H企业移动办公SSL项目案例

第1章 项目介绍

H企业为满足内部员工外出等环境下的移动办公需求，需部署VPN提供外网接入内网功能，其中包含的资源有OA内网办公系统、内网共享文件系统等。深信服SSL VPN帮助用户实现端到端的安全防护，优化端到端的业务访问体验，为客户打造一个更安全、体验更好的统一业务安全接入平台。深信服统一业务安全接入平台，帮助用户在任何时间、任何地点、使用任何终端都能安全、快速地接入业务系统。它以SSL/IPSec二合一VPN网关作为基础，又融合了EasyConnect（应用虚拟化）、EasyApp（App安全加固）、EMM（企业移动管理）、L3VPN等多种移动终端的安全接入方式，通过构建一套平台，就可以统一地管理移动用户接入的身份认证、访问权限、移动设备，提升移动接入的安全性，简化安全策略的部署，同时还提供优化的传输速度，让用户获得最佳的移动访问体验，帮助企业节省大量的IT建设开支。

第2章 需求调研

2.1 SSLVPN产品介绍

VPN（Virtual Private Network）是虚拟专用网的简称，虚拟专用网指的是在公用网络中建立专用的数据通信网络的技术，实现低成本、高安全地解决数据传输及应用发布平台。VPN 架构中采用了多种安全机制，如身份认证技术（Authentication）、加解密技术（Encryption）、密钥管理技术、隧道技术（Tunneling）等。通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。

端点接入VPN包含多个技术，如IPSec、PPTP、L2TP、OpenVPN、SSL VPN等，经过多年的发展，已完全成熟。

不同的VPN技术有各自的特点。IPSec采用专用的传输协议承载，主要用来进行用于网络到网络的网络互联，经过Xauth协议扩展、IKEv2增强之后，支持端点接入；PPTP是PPP协议的扩展，是一种点对点的VPN接入协议；L2TP实在PPP基础上的一种进一步优化，较多用于运营商的VPDN业务，对运营商核心网支持良好，可通过与IPSec结合支持加密；OpenVPN是一种开源的VPN技术，主要场景是设备的远程VPN接入，主要用于个人VPN接入场景。

SSL VPN是VPN的主流技术之一，即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。

SSL协议是基于WEB应用的安全协议，它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。

相对于IPSec VPN等其他传统的VPN技术而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，非常适用于远程移动办公、无专门管理人员的分支接入等场景。而从OSI七层模型来看，SSL VPN是基于第七层应用层的VPN技术，相对于传统的IPSec VPN（三层网络层）、L2TP（二层数据链路层）、PPTP（二层数据链路层）等VPN连接方式，SSL VPN在对应用权限的划分上可做得更为细致，数据传递机制也不是简单的封装转发，从整体业务发布安全性的角度上来说安全系数更高。同时，基于SSL VPN部署的灵活性、使用的灵活性等特质，从安全防护方面，SSL VPN可引申出网络逻辑隔离、服务器隔离保护、应用系统强认证等多种安全解决方案，为用户提供多方面价值。

2.2 实施拓扑

第3章 方案规划

3.1 实施拓扑

本事实施拓扑如下，VPN设备单臂旁挂于核心交换机设备：

3.2 方案步骤规划

3.2.1 信息收集

（1）内网资源收集，包括内网提供外网接入的业务信息，如IP地址、域名以及端口等。

（2）内网网络调整，需满足VPN设备访问各个资源的可达性

（3）外网设备的端口映射等配置

3.2.2 安全设备上架与预配置

（1）设备单臂旁挂于核心交换机设备

（2）配置VPN网络，并在外网设备进行相应的地址端口映射

（3）内网资源配置

（4）接入用户信息认证配置

第4章SSLVPN的配置内容

1.1  网络配置

1.1.1  设备上架接线

配置步骤：

1、将SSLVPN设备上架到机柜，并进行固定。

2、将设备单臂接入设备的网口接线至核心。

笔记本直连设备Manage口，电脑配置***，打开浏览器访问Https://***，默认用户名密码为***

1.1.2 管理口及部署模式配置

配置步骤：

1、登陆设备后，点击如下选项进

2、选择单臂模式，填写LAN口IP(通过接口状态可确认目前接线网口)，包括管理IP，掩码，网关和DNS服务器等。

3、在webconsole界面ping网关来测试设备的网络联通性。

1.1.3 出口设备映射

VPN单臂旁挂于核心，而且配置的是私网地址，需满足外出员工在外网进行接入，则需要在出口设备将VPN的内网地址映射出去，配置DNAT，映射443端口。

1.1 用户及资源配置

SSL VPN设置的核心内容是三部分，分别是『用户管理』、『资源管理』和『角色授权』。三者间的关系是：通过“角色”把“用户组”（或“用户”）和“资源”关联起来，“用户组”内的“用户”获得相应“资源”的访问权限。

1.2.1 用户管理

『SSL VPN设置』→『用户管理』。

点击新建，在下拉框中选择用户，弹出『新建用户』的操作界面。

界面如下图所示：

『名称』即SSL VPN用户登录VPN时所使用的帐号。

『描述』可任意填写用户的相关说明信息。

『密码』和『确认密码』用于设定SSL VPN登录帐号的密码。

『手机号码』用于填写用户的手机号码。

『过期时间』，包括[永不过期和[手动设置两种。

若勾选[永不过期则该用户一直都可以使用；

若勾选[手动设置，则在后面的方框中选择日期，如果到了这个时间，那么该用户将被禁用。

『账号状态』，可选择[启用或[禁用。

若勾选[启用则该账号可以正常使用；

若勾选[禁用，则该账号被禁用，无法使用。

『所属组』可设定该用户属于哪个用户组。

勾选[继承所属组认证选项和策略组]，当前用户自动关联上级用户组认证选项和接入策略组。

勾选[继承所属接入策略组，当前用户继承上级用户组的接入策略。

勾选[继承所属组认证选项，当前用户继承上级用户组的认证策略。

勾选[允许使用微信扫码快捷登录，当前用户可以使用微信扫码快捷登录。

不勾选[继承所属组认证选项和策略组则当前用户可以独立设置认证方式和接入策略。

『认证选项』和『接入策略组』、『关联角色』标签内的设置项和【新建用户组】页面的一样，此处不再赘述。

完成配置后，点击保存，最后在『用户管理』页面点击配置生效，保存配置并生效。

1.2.2 资源管理

『资源管理』的主要作用是用户定义SSL VPN内网的可用资源，包括[WEB应用、[TCP应用、[L3VPN]和[远程应用。

1、『WEB应用』主要用于创建WEB类型的资源。

在【资源管理】页面，点击新建按钮，如下图：

选择[WEB应用]，弹出【编辑WEB应用资源】对话框，设置界面如下：

『名称』和『描述』可随意填写便于理解记忆的文字，在『名称』填写的文字会显示在SSL VPN用户成功登录SSL VPN后出现的“资源列表”中。选择『类型』，包括[HTTP]、[HTTPS]

『地址』填写资源的IP地址或者域名。

2、『TCP应用』主要用于定义各种类型的SSL VPN内网资源，以适应各种各样基于TCP协议的应用程序访问SSL VPN内网资源的需求。

在『资源管理』页面，点击新建按钮，如下图：

选择[TCP应用，弹出【编辑TCP应用资源】对话框，设置界面如下：

『名称』和『描述』可随意填写便于理解记忆的文字，『名称』填写的文字会显示在SSL用户成功登录SSL VPN后出现的“资源列表”中。

『类型』选择所建立『TCP应用』的服务类型，SANGFOR SSL VPN内置了常用应用服务的定义，直接选择则会在编辑地址的页面中自动填写端口范围，如无所需的类型，可选择底部的[other]，然后自定义该服务所使用的『端口范围』。

『地址』填写提供TCP应用的服务器地址，支持『单IP或域名』和『IP段』的形式，如下图所示：

『端口范围』定义该『TCP应用』提供服务所使用的端口，已预定义好的资源类型一般不需修改，如果『类型』选择了『Other』，则填写该服务所使用的端口。

『所属组』后面下拉框可以将该资源划入相应的“资源组”，默认属于“默认资源组”（资源组的具体设置可参考4.2.1“资源组”章节）。

如果不勾选[允许用户可见选项，则登录SSL VPN后，在“TCP应用列表”中不显示该资源的信息，但实际上该资源是可用的。隐藏资源有利于保护内网资源服务器的信息。

[启用单点登录勾上后，即开启该资源单点登录功能（资源单点登录的具体设置可参考3.5.1.5『单点登录配置』章节）。配置页面如下：

『管理员授权』可将该资源指派给其他管理员，使其他管理员对该资源拥有使用和指派的权限。

『主从用户名绑定』可实现主从绑定功能，即限制用户登录SSL VPN后，只能够使用指定的帐号登录该应用资源，使用其他帐号无法登录该应用资源，WEB应用、TCP应用、L3VPN均可实现该功能。TCP应用资源可通过以下两种方式实现，界面如下：

勾选[结合单点登录的用户名绑定认证，使用单点登录方式实现。首先必须对目标资源启用单点登录功能，然后在『用户管理』列表页面，对目标用户帐号绑定需要登录应用系统的帐号和密码。

勾选[通过数据包解析登录的用户名绑定认证]，使用数据包解析方式实现。首先在『数据包格式』后面的下拉框中选择该应用的类型，并根据实际情况填写下方的数据信息。然后在『用户管理』列表页面，对目标用户帐号绑定需要登录应用系统的帐号、密码。

『URL访问控制』用来设置允许用户只能访问特定的URL地址

『允许访问的客户端类型』用来设置允许访问该资源的客户端的类型，没有勾选则访问不到。

『其他属性』中可以设置对该资源[启用关键文件保护和[启用智能递推，如下图所示：

[应用关键文件保护可以通过锁定使用Socket上网的进程所需关键文件，保护用户在访问SSL VPN时，所需的关键文件不被改动。如果用户修改过所保护的进程和关键文件，则将无法访问该资源。勾选[应用关键文件保护后，点击编辑进入关键文件保护配置界面。

点击添加文件，再点击进程关联文件按钮，选中想要保护的某个应用程序（必须是exe格式），在下面的列表中，显示出该文件所处目录和下级目录下的所有DLL文件，显示的信息包括：文件名、MD5值，如下图所示：

添加文件右边的下拉框可以对列表中的文件根据类型进行过滤显示，默认是显示所有，支持对dll、exe、pdb类型过滤。如果需要锁定的文件不在该文件列表中，可以点击添加文件，再点击锁定文件手动添加。添加完成后即可对该进程和列表中勾选上锁定的文件进行锁定，如果用户对该进程或文件修改，则无法访问资源。

删除能够把左边被勾选上的关键文件从列表中删除。

3、『L3VPN』主要用于定义、配置和管理各种基于IP协议的SSL VPN内网资源，以适应各种各样不同协议（TCP/UDP/ICMP）的应用程序访问SSL VPN内网资源和内网服务器。

在『资源管理』页面，点击新建按钮，如下图：

选择[L3VPN]，弹出【编辑L3VPN资源】对话框，设置界面如下：

『名称』和『描述』可随意填写便于理解记忆的文字，『名称』填写的文字会显示在SSL用户成功登录SSL VPN后，出现的“资源列表”中。

『类型』选择该L3VPN资源的协议类型，SANGFOR SSL VPN内置了常用应用服务的定义，直接选择设备会自动识别端口范围和协议，如无所需的类型，可选择『Other』，设置协议，然后自行设定下面的『端口范围』。

若类型选择为[OTHER]，则需要选择『协议』，可选择为TCP、UDP或ICMP，根据定义『L3VPN』所使用的协议进行选择。

『地址』填写提供L3VPN服务的服务器地址，支持“单IP或域名”和“IP段”的形式。点击，弹出【添加/编辑资源地址】对话框，可单个添加，也可批量添加，如下图：

『端口范围』定义该『L3VPN』所使用的端口，已预定义好的资源类型一般不需修改，如果前面『类型』选择了『Other』，则填写该服务所使用的端口。

『应用程序路径』此处填写某些C/S结构服务可能用到的客户端软件的路径。

如果不勾选[允许用户可见选项，则登录SSL VPN后，在“可用资源列表”中不显示该资源的信息，但实际上该资源是可用的。

『所属组』后面下拉框可以将该资源划入相应的“资源组”，默认属于“默认资源组”（资源组的具体设置可参考4.2.1“资源组”章节）。

[启用单点登录勾上后，即开启该资源单点登录功能（资源单点登录的具体设置可参考3.5.1.5『单点登录配置』章节）。配置页面如下：

『管理员授权』可将该资源指派给其他管理员，使其他管理员对该资源拥有使用和指派的权限。

『主从用户名绑定』可实现主从绑定功能，即限制用户登录SSL VPN后，只能够使用指定的帐号登录该应用资源，使用其他帐号无法登录该应用资源，WEB应用、TCP应用、L3VPN均可实现该功能。L3VPN应用资源可通过以下两种方式实现，界面如下：

勾选[结合单点登录的用户名绑定认证，使用单点登录方式实现。首先必须对目标资源启用单点登录功能，然后在『用户管理』列表页面，对目标用户帐号绑定需要登录应用系统的帐号和密码。

勾选[通过数据包解析登录的用户名绑定认证]，使用数据包解析方式实现。首先在『数据包格式』后面的下拉框中选择该应用的类型，并根据实际情况填写下方的数据信息。然后在『用户管理』列表页面，对目标用户帐号绑定需要登录应用系统的帐号、密码。

『URL访问控制』用来设置允许用户只能访问特定的URL地址。

『允许访问的客户端类型』用来设置允许访问该资源的客户端的类型，没有勾选则访问不到。

『L3VPN』的资源列表中有一项名称为“L3VPN全网资源（或服务）”的资源，不可修改和删除，可以像其他L3VPN资源一样被用户关联。相当于设置了『主机地址』是LAN口和DMZ口所在网段，『协议』分别为TCP、UDP、ICMP，『端口范围』是1-65535的三条IP服务。

保存按钮把当前配置进行保存并生效。

3.2.3 角色授权

『角色授权』是“用户/用户组”和“资源”的中介，SANGFOR SSL VPN正是通过『角色授权』把SSL VPN登录用户/用户组和SSL VPN内网资源“关联”起来的。通过角色可以把多个“用户/用户组”、多个资源进行关联，更加有效管理资源和用户组的权限。

WEBUI路径：『SSL VPN设置』→『角色授权』。

操作界面如下图所示：

在右上角的输入框内填上需要搜索的目标角色的部分名字，点击即可筛选出符合条件角色，可以按名称、按描述、按关联的用户（组）来查找角色。

『角色名称』显示角色的名称。

『描述』用来显示角色的描述信息。

『授权给』显示关联了该角色的用户。

点击编辑，用来编辑勾选的角色。

点击删除，用来删除勾选的角色。

点击选择，可以选择当前页或选择所有页。

在角色管理页面，点击新建，可新建角色，如下图：

选择[新建角色，弹出【新建角色】编辑页面，如下图：

『角色名称』该条角色的名称，自定义即可。

『描述』可随意填写便于理解和记忆的描述语言。

『关联用户』选择关联该条角色的用户或者用户组。

点击选择授权用户按钮，下面的列表会列出『用户管理』中所定义好的用户/组（定义用户/组，请参考4.1章节），在列表中勾选相应的用户/组，即可完成“用户/组的关联”，属于该角色的用户，会具有访问该角色关联资源的权限。

界面如下图所示：

『角色准入策略』，选择该条角色的准入策略，点击选择角色准入策略，弹出【编辑角色准入策略列表】编辑页面（需要先在准入策略设置中添加好相应的策略后这里才可以选择，准入策略设置请参考4.7.2章节）勾选相应的策略即可。若没有准入策略，此处可不配置。

在『授权资源列表』设置中，可以设置该角色需要关联的资源。点击编辑授权资源列表按钮，弹出【编辑授权资源列表】页面，选择相应的资源。（资源添加请参考4.2章节） 界面如下图所示：

选择策略，然后点击确定按钮。确定保存。

配置完以后，界面如下：

最后点击保存并立即生效，即完成一条角色配置。

至此，VPN的配置就完成了。

1.3 外网接入测试

测试过程：

外网访问映射出去的IP或者域名，如实验环境中映射的地址为https://***，访问改地址将会自动下载VPN客户端。登陆客户端后即可在公网环境下访问处于公司内网的资源。

第4章 价值呈现

深信服SSL VPN方案支持组织的业务全面接入，如三层VPN、Web应用、移动App接入、互联网应用接入，满足组织不同的远程移动接入需求。

采用SANGFOR SSL VPN对内部应用平台的统一发布，全面的保障了应用的安全性。结合SSL VPN身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制，保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。SSL VPN支撑了整个应用平台安全的延伸到各个分支、各个移动用户，组建灵活的应用发布网络。

整个业务发布平台的整体稳定性都基于SSL VPN的稳定性，SANGFOR SSL VPN从高稳定硬件平台、多线路技术、集群技术等多个方面保证支撑平台的高稳定性，免去了IT管理人员的后顾之忧。

第5章 项目总结

快速访问提升工作效率

在面对高丢包高延时、跨运营商访问、无线访问等恶劣网络环境情况下，结合SANGFOR SSL VPN多重加速技术，可大幅提升用户的访问速度。SSL VPN访问速度的提升，内部应用访问速度的加快，直接提升了用户的工作效率。无须再为网络的磕磕绊绊、移动办公的缓慢速度困扰网络办公的进度，在越短的时间内能处理越多的事情，为组织创造更多的价值。

便捷的用户使用体验，降低管理工作量

SSL VPN的建立仅依托于浏览器中内置的SSL协议，无须在终端主机上安装任何客户端软件，十分适合移动用户的使用。接入方式非常贴合用户登录网银、电子邮箱等日常网络行为，对于用户而言易用性高、上手快。同时结合SANGFOR SSL VPN提供的系统托盘、默认服务页面等多种易用性功能，进一步提高用户的使用体验。

同时，无须安装终端软件、贴合日常使用的访问方式，将大大降低管理员对整套VPN系统的管理和维护工作量，也更易于整套远程办公平台的推广。

楼主分享的分享非常详细，看得出楼主花费大量的心思来对项目进行总结和文档整理，文章中对于产品操作和功能的讲解非常详细，细致入微的阐述了整个操作的过程。
但从整体项目交付来看文档，楼主在整个价值交付中可以还可以进行优化，需求调研阶段更多调研的是客户为什么要做这个项目，在这个项目中客户的关注点主要是什么，重点功能或者交付要求等，并根据获取到的需求罗列出价值点，达成验收标准等。在价值呈现阶段，向客户呈现客户的功能关注或者项目交付要求等是否满足了客户的预期，给客户带来了价值，并且进行验收等。
期待楼主更精彩的对于价值交付项目的分享，文档很精彩

谢谢分享  

步骤很详细感谢分享

写的很详细 学习了

写的很详细希望多多分享

案例详实实用学习了。

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢分享