深信服科技
SSL VPN
第1章 序言
隨著互聯網數據技術的進步和商務模式的發展���,在互聯網技術的幫助下提升業務效率已經是必然的選擇:利用信息化����,加速業務流程�����;利用互聯網����,實現隨時隨地的業務響應�����?;ヂ摼W技術已經徹底改變了傳統的業務辦理模式�����,借助信息化�,相關業務信息實現快速的處理和共享�����,人員無論在何時何地����,只要能連上互聯網����,就能實現業務的及時處理�。
與此同時����,業務信息網絡化另外一方面是帶來了安全的威脅:企業本身的商業數據����、企業的客戶數據信息等一旦被泄露���,則會帶來難以估計的損失����,而一旦通訊或存儲的信息被篡改�����,則更會帶來難以估計的后果�����。由此�,業務信息化����,首先需要解決的是安全問題����。
在計算機網絡中����,除了建設物理隔離的業務網絡之外����,還擁有更具性價比的解決方案�����,使用VPN(Virtual Private Network 虛擬專用網)技術來構建安全的業務網絡�。
VPN利用的是包括認證�����、加密�、安全檢測����、權限分配�、訪問記錄等一系列手段來構建安全的業務網絡�。過去�,大多數公司都是使用傳統的IPSec VPN來解決遠程接入的問題����。但是IPSec VPN最初是為了解決Lan To Lan(網對網)的安全問題而制定的協議�����,因此在此基礎上建立的遠程接入方案在面臨越來越多的End To Lan(點對網)應用情況下已經力不從心�。
IPSec VPN應用于端點接入的不便:
? 首先是客戶端配置問題
在每個遠程接入的終端都需要安裝相應的IPSec客戶端����,并且需要做復雜的配置���,隨著這種遠程接入客戶端數量的增多將給網絡管理員帶來巨大的挑戰�。雖然一些領先的公司已經解決了IPSec 客戶端難以配置和維護的問題����,但是還是無法避免在每個終端上安裝客戶端的麻煩�����,即使這些客戶端很少出問題�����,但隨著用戶數量的增多�,每天需要維護的客戶端絕對數量也不少�����。
? 其次是IPSec VPN自身安全問題
往往傳統的IPSec 解決方案都沒有很好的解決移動用戶接入到私有網絡的安全控制問題�����,這樣就為病毒傳播和黑客入侵提供了很多可能的途徑深信服科技的IPSec VPN已經比較好的解決了這個問題, 深信服科技使用硬件鑒權認證來實現設備的認證接入���,使用VPN專線功能來實現和互聯網的邏輯隔離���,來保證入侵安全性�。如果僅僅在受控的電腦上���,比如員工辦公電腦上使用IPSec客戶端則可以通過部署統一的安全策略來解決該問題�����,但如果要讓合作伙伴或者客戶的電腦接入�,就難以控制了����。
? 然后是對網絡的支持問題
傳統的IPSec VPN在網絡適應性上都存在一些問題���,雖然一些領導廠商已經或正在解決網絡兼容性問題���,但由于IPSec VPN對防火墻的安全策略的配置較為復雜(往往要開放一些非常用端口)���,因此客戶端的網絡適應性還是不能做到百分之百完美����。
? 最后是移動設備支持問題
隨著未來通訊技術的發展�����,移動終端的種類將會越來越多����,IPSec 客戶端需要有更多的版本來適應這些終端�����,但隨著終端種類的爆炸性增長�,這幾乎是不可能的���。
因此SSL VPN技術就孕育而生了����,SSL VPN的突出優勢在于Web安全和移動接入����,它可以提供遠程的安全接入���,而無需安裝或設定客戶端軟件����。SSL在Web的易用性和安全性方面架起了一座橋梁�����。目前�,對SSL VPN公認的三大好處是:首先是它的簡單性�����,它不需要復雜配置���,可以立即安裝�����、立即生效�;第二個好處是不需要安裝客戶端�����,直接利用瀏覽器中內嵌的SSL協議就行�����;第三個好處是兼容性好����,可以適用于任何的終端及操作系統���。
但SSL VPN并不能完全取代IPSec VPN���,這兩種技術目前應用在不同的領域����,是可以進行互補的�����。SSL VPN考慮的是單點接入網絡�����,是應用在點對網結構的接入模式�����;而IPSec VPN是在兩個局域網之間通過Internet建立的安全連接�����,保護的是網對網之間的通信����。在現代的商業機構模式中���,普遍都存在著這兩種需求�,所以我們在選擇VPN技術的時候應該根據實際的業務需求出發����,選擇某一種或者二合一的VPN技術�。
SSL VPN給您帶來的價值
安全護航�,保證業務信息安全
SSLVPN采用嚴謹的認證方式�,高強度的加密模式���,細致的權限分配和訪問記錄�,實現對業務訪問過程的全場護航���,保證業務暢通無阻的同時規避網絡安全風險�。
提高辦公效率���,提升組織響應能力
為了實現隨時隨地地辦公���,進一步提高辦公效率����。但是網絡中無處不在的網絡延時�、網絡丟包導致業務訪問速度急劇下降�,原本需要幾秒處理的事情���,現在卻拖延到了幾分鐘���,嚴重影響了辦公效率���。深信服針對網絡中存在的問題�����,通過深信服的HTP技術�����、動態壓縮技術����、多線路智能選路技術���、不斷加入的廣域網優化技術將進一步解決惡劣環境下訪問速度慢的問題���,全面提高遠程接入訪問的辦公效率�。
降低管理成本����,提升組織經營效益
由于SSL VPN無需安裝客戶端����,對于使用端透明�,無需安排專門的人員進行維護�,針對于傳統的IPSEC需要安裝客戶端�,一旦出現意外需要遠程進行維護����,不管是派專人維護還是遠程維護必將增加維護成本����,對于一兩個點接入的情況這樣的維護成本還可以接受���,但是面對成千上百個點來說���,那將是一筆巨大的維護成本�����,而且極容易造成業務效率的下降�����。SSL VPN無需安裝客戶端����,僅僅依托于瀏覽器�����,不依賴網絡環境(只要能上網均可訪問)���,這三大特點將進一步降低組織的維護運維成本�����,從而進一步降低整體管理成本�。
保障組織信息安全���,防止核心信息外泄
隨著組織規模的擴大���,業務系統也在不斷增多����,也有越來越多外部人員需要訪問內部的應用系統����,但是通過廣域網訪問存在的安全隱患讓組織非常害怕這些關鍵業務數據的泄密�����,因此需要建立一種安全可靠的遠程接入訪問機制����,針對眾多的應用系統提供細致的權限劃分�����、高效的數據加密機制����、豐富多樣的身份認證手段�����、全面的單點接入安全檢查�����、完整的日志審計�,全面防止內部核心應用系統的數據泄密���,保護組織信息安全
第2章 SANGFOR SSL VPN網關簡介
作為中國SSL VPN市場的第一品牌�,深信服科技致力于為客戶提供最快���、最安全�����、最好用的SSL VPN產品�,保護客戶的業務安全可靠�,提高客戶的業務效率���,從而實現共同成長�。
更懂客戶業務的創新方案
從為客戶創造價值的目標出發�����,在深入了解客戶業務情況的基礎上���,深信服科技運用最為創新性的方案�����,為客戶有效地解決業務在互聯網轉化的過程中所遇到的問題����。除了像移動辦公方案和多方接入的權限分配方案這些傳統SSL VPN應用之外����,深信服科技還不斷提出創新性的運用���,比如使用SSL安全特性為客戶解決原有關鍵系統安全保障問題���;運用SSL加密和邏輯隔離的特性為客戶的核心數據實現安全防泄密����。另外�,結合深信服科技在前沿網絡領域中完善的技術�,為客戶提供了更具價值的整體解決方案�����,比如SSL VPN和IPSec VPN二合一的解決方案���,加速VPN解決方案等���。通過大量的成功客戶案例����,證明了深信服科技在以客戶為導向理念下����,已經獲得了市場的高度認可����。
業界持續領先的技術理念
為了給客戶提供最為完善的SSL VPN 產品���,深信服科技持續引領著業界內的技術創新���。從2005年在全球第一家推出IPsec/SSL二合一的產品�����,2006年率先提供了包括短信�����、HardCA硬件鑒權���、動態令牌���、SSL VPN隧道邏輯隔離等安全技術�,2007年根據中國實際網絡環境率先實現跨運營商線路加速����、SSL隧道自動愈合等技術�����,2008創新性地實現混合認證�、動態壓縮�、無線線路優化等技術�,2009年在全球首家實現非對稱集群�、智能隧道選路等技術�,2010年更是推出了業內的最快SSL——流緩存加速技術���。深信服科技���,運用最為創新的SSL VPN技術理念����,為客戶提供最好的VPN�,并主導了中華人民共和國國家VPN標準制定�。
最廣泛的客戶認可度
深信服科技SSL VPN到2010年初為止���,已經服務于超過一萬家的用戶�,值得一提的是:世界五百強中的中國企業70%都選用深信服科技的VPN解決方案�����。深信服科技SSL VPN從2008年開始�,便以超過三分之一的市場����,一直占據中國市場第一的位置����,而且份額還在不斷擴大���。
第3章 SANGFOR SSL VPN網關技術
作為中國市場占有率第一的SSLVPN解決方案供應商���,深信服科技推出的IPSec/SSL一體化網關有以下多種功能和技術特色:
3.1 更安全的SSL VPN為業務互聯保駕護航
3.1.1 豐富的認證方式
在SANGFOR SSL VPN安全網關支持LocalDB���、LDAP/AD����、Radius�、第三方CA����、自建CA�、Dkey�����、短信認證(短信貓和短信網關)���、硬件特征碼���、動態令牌多種安全認證方式���,最大限度地保證了接入用戶的合法性�。
3.1.2 混合認證保護機制
單一的認證方式易被竊取���,為了進一步提高身份認證的安全性�,深信服創新性提出混合認證����,針對上面提到的用戶名和密碼�、CA數字證書�、LDAP/AD���、Radius�、Dkey���、硬件特征碼�、短信認證�����、動態令牌認證方式可以進行五個因素以上的捆綁認證���,這幾種認證方式必須同時滿足才能夠接入SSL VPN系統���。如果需要幾種接入方式做備份接入選擇���,那么深信服創新性提出或組合�,對于以上幾種認證方式進行或組合�����,只要通過一種主認證方式即可接入到SSL VPN系統中�����。
多種認證方式����、完善的認證體系�,使得企業在選擇的時候�,可以根據相應的安全級別�����,對客戶端的認證方式進行組合�����,最大限度地保證了接入用戶的合法性和企業內網資源的高度安全�����。
3.1.3 動態身份認證提供多重保證
當前間諜軟件����、木馬等安全威脅日益嚴重���,傳統的基于口令的認證方式容易被竊取����,一旦泄漏將造成企業數據的安全隱患����。深信服科技采用了多種動態身份認證系統來消除該隱患����,保證了用戶使用SSL VPN訪問總部資源時的安全性����。
? DKEY認證
SANGFOR SSL VPN安全網關采用SSL協議加密建立安全的專用加密通道����,除了使用標準SSL協議內置的RC4等加密算法和RSA128bit簽名算法來保證數據的安全性之外�,還使用DKEY(一種USB 的身份認證設備)進行雙因素身份認證�,并使用PIN碼保護DKEY的安全�。這種USB DKEY可以同時支持兩套VPN(IPSec和SSL)系統�����,安全方便�����。
? 免驅動USBDKey
針對一般的USBDKEY在使用的過程中跟U盤一樣需要安裝該USB Key的驅動����,但是往往驅動的兼容性問題導致無法正常登錄SSL VPN�����,導致業務無法開展����。針對這樣的情況�,深信服提出免驅動DKey認證�����,當您首次使用DKey進行登錄的時候����,不需要安裝DKey也能夠正常登錄SSL VPN���,無需擔心驅動的兼容新問題�,提高業務訪問效率�。
? 短信認證
無線技術的突飛猛進給網絡世界又帶來一次巨大的革命���,其靈活可靠的特點吸引了所有人的視線���,因此�����,依靠無線通訊技術的短信認證技術也應運而生�。短信認證技術是一種革新型認證解決方案���,此認證系統分為手機短信終端和短信認證服務器兩部份����。終端用戶在既有移動電話和PAD的基礎上����,通過手機短信獲得雙因素用戶認證訪問代碼����,就能夠安全地訪問網絡資源�����。深信服支持與短信貓進行互動來進行短信認證�。
? 短信網關
除了通過短信貓方式進行短信發送外����,深信服還支持運營商的短信網關�����,如果您的網絡中已經部署了短信網關(移動�、聯通或電信的短信網關)�,深信服可以和您的短信網關結合�����,實現短信認證���。
當可能由于網絡的延時或者網絡運營商的問題導致短信未及時發出����,完全影響了使用者的使用���,導致業務無法正常使用���,針對這樣的情況�,深信服為您提供短信重發功能�����,讓您能夠方便快捷使用短信認證����。
? 硬件綁定(HardCA)
傳統的用戶名和密碼或者CA證書認證方式都存在證書或密碼被盜用的問題����。為避免傳統方案的泄密缺陷�����,SANGFOR SSL VPN使用了深信服公司的特色技術-基于PC硬件特征的證書認證系統(HARDCA)來實現基于硬件的認證���。該認證原理是將用戶賬號與其所在計算機硬件信息(如CPU����、硬盤�����、網卡等)進行綁定�����,即便用戶賬號意外泄露���,由于非法用戶無法使用與此賬號事先綁定的那臺計算機�,因而不會造成非法用戶接入�。
? 動態令牌認證
動態令牌是技術領先的一種雙因素強身份認證體系����,采用用戶PIN碼+動態令牌碼構成完整用戶口令���,令牌碼由令牌內置唯一種子和當前時間通過偽隨機算法生成����,每分鐘改變一次�����,而且是一次性密碼(密碼使用后立即失效�,不能重復使用)�����。由于實際上的安全問題都和密碼有關�����,盜竊和破解密碼是最常見的口令攻擊手段����,因此動態令牌很好的解決了以上問題�����,為用戶的使用提供了極高的安全性保證����。
3.1.4 內置的CA中心提供完整認證體系
SANGFOR SSL VPN安全網關內置了CA中心�,企業或者事業單位可自建CA中心�,用戶可不必購買單獨的CA認證體系�����,為企業減少了投入成本���。同時����,SANGFOR SSL VPN安全網關也可無縫支持已有的第三方CA認證����。深信服內置的CA中心可以支持建立服務器證書和個人身份證書����,在減少投資成本的同時可以滿足組織對于CA的大規模使用����,讓您構建您自己的CA認證中心���。
3.1.5 與第三方CA結合
為了建立更加完善的認證體制���,很多企業引進了CA中心����,通過CA中心來建立更加完善的認證體制����。深信服SSLVPN能夠更好的實現與CA中心這樣的認證體制的結合�����,支持包括UCS-2����, GBK�, UTF-8����, GB2312����, BIG5編碼格式�,支持der���、crt�����、cer�����、p12�、pfx����、p7b格式證書���,還可以讀取CA證書中的指定字段���,形成身份賬號綁定和從而能夠與第三方CA進行完美的結合���,滿足大規模用戶對于認證的要求�����。
深信服SSLVPN與第三方CA結合����,還可以支持設置證書中的內置授權值�����,并與之綁定賬號完成組織結構的建立����,達到更完美支持CA證書認證的效果����。同時���,深信服SSL VPN至少支持5張不同的CA根證書�,����,以及配置證書綁定字段以及批量導入/導出用戶證書記錄等�����,即使是復雜數字證書體系也能良好的支持�。
3.1.6 與LDAP(AD)結合
隨著組織規模的擴大�,為了更好的進行認證�,大部分的組織都建立了LDAP(AD)服務器�,通過LDAP服務器來進行人員的統一管理���。LDAP可以根據組織內部的結構來進行人員的劃分�����,完全根據企業內部的組織架構來建立LDAP的人員結構���。
深信服能夠與LDAP進行聯動�����,無需在SSL VPN設備上建立LDAP上的用戶���,直接將認證的數據轉向LDAP服務器���,讓LDAP進行判斷�����。如果有一些特殊的需要���,也可以將LDAP中的用戶導入到設備中���,可以根據您的需要定時進行同步����,您可以選擇一個固定的時間進行同步���,也可以選擇實時的進行同步���,從而保證LDAP上的用戶與SSL VPN上的用戶信息保持同步����。
為了更好的體現認證的多樣性���,深信服SSL VPN提供讀取LDAP中的手機號碼�,可以跟短信認證結合起來�����,這樣就可以實現與LDAP結合的雙因素認證�。
對于在LDAP中已經劃分好了權限的情況���,為了保持跟LDAP中權限的一致性����,深信服SSL VPN支持導入LDAP中的Group屬性�,這樣就可以完美繼承LDAP中的權限屬性�,從而與LDAP中的權限保持一致����。
當大量的用戶通過LDAP進行認證����,但是本地SSL VPN數據庫中沒有用戶信息也無法分配虛擬IP���,那就沒有辦法使用IP資源�。為了解決這樣的問題�����,深信服可以讀取LDAP中的IP字段屬性���,從而通過LDAP可以進行虛擬IP的分配�,這樣通過LDAP進行認證的用戶可以得到虛擬IP實現雙向訪問����。
3.1.7 與Radius結合
Radius作為3A體系中重要的一個元素���,對于一些大型的集團型公司來說都部署了Radius服務器作為身份認證的一個因素�,如果重新在SSL VPN上建立一套認證體制的化就會造成需要管理兩套認證體制�����,因此為了減少增加認證體制所帶來的麻煩�。SSL VPN需要與Radius進行完美的結合�。
深信服SSL VPN能夠讀取Radius的分組權限信息���,這樣在Radius中已經建立好的分組就可以映射到SSL VPN中����,從而實現角色的劃分和資源的綁定�。
同樣為了實現多樣的認證����,深信服SSL VPN也支持讀取Radius中的手機號碼屬性���,從而跟短信認證可以完美結合���,實現雙因素的認證�����。
同樣為了實現通過Radius進行認證的用戶也能夠分配到虛擬IP���,深信服SSL VPN可以讀取Radius中的IP屬性段�����,從而也可以綁定虛擬IP���,實現通過Radius訪問也能夠進行IP資源的正常訪問����。
3.1.8 開放數據接口提供二次開發
通過SSL VPN已經建立了一整套完善的認證體系�����,對于這樣的完整體系需要引入到第三方的系統之上繼續做認證���,針對于這樣的情況深信服通過開放SSL VPN中的部分數據庫信息���,第三方可以調取其中的數據信息�����,通過這些信息可以根據實際的需要進行二次開發����,從而跟更多的應用系統結合�。
3.1.9 與其他第三方認證系統結合�,保護前期投資
從整個業界范圍來看�����,認證系統多種多樣�����,采用的數據格式也不禁相同�����,為了保護前提的投資�,需要跟原有的認證系統進行結合�����,但是作為SSL VPN來說不能完美對于所有的認證系統都能進行充分的結合����,深信服提出了通過深信服自己的Radius服務器作為中轉�,從而實現與其他認證系統的完美結合����,而且SANGFOR Radius強大的擴展性可以滿足您與第三方進行對接的要求�。
3.1.10 圖形碼驗證功能
SANGFOR SSL VPN安全網關提供圖形碼校驗功能���,用戶在輸入用戶名和密碼以后還需要將系統隨即生成圖片中的信息輸入才能實現正常登錄����,可以防止非法使用者用自動猜解程序來進行試探���。深信服提供的圖形驗證碼通過內部的計算程序可以實現數字和字母的組合���,每次變換不同的圖形驗證碼�。
3.1.11 軟鍵盤功能
為了提高用戶密碼的安全性����,防止被木馬程序截獲用戶輸入的密碼信息�,SANGFOR SSL VPN安全網關提供了軟鍵盤功能���,用戶在輸入密碼的時候可以使用界面上提供的軟鍵盤���,這樣木馬程序就無法采用截獲用戶鍵盤輸入的方法來竊取密碼了���。為了進一步增加軟鍵盤的安全性�,深信服提供動態變換功能�,即每次登陸的時候字母鍵和數字鍵跟上一次都是不同的���,從而進一步保證密碼的安全性����。
3.1.12 會話超時控制功能
為防止用戶在沒有注銷的情況下長時間離開���,導致他人窺探到SSL VPN內的機密信息���,SANGFOR SSL VPN安全網關特別加入了不活動檢測引擎����。
當檢測到客戶端在指定時間內沒有任何訪問內網資源的流量時���,SSL VPN網關將自動彈出對話框����,提示用戶“SSL連接會在X秒內超時關閉����,繼續還是注銷�?”若用戶在該時間內仍未選擇相應動作�����,則SANGFOR SSL VPN安全網關將自動注銷�,中斷會話并重新返回登錄界面���。
3.1.13 全面的密碼安全保障
對于采用在SSL VPN上建立的用戶名和密碼����,深信服采用了多種機制保證密碼的安全性���。
一旦系統啟用防密碼暴力功能以后�,用戶連續輸入密碼錯誤次數達到一定的數量以后�,系統會將該帳號鎖定一段時間���,防止密碼被暴力猜解���。對于被鎖定的用戶可以通過查看鎖定用戶在線列表來解除被鎖定的用戶����,從而使其快速解凍�����。
面對大量的用戶��,管理員出于管理的方便可能針對每個用戶設定了初始密碼����,但是出于密碼的安全性考慮��,必須提供一定的密碼安全保障來保證密碼的安全性��。深信服提供強迫初次登陸修改密碼�,可以要求密碼必須至少多少位����,根據您的要求可以設定密碼的最小長度�����,也可以設定密碼必須包含數字�、字母���、特殊符號�����,從而保證密碼的復雜度����,但是不能要求密碼與用戶名相同����、密碼不能與舊密碼相同�����。對于密碼的管理�����,可以實現定時修改密碼�,密碼過期前多少天提醒用戶進行密碼修改���,通過上面一系列的措施保證用戶的密碼的安全性����。
3.1.14 客戶端安全檢查從端點開始保障您的網絡安全
在用戶通過計算機瀏覽器打開SSL 登錄界面時��,SANGFOR SSL VPN安全網關通過客戶端計算機安全掃描功能���,檢查計算機系統是否打了補丁��、是否安裝有相應殺毒程序等��,保證SANGFOR SSL VPN接入安全�����,避免客戶端計算機的不安全因素通過SSL VPN傳輸到企業內部網絡產生的安全隱患���。
SSL VPN客戶端安全檢查保證接入安全
3.1.15 強化的網絡防護-VPN虛擬專線功能
虛擬專線指用戶登錄SSL VPN以后����,和內部業務系統構成一條虛擬的專線�����,此時用戶將不再能訪問虛擬專線以外的網絡資源����。用戶一旦啟用虛擬專線功能后��,一方面外部網絡上面的不安全因素無法再對VPN系統構成威脅����,同時也可以避免客戶端上的不安全因素造成泄密的可能性����,避免因客戶端引發的安全隱患�����,確保內部業務系統的安全性�。
3.1.16 零痕跡訪問功能避免安全漏洞
SANGFOR SSL VPN在用戶結束訪問以后會自動清除Cookie���、臨時文件等遺留在客戶端計算機上的信息����,實現“零痕跡”訪問��,避免安全隱患��。
3.1.17 真正的SSL 協議加密傳輸
SSL VPN依托于內嵌在各種瀏覽器當中SSL 協議(RFC2246)���。它是一種安全可靠的協議���,包括以下三個協議:
握手協議:客戶和服務器之間相互鑒別 -協商加密算法和密鑰 -它提供連接安全性�,有三個特點 身份鑒別�,至少對一方實現鑒別�����,也可以是雙向鑒別 協商得到的共享密鑰是安全的��,中間人不能夠知道 協商過程是可靠的
記錄協議:SSL記錄協議建立在可靠的傳輸協議(如TCP)之上 它提供連接安全性�,有兩個特點 保密性�����,使用了對稱加密算法 完整性�����,使用HMAC算法 用來封裝高層的協議
警告協議:這個協議用于每時示在什么時候發生了錯誤或兩個主機之間的會話在什么時候終止
SSL 協議數據交互的過程如下:
正是因為SSL 協議本身的安全性也導致他被廣泛的應用到網上銀行�����。而真正的SSL VPN必須將IP層以上的數據都通過SSL協議進行封裝���。
如果僅僅將TCP 數據做了簡單的封裝��,或者把IPSEC VPN做些修改��,將數據轉發到443端口���,不能算是真正的SSL VPN�。鑒別這種偽SSL VPN�����,可以使用標準的HTTP流量測試工具如Loadrunner��,Web bench��,Avalanche等或者通過抓包工具Wireshark����、Sniffer�。如果能進行SSL 對接����,并進行SSL負載測試的就是真正的SSL VPN�。但是普通客戶往往沒有這個測試條件���,因此建議在SSL VPN選型時購買經過國家密碼管理局批準的產品型號����,以及經過公安部檢測通過并獲得VPN銷售許可證的產品��。
3.1.18 支持國產商用密碼標準
數據加密是信息安全體系中重要的安全保障環節�,隨著科技的不斷發展����,常用的商業密碼算法(如DES,RSA,MD5等)已確認可被破解���。密碼技術存在短板��,安全設備就形同虛設�����,只有采用相對安全的密碼算法���,才實現真正的網絡安全�。因此����,國家密碼管理局出臺了新的密碼算法(SM1����,SM2�����,SM3�����,SM4)并要求相關單位選用國產商用密碼標準��。深信服SSL VPN支持常見的國際通用商用密碼算法����,同時也支持國密局規定的國產商用密碼標準����,全面保障用戶的業務安全���。
3.1.19 訪問權限控制功能提供最細致的權限管理
SANGFOR SSL VPN通過獨特的角色管理功能��,提供了細致到每個URL和不同應用的權限劃分�����。通過給不同用戶設置不同角色來分配訪問授權��,一個用戶可以賦予多個角色以適合各種復雜的組織結構��?���;诮巧脑L問限制為企業網絡提供了較強的安全性����。通過行為跟蹤引擎�����,管理員還可以查看遠程接入用戶的所有訪問記錄�����。
SANGFOR SSL VPN內置有多種用戶和資源管理方式����,可以自建用戶�����,也可以從第三方導入���,支持LDAP/AD�����、RADIUS等第三方認證���,可以根據用戶�、用戶組���、公用賬號�����、私有賬號等多種方式對用戶進行管理���。管理員可根據角色����、Web資源�����、C/S資源�、IP資源等權限劃分方式��,為遠程接入用戶分配細致的訪問權限控制���。
同時�����,SANGFOR SSL VPN集成了用戶并發限制���、公用賬號并發限制和用戶流量限制等多種方式�,保證了用戶合理地使用VPN資源�����。并且���,在SSL VPN網關中的直觀式管理圖形用戶界面(GUI)的實時監控狀態欄中�����,可以實時地監控用戶的接入情況�,觀察整個VPN系統的運行狀況����。
3.1.20 完善的日志系統
SANGFOR SSL VPN網關提供了調試�、信息��、告警�����、錯誤四個級別的運行日志��,幫助管理診斷系統����。并提供了用戶訪問記錄審計和報表來記錄���、跟蹤用戶行為��。
由于VPN網關的存儲空間有限����,SANGFOR SSL VPN還提供了獨立的日志中心�。通過第三方的日志中心�,管理員可按照餅圖���、柱狀圖��、曲線圖等多種顯示方式對服務的被訪問次數��、被拒絕次數��,用戶的登錄次數�����、告警次數等進行直觀顯示�����,并可直接打印和導出�����。SANGFOR SSL VPN安全網關豐富的日志中心����,為網絡管理員和決策者了解VPN資源的詳細使用情況提供了最有效的數據支持���。
3.1.21 豐富的日志信息
SANGFOR SSL VPN通過獨立的第三方日志服務器���,用戶可以按照系統日志和用戶日志兩大類日志進行查詢���。管理員可對指定時間范圍內的日志以及日志的級別如:錯誤���、告警��、信息��、調試和進程類型進行查詢���。
同時�,管理員可按照餅圖�����、柱狀圖����、曲線圖等多種顯示方式對服務的被訪問次數�����、被拒絕次數����,用戶的登錄次數����、告警次數等進行直觀顯示����,并可直接打印和導出�����。SANGFOR SSL VPN安全網關豐富的日志中心�����,可詳細分析出企業VPN資源的詳細使用情況�����,為網絡管理員和決策者提供了最有效的數據支持��。
3.1.22 強大的實時監控能力
通過遠程監控平臺�,管理員可以實時地監控用戶的接入情況��,實時觀察SSL VPN安全網關的運行情況�����。通過SSL VPN豐富的系統日志���,可以及時定位故障��,并實施遠程維護���。通過Web界面�,管理員還可以隨時查看每個在線用戶的情況���,可以隨時中斷可疑會話�����,方便快捷��。還可以實現告警的短信通知��,及時通知到終端用戶�����。
3.1.23 沙盒技術-安全桌面
很多商業系統都缺少信息防泄密手段���,使用者可以任意在本地留存副本和相關信息��,也可以把相關數據傳到別的計算機或者網絡上����,造成信息系統的泄密���。除了主動泄密��,中了木馬和病毒��,或者被黑客攻擊的被動泄密行為也可能為企業帶來巨大的損失�,尤其是一些對數據安全性要求較高的機構及場合�,如銀行�、基金��、證券等金融單位���,涉及重要研發機密的第三方接入等情況�����,尤其需要完善的信息保護方案����,同時該方案不應該以犧牲工作效率為代價��,最好不需要更改原來用戶的辦公習慣�,從而在不影響業務的情況下�����,實現信息的防泄密保護工作�����。
深信服科技的SSLVPN 使用沙盒技術����,提供安全桌面功能����,可以有效保護數據的安全性�,解決用戶的敏感數據被泄露的問題���。安全桌面可以由管理員設定針對資源和用戶進行強行啟用��,啟用安全桌面以后���,客戶端將自動使用虛擬技術生成一個封閉式虛擬的工作環境——安全桌面����。安全桌面將與默認桌面顯示完全一致��。在安全桌面中�,所有操作全部虛擬化�����,安全桌面內的進程和安全桌面外的進程是隔離的���,與其他在本地網絡或者互聯網網絡中的終端都是隔離的�����,這樣就能形成一個完全信息隔離的工作環境����,達到防止信息泄密的效果�����。信息無法流傳出安全桌面�,而在安全桌面退出之后�,安全桌面中的所有操作��、臨時使用或者接收到的數據都被刪除���,不會留下任何痕跡�。
安全桌面可配合SSLVPN本身的用戶身份認證�、傳輸加密�、授權訪問等技術���,可以提供給客戶更為完整的安全網絡解決方案��。
3.1.24 集成企業級狀態防火墻
和多數SSL VPN不同��,SANGFOR SSL VPN網關集成了高性能的企業級狀態防火墻���,對外只開放443端口���,能有效保護內部服務器免受來自Internet的各種攻擊���。內置的防DOS攻擊功能�,不僅可以有效防范來自外部網絡的DOS攻擊���,對于內網計算機發起的DOS攻擊��,SSL VPN安全網關也可以進行防御�。
SANGFOR SSL VPN安全網關集成了企業級的狀態檢測防火墻�����。除了擁有企業級防火墻所具備的基本功能如:管理員權限分級���、URL過濾�����、NAT功能�����、訪問監控�、上網控制��、用戶認證�����、流量控制�、QOS�����、DHCP服務���、自動撥號等功能以外��,內置了高����、中��、低和自定義 4個安全級別��,用戶可以根據需要靈活配置����。此外��,SANGFOR SSL VPN安全網關獨特的虛擬測試功能���,為管理員創建了防火墻規則的虛擬測試環境����。管理員通過可視化界面����,對各種安全設置規則進行測試���,從而杜絕人為配置錯誤導致的安全漏洞��。
作為HTTPS服務器���,所有SSL VPN都同樣面臨著DOS的威脅�����。所以大多數SSL VPN設備都需要前置防火墻保護其安全�。而SANGFOR SSL VPN自身就是一個防火墻���,集成了對DOS等攻擊的防御手段��。
對于來自外部的DOS攻擊���,其防御DOS的基本原理如下:在網絡層模擬應用層對DOS攻擊的主機發起應答����,由于DOS攻擊主機無法完成3次握手�,因此可以識別出不完整的請求����,避免了把攻擊發送到SSL VPN應用上�����。而對于真實的SYN�����,在網絡層完成了SYN的3次握手后�,再模擬請求的客戶端把SYN請求發送到應用層����。通過這種SYN代理的方法就使得正常的SSL VPN遠程訪問順利的通過防火墻到達內部服務器�����,而DOS攻擊則被拒之門外�����。
SANGFOR SSL VPN安全網關不僅可以防御來自外網的DOS攻擊�����,對于內網計算機發起的DOS攻擊��,SSL VPN安全網關也可以進行防御���。管理員可以在SANGFOR SSL VPN安全網關內增添內網網段列表�����,若檢測到來自該列表之內的計算機發起的連接請求���,則認為是合法用戶���;而若是來自該列表之外的IP地址���,則被認為是攻擊���。這對于通常偽造源IP地址的DOS攻擊發起端來說�����,將是一個有效的防范措施�����。
同時���,SANGFOR SSL VPN安全網關可以限制內部局域網每個IP地址在一分鐘內可發起的最大TCP連接數和發送的最大SYN包次數(數值可依據內網計算機數量自定義)�����,阻止了局域網內某些計算機感染了病毒或者木馬程序����,對外發起大量的連接請求從而導致企業網絡帶寬耗盡�����、網關設備癱瘓宕機等情況的發生����。一旦檢測到攻擊后�,SANGFOR SSL VPN安全網關可以立即對攻擊主機進行封鎖�,從而及時有效阻斷了由企業局域網內部計算機發起的DOS攻擊行為�����,避免了企業員工在上網時不小心感染了病毒而造成DOS攻擊給企業帶來的法律糾紛�、名譽受損等風險��。
