桌面應用SANGFOR-SSL VPN-V5.0-技術交流

打造安全、高效、便捷的辦公網絡深信服SSLVPN安全接入解決方案1.現有網絡出現的問題2.深信服SSLVPN解決方案3.深信服SSLVPN技術優(yōu)勢4.典型客戶案例5.深信服SSLVPN品牌現有網絡出現的問題數據訪問安全外網

安全WLAN

安全內網

安全應用

安全外網安全

統(tǒng)一應用平臺分支直接通過公網線路訪問總部領導、出差員工移動辦公的安全接入多數據中心、異地災備中心的訪問合作伙伴、第三方代維人員接入服務器群的安全考量訪問權限的安全顧慮重要數據公網傳輸的安全性傳統(tǒng)方案的不足專線接入后無法對權限做細致控制移動辦公的接入問題無法解決專線租用昂貴導致網絡建設成本高傳統(tǒng)VPN方式無法實現細致權限控制邊遠地區(qū)設備、客戶端維護成本高多數據中心、異地災備的移動接入操作復雜客戶端安全防護欠缺，威脅總部安全WLAN安全WLAN安全危機重重網絡接入僅依靠密碼驗證，容易遭盜取無線加密存在破解隱患，威脅傳輸安全AP覆蓋范圍廣，外部人員可掃描廣播信號訪問權限無法控制，暴露內網核心應用內網安全網間隔離和內網服務器區(qū)隔離辦公網中的眾多安全威脅接入訪問生產網、內網服務器區(qū)的權限安全來自內網的機密數據竊取重要應用的訪問審計傳統(tǒng)方案的不足網閘處理數據量大時，容易造成處理瓶頸數據傳輸仍為明文，無法防范數據竊聽威脅身份認證手段單一，接入安全可靠性低通過IP、端口、協(xié)議的方式授權，管理困難防火墻無法做到細致權限控制根據應用開放多端口，安全隱患擴大數據明文傳輸，內網安全無保障沒用身份認證機制，審計困難應用安全重要應用系統(tǒng)的認證方式單一密碼容易遭竊取，造成越權訪問二次開發(fā)難度大，而安全性又需要提高傳統(tǒng)SSLVPN無法避免賬號遭盜用的情況深信服SSLVPN解決方案統(tǒng)一應用平臺解決方案SSL/IPSec二合一設備，實現異地機構組網，移動辦公雙重價值無需客戶端、零配置的移動接入方式，操作簡便多重加速技術，快速訪問體驗認證組合+終端控制+沙盒，用戶、邊界、應用數據完整安全第三方接入解決方案細粒度授權控制

多重認證方式組合確保接入人員身份安全客戶端安全檢查，避免危險終端給內網帶來安全隱患沙盒技術，防止數據在第三方終端上的泄露全網分布式集群全網統(tǒng)一域名接入就進快速接入異地智能熱備配置集中管控生產網、內網服務器區(qū)隔離保護僅開放443端口，內置專業(yè)防火墻，抵御多種攻擊多重認證方式，確保接入人員身份安全傳輸加密，保證數據在內網中的安全細致權限劃分，嚴防對生產網、服務器區(qū)濫訪結合獨立日志中心，提供詳盡的訪問、安全記錄關鍵應用安全加固多重身份認證，確保接入SSLVPN身份確定性主從賬號綁定，SSLVPN賬號與應用賬號對應綁定，防止越權訪問B/S、C/S應用的單點登錄，構建快捷方便的統(tǒng)一應用平臺獨立日志中心提供主從賬號越權訪問記錄，安全預警防WLAN非法訪問多重身份認證，提高WLAN接入安全對來訪人員、內部人員進行細致權限劃分高強度加密算法，保證傳輸安全深信服SSLVPN技術優(yōu)勢安全、便捷、快速、易管理的遠程接入安全快速易用管理性安全的解決方案身份安全支持多達8種認證方式，支持認證方式的靈活組合多重密碼安全保障終端安全沙盒技術防中間人攻擊客戶端安全檢查SSL專線客戶端零痕跡傳輸安全標準加密算法國密加密算法應用權限安全角色授權、URL級別授權主從賬號綁定服務器地址偽裝、應用隱藏審計安全獨立日志中心日志中心管理員權限分級用戶身份存在威脅單一用戶名密碼認證方式單一，易遭冒用密碼安全強度弱，隱患重重受鍵盤監(jiān)聽器、暴破軟件威脅重要應用系統(tǒng)受到嚴重威脅！解決方案：多重認證方式組合密碼安全策略軟鍵盤、圖形校驗碼、防暴破技術身份安全-多重組合認證與或

組合用戶名密碼硬件特征碼短信認證USBKEY認證動態(tài)令牌CA認證LDAPRADIUS硬件特征碼認證綁定CPU、硬盤、網卡等硬件信息，防止非法終端接入。支持用戶的多硬件特征碼綁定，支持自動審批，減輕管理員維護工作量。短信認證支持短信貓支持與運營商短信網關結合動態(tài)令牌認證一次性動態(tài)口令認證，杜絕密碼暴破、盜竊，加強身份安全支持基于時間、基于事件的動態(tài)令牌CA認證自建CA認證設備內置CA中心，節(jié)省采購第三方CA的高昂成本支持頒發(fā)設備證書、用戶文件證書、用戶KEY證書與第三方CA結合與原有CA進行無縫接合，支持各種證書格式支持OCSP和自動更新CRLLDAP結合以LDAP作為用戶統(tǒng)一管理平臺，提高管理效率設備用戶組結構與LDAPOU結構一致，方便管理可結合LDAP實現短信認證、虛擬IP綁定、角色管理、權限分配RADIUS結合與已有的Radius認證做結合，用戶統(tǒng)一管理平臺可與SQLServer、MySQL、ORACAL、Access等用戶管理數據庫進行結合，讀取用戶認證信息、用戶組分組、手機號碼、虛擬IP等設置密碼安全保障密碼強度多重密碼安全策略軟鍵盤圖形校驗碼密碼防暴基于用戶名防暴破保護基于IP的防暴破保護終端安全存在威脅黑客以終端作為跳板進攻內網終端安全級別低，成為總部安全短板SSLVPN中間人攻擊，賬號泄露威脅信息安全重要應用系統(tǒng)數據在終端上泄露，信息安全危機總部網絡安全、信息安全危機重重！沙盒技術啟用安全桌面對重要的應用進行保護，防止數據在終端上遭泄露安全桌面內，用戶無法通過本地保存、外設拷貝打印、局域網傳輸、互聯網通信等方式將受保護應用數據外泄用戶退出SSLVPN之后，安全桌面

內所有應用數據將被銷毀客戶端安全檢查基于角色實現客戶端準入、授權可檢查：操作系統(tǒng)及版本、注冊表、文件、進程、登錄時間、接入線路IP、登錄IP、終端防中間人攻擊針對劫持會話偽造證書、SSLStrip等中間人攻擊進行檢測對客戶端進行告警，防止信息泄露SSLVPN專線用戶接入SSLVPN后自動斷開其余所有互聯網鏈接，防止黑客以終端用戶主機作為進攻內網的跳板更多終端安全技術客戶端零痕跡退出SSLVPN后自動清除cookie、IE緩存、訪問記錄等，防止登錄信息泄露而對內網資源信息造成損失用戶超時設置基于全局、用戶組、用戶設置超時時間，靈活控制關鍵文件保護保護應用系統(tǒng)關鍵文件，防止惡意修改，保障系統(tǒng)安全傳輸安全標準SSL協(xié)議，安全性保障支持多種國際標準加密算法及摘要算法，如AES、3DES、DES、RSA、DH、RC4、SHA-1、MD5可擴展國密加密算法SCB2應用權限安全角色細粒度授權，URL級別授權主從賬號綁定服務器地址偽裝、資源隱藏基于客戶端安全級別的授權主從賬號綁定SSLVPN登錄賬號與應用賬號對應綁定防止越權訪問行為，加強應用系統(tǒng)安全URL級別授權基于角色對用戶組/用戶進行應用授權針對B/S資源，支持URL級別授權，細致到應用、頁面應用安全B/S應用服務器地址偽裝TCP應用、L3VPN應用IP地址隱藏資源完全隱藏審計安全管理員16級分級分權限管理，保證管理安全設備內置管理日志、服務日志獨立日志中心提供用戶、管理、系統(tǒng)、告警等詳盡日志及報表管理員16級分級管理16級樹形管理員分級分權限管理，支持權限繼承配置模塊、用戶、角色、資源權限的劃分配置和查看權限劃分獨立日志中心實時同步，海量日志存儲，不影響網關性能支持Syslog、SNMP管理員權限與控制臺同步，防止日志濫用影響訪問速度的因素跨運營商訪問速度瓶頸跨國、偏遠地區(qū)訪問等造成高丟包、高延時、質量低下數據本身冗余度高，多次重復讀取相同或細微改動數據，冗余量大PDA、智能手機等終端采用GSM、CDMA、EDGE、3G接入速度慢分擔同一應用的多臺服務器負載分配不均，高負載服務器用戶速度慢快速的解決方案鏈路多線路智能選路技術傳輸HTP快速傳輸協(xié)議IPTunnel加速數據流緩存加速技術高效流壓縮技術應用Web優(yōu)化資源負載均衡多線路智能選路通過速度實時探測，選擇響應最快的線路接入，避免跨運營商訪問支持多線路備份，登錄SSLVPN后實時探測總部線路效果，若當前線路不穩(wěn)定，立即將用戶切換到另一條較穩(wěn)定度的線路上，保證用戶SSLVPN暢順使用HTP快速傳輸協(xié)議解決網絡高丟包、高延時造成的應用訪問速度緩慢的問題優(yōu)化傳統(tǒng)TCP傳輸，惡劣網絡環(huán)境下大幅加速基于UDP的可靠傳輸快速重傳選擇性重傳擁塞機制優(yōu)化 -滑動窗口優(yōu)化流緩存加速基于碼流特征，進行數據包分片、數據更新校驗、標簽、緩存及數據重組，保證數據更新實時性的同時大幅削減傳輸數據量，提高速度實際測試表明，流緩存加速最高可削減80%的流量，速度大跨越可在客戶端、控制臺查看流緩存效果專利技術高效流壓縮采用LZO、GZIP高效流壓縮算法，削減冗余數據量全面優(yōu)化各種B/S、C/S應用動態(tài)壓縮策略，采用最佳壓縮策略，獲取系統(tǒng)負載與壓縮比之間最佳平衡Web優(yōu)化通過圖片過濾、縮小、模糊化策略實現對于圖片的優(yōu)化處理，提高不同WEB資源、不同網絡環(huán)境用戶訪問WEB資源的體驗傳輸數據量削減，應用訪問加速資源負載均衡一個應用由多臺服務器承載，需要動態(tài)負載接入服務器根據預設的權限值動態(tài)的將用戶連接分配服務器上提升用戶訪問體驗，提高服務器利用率全方位加速體系多線路智能選路跨運營商訪問HTP快速傳輸協(xié)議高丟包、高延時等惡劣網絡環(huán)境傳輸LZO、GZIP高效流壓縮削減冗余數據，傳輸加速流緩存技術大幅削減二次、多次傳輸冗余數據Web優(yōu)化提高手持移動終端訪問效果、訪問速度資源負載均衡提高用戶訪問體驗，充分利用服務器資源易用的解決方案管理員零客戶端、零配置，管理維護量小頁面定制便利，打造專屬應用平臺智能遞推，防止資源漏訪用戶組16級分級管理用戶完整支持Windows、Linux、MACOS等主流操作系統(tǒng)，完整支持IE、Firefox、Opera、Safari、Chrome等瀏覽器遠程應用發(fā)布虛擬門戶B/S、C/S應用單點登錄文件共享Web化完整的支持性完整支持Windows、LINUX、MACOS等主流操作系統(tǒng)完整支持IE、Firefox、Opera、Safari、Chrome等主流瀏覽器虛擬門戶

不同部門、不同運用平臺采用不同的Portal各Portal可擁有獨立的地址、界面、應用資源、管理員遠程應用發(fā)布

用戶終端發(fā)布應用窗口，使用體驗相同用戶終端無需安裝客戶端，可正常使用C/S應用網絡中僅傳輸鼠標、鍵盤、顯示數據Web文件共享Web應用方式發(fā)布文件共享避免傳統(tǒng)網上鄰居CIFS協(xié)議小包頻繁交互，提高使用速度可結合域進行權限控制，可進行文件夾訪問權限控制用戶組16級分級

依據組織架構建立SSLVPN用戶組結構用戶組認證方式、屬性配置繼承，管理方便單點登錄（SSO）登錄SSLVPN后，可直接點擊應用直接訪問，無需再次認證，提供工作效率支持B/S、C/S應用單點登錄支持FROM、NTLM、BASIC方式單點登錄虛擬IP綁定可自定義設置多虛擬IP池支持用戶組虛擬IP池綁定、用戶虛擬IP綁定L3VPN應用支持路由模式、SNAT模式、反向連接Web應用、TCP應用支持虛擬IP綁定即使消息可自定義設置多虛擬IP池支持用戶組虛擬IP池綁定、用戶虛擬IP綁定L3VPN應用支持路由模式、SNAT模式、反向連接Web應用、TCP應用支持虛擬IP綁定自定義頁面處于管理的需要，需要保持跟公司原有風格的一致支持3套模板選擇支持自定義LOGO、公告、頁面標題支持頁面完全自定義即使消息可查看在線用戶流速、流量、IP、接入時間、并發(fā)會話等接入狀況可向指定用戶、所有用戶發(fā)送即時廣播智能遞推內部應用門戶上含多級鏈接，添加資源時易漏導致用戶資源漏訪多級鏈接中含變化IP鏈接，一旦IP變化需重新添加資源，維護量大自動探測頁面上未添加為資源的鏈接，根據IP+端口、域名自動將其添加為資源，防止資源漏訪便捷使用點擊資源可直接啟動所關聯的C/S客戶端系統(tǒng)托盤，防止頁面誤關操作導致的SSLVPN連接中斷開機自動登錄SSLVPN、桌面快捷方式啟動SSLVPN默認服務頁面，登錄SSLVPN后自動進入指定應用資源列表圖標顯示，可自定義圖標匿名登錄應用系統(tǒng)本身已經有強大的身份認證體系，僅需要依靠SSLVPN進行傳輸數據加密采用匿名登錄的方式，僅提供SSLVPN加密通道，登錄SSLVPN無需認證，訪問應用時通過應用系統(tǒng)強大的身份認證保證用戶安全性典型客戶案例中國海洋石油總公司分別在北京、塘沽、蛇口3個數據中心及燕郊災備中心部署M5500-S+2000并發(fā)，全國移動用戶通過SSLVPN接入實現移動辦公全網分布式集群：統(tǒng)一域名接入就進快速接入節(jié)點主主備份集中統(tǒng)一配置山西質監(jiān)山西質監(jiān)系統(tǒng)，服務器集中在省局，質監(jiān)專網部分人員未經許可采用技術手段登錄到業(yè)務系統(tǒng)服務器查看他人帳戶、未經許可訪問業(yè)務系統(tǒng)M5400-S部署在省局服務器區(qū)之前，進行服務器隔離、權限劃分，保證應用安全、數據安全上海農業(yè)銀行2*M5400-S-P，架設在生產網及辦公網之間，配合代理服務器，實現網絡安全隔離、授權訪問廈門國際銀行M5400-S*1+150移動WLAN身份認證安全加強、傳輸加密、細致授權，防止無線非法接入眾多高端客戶的一致選擇政府金融教育科研能源電力運營商大企業(yè)中華人民共和國最高人民法院中國人民銀行總行中國科學院計算機網絡信息中心中國海洋石油中國移動通信有限公司總部中國遠洋運輸集團中華人民共和國農業(yè)部信息中心中國銀行浙江大學中國國電集團中國移動陜西省分公司中國航天科技集團公司中華人民共和國教育部考試中心中國農業(yè)銀行中國人民大學中國電力投資集團中國移動四川省分公司中國郵政集團中華人民共和國衛(wèi)生部衛(wèi)生監(jiān)督中心中國銀行中山大學中國華能集團中國移動云南省分公司中國電子信息產業(yè)集團中國對外貿易中心招商銀行電子科技