客户背景：

       东莞市信息中心是东莞市委的下属单位。主要职责为：负责政府系统计算机网络统一平台与网管中心的建设、运行维护与管理，组织协调机关办公自动化的规划建设，并提供技术指导和信息技术咨询服务；负责市委、市政府领导机关办公网络系统的维护管理，以及市行政办事中心信息化系统的规划建设管理；承办市信息化工作领导小组和市委、市政府交办的其他事项。

需求和挑战：

　　东莞信息中心有自己的OA系统，出差在外或回家的工作人员经常需要通过PC或手机连到单位的OA系统上处理公文、收发邮件等。

　　财政局、水利局、计生局、农业局等单位的相关业务系统如水利局系统、非税系统、计生局系统等服务器也在信息中心，他们也有远程安全接入实现网上业务处理的需求。

总结远程安全接入，需要考虑如下几点：

l  数据传输安全性：数据加密，数据传输在Internet上进行，需要加密机制保障数据传输，防止恶意篡改和信息的泄露。

l  大数据量传输的适应性：系统由于具有大量各种形态的数据，要求设备具有很好的吞吐性能，并且延迟要很小。

l  用户接入的灵活性： 由于多个单位都有使用远程接入的用户，分布于不同的地点，用户的计算机水平参差不齐，接入的终端各种各样，要求远程接入系统操作简单，支持各种接入终端。

l  VPN部署维护管理：不需要对基础设施进行较大改造，部署维护、操作简单易行。这对于VPN的实施和使用至关重要。在部署和使用软硬件客户端的时候，若需要大量的评价、部署、培训、升级和支持，对于信息中心说，这些无论是在经济上和技术上都是个很大的负担，人力上也可能无力应付。

l  接入方案的适应性：要求远程访问方案要充分适应复杂的网络拓扑结构，和网络防火墙防病毒系统、认证系统相结合，能够适用网络地址转换（NAT）的影响，网关代理设备（proxy）等网络结构。客户端不需要安装复杂的软件，便于大量分散用户。

l  接入的用户身份验证和鉴权：身份证明是所有安全系统不可或缺的一个组件。它是区别授权用户和入侵者的唯一方法。东莞信息中心VPN系统的用户分布于多个单位，更需要严格的用户身份验证。在认证的基础上，还需要进一步的访问授权和访问审计以进一步提高安全性。

l  提供多个VPN接入站点给不同的部门：由于东莞信息中心VPN系统提供给多个单位使用，各个单位的业务系统与安全性要求不同，所以要求VPN设备能支持多接入站点，并且各个站点发布的应用和采用的认证方法等能够互相独立。

Array 的SSL VPN接入方案：

    东莞信息中心要求远程安全接入设备具备多虚拟站点、支持大并发、用户操作简单、支持多种身份验证手段等特性。Array SPX有着完备的功能和安全特性以及出色的性能表现，完全满足客户要求，最终东莞信息中心选择Array SPX作为远程安全接入设备。

    东莞信息中心采用两台Array SPX3000，单臂接入部署，采用双A集群。

东莞信息中心VPN系统的访问主要客户端涉及多个单位，分布在全市各地，接入方式各异，Array SPX通过建立多个虚拟站点，使各个单位的用户进入本单位的虚拟站点即可正常访问应用，各个单位用户的权限相互独立。各个独立站点根据需要分别采用了数字证书+LDAP、LocalDB等认证方式。

两台Array SPX通过双A集群，可以同时处理用户数据，分担处理任务。当出现其中一台设备故障无法正常处理业务的情况，另一台设备会接管所有流量，保证整个VPN系统的服务不中断。