• 安全产品
  • 当前位置 : 首页 > 安全产品
  • 深信服SSL VPN产品
  • 添加时间:2016-11-04 / 浏览:8244

  • 深信服科技

    SSL VPN


    第1章 序言

    随着互联网数据技术的进步和商务模式的发展,在互联网技术的帮助下提升业务效率已经是必然的选择:利用信息化,加速业务流程;利用互联网,实现随时随地的业务响应。互联网技术已经彻底改变了传统的业务办理模式,借助信息化,相关业务信息实现快速的处理和共享,人员无论在何时何地,只要能连上互联网,就能实现业务的及时处理。

    与此同时,业务信息网络化另外一方面是带来了安全的威胁:企业本身的商业数据、企业的客户数据信息等一旦被泄露,则会带来难以估计的损失,而一旦通讯或存储的信息被篡改,则更会带来难以估计的后果。由此,业务信息化,首先需要解决的是安全问题。

    在计算机网络中,除了建设物理隔离的业务网络之外,还拥有更具性价比的解决方案,使用VPN(Virtual Private Network 虚拟专用网)技术来构建安全的业务网络。

    VPN利用的是包括认证、加密、安全检测、权限分配、访问记录等一系列手段来构建安全的业务网络。过去,大多数公司都是使用传统的IPSec VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决Lan To Lan(网对网)的安全问题而制定的协议,因此在此基础上建立的远程接入方案在面临越来越多的End To Lan(点对网)应用情况下已经力不从心。

    IPSec VPN应用于端点接入的不便:

     首先是客户端配置问题

    在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。

     其次是IPSec VPN自身安全问题

    往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径深信服科技的IPSec VPN已经比较好的解决了这个问题, 深信服科技使用硬件鉴权认证来实现设备的认证接入,使用VPN专线功能来实现和互联网的逻辑隔离,来保证入侵安全性。如果仅仅在受控的电脑上,比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题,但如果要让合作伙伴或者客户的电脑接入,就难以控制了。

     然后是对网络的支持问题

    传统的IPSec VPN在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。

     最后是移动设备支持问题

    随着未来通讯技术的发展,移动终端的种类将会越来越多,IPSec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。

    因此SSL VPN技术就孕育而生了,SSL VPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先是它的简单性,它不需要复杂配置,可以立即安装、立即生效;第二个好处是不需要安装客户端,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。

    但SSL VPN并不能完全取代IPSec VPN,这两种技术目前应用在不同的领域,是可以进行互补的。SSL VPN考虑的是单点接入网络,是应用在点对网结构的接入模式;而IPSec VPN是在两个局域网之间通过Internet建立的安全连接,保护的是网对网之间的通信。在现代的商业机构模式中,普遍都存在着这两种需求,所以我们在选择VPN技术的时候应该根据实际的业务需求出发,选择某一种或者二合一的VPN技术。


    SSL VPN给您带来的价值

    安全护航,保证业务信息安全

    SSLVPN采用严谨的认证方式,高强度的加密模式,细致的权限分配和访问记录,实现对业务访问过程的全场护航,保证业务畅通无阻的同时规避网络安全风险。

    提高办公效率,提升组织响应能力

    为了实现随时随地地办公,进一步提高办公效率。但是网络中无处不在的网络延时、网络丢包导致业务访问速度急剧下降,原本需要几秒处理的事情,现在却拖延到了几分钟,严重影响了办公效率。深信服针对网络中存在的问题,通过深信服的HTP技术、动态压缩技术、多线路智能选路技术、不断加入的广域网优化技术将进一步解决恶劣环境下访问速度慢的问题,全面提高远程接入访问的办公效率。

    降低管理成本,提升组织经营效益

    由于SSL VPN无需安装客户端,对于使用端透明,无需安排专门的人员进行维护,针对于传统的IPSEC需要安装客户端,一旦出现意外需要远程进行维护,不管是派专人维护还是远程维护必将增加维护成本,对于一两个点接入的情况这样的维护成本还可以接受,但是面对成千上百个点来说,那将是一笔巨大的维护成本,而且极容易造成业务效率的下降。SSL VPN无需安装客户端,仅仅依托于浏览器,不依赖网络环境(只要能上网均可访问),这三大特点将进一步降低组织的维护运维成本,从而进一步降低整体管理成本。

    保障组织信息安全,防止核心信息外泄

    随着组织规模的扩大,业务系统也在不断增多,也有越来越多外部人员需要访问内部的应用系统,但是通过广域网访问存在的安全隐患让组织非常害怕这些关键业务数据的泄密,因此需要建立一种安全可靠的远程接入访问机制,针对众多的应用系统提供细致的权限划分、高效的数据加密机制、丰富多样的身份认证手段、全面的单点接入安全检查、完整的日志审计,全面防止内部核心应用系统的数据泄密,保护组织信息安全


    第2章 SANGFOR SSL VPN网关简介

    作为中国SSL VPN市场的第一品牌,深信服科技致力于为客户提供最快、最安全、最好用的SSL VPN产品,保护客户的业务安全可靠,提高客户的业务效率,从而实现共同成长。

    更懂客户业务的创新方案

    从为客户创造价值的目标出发,在深入了解客户业务情况的基础上,深信服科技运用最为创新性的方案,为客户有效地解决业务在互联网转化的过程中所遇到的问题。除了像移动办公方案和多方接入的权限分配方案这些传统SSL VPN应用之外,深信服科技还不断提出创新性的运用,比如使用SSL安全特性为客户解决原有关键系统安全保障问题;运用SSL加密和逻辑隔离的特性为客户的核心数据实现安全防泄密。另外,结合深信服科技在前沿网络领域中完善的技术,为客户提供了更具价值的整体解决方案,比如SSL VPN和IPSec VPN二合一的解决方案,加速VPN解决方案等。通过大量的成功客户案例,证明了深信服科技在以客户为导向理念下,已经获得了市场的高度认可。

    业界持续领先的技术理念

    为了给客户提供最为完善的SSL VPN 产品,深信服科技持续引领着业界内的技术创新。从2005年在全球第一家推出IPsec/SSL二合一的产品,2006年率先提供了包括短信、HardCA硬件鉴权、动态令牌、SSL VPN隧道逻辑隔离等安全技术,2007年根据中国实际网络环境率先实现跨运营商线路加速、SSL隧道自动愈合等技术,2008创新性地实现混合认证、动态压缩、无线线路优化等技术,2009年在全球首家实现非对称集群、智能隧道选路等技术,2010年更是推出了业内的最快SSL——流缓存加速技术。深信服科技,运用最为创新的SSL VPN技术理念,为客户提供最好的VPN,并主导了中华人民共和国国家VPN标准制定。

    最广泛的客户认可度

    深信服科技SSL VPN到2010年初为止,已经服务于超过一万家的用户,值得一提的是:世界五百强中的中国企业70%都选用深信服科技的VPN解决方案。深信服科技SSL VPN从2008年开始,便以超过三分之一的市场,一直占据中国市场第一的位置,而且份额还在不断扩大。


    第3章 SANGFOR SSL VPN网关技术

    作为中国市场占有率第一的SSLVPN解决方案供应商,深信服科技推出的IPSec/SSL一体化网关有以下多种功能和技术特色:

    3.1 更安全的SSL VPN为业务互联保驾护航

    3.1.1 丰富的认证方式

    在SANGFOR SSL VPN安全网关支持LocalDB、LDAP/AD、Radius、第三方CA、自建CA、Dkey、短信认证(短信猫和短信网关)、硬件特征码、动态令牌多种安全认证方式,最大限度地保证了接入用户的合法性。

    3.1.2 混合认证保护机制

    单一的认证方式易被窃取,为了进一步提高身份认证的安全性,深信服创新性提出混合认证,针对上面提到的用户名和密码、CA数字证书、LDAP/AD、Radius、Dkey、硬件特征码、短信认证、动态令牌认证方式可以进行五个因素以上的捆绑认证,这几种认证方式必须同时满足才能够接入SSL VPN系统。如果需要几种接入方式做备份接入选择,那么深信服创新性提出或组合,对于以上几种认证方式进行或组合,只要通过一种主认证方式即可接入到SSL VPN系统中。


    多种认证方式、完善的认证体系,使得企业在选择的时候,可以根据相应的安全级别,对客户端的认证方式进行组合,最大限度地保证了接入用户的合法性和企业内网资源的高度安全。

    3.1.3 动态身份认证提供多重保证

    当前间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。深信服科技采用了多种动态身份认证系统来消除该隐患,保证了用户使用SSL VPN访问总部资源时的安全性。

     DKEY认证

    SANGFOR SSL VPN安全网关采用SSL协议加密建立安全的专用加密通道,除了使用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN(IPSec和SSL)系统,安全方便。

     免驱动USBDKey

    针对一般的USBDKEY在使用的过程中跟U盘一样需要安装该USB Key的驱动,但是往往驱动的兼容性问题导致无法正常登录SSL VPN,导致业务无法开展。针对这样的情况,深信服提出免驱动DKey认证,当您首次使用DKey进行登录的时候,不需要安装DKey也能够正常登录SSL VPN,无需担心驱动的兼容新问题,提高业务访问效率。

     短信认证

    无线技术的突飞猛进给网络世界又带来一次巨大的革命,其灵活可靠的特点吸引了所有人的视线,因此,依靠无线通讯技术的短信认证技术也应运而生。短信认证技术是一种革新型认证解决方案,此认证系统分为手机短信终端和短信认证服务器两部份。终端用户在既有移动电话和PAD的基础上,通过手机短信获得双因素用户认证访问代码,就能够安全地访问网络资源。深信服支持与短信猫进行互动来进行短信认证。

     短信网关

    除了通过短信猫方式进行短信发送外,深信服还支持运营商的短信网关,如果您的网络中已经部署了短信网关(移动、联通或电信的短信网关),深信服可以和您的短信网关结合,实现短信认证。

    当可能由于网络的延时或者网络运营商的问题导致短信未及时发出,完全影响了使用者的使用,导致业务无法正常使用,针对这样的情况,深信服为您提供短信重发功能,让您能够方便快捷使用短信认证。


     硬件绑定(HardCA)

    传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺陷,SANGFOR SSL VPN使用了深信服公司的特色技术-基于PC硬件特征的证书认证系统(HARDCA)来实现基于硬件的认证。该认证原理是将用户账号与其所在计算机硬件信息(如CPU、硬盘、网卡等)进行绑定,即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,因而不会造成非法用户接入。


     动态令牌认证

    动态令牌是技术领先的一种双因素强身份认证体系,采用用户PIN码+动态令牌码构成完整用户口令,令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成,每分钟改变一次,而且是一次性密码(密码使用后立即失效,不能重复使用)。由于实际上的安全问题都和密码有关,盗窃和破解密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题,为用户的使用提供了极高的安全性保证。


    3.1.4 内置的CA中心提供完整认证体系

    SANGFOR SSL VPN安全网关内置了CA中心,企业或者事业单位可自建CA中心,用户可不必购买单独的CA认证体系,为企业减少了投入成本。同时,SANGFOR SSL VPN安全网关也可无缝支持已有的第三方CA认证。深信服内置的CA中心可以支持建立服务器证书和个人身份证书,在减少投资成本的同时可以满足组织对于CA的大规模使用,让您构建您自己的CA认证中心。

    3.1.5 与第三方CA结合

    为了建立更加完善的认证体制,很多企业引进了CA中心,通过CA中心来建立更加完善的认证体制。深信服SSLVPN能够更好的实现与CA中心这样的认证体制的结合,支持包括UCS-2, GBK, UTF-8, GB2312, BIG5编码格式,支持der、crt、cer、p12、pfx、p7b格式证书,还可以读取CA证书中的指定字段,形成身份账号绑定和从而能够与第三方CA进行完美的结合,满足大规模用户对于认证的要求。

    深信服SSLVPN与第三方CA结合,还可以支持设置证书中的内置授权值,并与之绑定账号完成组织结构的建立,达到更完美支持CA证书认证的效果。同时,深信服SSL VPN至少支持5张不同的CA根证书,,以及配置证书绑定字段以及批量导入/导出用户证书记录等,即使是复杂数字证书体系也能良好的支持。

    3.1.6 与LDAP(AD)结合

    随着组织规模的扩大,为了更好的进行认证,大部分的组织都建立了LDAP(AD)服务器,通过LDAP服务器来进行人员的统一管理。LDAP可以根据组织内部的结构来进行人员的划分,完全根据企业内部的组织架构来建立LDAP的人员结构。

    深信服能够与LDAP进行联动,无需在SSL VPN设备上建立LDAP上的用户,直接将认证的数据转向LDAP服务器,让LDAP进行判断。如果有一些特殊的需要,也可以将LDAP中的用户导入到设备中,可以根据您的需要定时进行同步,您可以选择一个固定的时间进行同步,也可以选择实时的进行同步,从而保证LDAP上的用户与SSL VPN上的用户信息保持同步。

    为了更好的体现认证的多样性,深信服SSL VPN提供读取LDAP中的手机号码,可以跟短信认证结合起来,这样就可以实现与LDAP结合的双因素认证。

    对于在LDAP中已经划分好了权限的情况,为了保持跟LDAP中权限的一致性,深信服SSL VPN支持导入LDAP中的Group属性,这样就可以完美继承LDAP中的权限属性,从而与LDAP中的权限保持一致。

    当大量的用户通过LDAP进行认证,但是本地SSL VPN数据库中没有用户信息也无法分配虚拟IP,那就没有办法使用IP资源。为了解决这样的问题,深信服可以读取LDAP中的IP字段属性,从而通过LDAP可以进行虚拟IP的分配,这样通过LDAP进行认证的用户可以得到虚拟IP实现双向访问。


    3.1.7 与Radius结合

    Radius作为3A体系中重要的一个元素,对于一些大型的集团型公司来说都部署了Radius服务器作为身份认证的一个因素,如果重新在SSL VPN上建立一套认证体制的化就会造成需要管理两套认证体制,因此为了减少增加认证体制所带来的麻烦。SSL VPN需要与Radius进行完美的结合。

    深信服SSL VPN能够读取Radius的分组权限信息,这样在Radius中已经建立好的分组就可以映射到SSL VPN中,从而实现角色的划分和资源的绑定。

    同样为了实现多样的认证,深信服SSL VPN也支持读取Radius中的手机号码属性,从而跟短信认证可以完美结合,实现双因素的认证。

    同样为了实现通过Radius进行认证的用户也能够分配到虚拟IP,深信服SSL VPN可以读取Radius中的IP属性段,从而也可以绑定虚拟IP,实现通过Radius访问也能够进行IP资源的正常访问。


    3.1.8 开放数据接口提供二次开发

    通过SSL VPN已经建立了一整套完善的认证体系,对于这样的完整体系需要引入到第三方的系统之上继续做认证,针对于这样的情况深信服通过开放SSL VPN中的部分数据库信息,第三方可以调取其中的数据信息,通过这些信息可以根据实际的需要进行二次开发,从而跟更多的应用系统结合。

    3.1.9 与其他第三方认证系统结合,保护前期投资

    从整个业界范围来看,认证系统多种多样,采用的数据格式也不禁相同,为了保护前提的投资,需要跟原有的认证系统进行结合,但是作为SSL VPN来说不能完美对于所有的认证系统都能进行充分的结合,深信服提出了通过深信服自己的Radius服务器作为中转,从而实现与其他认证系统的完美结合,而且SANGFOR Radius强大的扩展性可以满足您与第三方进行对接的要求。

    3.1.10 图形码验证功能

    SANGFOR SSL VPN安全网关提供图形码校验功能,用户在输入用户名和密码以后还需要将系统随即生成图片中的信息输入才能实现正常登录,可以防止非法使用者用自动猜解程序来进行试探。深信服提供的图形验证码通过内部的计算程序可以实现数字和字母的组合,每次变换不同的图形验证码。

    3.1.11 软键盘功能

    为了提高用户密码的安全性,防止被木马程序截获用户输入的密码信息,SANGFOR SSL VPN安全网关提供了软键盘功能,用户在输入密码的时候可以使用界面上提供的软键盘,这样木马程序就无法采用截获用户键盘输入的方法来窃取密码了。为了进一步增加软键盘的安全性,深信服提供动态变换功能,即每次登陆的时候字母键和数字键跟上一次都是不同的,从而进一步保证密码的安全性。

    3.1.12 会话超时控制功能

    为防止用户在没有注销的情况下长时间离开,导致他人窥探到SSL VPN内的机密信息,SANGFOR SSL VPN安全网关特别加入了不活动检测引擎。

    当检测到客户端在指定时间内没有任何访问内网资源的流量时,SSL VPN网关将自动弹出对话框,提示用户“SSL连接会在X秒内超时关闭,继续还是注销?”若用户在该时间内仍未选择相应动作,则SANGFOR SSL VPN安全网关将自动注销,中断会话并重新返回登录界面。

    3.1.13 全面的密码安全保障

    对于采用在SSL VPN上建立的用户名和密码,深信服采用了多种机制保证密码的安全性。

    一旦系统启用防密码暴力功能以后,用户连续输入密码错误次数达到一定的数量以后,系统会将该帐号锁定一段时间,防止密码被暴力猜解。对于被锁定的用户可以通过查看锁定用户在线列表来解除被锁定的用户,从而使其快速解冻。

    面对大量的用户,管理员出于管理的方便可能针对每个用户设定了初始密码,但是出于密码的安全性考虑,必须提供一定的密码安全保障来保证密码的安全性。深信服提供强迫初次登陆修改密码,可以要求密码必须至少多少位,根据您的要求可以设定密码的最小长度,也可以设定密码必须包含数字、字母、特殊符号,从而保证密码的复杂度,但是不能要求密码与用户名相同、密码不能与旧密码相同。对于密码的管理,可以实现定时修改密码,密码过期前多少天提醒用户进行密码修改,通过上面一系列的措施保证用户的密码的安全性。

    3.1.14 客户端安全检查从端点开始保障您的网络安全

    在用户通过计算机浏览器打开SSL 登录界面时,SANGFOR SSL VPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证SANGFOR SSL VPN接入安全,避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。


    SSL VPN客户端安全检查保证接入安全

    3.1.15 强化的网络防护-VPN虚拟专线功能

    虚拟专线指用户登录SSL VPN以后,和内部业务系统构成一条虚拟的专线,此时用户将不再能访问虚拟专线以外的网络资源。用户一旦启用虚拟专线功能后,一方面外部网络上面的不安全因素无法再对VPN系统构成威胁,同时也可以避免客户端上的不安全因素造成泄密的可能性,避免因客户端引发的安全隐患,确保内部业务系统的安全性。


    3.1.16 零痕迹访问功能避免安全漏洞

    SANGFOR SSL VPN在用户结束访问以后会自动清除Cookie、临时文件等遗留在客户端计算机上的信息,实现“零痕迹”访问,避免安全隐患。

    3.1.17 真正的SSL 协议加密传输

    SSL VPN依托于内嵌在各种浏览器当中SSL 协议(RFC2246)。它是一种安全可靠的协议,包括以下三个协议:

    握手协议:客户和服务器之间相互鉴别 -协商加密算法和密钥 -它提供连接安全性,有三个特点 身份鉴别,至少对一方实现鉴别,也可以是双向鉴别 协商得到的共享密钥是安全的,中间人不能够知道 协商过程是可靠的

    记录协议:SSL记录协议建立在可靠的传输协议(如TCP)之上 它提供连接安全性,有两个特点 保密性,使用了对称加密算法 完整性,使用HMAC算法 用来封装高层的协议

    警告协议:这个协议用于每时示在什么时候发生了错误或两个主机之间的会话在什么时候终止

    SSL 协议数据交互的过程如下:


    正是因为SSL 协议本身的安全性也导致他被广泛的应用到网上银行。而真正的SSL VPN必须将IP层以上的数据都通过SSL协议进行封装。

    如果仅仅将TCP 数据做了简单的封装,或者把IPSEC VPN做些修改,将数据转发到443端口,不能算是真正的SSL VPN。鉴别这种伪SSL VPN,可以使用标准的HTTP流量测试工具如Loadrunner,Web bench,Avalanche等或者通过抓包工具Wireshark、Sniffer。如果能进行SSL 对接,并进行SSL负载测试的就是真正的SSL VPN。但是普通客户往往没有这个测试条件,因此建议在SSL VPN选型时购买经过国家密码管理局批准的产品型号,以及经过公安部检测通过并获得VPN销售许可证的产品。

    3.1.18 支持国产商用密码标准

    数据加密是信息安全体系中重要的安全保障环节,随着科技的不断发展,常用的商业密码算法(如DES,RSA,MD5等)已确认可被破解。密码技术存在短板,安全设备就形同虚设,只有采用相对安全的密码算法,才实现真正的网络安全。因此,国家密码管理局出台了新的密码算法(SM1,SM2,SM3,SM4)并要求相关单位选用国产商用密码标准。深信服SSL VPN支持常见的国际通用商用密码算法,同时也支持国密局规定的国产商用密码标准,全面保障用户的业务安全。

    3.1.19 访问权限控制功能提供最细致的权限管理

    SANGFOR SSL VPN通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。

    SANGFOR SSL VPN内置有多种用户和资源管理方式,可以自建用户,也可以从第三方导入,支持LDAP/AD、RADIUS等第三方认证,可以根据用户、用户组、公用账号、私有账号等多种方式对用户进行管理。管理员可根据角色、Web资源、C/S资源、IP资源等权限划分方式,为远程接入用户分配细致的访问权限控制。

    同时,SANGFOR SSL VPN集成了用户并发限制、公用账号并发限制和用户流量限制等多种方式,保证了用户合理地使用VPN资源。并且,在SSL VPN网关中的直观式管理图形用户界面(GUI)的实时监控状态栏中,可以实时地监控用户的接入情况,观察整个VPN系统的运行状况。

    3.1.20 完善的日志系统

    SANGFOR SSL VPN网关提供了调试、信息、告警、错误四个级别的运行日志,帮助管理诊断系统。并提供了用户访问记录审计和报表来记录、跟踪用户行为。

    由于VPN网关的存储空间有限,SANGFOR SSL VPN还提供了独立的日志中心。通过第三方的日志中心,管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数,用户的登录次数、告警次数等进行直观显示,并可直接打印和导出。SANGFOR SSL VPN安全网关丰富的日志中心,为网络管理员和决策者了解VPN资源的详细使用情况提供了最有效的数据支持。


    3.1.21 丰富的日志信息

    SANGFOR SSL VPN通过独立的第三方日志服务器,用户可以按照系统日志和用户日志两大类日志进行查询。管理员可对指定时间范围内的日志以及日志的级别如:错误、告警、信息、调试和进程类型进行查询。

    同时,管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数,用户的登录次数、告警次数等进行直观显示,并可直接打印和导出。SANGFOR SSL VPN安全网关丰富的日志中心,可详细分析出企业VPN资源的详细使用情况,为网络管理员和决策者提供了最有效的数据支持。


    3.1.22 强大的实时监控能力

    通过远程监控平台,管理员可以实时地监控用户的接入情况,实时观察SSL VPN安全网关的运行情况。通过SSL VPN丰富的系统日志,可以及时定位故障,并实施远程维护。通过Web界面,管理员还可以随时查看每个在线用户的情况,可以随时中断可疑会话,方便快捷。还可以实现告警的短信通知,及时通知到终端用户。

    3.1.23 沙盒技术-安全桌面

    很多商业系统都缺少信息防泄密手段,使用者可以任意在本地留存副本和相关信息,也可以把相关数据传到别的计算机或者网络上,造成信息系统的泄密。除了主动泄密,中了木马和病毒,或者被黑客攻击的被动泄密行为也可能为企业带来巨大的损失,尤其是一些对数据安全性要求较高的机构及场合,如银行、基金、证券等金融单位,涉及重要研发机密的第三方接入等情况,尤其需要完善的信息保护方案,同时该方案不应该以牺牲工作效率为代价,最好不需要更改原来用户的办公习惯,从而在不影响业务的情况下,实现信息的防泄密保护工作。

    深信服科技的SSLVPN 使用沙盒技术,提供安全桌面功能,可以有效保护数据的安全性,解决用户的敏感数据被泄露的问题。安全桌面可以由管理员设定针对资源和用户进行强行启用,启用安全桌面以后,客户端将自动使用虚拟技术生成一个封闭式虚拟的工作环境——安全桌面。安全桌面将与默认桌面显示完全一致。在安全桌面中,所有操作全部虚拟化,安全桌面内的进程和安全桌面外的进程是隔离的,与其他在本地网络或者互联网网络中的终端都是隔离的,这样就能形成一个完全信息隔离的工作环境,达到防止信息泄密的效果。信息无法流传出安全桌面,而在安全桌面退出之后,安全桌面中的所有操作、临时使用或者接收到的数据都被删除,不会留下任何痕迹。

    安全桌面可配合SSLVPN本身的用户身份认证、传输加密、授权访问等技术,可以提供给客户更为完整的安全网络解决方案。


    3.1.24 集成企业级状态防火墙

    和多数SSL VPN不同,SANGFOR SSL VPN网关集成了高性能的企业级状态防火墙,对外只开放443端口,能有效保护内部服务器免受来自Internet的各种攻击。内置的防DOS攻击功能,不仅可以有效防范来自外部网络的DOS攻击,对于内网计算机发起的DOS攻击,SSL VPN安全网关也可以进行防御。

    SANGFOR SSL VPN安全网关集成了企业级的状态检测防火墙。除了拥有企业级防火墙所具备的基本功能如:管理员权限分级、URL过滤、NAT功能、访问监控、上网控制、用户认证、流量控制、QOS、DHCP服务、自动拨号等功能以外,内置了高、中、低和自定义 4个安全级别,用户可以根据需要灵活配置。此外,SANGFOR SSL VPN安全网关独特的虚拟测试功能,为管理员创建了防火墙规则的虚拟测试环境。管理员通过可视化界面,对各种安全设置规则进行测试,从而杜绝人为配置错误导致的安全漏洞。

    作为HTTPS服务器,所有SSL VPN都同样面临着DOS的威胁。所以大多数SSL VPN设备都需要前置防火墙保护其安全。而SANGFOR SSL VPN自身就是一个防火墙,集成了对DOS等攻击的防御手段。

    对于来自外部的DOS攻击,其防御DOS的基本原理如下:在网络层模拟应用层对DOS攻击的主机发起应答,由于DOS攻击主机无法完成3次握手,因此可以识别出不完整的请求,避免了把攻击发送到SSL VPN应用上。而对于真实的SYN,在网络层完成了SYN的3次握手后,再模拟请求的客户端把SYN请求发送到应用层。通过这种SYN代理的方法就使得正常的SSL VPN远程访问顺利的通过防火墙到达内部服务器,而DOS攻击则被拒之门外。

    SANGFOR SSL VPN安全网关不仅可以防御来自外网的DOS攻击,对于内网计算机发起的DOS攻击,SSL VPN安全网关也可以进行防御。管理员可以在SANGFOR SSL VPN安全网关内增添内网网段列表,若检测到来自该列表之内的计算机发起的连接请求,则认为是合法用户;而若是来自该列表之外的IP地址,则被认为是攻击。这对于通常伪造源IP地址的DOS攻击发起端来说,将是一个有效的防范措施。

    同时,SANGFOR SSL VPN安全网关可以限制内部局域网每个IP地址在一分钟内可发起的最大TCP连接数和发送的最大SYN包次数(数值可依据内网计算机数量自定义),阻止了局域网内某些计算机感染了病毒或者木马程序,对外发起大量的连接请求从而导致企业网络带宽耗尽、网关设备瘫痪宕机等情况的发生。一旦检测到攻击后,SANGFOR SSL VPN安全网关可以立即对攻击主机进行封锁,从而及时有效阻断了由企业局域网内部计算机发起的DOS攻击行为,避免了企业员工在上网时不小心感染了病毒而造成DOS攻击给企业带来的法律纠纷、名誉受损等风险。



  • 电话咨询
    商务咨询
    技术咨询
    咨询邮箱