VPN平臺(tái)技術(shù)設(shè)計(jì)與實(shí)現(xiàn)項(xiàng)目解決方案

服務(wù)器區(qū)結(jié)構(gòu)隱藏SANGFORSSLVPN采用服務(wù)器地址隱藏、地址偽裝、服務(wù)隱藏三種方式屏蔽服務(wù)器區(qū)結(jié)構(gòu)。?服務(wù)器地址隱藏對(duì)于TCP應(yīng)用、L3VPN應(yīng)用的資源配置，可選擇將主機(jī) IP地址隱藏。?服務(wù)地址偽裝對(duì)于B/S架構(gòu)的TCP應(yīng)用和L3VPN應(yīng)用在訪問(wèn)的時(shí)候，由于分別采用數(shù)據(jù)包抓取代理和IP包轉(zhuǎn)發(fā)的方式實(shí)現(xiàn)資源的發(fā)布，在打開(kāi)應(yīng)用頁(yè)面時(shí)會(huì)在瀏覽器地址欄顯示應(yīng)用服務(wù)器的真實(shí)IP地址，有可能導(dǎo)致服務(wù)器結(jié)構(gòu)的泄露。 SANGFORSSLVPN實(shí)現(xiàn)服務(wù)地址的偽裝，防止地址泄露。晤烤信蝴井肯野琴件*扣一一一X,豆一孑度師日科:時(shí)齊tF春晤烤信蝴井肯野琴件*扣一一一X,豆一孑度師日科:時(shí)齊tF春，弟一季度疔即毒.可一苧網(wǎng)萌齋?里二垂.W一吐而凰市?至二苧度建且冬5為■］￡無(wú)*至二！廈竺宇管宅?■_>*］；；：怕女?也二李世司土色更志* ...■存土幣愕夫.會(huì)目劄S表■菅肝gm號(hào)?吉御朗硼,牡、省J1A,?":砰霞，吐京J注■頃迫7：、鼎剝EZ13ES原||束皤曲威正親:Wt房宅書(shū)封皿如：偵.fflfidF?.￡:*皿一遷■!］西8KF7印，頃H祎地址偽裝效果服務(wù)隱藏SANGFORSSLVPN可實(shí)現(xiàn)資源列表上重要資源的隱藏，不對(duì)用戶顯示其資源鏈接，但不影響該用戶對(duì)資源的訪問(wèn)權(quán)限。對(duì)于 B/S資源，用戶可自行使用瀏覽器輸入地址訪問(wèn);對(duì)于C/S資源，可直接使用客戶端進(jìn)行訪問(wèn)。通過(guò)服務(wù)的隱藏，可防止不法用戶通過(guò)資源列表上的獲知內(nèi)網(wǎng)的應(yīng)用、盜訪應(yīng)用，保證應(yīng)用安全?；緦傩詰?yīng)用程序路徑：程序路徑可以使用絕對(duì)路輕也可以使用環(huán)境變量，例如麗】ndir%所屋蛆J就認(rèn)資源垣 "示例IA心"日白田?咨寸JB□酒用尸.可麝6.1.5遠(yuǎn)程應(yīng)用發(fā)布數(shù)據(jù)安全終端服務(wù)器權(quán)限控制終端服務(wù)器權(quán)限的控制，直接關(guān)系到操作系統(tǒng)安全、 OA系統(tǒng)安全和用戶環(huán)境安全，權(quán)限控制越細(xì)，其安全性能和可配置性也越高， 深信服遠(yuǎn)程應(yīng)用發(fā)布方案對(duì)于權(quán)限的控制做了深入的細(xì)化，包括了如下的權(quán)限細(xì)化控制：支持用不同的Windows賬號(hào)登錄遠(yuǎn)程會(huì)話，在操作系統(tǒng)會(huì)話層進(jìn)行用戶隔離， 每個(gè)用戶只能使用自己的會(huì)話來(lái)使用被發(fā)布的程序；支持在終端服務(wù)器上進(jìn)行網(wǎng)絡(luò)攔截， 做到網(wǎng)絡(luò)安全可控，保護(hù)終端服務(wù)器不會(huì)訪問(wèn)危險(xiǎn)或未授權(quán)的網(wǎng)絡(luò)；做到程序安全可控，禁止用戶私自運(yùn)行影支持在遠(yuǎn)程會(huì)話中只允許運(yùn)行特定應(yīng)用程序，做到程序安全可控，禁止用戶私自運(yùn)行影響終端服務(wù)器安全的程序；支持在遠(yuǎn)程會(huì)話中禁用客戶端映射選項(xiàng)，做到對(duì)用戶的映射權(quán)限可控；業(yè)務(wù)數(shù)據(jù)安全防泄密保障基于RDP協(xié)議的數(shù)據(jù)傳輸技術(shù)，對(duì)傳輸于互聯(lián)網(wǎng)上的數(shù)據(jù)做了嚴(yán)格的加密，傳輸數(shù)據(jù)中其中只包含只有終端服務(wù)器的應(yīng)用程序圖像，不包含應(yīng)用程序本身的任何數(shù)據(jù)。由于應(yīng)用系統(tǒng)運(yùn)行在終端服務(wù)器及其應(yīng)用服務(wù)器上， 終端上只是即時(shí)顯示圖像， 做到了應(yīng)用程序數(shù)據(jù)不落地。即使終端丟失，也不存在丟失終端上機(jī)密數(shù)據(jù)的可能。可對(duì)虛擬終端服務(wù)器運(yùn)行狀態(tài)監(jiān)控管理員可以在控制臺(tái)直觀查看虛擬終端服務(wù)器的運(yùn)行狀態(tài)， 決定是否需要添加終端服務(wù)器。一旦終端服務(wù)器性能不足時(shí)，管理員可以收到郵件或短信告警，以便進(jìn)行及時(shí)處理。同時(shí)服務(wù)端插件支持自動(dòng)更新，為大范圍部署的升級(jí)節(jié)省了大量的重新部署時(shí)間。6.1.6應(yīng)用訪問(wèn)審計(jì)安全SANGFORSSLVPN網(wǎng)關(guān)提供了管理日志和服務(wù)日志兩大類型日志。 管理日志可提供管理員訪問(wèn)、操作日志，服務(wù)日志提供信息、告警、調(diào)試、錯(cuò)誤日志，方便管理員對(duì)系統(tǒng)進(jìn)行診斷。SANGFOR＞詛Li心＞系垣也1巳哩央M:5#vBR：ffiUklitKlv]、M_￡UE.LImJU1AjAli.DLjirfiiMttt瀏次金$操fl果幽 MHt時(shí)HHEUtJ!皆* L￡旭X 廄封誨錄ftfl屈程W氐配=請(qǐng)門A.M.k=.F*TW咋TA.-Zpfl^X^.#燉更器址煌選須-編X話也l宜，'查看t￡尋iff瞟咋/.貴濯枯村年fwt助一?.zsfi.Pia管理日志SANGFOReBESE5=】BJx咨GTT*t站耀箱廿#御Lrnftfl!|麗比知;圭?iTieflilR,SA?3R3MIF配覆徑?:％?n復(fù)細(xì)位日心，F(xiàn).舊虹 lIMSfiE-&L—44 [TiEUUCZiTr] ofih^?iSlK[￡L<j4 [f9EUU^￡iIT]FahEa-pm-lofiht**1LBLS44 I.FZHAGZKTJr?li&￡?nR>j|：iat*1￡B：13：J1i I.RE*HJilJrihL￡<n<q 1[>I1ZH IE偵E】*■的新pimUJUt4■m姓M LTO^SOTJ*eh*tenl>j|i?te1牌緬般ktillli ?此?3f ，3息堡TmElII：39 l.^?-:Arwil] |Yfb^ri-TOJg—riar>1.箕 '星％12■慕揖LU：IE, (HUArfiffl]?,■MrarA： {11”燃膳1"七] [Fff!1i^Hr，#n，l >[|歸卜￥Eft1011 [雌樓印1reb*g4hl曜MM」豚1萬(wàn)皓崎誦普 [fSiAKflT]■吐4AMn*^b>*冊(cè)罩甄ria睫盼怦 [#理mi*詢]nil*ri■*14m.m悴■修筑r?e?：rMwrujrE■amumer■時(shí)盹:嚀 [flsw(i"td]5'w4W麻皿探置落尊r*a[tOtIfl [>2'：C?V?Fl：ij]TE6.Hl4k-<e1V-lC*dlru[4嚀19 [c-ziDTErtdJLtcv■.ctil -wl控目弟弟也息[€g：1Q [■sEerirtdJUEejJal-?u.iRkcLssims性D=19 [FZB]r?t： ￡>!?日日市IS百日志3I^r?B￡F盅司1*日五nZ^MEEr?.H4i至匡 盛氏l＞】LW息理.―'-財(cái).由叵!？1豚姬直#Wk質(zhì)正iWEsguriE-ip^i￡叵斌搐中。Ecsrauiir.*11服務(wù)日志為了更好的了解VPN網(wǎng)關(guān)的運(yùn)行、使用情況,SANGFORSSLVPN還提供了獨(dú)立的日志中心，僅需要在內(nèi)網(wǎng)中使用一臺(tái)主機(jī)安裝日志中心軟件并進(jìn)行相應(yīng)配置,即可將SSLVPN的各類詳盡日志實(shí)時(shí)的同步到獨(dú)立日志中心。獨(dú)立日志中心中詳細(xì)記錄包括用戶訪問(wèn)日志、資源訪問(wèn)日志、安全日志、管理員日志、系統(tǒng)日志五大類型的日志，提供豐富的流量、流速、訪問(wèn)頻度統(tǒng)計(jì)排行及報(bào)表，為管理員提供最為豐富的審計(jì)記錄， 便于日后的風(fēng)險(xiǎn)防范，同時(shí)也為進(jìn)一步的網(wǎng)絡(luò)規(guī)劃、 應(yīng)用規(guī)劃提供詳盡的數(shù)據(jù)支持。用戶日志：用戶訪問(wèn)日志（登錄IP、訪問(wèn)資源、時(shí)間、認(rèn)證方式）、用戶活躍程度、用戶/用戶組流量排行及查詢、用戶/用戶組流速趨勢(shì)及查詢；資源日志：資源活躍程度統(tǒng)計(jì)、無(wú)效資源統(tǒng)計(jì)、資源流量排行及查詢、資源流速趨勢(shì)及查詢等；管理員日志：管理員操作日志（管理員 IP、時(shí)間、管理員、行為、對(duì)象、操作結(jié)果、詳情）等；安全日志：告警日志（暴破登錄攻擊記錄、CPU長(zhǎng)時(shí)間占用過(guò)高記錄、設(shè)備內(nèi)存不足）、用戶暴破登錄、主從用戶名非法訪問(wèn)記錄等；系統(tǒng)日志：分為信息、告警、錯(cuò)誤、調(diào)試四個(gè)日志等級(jí)，記錄包括防火墻、防Dos攻擊、多線路狀態(tài)檢測(cè)、郵件告警、 SSLVPN等多種系統(tǒng)日志。通過(guò)獨(dú)立日志中心，管理員可按照餅圖、柱狀圖、曲線圖等多種顯示方式對(duì)服務(wù)的被訪問(wèn)次數(shù)、被拒絕次數(shù)，用