EMM 智慧軍營(yíng)培訓(xùn) 1 、項(xiàng)目背景 項(xiàng)目背景和建設(shè)依據(jù) 認(rèn)真貫徹落實(shí)習(xí)主席“政治工作過(guò)不了網(wǎng)絡(luò)關(guān)就過(guò)不了時(shí)代關(guān)”、“要順勢(shì)而為、因勢(shì)利導(dǎo)，研究把握特點(diǎn)規(guī)律，用好用活網(wǎng)絡(luò)平臺(tái)”重要論述指示精神，以四總部《關(guān)于進(jìn)一步規(guī)范基層工作指導(dǎo)和管理秩序若干規(guī)定》（以下簡(jiǎn)稱(chēng)《規(guī)定》）、《軍隊(duì)計(jì)算機(jī)連接國(guó)際互聯(lián)網(wǎng)管理規(guī)定》、解放軍保密委員會(huì)《嚴(yán)密防范網(wǎng)絡(luò)泄密“十條禁令”》等有關(guān)法規(guī)制度為依據(jù)，堅(jiān)持以人為本原則，滿(mǎn)足官兵想網(wǎng)用網(wǎng)的強(qiáng)烈期盼，各部隊(duì)積極響應(yīng)國(guó)家政策要求，開(kāi)放互聯(lián)網(wǎng)，并建立手機(jī)和互聯(lián)網(wǎng)管理規(guī)定。

　《規(guī)定》緊緊抓住基層反映最強(qiáng)烈、最期盼解決的問(wèn)題，從加強(qiáng)工作統(tǒng)籌、減少會(huì)議文電、精減大項(xiàng)活動(dòng)、嚴(yán)控檢查評(píng)比、落實(shí)休假探親等方面，提出科學(xué)合理、具體實(shí)在的對(duì)策措施。其中《規(guī)定》適度放寬了手機(jī)網(wǎng)絡(luò)使用的限制，明確“在符合保密要求的前提下，軍隊(duì)人員在課外活動(dòng)時(shí)間、休息日、節(jié)假日等個(gè)人支配的時(shí)間，可以使用手機(jī)（含智能手機(jī)），可以通過(guò)個(gè)人移動(dòng)終端或者軍營(yíng)網(wǎng)吧使用互聯(lián)網(wǎng)。

　為切實(shí)執(zhí)行《規(guī)定》要求，嚴(yán)格貫徹軍隊(duì)互聯(lián)網(wǎng)使用 “符合保密要求”的硬杠杠，加強(qiáng)對(duì)于手機(jī)上網(wǎng)和軍營(yíng)網(wǎng)吧的行為控制、上網(wǎng)記錄審計(jì)、上網(wǎng)風(fēng)險(xiǎn)預(yù)警、泄密風(fēng)險(xiǎn)防控、統(tǒng)一管控建設(shè)，全網(wǎng)安全監(jiān)測(cè)特提出本次建設(shè)項(xiàng)目方案建議。

　2 、升級(jí)操作 參考 SANGFOR_SSLM7.2-EMM 智慧軍營(yíng)指導(dǎo)書(shū)_beta7

　3 、Awork 安裝 準(zhǔn)備工作 參考 SANGFOR_SSLM7.2-EMM 智慧軍營(yíng)指導(dǎo)書(shū)_20160410 安裝方法一 使用 awork 安裝工具安裝 參考 SANGFOR_SSLM7.2-EMM 智慧軍營(yíng)指導(dǎo)書(shū)_20160410 安裝方法二 使用命令行安裝 Awork

　步驟一 手機(jī)恢復(fù)出廠設(shè)置（非必須操作）

　步驟二 手機(jī)開(kāi)啟 USB 調(diào)試模式，通過(guò) USB 鏈接線插入 pc 步驟三 命令行執(zhí)行 adb devices,確認(rèn)有設(shè)備。如果沒(méi)設(shè)備，用豌豆莢安裝下驅(qū)動(dòng)，如果豌豆莢可以正常識(shí)別到手機(jī)說(shuō)明目前驅(qū)動(dòng)安裝是 OK 的。

　正常情況提示如下:

　不正常提示如下：

　步驟四 命令行執(zhí)行 adb install aWork.apk，安裝 awork

　 PS：在使用該命令安裝的時(shí)候注意看手機(jī)的屏幕會(huì)提示需要手動(dòng)點(diǎn)擊“確定”安裝 awork 步驟五 安裝完成后，命令行執(zhí)行進(jìn)行提權(quán) adb shell dpm set-device-owner com.sangfor.vpn.client.awork/com.sangfor.vpn.client.service.mdm.register.AdminReceiver

　注意事項(xiàng)：

　在Widnows上面操作上面的命令需要提前使用命令cd切換到對(duì)應(yīng)的路徑下面要不然會(huì)提示命令不存在的錯(cuò)誤 安裝方法三 使用 aSystemHost 安裝 Awork 步驟一 如果手機(jī)的 ROM 已經(jīng)內(nèi)置了（或者客戶(hù)定制過(guò) ROM）那么在手機(jī)上面可以看到

　 步驟二 這個(gè)類(lèi)似 asystemhost 的圖標(biāo)打開(kāi)之后如下

　步驟三 在這里輸入接入 VPN 的地址之后會(huì)自動(dòng)進(jìn)行下載安裝 awork。安裝完成之后手機(jī)會(huì)自動(dòng)進(jìn)行重啟。

　步驟四 手機(jī)重啟完成之后請(qǐng)稍作等待會(huì)自動(dòng)完成剩下的操作，最后的界面如下，表示 awork 安裝完成

　 4 、部署案例 4.1 、模式設(shè)計(jì) 互聯(lián)網(wǎng)的開(kāi)放給戰(zhàn)士帶來(lái)了信息共享的便利，為業(yè)務(wù)系統(tǒng)提供了傳輸平臺(tái)，但是正因?yàn)榛ヂ?lián)網(wǎng)的過(guò)度開(kāi)放，互聯(lián)網(wǎng)訪問(wèn)若不受控，將帶來(lái)諸多的安全隱患。通過(guò)解讀《部隊(duì)手機(jī)和互聯(lián)網(wǎng)使用規(guī)定》中針對(duì)手機(jī)上網(wǎng)和網(wǎng)吧上網(wǎng)的安全要求，如何保障上網(wǎng)終端可控，構(gòu)建綠色、安全的互聯(lián)網(wǎng)使用環(huán)境，保障上網(wǎng)安全，是手機(jī)和互聯(lián)網(wǎng)使用平臺(tái)管理建設(shè)中需要考慮的重點(diǎn)問(wèn)題。

　4.2、 、 部隊(duì)手機(jī)和互聯(lián)網(wǎng)使用管理整體技術(shù)方案

　手機(jī)和互聯(lián)網(wǎng)安全管控技術(shù)方案拓?fù)鋱D 1）

　手機(jī)上網(wǎng)安全方案：部隊(duì)官兵通過(guò)從運(yùn)營(yíng)商購(gòu)買(mǎi)的指定手機(jī)上網(wǎng)，手機(jī)終端安裝終端管理軟件，EMM 服務(wù)器放在運(yùn)營(yíng)商出口或者是師部機(jī)房出口（根據(jù)網(wǎng)絡(luò)出口位置確定），手機(jī)上網(wǎng)流量統(tǒng)一出口位置部署上網(wǎng)行為管理設(shè)備，對(duì)手機(jī)上網(wǎng)做嚴(yán)格的過(guò)濾和審計(jì)。其中出口的上網(wǎng)行為管理設(shè)備與 EMM 設(shè)備做聯(lián)動(dòng)，只允許已經(jīng)安裝 EMM 終端管理軟件的手機(jī)才能上互聯(lián)網(wǎng)，并在上網(wǎng)行為管理設(shè)備上記錄手機(jī)賬號(hào)。在需要安全管控升級(jí)時(shí)，可在上網(wǎng)出口放 1臺(tái)下一代防火墻設(shè)備，抵抗外到內(nèi)的攻擊； 2）

　軍營(yíng)網(wǎng)吧上網(wǎng)安全方案：營(yíng)區(qū)網(wǎng)吧計(jì)算機(jī)通過(guò)當(dāng)?shù)氐幕ヂ?lián)網(wǎng)出口上網(wǎng)，為了滿(mǎn)足《規(guī)定》中上互聯(lián)網(wǎng)的安全保密原則，在每個(gè)支隊(duì)/中隊(duì)出口放 1 臺(tái)上網(wǎng)行為管理網(wǎng)關(guān)設(shè)備，做上網(wǎng)身份認(rèn)證、非法網(wǎng)頁(yè)過(guò)濾、敏感信息外發(fā)管控、USB 口等外設(shè)的封堵、上網(wǎng)時(shí)長(zhǎng)提醒和控制、上網(wǎng)行為和內(nèi)容審計(jì)、防病毒等。為了集中管理，在師部部署 SC 集中管理平臺(tái)和日志集中管理平臺(tái)，對(duì)所有支隊(duì)網(wǎng)吧出口的行為管理做設(shè)備統(tǒng)一管控和日志集中匯總分析，降低運(yùn)維難度，保障信息安全。

　下面針對(duì)手機(jī)上網(wǎng)和網(wǎng)吧上網(wǎng)兩個(gè)不同場(chǎng)景做平臺(tái)項(xiàng)目描述：

　4.3 、部隊(duì)手機(jī)上網(wǎng)安全平臺(tái)架構(gòu) 手機(jī)上網(wǎng)網(wǎng)絡(luò)由當(dāng)?shù)剡\(yùn)營(yíng)商單獨(dú)為部隊(duì)提供，部隊(duì)官兵在內(nèi)部登記后在運(yùn)營(yíng)商統(tǒng)一購(gòu)買(mǎi)指定手機(jī) SIM 卡和智能手機(jī)。該智能手機(jī)通過(guò)運(yùn)營(yíng)商 4G 網(wǎng)絡(luò)連接互聯(lián)網(wǎng)，或通過(guò)師部的互聯(lián)網(wǎng)統(tǒng)一出口實(shí)現(xiàn)互聯(lián)網(wǎng)接入。為了保障部隊(duì)官兵在手機(jī)使用過(guò)程中滿(mǎn)足可管控的要求，所有智能機(jī)在使用之前必須安裝特定的 EMM 終端管理軟件（aWork 客戶(hù)端），實(shí)現(xiàn)對(duì)手機(jī)操作系統(tǒng)、應(yīng)用程序、攝像頭、語(yǔ)音、定位等手機(jī)應(yīng)用的統(tǒng)一管理。

　圖 圖 1 1 ：

　手機(jī)上網(wǎng)安全平臺(tái)拓?fù)鋱D

　手機(jī)接入?yún)^(qū)的網(wǎng)絡(luò)由運(yùn)營(yíng)商搭建，手機(jī)通過(guò) VPDN 專(zhuān)線的方式接入運(yùn)營(yíng)商/營(yíng)區(qū)內(nèi)網(wǎng)區(qū)域。通過(guò) EMM 等方案對(duì)手機(jī)接入者進(jìn)行身份認(rèn)證，手機(jī)識(shí)別和管理。

　通過(guò)在運(yùn)營(yíng)商出口部署 EMM 設(shè)備，在下手的手機(jī)終端中安裝一個(gè) APP，可實(shí)現(xiàn)針對(duì)手機(jī)終端的操作系統(tǒng)、APP、進(jìn)程等進(jìn)行控制，并能實(shí)現(xiàn)針對(duì)手機(jī)終端的審計(jì)和內(nèi)容擦除，滿(mǎn)足部隊(duì)對(duì)手機(jī)上網(wǎng)的管控要求。

　除了針對(duì)手機(jī)終端的管控外，手機(jī)上互聯(lián)網(wǎng)的內(nèi)容安全也需要滿(mǎn)足《規(guī)定》中的安全要求，因此運(yùn)營(yíng)商/師部的手機(jī)互聯(lián)網(wǎng)集中出口 部署 上網(wǎng)行為管理和下一代防火墻設(shè)備，構(gòu)建安全域防護(hù)、泄密風(fēng)險(xiǎn)防控、全網(wǎng)安全統(tǒng)一監(jiān)測(cè)的手機(jī)接

　入互聯(lián)網(wǎng)上網(wǎng)安全平臺(tái)。

　4.4、 、 部隊(duì)營(yíng)區(qū)網(wǎng)吧上網(wǎng)安全平臺(tái)架構(gòu) 按照總參規(guī)劃，各總隊(duì)級(jí)（省級(jí)）單位通過(guò)屬地運(yùn)營(yíng)商線路直接聯(lián)接互聯(lián)網(wǎng)，不再統(tǒng)一匯聚連接長(zhǎng)城網(wǎng)。為確保網(wǎng)絡(luò)安全，需要安裝具有防火墻、上網(wǎng)行為管理、防病毒、流量控制等功能的安全防護(hù)設(shè)備，提高對(duì)出入互聯(lián)網(wǎng)信息的安全防范能力。同時(shí)《規(guī)定》 中提出軍營(yíng)網(wǎng)吧計(jì)算機(jī)聯(lián)接互聯(lián)網(wǎng)，應(yīng)當(dāng)經(jīng)總隊(duì)（師）級(jí)單位信息化（通信）部門(mén)審批、保密部門(mén)備案。

　利用上網(wǎng)行為管理技術(shù)構(gòu)建一套符合《關(guān)于進(jìn)一步規(guī)范基層工作指導(dǎo)和管理秩序若干規(guī)定》、《部隊(duì)手機(jī)和互聯(lián)網(wǎng)使用規(guī)定》相關(guān)指示，建設(shè)滿(mǎn)足部隊(duì)網(wǎng)吧接入互聯(lián)網(wǎng)整體安全的方案。其中管控要求具體包括網(wǎng)絡(luò)安全隔離，網(wǎng)絡(luò)抗攻擊，上網(wǎng)行為控制、上網(wǎng)行為和內(nèi)容審計(jì)、泄密風(fēng)險(xiǎn)防控、統(tǒng)一管控，日志集中等，拓?fù)鋱D如下：

　圖 圖 2 2 ：總隊(duì)營(yíng)區(qū)網(wǎng)吧上網(wǎng)安全平臺(tái)拓?fù)鋱D

　在師部機(jī)房部署上網(wǎng)行為管理集中平臺(tái)與上網(wǎng)日志服務(wù)器各一套，在各地市支隊(duì)、中隊(duì)營(yíng)區(qū)網(wǎng)吧互聯(lián)網(wǎng)出口位置分布式部署上網(wǎng)行為管理網(wǎng)關(guān)一臺(tái)，通過(guò)總隊(duì)上網(wǎng)安全集中管理平臺(tái)使用IPSEC VPN技術(shù)與下屬各營(yíng)區(qū)網(wǎng)吧上網(wǎng)行為管理設(shè)備建立數(shù)據(jù)加密傳輸隧道，統(tǒng)一控制下屬各營(yíng)區(qū)網(wǎng)吧上網(wǎng)行為管理設(shè)備，統(tǒng)一下發(fā)控制策略、審計(jì)策略。同時(shí)設(shè)定策略，規(guī)定各營(yíng)區(qū)上網(wǎng)行為管理網(wǎng)關(guān)每天定時(shí)

　將其所審計(jì)數(shù)據(jù)通過(guò) IPSEC VPN 隧道傳輸至統(tǒng)一控制區(qū)上網(wǎng)日志服務(wù)器中，各營(yíng)區(qū)上網(wǎng)行為管理網(wǎng)關(guān)不留存數(shù)據(jù)，統(tǒng)一控制區(qū)上網(wǎng)日志服務(wù)器日志留存至少 60天。

　各營(yíng)區(qū)網(wǎng)吧上互聯(lián)網(wǎng)數(shù)據(jù)由各營(yíng)區(qū)上網(wǎng)行為管理網(wǎng)關(guān)控制、審計(jì)后經(jīng)由網(wǎng)吧互聯(lián)網(wǎng)線路直接訪問(wèn)互聯(lián)網(wǎng)資源。

　為保障管理數(shù)據(jù)、日志審計(jì)數(shù)據(jù)在互聯(lián)網(wǎng)上安全傳輸，各營(yíng)區(qū)上網(wǎng)行為管理控制數(shù)據(jù)，通過(guò)總隊(duì)統(tǒng)一控制區(qū)上網(wǎng)安全集中管理平臺(tái)與各營(yíng)區(qū)上網(wǎng)行為管理網(wǎng)關(guān)建立的 IPSEC VPN 加密傳輸隧道進(jìn)行傳輸，并與互聯(lián)網(wǎng)數(shù)據(jù)隔離。在數(shù)據(jù)傳輸區(qū)通過(guò)加密隧道傳輸日志審計(jì)、管理控制數(shù)據(jù)，互聯(lián)網(wǎng)數(shù)據(jù)則以明文數(shù)據(jù)方式直接訪問(wèn)互聯(lián)網(wǎng)資源。

　通過(guò)上述拓?fù)渑c數(shù)據(jù)流示意，營(yíng)區(qū)上網(wǎng)安全平臺(tái)實(shí)現(xiàn)如下功能：

　1、網(wǎng)吧有線網(wǎng)絡(luò)用戶(hù)統(tǒng)一管理，不同類(lèi)型用戶(hù)訪問(wèn)權(quán)限靈活劃分。可針對(duì)位置、應(yīng)用、終端、用戶(hù)、四種維度做權(quán)限控制，包括過(guò)濾非法網(wǎng)頁(yè)、封堵非法網(wǎng)絡(luò)應(yīng)用、禁止代理翻墻、控制上網(wǎng)時(shí)長(zhǎng)、封堵 USB 接口、上網(wǎng)行為審計(jì)等； 2、總隊(duì)控制區(qū)和營(yíng)區(qū)互聯(lián)網(wǎng)上網(wǎng)安全區(qū)通過(guò)各自出口的行為管理設(shè)備做IPsec 組網(wǎng)，保證不同地域間上網(wǎng)行為管理網(wǎng)關(guān)能夠與總隊(duì)上網(wǎng)安全集中管理平臺(tái)互聯(lián)，同時(shí)保證數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)陌踩�性�?3、總隊(duì)統(tǒng)一控制區(qū)部署上網(wǎng)安全集中控制平臺(tái)，對(duì)全網(wǎng)的行為管理設(shè)備做統(tǒng)一管控，全網(wǎng)行為管理設(shè)備可以統(tǒng)一升級(jí)、統(tǒng)一更新、統(tǒng)一配置并下發(fā)。

　4、總隊(duì)統(tǒng)一控制區(qū)部署上網(wǎng)日志服務(wù)器，同步全網(wǎng)行為管理設(shè)備的日志，進(jìn)行統(tǒng)一匯總、統(tǒng)一查詢(xún)、統(tǒng)一呈現(xiàn)。

　5 、 互聯(lián)網(wǎng)控制解決方案 5.1 、APN 控制解決方案 過(guò)去的 EMM 解決方案都是使用以下的部署方式：通過(guò)運(yùn)營(yíng)商的 APN 專(zhuān)線，將流量引入到軍營(yíng)機(jī)房，通過(guò)路由狀態(tài)的 AC 去上網(wǎng)，如下圖所示。

　 圖 1 APN 組網(wǎng)模式拓普?qǐng)D 但由于只有省會(huì)機(jī)房具備支持 APN 的交換機(jī)，需要從省會(huì)的運(yùn)營(yíng)商機(jī)房拉 APN 專(zhuān)線到地市，這給部署帶來(lái)了很大障礙，所以我們推出了 VPN 部署方案；以下部分為 VPN 和APN 部署方案。

　5.2 、APN 數(shù)據(jù)訪問(wèn)流程

　第一步，手機(jī)客戶(hù)端通過(guò) APN 專(zhuān)線網(wǎng)絡(luò)接入到 SSLVPN 完成認(rèn)證 第二步，認(rèn)證成功之后 SSLVPN 會(huì)把認(rèn)證之后的信息發(fā)送給 AC 第三步，SSLVPN 認(rèn)證成功之后會(huì)把 AC 的地址和端口通過(guò) VPN 網(wǎng)絡(luò)發(fā)送給手機(jī)客戶(hù)端，手機(jī)通過(guò)隧道連接到 AC 維持心跳 第四步，AC 做代理上網(wǎng)之后把數(shù)據(jù)取回來(lái)之后通過(guò) SSL 加密發(fā)送給手機(jī)客戶(hù)端

　5.3 、VPN 控制解決方案 考慮到更多的客戶(hù)是手機(jī)直接連接互聯(lián)網(wǎng)的情況，環(huán)境如下所示：

　 圖 2 VPN 部署拓?fù)鋱D

　注：AC 使用的是路由模式，VPN 使用的是單臂模式。

　1. SSLVPN 在 AC 上做端口映射出來(lái)讓互聯(lián)網(wǎng)另一端的手機(jī)能訪問(wèn)。

　2. 手機(jī)通過(guò)互聯(lián)網(wǎng)訪問(wèn) SSLVPN 后，通過(guò) VPN 代理上網(wǎng)。

　5.4 、VPN 數(shù)據(jù)訪問(wèn)過(guò)程

　第一步，手機(jī)通過(guò)互聯(lián)網(wǎng)建立 VPN 隧道，AC/AF 做端口映射到 SSL 設(shè)備 第二步，SSL 把認(rèn)證成功的信息發(fā)送給 AC 第三步，手機(jī)跟 AC/AF 維持心跳，�；钜延羞B接

　 第四步，手機(jī)上網(wǎng)互聯(lián)網(wǎng)的流量先是發(fā)送到 SSLVPN 然后又 SSLVPN 發(fā)送給 AF/AF 做代理上網(wǎng) 第五步，數(shù)據(jù)返回之后經(jīng)由 SSL 做加密處理返回給手機(jī)客戶(hù)端

　5.5 、VPN 數(shù)據(jù)訪問(wèn)配置步驟 5.5.1、 、 網(wǎng)絡(luò)拓?fù)?/p>

　 步驟一、AC 配置，在 AC 上面配置端口映射到 SSLVPN 設(shè)備 因?yàn)檫@里 AC 的 WAN 口有 2 個(gè) IP 地址，所以下面直接將第 2 個(gè) IP 地址映射出去（102.4.136.202）。下圖就是在 AC 的端口映射中添加高級(jí)規(guī)則，將訪問(wèn) 102.4.136.202 這個(gè) IP 的所有協(xié)議數(shù)據(jù)映射給 100.100.136.5（VPN IP 地址）上去。

　******Tips****** 問(wèn)題：如果 AC 的 WAN 口只有一個(gè) IP 地址怎么辦？ 答案：可以在端口映射中配置規(guī)則，將 WAN 口的某個(gè)端口映射到 VPN 上需要被外網(wǎng)訪問(wèn)的端口上去。下圖就是例子，在端口映射中新增簡(jiǎn)單規(guī)則，將訪問(wèn) AC WAN 口的 1443 端口映射到 VPN 的 443 端口上去。不過(guò)注意，如果這樣配置的話(huà)，還需要將 VPN 的下列端口映射出去：

　（1）4430 端口，映射后外網(wǎng)就可以遠(yuǎn)程訪問(wèn) VPN 控制臺(tái)； （2）51111 端口，映射后外網(wǎng)就可以遠(yuǎn)程升級(jí) VPN； （3）441 端口，映射后手機(jī)才能與 VPN 建立 MDM 服務(wù)；

　 步驟二、NAT 配置 NAT 代理需要將 AC 本身的內(nèi)網(wǎng) IP 網(wǎng)段和手機(jī)的虛擬 IP 網(wǎng)段都進(jìn)行代理。這里手機(jī)的虛擬 IP 網(wǎng)段是 2.0.0.0/255.255.0.0，所以除了配置代理 LAN 口網(wǎng)段上網(wǎng)外，還需要添加2.0.0.0/16 的代理，如下圖所示。

　步驟三、配置靜態(tài)路由 配置了靜態(tài)路由，AC 才能將到虛擬 IP 網(wǎng)段的數(shù)據(jù)發(fā)送給 VPN 設(shè)備。

　在【靜態(tài)路由】中新增 IPv4 的路由，配置到目的網(wǎng)段 2.0.0.0/255.255.0.0 的所有數(shù)據(jù)包，下一跳是 100.100.136.5，如下圖所示。

　 步驟四、 配置認(rèn)證選項(xiàng) 被 設(shè)置了認(rèn)證選項(xiàng)，手機(jī)的心跳數(shù)據(jù)才能被 AC 正確接收，然后虛擬 IP 對(duì)應(yīng)的用戶(hù)名才被 能認(rèn)證上線，這之后才能被 AC 放通去訪問(wèn)互聯(lián)網(wǎng)。

　在認(rèn)證高級(jí)選項(xiàng)-定制擴(kuò)展中配置 AC 與 SSLVPN 約定的參數(shù)。各個(gè)參數(shù)配置與說(shuō)明如下：

　heartbeat_sso_enable = 1

　//是否開(kāi)啟心跳，1-開(kāi)啟，0-不開(kāi)啟 heartbeat_sso_pwd = AbCd1234 //心跳密鑰，8 位大小寫(xiě)字母和數(shù)字的混合字符串 heartbeat_sso_timeout = 180 //心跳用戶(hù)超時(shí)時(shí)間，單位為秒；這里 180 的意思是在沒(méi)有收到距離上次心跳數(shù)據(jù)包接收時(shí)間的 180 秒后，該心跳用戶(hù)自動(dòng)注銷(xiāo) Sync_use_enable = 0 //用戶(hù)同步功能，1-開(kāi)啟，0-關(guān)閉；下一階段功能，目前研發(fā)中，這里需要關(guān)閉�。�！

　這里需要關(guān)閉�。�！

　步驟五、 配置認(rèn)證策略 置 配置 VPN 不需要認(rèn)證的策略，手機(jī)與 VPN 之間的數(shù)據(jù)連接才能連通；配置其他所有數(shù)據(jù)均需要單點(diǎn)登錄上網(wǎng)的策略，手機(jī)才能認(rèn)證后上網(wǎng)。

　1、配置 VPN 不需要認(rèn)證的策略 在認(rèn)證策略中新增策略，在認(rèn)證范圍中配置 VPN 的 IP 地址（100.100.136.5），然后認(rèn)證方式配置為不需要認(rèn)證+以 IP 地址作為用戶(hù)名，然后點(diǎn)擊提交。

　 2、配置其他所有數(shù)據(jù)均需要單點(diǎn)登錄上網(wǎng)的策略 這里直接使用默認(rèn)策略進(jìn)行修改（當(dāng)然也可以新建策略進(jìn)行配置），認(rèn)證范圍不需要修改，認(rèn)證方式修改為單點(diǎn)登錄+單點(diǎn)登錄失敗跳轉(zhuǎn)到內(nèi)置提示頁(yè)面后點(diǎn)擊提交。

　 步驟六 、SSLVPN 配置 ，配置 MDM 參數(shù) 了 配置了 mdm 的 的 IP 地址，手機(jī)才能從外網(wǎng)訪問(wèn) VPN ；配置了 mdm 的心跳參數(shù)，手機(jī)被 才獲取正確的參數(shù)，然后發(fā)送能被 AC 正確識(shí)別的心跳數(shù)據(jù)包。

　在【移動(dòng)設(shè)備管理】中點(diǎn)擊【設(shè)置】。配置客戶(hù)端接入地址為 AC 配置-端口映射的 IP地址，這里因?yàn)榍懊娑丝谟成涞氖?102.4.136.202 的 IP 地址，所以這里填寫(xiě)的就是 IP 102.4.136.202。如果配置的是 441 端口映射到 VPN 的 441 端口，那么這里就填寫(xiě) AC WAN口的 IP 地址。

　然后還要勾選啟用 AC 準(zhǔn)入控制，配置 AC 接入 IP 和心跳包密鑰。這個(gè)是告訴手機(jī)如何正確地連接 AC，因?yàn)榉桨钢谢ヂ?lián)網(wǎng)連接過(guò)來(lái)的手機(jī)數(shù)據(jù)被 VPN 代理，所以這里只需要填寫(xiě) VPN 能訪問(wèn)到的 AC IP 地址即可，例如下圖的 100.100.137.104。心跳包密鑰請(qǐng)與 AC 配置-認(rèn)證選項(xiàng)保持一致。

　 企業(yè)移動(dòng)管理，移動(dòng)設(shè)備策略，全局配置策略，啟用 L3VPN 虛擬專(zhuān)線。

　步驟七、SSLVPN 基礎(chǔ)配置 配置了客戶(hù)端選項(xiàng)，手機(jī)才能自動(dòng)登錄。

　在【系統(tǒng)選項(xiàng)】-【客戶(hù)端選項(xiàng)】中，勾選允許客戶(hù)端自動(dòng)登錄（勾選時(shí)會(huì)自動(dòng)勾選允許客戶(hù)端保存密碼），然后點(diǎn)擊保存配置。

　 1、配置虛擬 IP 池 擬 配置了虛擬 IP 地址池，VPN 才能給連接成功后的手機(jī)分配虛擬 IP ，然后以虛擬 IP 為源地址代理該手機(jī)上網(wǎng)。

　在【系統(tǒng)選項(xiàng)】-【虛擬 IP 池】中配置虛擬 IP 池。這里編輯下默認(rèn)的 IP 地址池，擴(kuò)展下起始和結(jié)束地址即可，具體參考下圖。

　 2、修改資源的訪問(wèn)形式為“使用分配的虛擬 IP 地址作為源地址”

　3、配置全網(wǎng)資源，然后通過(guò)角色綁定給對(duì)應(yīng)的用戶(hù)或者是用戶(hù)組

　4、配置內(nèi)網(wǎng) DNS 解析 網(wǎng) 配置了內(nèi)網(wǎng) DNS 解析，VPN 才能代理手機(jī)的 DNS 解析請(qǐng)求，進(jìn)而去訪問(wèn)互聯(lián)網(wǎng)。

　在【系統(tǒng)選項(xiàng)】-【內(nèi)網(wǎng)域名解析】的【內(nèi)網(wǎng) DNS 規(guī)則設(shè)置】中新增域?yàn)?ldquo;*”的域名解析規(guī)則，然后確定并保存，如下圖所示。

　 合 步驟八、結(jié)合 AC 做微信 QQ 審計(jì) 1、在移動(dòng)設(shè)備策略中開(kāi)啟微信/QQ 審計(jì)功能

　2、封裝微信和 QQ 下載微信和 QQ 進(jìn)行封裝 注意在封裝的時(shí)候在高級(jí)選項(xiàng)需要輸入單獨(dú)的定制版本號(hào)SSLPK-APKAUDIT

　封裝之后的 APP 需要發(fā)布到應(yīng)用商店即可

　3、通過(guò)應(yīng)用商店發(fā)布該 APP 發(fā)布完成之后就可以在應(yīng)用商店看到封裝好的 APP。

　配置 EMM 應(yīng)用商店，應(yīng)用商店外網(wǎng)接入地址這個(gè)是接入 VPN 的地址

　注意事項(xiàng) 其他 EMM 封裝問(wèn)題請(qǐng)參考 《 SANGFOR_EMM 企業(yè)應(yīng)用封裝測(cè)試指導(dǎo)書(shū)_20150821.doc 》 擬 步驟九、內(nèi)網(wǎng)服務(wù)器資源池添加虛擬 IP 池的回包路由 在 WINDOWS 進(jìn)入 CMD 命令行模式輸入

　格式如下：

　Route add 目的網(wǎng)段 mask 掩碼 下一跳 -p（表示永久保存）

　注意事項(xiàng) 如果服務(wù)器和 SSL 設(shè)備之間通過(guò)路由進(jìn)行通信需要在路由設(shè)備上面寫(xiě)一條回包路由指向 SSL 設(shè)備。格式為：目的地址為 2.0.0.0/16，下一跳為 100.100.136.5。

　5.5.2 、手機(jī)使用方式 認(rèn) 步驟一、輸入登錄地址（默認(rèn) 443 端口）

　如果 AC 配置-端口映射配置的是映射外網(wǎng) IP 102.4.136.202 到內(nèi)網(wǎng) VPN，那么 aWork的 VPN 地址就填寫(xiě) 102.4.136.202，如下圖。

　如果配置的 AC WAN 口 1443 端口映射到內(nèi)網(wǎng) VPN 的 443 端口，那么手機(jī)上 VPN 的地址就填寫(xiě) http://[AC WAN 口 IP 地址]:1443 即可。

　 步驟二、選擇對(duì)應(yīng)的認(rèn)證方式以及可選的是否保存密碼以及自動(dòng)登錄

　 在 步驟三、在 AC 查看認(rèn)證結(jié)果

　在 AC 上查看虛擬 IP 對(duì)應(yīng)的用戶(hù)名上線，在 SSLVPN 上的在線用戶(hù)檢查手機(jī)登錄用戶(hù)名對(duì)應(yīng)的虛擬 IP 地址是否與該虛擬 IP 對(duì)應(yīng)，再檢查是否是手機(jī)上 aWork 上的用戶(hù)名，這 2個(gè)都對(duì)應(yīng)的上就代表該手機(jī)已經(jīng)在 AC 上線，手機(jī)可以通過(guò) VPN 代理去訪問(wèn)互聯(lián)網(wǎng)了。

　注意事項(xiàng) 1.手機(jī)登錄 aWork 后，1 分鐘內(nèi)用戶(hù)在 AC 上線。如果登錄后立即訪問(wèn)互聯(lián)網(wǎng)失敗，請(qǐng)等 1分鐘后再試。

　產(chǎn)品功能介紹 參考 SANGFOR_SSLM7.2-EMM 智慧軍營(yíng)指導(dǎo)書(shū)_20160410 SANGFOR_SSLM7.2-EMM 智慧軍營(yíng)指導(dǎo)書(shū)_beta7

相關(guān)熱詞搜索：培訓(xùn) 軍營(yíng) 階段