H企业移动办公SSL项目案例

第1章项目介绍
XX企业为满足内部员工外出等环境下的移动办公需求，需部署VPN提供外网接入内网功能，其中包含的资源有OA内网办公系统、内网共享文件系统等。某公司SSL VPN帮助用户实现端到端的安全防护，优化端到端的业务访问体验，为客户打造一个更安全、体验更好的统一业务安全接入平台。某公司统一业务安全接入平台，帮助用户在任何时间、任何地点、使用任何终端都能安全、快速地接入业务系统。它以SSL/IPSec二合一VPN网关作为基础，又融合了EasyConnect（应用虚拟化）、EasyApp（App安全加固）、EMM（企业移动管理）、L3VPN等多种移动终端的安全接入方式，通过构建一套平台，就可以统一地管理移动用户接入的身份认证、访问权限、移动设备，提升移动接入的安全性，简化安全策略的部署，同时还提供优化的传输速度，让用户获得最佳的移动访问体验，帮助企业节省大量的IT建设开支。

第2章需求调研

2.1 SSLVPN产品介绍

VPN（Virtual Private Network）是虚拟专用网的简称，虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术，实现低成本、高安全地解决数据传输及应用发布平台。VPN 架构中采用了多种安全机制，如身份认证技术（Authentication）、加解密技术（Encryption）、密钥管理技术、隧道技术（Tunneling）等。通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。
端点接入VPN包含多个技术，如IPSec、PPTP、L2TP、OpenVPN、SSL VPN等，经过多年的发展，已完全成熟。
不同的VPN技术有各自的特点。IPSec采用专用的传输协议承载，主要用来进行用于网络到网络的网络互联，经过Xauth协议扩展、IKEv2增强之后，支持端点接入；PPTP是PPP协议的扩展，是一种点对点的VPN接入协议；L2TP实在PPP基础上的一种进一步优化，较多用于运营商的VPDN业务，对运营商核心网支持良好，可通过与IPSec结合支持加密；OpenVPN是一种开源的VPN技术，主要场景是设备的远程VPN接入，主要用于个人VPN接入场景。
SSL VPN是VPN的主流技术之一，即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。
SSL协议是基于WEB应用的安全协议，它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。
相对于IPSec VPN等其他传统的VPN技术而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，非常适用于远程移动办公、无专门管理人员的分支接入等场景。而从OSI七层模型来看，SSL VPN是基于第七层应用层的VPN技术，相对于传统的IPSec VPN（三层网络层）、L2TP（二层数据链路层）、PPTP（二层数据链路层）等VPN连接方式，SSL VPN在对应用权限的划分上可做得更为细致，数据传递机制也不是简单的封装转发，从整体业务发布安全性的角度上来说安全系数更高。同时，基于SSL VPN部署的灵活性、使用的灵活性等特质，从安全防护方面，SSL VPN可引申出网络逻辑隔离、服务器隔离保护、应用系统强认证等多种安全解决方案，为用户提供多方面价值。

2.2多线路选路介绍
当用户在进行SSL VPN接入时，将自动对总部的各条线路进行实时速度探测，并选择最快的线路进行接入。有别于传统SSL VPN解决多线路接入时采用的IP地址库判定方法，某公司 SSL VPN的多线路智能选路技术更为智能和人性化。传统的IP地址库通过判定用户端所采用的IP属于网通还是电信的IP地址段，并固定的限定电信的必须从总部的电信线路接入，联通的必须从联通的接入。但使用多线路的情况往往会遇到多条线路上带宽、占用率不均的现象。若是电信的线路跑得较满，若电信用户从电信接入的速度反而比从网通接入的速度更慢，这样固化的选路方式反而降低了用户的访问速度。某公司 SSL VPN多线路智能选路支持设备与多线路直连、通过前置设备（如防火墙等）直连两种方式下的多线路技术。可为线路设置高、中、低三种优先级设置，当用户登录SSL VPN页面发起连接请求时，SSL VPN设备将会根据线路的优先级及时延进行综合优选，从而实现速度与链路权值负载均衡的效果。
多线路出口时，往往希望能够实现上网数据与VPN数据分别使用不同的线路进行传输，但某条线路宕掉的时候，一方的流量自动切换到另一条线路上，这样即保证了线路流量的分流，又保证了多线路的备份。某公司 SSL VPN支持多线路下的上网数据选路策略，可配置线路优先选择SSL VPN设置优先级较低的线路，从而实现上网流量与VPN流量在分流、智能快速接入、多线路的主备下的部署。

第3章方案规划
3.1实施拓扑
本次实施拓扑如下，VPN设备单臂旁挂于核心交换机设备，出口有两条公网链路，分别为电信和联通。客户需要实现外网用户访问电信出口公网IP或者联通出口公网IP任意一个IP地址均能自动选择最快链        路接入到SSL VPN。



3.2方案步骤规划
3.2.1 信息收集与确认
（1）收集需要对外映射的业务以及相对应的端口。
（2）确认SSLVPN设备和这些向外映射的资源的可达性。
（3）SSL多线路选路功能不支持出口线路是ADSL拨号的环境；用户必须通过HTTP的方式访问SSL设备才能自动选路。通过webaent地址，域名，以及SSL设备的任意公网IP均可。
3.2.2 设备上架
（1）设备单臂旁挂于核心交换机设备。
（2）三层交换机提前配置好接口。

第4章实施步骤
4.1网络配置
        使用默认地址登录VPN控制台后，在系统配置-网络配置-部署模式里将设备配置成单臂模式，配置LAN 口IP地址、子网掩码、 网关、DNS等信息。

因为需要把LAN口地址的80和443端口映射到出口两条公网IP，前置防火墙如果不支持将两个IP地址的相同端口映射给同一目的IP，可以在LAN口配置多个IP地址来实现。

4.2多线路配置

正确配置完基本网络信息后，在系统配置-网络配置-多线路，勾选[启 用SSL VPN多线路]，并且新增两条线路（线路的IP为公网线路的真实IP）。

多线路选路中关于链路优先级的说明：

（1）一般情况下设置同等优先级即可。两条线路选择相同的优先级会直接对比从两条线路下载图片的 耗时，选择耗时小的线路接入SSL VPN。

（2) 如果线路1设置为高，线路2设置为中。那么多线路选路的时候会自动从两条线路下载图片。优先 级高的线路3秒内完成下载，不管优先级中的线路下载比优先级高的线路快还是慢，都选择优先 级高的线路。3秒内未完成下载，则对比两条线路，哪条更快则选择哪条线路。

（3) 高优先级和中优先级之间是3秒，中和低之间是2秒，高和低之间是5秒。

4.3 确认端口

在系统设置-系统配置-控制台配置：

确认HTTPS端口和HTTP端口以正常开启。要使用SSLVPN自动选路功能，必须开启HTTP端口

4.4 出口设备映射

VPN部署在内网，而且配置的是私网地址，需满足外出员工在外网进行接入，则需要在出口设备将VPN的内网地址映射出去，需要将内网地址的80端口和443端口分别映射到出口两条不同的电信地址和联通地址。如果对应的内网HTTP和HTTPS端口有更改，需要修改成对应的SSL端口做映射。

4.5 SSL VPN配置

4.5.1 创建用户

在【SSL VPN设置】-【用户管理】点击新建用户，在基本属性里填写用户名和密码：

4.5.2  新建资源

（1）在【SSL VPN设置】-【资源管理】新建WEB资源/TCP资源/L3VPN资源/远程应用资源，配置对应的协议类型、地址和端口，这里选择新建l3vpn资源：

4.5.3创建角色

在SSL控制台【SSL VPN设置】-【角色授权】-新建角色：

4.5.4 关联用户和资源

（1）用户的作用是做用户认证，确认可以登录设备帐号。

（2）资源是确认可以外网访问的服务器或者是应用。

（3）角色是把用户和资源绑定，确认用户接入之后访问资源的情况。

4.5 外网接入测试

以上步骤完成之后，即可从外网进行测试，浏览器输入访问电信地址和对应的端口或访问联通地址和对应的端口即可实现自动选择最快的链路接入SSL VPN。

第5章价值呈现

某公司SSL VPN方案支持组织的业务全面接入，如三层VPN、Web应用、移动App接入、互联网应用接入，满足组织不同的远程移动接入需求。

采用某公司 SSL VPN对内部应用平台的统一发布，全面的保障了应用的安全性。结合SSL VPN身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制，保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。SSL VPN支撑了整个应用平台安全的延伸到各个分支、各个移动用户，组建灵活的应用发布网络。

整个业务发布平台的整体稳定性都基于SSL VPN的稳定性，某公司 SSL VPN从高稳定硬件平台、多线路技术、集群技术等多个方面保证支撑平台的高稳定性，免去了IT管理人员的后顾之忧。

第6章项目总结

快速访问提升工作效率

在面对高丢包高延时、跨运营商访问、无线访问等恶劣网络环境情况下，结合某公司 SSL VPN多重加速技术，可大幅提升用户的访问速度。SSL VPN访问速度的提升，内部应用访问速度的加快，直接提升了用户的工作效率。无须再为网络的磕磕绊绊、移动办公的缓慢速度困扰网络办公的进度，在越短的时间内能处理越多的事情，为组织创造更多的价值。

便捷的用户使用体验，降低管理工作量

SSL VPN的建立仅依托于浏览器中内置的SSL协议，无须在终端主机上安装任何客户端软件，十分适合移动用户的使用。接入方式非常贴合用户登录网银、电子邮箱等日常网络行为，对于用户而言易用性高、上手快。同时结合某公司 SSL VPN提供的系统托盘、默认服务页面等多种易用性功能，进一步提高用户的使用体验。

同时，无须安装终端软件、贴合日常使用的访问方式，将大大降低管理员对整套VPN系统的管理和维护工作量，也更易于整套远程办公平台的推广。

感谢楼主精彩的分享，从SSLVPN原理说明，到方案规划以及配置步骤都非常详细，还延伸了多线路的配置，对于新人的学习会有很大的帮助:感恩:
在配置SSL VPN多线路的时候，需要注意http端口和https端口要与接入选项中的端口保持一致，另外，楼主此篇分享是针对SSL单臂多线路方案，如果是网关多线路，还需要启用IPSEC多线路

学习了，谢谢

支持支持

感谢分享

好好看 好好学

学习了，感谢分享！

学习了，谢谢

移动办公案例分享，谢谢；

楼主加油哦