桌面應(yīng)用SANGFOR-SSL VPN-V5.0-技術(shù)交流

打造安全、高效、便捷的辦公網(wǎng)絡(luò)深信服SSLVPN安全接入解決方案1.現(xiàn)有網(wǎng)絡(luò)出現(xiàn)的問題2.深信服SSLVPN解決方案3.深信服SSLVPN技術(shù)優(yōu)勢4.典型客戶案例5.深信服SSLVPN品牌現(xiàn)有網(wǎng)絡(luò)出現(xiàn)的問題數(shù)據(jù)訪問安全外網(wǎng)

安全WLAN

安全內(nèi)網(wǎng)

安全應(yīng)用

安全外網(wǎng)安全

統(tǒng)一應(yīng)用平臺分支直接通過公網(wǎng)線路訪問總部領(lǐng)導(dǎo)、出差員工移動辦公的安全接入多數(shù)據(jù)中心、異地災(zāi)備中心的訪問合作伙伴、第三方代維人員接入服務(wù)器群的安全考量訪問權(quán)限的安全顧慮重要數(shù)據(jù)公網(wǎng)傳輸?shù)陌踩詡鹘y(tǒng)方案的不足專線接入后無法對權(quán)限做細(xì)致控制移動辦公的接入問題無法解決專線租用昂貴導(dǎo)致網(wǎng)絡(luò)建設(shè)成本高傳統(tǒng)VPN方式無法實現(xiàn)細(xì)致權(quán)限控制邊遠(yuǎn)地區(qū)設(shè)備、客戶端維護成本高多數(shù)據(jù)中心、異地災(zāi)備的移動接入操作復(fù)雜客戶端安全防護欠缺，威脅總部安全WLAN安全WLAN安全危機重重網(wǎng)絡(luò)接入僅依靠密碼驗證，容易遭盜取無線加密存在破解隱患，威脅傳輸安全AP覆蓋范圍廣，外部人員可掃描廣播信號訪問權(quán)限無法控制，暴露內(nèi)網(wǎng)核心應(yīng)用內(nèi)網(wǎng)安全網(wǎng)間隔離和內(nèi)網(wǎng)服務(wù)器區(qū)隔離辦公網(wǎng)中的眾多安全威脅接入訪問生產(chǎn)網(wǎng)、內(nèi)網(wǎng)服務(wù)器區(qū)的權(quán)限安全來自內(nèi)網(wǎng)的機密數(shù)據(jù)竊取重要應(yīng)用的訪問審計傳統(tǒng)方案的不足網(wǎng)閘處理數(shù)據(jù)量大時，容易造成處理瓶頸數(shù)據(jù)傳輸仍為明文，無法防范數(shù)據(jù)竊聽威脅身份認(rèn)證手段單一，接入安全可靠性低通過IP、端口、協(xié)議的方式授權(quán)，管理困難防火墻無法做到細(xì)致權(quán)限控制根據(jù)應(yīng)用開放多端口，安全隱患擴大數(shù)據(jù)明文傳輸，內(nèi)網(wǎng)安全無保障沒用身份認(rèn)證機制，審計困難應(yīng)用安全重要應(yīng)用系統(tǒng)的認(rèn)證方式單一密碼容易遭竊取，造成越權(quán)訪問二次開發(fā)難度大，而安全性又需要提高傳統(tǒng)SSLVPN無法避免賬號遭盜用的情況深信服SSLVPN解決方案統(tǒng)一應(yīng)用平臺解決方案SSL/IPSec二合一設(shè)備，實現(xiàn)異地機構(gòu)組網(wǎng)，移動辦公雙重價值無需客戶端、零配置的移動接入方式，操作簡便多重加速技術(shù)，快速訪問體驗認(rèn)證組合+終端控制+沙盒，用戶、邊界、應(yīng)用數(shù)據(jù)完整安全第三方接入解決方案細(xì)粒度授權(quán)控制

多重認(rèn)證方式組合確保接入人員身份安全客戶端安全檢查，避免危險終端給內(nèi)網(wǎng)帶來安全隱患沙盒技術(shù)，防止數(shù)據(jù)在第三方終端上的泄露全網(wǎng)分布式集群全網(wǎng)統(tǒng)一域名接入就進快速接入異地智能熱備配置集中管控生產(chǎn)網(wǎng)、內(nèi)網(wǎng)服務(wù)器區(qū)隔離保護僅開放443端口，內(nèi)置專業(yè)防火墻，抵御多種攻擊多重認(rèn)證方式，確保接入人員身份安全傳輸加密，保證數(shù)據(jù)在內(nèi)網(wǎng)中的安全細(xì)致權(quán)限劃分，嚴(yán)防對生產(chǎn)網(wǎng)、服務(wù)器區(qū)濫訪結(jié)合獨立日志中心，提供詳盡的訪問、安全記錄關(guān)鍵應(yīng)用安全加固多重身份認(rèn)證，確保接入SSLVPN身份確定性主從賬號綁定，SSLVPN賬號與應(yīng)用賬號對應(yīng)綁定，防止越權(quán)訪問B/S、C/S應(yīng)用的單點登錄，構(gòu)建快捷方便的統(tǒng)一應(yīng)用平臺獨立日志中心提供主從賬號越權(quán)訪問記錄，安全預(yù)警防WLAN非法訪問多重身份認(rèn)證，提高WLAN接入安全對來訪人員、內(nèi)部人員進行細(xì)致權(quán)限劃分高強度加密算法，保證傳輸安全深信服SSLVPN技術(shù)優(yōu)勢安全、便捷、快速、易管理的遠(yuǎn)程接入安全快速易用管理性安全的解決方案身份安全支持多達(dá)8種認(rèn)證方式，支持認(rèn)證方式的靈活組合多重密碼安全保障終端安全沙盒技術(shù)防中間人攻擊客戶端安全檢查SSL專線客戶端零痕跡傳輸安全標(biāo)準(zhǔn)加密算法國密加密算法應(yīng)用權(quán)限安全角色授權(quán)、URL級別授權(quán)主從賬號綁定服務(wù)器地址偽裝、應(yīng)用隱藏審計安全獨立日志中心日志中心管理員權(quán)限分級用戶身份存在威脅單一用戶名密碼認(rèn)證方式單一，易遭冒用密碼安全強度弱，隱患重重受鍵盤監(jiān)聽器、暴破軟件威脅重要應(yīng)用系統(tǒng)受到嚴(yán)重威脅！解決方案：多重認(rèn)證方式組合密碼安全策略軟鍵盤、圖形校驗碼、防暴破技術(shù)身份安全-多重組合認(rèn)證與或

組合用戶名密碼硬件特征碼短信認(rèn)證USBKEY認(rèn)證動態(tài)令牌CA認(rèn)證LDAPRADIUS硬件特征碼認(rèn)證綁定CPU、硬盤、網(wǎng)卡等硬件信息，防止非法終端接入。支持用戶的多硬件特征碼綁定，支持自動審批，減輕管理員維護工作量。短信認(rèn)證支持短信貓支持與運營商短信網(wǎng)關(guān)結(jié)合動態(tài)令牌認(rèn)證一次性動態(tài)口令認(rèn)證，杜絕密碼暴破、盜竊，加強身份安全支持基于時間、基于事件的動態(tài)令牌CA認(rèn)證自建CA認(rèn)證設(shè)備內(nèi)置CA中心，節(jié)省采購第三方CA的高昂成本支持頒發(fā)設(shè)備證書、用戶文件證書、用戶KEY證書與第三方CA結(jié)合與原有CA進行無縫接合，支持各種證書格式支持OCSP和自動更新CRLLDAP結(jié)合以LDAP作為用戶統(tǒng)一管理平臺，提高管理效率設(shè)備用戶組結(jié)構(gòu)與LDAPOU結(jié)構(gòu)一致，方便管理可結(jié)合LDAP實現(xiàn)短信認(rèn)證、虛擬IP綁定、角色管理、權(quán)限分配RADIUS結(jié)合與已有的Radius認(rèn)證做結(jié)合，用戶統(tǒng)一管理平臺可與SQLServer、MySQL、ORACAL、Access等用戶管理數(shù)據(jù)庫進行結(jié)合，讀取用戶認(rèn)證信息、用戶組分組、手機號碼、虛擬IP等設(shè)置密碼安全保障密碼強度多重密碼安全策略軟鍵盤圖形校驗碼密碼防暴基于用戶名防暴破保護基于IP的防暴破保護終端安全存在威脅黑客以終端作為跳板進攻內(nèi)網(wǎng)終端安全級別低，成為總部安全短板SSLVPN中間人攻擊，賬號泄露威脅信息安全重要應(yīng)用系統(tǒng)數(shù)據(jù)在終端上泄露，信息安全危機總部網(wǎng)絡(luò)安全、信息安全危機重重！沙盒技術(shù)啟用安全桌面對重要的應(yīng)用進行保護，防止數(shù)據(jù)在終端上遭泄露安全桌面內(nèi)，用戶無法通過本地保存、外設(shè)拷貝打印、局域網(wǎng)傳輸、互聯(lián)網(wǎng)通信等方式將受保護應(yīng)用數(shù)據(jù)外泄用戶退出SSLVPN之后，安全桌面

內(nèi)所有應(yīng)用數(shù)據(jù)將被銷毀客戶端安全檢查基于角色實現(xiàn)客戶端準(zhǔn)入、授權(quán)可檢查：操作系統(tǒng)及版本、注冊表、文件、進程、登錄時間、接入線路IP、登錄IP、終端防中間人攻擊針對劫持會話偽造證書、SSLStrip等中間人攻擊進行檢測對客戶端進行告警，防止信息泄露SSLVPN專線用戶接入SSLVPN后自動斷開其余所有互聯(lián)網(wǎng)鏈接，防止黑客以終端用戶主機作為進攻內(nèi)網(wǎng)的跳板更多終端安全技術(shù)客戶端零痕跡退出SSLVPN后自動清除cookie、IE緩存、訪問記錄等，防止登錄信息泄露而對內(nèi)網(wǎng)資源信息造成損失用戶超時設(shè)置基于全局、用戶組、用戶設(shè)置超時時間，靈活控制關(guān)鍵文件保護保護應(yīng)用系統(tǒng)關(guān)鍵文件，防止惡意修改，保障系統(tǒng)安全傳輸安全標(biāo)準(zhǔn)SSL協(xié)議，安全性保障支持多種國際標(biāo)準(zhǔn)加密算法及摘要算法，如AES、3DES、DES、RSA、DH、RC4、SHA-1、MD5可擴展國密加密算法SCB2應(yīng)用權(quán)限安全角色細(xì)粒度授權(quán)，URL級別授權(quán)主從賬號綁定服務(wù)器地址偽裝、資源隱藏基于客戶端安全級別的授權(quán)主從賬號綁定SSLVPN登錄賬號與應(yīng)用賬號對應(yīng)綁定防止越權(quán)訪問行為，加強應(yīng)用系統(tǒng)安全URL級別授權(quán)基于角色對用戶組/用戶進行應(yīng)用授權(quán)針對B/S資源，支持URL級別授權(quán)，細(xì)致到應(yīng)用、頁面應(yīng)用安全B/S應(yīng)用服務(wù)器地址偽裝TCP應(yīng)用、L3VPN應(yīng)用IP地址隱藏資源完全隱藏審計安全管理員16級分級分權(quán)限管理，保證管理安全設(shè)備內(nèi)置管理日志、服務(wù)日志獨立日志中心提供用戶、管理、系統(tǒng)、告警等詳盡日志及報表管理員16級分級管理16級樹形管理員分級分權(quán)限管理，支持權(quán)限繼承配置模塊、用戶、角色、資源權(quán)限的劃分配置和查看權(quán)限劃分獨立日志中心實時同步，海量日志存儲，不影響網(wǎng)關(guān)性能支持Syslog、SNMP管理員權(quán)限與控制臺同步，防止日志濫用影響訪問速度的因素跨運營商訪問速度瓶頸跨國、偏遠(yuǎn)地區(qū)訪問等造成高丟包、高延時、質(zhì)量低下數(shù)據(jù)本身冗余度高，多次重復(fù)讀取相同或細(xì)微改動數(shù)據(jù)，冗余量大PDA、智能手機等終端采用GSM、CDMA、EDGE、3G接入速度慢分擔(dān)同一應(yīng)用的多臺服務(wù)器負(fù)載分配不均，高負(fù)載服務(wù)器用戶速度慢快速的解決方案鏈路多線路智能選路技術(shù)傳輸HTP快速傳輸協(xié)議IPTunnel加速數(shù)據(jù)流緩存加速技術(shù)高效流壓縮技術(shù)應(yīng)用Web優(yōu)化資源負(fù)載均衡多線路智能選路通過速度實時探測，選擇響應(yīng)最快的線路接入，避免跨運營商訪問支持多線路備份，登錄SSLVPN后實時探測總部線路效果，若當(dāng)前線路不穩(wěn)定，立即將用戶切換到另一條較穩(wěn)定度的線路上，保證用戶SSLVPN暢順使用HTP快速傳輸協(xié)議解決網(wǎng)絡(luò)高丟包、高延時造成的應(yīng)用訪問速度緩慢的問題優(yōu)化傳統(tǒng)TCP傳輸，惡劣網(wǎng)絡(luò)環(huán)境下大幅加速基于UDP的可靠傳輸快速重傳選擇性重傳擁塞機制優(yōu)化 -滑動窗口優(yōu)化流緩存加速基于碼流特征，進行數(shù)據(jù)包分片、數(shù)據(jù)更新校驗、標(biāo)簽、緩存及數(shù)據(jù)重組，保證數(shù)據(jù)更新實時性的同時大幅削減傳輸數(shù)據(jù)量，提高速度實際測試表明，流緩存加速最高可削減80%的流量，速度大跨越可在客戶端、控制臺查看流緩存效果專利技術(shù)高效流壓縮采用LZO、GZIP高效流壓縮算法，削減冗余數(shù)據(jù)量全面優(yōu)化各種B/S、C/S應(yīng)用動態(tài)壓縮策略，采用最佳壓縮策略，獲取系統(tǒng)負(fù)載與壓縮比之間最佳平衡Web優(yōu)化通過圖片過濾、縮小、模糊化策略實現(xiàn)對于圖片的優(yōu)化處理，提高不同WEB資源、不同網(wǎng)絡(luò)環(huán)境用戶訪問WEB資源的體驗傳輸數(shù)據(jù)量削減，應(yīng)用訪問加速資源負(fù)載均衡一個應(yīng)用由多臺服務(wù)器承載，需要動態(tài)負(fù)載接入服務(wù)器根據(jù)預(yù)設(shè)的權(quán)限值動態(tài)的將用戶連接分配服務(wù)器上提升用戶訪問體驗，提高服務(wù)器利用率全方位加速體系多線路智能選路跨運營商訪問HTP快速傳輸協(xié)議高丟包、高延時等惡劣網(wǎng)絡(luò)環(huán)境傳輸LZO、GZIP高效流壓縮削減冗余數(shù)據(jù)，傳輸加速流緩存技術(shù)大幅削減二次、多次傳輸冗余數(shù)據(jù)Web優(yōu)化提高手持移動終端訪問效果、訪問速度資源負(fù)載均衡提高用戶訪問體驗，充分利用服務(wù)器資源易用的解決方案管理員零客戶端、零配置，管理維護量小頁面定制便利，打造專屬應(yīng)用平臺智能遞推，防止資源漏訪用戶組16級分級管理用戶完整支持Windows、Linux、MACOS等主流操作系統(tǒng)，完整支持IE、Firefox、Opera、Safari、Chrome等瀏覽器遠(yuǎn)程應(yīng)用發(fā)布虛擬門戶B/S、C/S應(yīng)用單點登錄文件共享Web化完整的支持性完整支持Windows、LINUX、MACOS等主流操作系統(tǒng)完整支持IE、Firefox、Opera、Safari、Chrome等主流瀏覽器虛擬門戶

不同部門、不同運用平臺采用不同的Portal各Portal可擁有獨立的地址、界面、應(yīng)用資源、管理員遠(yuǎn)程應(yīng)用發(fā)布

用戶終端發(fā)布應(yīng)用窗口，使用體驗相同用戶終端無需安裝客戶端，可正常使用C/S應(yīng)用網(wǎng)絡(luò)中僅傳輸鼠標(biāo)、鍵盤、顯示數(shù)據(jù)Web文件共享Web應(yīng)用方式發(fā)布文件共享避免傳統(tǒng)網(wǎng)上鄰居CIFS協(xié)議小包頻繁交互，提高使用速度可結(jié)合域進行權(quán)限控制，可進行文件夾訪問權(quán)限控制用戶組16級分級

依據(jù)組織架構(gòu)建立SSLVPN用戶組結(jié)構(gòu)用戶組認(rèn)證方式、屬性配置繼承，管理方便單點登錄（SSO）登錄SSLVPN后，可直接點擊應(yīng)用直接訪問，無需再次認(rèn)證，提供工作效率支持B/S、C/S應(yīng)用單點登錄支持FROM、NTLM、BASIC方式單點登錄虛擬IP綁定可自定義設(shè)置多虛擬IP池支持用戶組虛擬IP池綁定、用戶虛擬IP綁定L3VPN應(yīng)用支持路由模式、SNAT模式、反向連接Web應(yīng)用、TCP應(yīng)用支持虛擬IP綁定即使消息可自定義設(shè)置多虛擬IP池支持用戶組虛擬IP池綁定、用戶虛擬IP綁定L3VPN應(yīng)用支持路由模式、SNAT模式、反向連接Web應(yīng)用、TCP應(yīng)用支持虛擬IP綁定自定義頁面處于管理的需要，需要保持跟公司原有風(fēng)格的一致支持3套模板選擇支持自定義LOGO、公告、頁面標(biāo)題支持頁面完全自定義即使消息可查看在線用戶流速、流量、IP、接入時間、并發(fā)會話等接入狀況可向指定用戶、所有用戶發(fā)送即時廣播智能遞推內(nèi)部應(yīng)用門戶上含多級鏈接，添加資源時易漏導(dǎo)致用戶資源漏訪多級鏈接中含變化IP鏈接，一旦IP變化需重新添加資源，維護量大自動探測頁面上未添加為資源的鏈接，根據(jù)IP+端口、域名自動將其添加為資源，防止資源漏訪便捷使用點擊資源可直接啟動所關(guān)聯(lián)的C/S客戶端系統(tǒng)托盤，防止頁面誤關(guān)操作導(dǎo)致的SSLVPN連接中斷開機自動登錄SSLVPN、桌面快捷方式啟動SSLVPN默認(rèn)服務(wù)頁面，登錄SSLVPN后自動進入指定應(yīng)用資源列表圖標(biāo)顯示，可自定義圖標(biāo)匿名登錄應(yīng)用系統(tǒng)本身已經(jīng)有強大的身份認(rèn)證體系，僅需要依靠SSLVPN進行傳輸數(shù)據(jù)加密采用匿名登錄的方式，僅提供SSLVPN加密通道，登錄SSLVPN無需認(rèn)證，訪問應(yīng)用時通過應(yīng)用系統(tǒng)強大的身份認(rèn)證保證用戶安全性典型客戶案例中國海洋石油總公司分別在北京、塘沽、蛇口3個數(shù)據(jù)中心及燕郊災(zāi)備中心部署M5500-S+2000并發(fā)，全國移動用戶通過SSLVPN接入實現(xiàn)移動辦公全網(wǎng)分布式集群：統(tǒng)一域名接入就進快速接入節(jié)點主主備份集中統(tǒng)一配置山西質(zhì)監(jiān)山西質(zhì)監(jiān)系統(tǒng)，服務(wù)器集中在省局，質(zhì)監(jiān)專網(wǎng)部分人員未經(jīng)許可采用技術(shù)手段登錄到業(yè)務(wù)系統(tǒng)服務(wù)器查看他人帳戶、未經(jīng)許可訪問業(yè)務(wù)系統(tǒng)M5400-S部署在省局服務(wù)器區(qū)之前，進行服務(wù)器隔離、權(quán)限劃分，保證應(yīng)用安全、數(shù)據(jù)安全上海農(nóng)業(yè)銀行2*M5400-S-P，架設(shè)在生產(chǎn)網(wǎng)及辦公網(wǎng)之間，配合代理服務(wù)器，實現(xiàn)網(wǎng)絡(luò)安全隔離、授權(quán)訪問廈門國際銀行M5400-S*1+150移動WLAN身份認(rèn)證安全加強、傳輸加密、細(xì)致授權(quán)，防止無線非法接入眾多高端客戶的一致選擇政府金融教育科研能源電力運營商大企業(yè)中華人民共和國最高人民法院中國人民銀行總行中國科學(xué)院計算機網(wǎng)絡(luò)信息中心中國海洋石油中國移動通信有限公司總部中國遠(yuǎn)洋運輸集團中華人民共和國農(nóng)業(yè)部信息中心中國銀行浙江大學(xué)中國國電集團中國移動陜西省分公司中國航天科技集團公司中華人民共和國教育部考試中心中國農(nóng)業(yè)銀行中國人民大學(xué)中國電力投資集團中國移動四川省分公司中國郵政集團中華人民共和國衛(wèi)生部衛(wèi)生監(jiān)督中心中國銀行中山大學(xué)中國華能集團中國移動云南省分公司中國電子信息產(chǎn)業(yè)集團中國對外貿(mào)易中心招商銀行電子科技