移动办公网络建设技术方案

移动办公网络建设技术方案

、项目背景

随着移动互联技术快速发展，智能手机已经全面普及，

使用手机等移动终端进行移动办公具有不受地域、时间限

制、可随时随地工作的特点，应用范围越来越广。为提高日安全保护总体技术框架＞的通知》（税总发〔2014 〕129 号）

常办公效率，根据《国家税务总局关于印发＜税务电子数据

的有关要求，我省将在移动办公系统建设中参考“江苏省国家税务局移动办公安全解决方案”的做法，通过统一接入、认证管理和应用推送，充分保障应用和数据安全,实现办公系统在

移动互联网和智能终端的延伸。

、实现原理

当用户在移动终端上点击综合办公系统APP 按钮时，

终端将切换信号接入点，断开与公有互联网的连接，通过4G

网络和VPDN 专线接入部署在国税移动办公接入区的应用发布设备，通过该设备建立一个安全通道，连接部署在国税移动办公安全缓冲区的服务器，在该服务器上打开综合办公系统的主页，利用应用发布设备具备的应用推送功能，将系统界面截图加密后通过VPDN 专线和4G 网络推送到移动终端，这样移动终端上就可以进行点击、输入等操作，如同在移动终端远程操控办公电脑一样。移动终端只是用作界面截

图展示，真正的数据流转还是在国税端缓冲服务器上实现，并未在移动终端落地。

三、网络系统设计

（一）网络与安全架构

移动办公省局端网络由接入区和安全缓冲区两部分组

接入区用于连接移动

VPDN线路，部署应用发布设备等

安全设备，移动终端对综合办公系统的访问到该区域应用发布设备截止。

安全缓冲区上联接入区，下联业务专网，部署缓冲服务

器，应用发布设备访问综合办公系统服务器，该服务器再访问业务专网综合办公系统，并将返回流量发送应用发布设备。

详细设计如下：

1）两台路由器作为VPDN 线路接入路由器。

2 ）两台三层交换机作为接入区核心交换机，与路由

器之间采用防火墙安全隔离，防火墙启用路由模式。应用推送设备、入侵检测均部署在接入区。

3）两台三层交换机作为缓冲区核心交换机，与接入

区核心交换机通过网闸安全隔离。该区域与业务专网通过防火墙安全隔离，启用NAT 反向代理。综合办公系统缓冲服务器部署在该区域。

二）数据流向设计

为保证移动办公安全稳定运行，省局端网络将采用主备

模式。对于数据流向设计主要基于以下几个原则：

上下行数据流向尽量保持一致；发生故障时，坚持影响范围最

小、偏离正常数据流向各功能区域之间通过防火墙进行安全防

护；移动终端用户访问综合办公应用时，数据终结在安全缓冲

区；仅允许移动办公缓冲区服务器对业务专网综合办公

系统发起访问。

移动办公数据流向如下图:

1、移动终端对综合办公系统的访问通过路由器接入，

通过第一道防火墙，首先访问应用发布设备，应用发布设备 首先进行身份认证，核实用户的身份，并且做账号审计。该

通过防火墙访问部署在业务专网内的综合办公系统，在缓冲 服务器桌面上显示综合办公系统主页。

3、应用发布设备将缓冲服务器桌面截图后，进行加密，

通过VPDN 专线和移动4G 网络返回用户移动终端上展示。

4、当用户在移动终端上进行点击、输入等操作时，移

动终端会将该指令通过网络发送到应用发布设备，由该设备 指挥缓冲

国税业务专网

琮合办公系St 煙沖眼努器2

设备通过网闸，建立一个安全加密通道 ,调用缓冲区服务器 运誇屈VPDN

国税移动办公接入区 課時服下一代JS

应用炭布工

湘』EASPB 御 L rtni-i 丄

鲂冲服务器1 《豪I 踊离网闸

服务器进行相同的操作。移动终端只作为界面截图展示和接受操作指令，数据不落地，真正的数据流转是在国税安全缓冲区服务器上实现。

5、移动终端访问终止后，应用发布设备建立的专用通

道关闭，缓冲服务器对综合办公系统的访问终止。

本文档内容可以自由复制内容或自由编辑修改内容期待

你的好评和关注，我们将会做得更好】