應(yīng)用安全網(wǎng)關(guān)ASG

1、網(wǎng)絡(luò)無限 應(yīng)用無憂2011年08月-應(yīng)用安全網(wǎng)關(guān)ASG產(chǎn)品市場部1背景與需求應(yīng)用安全網(wǎng)關(guān)簡介產(chǎn)品部署與用戶使用場景Agenda典型解決方案2企業(yè)應(yīng)用發(fā)展趨勢云計算與應(yīng)用大集中終端類型越來越多，移動終端普及應(yīng)用類型越來越多太多行業(yè)化應(yīng)用使用者要求對應(yīng)用的直觀與易用精確識別每一個用戶并授權(quán)4. 要求應(yīng)用系統(tǒng)精確識別每一個遠(yuǎn)程用戶并進行授權(quán)，對于用戶的使用要求是能進行審計與統(tǒng)計5. 企業(yè)用戶越來越不關(guān)心網(wǎng)絡(luò)，對應(yīng)用系統(tǒng)要求是直觀的，并且方便易用1. 企業(yè)需要提供一種無縫的訪問手段，讓移動用戶像在內(nèi)網(wǎng)一樣訪問應(yīng)用系統(tǒng)2. 應(yīng)用需要能夠適應(yīng)各種終端的需要3. 如何識別應(yīng)用并對應(yīng)用進行精細(xì)化控制私有應(yīng)用“

2、云”以及移動互聯(lián)網(wǎng)的興起已經(jīng)成為一種大趨勢，并且已經(jīng)開始顛覆傳統(tǒng)的企業(yè)應(yīng)用部署與使用場景3企業(yè)應(yīng)用安全的新挑戰(zhàn)如何應(yīng)對企業(yè)信息化應(yīng)用發(fā)展的大趨勢，并且：如何讓用戶隨時隨地地訪問企業(yè)私有云應(yīng)用？如何適應(yīng)層出不窮的智能移動終端？如何識別各種企業(yè)應(yīng)用并做到精確控制？如何保證每一個接入應(yīng)用系統(tǒng)的用戶都是經(jīng)過授權(quán)的？并且如何保證每一個用戶的使用都是可控的與可審計的？如何面向大量非技術(shù)化用戶提供簡單易用的使用方式？4虛擬應(yīng)用網(wǎng)絡(luò)VAN網(wǎng)康科技的新理念VAN將為企業(yè)構(gòu)建一個虛擬的安全無邊界網(wǎng)絡(luò)！5VAN體系的構(gòu)成VAN 即是一個建立在物理網(wǎng)絡(luò)之上的，將現(xiàn)有對企業(yè)應(yīng)用遠(yuǎn)程安全訪問的 所有復(fù)雜性都屏蔽掉的虛擬網(wǎng)

3、絡(luò)VAN的構(gòu)成用戶應(yīng)用策略VAN的功能在應(yīng)用和遠(yuǎn)程訪問用戶之間進行構(gòu)成關(guān)聯(lián)實現(xiàn)真正應(yīng)用層面的訪問控制6應(yīng)用安全網(wǎng)關(guān)ASG簡介7應(yīng)用安全網(wǎng)關(guān)是什么？應(yīng)用安全網(wǎng)關(guān)是新一代的SSL VPN設(shè)備！8應(yīng)用安全網(wǎng)關(guān)功能邏輯示意圖我們更關(guān)注應(yīng)用本身！9ASG能夠解決的問題與主要功能連通性ASG具有傳統(tǒng)SSL VPN的所有核心功能為企業(yè)用戶建立至應(yīng)用的安全連接為移動終端提供一種應(yīng)用訪問手段適用于各種網(wǎng)絡(luò)環(huán)境易用性為用戶提供應(yīng)用目錄服務(wù)提供多種應(yīng)用訪問手段應(yīng)用直觀可見多種模板與預(yù)設(shè)配置多元化定制手段可管理性應(yīng)用訪問可控用戶接入可控可統(tǒng)計可審計可以集中進行管理安全性提供高強度用戶認(rèn)證多種數(shù)據(jù)加密方式終端安全檢查1

4、0應(yīng)用安全網(wǎng)關(guān)特色技術(shù)-1基于應(yīng)用的訪問策略用戶自定義應(yīng)用應(yīng)用模板通過客戶端桌面控制應(yīng)用的訪問權(quán)限11特色技術(shù)-2基于客戶端的分布式應(yīng)用控制對于應(yīng)用的訪問策略通過下發(fā)至客戶端后在客戶端生效執(zhí)行可以控制客戶端計算機上幾乎所有的桌面應(yīng)用通過客戶端應(yīng)用策略的分布執(zhí)行，可以保證應(yīng)用安全網(wǎng)關(guān)設(shè)備的高性能運行，支持大規(guī)模并發(fā)用戶12應(yīng)用安全網(wǎng)關(guān)特色技術(shù)-3高速隧道傳輸技術(shù)解決網(wǎng)絡(luò)高丟包、高延時造成的應(yīng)用訪問速度緩慢的問題優(yōu)化傳統(tǒng)TCP傳輸，惡劣網(wǎng)絡(luò)環(huán)境下大幅加速基于UDP的可靠傳輸快速重傳選擇性重傳擁塞機制優(yōu)化13應(yīng)用安全網(wǎng)關(guān)特色技術(shù)-4多重用戶認(rèn)證技術(shù)任意認(rèn)證方式組合用戶名密碼硬件特征碼IP地址USB

5、KEY認(rèn)證動態(tài)令牌CA認(rèn)證LDAPRADIUS新認(rèn)證方式動態(tài)添加14應(yīng)用安全網(wǎng)關(guān)特色技術(shù)-5虛擬實體路由協(xié)議VERP基于VPN之上的虛擬路由協(xié)議路由信息可以在網(wǎng)關(guān)之間透傳，可以跨多個應(yīng)用安全網(wǎng)關(guān)適用于大型VPN網(wǎng)絡(luò)，減少VPN網(wǎng)關(guān)間的隧道數(shù)量，降低系統(tǒng)管理員的管理工作量ASG1ASG2ASG3內(nèi)網(wǎng)1內(nèi)網(wǎng)2移動用戶SSLSSL192.168.1.0/24192.168.2.0/24192.168.3.0/2415特色技術(shù)-6在線用戶注冊與審核技術(shù)系統(tǒng)具有用戶在線注冊功能，需要申請賬號的用戶可以通過在線注冊頁面申請賬號用戶的注冊申請將被自動發(fā)送至管理員進行審核，審核通過的用戶將自動被添加為正式用戶

6、適用于大型用戶數(shù)較多的企業(yè)，減輕企業(yè)管理員的工作量16特色技術(shù)-7自定義頁面支持對系統(tǒng)登錄頁面、組登錄頁面自定義提供對頁面公告、幫助以及Q&A等信息的完全自定義，采用管理員所見即所得的自定義工具提供對頁面圖片、LOGO以及頁面標(biāo)題等的自定義快速幫助企業(yè)完成頁面自定義的工作17特色技術(shù)-8應(yīng)用層單點登錄登錄SSL VPN后，可直接點擊應(yīng)用直接訪問，無需再次認(rèn)證，提供工作效率支持B/S、C/S應(yīng)用單點登錄支持FROM、NTLM、BASIC方式單點登錄18特色技術(shù)-9集中安全管理中心完成對ASG網(wǎng)關(guān)集中的狀態(tài)管理、配置管理、日志管理以及安全策略管理等管理工作可以集中式地完成系統(tǒng)升級的工作管理協(xié)議基于

7、SSL，不需要在企業(yè)防火墻上增開任何端口，不會影響整體安全性設(shè)備配置完成后，安全管理中心可以離線，設(shè)備可以不依賴安全管理中心獨立工作Windows軟件版本，方便安裝與使用19特色技術(shù)-10客戶端接入安全檢查客戶端策略檢查對象包括：操作系統(tǒng)及版本，補丁，注冊表，文件，進程，殺毒軟件，IP地址以及其它終端信息各檢查對象要素可以進行與或補丁版本過低20特色技術(shù)-11支持云應(yīng)用架構(gòu)及虛擬應(yīng)用快速發(fā)布虛擬化應(yīng)用客戶端不需要安裝應(yīng)用客戶端軟件網(wǎng)絡(luò)中只傳輸鍵盤、鼠標(biāo)操作以及屏幕的變化，大大降低帶寬要求，并且提高數(shù)據(jù)安全性完美支持Citrix，VMWare以及 Windows應(yīng)用虛擬化解決方案平臺，實現(xiàn)隨時隨

8、地的移動辦公應(yīng)用服務(wù)器應(yīng)用虛擬化服務(wù)器ASG鍵盤、鼠標(biāo)及屏幕變化虛擬化應(yīng)用21應(yīng)用安全網(wǎng)關(guān)的其它特點與優(yōu)勢客戶端流量控制可以控制客戶端單次在線時長，下載最大速度，單次下載最大流量，客戶端最大空閑時長等參數(shù)三種用戶訪問模式下客戶端流量合并計算全功能模塊化設(shè)計，便于功能與性能的快速擴展擁有用戶上網(wǎng)時長與流量的詳細(xì)數(shù)據(jù)，便于某些特定行業(yè)用戶形成計費數(shù)據(jù)支持系統(tǒng)自簽名證書支持HA高可用性架構(gòu)，支持VRRP協(xié)議，支持非對稱熱備擁有多個大規(guī)模系統(tǒng)運營案例，系統(tǒng)穩(wěn)定可靠，性能高，與運營商管理接口成熟22產(chǎn)品部署與用戶使用場景23設(shè)備部署網(wǎng)關(guān)方式應(yīng)用安全網(wǎng)關(guān)互聯(lián)網(wǎng)內(nèi)網(wǎng)服務(wù)器10.1.1.0/24192.168

9、.1.0/2424設(shè)備部署網(wǎng)橋方式應(yīng)用安全網(wǎng)關(guān)互聯(lián)網(wǎng)內(nèi)網(wǎng)服務(wù)器10.1.1.0/2410.1.1.1不改變內(nèi)網(wǎng)結(jié)構(gòu)，Bypass功能保證網(wǎng)絡(luò)的可靠性25設(shè)備部署單臂方式應(yīng)用安全網(wǎng)關(guān)互聯(lián)網(wǎng)內(nèi)網(wǎng)服務(wù)器10.1.1.0/2410.1.1.110.1.1.226多種用戶使用場景移動用戶瀏覽器或瀏覽器插件專用客戶端軟件總部分支互聯(lián)網(wǎng)IPSec或SSL瀏覽器/瀏覽器插件專用客戶端軟件SSL自然訪問27應(yīng)用安全網(wǎng)關(guān)典型解決方案28統(tǒng)一應(yīng)用訪問平臺解決方案SSL/IPSec二合一設(shè)備，實現(xiàn)異地機構(gòu)組網(wǎng)，移動辦公雙重價值無需客戶端、零配置的移動接入方式，操作簡便多重加速技術(shù)，快速訪問體驗組合身份認(rèn)證+終端控制，

10、用戶、邊界、應(yīng)用數(shù)據(jù)完整安全ASGASG29第三方外部接入解決方案細(xì)粒度授權(quán)控制 多重認(rèn)證方式組合確保接入人員身份安全客戶端安全檢查，避免危險終端給內(nèi)網(wǎng)帶來安全隱患遠(yuǎn)程虛擬桌面/遠(yuǎn)程虛擬應(yīng)用，避免造成數(shù)據(jù)泄露USB Key動態(tài)令牌短信認(rèn)證第三方代維人員硬件特征碼ASG第三方代維服務(wù)器核心應(yīng)用服務(wù)器總部30防WLAN非法訪問多重身份認(rèn)證，提高WLAN接入安全對來訪人員、內(nèi)部人員進行細(xì)致權(quán)限劃分高強度加密算法，保證傳輸安全來訪人員內(nèi)部人員企業(yè)內(nèi)部外部人員互聯(lián)網(wǎng)ASG31智能終端安全接入解決方案ASG總部EMAILWEB支持主流智能移動終端提供對應(yīng)用透明的解決方案提供IOS4.2/4.3應(yīng)用API提供主流平臺應(yīng)用API（Q4）32內(nèi)部專網(wǎng)權(quán)限劃分內(nèi)網(wǎng)規(guī)模太大，無法做細(xì)致的權(quán)限劃分，無法做細(xì)致的身份認(rèn)證33運營商服務(wù)運營平臺解決方案運營商業(yè)務(wù)管理平臺運營商網(wǎng)絡(luò)企業(yè)端IAD設(shè)備企業(yè)網(wǎng)專線/IPSec/SSL/MPLS34網(wǎng)康整體