EMM智慧军营培训-阶段培训测试指导

　 EMM 智慧军营培训 1 、项目背景 项目背景和建设依据 认真贯彻落实习主席“政治工作过不了网络关就过不了时代关”、“要顺势而为、因势利导，研究把握特点规律，用好用活网络平台”重要论述指示精神，以四总部《关于进一步规范基层工作指导和管理秩序若干规定》（以下简称《规定》）、《军队计算机连接国际互联网管理规定》、解放军保密委员会《严密防范网络泄密“十条禁令”》等有关法规制度为依据，坚持以人为本原则，满足官兵想网用网的强烈期盼，各部队积极响应国家政策要求，开放互联网，并建立手机和互联网管理规定。

　《规定》紧紧抓住基层反映最强烈、最期盼解决的问题，从加强工作统筹、减少会议文电、精减大项活动、严控检查评比、落实休假探亲等方面，提出科学合理、具体实在的对策措施。其中《规定》适度放宽了手机网络使用的限制，明确“在符合保密要求的前提下，军队人员在课外活动时间、休息日、节假日等个人支配的时间，可以使用手机（含智能手机），可以通过个人移动终端或者军营网吧使用互联网。

　为切实执行《规定》要求，严格贯彻军队互联网使用 “符合保密要求”的硬杠杠，加强对于手机上网和军营网吧的行为控制、上网记录审计、上网风险预警、泄密风险防控、统一管控建设，全网安全监测特提出本次建设项目方案建议。

　2 、升级操作 参考 SANGFOR_SSLM7.2-EMM 智慧军营指导书_beta7

　3 、Awork 安装 准备工作 参考 SANGFOR_SSLM7.2-EMM 智慧军营指导书_20160410 安装方法一 使用 awork 安装工具安装 参考 SANGFOR_SSLM7.2-EMM 智慧军营指导书_20160410 安装方法二 使用命令行安装 Awork

　步骤一 手机恢复出厂设置（非必须操作）

　步骤二 手机开启 USB 调试模式，通过 USB 链接线插入 pc 步骤三 命令行执行 adb devices,确认有设备。如果没设备，用豌豆荚安装下驱动，如果豌豆荚可以正常识别到手机说明目前驱动安装是 OK 的。

　正常情况提示如下:

　不正常提示如下：

　步骤四 命令行执行 adb install aWork.apk，安装 awork

　 PS：在使用该命令安装的时候注意看手机的屏幕会提示需要手动点击“确定”安装 awork 步骤五 安装完成后，命令行执行进行提权 adb shell dpm set-device-owner com.sangfor.vpn.client.awork/com.sangfor.vpn.client.service.mdm.register.AdminReceiver

　注意事项：

　在Widnows上面操作上面的命令需要提前使用命令cd切换到对应的路径下面要不然会提示命令不存在的错误 安装方法三 使用 aSystemHost 安装 Awork 步骤一 如果手机的 ROM 已经内置了（或者客户定制过 ROM）那么在手机上面可以看到

　 步骤二 这个类似 asystemhost 的图标打开之后如下

　步骤三 在这里输入接入 VPN 的地址之后会自动进行下载安装 awork。安装完成之后手机会自动进行重启。

　步骤四 手机重启完成之后请稍作等待会自动完成剩下的操作，最后的界面如下，表示 awork 安装完成

　 4 、部署案例 4.1 、模式设计 互联网的开放给战士带来了信息共享的便利，为业务系统提供了传输平台，但是正因为互联网的过度开放，互联网访问若不受控，将带来诸多的安全隐患。通过解读《部队手机和互联网使用规定》中针对手机上网和网吧上网的安全要求，如何保障上网终端可控，构建绿色、安全的互联网使用环境，保障上网安全，是手机和互联网使用平台管理建设中需要考虑的重点问题。

　4.2、 、 部队手机和互联网使用管理整体技术方案

　手机和互联网安全管控技术方案拓扑图 1）

　手机上网安全方案：部队官兵通过从运营商购买的指定手机上网，手机终端安装终端管理软件，EMM 服务器放在运营商出口或者是师部机房出口（根据网络出口位置确定），手机上网流量统一出口位置部署上网行为管理设备，对手机上网做严格的过滤和审计。其中出口的上网行为管理设备与 EMM 设备做联动，只允许已经安装 EMM 终端管理软件的手机才能上互联网，并在上网行为管理设备上记录手机账号。在需要安全管控升级时，可在上网出口放 1台下一代防火墙设备，抵抗外到内的攻击； 2）

　军营网吧上网安全方案：营区网吧计算机通过当地的互联网出口上网，为了满足《规定》中上互联网的安全保密原则，在每个支队/中队出口放 1 台上网行为管理网关设备，做上网身份认证、非法网页过滤、敏感信息外发管控、USB 口等外设的封堵、上网时长提醒和控制、上网行为和内容审计、防病毒等。为了集中管理，在师部部署 SC 集中管理平台和日志集中管理平台，对所有支队网吧出口的行为管理做设备统一管控和日志集中汇总分析，降低运维难度，保障信息安全。

　下面针对手机上网和网吧上网两个不同场景做平台项目描述：

　4.3 、部队手机上网安全平台架构 手机上网网络由当地运营商单独为部队提供，部队官兵在内部登记后在运营商统一购买指定手机 SIM 卡和智能手机。该智能手机通过运营商 4G 网络连接互联网，或通过师部的互联网统一出口实现互联网接入。为了保障部队官兵在手机使用过程中满足可管控的要求，所有智能机在使用之前必须安装特定的 EMM 终端管理软件（aWork 客户端），实现对手机操作系统、应用程序、摄像头、语音、定位等手机应用的统一管理。

　图 图 1 1 ：

　手机上网安全平台拓扑图

　手机接入区的网络由运营商搭建，手机通过 VPDN 专线的方式接入运营商/营区内网区域。通过 EMM 等方案对手机接入者进行身份认证，手机识别和管理。

　通过在运营商出口部署 EMM 设备，在下手的手机终端中安装一个 APP，可实现针对手机终端的操作系统、APP、进程等进行控制，并能实现针对手机终端的审计和内容擦除，满足部队对手机上网的管控要求。

　除了针对手机终端的管控外，手机上互联网的内容安全也需要满足《规定》中的安全要求，因此运营商/师部的手机互联网集中出口 部署 上网行为管理和下一代防火墙设备，构建安全域防护、泄密风险防控、全网安全统一监测的手机接

　入互联网上网安全平台。

　4.4、 、 部队营区网吧上网安全平台架构 按照总参规划，各总队级（省级）单位通过属地运营商线路直接联接互联网，不再统一汇聚连接长城网。为确保网络安全，需要安装具有防火墙、上网行为管理、防病毒、流量控制等功能的安全防护设备，提高对出入互联网信息的安全防范能力。同时《规定》 中提出军营网吧计算机联接互联网，应当经总队（师）级单位信息化（通信）部门审批、保密部门备案。

　利用上网行为管理技术构建一套符合《关于进一步规范基层工作指导和管理秩序若干规定》、《部队手机和互联网使用规定》相关指示，建设满足部队网吧接入互联网整体安全的方案。其中管控要求具体包括网络安全隔离，网络抗攻击，上网行为控制、上网行为和内容审计、泄密风险防控、统一管控，日志集中等，拓扑图如下：

　图 图 2 2 ：总队营区网吧上网安全平台拓扑图

　在师部机房部署上网行为管理集中平台与上网日志服务器各一套，在各地市支队、中队营区网吧互联网出口位置分布式部署上网行为管理网关一台，通过总队上网安全集中管理平台使用IPSEC VPN技术与下属各营区网吧上网行为管理设备建立数据加密传输隧道，统一控制下属各营区网吧上网行为管理设备，统一下发控制策略、审计策略。同时设定策略，规定各营区上网行为管理网关每天定时

　将其所审计数据通过 IPSEC VPN 隧道传输至统一控制区上网日志服务器中，各营区上网行为管理网关不留存数据，统一控制区上网日志服务器日志留存至少 60天。

　各营区网吧上互联网数据由各营区上网行为管理网关控制、审计后经由网吧互联网线路直接访问互联网资源。

　为保障管理数据、日志审计数据在互联网上安全传输，各营区上网行为管理控制数据，通过总队统一控制区上网安全集中管理平台与各营区上网行为管理网关建立的 IPSEC VPN 加密传输隧道进行传输，并与互联网数据隔离。在数据传输区通过加密隧道传输日志审计、管理控制数据，互联网数据则以明文数据方式直接访问互联网资源。

　通过上述拓扑与数据流示意，营区上网安全平台实现如下功能：

　1、网吧有线网络用户统一管理，不同类型用户访问权限灵活划分。可针对位置、应用、终端、用户、四种维度做权限控制，包括过滤非法网页、封堵非法网络应用、禁止代理翻墙、控制上网时长、封堵 USB 接口、上网行为审计等； 2、总队控制区和营区互联网上网安全区通过各自出口的行为管理设备做IPsec 组网，保证不同地域间上网行为管理网关能够与总队上网安全集中管理平台互联，同时保证数据在互联网上传输的安全性； 3、总队统一控制区部署上网安全集中控制平台，对全网的行为管理设备做统一管控，全网行为管理设备可以统一升级、统一更新、统一配置并下发。

　4、总队统一控制区部署上网日志服务器，同步全网行为管理设备的日志，进行统一汇总、统一查询、统一呈现。

　5 、 互联网控制解决方案 5.1 、APN 控制解决方案 过去的 EMM 解决方案都是使用以下的部署方式：通过运营商的 APN 专线，将流量引入到军营机房，通过路由状态的 AC 去上网，如下图所示。

　 图 1 APN 组网模式拓普图 但由于只有省会机房具备支持 APN 的交换机，需要从省会的运营商机房拉 APN 专线到地市，这给部署带来了很大障碍，所以我们推出了 VPN 部署方案；以下部分为 VPN 和APN 部署方案。

　5.2 、APN 数据访问流程

　第一步，手机客户端通过 APN 专线网络接入到 SSLVPN 完成认证 第二步，认证成功之后 SSLVPN 会把认证之后的信息发送给 AC 第三步，SSLVPN 认证成功之后会把 AC 的地址和端口通过 VPN 网络发送给手机客户端，手机通过隧道连接到 AC 维持心跳 第四步，AC 做代理上网之后把数据取回来之后通过 SSL 加密发送给手机客户端

　5.3 、VPN 控制解决方案 考虑到更多的客户是手机直接连接互联网的情况，环境如下所示：

　 图 2 VPN 部署拓扑图

　注：AC 使用的是路由模式，VPN 使用的是单臂模式。

　1. SSLVPN 在 AC 上做端口映射出来让互联网另一端的手机能访问。

　2. 手机通过互联网访问 SSLVPN 后，通过 VPN 代理上网。

　5.4 、VPN 数据访问过程

　第一步，手机通过互联网建立 VPN 隧道，AC/AF 做端口映射到 SSL 设备 第二步，SSL 把认证成功的信息发送给 AC 第三步，手机跟 AC/AF 维持心跳，保活已有连接

　 第四步，手机上网互联网的流量先是发送到 SSLVPN 然后又 SSLVPN 发送给 AF/AF 做代理上网 第五步，数据返回之后经由 SSL 做加密处理返回给手机客户端

　5.5 、VPN 数据访问配置步骤 5.5.1、 、 网络拓扑

　 步骤一、AC 配置，在 AC 上面配置端口映射到 SSLVPN 设备 因为这里 AC 的 WAN 口有 2 个 IP 地址，所以下面直接将第 2 个 IP 地址映射出去（102.4.136.202）。下图就是在 AC 的端口映射中添加高级规则，将访问 102.4.136.202 这个 IP 的所有协议数据映射给 100.100.136.5（VPN IP 地址）上去。

　******Tips****** 问题：如果 AC 的 WAN 口只有一个 IP 地址怎么办？ 答案：可以在端口映射中配置规则，将 WAN 口的某个端口映射到 VPN 上需要被外网访问的端口上去。下图就是例子，在端口映射中新增简单规则，将访问 AC WAN 口的 1443 端口映射到 VPN 的 443 端口上去。不过注意，如果这样配置的话，还需要将 VPN 的下列端口映射出去：

　（1）4430 端口，映射后外网就可以远程访问 VPN 控制台； （2）51111 端口，映射后外网就可以远程升级 VPN； （3）441 端口，映射后手机才能与 VPN 建立 MDM 服务；

　 步骤二、NAT 配置 NAT 代理需要将 AC 本身的内网 IP 网段和手机的虚拟 IP 网段都进行代理。这里手机的虚拟 IP 网段是 2.0.0.0/255.255.0.0，所以除了配置代理 LAN 口网段上网外，还需要添加2.0.0.0/16 的代理，如下图所示。

　步骤三、配置静态路由 配置了静态路由，AC 才能将到虚拟 IP 网段的数据发送给 VPN 设备。

　在【静态路由】中新增 IPv4 的路由，配置到目的网段 2.0.0.0/255.255.0.0 的所有数据包，下一跳是 100.100.136.5，如下图所示。

　 步骤四、 配置认证选项 被 设置了认证选项，手机的心跳数据才能被 AC 正确接收，然后虚拟 IP 对应的用户名才被 能认证上线，这之后才能被 AC 放通去访问互联网。

　在认证高级选项-定制扩展中配置 AC 与 SSLVPN 约定的参数。各个参数配置与说明如下：

　heartbeat_sso_enable = 1

　//是否开启心跳，1-开启，0-不开启 heartbeat_sso_pwd = AbCd1234 //心跳密钥，8 位大小写字母和数字的混合字符串 heartbeat_sso_timeout = 180 //心跳用户超时时间，单位为秒；这里 180 的意思是在没有收到距离上次心跳数据包接收时间的 180 秒后，该心跳用户自动注销 Sync_use_enable = 0 //用户同步功能，1-开启，0-关闭；下一阶段功能，目前研发中，这里需要关闭！！！

　这里需要关闭！！！

　步骤五、 配置认证策略 置 配置 VPN 不需要认证的策略，手机与 VPN 之间的数据连接才能连通；配置其他所有数据均需要单点登录上网的策略，手机才能认证后上网。

　1、配置 VPN 不需要认证的策略 在认证策略中新增策略，在认证范围中配置 VPN 的 IP 地址（100.100.136.5），然后认证方式配置为不需要认证+以 IP 地址作为用户名，然后点击提交。

　 2、配置其他所有数据均需要单点登录上网的策略 这里直接使用默认策略进行修改（当然也可以新建策略进行配置），认证范围不需要修改，认证方式修改为单点登录+单点登录失败跳转到内置提示页面后点击提交。

　 步骤六 、SSLVPN 配置 ，配置 MDM 参数 了 配置了 mdm 的 的 IP 地址，手机才能从外网访问 VPN ；配置了 mdm 的心跳参数，手机被 才获取正确的参数，然后发送能被 AC 正确识别的心跳数据包。

　在【移动设备管理】中点击【设置】。配置客户端接入地址为 AC 配置-端口映射的 IP地址，这里因为前面端口映射的是 102.4.136.202 的 IP 地址，所以这里填写的就是 IP 102.4.136.202。如果配置的是 441 端口映射到 VPN 的 441 端口，那么这里就填写 AC WAN口的 IP 地址。

　然后还要勾选启用 AC 准入控制，配置 AC 接入 IP 和心跳包密钥。这个是告诉手机如何正确地连接 AC，因为方案中互联网连接过来的手机数据被 VPN 代理，所以这里只需要填写 VPN 能访问到的 AC IP 地址即可，例如下图的 100.100.137.104。心跳包密钥请与 AC 配置-认证选项保持一致。

　 企业移动管理，移动设备策略，全局配置策略，启用 L3VPN 虚拟专线。

　步骤七、SSLVPN 基础配置 配置了客户端选项，手机才能自动登录。

　在【系统选项】-【客户端选项】中，勾选允许客户端自动登录（勾选时会自动勾选允许客户端保存密码），然后点击保存配置。

　 1、配置虚拟 IP 池 拟 配置了虚拟 IP 地址池，VPN 才能给连接成功后的手机分配虚拟 IP ，然后以虚拟 IP 为源地址代理该手机上网。

　在【系统选项】-【虚拟 IP 池】中配置虚拟 IP 池。这里编辑下默认的 IP 地址池，扩展下起始和结束地址即可，具体参考下图。

　 2、修改资源的访问形式为“使用分配的虚拟 IP 地址作为源地址”

　3、配置全网资源，然后通过角色绑定给对应的用户或者是用户组

　4、配置内网 DNS 解析 网 配置了内网 DNS 解析，VPN 才能代理手机的 DNS 解析请求，进而去访问互联网。

　在【系统选项】-【内网域名解析】的【内网 DNS 规则设置】中新增域为“*”的域名解析规则，然后确定并保存，如下图所示。

　 合 步骤八、结合 AC 做微信 QQ 审计 1、在移动设备策略中开启微信/QQ 审计功能

　2、封装微信和 QQ 下载微信和 QQ 进行封装 注意在封装的时候在高级选项需要输入单独的定制版本号SSLPK-APKAUDIT

　封装之后的 APP 需要发布到应用商店即可

　3、通过应用商店发布该 APP 发布完成之后就可以在应用商店看到封装好的 APP。

　配置 EMM 应用商店，应用商店外网接入地址这个是接入 VPN 的地址

　注意事项 其他 EMM 封装问题请参考 《 SANGFOR_EMM 企业应用封装测试指导书_20150821.doc 》 拟 步骤九、内网服务器资源池添加虚拟 IP 池的回包路由 在 WINDOWS 进入 CMD 命令行模式输入

　格式如下：

　Route add 目的网段 mask 掩码 下一跳 -p（表示永久保存）

　注意事项 如果服务器和 SSL 设备之间通过路由进行通信需要在路由设备上面写一条回包路由指向 SSL 设备。格式为：目的地址为 2.0.0.0/16，下一跳为 100.100.136.5。

　5.5.2 、手机使用方式 认 步骤一、输入登录地址（默认 443 端口）

　如果 AC 配置-端口映射配置的是映射外网 IP 102.4.136.202 到内网 VPN，那么 aWork的 VPN 地址就填写 102.4.136.202，如下图。

　如果配置的 AC WAN 口 1443 端口映射到内网 VPN 的 443 端口，那么手机上 VPN 的地址就填写 http://[AC WAN 口 IP 地址]:1443 即可。

　 步骤二、选择对应的认证方式以及可选的是否保存密码以及自动登录

　 在 步骤三、在 AC 查看认证结果

　在 AC 上查看虚拟 IP 对应的用户名上线，在 SSLVPN 上的在线用户检查手机登录用户名对应的虚拟 IP 地址是否与该虚拟 IP 对应，再检查是否是手机上 aWork 上的用户名，这 2个都对应的上就代表该手机已经在 AC 上线，手机可以通过 VPN 代理去访问互联网了。

　注意事项 1.手机登录 aWork 后，1 分钟内用户在 AC 上线。如果登录后立即访问互联网失败，请等 1分钟后再试。

　产品功能介绍 参考 SANGFOR_SSLM7.2-EMM 智慧军营指导书_20160410 SANGFOR_SSLM7.2-EMM 智慧军营指导书_beta7

相关热词搜索：培训 军营 阶段