XX证券零信任aTrust替换SSL VPN场景实施案例

一、项目概述
1.1 项目背景

SSL VPN设备作为远程办公接入的典型产品，可实现用户不受办公地点的约束，随时随地实现远程接入内网安全接入办公。SSL VPN设备已经迭代了二三十年，技术架构存在老化等问题，随着时代的发展难以满足企业的发展需求。特别是在用户大并发场景和终端安全等场景上，存在技术老化等问题。

SSL VPN对于终端安全检查的基线存在不足，难以满足客户需求。

  深信服推出了零信任aTrust设备用于替换SSL VPN设备，实现用户远程安全接入办公场景，同时新架构在企业大并发场景和终端数据安全等场景上有了更好的体验。
零信任aTrust支持对终端安全的基线检查，支持对终端环境进行周期性的基线检查，更贴切的满足客户需求。

1.2 项目目标
       零信任aTrust分离式部署，有控制中心和代理网关各两台设备，其中控制中心实现用户认证，资源鉴权和策略下发等功能，代理网关实现用户的隧道建立，资源数据转发，执行控制中心下发的策略等。所以根据分离式的产品形态上，我们将SSL VPN的配置文件导入，需要操作的对象是零信任控制中心设备。

1.3 实施目标

    项目前期，与贵单位，就零信任aTrust的整体使用场景，和接入安全，易用性与运维管理等进行深入的沟通了解，同时我司现场对贵单位提出关键业务也做了详细的信息收集。整理出针对此次项目的需求，以及需要达成的相关目标，具体列举如下。

1、替换SSL VPN

经过沟通，贵单位希望原先的SSL VPN上的配置能够平滑的切换到aTrust上，无需管理员经过太多的操作，即可完成用户、资源、角色的迁移。

2、传输安全

经过沟通，贵单位希望业务系统不暴露在互联网直接访问，需要访问的人员需要通过安全认证后才能接入，访问指定的业务系统，且访问过程中全程加密，防止数据被窃取。

3、多终端访问

经过沟通，贵单位主要使用在如下场景：

（1）远程终端使用Windows、Mac电脑接入aTrust设备，访问公司业务系统；

（2）需支持iOS、Android移动终端上的XXAPP，点击APP内的页面，该页面通过aTrust代理访问。

4、认证安全

经过沟通，贵单位对用户的认证安全要求，希望使用：用户名密码认证+短信验证码认证，保障接入终端身份可靠。

二、实施计划

2.1 设备清单

序号	设备名称	设备型号	数量	用途
1	aTrust-SDPC	aTrust-1000-B1050C	2	全新部署，零信任控制中心，主要负责策略下发
2	aTrust-Proxy	aTrust-1000-B1050G	2	全新部署，零信任代理网关，主要负责流量转发

2.2 实施前准备

2.2.1 整体网络拓扑

2.2.2 设备 IP 规划

2.2.3 实施人员安排

······（具体内容查看附件中文档）

三、实施步骤

······

每天坚持打卡学习签到！！