桌面应用SANGFOR-SSL VPN-V5.0-技术交流

打造安全、高效、便捷的办公网络深信服SSLVPN安全接入解决方案1.现有网络出现的问题2.深信服SSLVPN解决方案3.深信服SSLVPN技术优势4.典型客户案例5.深信服SSLVPN品牌现有网络出现的问题数据访问安全外网

安全WLAN

安全内网

安全应用

安全外网安全

统一应用平台分支直接通过公网线路访问总部领导、出差员工移动办公的安全接入多数据中心、异地灾备中心的访问合作伙伴、第三方代维人员接入服务器群的安全考量访问权限的安全顾虑重要数据公网传输的安全性传统方案的不足专线接入后无法对权限做细致控制移动办公的接入问题无法解决专线租用昂贵导致网络建设成本高传统VPN方式无法实现细致权限控制边远地区设备、客户端维护成本高多数据中心、异地灾备的移动接入操作复杂客户端安全防护欠缺，威胁总部安全WLAN安全WLAN安全危机重重网络接入仅依靠密码验证，容易遭盗取无线加密存在破解隐患，威胁传输安全AP覆盖范围广，外部人员可扫描广播信号访问权限无法控制，暴露内网核心应用内网安全网间隔离和内网服务器区隔离办公网中的众多安全威胁接入访问生产网、内网服务器区的权限安全来自内网的机密数据窃取重要应用的访问审计传统方案的不足网闸处理数据量大时，容易造成处理瓶颈数据传输仍为明文，无法防范数据窃听威胁身份认证手段单一，接入安全可靠性低通过IP、端口、协议的方式授权，管理困难防火墙无法做到细致权限控制根据应用开放多端口，安全隐患扩大数据明文传输，内网安全无保障没用身份认证机制，审计困难应用安全重要应用系统的认证方式单一密码容易遭窃取，造成越权访问二次开发难度大，而安全性又需要提高传统SSLVPN无法避免账号遭盗用的情况深信服SSLVPN解决方案统一应用平台解决方案SSL/IPSec二合一设备，实现异地机构组网，移动办公双重价值无需客户端、零配置的移动接入方式，操作简便多重加速技术，快速访问体验认证组合+终端控制+沙盒，用户、边界、应用数据完整安全第三方接入解决方案细粒度授权控制

多重认证方式组合确保接入人员身份安全客户端安全检查，避免危险终端给内网带来安全隐患沙盒技术，防止数据在第三方终端上的泄露全网分布式集群全网统一域名接入就进快速接入异地智能热备配置集中管控生产网、内网服务器区隔离保护仅开放443端口，内置专业防火墙，抵御多种攻击多重认证方式，确保接入人员身份安全传输加密，保证数据在内网中的安全细致权限划分，严防对生产网、服务器区滥访结合独立日志中心，提供详尽的访问、安全记录关键应用安全加固多重身份认证，确保接入SSLVPN身份确定性主从账号绑定，SSLVPN账号与应用账号对应绑定，防止越权访问B/S、C/S应用的单点登录，构建快捷方便的统一应用平台独立日志中心提供主从账号越权访问记录，安全预警防WLAN非法访问多重身份认证，提高WLAN接入安全对来访人员、内部人员进行细致权限划分高强度加密算法，保证传输安全深信服SSLVPN技术优势安全、便捷、快速、易管理的远程接入安全快速易用管理性安全的解决方案身份安全支持多达8种认证方式，支持认证方式的灵活组合多重密码安全保障终端安全沙盒技术防中间人攻击客户端安全检查SSL专线客户端零痕迹传输安全标准加密算法国密加密算法应用权限安全角色授权、URL级别授权主从账号绑定服务器地址伪装、应用隐藏审计安全独立日志中心日志中心管理员权限分级用户身份存在威胁单一用户名密码认证方式单一，易遭冒用密码安全强度弱，隐患重重受键盘监听器、暴破软件威胁重要应用系统受到严重威胁！解决方案：多重认证方式组合密码安全策略软键盘、图形校验码、防暴破技术身份安全-多重组合认证与或

组合用户名密码硬件特征码短信认证USBKEY认证动态令牌CA认证LDAPRADIUS硬件特征码认证绑定CPU、硬盘、网卡等硬件信息，防止非法终端接入。支持用户的多硬件特征码绑定，支持自动审批，减轻管理员维护工作量。短信认证支持短信猫支持与运营商短信网关结合动态令牌认证一次性动态口令认证，杜绝密码暴破、盗窃，加强身份安全支持基于时间、基于事件的动态令牌CA认证自建CA认证设备内置CA中心，节省采购第三方CA的高昂成本支持颁发设备证书、用户文件证书、用户KEY证书与第三方CA结合与原有CA进行无缝接合，支持各种证书格式支持OCSP和自动更新CRLLDAP结合以LDAP作为用户统一管理平台，提高管理效率设备用户组结构与LDAPOU结构一致，方便管理可结合LDAP实现短信认证、虚拟IP绑定、角色管理、权限分配RADIUS结合与已有的Radius认证做结合，用户统一管理平台可与SQLServer、MySQL、ORACAL、Access等用户管理数据库进行结合，读取用户认证信息、用户组分组、手机号码、虚拟IP等设置密码安全保障密码强度多重密码安全策略软键盘图形校验码密码防暴基于用户名防暴破保护基于IP的防暴破保护终端安全存在威胁黑客以终端作为跳板进攻内网终端安全级别低，成为总部安全短板SSLVPN中间人攻击，账号泄露威胁信息安全重要应用系统数据在终端上泄露，信息安全危机总部网络安全、信息安全危机重重！沙盒技术启用安全桌面对重要的应用进行保护，防止数据在终端上遭泄露安全桌面内，用户无法通过本地保存、外设拷贝打印、局域网传输、互联网通信等方式将受保护应用数据外泄用户退出SSLVPN之后，安全桌面

内所有应用数据将被销毁客户端安全检查基于角色实现客户端准入、授权可检查：操作系统及版本、注册表、文件、进程、登录时间、接入线路IP、登录IP、终端防中间人攻击针对劫持会话伪造证书、SSLStrip等中间人攻击进行检测对客户端进行告警，防止信息泄露SSLVPN专线用户接入SSLVPN后自动断开其余所有互联网链接，防止黑客以终端用户主机作为进攻内网的跳板更多终端安全技术客户端零痕迹退出SSLVPN后自动清除cookie、IE缓存、访问记录等，防止登录信息泄露而对内网资源信息造成损失用户超时设置基于全局、用户组、用户设置超时时间，灵活控制关键文件保护保护应用系统关键文件，防止恶意修改，保障系统安全传输安全标准SSL协议，安全性保障支持多种国际标准加密算法及摘要算法，如AES、3DES、DES、RSA、DH、RC4、SHA-1、MD5可扩展国密加密算法SCB2应用权限安全角色细粒度授权，URL级别授权主从账号绑定服务器地址伪装、资源隐藏基于客户端安全级别的授权主从账号绑定SSLVPN登录账号与应用账号对应绑定防止越权访问行为，加强应用系统安全URL级别授权基于角色对用户组/用户进行应用授权针对B/S资源，支持URL级别授权，细致到应用、页面应用安全B/S应用服务器地址伪装TCP应用、L3VPN应用IP地址隐藏资源完全隐藏审计安全管理员16级分级分权限管理，保证管理安全设备内置管理日志、服务日志独立日志中心提供用户、管理、系统、告警等详尽日志及报表管理员16级分级管理16级树形管理员分级分权限管理，支持权限继承配置模块、用户、角色、资源权限的划分配置和查看权限划分独立日志中心实时同步，海量日志存储，不影响网关性能支持Syslog、SNMP管理员权限与控制台同步，防止日志滥用影响访问速度的因素跨运营商访问速度瓶颈跨国、偏远地区访问等造成高丢包、高延时、质量低下数据本身冗余度高，多次重复读取相同或细微改动数据，冗余量大PDA、智能手机等终端采用GSM、CDMA、EDGE、3G接入速度慢分担同一应用的多台服务器负载分配不均，高负载服务器用户速度慢快速的解决方案链路多线路智能选路技术传输HTP快速传输协议IPTunnel加速数据流缓存加速技术高效流压缩技术应用Web优化资源负载均衡多线路智能选路通过速度实时探测，选择响应最快的线路接入，避免跨运营商访问支持多线路备份，登录SSLVPN后实时探测总部线路效果，若当前线路不稳定，立即将用户切换到另一条较稳定度的线路上，保证用户SSLVPN畅顺使用HTP快速传输协议解决网络高丢包、高延时造成的应用访问速度缓慢的问题优化传统TCP传输，恶劣网络环境下大幅加速基于UDP的可靠传输快速重传选择性重传拥塞机制优化 -滑动窗口优化流缓存加速基于码流特征，进行数据包分片、数据更新校验、标签、缓存及数据重组，保证数据更新实时性的同时大幅削减传输数据量，提高速度实际测试表明，流缓存加速最高可削减80%的流量，速度大跨越可在客户端、控制台查看流缓存效果专利技术高效流压缩采用LZO、GZIP高效流压缩算法，削减冗余数据量全面优化各种B/S、C/S应用动态压缩策略，采用最佳压缩策略，获取系统负载与压缩比之间最佳平衡Web优化通过图片过滤、缩小、模糊化策略实现对于图片的优化处理，提高不同WEB资源、不同网络环境用户访问WEB资源的体验传输数据量削减，应用访问加速资源负载均衡一个应用由多台服务器承载，需要动态负载接入服务器根据预设的权限值动态的将用户连接分配服务器上提升用户访问体验，提高服务器利用率全方位加速体系多线路智能选路跨运营商访问HTP快速传输协议高丢包、高延时等恶劣网络环境传输LZO、GZIP高效流压缩削减冗余数据，传输加速流缓存技术大幅削减二次、多次传输冗余数据Web优化提高手持移动终端访问效果、访问速度资源负载均衡提高用户访问体验，充分利用服务器资源易用的解决方案管理员零客户端、零配置，管理维护量小页面定制便利，打造专属应用平台智能递推，防止资源漏访用户组16级分级管理用户完整支持Windows、Linux、MACOS等主流操作系统，完整支持IE、Firefox、Opera、Safari、Chrome等浏览器远程应用发布虚拟门户B/S、C/S应用单点登录文件共享Web化完整的支持性完整支持Windows、LINUX、MACOS等主流操作系统完整支持IE、Firefox、Opera、Safari、Chrome等主流浏览器虚拟门户

不同部门、不同运用平台采用不同的Portal各Portal可拥有独立的地址、界面、应用资源、管理员远程应用发布

用户终端发布应用窗口，使用体验相同用户终端无需安装客户端，可正常使用C/S应用网络中仅传输鼠标、键盘、显示数据Web文件共享Web应用方式发布文件共享避免传统网上邻居CIFS协议小包频繁交互，提高使用速度可结合域进行权限控制，可进行文件夹访问权限控制用户组16级分级

依据组织架构建立SSLVPN用户组结构用户组认证方式、属性配置继承，管理方便单点登录（SSO）登录SSLVPN后，可直接点击应用直接访问，无需再次认证，提供工作效率支持B/S、C/S应用单点登录支持FROM、NTLM、BASIC方式单点登录虚拟IP绑定可自定义设置多虚拟IP池支持用户组虚拟IP池绑定、用户虚拟IP绑定L3VPN应用支持路由模式、SNAT模式、反向连接Web应用、TCP应用支持虚拟IP绑定即使消息可自定义设置多虚拟IP池支持用户组虚拟IP池绑定、用户虚拟IP绑定L3VPN应用支持路由模式、SNAT模式、反向连接Web应用、TCP应用支持虚拟IP绑定自定义页面处于管理的需要，需要保持跟公司原有风格的一致支持3套模板选择支持自定义LOGO、公告、页面标题支持页面完全自定义即使消息可查看在线用户流速、流量、IP、接入时间、并发会话等接入状况可向指定用户、所有用户发送即时广播智能递推内部应用门户上含多级链接，添加资源时易漏导致用户资源漏访多级链接中含变化IP链接，一旦IP变化需重新添加资源，维护量大自动探测页面上未添加为资源的链接，根据IP+端口、域名自动将其添加为资源，防止资源漏访便捷使用点击资源可直接启动所关联的C/S客户端系统托盘，防止页面误关操作导致的SSLVPN连接中断开机自动登录SSLVPN、桌面快捷方式启动SSLVPN默认服务页面，登录SSLVPN后自动进入指定应用资源列表图标显示，可自定义图标匿名登录应用系统本身已经有强大的身份认证体系，仅需要依靠SSLVPN进行传输数据加密采用匿名登录的方式，仅提供SSLVPN加密通道，登录SSLVPN无需认证，访问应用时通过应用系统强大的身份认证保证用户安全性典型客户案例中国海洋石油总公司分别在北京、塘沽、蛇口3个数据中心及燕郊灾备中心部署M5500-S+2000并发，全国移动用户通过SSLVPN接入实现移动办公全网分布式集群：统一域名接入就进快速接入节点主主备份集中统一配置山西质监山西质监系统，服务器集中在省局，质监专网部分人员未经许可采用技术手段登录到业务系统服务器查看他人帐户、未经许可访问业务系统M5400-S部署在省局服务器区之前，进行服务器隔离、权限划分，保证应用安全、数据安全上海农业银行2*M5400-S-P，架设在生产网及办公网之间，配合代理服务器，实现网络安全隔离、授权访问厦门国际银行M5400-S*1+150移动WLAN身份认证安全加强、传输加密、细致授权，防止无线非法接入众多高端客户的一致选择政府金融教育科研能源电力运营商大企业中华人民共和国最高人民法院中国人民银行总行中国科学院计算机网络信息中心中国海洋石油中国移动通信有限公司总部中国远洋运输集团中华人民共和国农业部信息中心中国银行浙江大学中国国电集团中国移动陕西省分公司中国航天科技集团公司中华人民共和国教育部考试中心中国农业银行中国人民大学中国电力投资集团中国移动四川省分公司中国邮政集团中华人民共和国卫生部卫生监督中心中国银行中山大学中国华能集团中国移动云南省分公司中国电子信息产业集团中国对外贸易中心招商银行电子科技