深信服EasyApp解决方案Word格式文档下载.docx

深信服EasyApp解决方案Word格式文档下载.docx

《深信服EasyApp解决方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《深信服EasyApp解决方案Word格式文档下载.docx（10页珍藏版）》请在冰豆网上搜索。

●移动设备的遗失或被冒用

●用户主动或无意识的信息泄露

●病毒、间谍软件或其他黑客攻击

●企业应用本身、防病毒软件及终端管理软件自身的漏洞或威胁

●网络中传输的数据被窃听或被篡改

●企业应用效劳器直接暴露于互联网中的平安威胁

企业移动的价值表达在通过提高员工的工作效率进而实现更大的企业盈利。

但企业面临的平安风险不仅祸及本地数据、应用程序，还会危及到企业数据资产，给企业带来实际损失。

因此，数据平安是抑制企业移动开展的关键因素之一。

2.2快速的业务发布

由于移动终端和智能终端操作系统更新非常快速，远快于摩尔定律；

例如在硬件终端上，从IPHONE到IPHONE5只用了不到5年，在操作系统方面，Android的到Android的也用了不到5年时间，几乎每个月都有新的操作系统版本和智能终端产生。

因此如何平安快速的实现业务发布，实现快速的移动应用迭代，是每个IT管理员必须考虑的问题。

2.3体验

微软9月份发布了?

以人为本，成就企业创新开展?

的技术白皮书，强调企业IT建设只有以人为本，关注人的需求，才能更好地释放人的创造力，从而借助IT为企业创造更大的价值。

要实现这一目标的企业应用必须是：

企业应用操作体验良好，且访问使用的高效的。

移动应用对于企业而言，在乎的是它使用的稳定性，不轻易更换。

价格的斗争、功能的多少，已经成为应用的根本条件。

然而，如何保障企业能够持续、稳定、便捷、互通地使用移动应用产品，并拥有更好的用户体验，增强用户的粘度，增强用户体验才是企业移动应用核心竞争力。

3深信服EasyApp方案介绍

3.1简介

深信服EasyApp方案，提供了一种在企业移动应用程序中快速集成VPN客户端模块的方案。

用户通过集成SDK，配置深信服SSLVPN网关即可实现从用户、终端、链路、效劳端的全面的防护。

3.2快速迭代

深信服EasyApp方案将传统的VPN模块的API接口进行全面封装，为用户提供仅需20行代码开发量的SDK包，即一年左右的程序员2天左右即可完成所有相关的编码和调试工作，比传统的VPN开发模块所需的工作量少了至少10倍。

其中，Android平台SDK对外提供了通用的java接口，可以在google提供的Android模拟器和任意一款Android上调试和运行。

iOS平台SDK对外提供了C/C++接口，同时也提供了obj-c的的包装接口，可以在任意一款真实iOS设备上调试和运行。

下面为伪代码实现的例如，黑色和灰色局部为APP应用自身代码，蓝色局部为本方案需要添加的代码，绿色局部为备注文档。

从蓝色代码数量来看，即说明20行代码即可实现VPN功能。

//当APP应用程序主进程函数中，初始化SDK实例〔该步骤为必要步骤〕

publicvoidonCreate（BundlesavedInstanceState）

{

（savedInstanceState）;

setContentView（）;

//开始初始化SDK实例……

（）.init（this,this）;

//……完成SDK实例初始化

//以下为APP自身的初始化过程，与SDK无关，用省略号代替

……

}

//该函数主要是配置SSLVPN网关的地址和端口参数〔该步骤为必要步骤〕

privatebooleaninitSslVpn（）

SangforAuthsfAuth=（）;

longhost=ipToLong（"

200.200.75.161"

）;

intport=443;

（host,port）;

returntrue;

//如果APP需要关心SSLVPN隧道建立过程中异常时返回的状态信息，还需要实现一个SDK的回调函数。

〔该步骤为非必要步骤，可以不实现〕

@OverridepublicvoidvpnCallback（intvpnResult,intauthType）{

switch（vpnResult）{//具体异常事件请详见DEMO工程

case:

}

}

//登陆SSLVPN和注销SSLVPN过程应该要像下面一样调用SDK提供的接口。

publicvoidonClick（Viewv）{

if（（mLoginBtn））{

doVpnLogin（）;

}elseif（（mLogoutBtn））{

（）.vpnLogout（）;

//注销步骤为非必要步骤，可以不实现，不显式调用注销即可，那么可以通过后台超时机制自动注销会话。

}

3.3功能

考虑企业移动应用的核心诉求——数据平安，通过实现强身份认证、终端数据加密隔离、链路数据加密、权限控制与访问审计，这五个维度全面的保护从终端到效劳端的平安。

3.3.1身份认证

许多企业移动应用都是采用最简单的用户名密码进行验证。

使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如执法系统、销售系统等必须限定为特定终端、特定用户访问的核心系统，一旦遭遇用户名密码被盗窃，其后果所造成的威胁将是不可估量的。

EasyApp方案支持至少6种认证方式，除了最根本的用户名密码认证之外，还支持硬件特征码、短信认证〔短信猫和短信网关〕；

并可扩展支持数字证书、LDAP/AD、Radius/动态令牌等第三方认证。

硬件特征码认证：

为了保证用户使用移动应用是限定在某一台智能终端上，防止因为用户帐号意外泄漏、帐号盗用导致数据的泄露问题，因此，需要对对登录终端进行绑定。

而硬件特征码通过绑定MAC的方式实现，进而防止账号被盗用的风险。

短信认证：

一般来说，员工或PAD并不是由公司统一配发，且员工通常有几台智能终端，因此绑定固定的智能终端没有意义。

这时候，需要绑定员工唯一的号作为平安保障。

而短信认证很好的解决了这个问题，短信认证将为该用户自动生成一个6位的数字随机认证码，并以短信的方式发送到用户所绑定号码上，用户即可在认证界面上输入该6位认证码通过短信认证。

短信认证很好的解决的一个员工使用多个智能终端认证便捷性的问题。

3.3.2数据隔离与防泄密

某些核心系统中包含有较为重要、敏感的数据，然而移动应用使用环境的不可控等，移动终端的防泄密核心是防止恶意软件或病毒对于留存在本地的数据库、缓存文件的窃取，以及预防遗失带来的风险。

如此一来，EasyApp为用户提供了本地防泄密功能，即把应用程序本地存储的文件〔缓存文件、数据库、本地配置文件〕加密存储在上。

防止丧失后，保存在本地的数据泄露。

3.3.3链路加密

移动应用都基于无线网络，而无线网络极容易被监听；

在一些公共场所，黑客发布一个免费WIFI，10分钟即可破解一个用户登录网站、聊天工具等所有信息。

EasyApp方案中，客户会创立一个Hook模块，该Hook模块的功能是对网络connect和DNS域名解析操作进行拦截，并进行网络数据重定向，将企业应用数据重定向至VPN隧道，并采用标准商密或国密加密算法加密传输。

这样，即使有人在网络节点上监听，也无法破译

3.3.4单边加速

在无线网络中，网络容易被各种外界因素影响，下载速度、网络稳定性都比拟差。

因此如何进一步保障用户访问速度，提高用户访问体验？

很多的组织机构已经部署了多条运营商的链路，然而互联网用户访问内部资源的时候还是体验很慢，究其原因在于，通过这类用户的网络在传输数据时都会存在一定的延时和丢包，必然造成访问速度变慢。

传统解决方案主要是通过提升网络带宽和部署多链路的解决思路，甚至于通过部署链路负载均衡设备，来提升链路的访问速度以及稳定性。

然而从本质上而言，这是一种治标不治本的方法，它不仅增加了更多带宽费用，而且没有解决链路质量的问题，更重要的是没有减少应用响应的时间，所以在大局部情况下访问速度还是得不到有效的提升。

因此面对移动应用发布的问题，无疑需要一种快捷有效并且方便实施的解决方案。

深信服SSLVPN的TCP单边加速功能，通过对拥塞算法做优化处理，解决一些TCP协议本身的缺陷，只需要在发布业务应用的中心端处部署SSLVPN设备，用户端无需任何的软件客户端或插件，对访问终端的设备形式，操作系统、浏览器种类等方面没有任何兼容性要求，对用户完全透明。

而组织机构可以在不升级带宽的前提下，通过减少应用程序的响应时间，增强用户的访问体验，进而提升自身业务竞争力。

深信服TCP单边加速技术都能够提升用户的至少30％访问速度，进而改善移动应用的用户的访问体验。

他包括几大技术的改良：

„拥塞防止－能够快速的准确的预估出网络中可用带宽，并根据估计值确定拥塞防止窗口，从而最大限度的利用网络带宽。

„快速重传－允许接收端通过使用SACKTCP选项指示最多四个接收数据的非邻接块。

RFC2883定义用于确认重复的数据包的SACKTCP选项中的字段的额外使用。

发送端可以通过此操作确定何时重传了不必要的段并调整其行为，以防今后不必要的重传。

发送的重传越少，整体吞吐量越合理。

„快速恢复－快速检测出丢包，并能快速准确重传该包，对时延较大，网络状况较差的情况能够有效的提升带宽利用率，通过更改快速恢复过程中发送端可以用来提高发送速率的方法，提供更大的吞吐量。

3.3.5威胁防护

对于仅仅使用了用户名密码进行认证的用户而言，最重要的就是保障密码的平安，而现代技术的开展使得许多黑客采用暴破登录的方式强攻密码，以的用户名为突破口盗取组织内部重要数据。

深信服SSLVPN支持终端用户的防暴破登录设置，通过同用户名登录防暴破和同IP登录防暴破设置彻底封杀用户名暴破登录和未知用户名暴破登录的种种可能。

支持自定义设置封锁恢复时间。

作为HTTPS效劳器，所有SSLVPN都同样面临着DOS的威胁，所以大多数SSLVPN设备都需要前置防火墙保护其平安。

而深信服SSLVPN网关自身就是一个防火墙，集成了对DOS等攻击的防御手段。

VPN平安网关可以限制内部局域网每个IP地址在一分钟内可发起的最大TCP连接数和发送的最大SYN包次数〔数值可依据内网计算机数量自定义〕，及时有效阻断了由企业互联网外部计算机发起的DOS攻击行为，也防止了企业员工在使用移动终端时时不小心感染了病毒而造成DOS攻击给企业带来的损失。

3.3.6权限控制

在应用访问权限的划分上，深信服SSLVPN通过对内网应用以“资源〞的方式进行定义，并基于“角色〞将特定用户/用户组与相应的资源进行对应绑定，实现指定用户只能访问指定的应用的权限划分。

对于采用HTML5技术活B/S架构的移动应用，往往需要做到URL级别细粒度的权限控制以防止核心数据的泄露，深信服SSLVPN可支持URL细粒度用户