深信服安全改造建议书（教育场景af&ssl）.doc

XXXX（客户名称）安全建设建议书需求分析现代信息技术的发展不断推动着人类工作、生活方式的变革，对追求科研、技术前沿的高校而言，信息建设显得尤为的重要XXXX（客户名称）通过多年的建设和不断完善，目前已经构建了一整套完善的数字化校园办公平台，集成了校内办公系统、OA系统、教学管理等多项应用，通过信息化、流程化、标准化的方式为广大的师生提供方便快捷的网络化管理及校内服务 校内应用校外无法访问大部分的电子资源仅能在校园网范围内访问，许多在校外居住和生活的教工、学生、校友、客座教授和外聘教师一旦离开了校园网范围，就无法访问到学校内的电子资源校领导和教工有时候不得不要在休息日跑到学校来在系统中完成一件非常简单的工作应用系统各自登陆耗时费力高校校园内应用系统众多，邮件系统、OA办公系统、教学教务系统、考勤系统、财务系统等等，既有B/S架构又有C/S架构，每套系统在建设时都只考虑当时的需求和背景，所以在身份认证方面都采用了不同的认证系统，有新创立的账户名+密码的方式、有跟LADP认证服务器结合的方式等等，每位教工每天踏入办公室坐在电脑前，首先要做的事情就是在键盘上一遍一遍的输入各个系统的用户名和密码，烦不胜烦！而且众多的认证系统有不同的用户名和密码格式，非常容易记混，一旦不记得又要重新找回密码，系统不带找回密码功能的又要麻烦网络中心协助处理，给网络中心的管理带来了极大的麻烦。

应用层安全隐患频发，网页被篡改？系统被攻破？ 学校的门户网站事关学校的门面，每到招生季，考生和家长更是把学校的网站当成了了解学校的唯一途径，如果门户网站一旦被篡改或被黑客攻击造成瘫痪，对学校的招生将会造成不可弥补的损失另外，学院内众多的应用系统，在如此高度信息化的校园时代，学校几乎90%的数据都存储在系统中如果因为应用系统、服务器被黑客利用软件和系统的漏洞攻破，学校的教学数据、教工学生的隐私数据就将被不法份子利用整体方案设计SSL VPN部署通过以上需求分析，通过部署SSL VPN解决移动办公和单点登陆的问题；在核心交换上以单臂方式部署一台深信服VPN-XXXX SSL VPN，内网服务器区应用系统的安全发布；与此同时内网部署终端应用服务器，通过深信服EasyConnect将需要通过智能终端访问的业务发布出去通过上述的方案部署，可实现：移动办公+远程应用发布EasyConnect通过深信服SSL VPN，教工和学生可以在校外通过互联网，安全访问校内的应用系统，方便的实现了移动办公另外，对面越来越多的智能化移动终端，EasyConnect远程应用发布解决方案通过SSL VPN和企业内网部署的终端服务器，将企业应用程序界面用图形的方式呈现于智能终端之上。

在部署过程中，无需对现网结构和应用程序做任何改变，轻松实现跨平台访问，解决企业用户通过iPhone、iPad、Android等智能终端访问的问题，实现业务数据快速迁移，同时保障业务系统数据不落地，存储在终端服务器，同时根据本地用户习惯，融入本地输入法、打印机、本地签名等提升用户使用便捷度EasyConnect远程应用发布方案示意图：所有应用系统单点登陆在系统认证方面，采用登录SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障SSL VPN接入认证方式可采用用户名密码、USB KEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合，多重组合软硬结合确保接入身份的确定性在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用账号绑定SSL VPN登录账号和应用系统账号用户只需通过SSL VPN一次认证登陆后便可访问权限范围内的所有应用系统，支持绝大部分的B/S、C/S架构的系统支持远程应用发布资源的单点登录，用户无需再次输入用户名密码，自动为用户登录远程发布的OA系统，为用户使用资源提供了便利性深信服SSL VPN支持B/S及C/S应用的单点登录，支持通过FORM、Cookie、Bacic、NTLM等多种方式实现单点登录。

同时，对已经开启了单点登录的应用，用户可在登录SSL VPN后在个人设置中对这些应用进行单点登录帐号、密码自设定，所设置的数据将以加密的方式传递到设备中，并对管理员不可见，保证用户应用帐号安全性深信服SSL VPN可支持C/S应用通过资源列表链接启动方式，管理员可配置C/S应用路径，当用户成功登陆SSL VPN后，点击资源列表上的应用链接，即可自动实现资源的自动应用层防火墙部署通过在服务器区部署深信服下一代应用层防火墙产品NGAF,来实现2-7层的完整防护帮助解决传统防火墙由于工作在L3-L4层无法识别的应用层威胁ü 网络安全：访问控制、DOS攻击防护、IPSEC VPN组网、NAT地址转换ü 应用安全：漏洞攻击、非安全应用控制、恶意地址防护、病毒木马蠕虫过滤、应用访问控制、僵尸网络检测ü Web安全：SQL注入、跨站脚本等Web攻击防御、敏感信息防泄露、网页防篡改ü 设备自身安全：抗DOS/DOS属性、管理员SSL加密登陆、业务与管理分离管理深信服的下一代应用防火墙具备了IPS+WAF+AV的几大模块，并把几大模块之间的联动真正做到了颗粒化和精细化统一的操作界面，为不同模块分配不同的系统资源，提升安全等级的同时也不会影响数据包经过防火墙的速度，更不存在更多的单点故障。

通过部署下一代应用防火墙可以实现如下的防护作用：1、最大限度的控制网络系统，加强边界访问控制权限的建立，降低安全风险；2、通过开启下一代应用防火墙实时漏洞分析功能，7*24小时检测漏洞情况，帮助消除网络系统、操作系统、应用系统本身存在的大量弱点漏洞和认为操作或配置产生的与安全策略相违背的系统配置，减少入侵者成功入侵的可能；3、通过开启下一代应用防火墙入侵防御子系统功能，加强网络系统入侵行为的检测和防御能力，有效阻止来自外部的攻击行为，同时也防止来自内部的违规操作行为；4、通过开启下一代应用防火墙Web应用防护子系统功能，有效结了web攻击的静态规则及基于黑客攻击过程的动态防御机制，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造等），针对业务系统本身可能面临的应用安全风险有针对性的进行安全加固，防止应用安全威胁危害业务系统正常安全使用；6、通过下一代防火墙应用信息防泄漏功能，增强事后防御的措施，控制、保障业务系统内部的敏感信息、保密信息、涉密信息在网络协议中传输，针对业务系统本身制定严格的合规性策略，控制不法份子绕过防御体系进行信息窃取的行为；7、通过下一代应用防火墙网页防篡改功能，加强业务系统被非法修改的能力，实现防止业务系统web界面被非法修改的根本目的。

8、通过下一代应用防火墙防病毒子系统功能，提供先进的病毒防护功能，可从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，也可查杀压缩包（zip，rar，gzip等）中的病毒同时采用高效的流式扫描技术，可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈9、通过下一代应用防火墙僵尸网络检测、内网Dos攻击检测等功能，可以帮助监测和定位内网终端和服务器的安全状况，并提供针对性的防护解决方案。