一、 系统简介

       兹中资源访问控制系统ZNET-WEB-3000基于webproxy技术原理，提供基于web技术的内网应用访问控制，允许授权用户访问只对web开放的内网应用，实现类似VPN（虚拟专用网）的功能；同时系统具备负载均衡管理，提供统一认证及计费管理等功能。

       区别于传统VPN技术，本系统无需用户做任何配置或安装客户端软件及浏览器插件，直接在网页上通过身份验证即可进入内网应用，大大降低使用门槛，提升用户体验。

        系统在提供便捷的内网访问功能的同时，还提供更强的内网访问安全，通过一次性密码技术（可通过企业微信、短信发送一次性密码）、u-key证书认证、企业微信扫码登录等技术手段杜绝了弱口令和密码泄漏的问题，同时内置SSL引擎，对访问请求进行加密，保障应用安全。

        系统采用分体式设计，DMZ区和内网分开部署，进一步提高整体网络安全水平。

       系统运行于linux操作系统，运行稳定，单系统web请求每秒并发可达到8000个以上，完全满足高校、大型企业等高并发的运行环境；系统也支持分布集群，满足超高并发场景。

二、 用户统一认证管理

        系统内置强大的用户及统一认证管理模块，可对网络内的各种服务，比如pppoe上网、portal上网、802.1x上网、无线上网、门户登录、各应用统一认证登录等系统 的用户统一管理、统一认证、统一记账，并记录详细的日志。如果学校或单位已有统一门户等系统，本系统也可很方便对接。

       系统支持企业微信密码重置功能，如果用户忘记密码，可很方便同时重置本系统内用户密码和对接的系统的密码。

三、 安全加密通道

       用户可配置安全证书，采用ssl加密通道，实现用户端到系统侧安全加密传输web数据，实现数据安全。

四、 单点登录及统一门户

       用户从外网登录本系统访问内网应用时，可采用传统用户名加密码验证方式认证，也可通过一次性密码技术（可通过企业微信、短信发送一次性密码）、u-key证书认证、企业微信扫码登录等技术手段杜绝了弱口令和密码泄漏的问题。

        可定制和第三方系统（比如门户系统）深度融合，实现用户只进行一次认证，即可登录第三方系统。

       系统可根据用户角色进行不同的授权，可定制用户登录平台后显示不同的访问门户界面；也能实现直接登录进第三方系统。

五、 负载均衡管理

       系统支持内网应用负载均衡管理，支持常见的5种负载方式：轮询、权重（weight）、ip_hash、fair（第三方）、url_hash（第三方）

1、提高服务器响应速度，解决网络拥塞问题，达到高质量的网络访问效果。

2、能够远距离为用户提供完全的透明服务,真正实现与地理位置无关性

3、能够避免各种单点失效，既包括数据中心、服务器等的单点失效，也包括专线故障引起的单点失效。

六、 学校现有情况分析及建设方案

       针对高校、各教育企业现有情况，已有统一认证及门户系统，另外企业微信中有很多应用需要对外提供服务，提出解决方案如下：

       注：方案中只有《兹中资源访问控制系统》暴露在外网，其他应用均在内网中。

       另外，用户所有访问均保留日志至少180天，以满足等级保护的要求。

用户访问门户系统及内网应用流程

用户访问企业微信应用