电信运营商SSL VPN解决方案

cpu120

一、        需求分析
1.1        应用环境
中国电信集团公司成立于2002年，是我国特大型国有通信企业，连续多年入选“世界500强企业”，主要经营固定电话、移动通信、互联网接入及应用等综合信息服务。截至2008年底，拥有固定电话用户2.14亿户，移动电话用户3544万户，宽带用户4718万户，集团公司总资产6322亿元，全年业务收入超过2200亿元，人员67万人。公司自2004年以来连续四年被国务院国资委评为A级绩优企业，被《财富》、《亚洲财经》、《欧洲货币》、《资本杂志》等评为“全球最受赞赏公司”、“亚洲最佳固网电信公司”、“中国杰出电讯企业”，获中国区最佳管理最佳企业治理、最佳股息承诺、最佳投资者关系、最令人信服企业策略等奖项。
中国电信集团公司在全国 31个省（区、市）和美洲、欧洲、香港、澳门等地设有分支机构，拥有覆盖全国城乡、通达世界各地的、“我的e家”、“天翼”、“号码百事通”、“互联星空”等知名品牌，具备电信全业务、多产品融合的服务能力和渠道体系。公司下属“中国电信股份有限公司”和“中国通信服务两大控股上市公司，形成了主业和辅业双股份的运营架构，中国电信股份有限公司于 2002年在香港纽约上市、中国通信服务股份有限公司于 2006年在香港上市。
电信运营商的办公自动化应用也已迅速发展，现网络移动用户具有相当大的规模。电信运营商的内部网有OA、CRM等IT系统服务器，完成公司内部各项业务，移动用户以及分公司用户需要连入总公司的内部网，使用OA、CRM及内部重要应用服务器。

目前网络拓扑图


1.2        现状及需求分析
电信运营商服务器核心区域中部署CRM、OA及重要应用服务器资源，代理商、渠道用户需要借助Internet安全访问电信运营商内部CRM、OA及重要应用服务器资源，需通过VPN隧道对数据进行加密，以实现应用的安全访问。VPN系统接入需要充分考虑用户接入的便捷性以及密码的安全性……
基于互联网实现专用网络安全连接，一般有IPSec VPN 和SSL VPN两种解决方案。由于IPSec VPN会带来管理难题以及高昂的支持与配置费用，并且已成为蠕虫扩散的首要传播渠道，所以SSL VPN技术逐渐成为市场主流，成为电信运营商的首选产品。


二、设计原则
2.1 安全性原则
移动用户、代理商通过Internet方式实现移动办公，安全性是首要考虑的问题。安全性涉及三方面：传输安全、接入安全、访问安全。
传输安全：数据在传输时必须进行加密，不能采用明文传输。SURE SSL VPN采用SSL协议加密，保障数据传输过程的安全性，即使数据在传输时被截获，也只能是一堆无用的乱码。
接入安全：远程接入用户接入的安全性。SURE SSL VPN可对接入用户进行安全检查，检查内容包括病毒、注册表、补丁等，另外SURE SSL VPN可与PKI体系的CA数字证书结合，安全介质采用USBKey，对使用SSL VPN接入的用户实现了高强度的安全身份认证。
访问安全：远程使用人员在VPN接入后，不能对内网资源肆意访问，必须对其访问行为进行有效约束。SURE SSL VPN通过细粒度的访问控制，对不同部门、岗位的使用人员设置不同的权限，实现访问安全。例如只有特定人员才能访问财务系统。
2.2 方便性原则
使用人员计算机水平各异，VPN系统的设计需实现无障碍应用，在不改变使用者使用习惯的同时，尽可能的符合使用者的初始习惯。SURE SSL VPN通过IE浏览器建立VPN通道，无须安装VPN客户端。另外，对于C/S系统，客户端在建通VPN隧道后，直接调用本地C/S客户端程序即可实现应用访问，为使用者提供极大便利。
对于网络管理人员而言，VPN管理配置应尽量简洁、清晰、严谨，过于复杂的配置页面使网络管理人员难于配置管理。SURE SSL VPN通过HTTPS方式管理，兼顾安全的同时，实现管理的人性化操作。
2.3 经济性原则
从经济方面考虑，SURE SSL VPN方式的接入只需要对设备进行一次性的投资，不需要支出每月的运营费用，长期看来大幅度节省支出。
SURE致力于为每一个客户提供个性化的、恰当的、经济的解决方案以帮助客户尽可能的节约投资。
2.4 易维护原则
使用人员的增多一定程度上增加了管理人员的负荷，VPN系统的日程维护量明显增大。如何保障日常管理的有效性，减少管理人员的工作量成为需要考虑的内容。
SURE SSL VPN采用Web反向代理技术，远程客户端部署无需考虑IP地址池、网络配置等因素，避免复杂的网络规划，真正意义上实现管理员日常零维护。
2.5 动态密码安全性原则
传统SSL VPN用户认证通过用户名+固定密码的方式，密码的安全性很难得到有效的保障，一旦密码被窃取，将会给企业造成严重的损失。SURE SSL VPN采用账号+动态密码的解决方法，利用短信平台、邮件系统发送动态密码。短信平台可以直接同电信短信服务系统挂接，邮件系统可以直接采用电信内邮件服务器。     动态密码具有有效期限，如果在一段时间（如10分钟）之内不进行认证，则动态密码自动过期，需要重新获取动态密码后方可进行认证。


三、解决方案
根据电信运营商的需求，通过对方案实施经济性、安全性、易用性的考虑及SURE SSL VPN功能特点，特提供以下解决方案供参考。
3.1 解决方案
方案拓扑图：

拓扑分析：
1.        SURE SSL VPN通过单臂方式接入到核心交换机上，部署方便，不需要更改内部网络架构即可实现应用，双机热备方式部署保障业务的不间断性。
2.        用户认证方式通过动态密码的方式，有效的保障了用户认证的安全性。动态密码发送方式可以为短信或者邮箱。
3.        移动用户、代理商无论身处何地，均可以借助Internet与中心的SURE SSL VPN建立SSL VPN隧道，安全访问内部服务器资源。
4.        SURE SSL VPN可以轻松实现对VPN移动用户访问权限的控制，从而保护内网服务器的安全。
5.        移动用户部署简单，使用便捷，只需通过浏览器便可以实现轻松的访问。
3.2 SURE SSL VPN产品优势
山东确信信息产业股份有限公司经过多年的研究，自主研发了云翔系列SSL VPN系列产品（简称SURE SSL VPN），产品定位于中高端市场，为企业、运营商、政府等行业用户提供安全、合理的解决方案。SURE SSL VPN为网络应用提供高强度身份认证服务、高强度数据加密服务及细粒度访问控制服务，支持基于HTTP、HTTPS的B/S 应用及通用的C/S 应用，为用户远程访问内部应用系统提供了安全保证。
SURE SSL VPN产品优势


角色配置：支持默认角色，简化帐号归属角色的配置步骤； 授权策略：基于角色授权，可将不同用户分配给不同角色，实现对不同用户访问权限的控制； 动态授权管理：可根据用户登录时间、地点、认证方式自动调整访问策略；


第三方认证：支持延用现有认证系统，包括LDAP、AD、Radius、TACACS+等； CA证书支持：支持PKI体系的第三方证书，支持OCSP、CRL、LDAP 发布服务，实现对证书有效性的校验； 认证控制：支持第三方认证服务器，提高认证效率。当某种认证服务器失效时，可自动切换至其它认证方式，提高认证可靠性；

零客户端：客户端可通过标准浏览器实现对SSL VPN的访问，而不需要安装客户端软件； 虚拟DNS：无需额外的DNS服务器，用户即可通过自定义域名实现对内网服务器的访问，便于记忆，提高友好性； 单点登录：支持基于Web应用的单点登录功能，支持NTLM、FORM、BASIC 等多种口令提交方式，支持一对多点的主从帐号对应；

Web 防火墙：支持过滤JAVA 小程序、ACTIVEX 控件、SQL注入、跨站脚本、非法URL； 智能密码钥匙监控：具有实时监测智能密码钥匙状态功能，当电子钥匙拔出时立即断开安全隧道； 攻击防御：具有针对IP和用户并发连接控制的功能，管理员可设定IP 黑名单，中断可疑访问连接。
3.3 SURE SSL VPN解决方案价值
SURE SSL VPN解决了运营商内部人员移动办公，代理商、渠道用户网上缴费、业务办理的需求，为运营商构建起专业、专用的系统应用平台。
价值体现：
        初期投资少、灵活性高，能让运营商的营业厅、代办点在短时间内发展到城市的每一个地方，提升服务质量；
        对运营商的应用透明，代理商、渠道用户能办理内部应用系统中用户权限范围内的所有业务，如同内网中应用效果；
        内部人员通过SSL VPN实现移动办公，进一步降低运营成本；
        权限严格控制，针对不同用户限制不同的权限，避免越权访问；


四、技术支持服务
山东确信公司的技术服务部门将提供优质服务以保证整个系统运行的稳定、高效和安全。
4.1 技术支持与服务
4.1.1 安装服务
山东确信公司负责网络安全设备的安装调试、调优工作。建立合理的项目建设机制，保证工程的安装服务质量。
安装完毕后提供完整的技术文档，内容包括：系统的信息记录、操作维护、调试的方法以及常见故障处理等等。
4.1.2 配件服务
提供配件服务，使故障设备得到维护。对一些维修周期长的设备，提供相似性能的设备，保证运行系统稳定。
4.1.3 保修维护服务
对在保修期内的软硬件产品设备提供保修服务（火灾、地震等人力不可抗拒的因素造成的设备损坏除外）：
提供7*24维修服务，提供7*24小时响应的联系电话及联系人，提供远程访问维护功能，随时受理电话咨询，一旦有故障能随时联系到人。系统发生故障通过远程拔号接入或者24小时派工程师到现场维护。
4.1.4 后期维护服务
系统错误有可能在长时间的运行之后才能暴露出来，才能更容易的对问题进行孤立和查找。当系统投入使用后，测试工作要不断进行，只有这样才能发现新错误，以便及时解决。因此定期派系统工程师上门或者远程拔号接入对整个系统的资源进行测试、维护和优化（包括对系统软硬件设备的清理、网络性能的维护、优化、性能调试等等维护服务，以使系统能够长久、可靠安全的运行。在维护服务保修期内，免费提供一些优惠服务措施，包括提供软件差补通知，安装最新的补丁程序等等，对于提供的应用软件包，如有新版本推出，应建议用户使用，并为用户提供升级安装服务），实施跟踪服务。
4.1.5 标准支持服务
从系统开始正式运行，山东确信公司将提供标准支持服务。
标准支持服务内容如下：
        系统启动服务
        每年有限次现场服务
        远程诊断服务
        电话咨询服务
        （面对面或书面的）产品咨询服务
        当年增强版本更换
        产品信息服务
        电子邮件及在线服务
4.2 用户培训
山东确信公司将负责对用户进行网络安全系统的技术培训。通过对本网络各种设备的性能、结构、原理、维护管理技术和实际操作的讲解，能使用户掌握设备配置、日常维护的方法和技巧，使用户独立进行操作、纠错处理和设备测试，以保证网络开通后的正常安全运行。系统管理和技术人员的培训由山东确信公司负责组织，根据人员的知识结构情况制定具体的培训计划。
对系统管理员进行培训，使其熟悉系统的使用和维护，以利于以后的系统管理工作。我们提供的培训服务分现场培训和专业培训，先进行专业培训，提供系统的理论知识、再进行现场培训，以利于系统的掌握和今后系统的开发升级。
4.2.1 安装培训
安装培训在安装的过程中进行，最后安装调试完毕后，做总结培训。
安装培训目的是让经过专业培训的人员学以致用，理论结合实际，尽快掌握实际使用中产品设备的特性，以利于系统的使用和维护。
具体内容：
a.对产品设备的安装、使用、维护、常见故障处理以及产品设备的特性，通过实际安装中的培训，增强系统管理的实际操作水平。
b.安装完毕后，各个管理人员对操作流程进行实际演练，以确保安装过程中的知识学以致用。
c.在系统软硬件安装完成后，山东确信公司将派项目开发人员对贵单位技术人员和操作人员进行现场实际操作培训。
4.2.2 专业培训
对相关技术人员，我们提供现场培训和专业培训，先进行专业培训，提供系统的理论知识、再进行现场培训，以利于系统的掌握和今后系统的开发升级。

五、山东确信公司介绍
山东确信信息产业股份有限公司成立于2003年3月，总部位于济南市高新技术开发区，是一家专门从事PKI网络安全设备和网络安全应用中间产品研发、生产、销售和提供信息安全服务的高新科技企业。公司是政府认定的高新技术企业和双软企业，同时也是济南市高新技术开发区重点扶持和推荐的新三板上市企业，并且具有国家密码管理局颁发的商用密码产品生产许可和商用密码产品销售许可。
公司致力于为政府机构、行业用户和广大企事业单位提供新一代的VPN安全产品和信息系统安全集成解决方案，用户包括电信、电子、银行、石油石化、烟草等领域的知名企业和机构。多年来，公司通过大量的重点网络安全项目建设，积累了丰富的涉密信息系统集成经验及众多典型案例，在系统集成、软件研发以及网络工程的规划、设计、开发和建设方面具有很强的创新能力，并建立了完善的售后服务体系。
公司近年来业务发展迅速，陆续成立了济南确信软件技术有限公司、临沂确信软件技术有限公司和青岛办事处。公司还获得了国家科技部2项创新基金和省、市2项科技基金支持，共拥有12项软件著作权，以多年运行稳定无故障和及时的优质服务获得用户广泛好评。
公司与众多著名信息安全公司拥有良好的合作关系，业务范围包括网络安全产品的研发和安全审计、咨询、服务，提供虚拟专网设备、防火墙、入侵检测、互联网安全审计系统、漏洞扫描系统、网络防病毒和网络语音网关等产品。我们将一如既往的以一流的技术和完善的服务，持之以恒的为各界用户的计算机网络安全做出贡献。