參考技術白皮書new

1、市深信服電子科技所有，并保留對本文檔及本的最終解釋權和修改權。本文檔中出現的任何文字敘述、文檔格式、插圖、方法、過程等內容，除另有特別注明外，其著作權或其它相關權利均屬于市深信服電子科技。市深信服電子科技同意，任何人不得以任何方式或形式對本文檔內的進行、摘錄、備份、修改、翻譯成其他語言、將其全部或部分用于商業(yè)用途。免責條款本文檔僅用于為最終用戶提供信息，其內容更改，恕不另行通知。市深信服電子科技在編寫本文檔的時候已盡最大努力保證其內容準確可靠，但市深信服電子科技不對本文檔中的遺漏、確、或錯誤導致的損失和損害承擔責任。我們售前咨詢：售后服務：（陸）：(+852) 3427 9160英國：(+44

2、) 8455 332 371新加坡：(+65) 9189 3267：(+60) 3 2201 0192：(+66) 2 254 5884：(+62) 21 5695 0789深信服科技：深信服社區(qū)：深信服SSL白皮書文檔密級：公開目第 1 章第 2 章第 3 章3.1序言 1 SANGFOR SSL SANGFOR SSL更安全的 SSL............223.1.2

3、33.1.24豐富的認證方式.混合認證保護機制.動態(tài)內置的 CA 中心提供完整認證體系.與第與 LDAP（AD）結合.與 Radius 結合.開放數據接口提供與其他第5. 5. 6. 8.9. 9. 10. 11. 11圖形碼驗證功能.軟鍵盤功能.會話超時全面的客戶端安全檢查從端點開始保障您的強化的網絡防護零痕跡. 11. 11. 12. 12.12真正的 SSL 協(xié)議加密傳輸.支. 13.14.14完善的日志系統(tǒng).豐富的日志信息.強大的實時沙盒技術-安全桌面.集成企業(yè)級狀態(tài). 15. 16.16.17...73.2.83.

4、.23.3.3更快的 SSL多線路智能選路解決您的網絡延遲問題20多線路帶寬疊加技術，擴大出口帶寬20HTP 技術，提高無線和惡劣環(huán)境下的動態(tài)壓縮技術，全面提高傳輸速度.基于 Web 的壓縮技術，進一步提高傳輸效率.流緩存技術-大幅減少數據冗余碎片.更好用的 SSL支持所有網絡應用.全面適應各種平臺.提供 IPSec/SSLi深信服科技深信服SSL白皮書文檔密級：公開.......17虛擬門戶功能.配置向導簡化管理員的操作過隱藏服務模式.支

5、持動態(tài) IP.管理員分級分權限管理.定制登錄界面功能.單點登錄功能（SSO）.移動終端設備的完美支持.內網 DNS 支持.多虛擬 IP 池支持.User 權限下正常默認服務頁面.系統(tǒng)托盤.全網7.27.27. 27. 28. 28. 28. 28.29. 30.30. 30. 31. 31. 31. 31未定義書簽。. 32. 33. 33. 33. 3......9更穩(wěn)定的 SSL多線路技術實現線路備份，保證會話自動恢復，提高網絡適應能非

6、對稱集群功能，滿足大并應用虛擬化.EasyFile 企業(yè)云盤. 企業(yè)移動管理.移動設備管便捷的嚴格企業(yè)消息推送.移動用戶管理（MUM）.多種嚴格的權限管理.移動應用管理（MAM）.3434......21全面的移動應用管理.方便快速的應用安全EasyApp 第多應用統(tǒng)一登錄36C/S、B/S 架構企業(yè)應用商店，保證企業(yè)應用分發(fā)權威36圖形應用黑白移動內容管理（MCM）.安全的企業(yè)移動內容管理.一機兩用，BYOD 的公私ii深信服科技深信服SSL白皮書文檔密級：公開第

7、 4 章.14.2.2SSLSANGFOR SSL客戶端登錄和使用界面.缺省登錄界面.可用. 37.39. 39. 40. 41. 41. 41第 5 章第 6 章深信服公司簡介.附錄SSL 協(xié)議介紹.SSLiii深信服科技深信服SSL白皮書文檔密級：公開第 1 章序言隨著互聯(lián)網數據技術的進步和商務模式的發(fā)經是必然的選擇：利用信息化，聯(lián)網技術已經徹底改變了傳統(tǒng)的業(yè)務辦理模式，借助和共享，與此同時，業(yè)務信息網絡化另外一方面是帶來了安全業(yè)的改，則更會帶來難以估計的后果。由此，業(yè)務信息化，首先需在計算機網絡中，除了建設物理案，使用來構建安全的業(yè)務網絡。過去，大多數

8、公司都是使用傳統(tǒng)的 IPSec的問題。但是 IPSec議，因此在此基礎上建立的下已經力不從心。IPSec 首先是客戶端配置問題在每個，隨著這種已經解決了 IPSec客戶端難以配置和維護的問題，但是還是無法端的麻煩，即使這些客戶端很少出問題，但隨著用戶數量的增數量也不少。 其次是 IPSec自身安全問題往往傳統(tǒng)的 IPSec 解決方案都沒有很好的解決題，這樣就為較好的解決了這個問題, 深信服科技使用硬件專線功能來實現和互聯(lián)網的邏輯員工辦公電腦上使用 IPSec 客戶端則可以1深信服科技深信服SSL白皮書文檔密級：公開讓合作伙伴或者客戶的電腦接入，就難以 然后是對網絡的支持問題傳統(tǒng)的 IPSec然

9、一些廠商已經或正在解決網絡兼容性問題，但由于 IPSec安全策略的配置較為復雜（往往要開放一些非常用端口），因此客戶端的網絡適應性還是不能 最后是移動設備支持問題隨著未來通訊技術的發(fā)展，移動終端的種類將會越來的版本來適應這些終端，但隨著終端種類的因此 SSL安全和移動接入，它可以提供在 Web 的易用性和安全性方面架起了一座橋梁。目前，對 SSL先是它的簡單性，它不需要復雜配置，可以立即安裝、立即生效；第二戶端，直接利用瀏覽器中內嵌的 SSL 協(xié)議就行；第三個好端及操作系統(tǒng)。但 SSL同的領域，是可以進行互補的。SSL模式；而 IPSec代的商業(yè)機構模式中，普遍都存在著這兩種需求，所以我們在選

10、擇據實際的業(yè)務需求出發(fā)，選擇某一種或者二合一的SSL安全護航，保證業(yè)務SSL對業(yè)務提高辦公效率，提升組織響應能力為了實現隨時隨地地辦公，進一步提高絡丟包導致業(yè)務重影響了辦公效率。深信服術、多線路智能選路技術、不斷加入的廣域網優(yōu)化技術將進一步解決惡劣環(huán)境下的問題，全面提高2深信服科技深信服SSL白皮書文檔密級：公開降低管理成本，提升組織經營效益由于 SSL維護，針對于傳統(tǒng)的 IPSEC 需要安裝客戶端，一旦出現意進行維護，不管是派專人維護還是是面對成千上百個點來說，那將是一筆巨大的維護成SSL這三大特點將進一步降低組織的維護運維成本，從而進一保障組織隨著組織規(guī)模的擴大，業(yè)務系統(tǒng)也在不斷增多，也有

11、越來應用系統(tǒng)，但是通過廣域網因此需要建立一種安全可靠的分、高效的數據加密機制、豐富多樣的日志審計，全面防止內部3深信服科技深信服SSL白皮書文檔密級：公開第 2 章SANGFOR SSL網關簡介作為中國 SSL科技致力于為客戶提供更快、更安全、更好用的 SSL提高客戶的業(yè)務效率，從而實現共同成長。更懂客戶業(yè)務的創(chuàng)新方案從為客戶創(chuàng)造價值的目標出發(fā)，在深入了解客戶業(yè)務為創(chuàng)新性的方案，為客戶有效地解決業(yè)務在互聯(lián)網轉化的過辦公方案和多方接入的權限分配方案這些傳統(tǒng) SSL創(chuàng)新性的運用，比如使用 SSL 安全特性為客戶解決原有關鍵系加密和邏輯絡領域中完善的技術，為客戶提供了更具價值的整體解決方案，比如二合

12、一的解決方案，科技在以客戶為導向理念下，已經獲得了市場的高度認可。業(yè)界持續(xù)領先的技術理念為了給客戶提供最為完善的SSL的技術創(chuàng)新。從 2005 年在全球第一家推出 IPsec/SSL 二合一的、HardCA硬件鑒權、動態(tài)令牌、SSL網絡環(huán)境率先實現跨運營商線路證、動態(tài)壓縮、無線線路優(yōu)化等技術，2009 年在全球首家實現非對稱集群術，2010 年更是推出了業(yè)內的更快速的 SSL流緩存新的 SSL制定。最廣泛的客戶認可度深信服科技 SSL的是：世界五百強中的中國企業(yè) 70%都選用深信服還在不斷擴大。截止 2015 年，深信服 SSL4深信服科技深信服SSL白皮書文檔密級：公開第 3 章SANGFO

13、R SSL網關技術作為Sec/SSL 一體化網關有以下多種功能和技術特色：3.1更安全的 SSL為業(yè)務互駕護航3.1.1 豐富的認證方式在 SANGFOR SSLP/AD、Radius、第CA、自建CA、Dkey、最大限度地保證了接入用戶的3.1.2 混合認證保護機制單一的認證方式易被竊取，為了進一深信服創(chuàng)新性提出混合認證，ius、Dkey、硬件特征碼、幾種認證方式必須同時滿足才能夠接入 SSL擇，那么深信服創(chuàng)新性提出或組合，對于以上幾種認證方式進行或組合，只要通過一種方式即可接入到 SSL5深信服科技深信服SSL白皮書文檔密級：公開多種認證方式、完善的認證體相應的安全級別，對客戶端的認證方式

14、進行組網的高度安全。3.1.3 動態(tài)認證提供多重保證當前取，一旦泄漏將造成企業(yè)數據的安全隱患。深信服科技采用了多種動態(tài)患，保證了用戶使用 SSL DKEY 認證SANGFOR SSL標準 SSL 協(xié)議內置的 RC4 等加密算法和 RSA128bit 簽使用 DKEY（一種 USB 的的安全。這種 USB DKEY 可 免驅動 USBDKey往往驅動的兼容性問題導致無法正常登錄 SSL6深信服科技深信服SSL白皮書文檔密級：公開深信服提出免驅動 DKey 認證，當您首次使也能夠正常登錄 SSL提高業(yè)務效率。 認證無線技術的突飛猛進給網絡世界又帶來一次巨了所有人的視線，因此，依靠無線通訊技術的應運

15、而生。認證技術是一種革新型認證解決方案，此認證系統(tǒng)分為移動問網絡 網關除了通過網關，如果您的網絡中已經部署了以和您的網關結合，實現當可能由于網絡的延時或者網絡運營商，完全影響了使用者的使用，導致業(yè)務無法正常使用，重發(fā)功能，能夠方便快捷使用 硬件綁定（HardCA）傳統(tǒng)的用戶名和統(tǒng)方案的泄密缺陷，SANGFOR SSL7深信服科技深信服SSL白皮書文檔密級：公開的計算機硬件信息（如 CPU、硬盤、網卡等）進露，由于用戶無法使用與此賬號事先綁定的那臺計算機，造成用戶接入。 動態(tài)令牌認證動態(tài)令牌是技術領先的一種IN 碼+動態(tài)令牌碼完整用戶口令，令牌碼生成，每分鐘改變一次，而且是際上的安全問題都和題，

16、為用戶的使用提供了極高的安全性保證。3.1.4 內置的 CA 中心提供完整認證體系SANGFOR SSL戶可不必全網關也可無縫支持已有的第書和個人8深信服科技深信服SSL白皮書文檔密級：公開您3.1.5 與第CA 結合為了建立更加完善的認證體制，很多企業(yè)引善的認證體制。深信服 SSL括 UCS-2， GBK， UTF-8， GB2312， BIG5 編碼p7b 格式CA 進行完美的結合，滿足大規(guī)模用戶對于認證的要求。深信服 SSL賬號完成組織結構的建立，達到更完美支持 CA至少支持 5 張不同的 CA 根等，即使是復雜數字3.1.6 與 LDAP（AD）結合DAP（AD）服隨著組織規(guī)模的擴大，

17、為了更好的進行認證，大部分的組織都建立務器，通過 LDAP 服務器來進行的結構來進行人員的劃分，完全根據企業(yè)內部的組織架構來建立 LDAP 的深信服能夠與 LDAP 進行聯(lián)動，無需在 SSL戶，直接將認證的數據轉向 LDAP 服務器，讓 LDAP 進行將 LDAP中的用戶導入到設備中，可以根據您的需要定時進行同步，您可以選擇一個固定的時同步，也可以選擇實時的進行同步，從而保證 LDAP 上的用戶與 SSL息保持同步。為了更好的體現認證的跟對于在 LDAP 中已經劃分好了權限的情況，為了保持跟 LDAP 中權限的一致性，深信服 SSL從而與 LDAP 中的權限保持一致。當大量的用戶通過 LDAP

18、 進行認證，但是本地 S分配虛擬 IP，那就沒有辦法使用 IP的 IP 字段屬性，從而通過 LDAP 可以進行虛擬 IP 的分配，這樣通過 LDAP 進行認證的用戶9深信服科技深信服SSL白皮書文檔密級：公開可以得到虛擬 IP 實現雙向3.1.7 與 Radius 結合Radius 作為 3A 體系中重要的一個元素，對于一些大型的署了Radius 服務器作為的化就會造成需要管理兩套認證體制，因此為了減少增加認證體制所帶來的麻需要與 Radius 進行完美的結合。深信服 SSL建立好的分組就可以同樣為了實現多樣的認證，深信服 SSL而跟同樣為了實現通過 Radius 進行認證的用戶也能夠分配到虛

19、擬 IP，深信服 SSL10深信服科技深信服SSL白皮書文檔密級：公開3.1.8 開放數據接口提供二次開發(fā)通過 SSL需要引入到第通過開放 SSL中的部分數據庫信息，第信息可以根據實際的需要進行二次開發(fā)，從而跟3.1.9 與其他第認證系統(tǒng)結合，保護前期投資從整個業(yè)界范圍來看，認證系統(tǒng)多種多樣，采用的數的投資，需要跟原有的認證系統(tǒng)進行結合，但是作為 SSL證系統(tǒng)都能進行充分的結合，深信服提出了通過深信服而實現與其他認證系統(tǒng)的完美結合，而且 SANGFOR Radius 強大3.1.10 圖形碼驗證功能SANGFOR SSL后還需要將系統(tǒng)隨即生成圖片中的信息輸入才能實現正常登錄，可以防止動猜解程序

20、來進行試探。深信服提供的圖形字母的組合，每次變換不同的圖形3.1.11 軟鍵盤功能GFOR為了提高用戶SSL軟鍵盤，這樣木馬程序就無法采用截獲用戶鍵盤輸入的方法來竊取鍵盤的安全性，深信服提供動態(tài)變換功能，即每次登陸的時候字母同的，從而進一步保證3.1.12 會話超時功能為防止用戶在沒有注銷的情況下長時間離開，導SANGFOR SSL當檢測到客戶端在指定時間內沒有任何彈出內仍未選擇相應動作，則 SANGFOR SSL11深信服科技深信服SSL白皮書文檔密級：公開登錄界面。3.1.13 全面的安全保障對于采用在 SSL性。一旦系統(tǒng)啟用防數量以后，系統(tǒng)會將該帳號鎖定一段時間，防止以通過查看鎖定用戶面

21、對大量的用戶，管理員出于管理的方便可能戶設定了初始，但是出于安全性。深信服提供強迫初次登陸修改可以設定的最小長度，也可以設定雜度，但是不能要求密碼與用戶名相同、定時修改，過期前多少天提醒用戶進行的的安全性。3.1.14 客戶端安全檢查從端點開始保障您的在用戶通過計算機瀏覽器打開 SSL 登錄界面時，SANGFOR SSL戶端計算機安全掃描功能，檢查計算機系統(tǒng)是否打了補丁、是否安裝有相應殺證 SANGFOR SSL業(yè)內部網絡產生的安全隱患。SSL3.1.15 強化的網絡防護虛擬專線功能虛擬專線指用戶登錄 SSL12深信服科技深信服SSL白皮書文檔密級：公開將不再能面的不安全因素無法再對戶端上的不

22、安全因素造成泄密的可能性，避免因客戶端確保內部業(yè)務系統(tǒng)的安全性。3.1.16 零痕跡功能避免安全漏洞SANGFOR SSL件等遺留在客戶端計算機上的信息，實現“零痕跡”3.1.17 真正的 SSL 協(xié)議加密傳輸SSL議，包括以下三個協(xié)議：握手協(xié)議：客戶和服務器之間相互鑒別-協(xié)商加密算法和密鑰 -它提供連接安全性，有三個特點全的，中間人不能夠知道 協(xié)商過程是可靠的有兩個特點警告協(xié)議：這個協(xié)議用于每時示在什么時候發(fā)生了錯誤或兩候終止SSL 協(xié)議數據交互的過程如下：13深信服科技深信服SSL白皮書文檔密級：公開正是因為 SSL 協(xié)議本身的安全性也導致他被廣泛的應用到網上。而真正的 SSL必須將 IP

23、 層以上的數據都通過 SSL 協(xié)議進行封裝。如果僅僅將 TCP 數據做了簡單的封裝，或者把 IPSEC做些修改，將數據轉發(fā)到443 端口，不能算是真正的 SSL。鑒別這種偽 SSL，可以使用標準的 HTTP 流量測試工具如 Loadrunner，Web bench，A果能進行 SSL 對接，并進行 SSL 負載測試的就但是普通客戶往往沒有這個測試條件，因此建議在 SSL管理局批準的型號，以及經過3.1.18 支產標準數據加密是用的商業(yè)密碼算法（如 DES,RSA,MD5 等）已確認可被，只有采用相對安全的面保障用戶的業(yè)務安全。3.1.19權限功能提供最細致的權限管理SANGFOR SSL管理功

24、能，提供了細致到每個 URL 和不同應用的通過獨特的權限劃分。通過給不同用戶設置不同來分配，一個用戶可以賦予多個以適合各種復雜的組織結構?；诘南拗茷槠髽I(yè)網絡提供了較強的安全性。通過行為跟蹤引擎，管理員還可以查看接入用戶的所有。14深信服科技所有深信服SSL白皮書文檔密級：公開SANGFOR SSL方導入，支持 LDAP/AD、RADIUS 等第公用賬號、私有賬號等多種方式對用戶進行管理。管理員可根Web、C/S、IP等權限劃分方式，為同時，SANGFOR SSL等多種方式，保證了用戶合理地使用直觀式管理圖形用戶界面（GUI）的實時接入情況，觀察整個系統(tǒng)的運行狀況。3.1.20 完善的日志系統(tǒng)

25、SANGFOR SSL個級別的運行日志，幫助管理診斷系統(tǒng)。并提供了用戶由于的日志中心。通過第對服務的被次數、被拒絕次數，用戶的登錄次數、告警次數等進行直觀顯示，并可直接打印和導出。SANGFOR SSL的詳細使用情況提供了最有效的數據支持。3.1.21 豐富的日志信息SANGFOR SSL15深信服科技深信服SSL白皮書文檔密級：公開志兩大類日志進行信息、調試和進程類型進行同時，管理員可按照餅圖、柱狀圖、曲線圖次數、被拒絕次數，用戶的登錄次數、告警次數等進行直觀顯示員和決策者提供了最有效的數據支持。3.1.22 強大的實時能力通過網關的運行情況。通過 SSL通過 Web 界面，管理員還可以隨時

26、查看每個便快捷。還可以實現告警的3.1.23 沙盒技術-安全桌面很多商業(yè)系統(tǒng)都缺少信息防泄密可以把相關數據傳到別的計算機或者網絡上，造成信息系統(tǒng)的泄密。除了主動泄密，中了木馬和16深信服科技深信服SSL白皮書文檔密級：公開據安全性要求較高的機構及場合，如最好不需要更改原來用戶的辦公習慣，從而在不工作。深信服科技的 SSL性，解決用戶的敏感數據被泄露的問題。安全桌面可以由行啟用，啟用安全桌面以后，客戶端將自動使用虛擬技境安全桌面。安全桌面將與默認桌面顯示完全一致。在安擬化，安全桌面內的進程和安全桌面外的進程是絡中的終端都是密的效果。信息無法流傳出安全桌面，而在安全桌面臨時使用或者接收到的數據都被

27、刪除，安全桌面可配合 SSL等技術，可以提供給客戶更為完整的安全網絡解決方案。3.1.24 集成企業(yè)級狀態(tài)和多數 SSL對外只開放 443 端口，能有效保護內部服務器免受來自 Internet 的各種17深信服科技深信服SSL白皮書文檔密級：公開功能，不僅可以有效防范來自外部網絡的 DOS，對于內網計算機發(fā)起的 DOS，SSLSAN除了擁有企業(yè)級防火URL 過濾、NAT 功能、墻所具備的基、上網、用戶認證、流量QOS、DHCP 服務、自動撥號等功能以外，內置了高、中、低和自定義 4 個安全級別，用戶的虛擬測試功能，為管理員，對各種安全設置規(guī)則進作為 HTTPS 服務器，所有 SSLS 的威脅。

28、所以大多數 SSL設備都需要前置FOR SSL自身就是一個，集成了對 DOS 等原理如下：在網絡層模擬應用層對 DOS對于來自外握手，因此可以識別出整的請N，在網絡層完成了 SYN 的 3求，避免了把次握手后，再模擬請求的客戶端把 SYN 請求的方法就使得正常的SSL則被拒外。SANGFOR SSL起的 DOS全網關內增添內網網段列表，若檢測到來自該列表之內的計算機發(fā)起的連接為是合法用戶；而若是來自該列表之外的 IP 地址，則被認為是的 DOS同時，SANGFOR SSL起的最大 TCP 連接數和止了局域網內某些計算機網絡帶寬耗盡、網關設備癱瘓宕機等情況的發(fā)生。一旦檢測到后，SANGFOR S

29、SL安全網關可以立即對主機進行，從而及時有效阻斷了由企業(yè)局域網內部計算機發(fā)起的 DOS了而造成 DOS行為，避免了企業(yè)員工在上網時不給企業(yè)帶來的法律糾紛、名譽受損等風險。18深信服科技所有深信服SSL白皮書文檔密級：公開3.2更快的 SSL提升業(yè)務辦公效率SSL互聯(lián)網的鏈路質量所影響。如果是存在跨運營商十秒毫不出奇，在業(yè)務操作的過程中反復的等待時幫助客戶更好利用互聯(lián)網技術提升業(yè)務效率，深信服致力于模式，利用多種廣域網3.2.1研發(fā)單邊技術，極大提升應用速度深信服科技的單邊，能夠顯著提高網絡效率，提升空間一般在 2 倍至 10 倍之間，有的情況甚至高達 100 倍。以往通過廣域網進行應用可完成，

30、極大的提升用戶的單邊身的缺陷，以實現加速的效果；其重傳，快速恢復等。擁塞避免能夠快速的準確的預估出網絡中可用帶寬，并根據估計口，從而最大限度的利用網絡帶寬。快速重傳RFC 2883 定義用于確認重復的數據包的 SACK TCP 選項中的字段的額外使用端可以通過此操作確定何時重傳了不必要的段并調整其行為，以防今后不必要的重的重傳越少，整體吞吐量越合理?？焖倩謴涂焖贆z測出丟包，并能快速準確重傳該包，對時的情況能夠有效的提升帶寬利用率，通過更改快速恢復過程中方法，提供更大的吞吐量。慢啟動避免免”。在連接最初送的段數量。對于每個接收到TCP 段增大的 TCP 段增大19深信服科技深信服SSL白皮書文檔

31、密級：公開3.2.2 多線路智能選路解決您的網絡延遲問題作為國內領先的用了多線路智能選路功能，并（ ZL200510121083.0），該技術是深信服科技在所謂多線路智能選路技術，即是指在企業(yè)數據中心程的眾多商業(yè)用戶通過 SSLSSL速度，解決了網絡環(huán)境存在延遲大、帶寬小的瓶頸問題。對于部分大型組織機構來說，往往出口已經部署了高端的路由網關，面對已經完善的網絡建設，SSL動選路，讓分布在擴展了智能自動選路技術，提供了基于單臂模式下的自動選路，讓眾多的組織結構夠實現自動的選路，提高業(yè)務辦公效率。3.2.3 多線路帶寬疊加技術，擴大出口帶寬現在移動辦公的規(guī)模已經快速發(fā)展，隨用一般的企業(yè)都會準備有多

32、條網絡出口，以作備用，如高？如何讓多條業(yè)務線路形成智能的熱備以增強系通常要實現鏈路的了 IT 的投入成本。為了解決上述問題，高性價比、低成本線路帶寬迭加及復用技術（專利號：CN220深信服科技深信服SSL白皮書文檔密級：公開持各種不同接入方式的線路綁定，最多可支持高了 SSL問 Internet，成倍提高了企業(yè)局域網內用戶的上網帶寬疊加模式、線路主備模式或者動態(tài)適應模式等多線路策略。R SSL安全網關內置了 5 個 Qos 級別和多條 Qos 規(guī)則，用戶可根據自身情況設置相應的 QOS 級別。3.2.4 HTP 技術，提高無線和惡劣環(huán)境下的速度隨著無線技術的發(fā)展，現在開始普遍隨時隨地的商務接入

33、，雖然 3G網絡速度對比以前的 GPRS 大了無線環(huán)，我們在公共網絡中使用的網占用，那么通過這樣的線路實際以上所有速度慢的問題都是由于網絡中存在的延時和丟包導導致網絡傳輸環(huán)境非常的差，而往往時延越大傳輸速度越慢，如果丟包就會更加的慢，雙方根本就無線建立通信，更不要說進行數據的傳輸了。是基于 UDP 的可靠傳輸協(xié)議，通過能夠顯著提升存在丟包和延時網絡的傳輸速度。HTP 協(xié)議圖示3.2.5 動態(tài)壓縮技術，全面提高傳輸速度隨著業(yè)務的增長，交互的數據量也隨之增加，壓縮，而壓縮也必然會消耗系統(tǒng)壓縮比不高，一旦進行了壓縮，消耗了系統(tǒng)21深信服科技深信服SSL白皮書文檔密級：公開低了響應速度。的數據選用動態(tài)

34、的壓縮策略，根據上一次壓縮狀略來提高壓縮效率的同時，降低系統(tǒng)負載，從而提速度。3.2.6 基于 Web 的壓縮技術，進一步提高傳輸效率隨著軟件技術的發(fā)展，越來越多的應用系統(tǒng)都采用了 B/S 的構架，當應用數據量增大時，在一定的網絡環(huán)境中必然會影響 B/S 應用的傳輸速度，因此有必要B/S 類型的應用提供一定的壓縮率。3.2.7 流緩存技術-大幅減少數據冗余碎片SANGFOR SSL的數據優(yōu)化”技術，能夠大大降低廣域網傳輸過程中的數據流量，根據實際能夠將流量減少 95%以上。深信服流緩存技術原理是：在廣域網中傳輸的是數據包樣的 0 和 1 的數字組合排列，“基于碼流特征的數據優(yōu)化”技術并對“碎片

35、”分配唯一指針，將指針分別針內容再次需要傳輸時，只傳輸指針到目的地，接收內容。只要“碎片”足夠小，傳遞內容相同的概率就頻繁傳輸相同或相似信息，效果非常明顯。舉一個簡單的例子，如對于 PPT 文件同的，不需要重傳，并且對再次更改的 P22深信服科技深信服SSL白皮書文檔密級：公開際上僅需要傳送更改的內容即可。目前很多用戶文件的時候實際上是從本地網關取得文件，并沒有服務器上的文件，這種方法存在兩個比較明顯的問題：1、 無法保證文件的實時性，如果服務器上面的文件更新了，可能導致用戶的還是更新以前的版本。2、 如果服務器上面的文件變化較小，比如一個 100MB 的 ZIP 文件中增加了一個 1MB打包

36、文件，需要將整個文件重新傳輸一次。SANGFORSpeed2 引擎中的“基于碼流特征的數據優(yōu)化”技術，通過優(yōu)化的模式匹配算法，可以使網絡中傳輸的數據足夠當的使用流緩存的客戶端，完全不需要做任何的配置，就可以自如啟一用直觀的報表呈現出來。3.2.8研發(fā) SRAP應用傳輸協(xié)議，提升應用速度SRAP: 即 Sangfor Remote Access Protocol，是深信服化技術協(xié)議框架。是用于代替 RDP 協(xié)議，通過數據轉發(fā)式，提升EasyConnectOA 等應用系統(tǒng)，數據壓縮率都已經有較大的改進，速度方面也有很大提升。3.3更好用的 SSLSSLT技能，所以 SSL信息化建設。3.3.1 支

37、持所有網絡應用SANGFOR SSL術，實現了對目前所有網絡層以上各種靜態(tài)或者技術，包括應用包括：包括：網上鄰居、文件共享、T23深信服科技深信服SSL白皮書文檔密級：公開SYBASE、ORACLE、CITRIX 等所有 IPSEC由于采用了 IP Tunnel 技術，SANGFOR SS完整支持，客戶端在打開瀏覽器的 SSLActive X 控件（可選），訊的虛擬網卡，因而 SSL在客戶端的登錄用戶便可使用所有基于 IP 網絡層以上的應用。若 SANGFO的部署方式，總部網絡還能夠實現與得SANGFOR SSL3.3.2 全面適應各種平臺借助于瀏覽器技術，SANGFOR SSL絡環(huán)境，只要瀏

38、覽器能夠上網就可以使用 SSL目前，SANGFOR SSLtml，Jsp， Asp，Javaapplet， Active， Cookies 等各種 Web 技術，支持包括 IE、FireFox ，SOpera 等主流瀏覽器；同時支持微軟 Windows 系列、Linux 系列、Mac O等操作系統(tǒng)。為業(yè)務3.3.3 提供 IPSec/SSL選擇傳統(tǒng)的 IPSecIPSec 客戶端，并需要做復雜的配置（SANGFOR IPSec若企業(yè)的大的好處之一就是不需要安裝客戶端程序接入到內部本。因而 SSL 在點對網互連方面，其易用性和安全性方面由于 SSL業(yè)組建網對網方面，IPSec要求每個用性和維護成

39、本上遠遠不如 SSLSANGFOR SSL臺安全網關設備上穩(wěn)定高效運行兩套設備存在的不足。對于企業(yè)或者事業(yè)24深信服科技深信服SSL白皮書文檔密級：公開而對于內部員工、合作伙伴、移動地發(fā)揮了 IPSec /SSL正做到一臺設備的投資，兩種設備的功能。3.3.4 虛擬門戶功能深信服 SSL。SSL1、 安全性：實現登錄用戶的完全。在終端登錄用戶使用中，他們將完全接觸不到不同權限的其他用戶，每一組單獨使用不同的的登錄頁面，不同的認證方式，2、 管理性：對于擁有不同的分支結構或者不同部門之間的登陸，虛擬門戶能在一臺設備上虛擬多個登錄平臺，提供給不用的用戶組織使用，能實現別登錄的效果，實現更好的管理性

40、。虛擬門戶功能，將讓客戶能把一屬子公司進行3.3.5 配置向導簡化管理員的操作過程為了簡化您的操作，SANGFOR SSL操作進行指引，管理員可以在配置向導的指引下完成對系統(tǒng)參數、和修改，使得即使是對設備不太熟悉的用戶也可以順利的完成相關的配置工作。25深信服科技深信服SSL白皮書文檔密級：公開3.3.6 隱藏服務模式在用戶的還增加了一個隱藏服務。用戶在將某些特殊的隱藏起來，用戶在其仍然可以使用。這種支持隱藏服務的功能，更加保證了企業(yè)內網3.3.7 支持動態(tài) IP由于寬帶的普及以及 ADSL 資費的降低，國內中小型SL 撥號等動態(tài)IP 的方式接入互聯(lián)網。SANGFOR SSL創(chuàng)的基于 Web

41、的動態(tài) IP 尋址技術（專利技術），使的 SANGFOR SSL候無需固定 IP，完全支持動態(tài) IP。并且，當企業(yè)在使用 SANGFOR SSL功能時，可以使用和 IPSec量。移動辦公使用瀏覽器連接入公司內網時，也更加便捷。由于支持動態(tài) IP 接入，SAN也適合中小型企業(yè)。3.3.8 管理員分級分權限管理通常我們在對普通用戶管理的時候有多種的認證方法，但外一個和安全密切相關的地方沒有為系統(tǒng)管理員提供足夠需要使用用戶名和提供和普通用戶相同的安全保障級管理員和受限管理員，受限管理員只能管理所轄組的用戶、用戶組、所在組的硬件特征碼、所在組的26深信服科技深信服SSL白皮書文檔密級：公開3.3.9 定制登錄界面功能SANGFOR SSL以為用戶創(chuàng)建全面可定制的登錄界面，為不同登錄界面外觀，從而改進用戶體驗。您可以將設計好的頁面上傳到設備中，從而完成登錄頁面意外，您也可以恢復到默認的頁面，從而避免因為不。深信服在 SSL根據自身的需要選擇合適的認證模板。3.3.10 單點登錄功能（SSO）當通過 SSL應用系統(tǒng)都需要輸入對應的用戶名和作效率嚴重下降，為了避免記憶眾多的應用系統(tǒng)入單點登錄功能，您只需要登錄 SSL手動輸入用戶名帶來的麻煩，從而提高單點登錄構建方式，用自動構建javascript 函數來進行加密，保證單點登錄信息