【正文】 件等遺留在客戶端計算機上的信息，實現(xiàn)“零痕跡”訪問，避免安全隱患。 訪問權(quán)限控制功能提供最細(xì)致的權(quán)限管理SANGFOR SSL VPN通過獨特的角色管理功能，提供了細(xì)致到每個URL和不同應(yīng)用的權(quán)限劃分。 完善的日志系統(tǒng)SANGFOR SSL VPN網(wǎng)關(guān)提供了調(diào)試、信息、告警、錯誤四個級別的運行日志，幫助管理診斷系統(tǒng)。SANGFOR SSL VPN安全網(wǎng)關(guān)豐富的日志中心，可詳細(xì)分析出企業(yè)VPN資源的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。安全桌面可以由管理員設(shè)定針對資源和用戶進(jìn)行強行啟用，啟用安全桌面以后，客戶端將自動使用虛擬技術(shù)生成一個封閉式虛擬的工作環(huán)境——安全桌面。除了擁有企業(yè)級防火墻所具備的基本功能如：管理員權(quán)限分級、URL過濾、NAT功能、訪問監(jiān)控、上網(wǎng)控制、用戶認(rèn)證、流量控制、QOS、DHCP服務(wù)、自動撥號等功能以外，內(nèi)置了高、中、低和自定義 4個安全級別，用戶可以根據(jù)需要靈活配置。通過這種SYN代理的方法就使得正常的SSL VPN遠(yuǎn)程訪問順利的通過防火墻到達(dá)內(nèi)部服務(wù)器，而DOS攻擊則被拒之門外。為了幫助客戶更好利用互聯(lián)網(wǎng)技術(shù)提升業(yè)務(wù)效率，深信服致力于開發(fā)最快的業(yè)務(wù)訪問模式，利用多種廣域網(wǎng)加速技術(shù)，提升系統(tǒng)的響應(yīng)速度。為了解決上述問題，高性價比、低成本地滿足企業(yè)對帶寬的要求，深信服科技發(fā)明了多線路帶寬迭加及復(fù)用技術(shù)（專利號：CN200310112006X）。HTP協(xié)議（HighSpeed Transmission Protocol）是基于UDP的可靠傳輸協(xié)議，通過改善擁塞控制算法和提高窗口大小改善TCP傳輸效率，能夠顯著提升存在丟包和延時網(wǎng)絡(luò)的傳輸速度。對于同一個用戶而言，往往需要頻繁傳輸相同或相似信息，效果非常明顯。 能支持您的所有網(wǎng)絡(luò)應(yīng)用SANGFOR SSL VPN安全網(wǎng)關(guān)通過WEB智能重構(gòu)技術(shù)、應(yīng)用轉(zhuǎn)換技術(shù)和IP Tunnel技術(shù)，實現(xiàn)了對目前所有網(wǎng)絡(luò)層以上各種靜態(tài)或者動態(tài)端口應(yīng)用的完全支持，WEB智能重構(gòu)技術(shù)，包括針對HTML、XML、JS/VBS、Applet/ActiveX/Flash等多種網(wǎng)頁技術(shù)實現(xiàn)重構(gòu)；應(yīng)用包括：包括：網(wǎng)上鄰居、文件共享、TELNET、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等所有IPSEC能夠支持的應(yīng)用。若企業(yè)的遠(yuǎn)程接入和移動辦公數(shù)量增多，企業(yè)的維護(hù)成本將會成線性增加。對于企業(yè)或者事業(yè)單位的分支網(wǎng)絡(luò)，可以使用IPSec VPN實現(xiàn)安全互連，而對于內(nèi)部員工、合作伙伴、移動人員可利用SSL VPN的易用性實現(xiàn)安全接入。不少C/S模式的系統(tǒng)，對安裝終端的系統(tǒng)環(huán)境有著特定的要求；而在系統(tǒng)運作過程，客戶機和服務(wù)器之間也需要反復(fù)傳輸數(shù)據(jù)和指令，這在互聯(lián)網(wǎng)上容易被帶寬以及線路的穩(wěn)定性所影響。 支持動態(tài)IP 由于寬帶的普及以及ADSL資費的降低，國內(nèi)中小型企業(yè)通常采用ADSL撥號等動態(tài)IP的方式接入互聯(lián)網(wǎng)。您可以將設(shè)計好的頁面上傳到設(shè)備中，從而完成登錄頁面的定制。為了進(jìn)一步提高單點登錄的適用性，深信服提供針對不同的資源可以設(shè)定不同的單點登錄賬號，從而實現(xiàn)不同用戶登錄不同應(yīng)用系統(tǒng)采用不同賬號進(jìn)行單點登錄，提高了單點登錄的方便性。對于通過第三方認(rèn)證的用戶，深信服可以讀取LDAP和Radius服務(wù)器上的虛擬IP信息，從而實現(xiàn)與第三方的完美結(jié)合。在門戶頁面中除了本身的各種應(yīng)用系統(tǒng)外，內(nèi)部還有大量的訪問模塊如果一一進(jìn)行添加將非常麻煩。并且若故障線路恢復(fù)正常，VPN的連接隧道將自動愈合。若由于線路中斷而造成的VPN隧道中斷，一旦線路恢復(fù)，SANGFOR SSL VPN隨即將自動恢復(fù)，無需人工干預(yù)。豐富的產(chǎn)品系列給客戶更大的選擇空間。2009年，深信服榮獲《財富》雜志“卓越雇主獎”。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。如下表：VPN在OSI中的層次VPN實現(xiàn)技術(shù)數(shù)據(jù)鏈路層PPTP及L2TP網(wǎng)絡(luò)層IPSEC應(yīng)用層SSL鏈路層VPN 技術(shù)PPTP協(xié)議：PPTP（點到點隧道協(xié)議）是由PPTP論壇開發(fā)的點到點的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全VPN業(yè)務(wù)，1996 年成為IETF草案。PPTP的最大優(yōu)勢是Microsoft公司的支持，另外一個優(yōu)勢是它支持流量控制，可保證客戶機與服務(wù)器之間不擁塞，改善通信性能，最大限度地減少包丟失和重發(fā)現(xiàn)象。隧道模式是最安全的，但會帶來較大的系統(tǒng)開銷。會話層VPN 技術(shù)SOCKS協(xié)議：SOCKS 處于OSI 模型的會話層，在SOCKS 協(xié)議中，客戶程序通常是先連接到防火墻1080端口，然后由防火墻建立到目的主機的單獨會話，這種情況下客戶程序?qū)δ康闹鳈C是不可見的。應(yīng)用程序消息被分割成可管理的數(shù)據(jù)塊，還可以壓縮，并產(chǎn)生一個MAC（消息認(rèn)證代碼），然后結(jié)果被加密并傳輸。第5步，客戶機和服務(wù)器通過以下步驟生成會話密鑰：客戶機生成一個隨機數(shù)，并使用服務(wù)器的公鑰（從服務(wù)器證書中獲?。λ用?，以送到服務(wù)器上。掌握三個關(guān)鍵術(shù)語的含義有助于理解SSL VPN是如何實現(xiàn)的。而有一些應(yīng)用，如微軟Outlook或MSN，它們的外觀會在轉(zhuǎn)化為基于Web界面的過程中丟失。下文為附加公文范文，如不需要，下載后可以編輯刪除，謝謝！公司責(zé)任主題演講稿——鐵肩擔(dān)責(zé)任 奉獻(xiàn)譜新篇尊敬的領(lǐng)導(dǎo)，朋友們：　　有一種情感，它情系員工、澆鑄出生活的希望：有一種精神，看似樸實無華，卻能成就不平凡的業(yè)績：有一種存在，看似無形，卻最是令人豪情萬丈，它就是：我們?yōu)橹幐?、為之驕傲的石油之家，它就是我們榮辱與共的延長石油之家！延長石油是我家，發(fā)展靠大家。如果說，責(zé)任是一種承擔(dān)，那么奉獻(xiàn)就是承擔(dān)的過程；如果說，責(zé)任讓我們產(chǎn)生了動力，那么，奉獻(xiàn)就提升了我們的境界。良好的SSL VPN產(chǎn)品應(yīng)該具有較好的互操作性，較為細(xì)致的訪問控制能力，完善的日志和認(rèn)證體系以及對應(yīng)用的廣泛支持。有的SSL VPN產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的數(shù)量非常少，有的則很好地支持了FTP、網(wǎng)絡(luò)文件系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。這使得企業(yè)員工出差時不必再攜帶自己的筆記本電腦，僅僅通過一臺接入了Internet的計算機就能訪問企業(yè)資源，這為企業(yè)提高了效率也帶來了方便。但是完善的SSL VPN安全體系是需要對客戶端的身份進(jìn)行證書級驗證的。當(dāng)一個SSL客戶機和服務(wù)器第一次開始通信時，它們在一個協(xié)議版本上達(dá)成一致，選擇加密算法和認(rèn)證方式，并使用公鑰來生成共享密鑰。同時也提供基于硬件證書（HARDCA）的鑒權(quán)體系。在隧道模式下，IPSec 把傳輸層的數(shù)據(jù)封裝在安全的IP包中。PPTP隧道實質(zhì)上是基于IP協(xié)議的另一個PPP連接，其中IP包可以封裝多種協(xié)議數(shù)據(jù)，包括TCP/IP、IPX和NetBEUI。而 End to Site 指的是移動終端到企業(yè)私有網(wǎng)絡(luò)之間的VPN連接，而SSL VPN 就是 End to Site類型的VPN。IETF 組織對基于IP 的VPN 解釋為：通過專門的隧道加密技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。從2000年底成立至今，公司以每年銷售收入增長23倍、人員增長1倍的速度高速發(fā)展。 可用資源界面第5章 深信服公司簡介深信服科技是中國規(guī)模最大、創(chuàng)新能力最強的前沿網(wǎng)絡(luò)設(shè)備供應(yīng)商，致力于通過創(chuàng)新、高品質(zhì)的產(chǎn)品及卓越的服務(wù)，幫助用戶提升互聯(lián)網(wǎng)帶寬的價值。這樣的好處一是能讓終端用戶得到效率最高的訪問服務(wù)；二是在多臺服務(wù)器之間實現(xiàn)了最佳的穩(wěn)定性備份。通過多線路帶寬迭加及復(fù)用技術(shù)（專利號：CN200310112006X），將多條線路、不同方式接入方式的上網(wǎng)線路實現(xiàn)帶寬迭加和互為備份，保證了整個系統(tǒng)的持續(xù)可靠運行。 系統(tǒng)托盤對于一些特殊的環(huán)境下，可能需要長時間的登錄SSL VPN，但是往往SSL VPN是依托于瀏覽器的，如果用戶在操作的過程中不小心關(guān)閉了瀏覽器，那SSL VPN就有可能斷開，導(dǎo)致業(yè)務(wù)中斷，為了避免因為誤操作而導(dǎo)致瀏覽器關(guān)閉，深信服提供了系統(tǒng)托盤，當(dāng)您點擊關(guān)閉的時候可以將瀏覽器最小化成任務(wù)欄的系統(tǒng)托盤，從而避免因為誤操作導(dǎo)致SSL VPN關(guān)閉。但是對于一些大型的集團(tuán)公司來說，已經(jīng)規(guī)劃好了IP，需要實現(xiàn)根據(jù)遠(yuǎn)程接入的IP來實現(xiàn)身份的綁定，深信服可以針對每個人綁定固定的虛擬IP，從而實現(xiàn)用戶身份與虛擬IP的綁定。針對B/S的應(yīng)用解析其內(nèi)部傳遞函數(shù)采用自動構(gòu)建訪問參數(shù)的方式。根據(jù)企業(yè)內(nèi)部的管理形式，深信服將設(shè)備管理員分為超級管理員和受限管理員，受限管理員只能管理所轄組的用戶、用戶組、所在組的硬件特征碼、關(guān)聯(lián)所在組的角色，不能對于不在所轄組的用戶進(jìn)行管理和維護(hù)。用戶在訪問總部的SSL資源時，SSL VPN可以將某些特殊的資源隱藏起來，用戶在其資源列表中無法看到該項資源，但用戶仍然可以使用。虛擬門戶功能，將讓客戶能把一臺SSLVPN設(shè)備，虛擬成多臺來提供不同的部門和分屬子公司進(jìn)行訪問。SANGFOR SSL VPN安全網(wǎng)關(guān)結(jié)合了IPSec和SSL 兩套主流的VPN技術(shù)，實現(xiàn)了在一臺安全網(wǎng)關(guān)設(shè)備上穩(wěn)定高效運行兩套VPN系統(tǒng)。為業(yè)務(wù)訪問提供最廣泛的兼容性。 強大的硬件加速卡，更快的SSL處理速度SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)置了硬件SSL加速卡，將需要計算程度較高的加密/解密流程從CPU中分離出來，提高SSL VPN網(wǎng)關(guān)的性能。深信服流緩存技術(shù)原理是：在廣域網(wǎng)中傳輸?shù)氖菙?shù)據(jù)包，就是類似于“010100011”這樣的0和1的數(shù)字組合排列，“基于碼流特征的數(shù)據(jù)優(yōu)化”技術(shù)能夠把數(shù)據(jù)包拆分成很多“碎片”，并對“碎片”分配唯一指針，將指針分別存儲在本地設(shè)備和目的地接收設(shè)備中，當(dāng)具有相同指針內(nèi)容再次需要傳輸時，只傳輸指針到目的地，接收設(shè)備根據(jù)指針便在本地的設(shè)備中提取出內(nèi)容。實際以上所有速度慢的問題都是由于網(wǎng)絡(luò)中存在的延時和丟包導(dǎo)致的，時延大和高丟包導(dǎo)致網(wǎng)絡(luò)傳輸環(huán)境非常的差，而往往時延越大傳輸速度越慢，如果丟包達(dá)到一定程度，速度就會更加的慢，雙方根本就無線建立通信，更不要說進(jìn)行數(shù)據(jù)的傳輸了。深信服進(jìn)一步擴展了智能自動選路技術(shù)，提供了基于單臂模式下的自動選路，讓眾多的組織結(jié)構(gòu)也能夠?qū)崿F(xiàn)自動的選路，提高業(yè)務(wù)辦公效率。 更快的SSL VPN提升業(yè)務(wù)辦公效率SSLVPN實現(xiàn)了便捷而又安全的辦公同時，也受到了互聯(lián)網(wǎng)的環(huán)境制約，辦公效率會被互聯(lián)網(wǎng)的鏈路質(zhì)量所影響。對于來自外部的DOS攻擊，其防御DOS的基本原理如下：在網(wǎng)絡(luò)層模擬應(yīng)用層對DOS攻擊的主機發(fā)起應(yīng)答，由于DOS攻擊主機無法完成3次握手，因此可以識別出不完整的請求，避免了把攻擊發(fā)送到SSL VPN應(yīng)用上。內(nèi)置的防DOS攻擊功能，不僅可以有效防范來自外部網(wǎng)絡(luò)的DOS攻擊，對于內(nèi)網(wǎng)計算機發(fā)起的DOS攻擊，SSL VPN安全網(wǎng)關(guān)也可以進(jìn)行防御。除了主動泄密，中了木馬和病毒，或者被黑客攻擊的被動泄密行為也可能為企業(yè)帶來巨大的損失，尤其是一些對數(shù)據(jù)安全性要求較高的機構(gòu)及場合，如銀行、基金、證券等金融單位，涉及重要研發(fā)機密的第三方接入等情況，尤其需要完善的信息保護(hù)方案，同時該方案不應(yīng)該以犧牲工作效率為代價，最好不需要更改原來用戶的辦公習(xí)慣，從而在不影響業(yè)務(wù)的情況下，實現(xiàn)信息的防泄密保護(hù)工作。管理員可對指定時間范圍內(nèi)的日志以及日志的級別如：錯誤、告警、信息、調(diào)試和進(jìn)程類型進(jìn)行查詢。同時，SANGFOR SSL VPN集成了組用戶并發(fā)限制、公用賬號并發(fā)限制和用戶流量限制等多種方式，保證了用戶合理地使用VPN資源。如果能進(jìn)行SSL 對接，并進(jìn)行SSL負(fù)載測試的就是真正的SSL VPN。SSL VPN客戶端安全檢查保證接入安全 強化的網(wǎng)絡(luò)防護(hù)－VPN虛擬專線功能虛擬專線指用戶登錄SSL VPN以后，和內(nèi)部業(yè)務(wù)系統(tǒng)構(gòu)成一條虛擬的專線，此時用戶將不再能訪問虛擬專線以外的網(wǎng)絡(luò)資源。當(dāng)檢測到客戶端在指定時間內(nèi)沒有任何訪問內(nèi)網(wǎng)資源的流量時，SSL VPN網(wǎng)關(guān)將自動彈出對話框，提示用戶“SSL連接會在X秒內(nèi)超時關(guān)閉，繼續(xù)還是注銷？”若用戶在該時間內(nèi)仍未選擇相應(yīng)動作，則SANGFOR SSL VPN安全網(wǎng)關(guān)將自動注銷，中斷會話并重新返回登錄界面。深信服SSLVPN與第三方CA結(jié)合，還可以支持設(shè)置證書中的內(nèi)置授權(quán)值，并與之綁定賬號完成組織結(jié)構(gòu)的建立，達(dá)到更完美支持CA證書認(rèn)證的效果。為了解決這樣的問題，深信服可以讀取LDAP中的IP字段屬性，從而通過LDAP可以進(jìn)行虛擬IP的分配，這樣通過LDAP進(jìn)行認(rèn)證的用戶可以得到虛擬IP實現(xiàn)雙向訪問。深信服內(nèi)置的CA中心可以支持建立服務(wù)器證書和個人身份證書，在減少投資成本的同時可以滿足組織對于CA的大規(guī)模使用，讓您構(gòu)建您自己的CA認(rèn)證中心。當(dāng)可能由于網(wǎng)絡(luò)的延時或者網(wǎng)絡(luò)運營商的問題導(dǎo)致短信未及時發(fā)出，完全影響了使用者的使用，導(dǎo)致業(yè)務(wù)無法正常使用，針對這樣的情況，深信服為您提供短信重發(fā)功能，讓您能夠方便快捷使用短信認(rèn)證。這種USB DKEY可以同時支持兩套VPN（IPSec和SSL）系統(tǒng)，安全方便。深信服科技SSL VPN從2008年開始，便以超過三分之一的市場，一直占據(jù)中國市場第一的位置，而且份額還在不斷擴大。更懂客戶業(yè)務(wù)的創(chuàng)新方案從為客戶創(chuàng)造價值的目標(biāo)出發(fā)，在深入了解客戶業(yè)務(wù)情況的基礎(chǔ)上，深信服科技運用最為創(chuàng)新性的方案，為客戶有效地解決業(yè)務(wù)在互聯(lián)網(wǎng)轉(zhuǎn)化的過程中所遇到的問題。在現(xiàn)代的商業(yè)機構(gòu)模式中，普遍都存在著這兩種需求，所以我們在選擇VPN技術(shù)的時候應(yīng)該根據(jù)實際的業(yè)務(wù)需求出發(fā)，選擇某一種或者二合一的VPN技術(shù)。如果僅僅在受控的電腦上，比如員工辦公電腦上使用IPSec客戶端則可以通過部署統(tǒng)一的安全策略來解決該問題，但如果要讓合作伙伴或者客戶的電腦接入，就難以控制了。由此，業(yè)務(wù)信息化，首先需要解決的是安全問題。深信服科技SSL VPN產(chǎn)品白皮書 深信服科技有限公司2010年10月版權(quán)聲明深圳市深信服電子科技有限公司版權(quán)所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。與此同時，業(yè)務(wù)信息網(wǎng)絡(luò)化另外一方面是帶來了安全的威脅：企業(yè)本身的商業(yè)數(shù)據(jù)、企業(yè)的客戶數(shù)據(jù)信息等一旦被泄露，則會帶來難以估計的損失，而一旦通訊或存儲的信息被篡改，則更會帶來難以估計的后果。l