7SangforAuth.getInstance().init(this, t

8、his);8/ 完成 SDK 實(shí)例初始化9/以下為 APP 自身的初始化過程 ，與 SDK 無關(guān) ，用省略號(hào)代替1011 1213141516171819202122/ 該函數(shù)主要是配置 SSLVPN 網(wǎng)關(guān)的地址和端口參數(shù) （該步驟為必要步驟 ）private boolean initSslVpn()SangforAuth sfAuth = SangforAuth.getInstance();long host = ipToLong(61);int port = 443;sfAuth.vpnInit(host, port);return true;/如果 APP 需要關(guān)

9、心SSLVPN 隧道建立過程中異常時(shí)返回的狀態(tài)信息，還需要實(shí)現(xiàn)一個(gè)SDK 的回調(diào)函數(shù) 。（ 該步驟為非必要步驟，可以不實(shí)現(xiàn) ）.下載可編輯 .232425262728293031323334353637383940.Overridepublic void vpnCallback(int vpnResult, int authType) SangforAuth sfAuth = SangforAuth.getInstance();switch (vpnResult) / 具體異常事件請(qǐng)?jiān)斠奃EMO 工程case IVpnDelegate.RESULT_VPN_INIT_FAIL:case IVp

10、nDelegate.RESULT_VPN_INIT_SUCCESS:case IVpnDelegate.RESULT_VPN_AUTH_FAIL:case IVpnDelegate.RESULT_VPN_AUTH_SUCCESS:case IVpnDelegate.RESULT_VPN_AUTH_LOGOUT:/登陸 SSLVPN 和注銷 SSLVPN 過程應(yīng)該要像下面一樣調(diào)用SDK 提供的接口 。public void onClick(View v) if (v.equals(mLoginBtn) doVpnLogin(IVpnDelegate.AUTH_TYPE_PASSWORD); el

11、se if (v.equals(mLogoutBtn) SangforNbAuth.getInstance().vpnLogout();/注銷步驟為非必要步驟，可以不實(shí)現(xiàn) ，不顯式調(diào)用注銷即可，則可以通過后臺(tái)超時(shí)機(jī)制自動(dòng)注銷會(huì)話。.下載可編輯 .4142.下載可編輯 .3.3功能考慮企業(yè)移動(dòng)應(yīng)用的核心訴求 數(shù)據(jù)安全 ，通過實(shí)現(xiàn)強(qiáng)身份認(rèn)證、終端數(shù)據(jù)加密隔離 、鏈路數(shù)據(jù)加密 、權(quán)限控制與訪問審計(jì) ，這五個(gè)維度全面的保護(hù)從終端到服務(wù)端的安全。3.3.1 身份認(rèn)證許多企業(yè)移動(dòng)應(yīng)用都是采用最簡(jiǎn)單的用戶名密碼進(jìn)行驗(yàn)證。使用單一用戶名密碼進(jìn)行驗(yàn)證存在帳號(hào)密碼遭人盜用而導(dǎo)致越權(quán)訪問的問題，尤其對(duì)于重要的應(yīng)用系

12、統(tǒng)如執(zhí)法系統(tǒng)、銷售系統(tǒng)等必須限定為特定終端、特定用戶訪問的核心系統(tǒng)，一旦遭遇用戶名密碼被盜竊，其后果所造成的威脅將是不可估量的。EasyApp 方案支持至少6 種認(rèn)證方式 ，除了最基本的用戶名密碼認(rèn)證之外，還支持硬件特征碼、短信認(rèn)證 （短信貓和短信網(wǎng)關(guān) ）；并可擴(kuò)展支持?jǐn)?shù)字證書 、 LDAP/AD 、 Radius/ 動(dòng)態(tài)令牌 等第三方認(rèn)證 。硬件特征碼認(rèn)證 ：為了保證用戶使用移動(dòng)應(yīng)用是限定在某一臺(tái)智能終端上，避免因?yàn)橛?下載可編輯 .戶帳號(hào)意外泄漏 、帳號(hào)盜用導(dǎo)致數(shù)據(jù)的泄露問題，因此，需要對(duì)對(duì)登錄終端進(jìn)行綁定。而硬件特征碼通過綁定手機(jī)MAC 的方式實(shí)現(xiàn) ，進(jìn)而避免賬號(hào)被盜用的風(fēng)險(xiǎn)。短信認(rèn)證

13、：一般來說 ，員工手機(jī)或 PAD 并不是由公司統(tǒng)一配發(fā) ，且員工通常有幾臺(tái)智能終端，因此綁定固定的智能終端沒有意義。這時(shí)候 ，需要綁定員工唯一的手機(jī)號(hào)作為安全保障 。而短信認(rèn)證很好的解決了這個(gè)問題，短信認(rèn)證將為該用戶自動(dòng)生成一個(gè)6 位的數(shù)字隨機(jī)認(rèn)證碼，并以短信的方式發(fā)送到用戶所綁定手機(jī)號(hào)碼上，用戶即可在認(rèn)證界面上輸入該6 位認(rèn)證碼通過短信認(rèn)證。短信認(rèn)證很好的解決的一個(gè)員工使用多個(gè)智能終端認(rèn)證便捷性的問題。3.3.2 數(shù)據(jù)隔離與防泄密某些核心系統(tǒng)中包含有較為重要、敏感的數(shù)據(jù) ，然而移動(dòng)應(yīng)用使用環(huán)境的不可控等，移動(dòng)終端的防泄密核心是防止惡意軟件或病毒對(duì)于留存在本地的數(shù)據(jù)庫(kù)、緩存文件的竊取 ，以及預(yù)

14、防手機(jī)遺失帶來的風(fēng)險(xiǎn)。如此一來 ，EasyApp 為用戶提供了本地防泄密功能，即把應(yīng)用程序本地存儲(chǔ)的文件（緩存文件 、數(shù)據(jù)庫(kù) 、本地配置文件 ）加密存儲(chǔ)在手機(jī)上。避免手機(jī)丟失后，保存在本地的數(shù)據(jù)泄露 。.下載可編輯 .3.3.3 鏈路加密移動(dòng)應(yīng)用都基于無線網(wǎng)絡(luò)，而無線網(wǎng)絡(luò)極容易被監(jiān)聽；在一些公共場(chǎng)所 ，黑客發(fā)布一個(gè)免費(fèi) WIFI，10 分鐘即可破解一個(gè)用戶登錄網(wǎng)站、聊天工具等所有信息 。 EasyApp 方案中，客戶會(huì)創(chuàng)建一個(gè)Hook 模塊，該 Hook 模塊的功能是對(duì)網(wǎng)絡(luò)connect 和 DNS 域名解析操作進(jìn)行攔截，并進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)重定向 ，將企業(yè)應(yīng)用數(shù)據(jù)重定向至VPN 隧道，并采用標(biāo)準(zhǔn)商

15、密或國(guó)密加密算法加密傳輸 。 這樣，即使有人在網(wǎng)絡(luò)節(jié)點(diǎn)上監(jiān)聽，也無法破譯.下載可編輯 .3.3.4 單邊加速在無線網(wǎng)絡(luò)中 ，網(wǎng)絡(luò)容易被各種外界因素影響，下載速度 、網(wǎng)絡(luò)穩(wěn)定性都比較差 。 因此如何進(jìn)一步保障用戶訪問速度 ，提高用戶訪問體驗(yàn) ？很多的組織機(jī)構(gòu)已經(jīng)部署了多條運(yùn)營(yíng)商的鏈路，然而互聯(lián)網(wǎng)用戶訪問內(nèi)部資源的時(shí)候還是體驗(yàn)很慢，究其原因在于 ，通過這類用戶的網(wǎng)絡(luò)在傳輸數(shù)據(jù)時(shí)都會(huì)存在一定的延時(shí)和丟包，必然造成訪問速度變慢 。傳統(tǒng)解決方案主要是通過提升網(wǎng)絡(luò)帶寬和部署多鏈路的解決思路，甚至于通過部署鏈路負(fù)載均衡設(shè)備 ，來提升鏈路的訪問速度以及穩(wěn)定性。然而從本質(zhì)上而言 ，這是一種治標(biāo)不治本的方法 ，它

16、不僅增加了更多帶寬費(fèi)用 ，而且沒有解決鏈路質(zhì)量的問題，更重要的是沒有減少應(yīng)用響應(yīng)的時(shí)間 ，所以在大部分情況下訪問速度還是得不到有效的提升。因此面對(duì)移動(dòng)應(yīng)用發(fā)布的問題 ，無疑需要一種快捷有效并且方便實(shí)施的解決方案 。深信服 SSL VPN 的 TCP 單邊加速功能 ，通過對(duì)擁塞算法做優(yōu)化處理 ，解決一些 TCP協(xié)議本身的缺陷 ，只需要在發(fā)布業(yè)務(wù)應(yīng)用的中心端處部署SSL VPN 設(shè)備，用戶端無需任何的軟件客戶端或插件 ，對(duì)訪問終端的設(shè)備形式 ，操作系統(tǒng) 、瀏覽器種類等方面沒有任何兼容性要求，對(duì)用戶完全透明 。而組織機(jī)構(gòu)可以在不升級(jí)帶寬的前提下，通過減少應(yīng)用程序的響應(yīng)時(shí)間，.下載可編輯 .增強(qiáng)用戶的

17、訪問體驗(yàn) ，進(jìn)而提升自身業(yè)務(wù)競(jìng)爭(zhēng)力。深信服 TCP 單邊加速技術(shù)都能夠提升用戶的至少30 訪問速度 ，進(jìn)而改善移動(dòng)應(yīng)用的用戶的訪問體驗(yàn) 。 他包括幾大技術(shù)的改進(jìn) ：擁塞避免 能夠快速的準(zhǔn)確的預(yù)估出網(wǎng)絡(luò)中可用帶寬，并根據(jù)估計(jì)值確定擁塞避免窗口，從而最大限度的利用網(wǎng)絡(luò)帶寬?？焖僦貍?允許接收端通過使用SACK TCP 選項(xiàng)指示最多四個(gè)接收數(shù)據(jù)的非鄰接塊。RFC 2883 定義用于確認(rèn)重復(fù)的數(shù)據(jù)包的SACK TCP 選項(xiàng)中的字段的額外使用。發(fā)送端可以通過此操作確定何時(shí)重傳了不必要的段并調(diào)整其行為，以防今后不必要的重傳。發(fā)送的重傳越少，整體吞吐量越合理 ?？焖倩謴?fù) 快速檢測(cè)出丟包 ，并能快速準(zhǔn)確重傳該

18、包，對(duì)時(shí)延較大 ，網(wǎng)絡(luò)狀況較差的情況能夠有效的提升帶寬利用率，通過更改快速恢復(fù)過程中發(fā)送端可以用來提高發(fā)送速率的方法，提供更大的吞吐量 。3.3.5 威脅防護(hù)對(duì)于僅僅使用了用戶名密碼進(jìn)行認(rèn)證的用戶而言，最重要的就是保障密碼的安全，而現(xiàn)代技術(shù)的發(fā)展使得許多黑客采用暴破登錄的方式強(qiáng)攻密碼，以已知的用戶名為突破口盜取組織內(nèi)部重要數(shù)據(jù) 。深信服 SSL VPN 支持終端用戶的防暴破登錄設(shè)置，通過同用戶名登錄防暴.下載可編輯 .破和同 IP 登錄防暴破設(shè)置徹底封殺已知用戶名暴破登錄和未知用戶名暴破登錄的種種可能。支持自定義設(shè)置封鎖恢復(fù)時(shí)間。作為 HTTPS 服務(wù)器，所有 SSL VPN 都同樣面臨著 D

19、OS 的威脅，所以大多數(shù) SSL VPN 設(shè)備都需要前置防火墻保護(hù)其安全。而深信服SSL VPN 網(wǎng)關(guān)自身就是一個(gè)防火墻，集成了對(duì)DOS 等攻擊的防御手段 。VPN 安全網(wǎng)關(guān)可以限制內(nèi)部局域網(wǎng)每個(gè)IP 地址在一分鐘內(nèi)可發(fā)起的最大 TCP 連接數(shù)和發(fā)送的最大SYN 包次數(shù)（數(shù)值可依據(jù)內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量自定義），及時(shí)有效阻斷了由企業(yè)互聯(lián)網(wǎng)外部計(jì)算機(jī)發(fā)起的DOS 攻擊行為 ，也避免了企業(yè)員工在使用移動(dòng)終端時(shí)時(shí)不小心感染了病毒而造成DOS 攻擊給企業(yè)帶來的損失。3.3.6 權(quán)限控制在應(yīng)用訪問權(quán)限的劃分上，深信服 SSL VPN 通過對(duì)內(nèi)網(wǎng)應(yīng)用以 “資源 ”的方式進(jìn)行定義 ，并基于 “角色 ”將特定用戶 /

20、 用戶組與相應(yīng)的資源進(jìn)行對(duì)應(yīng)綁定，實(shí)現(xiàn)指定用戶只能訪問指定的應(yīng)用的權(quán)限劃分 。對(duì)于采用 HTML5 技術(shù)活 B/S 架構(gòu)的移動(dòng)應(yīng)用 ，往往需要做到 URL 級(jí)別細(xì)粒度的權(quán)限控制以防止核心數(shù)據(jù)的泄露，深信服 SSL VPN 可支持 URL 細(xì)粒度用戶授權(quán) 。3.3.7 訪問審計(jì)深信服SSL VPN 網(wǎng)關(guān)提供了管理日志和服務(wù)日志兩大類型日志。管理日志可提供管理員訪問、操作日志 ，服務(wù)日志提供信息、告警、調(diào)試、錯(cuò)誤日志 ，方便管理員對(duì)系統(tǒng)進(jìn)行診斷。3.3.8 管理安全當(dāng)移動(dòng)應(yīng)用系統(tǒng)繁多 ，而總部 SSL VPN 接入帶寬有限時(shí) ，對(duì)于某些大流量如文件共享的.下載可編輯 .應(yīng)用訪問將可能出現(xiàn)長(zhǎng)連接搶占

21、帶寬的現(xiàn)象。核心業(yè)務(wù)得不到足夠的帶寬保障，導(dǎo)致關(guān)鍵業(yè)務(wù)的工作效率下降 。深信服SSL VPN 通過流量限制 、會(huì)話限制 、全局會(huì)話限制功能 ，可實(shí)現(xiàn)基于用戶 / 用戶組的帶寬 、會(huì)話限制及保證 ，最大程度的合理分配帶寬資源和應(yīng)用資源。組織結(jié)構(gòu)往往呈現(xiàn)多級(jí)、樹形的架構(gòu) 。在設(shè)備中進(jìn)行用戶組建設(shè)的時(shí)候，需要最大的貼合到組織的架構(gòu)進(jìn)行用戶管理，方便 IT 管理員直觀的對(duì)所有用戶進(jìn)行SSL VPN 訪問控制管理 。深信服SSL VPN 采用多達(dá) 16 級(jí)的用戶組分級(jí)管理提高管理員的管理便利性。如下圖所示 ，用戶組的分級(jí)管理可依據(jù)組織的架構(gòu)而設(shè)，并在用戶屬性上可選下級(jí)組是否繼承上級(jí)組的關(guān)聯(lián)角色、認(rèn)證方式 、流量及會(huì)話限制 、日志審計(jì)記錄 、帳號(hào)過期時(shí)間 、登錄超時(shí)時(shí)間等設(shè)置。實(shí)現(xiàn)管理上的統(tǒng)一性 ，方便管理 。4 方案價(jià)值4.1安全的業(yè)務(wù)發(fā)布采用深信服 EasyApp 方案結(jié)合 SSL VPN 身份認(rèn)證安全機(jī)制 、數(shù)