xxx打印业务安全项目

  公司简介：

xxx有限公司主营业务包括：复印、胶印等办公设备制造/租赁/销售/维修等服务；照相机及器材制造/销售；幻灯及投影设备制造/销售；影视录放设备制造；工业自动控制系统装置制造；五金产品制造；工程塑料及合成树脂制造；电子元器件制造；集成电路制造/销售；机械电气设备制造；机床功能部件及附件制造；模具制造/销售；印刷专用设备制造；软件开发/销售/集成等服务。

客户由于本地设备（Forti设备）老化，考虑到日本总部设备已部署上AWS，整体架构需和总部保持一致，且AWS Marketplace提供了现成的Forti镜像等相关服务。故客户不假思索选择了AWS。客户需在中国AWS宁夏区域部署Citrix-SD-WAN、Fortinet系列产品（FortiGate、FortiProxy、FortiAnalyzer、FortiManager、FortiAuthenticator）、EMS和AD-Server；使用Citrix-SD-WAN将本地和其它据点与AWS云打通隧道，再由FortiGate防火墙路由策略控制流量出入，非本地用户通过FortiProxy代理上网来对接到本地，其中EMS结合FortiAuthenticator和FortiAnalyzer来做双因子认证识别用户信息；FortiManager则用于统一管理Fortinet产品的机器。

  面临的挑战：

因日本总部设备已部署上AWS云，客户急需在中国AWS宁夏区域部署一套同样的安全最佳实践，但客户对于云环境和业务不够熟悉，对安全实操也疏于配置，提出：希望博思云为项目团队能为其部署、配置相关服务，让非本地用户能访问本地服务，确保访问安全性；简化管理流程，提高效率，确保所有设备按照统一的策略进行配置和管理。

  解决方案:

为了快速有效帮助客户完成网络安全最佳实践方案，博思云为先打通了VPN隧道路由，通过策略控制流量出入；部署了EMS服务器，制定策略（USB控制、网页过滤、应用控制、漏扫等），期间也遇到些棘手问题，邀请了Forti技术人员协助调整，具体操作如下：

1、SD-WAN与本地打通隧道，并将本地其它的据点也一并打通；设FortiGate-VM08-GW为主防火墙，使用路由策略控制SD-WAN、EMS、FAC、FAZ、FMG的流量出入。

2、在AWS平台部署FortiClient EMS服务器，通过EMS服务器的TCP 10443端口向EMS服务器下载或更新FortiClient安装包。通过EMS服务器的TCP 8013向EMS发起连接请求，EMS重定向内网服务器登陆页面并将认证信息和终端健康状态信息同步给FAC和FG-VM08，验证通过后客户端便可访问内部应用。通过EMS制定策略，下发策略到客户端进行USB控制、网页过滤、应用控制、漏洞扫描等。

3、搭建双因子认证功能：使用账号认证结合FortiToken所推送的PIN码的认证，进行双重保护。认证与授权功能，通过FortiAuthenticator进行认证与授权，EMS基于FortiAuthenticator规则，赋予EMS中的角色，对用户角色指定访问级别和启用FortiGuard服务。部署单点登录功能，在整个远程访问过程中，只需要在认证时登录一次即可。

4、FAZ对所有访问流量进行日志存储；FMG对Forti产品进行统一管理。

5、FortiGate-VM08-Proxy：在AWS平台FG-VM08部署SSLVPN功能；内部员工外部终端通过Internet访问FG-VM08的TCP 20443端口连接SSLVPN；FG-VM08发送终端认证信息到FAC，等待FAC验证通过；认证通过后，FG-VM08根据用户的角色分配IP地址与放通访问权限。

6、AD-Server对接本地域进行活动作业，流量走向如下：1）终端发起连接EMS请求，EMS应FAC，要求终端提供认证信息（域用户名/密码+ Token）；2）EMS发送终端认证信息到FAC，FAC验证通过后，授予终端用户角色；3）EMS根据用户的角色下发策略到客户端进行USB控制、网页过滤、应用控制、漏洞扫描等；4）FG-VM08根据EMS同步过来的ZTNA标签放通权限，终端通过ZTNA TCP应用/WEB访问内网资源。