广东网通公司ssl vpn技术实现方案

    经过对广东网通需求的了解，他们采用了如下的方案对sslvpn系统进行部署。需求如下：

    sslvpn网关选用sinform5800-s，采用两台做双机热备，为广东网通的vpn应用提供高可用性和可靠性。sslvpn网关m5800-s部署在网通现有的防火墙后方，可得到防火墙的保护，以加强接入安全性。设备的lan口与在线营业系统及网通内部信息系统通过交换机相连。

    远程用户可通过任意方式从internet安全的接入并使用网通内部业务系统。公司员工认证采用usbkey加帐号密码的双因子认证方式。

    采用sinform5800-s，对于需要实现网间互连的分公司、用户（如开发商），还可通过ipsec网关实现整网连入，如下图所示：

    除需要sslvpn的基本功能外，广东网通还须实现下列附加功能：

    采用usbdkey进行身份认证

    sinform5800－s中sslvpn采用ssl协议加密建立安全的专用加密通道，除了使用1024位的非对称密钥加强安全性，还使用dkey(一种usb的身份认证设备)进行双因素身份认证，并使用pin码保护dkey的安全。由网管员预先将移动用户访问权限录入到dkey中，例如让某个员工只能访问crm和文件服务系统等，而营业网点则只能访问在线业务系统。

    权限的分配及管理

    sinform5800－s通过独特的角色管理功能，提供了细致到每个url和不同应用的权限划分。通过给不同用户设置不同角色来分配进行访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问控制为企业网络提供了较强的安全性。通过行为跟踪引擎，管理员还可以查看远程接入用户的所有访问记录。

    多线路叠加功能，提高传输速度

    m5800-s支持4条广域网线路的负载均衡，为远程接入提供更大的带宽。在vpn隧道连接过程中，m5800-s会将接入用户均衡分配到各条线路上，一条线路中断，不会影响sslvpn用户的接入。

    双机热备实现稳定传输

    广东网通公司采用sinform5800－s双机备份热备机制，保证了vpn网络稳定、高效地运行。

    单臂部署不改变原有网络结构

    广东网通公司网络结构规划十分规范和严格，因此在进行sslvpn的部署需要在最大程度上减少对原有网络的影响。由于sinform5800－s只使用443端口传输数据，避免了在防火墙上作过多的设置。用户使用标准的ssl协议和标准的浏览器可以轻易的穿越防火墙，方便的接入到vpn网络，避免了网络兼容性的麻烦，对广东网通公司原有网络几乎未造成任何影响，网络维护量也大大下降，保护了广东网通公司的原有投资。

    sinforvpn实现广东网通公司高效传输

    sinforsslvpn给广东网通公司实现如下价值：

 实现广东网通公司全省各营业网点安全联入公司在线营业系统，实时录入和查询，整合了在线营业业务系统；