哈尔滨理工大学SSLVPN立项报告.doc

哈尔滨理工大学SSL VPN项目立项报告哈尔滨理工大学SSL VPN项目建设立项报告目录第1章立项背景与意义11.1项目背景11.2建设内容与实施效果11.3效益分析1第2章选型评估22.1产品品牌评估22.2产品方案评估42.2.1深信服IPSec/SSL二合一VPN整体解决方案42.2.2深信服IPSec/SSL 二合一VPN技术优势52.3售后服务评估72.4产品选型8第3章高校案例83.1浙江大学83.2中国人民大学83.3华南理工大学93.4深信服其他部分高校客户名单9 i 第1章 立项背景与意义1.1 项目背景随着信息技术和网络技术日新月异，网络技术的发展特别是国际互联网的出现和发展，高校信息化实现了跨跃式发展，信息技术的应用的深度和广度上也达到前所未有的地步。随着业务进入全面、快速发展阶段，与其配套的应用系统的功能日益凸显，经过多年建设，哈尔滨理工大学的网络服务建设逐渐完备，逐渐建立了电子阅读及数据库资源等。为业务的进一步的快速发展奠定了坚实的基础。通过已建成的信息系统（如：电子阅读及数据库资源），老师和职工通过网络可以迅速地获取信息。然而，为了提高相应速度和决策速度，在激烈的市场竞争中取得优势，需要异地办公、移动办公等多种远程办公的场合越来越多，同时蓉城校区的人员也希望能访问到相应的信息资源，IT管理人员面临将远程访问模式作为内部资源网络的延伸和移动办公人员提供外联网接入的需求，为远程办公的人员提供访问内部信息资源的方便。目前，如何解决哈尔滨校区和山东蓉城校区的网络互联，以及解决大量老师和职工移动办公和远程接入访问电子阅读及数据库资源，已经成为我校面临的挑战之一。1.2 建设内容与实施效果通过采购、安装、配置IPSec/SSL 一体化VPN网关，搭建起哈理工大学和分校区之间的VPN隧道，让分校区的人员便捷的访问哈理工的校内资源。而对于老师和职工出差临时性的需要访问学校内部电子阅览及数据库等资源，可以通过SSL VPN功能，便捷的访问内部系统，并利用SSL的多种加密和认证方式保障使用的安全。对使用者来说，不需要安装任何客户端软件、通过浏览器就可以实现WEB安全接入，让IT管理不需再担心大范围客户端的安装和配置问题。从整体上实现学校IT业务流程跨区域，全天候的不间断运转。1.3 效益分析1、信息互联互通带来效益过去学校由于信息资源沟通障碍带来业务上的隐性损失很大。部署了VPN解决方案后，山东蓉城校区和哈尔滨校区间具备更高的应变能力及跨区域资源互访协作能力。另外大量的老师和职工在外出差的移动办公时需要访问学校内部的电子阅览及数据库资源，可以及时方便获得需要的信息资源。2、杜绝可能的安全隐患如果学校部分内部IT服务通过网络出口直接向Internet开放，带来很大的安全隐患，由于数据采用明文方式传输，而且缺乏严格的身份认证措施，学校内部重要数据一旦被不怀好意之人侦听，危害不言而喻。采用VPN解决方案后，可以杜绝IT应用发布环节上的安全隐患。而且SSL VPN只需对外开放一个443端口，隐藏内部的服务区结构，并可对远程访问设置更高的权限粒度，实现更高的安全性。3、极大降低网络通讯费用对于分校区之间采用专线方式互联，费用昂贵。而采用VPN方式，只需要一次投入设备成本即可。投资回报率（ROI）分析表明，部署该方案可以实现很好的财务效益。4、便捷的远程访问，提高工作效率通过IPsec VPN实现两个校区之间的远程互联，分支用户可以完全透明、快速的访问到总部的各种应用。第2章 选型评估2.1 产品品牌评估深信服科技是中国规模最大、创新能力最强的前沿网络设备供应商，致力于通过创新、高品质的产品及卓越的服务，帮助用户提升互联网带宽的价值。通过专业、创新、高性价比的产品，围绕商业用户Internet带宽资源，帮助用户降低成本（VPN实现网间互联、替代专线）、提高效率（广域网加速让应用更快捷）、产生效益（SSL VPN实现无处不在的移动办公）、防范风险（AC上网行为管理网关保证内、外网安全）、优化资源（BM流量控制实现带宽合理管控）、提高访问体验（AD应用交付实现链路及服务器双负载均衡），提供全面的网络优化解决方案！深信服科技现有AC上网行为管理、IPSec VPN、SSL VPN、广域网加速、BM流量控制、AD应用交付等全系列产品线。丰富的产品系列给客户更大的选择空间。不同层次、不同需求的客户都可以在深信服科技找到适合自己的网络连通、管理、优化产品。截止到2010年5月，已有超过16，000家用户选择了同深信服合作并取得了显著收益。这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业，也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。在中国入选世界500强的企业中，超过一半的企业都是深信服的用户。目前，深信服科技总人数已达900人，直属分支机构36个，销售网络遍布全国，并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。从2000年底成立至今，公司以每年销售收入增长2-3倍、人员增长1倍的速度高速发展。2005年-2009年，深信服连续5次获得德勤“中国高科技高成长50强”、“亚太地区高科技高成长500强”，并于2008年获得渣打银行授予的“最具成长性新锐企业”中型企业金奖。2009年，深信服荣获财富杂志“卓越雇主奖”。深信服科技坚信技术创新是保证产品优秀品质不可或缺的条件，每年将销售收入的15投入产品研发，始终保持着技术的时时领先，目前拥有近30项网络及安全领域发明专利。我们以深厚的技术实力、丰富卓越的产品、细致完善的服务为您提供最佳整体网络优化方案，提升您的带宽价值！ 深信服科技部分专利列表：(2009-12-23)一种VPN认证方法 (2009-12-16)一种网络数据流识别方法 (2008-09-10)一种网络插件的安全检查方法、系统及安全检测设备(2008-07-28)一种加速DCOM系统的方法(2008-07-28)动态数据压缩技术(2008-07-28)通过流缓存实现网间数据传输加速的方法(2007-05-18)通过自组域简化部署VPN网络的方法(2007-01-22)基于网关、网桥防范网络钓鱼网站的方法(2006-09-19)一种应用代理实现网间应用加速的方法 深信服科技部分资质列表一、国家商用密码产品生产定点单位二、国家商用密码产品销售许可证三、国家商用密码产品型号证书四、公安部信息安全产品销售许可单位五、“国家火炬计划立项”项目单位六、IPSec VPN、SSL VPN国家标准制定厂家七、第八界中国国际高新技术成果交易会优秀产品 深信服科技部分荣誉2009年IT500强最佳信息安全产品和服务提供商奖证书2008年德勤亚太高科技高成长500强、中国高科技高成长50强2008年第三届“中国最具成长性新锐企业奖”（渣打银行）2008年中国优秀金融IT及解决方案年度推荐称号2008年度中国金融科技发展论坛十大金融科技杰出企业2007年德勤亚太高科技高成长500强、中国高科技高成长50强2007年度中国制造业信息化优秀供应商2007最佳电信网络安全产品奖2006年德勤亚太高科技高成长500强、中国高科技高成长50强2006年渠道进取金奖（网络安全产品）2005年德勤亚太高科技高成长500强、中国高科技高成长50强2.2 产品方案评估2.2.1 深信服IPSec/SSL二合一VPN整体解决方案深信服IPSec/SSL 二合一VPN结合了IPSec和SSL 两套主流的VPN技术，实现了在一台安全网关设备上稳定高效运行两套VPN系统。对于高校分校区，可以使用IPSec VPN实现安全互连，而对于在外出差老师、职工可利用SSL VPN的易用性实现安全接入。最大限度地发挥了IPSec /SSL VPN给企业带来的效益，节约了企业大量的管理成本和投入成本，真正做到一台设备的投资，两种设备的功能。2.2.2 深信服IPSec/SSL 二合一VPN技术优势 最安全深信服科技是国家IPSec VPN和SSL VPN标准的核心制定者，生产的SANGFOR VPN网关为国内唯一一家通过公安部虚拟专网网安全认证三级标准的厂家。同时，SANGFOR SSL/IPSec 二合一VPN拥有多项安全技术让安全级别进一步升级，从终端安全、认证安全、传输安全、权限安全、审计安全五大方面全面保证应用访问的安全性。提供客户端安全检查、VPN专线、硬件特征码认证等多项技术，在保证接入终端的唯一确定性的同时，保障终端以安全的身份进行SSL VPN系统接入；采用安全桌面技术（沙盒技术），防止通过SSL VPN访问的重要应用数据在终端上的遗留和泄漏；多因素组合认证、防暴破登录、主从绑定及多种密码安全策略的组合，提供比网银更安全的身份确认机制；基于角色的细粒度权限划分功能，可与客户端安全级别进行结合，实现用户、终端安全级别、应用资源的多组合，进行权限的合理化划分；采用独立日志中心记录SSL VPN从用户使用、应用、安全、管理员到系统的各类日志，极大的方便管理员对内部应用使用情况进行全面的安全审计。 最高效现代的网络传输对速度的要求越来越高，特别是基于网络进行联合办公的业务更是要求网络的高效性提高整个组织的工作效率。深信服以客户的高效体验为优先，从网络加速技术的革新为方向，在SANGFOR SSL/IPSec 二合一VPN中融合多项先进技术打造最快速、最高效的VPN网络。采用流缓存技术在保证数据实时更新及质量的前提下，最高可削减80%的传输数据量，大幅提升访问速度；拥有畅联技术保证VPN网络即时在高丢包的环境下同样保持速度的高水平；拥有多线路技术实现多线线路之间的带宽叠加和负载均衡，在成倍的拓宽传输带宽提高速度的同时最大化线路的使用率；拥有多线路的智能选路实现智能选择最快线路进行数据传输，保证速度的时时领先；拥有HTP高速传输优化技术改善传统网络传输协议，即使在高丢包、高延时的恶劣网络环境下同样保持数据的高速传输。此外，SANGFOR SSL/IPSec 二合一 VPN还融合了多项加速技术，Web优化、WebCache、资源负载均衡、IP Tunnel提速等，全方位的提升各种B/S和C/S应用。 最方便便利性在这个争分夺秒的时代显得尤为重要，将直接影响到全公司的协同工作效率及员工的使用体验。深信服SSL/IPSec二合一VPN从用户的使用效果出发，全面提高用户的使用体验。采用端到端进行IPSec连接的分支，内网用户可实现完全透明的访问总部的各种应用，相当于总部与分支完全融入到了一个“大局域网”中。对于采用SSL VPN连接的移动办公用户，只需要使用笔记本电脑甚至是PDA、智能手机中网页浏览器进行SSL VPN认证登录，即可通过浏览器内置的SSL协议与总部之间构建SSL VPN隧道，无需安装任何客户端软件等复杂操作即可实现总部应用的轻松访问。同时，深信服SSL/IPSec二合一VPN还采用多项技术优化使用效果。支持B/S和C/S应用单点登录，通过单点登录免除了用户重复输入帐号的繁琐，简化了工作流程；提供系统托盘、桌面快捷方式、默认资源服务页面等功能，提高用户使用体验和工作效率；支持页面定制服务为用户提供了全面的个性化界面，量身打造专属的SSL VPN系统；智能递推功能，实现链接的自动探测，防止资源漏访等。 最稳定整个组织联合办公的持续性需要整个承载网络的高稳定性保证。深信服SANGFOR SSL/IPSec二合一 VPN设备全面的考虑VPN网络运行过程中的稳定性的各个承重点并做好高稳定保障，为学校网络的时刻畅通提供强有力的支持。SANGFOR SSL/IPSec二合一 VPN从VPN隧道、线路、设备三个层次全面保障网络的稳定性。SANGFOR SSL/IPSec二合一 VPN支持VPN隧道健康的实时监测，一旦检测到隧道的因网络掉线等状况的出现，则进行隧道自动重新建立。拥有多线路的技术实现多线路的组组备份和负载均衡，在线路级别保证最优畅通和冗余机制。拥有双机热备功能，实现主机与备机的实时状态同步，当主机故障后实现工作设备的自动快速切换。高质量高性能稳定的设备是整个稳定性保证的根基，深信服科技与国际先进的测试方案提供商Spirent（思博伦）合作，采用思博伦测试设备自建高性能网络实验室进行严格的产品测试，从设备级别保证设备的高可靠稳定性。以高稳定性为依托，深信服科技为大量高端客户如中国人寿、中银保险、中国环境监测总站等构建全国网络。 高性价比深信服 SSL/IPSec二合一VPN只需要使用普通的上网线路就能实现专网的构建，相对于每个月都必须支付高昂的专线线路费用大大缩减了网络的运营成本，同时保证得到高安全性、高效、高稳定、高质量的网络保障，实现网络投资的价值最大化。2.3 售后服务评估第一级 公司总部专业的客服中心深信服总部建立的客户服务中心通过国际ISO9001认证，由经验丰富的资深技术支持工程师为客户提供724小时热线电话服务，送修服务、远程调试、现场服务和有偿个性化服务。总部的产品专家和网络安全专家服务队伍同时负责全国服务网络的技术支持、管理、监督与协调，保证用户问题得到及时、有效的解决。同时，深信服总部组建了一支由负责产品研发的工程师组成的问题响应支持中心，每天24小时值班，为各大区、本地技术支持中心及合作伙伴解决技术难题。在深信服科技深圳总部，设有CTI用户呼叫中心，用户可随时通过拨打深信服科技免费的售后服务电话：800-830-6430（手机用户可拨打：400-830-6430，未开通800的地区拨打进行有关问题的查询，并将有关问题提交给深信服科技，以便深信服科技提高对服务请求的追踪和反应速度，更迅速的解决用户出现的问题。并且完善的客服系统会自动记录下用户的产品信息和历史故障，为每个用户建立资料库，以便深信服科技更准确的采取有针对性的措施来为用户服务。第二级 覆盖全国的深信服产品专业服务队伍深信服科技在全国各地设立有庞大的专业服务队伍。包括：华北区、华南区、华东区、西南区、西北区，华中区六个大区和近三十个驻外分支机构，所有分支机构都建立了本地客服中心，直接承担所在地区深信服客户的直接服务，达到全国所有一级城市和地区覆盖。第三级 广泛的深信服合作伙伴服务体系深信服科技通过遍布全国各地区、各行业的专业网络服务商，提供延伸到地市级城市的产品售前售后服务。目前，通过“深信服产品技术认证工程师”认证的合作伙伴超过400人，强大的售后服务保障体系，为广大客户服务提供了最直接的贴身服务。2.4 产品选型一体化设备集成了IPSec和SSL两种协议。对于既需要网间互连，又需要SSL VPN方便特性的情况，深信服一体化VPN网关起码节约了一半的投资。产品价格仅为国外同等设备的2030。 并在对比了国内外各种VPN的方案后，觉得深信服科技的VPN-6050最为适合我校对VPN访问安全性、便携性的需要。第3章 高校案例3.1 浙江大学背景和需求：浙江大学是教育部直属、省部共建的普通高等学校，是首批进入国家“211工程”和“985工程”建设的若干所重点大学之一。随着学校信息化的深入，学校逐渐开发了众多的应用系统，如：图书馆资源系统、OA系统、办公系统、学生选课系统、VOD、FTP、BT服务器等应用据说应用服务器有近700个服务器。为了让所有的老师和学生能够在校外访问校内的各种资源，浙江大学就希望通过SSL VPN让所有的老师和学生能够安全的访问。目前使用情况：目前一台深信服SSL VPN以单臂形式接入访问，其中有几千个并发授权，不管对于老师还是学生需要在校外访问校内的各种资源，只需要每月交纳一定费用然后就可以访问校内的所有资源。其中一台SSL VPN暂时还未使用。3.2 中国人民大学背景和需求：中国人民大学作为我党创办的第一所以人文科学、社会科学、自然科学为主，兼有少量工程科学的综合性、研究型重点大学，人民大学在信息化建设上走在了我国高校的前列，并于2003年启动了“数字人大”项目，计划用五年的时间建成一个资源共享的个性化服务数字校园网。建立了统一校园门户网站，其中包含管理信息系统和网络教学系统，电子校务办公自动化系统，图书馆资源，为了让学校的老师和同学能够在校外访问校内的所有资源，需要考虑一种安全方便的接入方式。另外对于内部的一些老师要对于一些设备进行远程的维护，需要一种安全方便的远程接入方式目前使用