惠爾頓e地通互聯解決方案企事業單位移動辦公解決方案二零壹壹年九月惠爾頓e地通互聯解決方案●聲明Copyright?20011 深圳市惠爾頓信息技術有限公司版權所有。案僅供選擇網絡異地互聯解決方案時使用，不得將本方案作其他用途。本方案針對具體的需求而定制，客戶在未與本公司正式簽署合約之前，本業務方案建議書的知識產權歸深圳市惠爾頓信息技術有限公司所有，不得將本方案內容透露給第三方，且由深圳市惠爾頓信息技術有限公司所開發的任何原始概念、結構、設計、處理方法不得用于商業用途。●文檔說明（憑借長期以來對現實異地互聯方案的專業863eVPNVPNC/S軟件B/S布署更容易，維護量更小，成為業界速度最快、最安全、布局最易的產品！我們為參與到貴公司管理信息系統的建設，并有機會發表專業意見而倍感榮幸！本方案建議書是在我們所了解的需求的背景下得以完成的，但限于時間緊迫，某些非關鍵性問題可能被忽略。對此，我們除表示歉意外，愿意針對大家關心的其它問題再進行補充報告。本方案已列出了能夠滿足當前網絡異地互聯和使用移動終端辦公對速度以及安全的需求，并能夠支持管理系統長期發展對網絡平臺的需要。惠爾頓e地通互聯解決方案目 錄一、前言 4二、項目概述 41、項目目標 42、項目范圍 4三、網絡調研情況分析 41、網絡互聯展望 4四、方案詳細設計 61、網絡拓撲 62、連接說明 63、實現效果 7五、地通方案的優勢 81、Socks5平臺優勢——安全、節省成本 8免安裝的瘦客戶端——相比傳VPN和運營VPN安裝維護成本更低 8先進VPN安全體系——相比傳VPN和運營商VPN更安全 8支持各種接入方式——相比傳VPN和運營VPN線路成本更低 92、支持遠程集中接入——速度更快，節省租用帶寬的成本 93、優秀的防火墻功能——保障數據接入安全，節省客戶投資 94、智能化路由管理功能——節省客戶投資 105、先進的帶寬疊加和負載均衡功能——更穩定、速度更快 10六、地通方案的內網安全功能——保障內網安全 11七、售后服務 141、服務目標 142、服務簡介 143、緊急情況的分類和響應時間 154、服務步驟 155、服務內容 16 惠爾頓e地通互聯解決方案一、前言息平臺，實現遠程用戶安全、高效、方便地應用總部應用系統。惠爾頓公司基于對上述情況的初步了解和調研分析，根據我們了解到的具體需求，制作了本方案書。二、項目概述、項目目標數據在內網的安全。、項目范圍項目范圍涉及惠爾頓e地通異地互聯產品。三、需求調研情況分析探討。網絡互聯展望管理軟件數據庫的內網安全是政府信息化的基礎之一。信息化管理3分軟件、7分管理、12分數據，建設一套符合管理軟件數據庫安全需求的網絡優化平臺是政府信息化道路上重要組成部分。通過e地通實現整個異地用戶對總部系統的訪問，在實現互聯的過程中、以及實現互聯后通過移動終端來實現異地辦公，我們要面對什么課題？首先是互聯計劃的實施難度地址：深圳市南山區科技園 電話（0755）26546529 第4頁 16傳真075526635507 網站惠爾頓e地通互聯解決方案互聯后整個網絡的安全性互聯后整個網絡的穩定性互聯后整個網絡其他應用的可拓展性地址：深圳市南山區科技園 電話（0755）26546529 第5頁 16傳真075526635507 網站氐蛻市覃爾褫信息技術宥愕公司

惠爾頓e地通互聯解決方案四、方案詳細設計1、網絡拓撲公司倉l木軟打弅戶端 公司倉杞軟件客； 分公司軟件客戶端_．_．W6投備、內網川戶 眼務器網絡安全區域（用戶際高）地址：深圳市南山區科技園 電話（0755）26546529 第6頁 16傳真075526635507 網站惠爾頓e地通互聯解決方案2、連接說明總部網絡e我們可以把數據庫服務器和Web服務器通過e地通服務器與內網其他電腦隔離。異地客戶端采用WEB客戶端，綠色客戶端，硬件KEY,等多種認證方式登錄應用系統。連接模式使用移動終端連接總部進銷存軟件進行辦公。a、使用WebServers、點對點長連接，請求級響應應答機制。采用公安部制定的移動通訊端到加密算法的VPN技術。b、無線應用服務器對捆綁的ip及Mac、機器碼進行綁定。c、對通信IP進行驗證、認證及鑒權，沒有符合一致的進行屏蔽。d、對應用服務器加密處理和軟件防范機制，封閉應用服務器多余端口，修改使用通信端口。3、實現效果1)、實現外網用戶訪問數據中心的應用系統異地用戶通過惠爾頓e地通系統客戶端只要以任何方式接入Internet、便可以安全方便的接入應用系統，隨時隨地移動辦公。、實現內網安全管理把應用數據庫服務器隔離出來，杜絕內網用戶對數據服務器的病毒感染。、實現總部公司數據中心與分支機構間的文件、資源共享，和安全規范的共享的文檔管理幫助企事業單位建立一個專用的文件傳輸網絡，實時進行文件的共享、如同在局域網內一樣。系統擴展方便，再增加其他的用戶時，只需在新的下屬分支局域網內計算機上安裝e地通客戶端，正在使用的分公司單位移動用戶不受任何影響。總部文件可以遠程打印、遠程共享，不受文件大小限制。所有的傳輸過程均經過了加密、確保安全。、實現遠程網絡鄰居功能惠爾頓e地通支持Windows“網上鄰居”功能，在原來局域網里可實現的功能全部可在遠程虛擬局域網里實現，讓企事業不再受地域限制，就象在一個辦公室里辦公一樣。、使用終端設備實現異地安全、便捷辦公惠爾頓e地通Socks5VPN助企業輕松使用筆記本、桌面PC、智能手機、PDA等移動終端設備實現安全、便捷的遠程接入內網，在降低運營成本的同時大幅提高企業的辦公效率。地址：深圳市南山區科技園 電話（0755）26546529 第7頁 16傳真075526635507 網站惠爾頓e地通互聯解決方案五、e地通方案的優勢1、Socks5VPN平臺優勢——安全、節省成本惠爾頓e地通Socks5VPN將遠程安全接入延伸到傳統VPN擴展不到的地方，使更多的員工，在更多的地方，使用更多的設備，安全訪問企業網絡資源，同時降低了部署和支持費用。惠爾頓e地通Socks5VPN正在被越來越多的客戶作為遠程接入的首選，下面列舉了其中的一些理由。1）免安裝的瘦客戶端——相比傳統VPN和運營商VPN安裝維護成本更低Socks5VPNVPN，相比SSLVPNActiveX安裝，Socks5VPN有任何影響。惠爾頓e地通Socks5VPN成為一種有客戶端但在客戶端免安裝、零配置的解決方案，可以節省安裝和維護成本，同時VPNSERVER端一旦升級，客戶端自動升級，無須人工干預。傳統的VPN和運營商的VPN需要在遠程終端上安裝特定設備的客戶端程序或客戶端設備，這是一件十分困難的事，而且在某些情況下是不可能的，比如某些合作伙伴。此外，使傳統VPN客戶端保持最新狀態是IT人員的負擔。惠爾頓e地通Socks5VPN可以在任何地點，利用任何設備，連接到相應的網絡資源上，它具有穿越防火墻的能力。傳統VPN和運營商VPN通常不能支持復雜的網絡，這是因為它們需要克服穿越防火墻、IP地址沖突、多重路由轉發等困難。鑒于傳統VPN和運營商VPN客戶機存在的問題，傳統VPN和運營商VPN實際上只適用于易于管理的或者位置固定的設備。2）先進的VPN安全體系——相比傳統VPN和運營商VPN更安全作為架構在應用層的VPN，系統有效的屏蔽了VPN服務器的網絡結構，也屏蔽了常見的網絡攻擊手段，系統根據授權與認證訪問授信網絡。更重要的是，在系統的客戶端，可以指定特定的應用程序才能發起連接，連接到服務器，完成應用的代理過程，根據這個控制，系統可以阻止病毒程序不能通過VPN隧道傳輸到VPN服務器端，有效保護了服務器數據資源的病毒威脅。由于傳統VPN和運營商VPN打通了網絡低層，一旦被侵入，整個網絡都將暴露，建立隧道后，PC就像物理地運行在企業局域網上一樣，相當于為遠程訪問者敞開了訪問所有資源的大門，并對全部網絡可視，為企業網絡帶來了安全風險。所以非常容易成為黑客攻擊的目標。而且一旦客戶端VPNVPNPC，他就獲得了經過IPSec地址：深圳市南山區科技園 電話（0755）26546529 第8頁 16傳真075526635507 網站惠爾頓e地通互聯解決方案VPN隧道訪問公司局域網的能力，而且這臺接入電腦一旦中毒也非常容易通過VPN在整個內網傳輸。作為架構在會話層的VPN，在VPN服務器端，系統有效地屏蔽了的網絡結構，也屏蔽了常見的PINGUDPICMPVPN的客戶端，可以指定特定的應用程序才能發起連接，連接到VPN不僅可以實現精細的訪問控制功能VPN隧道傳輸到VPN服務器端，有效保護了服務器端數據資源受到安全防范措施弱的異地端的威脅。e地通SOCKS5VPNInternet發起訪為用戶認證機制，完美實現了易用、經濟又安全的解決方案。SSLVPN由于完全沒有客戶端，使得SSLVPN允許用戶利用不安全的計算機訪問企業網絡，這Internet上發起訪問時，SSLVPN客戶端為企業網絡帶來了風險。為了避免這個缺陷，必須啟用硬件KEY這SSLVPN3）支持各種接入方式——相比傳統VPN和運營商VPN線路成本更低惠爾頓e地通產品支持ADSL等各種接入方式，無需固定公網地址，線路的租用成本更低。2、支持遠程集中接入——速度更快，節省租用帶寬的成本保證并發用戶數較多情況下的使用速度。網絡傳輸的不是真正的業務數據，而是經壓縮和加密后的屏幕變化數據，提供了對遠程訪問的實時監控和審計。部署特簡單，不需要修改現有的應用程序，不需要改變原有的網絡結構，不需要在原有的應用系統中加裝任何軟件或插件。按需最靈活，能夠滿足企業的個性化接入需求，很容易地進行擴展和升級。成本更節省，集中布署、管理和維護，客戶端免維護，大大降低IT投資的總體擁有成本(TCO)。e地通通過VPN模式，服務器和分支權限對等，可以實現互通，在服務器添加網絡打印機，直接輸入客戶端內網共享打印機地址,打印時直接選擇打印機即可,這樣既方便了實施安裝，又徹底解決了打印。3、優秀的防火墻功能——保障數據接入安全，節省客戶投資提供基于IP、MAC、PORT的用戶組管理，對不同的用戶組進行策略控制；優秀的狀態檢測引擎，可以為每個防火墻訪問控制策略進行狀態檢測；地址：深圳市南山區科技園 電話（0755）26546529 第9頁 16傳真075526635507 網站惠爾頓e地通互聯解決方案可提供關鍵字、URL地址過濾，抵抗惡意腳本的攻擊；支持IP與MAC地址綁定，支持和IE無縫整合的用戶訪問認證；支持虛擬主機、端口映射功能，支持DMZ區安全訪問服務；有效抵抗DOS、DDOS、掃描、嗅探、同步等多種攻擊，可自定義TCP/UDP/ICMP的Flood攻擊檢測策略；基于Hash表的快速轉發功能，極大提高了防火墻的吞吐率；支持NAT網絡地址轉換，支持LAN口多網段綁定；可提供管理服務器群的負載平衡能力。4、智能化路由管理功能——節省客戶投資獨特的“隧道保活連接”技術，能確保惠爾頓e地通加密通道的全時段連通；多線路捆綁技術、實現帶寬捆綁和疊加；支持三級流量管理實現不同服務的Qos保證，并能為每個訪問控制策略獨立分配帶寬；支持帶寬的嚴格鎖定和動態平衡方式；采用先進的防丟包技術，支持數據的本地隊列，減少數據傳輸丟包率；支持智能路由器分離功能、分流上網數據、擴充互聯線路；支持DHCP、PPPoE、NTP、NAPT/PAT、NAT穿越、DNS增強版緩存；網絡地址轉換(NAT).配合APR-PROXY技術，可以在不改變現有網絡客戶配制的情況下直接上網；可自由設定靜態路由，支持集團用戶的多級復雜網絡。5、先進的帶寬疊加和負載均衡功能——更穩定、速度更快最大可同時支持五路ADSL撥號連接，具有自動帶寬疊加和線路備份，也可以選擇不同的用戶使用不同的ADSL接口上網，可以為需要高流量帶寬的用戶提供穩定，廉價的解決辦法；（和已有專線的用戶提供線路備份；流量帶寬控制及優先級設置：可以為用戶組設置三個級別的上網優先級，并按需求管理流量，同時為每路接口提供擁塞管理。地址：深圳市南山區科技園 電話（0755）26546529 第10頁 共16傳真075526635507 網站惠爾頓e地通互聯解決方案六、e地通方案的內網安全功能——保障內網安全1、首先將核心數據區與內網中其他用戶隔離。通過e地通中的VLAN功能將核心數據從內網中隔離出來，這樣一旦內網中其他機器有安全事故，不會輕易通過內網傳播到核心數據區。2、需要去訪問核心數據區的非核心區的應用客戶端用戶（戶）又如何訪問到已經被隔離了的核心數據區呢？在應用用戶的機器上運行e地通客戶端，由它監控這些用戶對核心數據區資源的訪問請求，并將這些請求壓縮、加密，然后轉化成Socks5代理協議可以識別的請求發送給放置在核心數據區邊界的e地通服務器（該設備既有與應用用戶同一網段的IP地址，又有與核心數據區在同一網段的IP地址）e地通服務器扮演了中間代理的角色，可以在應用用戶訪問核心數據區資源之前執行相了兩者之間的訪問，又有力地保護了核心數據區的安全。下面做詳細闡述：如何實現兩個被隔離了的區域之間的訪問，即應用用戶對核心區的訪問？通過代理機制：代理服務器的工作原理就是接受用戶的請求并把請求轉發給用戶原本要訪問的目的主機，反過e地通采用Socks5作為代理協議，可以支持所有基于應用層的通信協議。e地通（如圖五，其中包含有代理客戶端、代理服務器。圖五代理模式的應用圖解上圖給出了代理模式下e地通客戶端、e地通服務器協同工作的流程，這個流程可以簡單概括如下：eSocks5協議的方式封裝地址：深圳市南山區科技園 電話（0755）26546529 第11頁 共16傳真075526635507 網站惠爾頓e地通互聯解決方案并加密起來發送給e地通服務器；e器上。以上步驟簡要的概括了代理模式下如何完成應用用戶對核心區的訪問。3、如何規避二者實現訪問后的安全隱患？e地通運行在會話層，并且提供了對應用數據和應用協議的可見性，使網絡管理員能夠對用戶訪問核心數據區實施安全策略檢查。e地通分析應用信息，執行安全策略檢查，并發揮普通用戶與核心數據區之間傳輸的關卡作用。、傳輸通道加密數據從裝有e地通客戶端的應用用戶處開始加密，到e地通SERVER端解密，整個傳輸過程中的數據是密文，不是明文，這樣就非常好的保證了應用用戶到核心數據區的傳輸過程中的安全性，不被惡意的內網用戶嗅探到本不是他該訪問的內容，并防止他分析到傳輸使用的協議，截獲傳輸中的所有數據。同時采用了SHA1的數據完整性認證保證傳輸數據的完整性。、細粒度訪問控制該系統提供的訪問控制粒度。作為一個好的安全系統，細粒度的訪問控制是至關重要的。EIP地址、端口和應用的訪問控制策略，從而方便網絡管理員對應用用戶訪問核IP執行的應用程序。可以用一棵資源樹型圖簡單的表示其結構：用戶根用戶 ……1資源 資源1 M-1

用戶 用戶N-1 N資源MIP 應用地址 端口 協議80 443 139圖六用戶權限樹型圖每一項網絡資源都擁有若干種訪問權限屬性，上圖簡單列出了最基本的訪問權限屬性，包括IP地址：深圳市南山區科技園 電話（0755）26546529 第12頁 共16傳真075526635507 網站惠爾頓e地通互聯解決方案地址、端口、用戶身份、應用程序路徑等屬性信息。當遠程用戶發出應用資源訪問請求時，訪問控制模塊可以根據該請求所包含的如下信息：IP地址、端口號、用戶身份、應用協議（協議分析模塊分析而得）判定用戶的請求是否合法，從而決定是否允許用戶進行遠程訪問網絡資源。基于上面的用戶權限樹，訪問控制模塊對每一個用戶遠程訪問網絡資源的請求作如下過程的解析：解析用戶請求包得到IP，端口、應用協議等信息遍歷該用戶

IP地址是否合法 NY所有端口

端口是否合法 NY最后檢查應用協議結束圖七限（如大到整個核心區網段的機器；粗到所有的端口，尤其是文件拷貝和粘貼的功能）、身份認證HTTPS的WEB郵件系統就是一個典型的用的嗅探工具（如Sniffer就可以得到用戶的身份信息。E地通安全系統在身份認證上提供了簡單安全可靠的雙因素認證方式/密碼認證方式，也支持更為安全的硬件KEY地址：深圳市南山區科技園 電話（0755）26546529 第13頁 共16傳真075526635507 網站惠爾頓e地通互聯解決方案/密碼及硬件KEYKEY是提供用KEY的用戶才能合法登錄e資源。在進行授權的同時既授權用戶的身份信息，同時也授權了用戶所使用的機器硬件信息，這種授權方式特別適防止辦公人員在認證了的辦公機器以外的終端上登錄并獲取核心區的安全保密信息，從而防止機密信息的外泄。如何規避黑客和病毒從應用用戶的機器上傳播到核心數據區？首先，二者是在不同的網段，且相互之間在路由上終止了通訊的功能，所以黑客和病毒想通過這種辦法來穿透不可行；其次有訪問權限的也只是到e地通SERVER，根本無法直接訪問到核心數據區的應用資源，從e地通SERVER到核心數據區的訪問也是細到了每個應用，除非開放了的這些應用本身有安全漏洞，否則沒有機會來導致安全侵襲。4、降低核心數據區工作人員導致的安全事故。通過e地通安全增強工具讓管理員設置操作系統其他帳戶的分級使用權限，例如，可以定義某一個用戶帳號不能對系統盤或者所有硬盤進行任何存取刪除操作。也可以定義一部分人員不能使用或者管理某些特定的應用程序。即對于核心區操作人員的權限也盡量做到準確和細致，避免過大權限導致的道德風險和其他因素導致的安全事故。七、售后服務1、服務目標服務對象是VPN系統。當網絡出現問題時，我方工程師最短時間趕到現場或通過通訊方式協助解決，保障VPN系統正常穩定的運行。2、服務簡介應急響應與應急計劃以及支持和運作緊密相連。應急響應能力可以被視為應急計劃的組件，因為它提供了對正常處理過程中斷提供快速有效響應的能力。廣義地講，應急計劃涉及到所有可能會中斷系統運作的事件。事件處理可以被考慮為應急計劃中響應惡意技術威脅的部分。在客戶運行維護系統過程中，作為客戶方的技術人員由于時間和精力的問題，常常對于這些緊急事件缺乏有效的處理，這樣往往會對系統正常運轉造成重大影響。如果用戶選擇了的應急響應服務，地址：深圳市南山區科技園 電話（0755）26546529 第14頁 共16傳真075526635507 網站惠爾頓e地通互聯解決方案那么在服務期間，一旦客戶系統發生緊急事件，我方就將派出專業工程師，到現場或通過遠程方式速3、緊急情況的分類和響應時間故障級別

惠爾頓公司故障響應時間和故障定義上報時間（深圳地區）一級故障主要指產品在運行中出現系統癱瘓或服務中