罗小姐

第一章 需求分析
1.1业务背景
   xxxx股份有限公司是一家电力生产、经营和投资，电力生产技术咨询，水电工程检修维护的一流电力公司，目前公司业务流程已经采用电子信息化办公，公司局域网已经采用了相关的行业应用软件并且已经部署了防火墙等安全设备，但是目前公司需要开放移动办公业务，同时还需要兼顾到移动办公的安全性，在兼顾成本回报率的前提下，优先考虑采用vpn安全远程连接的方式实现移动办公。
1.2需求分析
    作为远程安全连接方式的移动办公，vpn技术是首选的经济方案，一方面可以节约企业成本，另一方面也可以提高应用的安全性，目前业界流行的两大vpn技术包含ips-ec vpn以及ssl-vpn，这两中vpn即使在应用上各有千秋，具体体现在：
ipsecvpn和sslvpn是两种不同的vpn架构，ipsecvpn是工作在网络层的，提供所有在网络层上的数据保护和透明的安全通信，而ssl vpn是工作在应用层(基于http协议)和tcp层之间的，从整体的安全等级来看，两者都能够提供安全的远程接入。但是，ipsec vpn技术是被设计用于连接和保护在信任网络中的数据流，因此更适合为不同的网络提供通信安全保障，而ssl vpn因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。
(1)客户端支撑维护简单
   对于大多数执行基于ssl协议的远程访问是不需要在远程客户端设备上安装软件，只需通过标准的web浏览器连接因特网，即可以通过网页访问到企业内部的网络资源。而ipsecvpn需要在远程终端用户一方安装特定软件以建立安全隧道。
(2)提供增强的远程安全接入功能
   ipsecvpn通过在两站点间创建安全隧道提供直接(非代理方式)接入，实现对整个网络的透明访问;一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，这会带来很多安全风险，尤其是在接入用户权限过大的情况下。sslvpn提供安全、可代理连接。通常sslvpn的实现方式是在企业的防火墙后面放置一个ssl代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个url后，连接将被ssl代理服务器取得，并验证该用户的身份，然后ssl代理服务器将连接映射到不同的应用服务器上。
(3)提供更细粒度的访问控制
    sslvpn能对加密隧道进行细分，使终端用户能够同时接入internet和访问内部企业网资源。另外，sslvpn还能细化接入控制功能，提供用户级别的鉴权，依据安全策略确保只有授权的用户才能够访问特定的内部网络资源，这种精确的接入控制功能对远程接入ipsecvpn来说几乎是不可能实现的。
(4)能够穿越nat和防火墙设备
    sslvpn工作在传输层之上，因而能够遍历所有nat设备和防火墙设备，这使得用户能够从任何地方远程接入到公司的内部网络。而ipsecvpn工作在网络层上，它很难实现防火墙和nat设备的遍历，并且无力解决ip地址冲突。
(5)能够较好地抵御外部系统和病毒攻击
    ssl是一个安全协议，数据是全程加密传输的。另外，由于ssl网关隔离了内网服务器和客户端，只留下一个web浏览接口，客户端的大多数木马病毒感染不到内网服务器。而传统的ipsecvpn由于实现的是ip级别的访问，一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，内部网络所连接的应用系统都是可以侦测得到，这就为黑客攻击提供了机会，并且使得局域网能够传播的病毒，通过vpn一样能够传播。
(6)网络部署灵活方便
   ipsecvpn在部署时一般放置在网络网关处，因而需要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构。而sslvpn却有所不同，它一般部署在内网中防火墙之后，可以随时根据需要，添加需要vpn保护的服务器，因此无需影响原有网络结构。
有鉴如此，本方案中优先推荐使用ssl-vpn的连接方式来支持远程移动办公。

 第二章：方案设计
  有鉴于前述需求分析，我们决定采用sonicwall ssl-vpn2000来设计本方案以满足xxxx股份有限公司的远程移动办公需求，设计方案示例图如下：