《深信服EasyApp解决方案28120.pdf》由会员分享,可在线阅读,更多相关《深信服EasyApp解决方案28120.pdf(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 深信服 EasyAPP 解决方案 目录 1 前言.2 2 挑战.2 2.1 安全.2 2.2 快速的业务发布.3 2.3 体验.3 3 深信服 EASYAPP 方案介绍.4 3.1 简介.4 3.2 快速迭代.4 3.3 功能.7 身份认证 .7 数据隔离与防泄密 .8 链路加密 .8 单边加速 .8 威胁防护 .10 权限控制 .10 访问审计 .11 管理安全 .11 4 方案价值.11 4.1 安全的业务发布.11 4.2 良好的用户体验.12 4.3 快速开发迭代.12 5 典型案例.12 5.1 福建海事局提升政务效率,构建服务性政府.12 5.2 深圳国税在线发票打印系统提升企业
2、发票打印事务效率.12 1 前言 随着移动互联浪潮的高速发展,越来越多的移动设备开始进入企业 IT 环境中。一方面,在全球化趋势下,企业的地理分布越来越广,员工移动性越来越高,内部联系越来越紧密,带来了跨地域和移动协同诉求;另一方面,也对企业在客户维护的质量和市场营销的效果提出更高的要求。企业信息移动化建设迫在眉睫,而企业级应用是企业信息移动化的重要承载体,企业级移动应用市场是一片广阔的蓝海。2 挑战 以上趋势反应了一个令人振奋、日益凸显的现实。然而,对数据安全的质疑,快速的业务发布,以与关于员工隐私和自由的讨论,和员工使用体验的担忧,都使得企业决策者在移动化面前举棋不定。2.1 安全 手机、
3、平板电脑是公认的企业安全链中最薄弱的环节,从在过去的 12 个月,移动 数据遭受的威胁上升了 250%以上:移动设备的遗失或被冒用 用户主动或无意识的信息泄露 病毒、间谍软件或其他黑客攻击 企业应用本身、防病毒软件与终端管理软件自身的漏洞或威胁 网络中传输的数据被窃听或被篡改 企业应用服务器直接暴露于互联网中的安全威胁 企业移动的价值体现在通过提高员工的工作效率进而实现更大的企业盈利。但企业面临的安全风险不仅祸与本地数据、应用程序,还会危与到企业数据资产,给企业带来实际损失。因此,数据安全是抑制企业移动发展的关键因素之一。2.2 快速的业务发布 由于移动终端和智能终端操作系统更新非常快速,远快
4、于摩尔定律;例如在硬件终端上,从 IPHONE 到 IPHONE5 只用了不到 5 年,在操作系统方面,Android 的1.0 到 Android 的 4.0 也用了不到 5 年时间,几乎每个月都有新的操作系统版本和智能终端产生。因此如何安全快速的实现业务发布,实现快速的移动应用迭代,是每个 IT 管理员必须考虑的问题。2.3 体验 微软 9 月份发布了以人为本,成就企业创新发展的技术白皮书,强调企业 IT 建设只有以人为本,关注人的需求,才能更好地释放人的创造力,从而借助 IT 为企业创造更大的价值。要实现这一目标的企业应用必须是:企业应用操作体验良好,且访问使用的高效的。移动应用对于企业
5、而言,在乎的是它使用的稳定性,不轻易更换。价格的斗争、功能的多少,已经成为应用的基本条件。然而,如何保障企业能够持续、稳定、便捷、互通地使用移动应用产品,并拥有更好的用户体验,增强用户的粘度,增强用户体验才是企业移动应用核心竞争力。3 深信服 EasyApp 方案介绍 3.1 简介 深信服 EasyApp 方案,提供了一种在企业移动应用程序中快速集成 VPN 客户端模块的方案。用户通过集成 SDK,配置深信服 SSL VPN 网关即可实现从用户、终端、链路、服务端的全面的防护。3.2 快速迭代 深信服 EasyApp 方案将传统的 VPN 模块的 API 接口进行全面封装,为用户提供仅需 20
6、 行代码开发量的 SDK 包,即一年左右的程序员 2 天左右即可完成所有相关的编码和调试工作,比传统的 VPN 开发模块所需的工作量少了至少 10 倍。其中,Android平台 SDK 对外提供了通用的 java 接口,可以在 google 提供的 Android 模拟器和任意一款 Android 手机上调试和运行。iOS 平台 SDK 对外提供了 C/C+接口,同时也提供了 obj-c 的的包装接口,可以在任意一款真实 iOS 设备上调试和运行。下面为伪代码实现的示例,黑色和灰色部分为 APP 应用自身代码,蓝色部分为本 方案需要添加的代码,绿色部分为备注文档。从蓝色代码数量来看,即说明 2
7、0 行代码即可实现 VPN 功能。/当 MainActivity.java APP 应用程序主进程函数中,初始化 SDK 实例(该步1 骤为必要步骤)2 public void onCreate(Bundle savedInstanceState)3 super.onCreate(savedInstanceState);4 setContentView(R.layout.activity_main);5 /开始初始化 SDK 实例 6 SangforAuth.getInstance().init(this,this);7 /完成 SDK 实例初始化 8 /以下为 APP 自身的初始化过程,与
8、SDK 无关,用省略号代替 9/该函数主要是配置 SSLVPN 网关的地址和端口参数(该步骤为必要步骤)10 private boolean initSslVpn()11 SangforAuth sfAuth=SangforAuth.getInstance();12 long host=ipToLong(200.200.75.161);13 int port=443;14 sfAuth.vpnInit(host,port);15 return true;16 /如果 APP 需要关心 SSLVPN 隧道建立过程中异常时返回的状态信息,还需要17 实现一个 SDK 的回调函数。(该步骤为非必要步
9、骤,可以不实现)18 Override public void vpnCallback(int vpnResult,int authType)19 SangforAuth sfAuth=SangforAuth.getInstance();20 switch(vpnResult)/具体异常事件请详见 DEMO 工程 21 case IVpnDelegate.RESULT_VPN_INIT_FAIL:22 case IVpnDelegate.RESULT_VPN_INIT_SUCCESS:23 case IVpnDelegate.RESULT_VPN_AUTH_FAIL:24 case IVpnD
10、elegate.RESULT_VPN_AUTH_SUCCESS:25 case IVpnDelegate.RESULT_VPN_AUTH_LOGOUT:26/登陆SSLVPN和注销SSLVPN过程应该要像下面一样调用SDK提供的接口。27 public void onClick(View v)28 if(v.equals(mLoginBtn)29 doVpnLogin(IVpnDelegate.AUTH_TYPE_PASSWORD);30 else if(v.equals(mLogoutBtn)31 SangforNbAuth.getInstance().vpnLogout();32/注销步骤
11、为非必要步骤,可以不实现,不显式调用注销即可,则可以通过后台33 超时机制自动注销会话。34 3.3 功能 考虑企业移动应用的核心诉求数据安全,通过实现强身份认证、终端数据加密隔离、链路数据加密、权限控制与访问审计,这五个维度全面的保护从终端到服务端的安全。3.3.1 身份认证 许多企业移动应用都是采用最简单的用户名密码进行验证。使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题,尤其对于重要的应用系统如执法系统、销售系统等必须限定为特定终端、特定用户访问的核心系统,一旦遭遇用户名密码被盗窃,其后果所造成的威胁将是不可估量的。EasyApp 方案支持至少 6 种认证方式,除了最
12、基本的用户名密码认证之外,还支持硬件特征码、短信认证(短信猫和短信网关);并可扩展支持数字证书、LDAP/AD、Radius/动态令牌 等第三方认证。硬件特征码认证:为了保证用户使用移动应用是限定在某一台智能终端上,避免因为用户帐号意外泄漏、帐号盗用导致数据的泄露问题,因此,需要对对登录终端进行绑定。而硬件特征码通过绑定手机 MAC 的方式实现,进而避免账号被盗用的风险。短信认证:一般来说,员工手机或 PAD 并不是由公司统一配发,且员工通常有几台智能终端,因此绑定固定的智能终端没有意义。这时候,需要绑定员工唯一的手机号作为安全保障。而短信认证很好的解决了这个问题,短信认证将为该用户自动生成一
13、个 6 位的数字随机认证码,并以短信的方式发送到用户所绑定手机号码上,用户即可在认证界面上输入该 6 位认证码通过短信认证。短信认证很好的解决的一个员工使 用多个智能终端认证便捷性的问题。3.3.2 数据隔离与防泄密 某些核心系统中包含有较为重要、敏感的数据,然而移动应用使用环境的不可控等,移动终端的防泄密核心是防止恶意软件或病毒对于留存在本地的数据库、缓存文件的窃取,以与预防手机遗失带来的风险。如此一来,EasyApp 为用户提供了本地防泄密功能,即把应用程序本地存储的文件(缓存文件、数据库、本地配置文件)加密存储在手机上。避免手机丢失后,保存在本地的数据泄露。3.3.3 链路加密 移动应用
14、都基于无线网络,而无线网络极容易被监听;在一些公共场所,黑客发布一个免费 WIFI,10 分钟即可破解一个用户登录网站、聊天工具等所有信息。EasyApp 方案中,客户会创建一个 Hook 模块,该 Hook 模块的功能是对网络 connect和 DNS 域名解析操作进行拦截,并进行网络数据重定向,将企业应用数据重定向至VPN 隧道,并采用标准商密或国密加密算法加密传输。这样,即使有人在网络节点上监听,也无法破译 3.3.4 单边加速 在无线网络中,网络容易被各种外界因素影响,下载速度、网络稳定性都比较差。因此如何进一步保障用户访问速度,提高用户访问体验?很多的组织机构已经部署了多条运营商的链
15、路,然而互联网用户访问内部资源的时候还是体验很慢,究其原因在于,通过这类用户的网络在传输数据时都会存在一定的延时和丢包,必然造成访问速度变慢。传统解决方案主要是通过提升网络带宽和部署多链路的解决思路,甚至于通过部署链路负载均衡设备,来提升链路的访问速度以与稳定性。然而从本质上而言,这是一种治标不治本的方法,它不仅增加了更多带宽费用,而且没有解决链路质量的问题,更重要的是没有减少应用响应的时间,所以在大部分情况下访问速度还是得不到有效的提升。因此面对移动应用发布的问题,无疑需要一种快捷有效并且方便实施的解决方案。深信服 SSL VPN 的 TCP 单边加速功能,通过对拥塞算法做优化处理,解决一些
16、TCP 协议本身的缺陷,只需要在发布业务应用的中心端处部署 SSL VPN 设备,用户端无需任何的软件客户端或插件,对访问终端的设备形式,操作系统、浏览器种类等方面没有任何兼容性要求,对用户完全透明。而组织机构可以在不升级带宽的前提下,通过减少应用程序的响应时间,增强用户的访问体验,进而提升自身业务竞争力。深信服 TCP 单边加速技术都能够提升用户的至少 30访问速度,进而改善移动应用的用户的访问体验。他包括几大技术的改进:拥塞避免能够快速的准确的预估出网络中可用带宽,并根据估计值确定拥塞避免窗口,从而最大限度的利用网络带宽。快速重传允许接收端通过使用 SACK TCP 选项指示最多四个接收数
17、据的非邻接块。RFC 2883 定义用于确认重复的数据包的 SACK TCP 选项中的字段的额外使用。发送端可以通过此操作确定何时重传了不必要的段并调整其行为,以防今后不必要的重传。发送的重传越少,整体吞吐量越合理。快速恢复快速检测出丢包,并能快速准确重传该包,对时延较大,网络状况 较差的情况能够有效的提升带宽利用率,通过更改快速恢复过程中发送端可以用来提高发送速率的方法,提供更大的吞吐量。3.3.5 威胁防护 对于仅仅使用了用户名密码进行认证的用户而言,最重要的就是保障密码的安全,而现代技术的发展使得许多黑客采用暴破登录的方式强攻密码,以已知的用户名为突破口盗取组织内部重要数据。深信服 SS
18、L VPN 支持终端用户的防暴破登录设置,通过同用户名登录防暴破和同 IP 登录防暴破设置彻底封杀已知用户名暴破登录和未知用户名暴破登录的种种可能。支持自定义设置封锁恢复时间。作为 HTTPS 服务器,所有 SSL VPN 都同样面临着 DOS 的威胁,所以大多数 SSL VPN 设备都需要前置防火墙保护其安全。而深信服 SSL VPN 网关自身就是一个防火墙,集成了对 DOS 等攻击的防御手段。VPN 安全网关可以限制内部局域网每个 IP 地址在一分钟内可发起的最大 TCP 连接数和发送的最大 SYN 包次数(数值可依据内网计算机数量自定义),与时有效阻断了由企业互联网外部计算机发起的 DO
19、S 攻击行为,也避免了企业员工在使用移动终端时时不小心感染了病毒而造成 DOS 攻击给企业带来的损失。3.3.6 权限控制 在应用访问权限的划分上,深信服 SSL VPN 通过对内网应用以“资源”的方式进行定义,并基于“角色”将特定用户/用户组与相应的资源进行对应绑定,实现指定用户只能访问指定的应用的权限划分。对于采用 HTML5 技术活 B/S 架构的移动应用,往往需要做到 URL 级别细粒度 的权限控制以防止核心数据的泄露,深信服 SSL VPN 可支持 URL 细粒度用户授权。3.3.7 访问审计 深信服 SSL VPN 网关提供了管理日志和服务日志两大类型日志。管理日志可提供管理员访问
20、、操作日志,服务日志提供信息、告警、调试、错误日志,方便管理员对系统进行诊断。3.3.8 管理安全 当移动应用系统繁多,而总部 SSL VPN 接入带宽有限时,对于某些大流量如文件共享的应用访问将可能出现长连接抢占带宽的现象。核心业务得不到足够的带宽保障,导致关键业务的工作效率下降。深信服 SSL VPN 通过流量限制、会话限制、全局会话限制功能,可实现基于用户/用户组的带宽、会话限制与保证,最大程度的合理分配带宽资源和应用资源。组织结构往往呈现多级、树形的架构。在设备中进行用户组建设的时候,需要最大的贴合到组织的架构进行用户管理,方便 IT 管理员直观的对所有用户进行 SSL VPN访问控制
21、管理。深信服 SSL VPN 采用多达 16 级的用户组分级管理提高管理员的管理便利性。如下图所示,用户组的分级管理可依据组织的架构而设,并在用户属性上可选下级组是否继承上级组的关联角色、认证方式、流量与会话限制、日志审计记录、帐号过期时间、登录超时时间等设置。实现管理上的统一性,方便管理。4 方案价值 4.1 安全的业务发布 采用深信服 EasyApp 方案结合 SSL VPN 身份认证安全机制、数据防泄密安全机 制、高强度加密机制、细粒度授权机制,保证应用仅可由指定用户、使用指定的终端、访问到指定应用的强控制。同时,利用本地数据的高强度透明加密,即使在手机遗失,或者不慎安装了恶意软件基础上
22、,也不会造成业务数据的泄密。4.2 良好的用户体验 由于无线网络的特殊性,深信服 TCP 单边加速功能能够有效的提升用户使用移动应用的流畅感;而 VPN 的身份认证和移动应用的身份认证互相结合,可以避免用户自己配置 PPTP/L2TP/ipsec 等系统配置,减少用户配置。另外,SDK 方案使用了 VPN隧道分流技术,用户可以在使用互联网体验的同时,使用企业移动应用,更加提升了用户的使用体验。4.3 快速开发迭代 深信服EasyApp方案仅需一年左右的程序员2天左右即可完成所有相关的编码和调试工作,比传统的 VPN 开发模块所需的工作量少了至少 10 倍。5 典型案例 5.1 福建海事局提升政务效率,构建服务性政府 福建海事局采用 EasyConnect 和 EasyApp 的组合方案,通过 EasyAPP 加固“移动执法系统开发”安全性,通过现场查询、信息录入、违法处理等功能,实现了移动执法,提高水上交通违法行为快速处置能力!5.2 深圳国税在线发票打印系统提升企业发票打印事务效率 深圳国税手机客户端,是为配合深圳国税通用机打发票管理系统推出发票开 具软件。手机客户端主要面对用户群体经营场所有无线网络条件的,如餐饮、连锁商超等。通过在线发票打印客户端,为纳税人提供便捷、适应性强的收集开票方式,方便纳税人日常经营活动。