企事業(yè)單位移動(dòng)辦公解決方案

1、 惠爾頓e地通互聯(lián)解決方案企事業(yè)單位移動(dòng)辦公解決方案版權(quán)所有：深圳市惠爾頓信息技術(shù)有限公司二零壹壹年九月聲明copyright20011 深圳市惠爾頓信息技術(shù)有限公司 版權(quán)所有。由深圳市惠爾頓信息技術(shù)有限公司提供的本方案中包含的所有信息，都將被視為機(jī)密信息，本方案僅供選擇網(wǎng)絡(luò)異地互聯(lián)解決方案時(shí)使用，不得將本方案作其他用途。 本方案針對(duì)具體的需求而定制，客戶在未與本公司正式簽署合約之前，本業(yè)務(wù)方案建議書的知識(shí)產(chǎn)權(quán)歸深圳市惠爾頓信息技術(shù)有限公司所有，不得將本方案內(nèi)容透露給第三方，且由深圳市惠爾頓信息技術(shù)有限公司所開發(fā)的任何原始概念、結(jié)構(gòu)、設(shè)計(jì)、處理方法不得用于商業(yè)用途。文檔說明深圳市惠爾頓信息技術(shù)

2、有限公司（以下簡(jiǎn)稱“惠爾頓”）憑借長(zhǎng)期以來對(duì)現(xiàn)實(shí)異地互聯(lián)方案的專業(yè)考察，依托于國(guó)家863科研成果，惠爾頓實(shí)力雄厚、技術(shù)領(lǐng)先的研發(fā)隊(duì)伍開發(fā)出了填補(bǔ)國(guó)際空白的全球第一套自主知識(shí)產(chǎn)權(quán)的e地通系列產(chǎn)品，不僅具有傳統(tǒng)vpn的優(yōu)勢(shì)，更有vpn運(yùn)營(yíng)商無可比擬的優(yōu)勢(shì)核心數(shù)據(jù)區(qū)的內(nèi)網(wǎng)安全管理，以及未來擴(kuò)展性強(qiáng)的遠(yuǎn)程集中接入優(yōu)勢(shì)，可以使c/s軟件b/s化，布署更容易，維護(hù)量更小，成為業(yè)界速度最快、最安全、布局最易的產(chǎn)品！我們?yōu)閰⑴c到貴公司管理信息系統(tǒng)的建設(shè)，并有機(jī)會(huì)發(fā)表專業(yè)意見而倍感榮幸！本方案建議書是在我們所了解的需求的背景下得以完成的，但限于時(shí)間緊迫，某些非關(guān)鍵性問題可能被忽略。對(duì)此，我們除表示歉意外，愿意針

3、對(duì)大家關(guān)心的其它問題再進(jìn)行補(bǔ)充報(bào)告。本方案已列出了能夠滿足當(dāng)前網(wǎng)絡(luò)異地互聯(lián)和使用移動(dòng)終端辦公對(duì)速度以及安全的需求，并能夠支持管理系統(tǒng)長(zhǎng)期發(fā)展對(duì)網(wǎng)絡(luò)平臺(tái)的需要。目 錄一、前言4二、項(xiàng)目概述41、項(xiàng)目目標(biāo)42、項(xiàng)目范圍4三、網(wǎng)絡(luò)調(diào)研情況分析41、網(wǎng)絡(luò)互聯(lián)展望4四、方案詳細(xì)設(shè)計(jì)51、網(wǎng)絡(luò)拓?fù)?2、連接說明63、實(shí)現(xiàn)效果6五、e地通方案的優(yōu)勢(shì)71、socks5 vpn平臺(tái)優(yōu)勢(shì)安全、節(jié)省成本71）免安裝的瘦客戶端相比傳統(tǒng)vpn和運(yùn)營(yíng)商vpn安裝維護(hù)成本更低72）先進(jìn)的vpn安全體系相比傳統(tǒng)vpn和運(yùn)營(yíng)商vpn更安全73）支持各種接入方式相比傳統(tǒng)vpn和運(yùn)營(yíng)商vpn線路成本更低82、支持遠(yuǎn)程集中接入速度更

4、快，節(jié)省租用帶寬的成本83、優(yōu)秀的防火墻功能保障數(shù)據(jù)接入安全，節(jié)省客戶投資94、智能化路由管理功能節(jié)省客戶投資95、先進(jìn)的帶寬疊加和負(fù)載均衡功能更穩(wěn)定、速度更快9六、e地通方案的內(nèi)網(wǎng)安全功能保障內(nèi)網(wǎng)安全10七、售后服務(wù)141、服務(wù)目標(biāo)142、服務(wù)簡(jiǎn)介143、緊急情況的分類和響應(yīng)時(shí)間144、服務(wù)步驟155、服務(wù)內(nèi)容15一、前言在快速發(fā)展的信息化時(shí)代，為提升事業(yè)單位信息化管理，以適應(yīng)快速發(fā)展的管理要求，需布署一套覆蓋數(shù)據(jù)中心和分支機(jī)構(gòu)的管理信息系統(tǒng)，實(shí)現(xiàn)信息共享、業(yè)務(wù)互動(dòng)，系統(tǒng)的、先進(jìn)的、安全的信息平臺(tái)，實(shí)現(xiàn)遠(yuǎn)程用戶安全、高效、方便地應(yīng)用總部應(yīng)用系統(tǒng)?；轄栴D公司基于對(duì)上述情況的初步了解和調(diào)研分析，

5、根據(jù)我們了解到的具體需求，制作了本方案書。二、項(xiàng)目概述1、項(xiàng)目目標(biāo)實(shí)現(xiàn)企事業(yè)單位領(lǐng)導(dǎo)或者辦事人員在異地快速、安全、便捷的接入到應(yīng)用系統(tǒng)，并保證總部核心數(shù)據(jù)在內(nèi)網(wǎng)的安全。2、項(xiàng)目范圍項(xiàng)目范圍涉及惠爾頓e地通異地互聯(lián)產(chǎn)品。 三、需求調(diào)研情況分析由于時(shí)間有限，無法對(duì)貴單位現(xiàn)有業(yè)務(wù)及網(wǎng)絡(luò)環(huán)境進(jìn)行很深入的分析，此處進(jìn)行的分析僅是基于一般網(wǎng)絡(luò)情況而進(jìn)行的，其中必有不妥甚至是錯(cuò)誤的描述。我們期待有機(jī)會(huì)與貴單位進(jìn)行更深一步的探討。網(wǎng)絡(luò)互聯(lián)展望管理軟件數(shù)據(jù)庫的內(nèi)網(wǎng)安全是政府信息化的基礎(chǔ)之一。信息化管理3分軟件、7分管理、12分?jǐn)?shù)據(jù)，建設(shè)一套符合管理軟件數(shù)據(jù)庫安全需求的網(wǎng)絡(luò)優(yōu)化平臺(tái)是政府信息化道路上重要組成部分。

6、通過e地通實(shí)現(xiàn)整個(gè)異地用戶對(duì)總部系統(tǒng)的訪問，在實(shí)現(xiàn)互聯(lián)的過程中、以及實(shí)現(xiàn)互聯(lián)后通過移動(dòng)終端來實(shí)現(xiàn)異地辦公，我們要面對(duì)什么課題？l 首先是互聯(lián)計(jì)劃的實(shí)施難度l 如何使用移動(dòng)終端實(shí)現(xiàn)對(duì)公司進(jìn)銷存軟件的訪問l 互聯(lián)后整個(gè)網(wǎng)絡(luò)的安全性l 互聯(lián)后整個(gè)網(wǎng)絡(luò)的穩(wěn)定性l 互聯(lián)后整個(gè)網(wǎng)絡(luò)其他應(yīng)用的可拓展性 四、方案詳細(xì)設(shè)計(jì)1、網(wǎng)絡(luò)拓?fù)?、連接說明1） 總部網(wǎng)絡(luò)無需替換現(xiàn)有的網(wǎng)關(guān)，直接將e地通服務(wù)器架設(shè)在內(nèi)網(wǎng)即可，為了保證核心數(shù)據(jù)區(qū)服務(wù)器的安全，我們可以把數(shù)據(jù)庫服務(wù)器和web服務(wù)器通過e地通服務(wù)器與內(nèi)網(wǎng)其他電腦隔離。2） 異地客戶端采用web客戶端，綠色客戶端，硬件key,等多種認(rèn)證方式登錄應(yīng)用系統(tǒng)。3） 連接模

7、式 使用移動(dòng)終端連接總部進(jìn)銷存軟件進(jìn)行辦公。a、 使用webservers、點(diǎn)對(duì)點(diǎn)長(zhǎng)連接，請(qǐng)求級(jí)響應(yīng)應(yīng)答機(jī)制。采用公安部制定的移動(dòng)通訊端到加密算法的vpn技術(shù)。b、 無線應(yīng)用服務(wù)器對(duì)捆綁的ip及mac、機(jī)器碼進(jìn)行綁定。c、 對(duì)通信ip進(jìn)行驗(yàn)證、認(rèn)證及鑒權(quán)，沒有符合一致的進(jìn)行屏蔽。d、 對(duì)應(yīng)用服務(wù)器加密處理和軟件防范機(jī)制，封閉應(yīng)用服務(wù)器多余端口，修改使用通信端口。 3、實(shí)現(xiàn)效果1)、實(shí)現(xiàn)外網(wǎng)用戶訪問數(shù)據(jù)中心的應(yīng)用系統(tǒng)異地用戶通過惠爾頓e地通系統(tǒng)客戶端只要以任何方式接入internet、便可以安全方便的接入應(yīng)用系統(tǒng)，隨時(shí)隨地移動(dòng)辦公。2）、實(shí)現(xiàn)內(nèi)網(wǎng)安全管理把應(yīng)用數(shù)據(jù)庫服務(wù)器隔離出來，杜絕內(nèi)網(wǎng)用戶對(duì)

8、數(shù)據(jù)服務(wù)器的病毒感染。3）、實(shí)現(xiàn)總部公司數(shù)據(jù)中心與分支機(jī)構(gòu)間的文件、資源共享，和安全規(guī)范的共享的文檔管理幫助企事業(yè)單位建立一個(gè)專用的文件傳輸網(wǎng)絡(luò)，實(shí)時(shí)進(jìn)行文件的共享、如同在局域網(wǎng)內(nèi)一樣。系統(tǒng)擴(kuò)展方便，再增加其他的用戶時(shí)，只需在新的下屬分支局域網(wǎng)內(nèi)計(jì)算機(jī)上安裝e地通客戶端，正在使用的分公司單位移動(dòng)用戶不受任何影響?？偛课募梢赃h(yuǎn)程打印、遠(yuǎn)程共享，不受文件大小限制。所有的傳輸過程均經(jīng)過了加密、確保安全。4）、實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)鄰居功能惠爾頓e地通支持windows“網(wǎng)上鄰居”功能，在原來局域網(wǎng)里可實(shí)現(xiàn)的功能全部可在遠(yuǎn)程虛擬局域網(wǎng)里實(shí)現(xiàn)，讓企事業(yè)不再受地域限制，就象在一個(gè)辦公室里辦公一樣。5）、使用終端設(shè)

9、備實(shí)現(xiàn)異地安全、便捷辦公 惠爾頓e地通socks 5 vpn助企業(yè)輕松使用筆記本、桌面pc、智能手機(jī)、pda等移動(dòng)終端設(shè)備實(shí)現(xiàn)安全、便捷的遠(yuǎn)程接入內(nèi)網(wǎng)，在降低運(yùn)營(yíng)成本的同時(shí)大幅提高企業(yè)的辦公效率。五、e地通方案的優(yōu)勢(shì)1、socks5 vpn平臺(tái)優(yōu)勢(shì)安全、節(jié)省成本惠爾頓e地通socks5 vpn將遠(yuǎn)程安全接入延伸到傳統(tǒng) vpn擴(kuò)展不到的地方，使更多的員工，在更多的地方，使用更多的設(shè)備，安全訪問企業(yè)網(wǎng)絡(luò)資源，同時(shí)降低了部署和支持費(fèi)用。 惠爾頓e地通socks5 vpn正在被越來越多的客戶作為遠(yuǎn)程接入的首選，下面列舉了其中的一些理由。1）免安裝的瘦客戶端相比傳統(tǒng)vpn和運(yùn)營(yíng)商vpn安裝維護(hù)成本更低s

10、ocks5 vpn整個(gè)系統(tǒng)架構(gòu)在操作系統(tǒng)的應(yīng)用層，所以系統(tǒng)的安裝十分簡(jiǎn)單，使用相當(dāng)方便，綠色的vpn，相比ssl vpn的activex安裝，socks5 vpn的使用也十分簡(jiǎn)單，并且對(duì)原有的操作系統(tǒng)沒有任何影響。惠爾頓e地通socks5 vpn成為一種有客戶端但在客戶端免安裝、零配置的解決方案，可以節(jié)省安裝和維護(hù)成本，同時(shí)vpn server端一旦升級(jí)，客戶端自動(dòng)升級(jí)，無須人工干預(yù)。傳統(tǒng)的vpn和運(yùn)營(yíng)商的vpn需要在遠(yuǎn)程終端上安裝特定設(shè)備的客戶端程序或客戶端設(shè)備，這是一件十分困難的事，而且在某些情況下是不可能的，比如某些合作伙伴。此外，使傳統(tǒng)vpn客戶端保持最新狀態(tài)是it人員的負(fù)擔(dān)。 惠爾頓

11、e地通socks5 vpn可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上，它具有穿越防火墻的能力。傳統(tǒng) vpn和運(yùn)營(yíng)商vpn通常不能支持復(fù)雜的網(wǎng)絡(luò)，這是因?yàn)樗鼈冃枰朔┰椒阑饓?、ip地址沖突、多重路由轉(zhuǎn)發(fā)等困難。鑒于傳統(tǒng) vpn和運(yùn)營(yíng)商vpn客戶機(jī)存在的問題，傳統(tǒng) vpn和運(yùn)營(yíng)商vpn實(shí)際上只適用于易于管理的或者位置固定的設(shè)備。2）先進(jìn)的vpn安全體系相比傳統(tǒng)vpn和運(yùn)營(yíng)商vpn更安全作為架構(gòu)在應(yīng)用層的vpn，系統(tǒng)有效的屏蔽了vpn服務(wù)器的網(wǎng)絡(luò)結(jié)構(gòu)，也屏蔽了常見的網(wǎng)絡(luò)攻擊手段，系統(tǒng)根據(jù)授權(quán)與認(rèn)證訪問授信網(wǎng)絡(luò)。更重要的是，在系統(tǒng)的客戶端，可以指定特定的應(yīng)用程序才能發(fā)起連接，連接到服務(wù)器，

12、完成應(yīng)用的代理過程，根據(jù)這個(gè)控制，系統(tǒng)可以阻止病毒程序不能通過vpn隧道傳輸?shù)絭pn服務(wù)器端，有效保護(hù)了服務(wù)器數(shù)據(jù)資源的病毒威脅。由于傳統(tǒng) vpn和運(yùn)營(yíng)商vpn打通了網(wǎng)絡(luò)低層，一旦被侵入，整個(gè)網(wǎng)絡(luò)都將暴露，建立隧道后，遠(yuǎn)程pc就像物理地運(yùn)行在企業(yè)局域網(wǎng)上一樣，相當(dāng)于為遠(yuǎn)程訪問者敞開了訪問所有資源的大門，并對(duì)全部網(wǎng)絡(luò)可視，為企業(yè)網(wǎng)絡(luò)帶來了安全風(fēng)險(xiǎn)。所以非常容易成為黑客攻擊的目標(biāo)。而且一旦客戶端被黑客利用，他們會(huì)通過vpn訪問企業(yè)內(nèi)部系統(tǒng)。這種黑客行為越來越普遍，而且后果也越來越嚴(yán)重。例如，如果雇員從家里的計(jì)算機(jī)通過公司vpn訪問企業(yè)資源，在他創(chuàng)建隧道前后，由于個(gè)人家用電腦一般缺乏安全防護(hù)措施，安

13、全級(jí)別很低，如果黑客侵入了這臺(tái)沒有保護(hù)的pc，他就獲得了經(jīng)過ipsec vpn隧道訪問公司局域網(wǎng)的能力，而且這臺(tái)接入電腦一旦中毒也非常容易通過vpn在整個(gè)內(nèi)網(wǎng)傳輸。 作為架構(gòu)在會(huì)話層的vpn，在vpn服務(wù)器端，系統(tǒng)有效地屏蔽了的網(wǎng)絡(luò)結(jié)構(gòu)，也屏蔽了常見的網(wǎng)絡(luò)攻擊手段，如ping 、udp、icmp包等，系統(tǒng)根據(jù)授權(quán)與認(rèn)證訪問授信網(wǎng)絡(luò)；在vpn的客戶端，可以指定特定的應(yīng)用程序才能發(fā)起連接，連接到vpn服務(wù)器，完成應(yīng)用的代理過程，根據(jù)這個(gè)控制，不僅可以實(shí)現(xiàn)精細(xì)的訪問控制功能，重要的是可以阻止病毒和黑客程序不能通過vpn隧道傳輸?shù)絭pn服務(wù)器端，有效保護(hù)了服務(wù)器端數(shù)據(jù)資源受到安全防范措施弱的異地端的威

14、脅。e地通 socks5 vpn要求遠(yuǎn)程接入者必須正確地使用客戶端軟件或接入設(shè)備，將訪問限制在特定的接入設(shè)備、客戶端程序、用戶認(rèn)證機(jī)制和預(yù)定義的安全關(guān)系上，也不允許從公共internet發(fā)起訪問，從而提供了更高水平的安全性。同時(shí)提供不需用戶任何干預(yù)就可以自動(dòng)將客戶端機(jī)器硬件信息作為用戶認(rèn)證機(jī)制，完美實(shí)現(xiàn)了易用、經(jīng)濟(jì)又安全的解決方案。ssl vpn由于完全沒有客戶端，使得ssl vpn允許用戶利用不安全的計(jì)算機(jī)訪問企業(yè)網(wǎng)絡(luò)，這些計(jì)算機(jī)易于受到鍵盤敲擊記錄軟件和特洛伊木馬的攻擊，對(duì)企業(yè)網(wǎng)絡(luò)造成威脅。同時(shí)用戶在internet上發(fā)起訪問時(shí)，ssl vpn客戶端為企業(yè)網(wǎng)絡(luò)帶來了風(fēng)險(xiǎn)。為了避免這個(gè)缺陷，

15、必須啟用硬件key這樣的外設(shè)來做輔助認(rèn)證工具，這樣又會(huì)增加它的整體購(gòu)買成本，同時(shí)也削弱了ssl vpn的便利性特性。3）支持各種接入方式相比傳統(tǒng)vpn和運(yùn)營(yíng)商vpn線路成本更低惠爾頓e地通產(chǎn)品支持adsl等各種接入方式，無需固定公網(wǎng)地址，線路的租用成本更低。2、支持遠(yuǎn)程集中接入速度更快，節(jié)省租用帶寬的成本采用服務(wù)器計(jì)算模式，網(wǎng)絡(luò)只傳輸鍵盤信息、鼠標(biāo)點(diǎn)擊和屏幕更新信息，大大降低對(duì)帶寬的需求，保證并發(fā)用戶數(shù)較多情況下的使用速度。網(wǎng)絡(luò)傳輸?shù)牟皇钦嬲臉I(yè)務(wù)數(shù)據(jù)，而是經(jīng)壓縮和加密后的屏幕變化數(shù)據(jù)，提供了對(duì)遠(yuǎn)程訪問的實(shí)時(shí)監(jiān)控和審計(jì)。部署特簡(jiǎn)單，不需要修改現(xiàn)有的應(yīng)用程序，不需要改變?cè)械木W(wǎng)絡(luò)結(jié)構(gòu)，不需要在原

16、有的應(yīng)用系統(tǒng)中加裝任何軟件或插件。按需最靈活，能夠滿足企業(yè)的個(gè)性化接入需求，很容易地進(jìn)行擴(kuò)展和升級(jí)。成本更節(jié)省，集中布署、管理和維護(hù)，客戶端免維護(hù)，大大降低it投資的總體擁有成本(tco)。e地通通過vpn模式，服務(wù)器和分支權(quán)限對(duì)等，可以實(shí)現(xiàn)互通，在服務(wù)器添加網(wǎng)絡(luò)打印機(jī)，直接輸入客戶端內(nèi)網(wǎng)共享打印機(jī)地址,打印時(shí)直接選擇打印機(jī)即可,這樣既方便了實(shí)施安裝，又徹底解決了打印。3、優(yōu)秀的防火墻功能保障數(shù)據(jù)接入安全，節(jié)省客戶投資l l提供基于ip、mac、port的用戶組管理，對(duì)不同的用戶組進(jìn)行策略控制；l l優(yōu)秀的狀態(tài)檢測(cè)引擎，可以為每個(gè)防火墻訪問控制策略進(jìn)行狀態(tài)檢測(cè)；l l可提供關(guān)鍵字、url地址過

17、濾，抵抗惡意腳本的攻擊；l l支持ip與mac地址綁定，支持和ie無縫整合的用戶訪問認(rèn)證；l l支持虛擬主機(jī)、端口映射功能，支持dmz區(qū)安全訪問服務(wù)；l l有效抵抗dos、ddos、掃描、嗅探、同步等多種攻擊，可自定義tcp/udp/icmp的flood攻擊檢測(cè)策略；l l基于hash表的快速轉(zhuǎn)發(fā)功能，極大提高了防火墻的吞吐率；l l支持nat網(wǎng)絡(luò)地址轉(zhuǎn)換，支持lan口多網(wǎng)段綁定；l l可提供管理服務(wù)器群的負(fù)載平衡能力。4、智能化路由管理功能節(jié)省客戶投資l l獨(dú)特的“隧道?；钸B接”技術(shù)，能確保惠爾頓e地通加密通道的全時(shí)段連通；l l多線路捆綁技術(shù)、實(shí)現(xiàn)帶寬捆綁和疊加；l l支持三級(jí)流量管理實(shí)現(xiàn)

18、不同服務(wù)的qos保證，并能為每個(gè)訪問控制策略獨(dú)立分配帶寬；支持帶寬的嚴(yán)格鎖定和動(dòng)態(tài)平衡方式； l l采用先進(jìn)的防丟包技術(shù)，支持?jǐn)?shù)據(jù)的本地隊(duì)列，減少數(shù)據(jù)傳輸丟包率；l l支持智能路由器分離功能、分流上網(wǎng)數(shù)據(jù)、擴(kuò)充互聯(lián)線路；l l支持dhcp、pppoe、ntp、napt/pat、nat穿越、dns增強(qiáng)版緩存；l l網(wǎng)絡(luò)地址轉(zhuǎn)換(nat).配合apr-proxy技術(shù)，可以在不改變現(xiàn)有網(wǎng)絡(luò)客戶配制的情況下直接 上網(wǎng)；l l可自由設(shè)定靜態(tài)路由，支持集團(tuán)用戶的多級(jí)復(fù)雜網(wǎng)絡(luò)。5、先進(jìn)的帶寬疊加和負(fù)載均衡功能更穩(wěn)定、速度更快l最大可同時(shí)支持五路adsl撥號(hào)連接，具有自動(dòng)帶寬疊加和線路備份，也可以選擇不同的用

19、戶使用不同的adsl接口上網(wǎng)，可以為需要高流量帶寬的用戶提供穩(wěn)定，廉價(jià)的解決辦法；l可以為關(guān)鍵業(yè)務(wù)多且對(duì)通信線路保密和可用性要求高的行業(yè)大客戶（如政府、電信、金融等客戶）和已有專線的用戶提供線路備份；l流量帶寬控制及優(yōu)先級(jí)設(shè)置：可以為用戶組設(shè)置三個(gè)級(jí)別的上網(wǎng)優(yōu)先級(jí)，并按需求管理流量，同時(shí)為每路接口提供擁塞管理。六、e地通方案的內(nèi)網(wǎng)安全功能保障內(nèi)網(wǎng)安全1、首先將核心數(shù)據(jù)區(qū)與內(nèi)網(wǎng)中其他用戶隔離。通過e地通中的vlan功能將核心數(shù)據(jù)從內(nèi)網(wǎng)中隔離出來，這樣一旦內(nèi)網(wǎng)中其他機(jī)器有安全事故，不會(huì)輕易通過內(nèi)網(wǎng)傳播到核心數(shù)據(jù)區(qū)。2、需要去訪問核心數(shù)據(jù)區(qū)的非核心區(qū)的應(yīng)用客戶端用戶（以下簡(jiǎn)稱應(yīng)用用戶）又如何訪問到已

20、經(jīng)被隔離了的核心數(shù)據(jù)區(qū)呢？在應(yīng)用用戶的機(jī)器上運(yùn)行e地通客戶端，由它監(jiān)控這些用戶對(duì)核心數(shù)據(jù)區(qū)資源的訪問請(qǐng)求，并將這些請(qǐng)求壓縮、加密，然后轉(zhuǎn)化成socks5代理協(xié)議可以識(shí)別的請(qǐng)求發(fā)送給放置在核心數(shù)據(jù)區(qū)邊界的e地通服務(wù)器（該設(shè)備既有與應(yīng)用用戶同一網(wǎng)段的ip地址，又有與核心數(shù)據(jù)區(qū)在同一網(wǎng)段的ip地址）進(jìn)行處理，e地通服務(wù)器則根據(jù)發(fā)送者的身份執(zhí)行相應(yīng)的身份認(rèn)證和訪問控制策略。在這種方式上，e地通客戶端和e地通服務(wù)器扮演了中間代理的角色，可以在應(yīng)用用戶訪問核心數(shù)據(jù)區(qū)資源之前執(zhí)行相應(yīng)的身份認(rèn)證和訪問控制，只有通過檢查的合法數(shù)據(jù)才允許流進(jìn)核心數(shù)據(jù)區(qū)應(yīng)用服務(wù)器，從而既實(shí)現(xiàn)了兩者之間的訪問，又有力地保護(hù)了核心數(shù)據(jù)

21、區(qū)的安全。下面做詳細(xì)闡述：如何實(shí)現(xiàn)兩個(gè)被隔離了的區(qū)域之間的訪問，即應(yīng)用用戶對(duì)核心區(qū)的訪問？通過代理機(jī)制：代理服務(wù)器的工作原理就是接受用戶的請(qǐng)求并把請(qǐng)求轉(zhuǎn)發(fā)給用戶原本要訪問的目的主機(jī)，反過來，目的主機(jī)的應(yīng)答通過代理服務(wù)器再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器根據(jù)支持的協(xié)議不同而又有所區(qū)別， e地通采用socks5作為代理協(xié)議，可以支持所有基于應(yīng)用層的通信協(xié)議。基于以上現(xiàn)有的技術(shù)，e地通（如圖五），其中包含有代理客戶端、代理服務(wù)器。圖五 代理模式的應(yīng)用圖解上圖給出了代理模式下e地通客戶端、e地通服務(wù)器協(xié)同工作的流程，這個(gè)流程可以簡(jiǎn)單概括如下：1) e地通客戶端監(jiān)聽用戶對(duì)核心數(shù)據(jù)區(qū)的訪問請(qǐng)求，并將該訪問請(qǐng)求以so

22、cks5協(xié)議的方式封裝并加密起來發(fā)送給e地通服務(wù)器；2) e地通服務(wù)器執(zhí)行相關(guān)的身份認(rèn)證及訪問控制策略，決定是否將該請(qǐng)求轉(zhuǎn)發(fā)到目的應(yīng)用服務(wù)器上。以上步驟簡(jiǎn)要的概括了代理模式下如何完成應(yīng)用用戶對(duì)核心區(qū)的訪問。3、如何規(guī)避二者實(shí)現(xiàn)訪問后的安全隱患？e地通運(yùn)行在會(huì)話層，并且提供了對(duì)應(yīng)用數(shù)據(jù)和應(yīng)用協(xié)議的可見性，使網(wǎng)絡(luò)管理員能夠?qū)τ脩粼L問核心數(shù)據(jù)區(qū)實(shí)施安全策略檢查。e地通分析應(yīng)用信息，執(zhí)行安全策略檢查，并發(fā)揮普通用戶與核心數(shù)據(jù)區(qū)之間傳輸?shù)年P(guān)卡作用。1） 、傳輸通道加密數(shù)據(jù)從裝有e地通客戶端的應(yīng)用用戶處開始加密，到e地通server端解密，整個(gè)傳輸過程中的數(shù)據(jù)是密文，不是明文，這樣就非常好的保證了應(yīng)用用戶

23、到核心數(shù)據(jù)區(qū)的傳輸過程中的安全性，不被惡意的內(nèi)網(wǎng)用戶嗅探到本不是他該訪問的內(nèi)容，并防止他分析到傳輸使用的協(xié)議，截獲傳輸中的所有數(shù)據(jù)。同時(shí)采用了sha1的數(shù)據(jù)完整性認(rèn)證保證傳輸數(shù)據(jù)的完整性。2）、細(xì)粒度訪問控制訪問控制可以保護(hù)應(yīng)用用戶非法操作對(duì)核心區(qū)的安全侵襲，切斷應(yīng)用用戶對(duì)核心數(shù)據(jù)區(qū)指定機(jī)器指定應(yīng)用以外數(shù)據(jù)的非法訪問。評(píng)價(jià)一個(gè)系統(tǒng)是否具有比較高的安全性能指標(biāo)，一個(gè)重要因素就是看該系統(tǒng)提供的訪問控制粒度。作為一個(gè)好的安全系統(tǒng)，細(xì)粒度的訪問控制是至關(guān)重要的。e地通支持基于ip地址、端口和應(yīng)用的訪問控制策略，從而方便網(wǎng)絡(luò)管理員對(duì)應(yīng)用用戶訪問核心區(qū)應(yīng)用資源進(jìn)行更為準(zhǔn)確和細(xì)致的定位。在訪問控制的具體實(shí)現(xiàn)

24、上，訪問控制模塊維護(hù)了一個(gè)全局的訪問控制列表，列表中定義了每一個(gè)用戶的訪問權(quán)限，包括被訪問資源的ip地址、端口號(hào)及可以被rdp執(zhí)行的應(yīng)用程序?？梢杂靡豢觅Y源樹型圖簡(jiǎn)單的表示其結(jié)構(gòu)：圖六 用戶權(quán)限樹型圖每一項(xiàng)網(wǎng)絡(luò)資源都擁有若干種訪問權(quán)限屬性，上圖簡(jiǎn)單列出了最基本的訪問權(quán)限屬性，包括ip地址、端口、用戶身份、應(yīng)用程序路徑等屬性信息。當(dāng)遠(yuǎn)程用戶發(fā)出應(yīng)用資源訪問請(qǐng)求時(shí)，訪問控制模塊可以根據(jù)該請(qǐng)求所包含的如下信息：ip地址、端口號(hào)、用戶身份、應(yīng)用協(xié)議（協(xié)議分析模塊分析而得）判定用戶的請(qǐng)求是否合法，從而決定是否允許用戶進(jìn)行遠(yuǎn)程訪問網(wǎng)絡(luò)資源?；谏厦娴挠脩魴?quán)限樹，訪問控制模塊對(duì)每一個(gè)用戶遠(yuǎn)程訪問網(wǎng)絡(luò)資源的請(qǐng)

25、求作如下過程的解析： 圖七根據(jù)以往經(jīng)驗(yàn)，為了充分保證該功能的充分實(shí)現(xiàn)，最好不要在核心數(shù)據(jù)區(qū)開放過大過粗的訪問權(quán)限（如大到整個(gè)核心區(qū)網(wǎng)段的機(jī)器；粗到所有的端口，尤其是文件拷貝和粘貼的功能。）3）、身份認(rèn)證身份認(rèn)證模塊可以有效地鑒別來訪應(yīng)用用戶的身份信息，以及確定其是否具有訪問核心區(qū)受控資源的權(quán)限。傳統(tǒng)的身份認(rèn)證機(jī)制往往采用的是簡(jiǎn)單的用戶名和密碼的形式，在進(jìn)行身份信息確認(rèn)的過程中，通常也是采用明文方式來發(fā)送身份信息，比如不支持https的web郵件系統(tǒng)就是一個(gè)典型的例子。這種通過明文方式來進(jìn)行身份信息認(rèn)證的過程是非常危險(xiǎn)的，攻擊者可以很輕松的利用一些常用的嗅探工具（如sniffer pro）就可以

26、得到用戶的身份信息。e地通安全系統(tǒng)在身份認(rèn)證上提供了簡(jiǎn)單安全可靠的雙因素認(rèn)證方式，既支持傳統(tǒng)的用戶名/密碼認(rèn)證方式，也支持更為安全的硬件key認(rèn)證方式，不同的認(rèn)證方式適合安全需求不同的客戶。對(duì)于上述的用戶名/密碼及硬件key認(rèn)證，它們認(rèn)證的過程是統(tǒng)一的，唯一的區(qū)別在于硬件key是提供用戶身份信息的唯一途徑，只有擁有該硬件key的用戶才能合法登錄e地通服務(wù)器并訪問核心區(qū)受控的資源。此外，在唯一表示用戶身份信息的同時(shí)，e地通服務(wù)器還可以鑒別硬件設(shè)備的唯一性。換句話說，在進(jìn)行授權(quán)的同時(shí)既授權(quán)用戶的身份信息，同時(shí)也授權(quán)了用戶所使用的機(jī)器硬件信息，這種授權(quán)方式特別適防止辦公人員在認(rèn)證了的辦公機(jī)器以外的終

27、端上登錄并獲取核心區(qū)的安全保密信息，從而防止機(jī)密信息的外泄。如何規(guī)避黑客和病毒從應(yīng)用用戶的機(jī)器上傳播到核心數(shù)據(jù)區(qū)？首先，二者是在不同的網(wǎng)段，且相互之間在路由上終止了通訊的功能，所以黑客和病毒想通過這種辦法來穿透不可行；其次有訪問權(quán)限的也只是到e地通server，根本無法直接訪問到核心數(shù)據(jù)區(qū)的應(yīng)用資源，從e地通server到核心數(shù)據(jù)區(qū)的訪問也是細(xì)到了每個(gè)應(yīng)用，除非開放了的這些應(yīng)用本身有安全漏洞，否則沒有機(jī)會(huì)來導(dǎo)致安全侵襲。4、降低核心數(shù)據(jù)區(qū)工作人員導(dǎo)致的安全事故。通過e地通安全增強(qiáng)工具讓管理員設(shè)置操作系統(tǒng)其他帳戶的分級(jí)使用權(quán)限，例如，可以定義某一個(gè)用戶帳號(hào)不能對(duì)系統(tǒng)盤或者所有硬盤進(jìn)行任何存取刪除

28、操作。也可以定義一部分人員不能使用或者管理某些特定的應(yīng)用程序。即對(duì)于核心區(qū)操作人員的權(quán)限也盡量做到準(zhǔn)確和細(xì)致，避免過大權(quán)限導(dǎo)致的道德風(fēng)險(xiǎn)和其他因素導(dǎo)致的安全事故。七、售后服務(wù)1、服務(wù)目標(biāo)服務(wù)對(duì)象是vpn系統(tǒng)。當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時(shí)，我方工程師最短時(shí)間趕到現(xiàn)場(chǎng)或通過通訊方式協(xié)助解決，保障vpn系統(tǒng)正常穩(wěn)定的運(yùn)行。2、服務(wù)簡(jiǎn)介應(yīng)急響應(yīng)與應(yīng)急計(jì)劃以及支持和運(yùn)作緊密相連。應(yīng)急響應(yīng)能力可以被視為應(yīng)急計(jì)劃的組件，因?yàn)樗峁┝藢?duì)正常處理過程中斷提供快速有效響應(yīng)的能力。廣義地講，應(yīng)急計(jì)劃涉及到所有可能會(huì)中斷系統(tǒng)運(yùn)作的事件。事件處理可以被考慮為應(yīng)急計(jì)劃中響應(yīng)惡意技術(shù)威脅的部分。在客戶運(yùn)行維護(hù)系統(tǒng)過程中，作為客戶方的技

29、術(shù)人員由于時(shí)間和精力的問題，常常對(duì)于這些緊急事件缺乏有效的處理，這樣往往會(huì)對(duì)系統(tǒng)正常運(yùn)轉(zhuǎn)造成重大影響。如果用戶選擇了的應(yīng)急響應(yīng)服務(wù)，那么在服務(wù)期間，一旦客戶系統(tǒng)發(fā)生緊急事件，我方就將派出專業(yè)工程師，到現(xiàn)場(chǎng)或通過遠(yuǎn)程方式速快速響應(yīng)，解決問題，并根據(jù)出現(xiàn)的問題及時(shí)調(diào)整系統(tǒng)設(shè)置，幫助用戶在以后的維護(hù)中正確解決問題。3、緊急情況的分類和響應(yīng)時(shí)間故障級(jí)別定義惠爾頓公司故障響應(yīng)時(shí)間和故障上報(bào)時(shí)間（深圳地區(qū)）一級(jí)故障主要指產(chǎn)品在運(yùn)行中出現(xiàn)系統(tǒng)癱瘓或服務(wù)中斷，導(dǎo)致產(chǎn)品的基本功能不能實(shí)現(xiàn)或全面退化的故障。10分鐘內(nèi)通過netmeeting遠(yuǎn)程呼入分析問題并解決問題，如需現(xiàn)場(chǎng)解決1小時(shí)內(nèi)響應(yīng)。二級(jí)故障主要指產(chǎn)品在運(yùn)行中出現(xiàn)的故障具有潛在的系統(tǒng)癱瘓或服務(wù)中斷的危險(xiǎn)，并可能產(chǎn)品的基本功能不能實(shí)現(xiàn)