參考技術(shù)白皮書new

1、市深信服電子科技所有，并保留對本文檔及本的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其它相關(guān)權(quán)利均屬于市深信服電子科技。市深信服電子科技同意，任何人不得以任何方式或形式對本文檔內(nèi)的進(jìn)行、摘錄、備份、修改、翻譯成其他語言、將其全部或部分用于商業(yè)用途。免責(zé)條款本文檔僅用于為最終用戶提供信息，其內(nèi)容更改，恕不另行通知。市深信服電子科技在編寫本文檔的時候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但市深信服電子科技不對本文檔中的遺漏、確、或錯誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。我們售前咨詢：售后服務(wù)：（陸）：(+852) 3427 9160英國：(+44

2、) 8455 332 371新加坡：(+65) 9189 3267：(+60) 3 2201 0192：(+66) 2 254 5884：(+62) 21 5695 0789深信服科技：深信服社區(qū)：深信服SSL白皮書文檔密級：公開目第 1 章第 2 章第 3 章3.1序言 1 SANGFOR SSL SANGFOR SSL更安全的 SSL............223.1.2

3、33.1.24豐富的認(rèn)證方式.混合認(rèn)證保護(hù)機(jī)制.動態(tài)內(nèi)置的 CA 中心提供完整認(rèn)證體系.與第與 LDAP（AD）結(jié)合.與 Radius 結(jié)合.開放數(shù)據(jù)接口提供與其他第5. 5. 6. 8.9. 9. 10. 11. 11圖形碼驗(yàn)證功能.軟鍵盤功能.會話超時全面的客戶端安全檢查從端點(diǎn)開始保障您的強(qiáng)化的網(wǎng)絡(luò)防護(hù)零痕跡. 11. 11. 12. 12.12真正的 SSL 協(xié)議加密傳輸.支. 13.14.14完善的日志系統(tǒng).豐富的日志信息.強(qiáng)大的實(shí)時沙盒技術(shù)-安全桌面.集成企業(yè)級狀態(tài). 15. 16.16.17...73.2.83.

4、.23.3.3更快的 SSL多線路智能選路解決您的網(wǎng)絡(luò)延遲問題20多線路帶寬疊加技術(shù)，擴(kuò)大出口帶寬20HTP 技術(shù)，提高無線和惡劣環(huán)境下的動態(tài)壓縮技術(shù)，全面提高傳輸速度.基于 Web 的壓縮技術(shù)，進(jìn)一步提高傳輸效率.流緩存技術(shù)-大幅減少數(shù)據(jù)冗余碎片.更好用的 SSL支持所有網(wǎng)絡(luò)應(yīng)用.全面適應(yīng)各種平臺.提供 IPSec/SSLi深信服科技深信服SSL白皮書文檔密級：公開.......17虛擬門戶功能.配置向?qū)Ш喕芾韱T的操作過隱藏服務(wù)模式.支

5、持動態(tài) IP.管理員分級分權(quán)限管理.定制登錄界面功能.單點(diǎn)登錄功能（SSO）.移動終端設(shè)備的完美支持.內(nèi)網(wǎng) DNS 支持.多虛擬 IP 池支持.User 權(quán)限下正常默認(rèn)服務(wù)頁面.系統(tǒng)托盤.全網(wǎng)7.27.27. 27. 28. 28. 28. 28.29. 30.30. 30. 31. 31. 31. 31未定義書簽。. 32. 33. 33. 33. 3......9更穩(wěn)定的 SSL多線路技術(shù)實(shí)現(xiàn)線路備份，保證會話自動恢復(fù)，提高網(wǎng)絡(luò)適應(yīng)能非

6、對稱集群功能，滿足大并應(yīng)用虛擬化.EasyFile 企業(yè)云盤. 企業(yè)移動管理.移動設(shè)備管便捷的嚴(yán)格企業(yè)消息推送.移動用戶管理（MUM）.多種嚴(yán)格的權(quán)限管理.移動應(yīng)用管理（MAM）.3434......21全面的移動應(yīng)用管理.方便快速的應(yīng)用安全EasyApp 第多應(yīng)用統(tǒng)一登錄36C/S、B/S 架構(gòu)企業(yè)應(yīng)用商店，保證企業(yè)應(yīng)用分發(fā)權(quán)威36圖形應(yīng)用黑白移動內(nèi)容管理（MCM）.安全的企業(yè)移動內(nèi)容管理.一機(jī)兩用，BYOD 的公私ii深信服科技深信服SSL白皮書文檔密級：公開第

7、 4 章.14.2.2SSLSANGFOR SSL客戶端登錄和使用界面.缺省登錄界面.可用. 37.39. 39. 40. 41. 41. 41第 5 章第 6 章深信服公司簡介.附錄SSL 協(xié)議介紹.SSLiii深信服科技深信服SSL白皮書文檔密級：公開第 1 章序言隨著互聯(lián)網(wǎng)數(shù)據(jù)技術(shù)的進(jìn)步和商務(wù)模式的發(fā)經(jīng)是必然的選擇：利用信息化，聯(lián)網(wǎng)技術(shù)已經(jīng)徹底改變了傳統(tǒng)的業(yè)務(wù)辦理模式，借助和共享，與此同時，業(yè)務(wù)信息網(wǎng)絡(luò)化另外一方面是帶來了安全業(yè)的改，則更會帶來難以估計的后果。由此，業(yè)務(wù)信息化，首先需在計算機(jī)網(wǎng)絡(luò)中，除了建設(shè)物理案，使用來構(gòu)建安全的業(yè)務(wù)網(wǎng)絡(luò)。過去，大多數(shù)

8、公司都是使用傳統(tǒng)的 IPSec的問題。但是 IPSec議，因此在此基礎(chǔ)上建立的下已經(jīng)力不從心。IPSec 首先是客戶端配置問題在每個，隨著這種已經(jīng)解決了 IPSec客戶端難以配置和維護(hù)的問題，但是還是無法端的麻煩，即使這些客戶端很少出問題，但隨著用戶數(shù)量的增數(shù)量也不少。 其次是 IPSec自身安全問題往往傳統(tǒng)的 IPSec 解決方案都沒有很好的解決題，這樣就為較好的解決了這個問題, 深信服科技使用硬件專線功能來實(shí)現(xiàn)和互聯(lián)網(wǎng)的邏輯員工辦公電腦上使用 IPSec 客戶端則可以1深信服科技深信服SSL白皮書文檔密級：公開讓合作伙伴或者客戶的電腦接入，就難以 然后是對網(wǎng)絡(luò)的支持問題傳統(tǒng)的 IPSec然

9、一些廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問題，但由于 IPSec安全策略的配置較為復(fù)雜（往往要開放一些非常用端口），因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能 最后是移動設(shè)備支持問題隨著未來通訊技術(shù)的發(fā)展，移動終端的種類將會越來的版本來適應(yīng)這些終端，但隨著終端種類的因此 SSL安全和移動接入，它可以提供在 Web 的易用性和安全性方面架起了一座橋梁。目前，對 SSL先是它的簡單性，它不需要復(fù)雜配置，可以立即安裝、立即生效；第二戶端，直接利用瀏覽器中內(nèi)嵌的 SSL 協(xié)議就行；第三個好端及操作系統(tǒng)。但 SSL同的領(lǐng)域，是可以進(jìn)行互補(bǔ)的。SSL模式；而 IPSec代的商業(yè)機(jī)構(gòu)模式中，普遍都存在著這兩種需求，所以我們在選

10、擇據(jù)實(shí)際的業(yè)務(wù)需求出發(fā)，選擇某一種或者二合一的SSL安全護(hù)航，保證業(yè)務(wù)SSL對業(yè)務(wù)提高辦公效率，提升組織響應(yīng)能力為了實(shí)現(xiàn)隨時隨地地辦公，進(jìn)一步提高絡(luò)丟包導(dǎo)致業(yè)務(wù)重影響了辦公效率。深信服術(shù)、多線路智能選路技術(shù)、不斷加入的廣域網(wǎng)優(yōu)化技術(shù)將進(jìn)一步解決惡劣環(huán)境下的問題，全面提高2深信服科技深信服SSL白皮書文檔密級：公開降低管理成本，提升組織經(jīng)營效益由于 SSL維護(hù)，針對于傳統(tǒng)的 IPSEC 需要安裝客戶端，一旦出現(xiàn)意進(jìn)行維護(hù)，不管是派專人維護(hù)還是是面對成千上百個點(diǎn)來說，那將是一筆巨大的維護(hù)成SSL這三大特點(diǎn)將進(jìn)一步降低組織的維護(hù)運(yùn)維成本，從而進(jìn)一保障組織隨著組織規(guī)模的擴(kuò)大，業(yè)務(wù)系統(tǒng)也在不斷增多，也有

11、越來應(yīng)用系統(tǒng)，但是通過廣域網(wǎng)因此需要建立一種安全可靠的分、高效的數(shù)據(jù)加密機(jī)制、豐富多樣的日志審計，全面防止內(nèi)部3深信服科技深信服SSL白皮書文檔密級：公開第 2 章SANGFOR SSL網(wǎng)關(guān)簡介作為中國 SSL科技致力于為客戶提供更快、更安全、更好用的 SSL提高客戶的業(yè)務(wù)效率，從而實(shí)現(xiàn)共同成長。更懂客戶業(yè)務(wù)的創(chuàng)新方案從為客戶創(chuàng)造價值的目標(biāo)出發(fā)，在深入了解客戶業(yè)務(wù)為創(chuàng)新性的方案，為客戶有效地解決業(yè)務(wù)在互聯(lián)網(wǎng)轉(zhuǎn)化的過辦公方案和多方接入的權(quán)限分配方案這些傳統(tǒng) SSL創(chuàng)新性的運(yùn)用，比如使用 SSL 安全特性為客戶解決原有關(guān)鍵系加密和邏輯絡(luò)領(lǐng)域中完善的技術(shù)，為客戶提供了更具價值的整體解決方案，比如二合

12、一的解決方案，科技在以客戶為導(dǎo)向理念下，已經(jīng)獲得了市場的高度認(rèn)可。業(yè)界持續(xù)領(lǐng)先的技術(shù)理念為了給客戶提供最為完善的SSL的技術(shù)創(chuàng)新。從 2005 年在全球第一家推出 IPsec/SSL 二合一的、HardCA硬件鑒權(quán)、動態(tài)令牌、SSL網(wǎng)絡(luò)環(huán)境率先實(shí)現(xiàn)跨運(yùn)營商線路證、動態(tài)壓縮、無線線路優(yōu)化等技術(shù)，2009 年在全球首家實(shí)現(xiàn)非對稱集群術(shù)，2010 年更是推出了業(yè)內(nèi)的更快速的 SSL流緩存新的 SSL制定。最廣泛的客戶認(rèn)可度深信服科技 SSL的是：世界五百強(qiáng)中的中國企業(yè) 70%都選用深信服還在不斷擴(kuò)大。截止 2015 年，深信服 SSL4深信服科技深信服SSL白皮書文檔密級：公開第 3 章SANGFO

13、R SSL網(wǎng)關(guān)技術(shù)作為Sec/SSL 一體化網(wǎng)關(guān)有以下多種功能和技術(shù)特色：3.1更安全的 SSL為業(yè)務(wù)互駕護(hù)航3.1.1 豐富的認(rèn)證方式在 SANGFOR SSLP/AD、Radius、第CA、自建CA、Dkey、最大限度地保證了接入用戶的3.1.2 混合認(rèn)證保護(hù)機(jī)制單一的認(rèn)證方式易被竊取，為了進(jìn)一深信服創(chuàng)新性提出混合認(rèn)證，ius、Dkey、硬件特征碼、幾種認(rèn)證方式必須同時滿足才能夠接入 SSL擇，那么深信服創(chuàng)新性提出或組合，對于以上幾種認(rèn)證方式進(jìn)行或組合，只要通過一種方式即可接入到 SSL5深信服科技深信服SSL白皮書文檔密級：公開多種認(rèn)證方式、完善的認(rèn)證體相應(yīng)的安全級別，對客戶端的認(rèn)證方式

14、進(jìn)行組網(wǎng)的高度安全。3.1.3 動態(tài)認(rèn)證提供多重保證當(dāng)前取，一旦泄漏將造成企業(yè)數(shù)據(jù)的安全隱患。深信服科技采用了多種動態(tài)患，保證了用戶使用 SSL DKEY 認(rèn)證SANGFOR SSL標(biāo)準(zhǔn) SSL 協(xié)議內(nèi)置的 RC4 等加密算法和 RSA128bit 簽使用 DKEY（一種 USB 的的安全。這種 USB DKEY 可 免驅(qū)動 USBDKey往往驅(qū)動的兼容性問題導(dǎo)致無法正常登錄 SSL6深信服科技深信服SSL白皮書文檔密級：公開深信服提出免驅(qū)動 DKey 認(rèn)證，當(dāng)您首次使也能夠正常登錄 SSL提高業(yè)務(wù)效率。 認(rèn)證無線技術(shù)的突飛猛進(jìn)給網(wǎng)絡(luò)世界又帶來一次巨了所有人的視線，因此，依靠無線通訊技術(shù)的應(yīng)運(yùn)

15、而生。認(rèn)證技術(shù)是一種革新型認(rèn)證解決方案，此認(rèn)證系統(tǒng)分為移動問網(wǎng)絡(luò) 網(wǎng)關(guān)除了通過網(wǎng)關(guān)，如果您的網(wǎng)絡(luò)中已經(jīng)部署了以和您的網(wǎng)關(guān)結(jié)合，實(shí)現(xiàn)當(dāng)可能由于網(wǎng)絡(luò)的延時或者網(wǎng)絡(luò)運(yùn)營商，完全影響了使用者的使用，導(dǎo)致業(yè)務(wù)無法正常使用，重發(fā)功能，能夠方便快捷使用 硬件綁定（HardCA）傳統(tǒng)的用戶名和統(tǒng)方案的泄密缺陷，SANGFOR SSL7深信服科技深信服SSL白皮書文檔密級：公開的計算機(jī)硬件信息（如 CPU、硬盤、網(wǎng)卡等）進(jìn)露，由于用戶無法使用與此賬號事先綁定的那臺計算機(jī)，造成用戶接入。 動態(tài)令牌認(rèn)證動態(tài)令牌是技術(shù)領(lǐng)先的一種IN 碼+動態(tài)令牌碼完整用戶口令，令牌碼生成，每分鐘改變一次，而且是際上的安全問題都和題，

16、為用戶的使用提供了極高的安全性保證。3.1.4 內(nèi)置的 CA 中心提供完整認(rèn)證體系SANGFOR SSL戶可不必全網(wǎng)關(guān)也可無縫支持已有的第書和個人8深信服科技深信服SSL白皮書文檔密級：公開您3.1.5 與第CA 結(jié)合為了建立更加完善的認(rèn)證體制，很多企業(yè)引善的認(rèn)證體制。深信服 SSL括 UCS-2， GBK， UTF-8， GB2312， BIG5 編碼p7b 格式CA 進(jìn)行完美的結(jié)合，滿足大規(guī)模用戶對于認(rèn)證的要求。深信服 SSL賬號完成組織結(jié)構(gòu)的建立，達(dá)到更完美支持 CA至少支持 5 張不同的 CA 根等，即使是復(fù)雜數(shù)字3.1.6 與 LDAP（AD）結(jié)合DAP（AD）服隨著組織規(guī)模的擴(kuò)大，

17、為了更好的進(jìn)行認(rèn)證，大部分的組織都建立務(wù)器，通過 LDAP 服務(wù)器來進(jìn)行的結(jié)構(gòu)來進(jìn)行人員的劃分，完全根據(jù)企業(yè)內(nèi)部的組織架構(gòu)來建立 LDAP 的深信服能夠與 LDAP 進(jìn)行聯(lián)動，無需在 SSL戶，直接將認(rèn)證的數(shù)據(jù)轉(zhuǎn)向 LDAP 服務(wù)器，讓 LDAP 進(jìn)行將 LDAP中的用戶導(dǎo)入到設(shè)備中，可以根據(jù)您的需要定時進(jìn)行同步，您可以選擇一個固定的時同步，也可以選擇實(shí)時的進(jìn)行同步，從而保證 LDAP 上的用戶與 SSL息保持同步。為了更好的體現(xiàn)認(rèn)證的跟對于在 LDAP 中已經(jīng)劃分好了權(quán)限的情況，為了保持跟 LDAP 中權(quán)限的一致性，深信服 SSL從而與 LDAP 中的權(quán)限保持一致。當(dāng)大量的用戶通過 LDAP

18、 進(jìn)行認(rèn)證，但是本地 S分配虛擬 IP，那就沒有辦法使用 IP的 IP 字段屬性，從而通過 LDAP 可以進(jìn)行虛擬 IP 的分配，這樣通過 LDAP 進(jìn)行認(rèn)證的用戶9深信服科技深信服SSL白皮書文檔密級：公開可以得到虛擬 IP 實(shí)現(xiàn)雙向3.1.7 與 Radius 結(jié)合Radius 作為 3A 體系中重要的一個元素，對于一些大型的署了Radius 服務(wù)器作為的化就會造成需要管理兩套認(rèn)證體制，因此為了減少增加認(rèn)證體制所帶來的麻需要與 Radius 進(jìn)行完美的結(jié)合。深信服 SSL建立好的分組就可以同樣為了實(shí)現(xiàn)多樣的認(rèn)證，深信服 SSL而跟同樣為了實(shí)現(xiàn)通過 Radius 進(jìn)行認(rèn)證的用戶也能夠分配到虛

19、擬 IP，深信服 SSL10深信服科技深信服SSL白皮書文檔密級：公開3.1.8 開放數(shù)據(jù)接口提供二次開發(fā)通過 SSL需要引入到第通過開放 SSL中的部分?jǐn)?shù)據(jù)庫信息，第信息可以根據(jù)實(shí)際的需要進(jìn)行二次開發(fā)，從而跟3.1.9 與其他第認(rèn)證系統(tǒng)結(jié)合，保護(hù)前期投資從整個業(yè)界范圍來看，認(rèn)證系統(tǒng)多種多樣，采用的數(shù)的投資，需要跟原有的認(rèn)證系統(tǒng)進(jìn)行結(jié)合，但是作為 SSL證系統(tǒng)都能進(jìn)行充分的結(jié)合，深信服提出了通過深信服而實(shí)現(xiàn)與其他認(rèn)證系統(tǒng)的完美結(jié)合，而且 SANGFOR Radius 強(qiáng)大3.1.10 圖形碼驗(yàn)證功能SANGFOR SSL后還需要將系統(tǒng)隨即生成圖片中的信息輸入才能實(shí)現(xiàn)正常登錄，可以防止動猜解程序

20、來進(jìn)行試探。深信服提供的圖形字母的組合，每次變換不同的圖形3.1.11 軟鍵盤功能GFOR為了提高用戶SSL軟鍵盤，這樣木馬程序就無法采用截獲用戶鍵盤輸入的方法來竊取鍵盤的安全性，深信服提供動態(tài)變換功能，即每次登陸的時候字母同的，從而進(jìn)一步保證3.1.12 會話超時功能為防止用戶在沒有注銷的情況下長時間離開，導(dǎo)SANGFOR SSL當(dāng)檢測到客戶端在指定時間內(nèi)沒有任何彈出內(nèi)仍未選擇相應(yīng)動作，則 SANGFOR SSL11深信服科技深信服SSL白皮書文檔密級：公開登錄界面。3.1.13 全面的安全保障對于采用在 SSL性。一旦系統(tǒng)啟用防數(shù)量以后，系統(tǒng)會將該帳號鎖定一段時間，防止以通過查看鎖定用戶面

21、對大量的用戶，管理員出于管理的方便可能戶設(shè)定了初始，但是出于安全性。深信服提供強(qiáng)迫初次登陸修改可以設(shè)定的最小長度，也可以設(shè)定雜度，但是不能要求密碼與用戶名相同、定時修改，過期前多少天提醒用戶進(jìn)行的的安全性。3.1.14 客戶端安全檢查從端點(diǎn)開始保障您的在用戶通過計算機(jī)瀏覽器打開 SSL 登錄界面時，SANGFOR SSL戶端計算機(jī)安全掃描功能，檢查計算機(jī)系統(tǒng)是否打了補(bǔ)丁、是否安裝有相應(yīng)殺證 SANGFOR SSL業(yè)內(nèi)部網(wǎng)絡(luò)產(chǎn)生的安全隱患。SSL3.1.15 強(qiáng)化的網(wǎng)絡(luò)防護(hù)虛擬專線功能虛擬專線指用戶登錄 SSL12深信服科技深信服SSL白皮書文檔密級：公開將不再能面的不安全因素?zé)o法再對戶端上的不

22、安全因素造成泄密的可能性，避免因客戶端確保內(nèi)部業(yè)務(wù)系統(tǒng)的安全性。3.1.16 零痕跡功能避免安全漏洞SANGFOR SSL件等遺留在客戶端計算機(jī)上的信息，實(shí)現(xiàn)“零痕跡”3.1.17 真正的 SSL 協(xié)議加密傳輸SSL議，包括以下三個協(xié)議：握手協(xié)議：客戶和服務(wù)器之間相互鑒別-協(xié)商加密算法和密鑰 -它提供連接安全性，有三個特點(diǎn)全的，中間人不能夠知道 協(xié)商過程是可靠的有兩個特點(diǎn)警告協(xié)議：這個協(xié)議用于每時示在什么時候發(fā)生了錯誤或兩候終止SSL 協(xié)議數(shù)據(jù)交互的過程如下：13深信服科技深信服SSL白皮書文檔密級：公開正是因?yàn)?SSL 協(xié)議本身的安全性也導(dǎo)致他被廣泛的應(yīng)用到網(wǎng)上。而真正的 SSL必須將 IP

23、 層以上的數(shù)據(jù)都通過 SSL 協(xié)議進(jìn)行封裝。如果僅僅將 TCP 數(shù)據(jù)做了簡單的封裝，或者把 IPSEC做些修改，將數(shù)據(jù)轉(zhuǎn)發(fā)到443 端口，不能算是真正的 SSL。鑒別這種偽 SSL，可以使用標(biāo)準(zhǔn)的 HTTP 流量測試工具如 Loadrunner，Web bench，A果能進(jìn)行 SSL 對接，并進(jìn)行 SSL 負(fù)載測試的就但是普通客戶往往沒有這個測試條件，因此建議在 SSL管理局批準(zhǔn)的型號，以及經(jīng)過3.1.18 支產(chǎn)標(biāo)準(zhǔn)數(shù)據(jù)加密是用的商業(yè)密碼算法（如 DES,RSA,MD5 等）已確認(rèn)可被，只有采用相對安全的面保障用戶的業(yè)務(wù)安全。3.1.19權(quán)限功能提供最細(xì)致的權(quán)限管理SANGFOR SSL管理功

24、能，提供了細(xì)致到每個 URL 和不同應(yīng)用的通過獨(dú)特的權(quán)限劃分。通過給不同用戶設(shè)置不同來分配，一個用戶可以賦予多個以適合各種復(fù)雜的組織結(jié)構(gòu)?；诘南拗茷槠髽I(yè)網(wǎng)絡(luò)提供了較強(qiáng)的安全性。通過行為跟蹤引擎，管理員還可以查看接入用戶的所有。14深信服科技所有深信服SSL白皮書文檔密級：公開SANGFOR SSL方導(dǎo)入，支持 LDAP/AD、RADIUS 等第公用賬號、私有賬號等多種方式對用戶進(jìn)行管理。管理員可根Web、C/S、IP等權(quán)限劃分方式，為同時，SANGFOR SSL等多種方式，保證了用戶合理地使用直觀式管理圖形用戶界面（GUI）的實(shí)時接入情況，觀察整個系統(tǒng)的運(yùn)行狀況。3.1.20 完善的日志系統(tǒng)

25、SANGFOR SSL個級別的運(yùn)行日志，幫助管理診斷系統(tǒng)。并提供了用戶由于的日志中心。通過第對服務(wù)的被次數(shù)、被拒絕次數(shù)，用戶的登錄次數(shù)、告警次數(shù)等進(jìn)行直觀顯示，并可直接打印和導(dǎo)出。SANGFOR SSL的詳細(xì)使用情況提供了最有效的數(shù)據(jù)支持。3.1.21 豐富的日志信息SANGFOR SSL15深信服科技深信服SSL白皮書文檔密級：公開志兩大類日志進(jìn)行信息、調(diào)試和進(jìn)程類型進(jìn)行同時，管理員可按照餅圖、柱狀圖、曲線圖次數(shù)、被拒絕次數(shù)，用戶的登錄次數(shù)、告警次數(shù)等進(jìn)行直觀顯示員和決策者提供了最有效的數(shù)據(jù)支持。3.1.22 強(qiáng)大的實(shí)時能力通過網(wǎng)關(guān)的運(yùn)行情況。通過 SSL通過 Web 界面，管理員還可以隨時

26、查看每個便快捷。還可以實(shí)現(xiàn)告警的3.1.23 沙盒技術(shù)-安全桌面很多商業(yè)系統(tǒng)都缺少信息防泄密可以把相關(guān)數(shù)據(jù)傳到別的計算機(jī)或者網(wǎng)絡(luò)上，造成信息系統(tǒng)的泄密。除了主動泄密，中了木馬和16深信服科技深信服SSL白皮書文檔密級：公開據(jù)安全性要求較高的機(jī)構(gòu)及場合，如最好不需要更改原來用戶的辦公習(xí)慣，從而在不工作。深信服科技的 SSL性，解決用戶的敏感數(shù)據(jù)被泄露的問題。安全桌面可以由行啟用，啟用安全桌面以后，客戶端將自動使用虛擬技境安全桌面。安全桌面將與默認(rèn)桌面顯示完全一致。在安擬化，安全桌面內(nèi)的進(jìn)程和安全桌面外的進(jìn)程是絡(luò)中的終端都是密的效果。信息無法流傳出安全桌面，而在安全桌面臨時使用或者接收到的數(shù)據(jù)都被

27、刪除，安全桌面可配合 SSL等技術(shù)，可以提供給客戶更為完整的安全網(wǎng)絡(luò)解決方案。3.1.24 集成企業(yè)級狀態(tài)和多數(shù) SSL對外只開放 443 端口，能有效保護(hù)內(nèi)部服務(wù)器免受來自 Internet 的各種17深信服科技深信服SSL白皮書文檔密級：公開功能，不僅可以有效防范來自外部網(wǎng)絡(luò)的 DOS，對于內(nèi)網(wǎng)計算機(jī)發(fā)起的 DOS，SSLSAN除了擁有企業(yè)級防火URL 過濾、NAT 功能、墻所具備的基、上網(wǎng)、用戶認(rèn)證、流量QOS、DHCP 服務(wù)、自動撥號等功能以外，內(nèi)置了高、中、低和自定義 4 個安全級別，用戶的虛擬測試功能，為管理員，對各種安全設(shè)置規(guī)則進(jìn)作為 HTTPS 服務(wù)器，所有 SSLS 的威脅。

28、所以大多數(shù) SSL設(shè)備都需要前置FOR SSL自身就是一個，集成了對 DOS 等原理如下：在網(wǎng)絡(luò)層模擬應(yīng)用層對 DOS對于來自外握手，因此可以識別出整的請N，在網(wǎng)絡(luò)層完成了 SYN 的 3求，避免了把次握手后，再模擬請求的客戶端把 SYN 請求的方法就使得正常的SSL則被拒外。SANGFOR SSL起的 DOS全網(wǎng)關(guān)內(nèi)增添內(nèi)網(wǎng)網(wǎng)段列表，若檢測到來自該列表之內(nèi)的計算機(jī)發(fā)起的連接為是合法用戶；而若是來自該列表之外的 IP 地址，則被認(rèn)為是的 DOS同時，SANGFOR SSL起的最大 TCP 連接數(shù)和止了局域網(wǎng)內(nèi)某些計算機(jī)網(wǎng)絡(luò)帶寬耗盡、網(wǎng)關(guān)設(shè)備癱瘓宕機(jī)等情況的發(fā)生。一旦檢測到后，SANGFOR S

29、SL安全網(wǎng)關(guān)可以立即對主機(jī)進(jìn)行，從而及時有效阻斷了由企業(yè)局域網(wǎng)內(nèi)部計算機(jī)發(fā)起的 DOS了而造成 DOS行為，避免了企業(yè)員工在上網(wǎng)時不給企業(yè)帶來的法律糾紛、名譽(yù)受損等風(fēng)險。18深信服科技所有深信服SSL白皮書文檔密級：公開3.2更快的 SSL提升業(yè)務(wù)辦公效率SSL互聯(lián)網(wǎng)的鏈路質(zhì)量所影響。如果是存在跨運(yùn)營商十秒毫不出奇，在業(yè)務(wù)操作的過程中反復(fù)的等待時幫助客戶更好利用互聯(lián)網(wǎng)技術(shù)提升業(yè)務(wù)效率，深信服致力于模式，利用多種廣域網(wǎng)3.2.1研發(fā)單邊技術(shù)，極大提升應(yīng)用速度深信服科技的單邊，能夠顯著提高網(wǎng)絡(luò)效率，提升空間一般在 2 倍至 10 倍之間，有的情況甚至高達(dá) 100 倍。以往通過廣域網(wǎng)進(jìn)行應(yīng)用可完成，

30、極大的提升用戶的單邊身的缺陷，以實(shí)現(xiàn)加速的效果；其重傳，快速恢復(fù)等。擁塞避免能夠快速的準(zhǔn)確的預(yù)估出網(wǎng)絡(luò)中可用帶寬，并根據(jù)估計口，從而最大限度的利用網(wǎng)絡(luò)帶寬?？焖僦貍鱎FC 2883 定義用于確認(rèn)重復(fù)的數(shù)據(jù)包的 SACK TCP 選項(xiàng)中的字段的額外使用端可以通過此操作確定何時重傳了不必要的段并調(diào)整其行為，以防今后不必要的重的重傳越少，整體吞吐量越合理?？焖倩謴?fù)快速檢測出丟包，并能快速準(zhǔn)確重傳該包，對時的情況能夠有效的提升帶寬利用率，通過更改快速恢復(fù)過程中方法，提供更大的吞吐量。慢啟動避免免”。在連接最初送的段數(shù)量。對于每個接收到TCP 段增大的 TCP 段增大19深信服科技深信服SSL白皮書文檔

31、密級：公開3.2.2 多線路智能選路解決您的網(wǎng)絡(luò)延遲問題作為國內(nèi)領(lǐng)先的用了多線路智能選路功能，并（ ZL200510121083.0），該技術(shù)是深信服科技在所謂多線路智能選路技術(shù)，即是指在企業(yè)數(shù)據(jù)中心程的眾多商業(yè)用戶通過 SSLSSL速度，解決了網(wǎng)絡(luò)環(huán)境存在延遲大、帶寬小的瓶頸問題。對于部分大型組織機(jī)構(gòu)來說，往往出口已經(jīng)部署了高端的路由網(wǎng)關(guān)，面對已經(jīng)完善的網(wǎng)絡(luò)建設(shè)，SSL動選路，讓分布在擴(kuò)展了智能自動選路技術(shù)，提供了基于單臂模式下的自動選路，讓眾多的組織結(jié)構(gòu)夠?qū)崿F(xiàn)自動的選路，提高業(yè)務(wù)辦公效率。3.2.3 多線路帶寬疊加技術(shù)，擴(kuò)大出口帶寬現(xiàn)在移動辦公的規(guī)模已經(jīng)快速發(fā)展，隨用一般的企業(yè)都會準(zhǔn)備有多

32、條網(wǎng)絡(luò)出口，以作備用，如高？如何讓多條業(yè)務(wù)線路形成智能的熱備以增強(qiáng)系通常要實(shí)現(xiàn)鏈路的了 IT 的投入成本。為了解決上述問題，高性價比、低成本線路帶寬迭加及復(fù)用技術(shù)（專利號：CN220深信服科技深信服SSL白皮書文檔密級：公開持各種不同接入方式的線路綁定，最多可支持高了 SSL問 Internet，成倍提高了企業(yè)局域網(wǎng)內(nèi)用戶的上網(wǎng)帶寬疊加模式、線路主備模式或者動態(tài)適應(yīng)模式等多線路策略。R SSL安全網(wǎng)關(guān)內(nèi)置了 5 個 Qos 級別和多條 Qos 規(guī)則，用戶可根據(jù)自身情況設(shè)置相應(yīng)的 QOS 級別。3.2.4 HTP 技術(shù)，提高無線和惡劣環(huán)境下的速度隨著無線技術(shù)的發(fā)展，現(xiàn)在開始普遍隨時隨地的商務(wù)接入

33、，雖然 3G網(wǎng)絡(luò)速度對比以前的 GPRS 大了無線環(huán)，我們在公共網(wǎng)絡(luò)中使用的網(wǎng)占用，那么通過這樣的線路實(shí)際以上所有速度慢的問題都是由于網(wǎng)絡(luò)中存在的延時和丟包導(dǎo)導(dǎo)致網(wǎng)絡(luò)傳輸環(huán)境非常的差，而往往時延越大傳輸速度越慢，如果丟包就會更加的慢，雙方根本就無線建立通信，更不要說進(jìn)行數(shù)據(jù)的傳輸了。是基于 UDP 的可靠傳輸協(xié)議，通過能夠顯著提升存在丟包和延時網(wǎng)絡(luò)的傳輸速度。HTP 協(xié)議圖示3.2.5 動態(tài)壓縮技術(shù)，全面提高傳輸速度隨著業(yè)務(wù)的增長，交互的數(shù)據(jù)量也隨之增加，壓縮，而壓縮也必然會消耗系統(tǒng)壓縮比不高，一旦進(jìn)行了壓縮，消耗了系統(tǒng)21深信服科技深信服SSL白皮書文檔密級：公開低了響應(yīng)速度。的數(shù)據(jù)選用動態(tài)

34、的壓縮策略，根據(jù)上一次壓縮狀略來提高壓縮效率的同時，降低系統(tǒng)負(fù)載，從而提速度。3.2.6 基于 Web 的壓縮技術(shù)，進(jìn)一步提高傳輸效率隨著軟件技術(shù)的發(fā)展，越來越多的應(yīng)用系統(tǒng)都采用了 B/S 的構(gòu)架，當(dāng)應(yīng)用數(shù)據(jù)量增大時，在一定的網(wǎng)絡(luò)環(huán)境中必然會影響 B/S 應(yīng)用的傳輸速度，因此有必要B/S 類型的應(yīng)用提供一定的壓縮率。3.2.7 流緩存技術(shù)-大幅減少數(shù)據(jù)冗余碎片SANGFOR SSL的數(shù)據(jù)優(yōu)化”技術(shù)，能夠大大降低廣域網(wǎng)傳輸過程中的數(shù)據(jù)流量，根據(jù)實(shí)際能夠?qū)⒘髁繙p少 95%以上。深信服流緩存技術(shù)原理是：在廣域網(wǎng)中傳輸?shù)氖菙?shù)據(jù)包樣的 0 和 1 的數(shù)字組合排列，“基于碼流特征的數(shù)據(jù)優(yōu)化”技術(shù)并對“碎片

35、”分配唯一指針，將指針分別針內(nèi)容再次需要傳輸時，只傳輸指針到目的地，接收內(nèi)容。只要“碎片”足夠小，傳遞內(nèi)容相同的概率就頻繁傳輸相同或相似信息，效果非常明顯。舉一個簡單的例子，如對于 PPT 文件同的，不需要重傳，并且對再次更改的 P22深信服科技深信服SSL白皮書文檔密級：公開際上僅需要傳送更改的內(nèi)容即可。目前很多用戶文件的時候?qū)嶋H上是從本地網(wǎng)關(guān)取得文件，并沒有服務(wù)器上的文件，這種方法存在兩個比較明顯的問題：1、 無法保證文件的實(shí)時性，如果服務(wù)器上面的文件更新了，可能導(dǎo)致用戶的還是更新以前的版本。2、 如果服務(wù)器上面的文件變化較小，比如一個 100MB 的 ZIP 文件中增加了一個 1MB打包

36、文件，需要將整個文件重新傳輸一次。SANGFORSpeed2 引擎中的“基于碼流特征的數(shù)據(jù)優(yōu)化”技術(shù)，通過優(yōu)化的模式匹配算法，可以使網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)足夠當(dāng)?shù)氖褂昧骶彺娴目蛻舳?，完全不需要做任何的配置，就可以自如啟一用直觀的報表呈現(xiàn)出來。3.2.8研發(fā) SRAP應(yīng)用傳輸協(xié)議，提升應(yīng)用速度SRAP: 即 Sangfor Remote Access Protocol，是深信服化技術(shù)協(xié)議框架。是用于代替 RDP 協(xié)議，通過數(shù)據(jù)轉(zhuǎn)發(fā)式，提升EasyConnectOA 等應(yīng)用系統(tǒng)，數(shù)據(jù)壓縮率都已經(jīng)有較大的改進(jìn)，速度方面也有很大提升。3.3更好用的 SSLSSLT技能，所以 SSL信息化建設(shè)。3.3.1 支

37、持所有網(wǎng)絡(luò)應(yīng)用SANGFOR SSL術(shù)，實(shí)現(xiàn)了對目前所有網(wǎng)絡(luò)層以上各種靜態(tài)或者技術(shù)，包括應(yīng)用包括：包括：網(wǎng)上鄰居、文件共享、T23深信服科技深信服SSL白皮書文檔密級：公開SYBASE、ORACLE、CITRIX 等所有 IPSEC由于采用了 IP Tunnel 技術(shù)，SANGFOR SS完整支持，客戶端在打開瀏覽器的 SSLActive X 控件（可選），訊的虛擬網(wǎng)卡，因而 SSL在客戶端的登錄用戶便可使用所有基于 IP 網(wǎng)絡(luò)層以上的應(yīng)用。若 SANGFO的部署方式，總部網(wǎng)絡(luò)還能夠?qū)崿F(xiàn)與得SANGFOR SSL3.3.2 全面適應(yīng)各種平臺借助于瀏覽器技術(shù)，SANGFOR SSL絡(luò)環(huán)境，只要瀏

38、覽器能夠上網(wǎng)就可以使用 SSL目前，SANGFOR SSLtml，Jsp， Asp，Javaapplet， Active， Cookies 等各種 Web 技術(shù)，支持包括 IE、FireFox ，SOpera 等主流瀏覽器；同時支持微軟 Windows 系列、Linux 系列、Mac O等操作系統(tǒng)。為業(yè)務(wù)3.3.3 提供 IPSec/SSL選擇傳統(tǒng)的 IPSecIPSec 客戶端，并需要做復(fù)雜的配置（SANGFOR IPSec若企業(yè)的大的好處之一就是不需要安裝客戶端程序接入到內(nèi)部本。因而 SSL 在點(diǎn)對網(wǎng)互連方面，其易用性和安全性方面由于 SSL業(yè)組建網(wǎng)對網(wǎng)方面，IPSec要求每個用性和維護(hù)成

39、本上遠(yuǎn)遠(yuǎn)不如 SSLSANGFOR SSL臺安全網(wǎng)關(guān)設(shè)備上穩(wěn)定高效運(yùn)行兩套設(shè)備存在的不足。對于企業(yè)或者事業(yè)24深信服科技深信服SSL白皮書文檔密級：公開而對于內(nèi)部員工、合作伙伴、移動地發(fā)揮了 IPSec /SSL正做到一臺設(shè)備的投資，兩種設(shè)備的功能。3.3.4 虛擬門戶功能深信服 SSL。SSL1、 安全性：實(shí)現(xiàn)登錄用戶的完全。在終端登錄用戶使用中，他們將完全接觸不到不同權(quán)限的其他用戶，每一組單獨(dú)使用不同的的登錄頁面，不同的認(rèn)證方式，2、 管理性：對于擁有不同的分支結(jié)構(gòu)或者不同部門之間的登陸，虛擬門戶能在一臺設(shè)備上虛擬多個登錄平臺，提供給不用的用戶組織使用，能實(shí)現(xiàn)別登錄的效果，實(shí)現(xiàn)更好的管理性

40、。虛擬門戶功能，將讓客戶能把一屬子公司進(jìn)行3.3.5 配置向?qū)Ш喕芾韱T的操作過程為了簡化您的操作，SANGFOR SSL操作進(jìn)行指引，管理員可以在配置向?qū)У闹敢峦瓿蓪ο到y(tǒng)參數(shù)、和修改，使得即使是對設(shè)備不太熟悉的用戶也可以順利的完成相關(guān)的配置工作。25深信服科技深信服SSL白皮書文檔密級：公開3.3.6 隱藏服務(wù)模式在用戶的還增加了一個隱藏服務(wù)。用戶在將某些特殊的隱藏起來，用戶在其仍然可以使用。這種支持隱藏服務(wù)的功能，更加保證了企業(yè)內(nèi)網(wǎng)3.3.7 支持動態(tài) IP由于寬帶的普及以及 ADSL 資費(fèi)的降低，國內(nèi)中小型SL 撥號等動態(tài)IP 的方式接入互聯(lián)網(wǎng)。SANGFOR SSL創(chuàng)的基于 Web

41、的動態(tài) IP 尋址技術(shù)（專利技術(shù)），使的 SANGFOR SSL候無需固定 IP，完全支持動態(tài) IP。并且，當(dāng)企業(yè)在使用 SANGFOR SSL功能時，可以使用和 IPSec量。移動辦公使用瀏覽器連接入公司內(nèi)網(wǎng)時，也更加便捷。由于支持動態(tài) IP 接入，SAN也適合中小型企業(yè)。3.3.8 管理員分級分權(quán)限管理通常我們在對普通用戶管理的時候有多種的認(rèn)證方法，但外一個和安全密切相關(guān)的地方?jīng)]有為系統(tǒng)管理員提供足夠需要使用用戶名和提供和普通用戶相同的安全保障級管理員和受限管理員，受限管理員只能管理所轄組的用戶、用戶組、所在組的硬件特征碼、所在組的26深信服科技深信服SSL白皮書文檔密級：公開3.3.9 定制登錄界面功能SANGFOR SSL以為用戶創(chuàng)建全面可定制的登錄界面，為不同登錄界面外觀，從而改進(jìn)用戶體驗(yàn)。您可以將設(shè)計好的頁面上傳到設(shè)備中，從而完成登錄頁面意外，您也可以恢復(fù)到默認(rèn)的頁面，從而避免因?yàn)椴?。深信服?SSL根據(jù)自身的需要選擇合適的認(rèn)證模板。3.3.10 單點(diǎn)登錄功能（SSO）當(dāng)通過 SSL應(yīng)用系統(tǒng)都需要輸入對應(yīng)的用戶名和作效率嚴(yán)重下降，為了避免記憶眾多的應(yīng)用系統(tǒng)入單點(diǎn)登錄功能，您只需要登錄 SSL手動輸入用戶名帶來的麻煩，從而提高單點(diǎn)登錄構(gòu)建方式，用自動構(gòu)建javascript 函數(shù)來進(jìn)行加密，保證單點(diǎn)登錄信息