【正文】 備的信號(hào)，則備份設(shè)備認(rèn)為主設(shè)備出現(xiàn)故障，隨即啟動(dòng)相應(yīng)服務(wù)程序，切換為主設(shè)備狀態(tài)。若由于線路中斷而造成的VPN隧道中斷，一旦線路恢復(fù)，SANGFOR SSL VPN隨即將自動(dòng)恢復(fù)，無(wú)需人工干預(yù)。 可用資源界面第5章 SANGFOR SSL VPN網(wǎng)關(guān)技術(shù)優(yōu)勢(shì) 更方便易用的SSL VPN 單點(diǎn)登錄深信服SSL VPN針對(duì)不同的應(yīng)用提供兩種單點(diǎn)登錄方式：針對(duì)C/S應(yīng)用采用自動(dòng)填表方式，針對(duì)B/S應(yīng)用采用自動(dòng)構(gòu)建訪問(wèn)參數(shù)模式，針對(duì)不同的的應(yīng)用服務(wù)器可以設(shè)置不同的賬號(hào)，從而完美跟原有的應(yīng)用系統(tǒng)結(jié)合實(shí)現(xiàn)單點(diǎn)登錄。 分級(jí)分權(quán)限管理為了更好的與組織內(nèi)部的管理結(jié)構(gòu)完美結(jié)合，深信服提供與原有組織結(jié)構(gòu)完美結(jié)合的分級(jí)分權(quán)限管理功能，根據(jù)您現(xiàn)有的管理結(jié)構(gòu)，設(shè)置不同級(jí)別的管理員，從而實(shí)現(xiàn)與內(nèi)部組織結(jié)構(gòu)一樣的垂直式管理。 更安全的SSL VPN通常SSL VPN的安全性包含五個(gè)層面上的含義：一是身份認(rèn)證的安全；二是客戶端接入的安全；三是數(shù)據(jù)傳輸安全；四是內(nèi)部資源的訪問(wèn)安全；五是訪問(wèn)審計(jì)的安全；SANGFOR SSL VPN安全網(wǎng)關(guān)將從以上五個(gè)方面來(lái)保證SSL VPN網(wǎng)關(guān)的安全性。 HTP技術(shù)針對(duì)在惡劣環(huán)境下特別是在無(wú)線訪問(wèn)環(huán)境中或者是跨運(yùn)營(yíng)商訪問(wèn)的環(huán)境中存在的丟包和高延時(shí)問(wèn)題，深信服通過(guò)HTP技術(shù)獎(jiǎng)大幅度提高在這種惡劣環(huán)境下的訪問(wèn)速度，進(jìn)一步提高訪問(wèn)效率。第6章 深信服公司簡(jiǎn)介深信服科技有限公司是中國(guó)規(guī)模最大、創(chuàng)新能力最強(qiáng)的前沿網(wǎng)絡(luò)設(shè)備供應(yīng)商，致力于通過(guò)創(chuàng)新、高品質(zhì)的產(chǎn)品及卓越的服務(wù)，幫助用戶在將業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)型中獲得成功。在中國(guó)入選世界500強(qiáng)的企業(yè)中，超過(guò)一半的企業(yè)都是深信服的用戶。深信服獲得的榮譽(yù)2005年、2006年、2007年、2008年、2009年，連續(xù)五年獲德勤“中國(guó)高科技高成長(zhǎng)50強(qiáng)”，“亞太高科技高成長(zhǎng)500強(qiáng)”國(guó)家商用密碼產(chǎn)品生產(chǎn)定點(diǎn)生產(chǎn)單位國(guó)家IPSec VPN、SSL VPN標(biāo)準(zhǔn)制定者2009年深信服全線產(chǎn)品均入圍中央政府協(xié)議采購(gòu)名單2009年深信服VPN率先通過(guò)國(guó)家虛擬專(zhuān)用網(wǎng)安全技術(shù)要求第三級(jí)檢測(cè)2008年，深信服產(chǎn)品獲得國(guó)家涉密產(chǎn)品資質(zhì)30余項(xiàng)相關(guān)領(lǐng)域發(fā)明專(zhuān)利(20091223)一種VPN認(rèn)證方法 (20091216)一種網(wǎng)絡(luò)數(shù)據(jù)流識(shí)別方法 (20080910)一種網(wǎng)絡(luò)插件的安全檢查方法、系統(tǒng)及安全檢測(cè)設(shè)備(20080728)一種加速DCOM系統(tǒng)的方法(20080728)動(dòng)態(tài)數(shù)據(jù)壓縮技術(shù)(20080728)通過(guò)流緩存實(shí)現(xiàn)網(wǎng)間數(shù)據(jù)傳輸加速的方法(20070518)通過(guò)自組域簡(jiǎn)化部署VPN網(wǎng)絡(luò)的方法(20070122)基于網(wǎng)關(guān)、網(wǎng)橋防范網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的方法(20060919)一種應(yīng)用代理實(shí)現(xiàn)網(wǎng)間應(yīng)用加速的方法第7章 附錄 VPN技術(shù)背景知識(shí)由于SANGFOR VPN的技術(shù)涉及到了VPN,防火墻等多個(gè)領(lǐng)域，因此在這里對(duì)VPN和防火墻的背景知識(shí)做簡(jiǎn)單介紹。IETF 組織對(duì)基于IP 的VPN 解釋為：通過(guò)專(zhuān)門(mén)的隧道加密技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專(zhuān)線技術(shù)?，F(xiàn)在的VPN 是在Internet 上臨時(shí)建立的安全專(zhuān)用虛擬網(wǎng)絡(luò)，用戶節(jié)省了租用專(zhuān)線的費(fèi)用，同時(shí)除了購(gòu)買(mǎi)VPN 設(shè)備或VPN軟件產(chǎn)品外，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP 支付一定的上網(wǎng)費(fèi)用，對(duì)于不同地區(qū)的客戶聯(lián)系也節(jié)省了長(zhǎng)途電話費(fèi)。而 End to Site 指的是移動(dòng)終端到企業(yè)私有網(wǎng)絡(luò)之間的VPN連接，而SSL VPN 就是 End to Site類(lèi)型的VPN。PPTP 提供PPTP 客戶機(jī)和PPTP服務(wù)器之間的保密通信。PPTP隧道實(shí)質(zhì)上是基于IP協(xié)議的另一個(gè)PPP連接，其中IP包可以封裝多種協(xié)議數(shù)據(jù)，包括TCP/IP、IPX和NetBEUI。另外，PPTP僅工作于IP，不具有隧道終點(diǎn)的驗(yàn)證功能，需要依賴用戶的驗(yàn)證。在隧道模式下，IPSec 把傳輸層的數(shù)據(jù)封裝在安全的IP包中。SANGFORSL協(xié)議：SANGFORSL是SANGFOR SSL VPN中IPSec VPN采用的安全鏈路協(xié)議。同時(shí)也提供基于硬件證書(shū)（HARDCA）的鑒權(quán)體系。 SSL 協(xié)議介紹 SSL協(xié)議：安全套接字層（Secure Socket Layer，SSL）屬于高層安全機(jī)制，廣泛應(yīng)用于Web 瀏覽程序和Web 服務(wù)器程序。當(dāng)一個(gè)SSL客戶機(jī)和服務(wù)器第一次開(kāi)始通信時(shí)，它們?cè)谝粋€(gè)協(xié)議版本上達(dá)成一致，選擇加密算法和認(rèn)證方式，并使用公鑰來(lái)生成共享密鑰。（3）警告協(xié)議：這個(gè)協(xié)議用于表示在什幺時(shí)候發(fā)生了錯(cuò)誤或兩個(gè)主機(jī)之間的會(huì)話在什幺時(shí)候終止。但是完善的SSL VPN安全體系是需要對(duì)客戶端的身份進(jìn)行證書(shū)級(jí)驗(yàn)證的。使用哈希函數(shù)從隨機(jī)數(shù)據(jù)中生成密鑰。這使得企業(yè)員工出差時(shí)不必再攜帶自己的筆記本電腦，僅僅通過(guò)一臺(tái)接入了Internet的計(jì)算機(jī)就能訪問(wèn)企業(yè)資源，這為企業(yè)提高了效率也帶來(lái)了方便。SSL VPN網(wǎng)關(guān)至少要實(shí)現(xiàn)一種功能：代理Web頁(yè)面。有的SSL VPN產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的數(shù)量非常少，有的則很好地支持了FTP、網(wǎng)絡(luò)文件系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。端口轉(zhuǎn)發(fā)用于端口定義明確的應(yīng)用。良好的SSL VPN產(chǎn)品應(yīng)該具有較好的互操作性，較為細(xì)致的訪問(wèn)控制能力，完善的日志和認(rèn)證體系以及對(duì)應(yīng)用的廣泛支持。一、 工程概況：西夏建材城生活區(qū)230住宅樓位于銀川市新市區(qū)，橡膠廠對(duì)面。30 m2。 00m，呈長(zhǎng)方形布置，東西向，三個(gè)單元。地面除衛(wèi)生間200200防滑地磚，樓梯間50厚細(xì)石砼1：1水泥砂漿壓光外，其余均采用50厚豆石砼毛地面。本工程設(shè)計(jì)為磚混結(jié)構(gòu)。本工程窗均采用塑鋼單框雙玻窗，開(kāi)啟窗均加紗扇。外墻水泥砂漿抹面，外刷淺灰色墻漆。 m為準(zhǔn)，總長(zhǎng)27；30 m。本工程耐火等級(jí)二級(jí)，屋面防水等級(jí)三級(jí)，地震防烈度為8度，設(shè)計(jì)使用年限50年。下文為附加文檔，如不需要，下載后可以編輯刪除，謝謝！施工組織設(shè)計(jì)本施工組織設(shè)計(jì)是本著“一流的質(zhì)量、一流的工期、科學(xué)管理”來(lái)進(jìn)行編制的。當(dāng)數(shù)據(jù)包進(jìn)入這個(gè)端口時(shí)，它們通過(guò)SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)，SSL VPN網(wǎng)關(guān)解開(kāi)封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng)用服務(wù)器。而有一些應(yīng)用，如微軟Outlook或MSN，它們的外觀會(huì)在轉(zhuǎn)化為基于Web界面的過(guò)程中丟失。對(duì)于非Web頁(yè)面的文件訪問(wèn)，往往要借助于應(yīng)用轉(zhuǎn)換。掌握三個(gè)關(guān)鍵術(shù)語(yǔ)的含義有助于理解SSL VPN是如何實(shí)現(xiàn)的。在SSL通信中，服務(wù)器方使用443端口，而客戶方的端口是任選的。第5步，客戶機(jī)和服務(wù)器通過(guò)以下步驟生成會(huì)話密鑰：客戶機(jī)生成一個(gè)隨機(jī)數(shù)，并使用服務(wù)器的公鑰（從服務(wù)器證書(shū)中獲?。?duì)它加密，以送到服務(wù)器上。這個(gè)交換還可以包括整個(gè)證書(shū)鏈，直到某個(gè)根證書(shū)頒發(fā)機(jī)構(gòu)（CA）通過(guò)檢查有效日期并確認(rèn)證書(shū)包含可信任CA的數(shù)字簽名來(lái)驗(yàn)證證書(shū)的有效性。應(yīng)用程序消息被分割成可管理的數(shù)據(jù)塊，還可以壓縮，并產(chǎn)生一個(gè)MAC（消息認(rèn)證代碼），然后結(jié)果被加密并傳輸。服務(wù)器方向客戶方的認(rèn)證是必須的，而SSL 版本3 中客戶方向服務(wù)方的認(rèn)證只是可選項(xiàng)，現(xiàn)在逐漸得到廣泛的應(yīng)用。會(huì)話層VPN 技術(shù)SOCKS協(xié)議：SOCKS 處于OSI 模型的會(huì)話層，在SOCKS 協(xié)議中，客戶程序通常是先連接到防火墻1080端口，然后由防火墻建立到目的主機(jī)的單獨(dú)會(huì)話，這種情況下客戶程序?qū)δ康闹鳈C(jī)是不可見(jiàn)的。普通的IPSec網(wǎng)絡(luò)利用率在70%左右，而SANGFORSL達(dá)到90%2. 改進(jìn)的IP封裝技術(shù)，使得SANGFORSL可通過(guò)任何路由器，提高對(duì)網(wǎng)絡(luò)的適應(yīng)能力。隧道模式是最安全的，但會(huì)帶來(lái)較大的系統(tǒng)開(kāi)銷(xiāo)。IPSec不是某種特殊的加密算法或認(rèn)證算法，也沒(méi)有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種特殊的加密算法或認(rèn)證算法，它只是一個(gè)開(kāi)放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中實(shí)施。PPTP的最大優(yōu)勢(shì)是Microsoft公司的支持，另外一個(gè)優(yōu)勢(shì)是它支持流量控制，可保證客戶機(jī)與服務(wù)器之間不擁塞，改善通信性能，最大限度地減少包丟失和重發(fā)現(xiàn)象。通過(guò)PPTP，客戶可以采用撥號(hào)方式接入公共的IP網(wǎng)。如下表：VPN在OSI中的層次VPN實(shí)現(xiàn)技術(shù)數(shù)據(jù)鏈路層PPTP及L2TP網(wǎng)絡(luò)層IPSEC會(huì)話層Socket5應(yīng)用層SSL鏈路層VPN 技術(shù)PPTP協(xié)議：PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）是由PPTP論壇開(kāi)發(fā)的點(diǎn)到點(diǎn)的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全VPN業(yè)務(wù)，1996 年成為IETF草案。按照VPN的網(wǎng)絡(luò)連接類(lèi)型主要分為Site to Site 和End to Site兩種類(lèi)型。所謂專(zhuān)用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。虛擬專(zhuān)用網(wǎng)指的是依靠ISP（Internet Service Provider因特網(wǎng)服務(wù)提供商）和其它NSP（Network Service Provider網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。2005年－2009年，深信服連續(xù)5次獲得德勤“中國(guó)高科技高成長(zhǎng)50強(qiáng)”、“亞太地區(qū)高科技高成長(zhǎng)500強(qiáng)”，并于2008年獲得渣打銀行授予的“最具成長(zhǎng)性新銳企業(yè)”中型企業(yè)金獎(jiǎng)。截止到2010年2月，已有超過(guò)16，000家用戶選擇了同深信服合作并取得了顯著收益。針對(duì)B/S應(yīng)用，深信服為您提供WEB資源壓縮，從而進(jìn)一步提高B/S應(yīng)用的訪問(wèn)速度。 更快的SSL VPN 多線路技術(shù) 深信服SSL VPN可以實(shí)現(xiàn)多條線路的疊加，從而進(jìn)一步提高接入訪問(wèn)速度，提高訪問(wèn)效率。 集群當(dāng)您需要更大并發(fā)的用戶時(shí)，當(dāng)您需要擴(kuò)容以前的投資時(shí)，您該如何選擇呢？深信服集群最大支持253個(gè)站點(diǎn)的集群，為了更好的實(shí)現(xiàn)平滑擴(kuò)容，深信服可以實(shí)現(xiàn)不同設(shè)備之間的集群，從而更大程度上保護(hù)您前提投資，滿足您更大并發(fā)需要，保護(hù)您前期投資。 默認(rèn)服務(wù)頁(yè)面為了進(jìn)一步提高訪問(wèn)登錄效率，針對(duì)您常用的B/S應(yīng)用可以設(shè)置成默認(rèn)服務(wù)頁(yè)面，通過(guò)SSL VPN認(rèn)證后就可以直接跳轉(zhuǎn)到應(yīng)用服務(wù)頁(yè)面，不需要通過(guò)資源列表頁(yè)面點(diǎn)擊登錄，從而進(jìn)一步簡(jiǎn)化登錄流程，提高登錄效率。為了更好的支持大并發(fā)的用戶，深信服可以通過(guò)多設(shè)備的集群功能實(shí)現(xiàn)接入的負(fù)載均衡，根據(jù)單臺(tái)設(shè)備的性能將所有的SSL VPN連接動(dòng)態(tài)的負(fù)載到所有設(shè)備上面，從而實(shí)現(xiàn)更大并發(fā)的用戶接入。SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)置了雙機(jī)熱備技術(shù)，在性能強(qiáng)大的同時(shí)，保證了VPN網(wǎng)絡(luò)穩(wěn)定、高效地運(yùn)行。若主設(shè)備配置發(fā)生變化，比如有新的用戶增加或者刪除等情況時(shí)，主設(shè)備會(huì)通過(guò)console口發(fā)出指令通知備份設(shè)備，備份設(shè)備則同步更新相應(yīng)的配置信息。同時(shí)，SANGFOR SSL VPN安全網(wǎng)關(guān)還進(jìn)一步實(shí)現(xiàn)了多條Internet線路的QOS功能，根據(jù)不同線路的帶寬情況智能分配負(fù)載，最大限度的提高帶寬利用率。通過(guò)多線路帶寬迭加及復(fù)用技術(shù)（專(zhuān)利號(hào)：CN200310112006X），將多條線路、不同方式接入方式的上網(wǎng)線路實(shí)現(xiàn)帶寬迭加和互為備份，保證了整個(gè)系統(tǒng)的持續(xù)可靠運(yùn)行。移動(dòng)辦公人員使用瀏覽器連接入公司內(nèi)網(wǎng)時(shí)，也更加便捷。針對(duì)高校中的多資源，深信服也提供了IP資源的全網(wǎng)資源，通過(guò)全網(wǎng)資源可以實(shí)現(xiàn)對(duì)于所有內(nèi)部資源的訪問(wèn)。對(duì)于只要少量資源的用戶來(lái)說(shuō)通過(guò)認(rèn)證后需要跳到資源列表頁(yè)面再點(diǎn)擊應(yīng)用資源才能訪問(wèn)，為了進(jìn)一步提高效率，可以根據(jù)用戶經(jīng)常使用的習(xí)慣來(lái)設(shè)置默認(rèn)的應(yīng)用服務(wù)頁(yè)面，避免跳轉(zhuǎn)到資源列表頁(yè)面，而通過(guò)身份認(rèn)證后直接跳轉(zhuǎn)到應(yīng)用資源列表，從而減少了登錄等待時(shí)間，提高了登錄效率。 User權(quán)限下正常訪問(wèn)微軟操作系統(tǒng)對(duì)于管理員也進(jìn)行了分權(quán)限管理，在Administrator賬號(hào)下可以安裝任意的插件，從而可以進(jìn)行任意資源的訪問(wèn)。為了讓用戶更好的使用IP資源，IPTunnel必須獲得相應(yīng)的虛擬IP才可以正常的工作。 移動(dòng)終端設(shè)備的完美支持對(duì)windows CE、windows PocketPC、windows Mobile移動(dòng)終端設(shè)備提供完美的支持，并且會(huì)根據(jù)終端設(shè)備的類(lèi)型調(diào)整登錄界面，為用戶提供最好的顯示效果。深信服針對(duì)不同的應(yīng)用系統(tǒng)提供不同的單點(diǎn)登錄構(gòu)建方式，針對(duì)C/S應(yīng)用深信服采用提前錄制的方式進(jìn)行構(gòu)建。可能在實(shí)際的操作中出現(xiàn)了一些意外，您也可以恢復(fù)到默認(rèn)的頁(yè)面，從而避免因?yàn)椴缓线m的頁(yè)面導(dǎo)致無(wú)法正常使用。 管理員分級(jí)分權(quán)限管理通常我們?cè)趯?duì)普通用戶管理的時(shí)候有多種的認(rèn)證方法，但是卻容易忽視另外一個(gè)和安全密切相關(guān)的地方——沒(méi)有為系統(tǒng)管理員提供足夠的安全保障，普通的系統(tǒng)通常只需要使用用戶名和密碼就可以進(jìn)行登錄，SANGFOR SSL VPN安全網(wǎng)關(guān)能夠?yàn)楣芾韱T訪問(wèn)也提供和普通用戶相同的安全保障手段。SANGFOR SSL VPN集成了深信服科技獨(dú)創(chuàng)的基于Web的動(dòng)態(tài)IP尋址技術(shù)（專(zhuān)利技術(shù)），使的SANGFOR SSL VPN網(wǎng)關(guān)在部署的時(shí)候無(wú)需固定IP，完全支持動(dòng)態(tài)IP。 隱藏服務(wù)模式在用戶的資源列表中，除了對(duì)C/S應(yīng)用的透明支持之外，SANGFOR SSL VPN還增加了一個(gè)隱藏服務(wù)。利用兩者的優(yōu)勢(shì)進(jìn)行互補(bǔ)，避免了單一VPN設(shè)備存在的不足。由于SSL VPN只適合點(diǎn)對(duì)網(wǎng)的連接，無(wú)法實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)之間的安全互連。 提供IPSec/SSL一體化選擇傳統(tǒng)的IPSec VPN在部署時(shí)，往往需要在每個(gè)遠(yuǎn)程接入的終端都安裝相應(yīng)的IPSec客戶端，并需要做復(fù)雜的配置（SANGFOR IPSec VPN采用DKEY方式實(shí)現(xiàn)IPSec VPN零配置）。若SANGFOR SSL VPN在總部網(wǎng)絡(luò)采用路由模式的部署方式，總部網(wǎng)絡(luò)還能夠?qū)崿F(xiàn)與遠(yuǎn)程接入用戶的雙向訪問(wèn)。一旦檢測(cè)到攻擊后，SANGFOR SSL VPN安全網(wǎng)關(guān)可以立即對(duì)攻擊主機(jī)進(jìn)行封鎖，從而及時(shí)有效阻斷了由企業(yè)局域網(wǎng)內(nèi)部計(jì)算機(jī)發(fā)起的DOS攻擊行為，避免了企業(yè)員工在上網(wǎng)時(shí)不小心感染了病毒而造成DOS攻擊給企業(yè)帶來(lái)的法律糾紛、名譽(yù)受損等風(fēng)險(xiǎn)。SANGFOR SSL VPN安全網(wǎng)關(guān)不僅可以防御來(lái)自外網(wǎng)的DOS攻擊，對(duì)于內(nèi)網(wǎng)計(jì)算機(jī)發(fā)起的DOS攻擊，SSL VPN安全網(wǎng)關(guān)也可以進(jìn)行防御。而SANGFOR SSL VPN自身就是一個(gè)防火墻，集成了對(duì)DOS等攻擊的防御手段。此外，SANGFOR SSL