Array Networks：广东移动SSL VPN案例

　　广东移动(GMCC)是我国通信行业中规模最大的省级公司，也是广东省最大的移动通信运营商。拥有“全球通”、“神州行”、“动感地带”、“神州大众卡”等四大著名品牌和全球通俱乐部、VPMN集群网等六大产品线，为广大用户提供全方位移动信息服务。目前网络容量和用户数分别突破了4200万户和3000万户。

　　二、广东移动信息系统面临的的问题

　　为了加强企业内部的的信息交流，提高工作效率，为公司的未来飞速发展提供更好的保障，广东移动在现有OA、Mail系统的基础上开发布署了广东移动统一信息平台系统。统一信息平台是广东移动现有的应用系统的门户，同时也为今后的其他业务系统提供扩展接口。

　　随着统一信息平台的布署，以前各个地市公司的OA、Mail系统各自为阵的现象也得到了改善，全省二十二个地市公司的员工均可以通过统一信息平台进行互联互访。但是，随着信息的共享和互通，其负面影响也是非常明显的。接入统一信息平台的系统越多、访问人数的增加，对系统的访问控制的要求也越来越高。同时，由于统一信息平台是广东移动现有应用系统的统一入口，就必须要保证移动的员工能够随时随地接入该平台，这也带来了对系统准入的控制与信息保密等问题

　　三、ArrayNetworks的解决方案和技术说明

　　1、ArrayNetworks的解决方案

　　广东移动的应用环境比较复杂，既有向外发布的web资源，又有文件共享、Lotus Notes等应用服务，同时对于设备维护也要求通过VPN方式。要保证这些应用的安全性，采用SSL VPN技术进行组网是一种理想的选择。

　　Array SP系列产品将SSL VPN转换成一种安全高效的全球及全天候安全访问的解决方案。它在提供公司内部和外部便捷访问的同时，保证了网络和核心资源免受各种攻击。该平台采用了一套简化的集成方法，集网络安全和Web优化应用于一体，包括SSL VPN，身份管理，应用层防火墙，安全文件共享和非Web应用支持、网络层VPN等多种功能。

　　ArrayNetworks SP在广东网络连接结构如下：

　　上图是一个广东移动SSL VPN解决方案的SSL VPN组网的拓扑结构图，右边为广东移动Portal、OA系统及认证系统，远端用户通过IP网络与广东移动数据中心相连。此时，在广东移动数据中心网络边缘部署SSL VPN网关－ArrayNetworks SP ( security proxy)。SP放在防火墙的DMZ区，广东移动方案采用了SP的单臂结构，能够不改变广东移动内部的网络结构。在SSL VPN网关部署中，我们采用了HA方案，部署两台SP，达到双机高可靠性，消除单点故障。SSL VPN网关SP提供SSL VPN门户站点。所有上网用户必须登陆此 SSL VPN 门户站点才能访问广东移动Portal系统和OA系统，或作设备维护等相关操作，同时每个用户必须有自己的帐号、口令并分配有访问SSL VPN相应资源的预先设置的权限，进行用户的认证和鉴权，达到更高的安全级别。

　　2、Array SP在广东移动应用的主要特点

　　ArrayNetworks SP 在广东移动的SSL VPN应用中主要解决两个应用，办公自动化应用与统一信息平台应用。采用应用程序代理（ Application Manager）功能模块来实现对其OA系统和Portal 系统的访问。 

　　广东移动Portal系统和OA系统的认证方式采用RADIUS结合移动短信息平台为用户提供动态密码认证。经过严格测试，ArrayNetworks SP完全支持这种动态密码认证方式。

　　广东移动Portal、OA系统的维护也需经过SSL VPN，由于设备维护访问方式比较复杂，同时要求远程安全接入、可以做到任何时间、任何地点的SSL VPN访问，进而进行设备维护相关操作，选用SSL VPN是一种很好的选择。通过使用ArrayNetworks SSL VPN提供的L3VPN功能模块完全可以满足。

　　四、方案给客户带来的价值

　　广东移动对多家SSL VPN的产品测试比较后，ArrayNetworks的SSL VPN产品在满足应用安全接入需求的同时，其卓越的性能、多层次的安全防护及设备运行的高稳定性给广东移动留下了深刻印象，最终选择了ArrayNetworks SPX3000产品进行广东移动SSL VPN组网。

　　通过Array的SSL VPN实现广东移动统统一信息平台系统的安全接入，可以帮助广东移动提高生产力，提高工作效率。

　　由于客户端与SSL VPN网关之间实现高强度的加密信息传输，因此虽然信息传输是通过公网进行的，但是其安全性是可以得到保证的。

　　SSL VPN的访问要经过认证和授权，充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接，从而限制了非法用户对内网的访问。

　　SSL VPN使用内网、外网相互隔离，只开放所需服务的方式来实现，这样客户端只能通过授权使用所开放的服务，除该服务之外的其它服务都无从访问，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。

　　Array Networks SSL VPN方案为广东移动提供了一种无客户端的VPN解决方案，客户端只需要具备标准的浏览器即可，甚至PDA终端都可以使用。对于使用者来讲，由于对浏览器操作要比专用的软件操作简单的多，也熟悉的多，所以客户端使用非常简单，使用于各种各样的人群，甚至是对IT系统不甚了解的人也一样操作。

　　ArrayNetworks SSL VPN的管理工作属于集中管理和集中维护模式，可以极大的降低管理和维护成本。