【正文】 。 HTP技術(shù)，提高無(wú)線和惡劣環(huán)境下的訪問速度隨著無(wú)線技術(shù)的發(fā)展，現(xiàn)在開始普遍使用3G網(wǎng)絡(luò)來實(shí)現(xiàn)隨時(shí)隨地的商務(wù)接入，雖然3G網(wǎng)絡(luò)速度對(duì)比以前的GPRS大有提升，但是仍然受環(huán)境影響。為了解決上述問題，高性價(jià)比、低成本地滿足企業(yè)對(duì)帶寬的要求，深信服科技發(fā)明了多線路帶寬迭加及復(fù)用技術(shù)（專利號(hào)：CN200310112006X）。當(dāng)遠(yuǎn)程的眾多商業(yè)用戶通過SSL VPN在使用不同運(yùn)營(yíng)商的上網(wǎng)線路訪問總部資源時(shí)，SANGFOR SSL VPN 網(wǎng)關(guān)會(huì)自動(dòng)檢測(cè)最優(yōu)線路，使得商業(yè)用戶訪問組織內(nèi)部數(shù)據(jù)時(shí)能得到最高的訪問速度，解決了網(wǎng)絡(luò)環(huán)境存在延遲大、帶寬小的瓶頸問題。為了幫助客戶更好利用互聯(lián)網(wǎng)技術(shù)提升業(yè)務(wù)效率，深信服致力于開發(fā)最快的業(yè)務(wù)訪問模式，利用多種廣域網(wǎng)加速技術(shù)，提升系統(tǒng)的響應(yīng)速度。同時(shí)，SANGFOR SSL VPN安全網(wǎng)關(guān)可以限制內(nèi)部局域網(wǎng)每個(gè)IP地址在一分鐘內(nèi)可發(fā)起的最大TCP連接數(shù)和發(fā)送的最大SYN包次數(shù)（數(shù)值可依據(jù)內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量自定義），阻止了局域網(wǎng)內(nèi)某些計(jì)算機(jī)感染了病毒或者木馬程序，對(duì)外發(fā)起大量的連接請(qǐng)求從而導(dǎo)致企業(yè)網(wǎng)絡(luò)帶寬耗盡、網(wǎng)關(guān)設(shè)備癱瘓宕機(jī)等情況的發(fā)生。通過這種SYN代理的方法就使得正常的SSL VPN遠(yuǎn)程訪問順利的通過防火墻到達(dá)內(nèi)部服務(wù)器，而DOS攻擊則被拒之門外。所以大多數(shù)SSL VPN設(shè)備都需要前置防火墻保護(hù)其安全。除了擁有企業(yè)級(jí)防火墻所具備的基本功能如：管理員權(quán)限分級(jí)、URL過濾、NAT功能、訪問監(jiān)控、上網(wǎng)控制、用戶認(rèn)證、流量控制、QOS、DHCP服務(wù)、自動(dòng)撥號(hào)等功能以外，內(nèi)置了高、中、低和自定義 4個(gè)安全級(jí)別，用戶可以根據(jù)需要靈活配置。安全桌面可配合SSLVPN本身的用戶身份認(rèn)證、傳輸加密、授權(quán)訪問等技術(shù)，可以提供給客戶更為完整的安全網(wǎng)絡(luò)解決方案。安全桌面可以由管理員設(shè)定針對(duì)資源和用戶進(jìn)行強(qiáng)行啟用，啟用安全桌面以后，客戶端將自動(dòng)使用虛擬技術(shù)生成一個(gè)封閉式虛擬的工作環(huán)境——安全桌面。還可以實(shí)現(xiàn)告警的短信通知，及時(shí)通知到終端用戶。SANGFOR SSL VPN安全網(wǎng)關(guān)豐富的日志中心，可詳細(xì)分析出企業(yè)VPN資源的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。SANGFOR SSL VPN安全網(wǎng)關(guān)豐富的日志中心，為網(wǎng)絡(luò)管理員和決策者了解VPN資源的詳細(xì)使用情況提供了最有效的數(shù)據(jù)支持。 完善的日志系統(tǒng)SANGFOR SSL VPN網(wǎng)關(guān)提供了調(diào)試、信息、告警、錯(cuò)誤四個(gè)級(jí)別的運(yùn)行日志，幫助管理診斷系統(tǒng)。SANGFOR SSL VPN內(nèi)置有多種用戶和資源管理方式，可以自建用戶，也可以從第三方導(dǎo)入，支持LDAP/AD、RADIUS等第三方認(rèn)證，可以根據(jù)用戶、用戶組、公用賬號(hào)、私有賬號(hào)等多種方式對(duì)用戶進(jìn)行管理。 訪問權(quán)限控制功能提供最細(xì)致的權(quán)限管理SANGFOR SSL VPN通過獨(dú)特的角色管理功能，提供了細(xì)致到每個(gè)URL和不同應(yīng)用的權(quán)限劃分。如果僅僅將TCP 數(shù)據(jù)做了簡(jiǎn)單的封裝，或者把IPSEC VPN做些修改，將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口，不能算是真正的SSL VPN。 零痕跡訪問功能避免安全漏洞SANGFOR SSL VPN在用戶結(jié)束訪問以后，拔出DKEY后將自動(dòng)注銷，同時(shí)會(huì)自動(dòng)清除Cookie，臨時(shí)文件等遺留在客戶端計(jì)算機(jī)上的信息，實(shí)現(xiàn)“零痕跡”訪問，避免安全隱患。對(duì)于密碼的管理，可以實(shí)現(xiàn)定時(shí)修改密碼，密碼過期前多少天提醒用戶進(jìn)行密碼修改，通過上面一系列的措施保證用戶的密碼的安全性。一旦系統(tǒng)啟用防密碼暴力功能以后，用戶連續(xù)輸入密碼錯(cuò)誤次數(shù)達(dá)到一定的數(shù)量以后，系統(tǒng)會(huì)將該帳號(hào)鎖定一段時(shí)間，防止密碼被暴力猜解。為了進(jìn)一步增加軟鍵盤的安全性，深信服提供動(dòng)態(tài)變換功能，即每次登陸的時(shí)候字母鍵和數(shù)字鍵跟上一次都是不同的，從而進(jìn)一步保證密碼的安全性。 與其他第三方認(rèn)證系統(tǒng)結(jié)合，保護(hù)前期投資從整個(gè)業(yè)界范圍來看，認(rèn)證系統(tǒng)多種多樣，采用的數(shù)據(jù)格式也不禁相同，為了保護(hù)前提的投資，需要跟原有的認(rèn)證系統(tǒng)進(jìn)行結(jié)合，但是作為SSL VPN來說不能完美對(duì)于所有的認(rèn)證系統(tǒng)都能進(jìn)行充分的結(jié)合，深信服提出了通過深信服自己的Radius服務(wù)器作為中轉(zhuǎn)，從而實(shí)現(xiàn)與其他認(rèn)證系統(tǒng)的完美結(jié)合，而且SANGFOR Radius強(qiáng)大的擴(kuò)展性可以滿足您與第三方進(jìn)行對(duì)接的要求。 與第三方CA結(jié)合為了建立更加完善的認(rèn)證體制，很多企業(yè)引進(jìn)了CA中心，通過CA中心來建立更加完善的認(rèn)證體制。SSL VPN需要與Radius進(jìn)行完美的結(jié)合。對(duì)于在LDAP中已經(jīng)劃分好了權(quán)限的情況，為了保持跟LDAP中權(quán)限的一致性，深信服SSL VPN支持導(dǎo)入LDAP中的Group屬性，這樣就可以完美繼承LDAP中的權(quán)限屬性，從而與LDAP中的權(quán)限保持一致。LDAP可以根據(jù)組織內(nèi)部的結(jié)構(gòu)來進(jìn)行人員的劃分，完全根據(jù)企業(yè)內(nèi)部的的組織架構(gòu)來建立LDAP的人員結(jié)構(gòu)。 內(nèi)置的CA中心提供完整認(rèn)證體系 SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)置了CA中心，企業(yè)或者事業(yè)單位可自建CA中心，用戶可不必購(gòu)買單獨(dú)的CA認(rèn)證體系，為企業(yè)減少了投入成本。為避免傳統(tǒng)方案的泄密缺陷，SANGFOR SSL VPN使用了深信服公司的特色技術(shù)－基于PC硬件特征的證書認(rèn)證系統(tǒng)（HARDCA）來實(shí)現(xiàn)基于硬件的認(rèn)證。深信服支持與短信貓進(jìn)行互動(dòng)來進(jìn)行短信認(rèn)證。針對(duì)這樣的情況，深信服提出免驅(qū)動(dòng)DKey認(rèn)證，當(dāng)您首次使用DKey進(jìn)行登錄的時(shí)候，不需要安裝DKey也能夠正常登錄SSL VPN，無(wú)需擔(dān)心驅(qū)動(dòng)的兼容新問題，提高業(yè)務(wù)訪問效率。深信服科技采用了多種動(dòng)態(tài)身份認(rèn)證系統(tǒng)來消除該隱患，保證了用戶使用SSL VPN訪問總部資源時(shí)的安全性。 混合認(rèn)證保護(hù)機(jī)制單一的認(rèn)證方式易被竊取，為了進(jìn)一步提高身份認(rèn)證的安全性，深信服創(chuàng)新性提出混合認(rèn)證，針對(duì)上面提到的用戶名和密碼、CA數(shù)字證書、LDAP/AD、Radius、Dkey、硬件特征碼、短信認(rèn)證可以進(jìn)行五個(gè)因素以上的捆綁認(rèn)證，這幾種認(rèn)證方式必須同時(shí)滿足才能夠接入SSL VPN系統(tǒng)。深信服科技，運(yùn)用最為創(chuàng)新的SSL VPN技術(shù)理念，為客戶提供最好的VPN，并主導(dǎo)了中華人民共和國(guó)國(guó)家VPN標(biāo)準(zhǔn)制定。另外，結(jié)合深信服科技在前沿網(wǎng)絡(luò)領(lǐng)域中完善的技術(shù)，為客戶提供了更具價(jià)值的整體解決方案，比如SSL VPN和IPSec VPN二合一的解決方案，加速VPN解決方案等。SSL VPN無(wú)需安裝客戶端，僅僅依托于瀏覽器，不依賴網(wǎng)絡(luò)環(huán)境（只要能上網(wǎng)均可訪問），這三大特點(diǎn)將進(jìn)一步降低組織的維護(hù)運(yùn)維成本，從而進(jìn)一步降低整體管理成本。提高辦公效率，提升組織響應(yīng)能力為了實(shí)現(xiàn)隨時(shí)隨地地辦公，進(jìn)一步提高辦公效率。但SSL VPN并不能完全取代IPSec VPN，這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域，是可以進(jìn)行互補(bǔ)的。l 最后是移動(dòng)設(shè)備支持問題隨著未來通訊技術(shù)的發(fā)展，移動(dòng)終端的種類將會(huì)越來越多，IPSec 客戶端需要有更多的版本來適應(yīng)這些終端，但隨著終端種類的爆炸性增長(zhǎng)，這幾乎是不可能的。雖然一些領(lǐng)先的公司已經(jīng)解決了IPSec 客戶端難以配置和維護(hù)的問題，但是還是無(wú)法避免在每個(gè)終端上安裝客戶端的麻煩，即使這些客戶端很少出問題，但隨著用戶數(shù)量的增多，每天需要維護(hù)的客戶端絕對(duì)數(shù)量也不少。VPN利用的是包括認(rèn)證、加密、安全檢測(cè)、權(quán)限分配、訪問記錄等一系列手段來構(gòu)建安全的業(yè)務(wù)網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)技術(shù)已經(jīng)徹底改變了傳統(tǒng)的業(yè)務(wù)辦理模式，借助信息化，相關(guān)業(yè)務(wù)信息實(shí)現(xiàn)快速的處理和共享，人員無(wú)論在何時(shí)何地，只要能連上互聯(lián)網(wǎng)，就能實(shí)現(xiàn)業(yè)務(wù)的及時(shí)處理。未經(jīng)深圳市深信服電子科技有限公司書面同意，任何人不得以任何方式或形式對(duì)本文檔內(nèi)的任何部分進(jìn)行復(fù)制、摘錄、備份、修改、傳播、翻譯成其他語(yǔ)言、將其全部或部分用于商業(yè)用途。 本文檔中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其它相關(guān)權(quán)利均屬于深圳市深信服電子科技有限公司。信息反饋 如果您有任何寶貴意見，請(qǐng)反饋： 信箱：廣東省、深圳市、南山區(qū)麒麟路1號(hào)創(chuàng)業(yè)中心四樓 郵編：518052電 話：075526581949傳 真：075526581959 您也可以訪問深信服科技網(wǎng)站： 深信服SSL VPN產(chǎn)品白皮書 文檔密級(jí)：公開目錄第1章 序言 1第2章 SANGFOR SSL VPN網(wǎng)關(guān)簡(jiǎn)介 4第3章 SANGFOR SSL VPN網(wǎng)關(guān)技術(shù) 5 更安全的SSL VPN為業(yè)務(wù)互聯(lián)保駕護(hù)航 5 豐富的認(rèn)證方式 5 混合認(rèn)證保護(hù)機(jī)制 5 動(dòng)態(tài)身份認(rèn)證提供多重保證 6 內(nèi)置的CA中心提供完整認(rèn)證體系 8 與LDAP（AD）結(jié)合 9 與Radius結(jié)合 10 與第三方CA結(jié)合 10 開放數(shù)據(jù)接口提供二次開發(fā) 11 與其他第三方認(rèn)證系統(tǒng)結(jié)合，保護(hù)前期投資 11 圖形碼驗(yàn)證功能 11 軟鍵盤功能 11 會(huì)話超時(shí)控制功能 11 全面的密碼安全保障 12 客戶端安全檢查從端點(diǎn)開始保障您的網(wǎng)絡(luò)安全 12 強(qiáng)化的網(wǎng)絡(luò)防護(hù)－VPN虛擬專線功能 13 零痕跡訪問功能避免安全漏洞 13 真正的SSL 協(xié)議加密傳輸 14 訪問權(quán)限控制功能提供最細(xì)致的權(quán)限管理 15 完善的日志系統(tǒng) 15 豐富的日志信息 16 強(qiáng)大的實(shí)時(shí)監(jiān)控能力 16 沙盒技術(shù)安全桌面 17 集成企業(yè)級(jí)狀態(tài)防火墻 18 更快的SSL VPN提升業(yè)務(wù)辦公效率 19 多線路智能選路解決您的網(wǎng)絡(luò)延遲問題 19 多線路帶寬疊加技術(shù)，擴(kuò)大出口帶寬 20 HTP技術(shù)，提高無(wú)線和惡劣環(huán)境下的訪問速度 21 動(dòng)態(tài)壓縮技術(shù)，全面提高傳輸速度 21 基于Web的壓縮技術(shù)，進(jìn)一步提高傳輸效率 22 流緩存技術(shù)大幅減少數(shù)據(jù)冗余碎片 22 強(qiáng)大的硬件加速卡，更快的SSL處理速度 23 更好用的SSL VPN 23 能支持您的所有網(wǎng)絡(luò)應(yīng)用 24 B/S正則替換，全面適應(yīng)各種平臺(tái) 24 提供IPSec/SSL一體化選擇 24 虛擬門戶 25 遠(yuǎn)程應(yīng)用發(fā)布功能 26 配置向?qū)Ш?jiǎn)化管理員的操作過程 26 隱藏服務(wù)模式 27 支持動(dòng)態(tài)IP 27 管理員分級(jí)分權(quán)限管理 27 定制登錄界面功能 28 單點(diǎn)登錄功能（SSO） 28 移動(dòng)終端設(shè)備的完美支持 29 內(nèi)網(wǎng)DNS支持 29 多虛擬IP池支持 29 User權(quán)限下正常訪問 29 默認(rèn)服務(wù)頁(yè)面 30 系統(tǒng)托盤 30 全網(wǎng)資源智能遞推 31 更穩(wěn)定的SSL VPN 31 多線路技術(shù)實(shí)現(xiàn)線路備份，保證VPN線路穩(wěn)定 31 資源服務(wù)器的智能負(fù)載功能 32 雙機(jī)熱備，保證VPN網(wǎng)絡(luò)穩(wěn)定性 32 會(huì)話自動(dòng)恢復(fù)，提高網(wǎng)絡(luò)適應(yīng)能力 33 非對(duì)稱集群功能，滿足大并發(fā)接入 33第4章 SANGFOR SSL VPN部署模式及用戶使用 34 SANGFOR SSL VPN部署模式 34 客戶端登錄和使用界面 35 缺省登錄界面 35 可用資源界面 36第5章 深信服公司簡(jiǎn)介 37第6章 附錄VPN技術(shù)背景知識(shí) 38 VPN簡(jiǎn)介 38 SSL 協(xié)議介紹 41 SSL VPN技術(shù) 4236深信服科技版權(quán)所有 第1章 序言隨著互聯(lián)網(wǎng)數(shù)據(jù)技術(shù)的進(jìn)步和商務(wù)模式的發(fā)展，在互聯(lián)網(wǎng)技術(shù)的幫助下提升業(yè)務(wù)效率已經(jīng)是必然的選擇：利用信息化，加速業(yè)務(wù)流程；利用互聯(lián)網(wǎng)，實(shí)現(xiàn)隨時(shí)隨地的業(yè)務(wù)響應(yīng)。在計(jì)算機(jī)網(wǎng)絡(luò)中，除了建設(shè)物理隔離的業(yè)務(wù)網(wǎng)絡(luò)之外，還擁有更具性價(jià)比的解決方案，使用VPN（Virtual Private Network 虛擬專用網(wǎng)）技術(shù)來構(gòu)建安全的業(yè)務(wù)網(wǎng)絡(luò)。IPSec VPN應(yīng)用于端點(diǎn)接入的不便：l 首先是客戶端配置問題在每個(gè)遠(yuǎn)程接入的終端都需要安裝相應(yīng)的IPSec客戶端，并且需要做復(fù)雜的配置，隨著這種遠(yuǎn)程接入客戶端數(shù)量的增多將給網(wǎng)絡(luò)管理員帶來巨大的挑戰(zhàn)。l 然后是對(duì)網(wǎng)絡(luò)的支持問題傳統(tǒng)的IPSec VPN在網(wǎng)絡(luò)適應(yīng)性上都存在一些問題，雖然一些領(lǐng)導(dǎo)廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問題，但由于IPSec VPN對(duì)防火墻的安全策略的配置較為復(fù)雜（往往要開放一些非常用端口），因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能做到百分之百完美。目前，對(duì)SSL VPN公認(rèn)的三大好處是：首先是它的簡(jiǎn)單性，它不需要復(fù)雜配置，可以立即安裝、立即生效；第二個(gè)好處是不需要安裝客戶端，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行；第三個(gè)好處是兼容性好，可以適用于任何的終端及操作系統(tǒng)。SSL VPN給您帶來的價(jià)值安全護(hù)航，保證業(yè)務(wù)信息安全SSLVPN采用嚴(yán)謹(jǐn)?shù)恼J(rèn)證方式，高強(qiáng)度的加密模式，細(xì)致的權(quán)限分配和訪問記錄，實(shí)現(xiàn)對(duì)業(yè)務(wù)訪問過程的全場(chǎng)護(hù)航，保證業(yè)務(wù)暢通無(wú)阻的同時(shí)規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。降低管理成本，提升組織經(jīng)營(yíng)效益由于SSL VPN無(wú)需安裝客戶端，對(duì)于使用端透明，無(wú)需安排專門的人員進(jìn)行維護(hù)，針對(duì)于傳統(tǒng)的IPSEC需要安裝客戶端，一旦出現(xiàn)意外需要遠(yuǎn)程進(jìn)行維護(hù)，不管是派專人維護(hù)還是遠(yuǎn)程維護(hù)必將增加維護(hù)成本，對(duì)于一兩個(gè)點(diǎn)接入的情況這樣的維護(hù)成本還可以接受，但是面對(duì)成千上百個(gè)點(diǎn)來說，那將是一筆巨大的維護(hù)成本，而且極容易造成業(yè)務(wù)效率的下降。除了像移動(dòng)辦公方案和多方接入的權(quán)限分配方案這些傳統(tǒng)SSL VPN應(yīng)用之外，深信服科技還不斷提出創(chuàng)新性的運(yùn)用，比如使用SSL安全特性為客戶解決原有關(guān)鍵系統(tǒng)安全保障問題；運(yùn)用SSL加密和邏輯隔離的特性為客戶的核心數(shù)據(jù)實(shí)現(xiàn)安全防泄密。從2005年在全球第一家推出IPsec/SSL二合一的產(chǎn)品，2006年率先提供了包括短信、HardCA硬件鑒權(quán)、動(dòng)態(tài)令牌、SSL VPN隧道邏輯隔離等安全技術(shù)，2007年根據(jù)中國(guó)實(shí)際網(wǎng)絡(luò)環(huán)境率先實(shí)現(xiàn)跨運(yùn)營(yíng)商線路加速、SSL隧道自動(dòng)愈合等技術(shù)，2008創(chuàng)新性地實(shí)現(xiàn)混合認(rèn)證、動(dòng)態(tài)壓縮、無(wú)線線路優(yōu)化等技術(shù)，2009年在全球首家實(shí)現(xiàn)非對(duì)稱集群、智能隧道選路等技術(shù)，2010年更是推出了業(yè)內(nèi)的最快SSL——流緩存加速技術(shù)。第3章 SANGFOR SSL VPN網(wǎng)關(guān)技術(shù)作為中國(guó)市場(chǎng)占有率第一的SSLVPN解決方案供應(yīng)商，深信服科技推出的IPSec