【正文】 S攻擊，SSL VPN安全網(wǎng)關(guān)也可以進(jìn)行防御。此外，SANGFOR SSL VPN安全網(wǎng)關(guān)獨特的虛擬測試功能，為管理員創(chuàng)建了防火墻規(guī)則的虛擬測試環(huán)境。安全桌面將與默認(rèn)桌面顯示完全一致。 強(qiáng)大的實時監(jiān)控能力通過遠(yuǎn)程監(jiān)控平臺，管理員可以實時地監(jiān)控用戶的接入情況，實時觀察SSL VPN安全網(wǎng)關(guān)的運(yùn)行情況。并提供了用戶訪問記錄審計和報表來記錄、跟蹤用戶行為。通過給不同用戶設(shè)置不同角色來分配訪問授權(quán)，一個用戶可以賦予多個角色以適合各種復(fù)雜的組織結(jié)構(gòu)。 真正的SSL 協(xié)議加密傳輸SSL VPN依托于內(nèi)嵌在各種瀏覽器當(dāng)中SSL 協(xié)議（RFC2246）。對于被鎖定的用戶可以通過查看鎖定用戶在線列表來解除被鎖定的用戶，從而使其快速解凍。 圖形碼驗證功能SANGFOR SSL VPN安全網(wǎng)關(guān)提供圖形碼校驗功能，用戶在輸入用戶名和密碼以后還需要將系統(tǒng)隨即生成圖片中的信息輸入才能實現(xiàn)正常登錄，可以防止非法使用者用自動猜解程序來進(jìn)行試探。深信服SSL VPN能夠讀取Radius的分組權(quán)限信息，這樣在Radius中已經(jīng)建立好的分組就可以映射到SSL VPN中，從而實現(xiàn)角色的劃分和資源的綁定。深信服能夠與LDAP進(jìn)行聯(lián)動，無需在SSL VPN設(shè)備上建立LDAP上的用戶，直接將認(rèn)證的數(shù)據(jù)轉(zhuǎn)向LDAP服務(wù)器，讓LDAP進(jìn)行判斷。該認(rèn)證原理是將用戶賬號與其所在計算機(jī)硬件信息（如CPU、硬盤、網(wǎng)卡等）進(jìn)行綁定，即便用戶賬號意外泄露，由于非法用戶無法使用與此賬號事先綁定的那臺計算機(jī)，因而不會造成非法用戶接入。l 短信認(rèn)證無線技術(shù)的突飛猛進(jìn)給網(wǎng)絡(luò)世界又帶來一次巨大的革命，其靈活可靠的特點吸引了所有人的視線，因此，依靠無線通訊技術(shù)的短信認(rèn)證技術(shù)也應(yīng)運(yùn)而生。如果需要幾種接入方式做備份接入選擇，那么深信服創(chuàng)新性提出或組合，對于以上幾種認(rèn)證方式進(jìn)行或組合，只要通過一種認(rèn)證方式即可接入到SSL VPN系統(tǒng)中。通過大量的成功客戶案例，證明了深信服科技在以客戶為導(dǎo)向理念下，已經(jīng)獲得了市場的高度認(rèn)可。但是網(wǎng)絡(luò)中無處不在的網(wǎng)絡(luò)延時、網(wǎng)絡(luò)丟包導(dǎo)致業(yè)務(wù)訪問速度急劇下降，原本需要幾秒處理的事情，現(xiàn)在卻拖延到了幾分鐘，嚴(yán)重影響了辦公效率。因此SSL VPN技術(shù)就孕育而生了，SSL VPN的突出優(yōu)勢在于Web安全和移動接入，它可以提供遠(yuǎn)程的安全接入，而無需安裝或設(shè)定客戶端軟件。過去，大多數(shù)公司都是使用傳統(tǒng)的IPSec VPN來解決遠(yuǎn)程接入的問題。免責(zé)條款 本文檔僅用于為最終用戶提供信息，其內(nèi)容如有更改，恕不另行通知。 深圳市深信服電子科技有限公司在編寫本文檔的時候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但深圳市深信服電子科技有限公司不對本文檔中的遺漏、不準(zhǔn)確、或錯誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。但是IPSec VPN最初是為了解決Lan To Lan（網(wǎng)對網(wǎng)）的安全問題而制定的協(xié)議，因此在此基礎(chǔ)上建立的遠(yuǎn)程接入方案在面臨越來越多的End To Lan（點對網(wǎng)）應(yīng)用情況下已經(jīng)力不從心。SSL在Web的易用性和安全性方面架起了一座橋梁。深信服針對網(wǎng)絡(luò)中存在的問題，通過深信服的HTP技術(shù)、動態(tài)壓縮技術(shù)、多線路智能選路技術(shù)、不斷加入的廣域網(wǎng)優(yōu)化技術(shù)將進(jìn)一步解決惡劣環(huán)境下訪問速度慢的問題，全面提高遠(yuǎn)程接入訪問的辦公效率。業(yè)界持續(xù)領(lǐng)先的技術(shù)理念為了給客戶提供最為完善的SSL VPN 產(chǎn)品，深信服科技持續(xù)引領(lǐng)著業(yè)界內(nèi)的技術(shù)創(chuàng)新。多種認(rèn)證方式、完善的認(rèn)證體系，使得企業(yè)在選擇的時候，可以根據(jù)相應(yīng)的安全級別，對客戶端的認(rèn)證方式進(jìn)行組合，最大限度地保證了接入用戶的合法性和企業(yè)內(nèi)網(wǎng)資源的高度安全。短信認(rèn)證技術(shù)是一種革新型認(rèn)證解決方案，此認(rèn)證系統(tǒng)分為手機(jī)短信終端和短信認(rèn)證服務(wù)器兩部份。l 動態(tài)令牌認(rèn)證動態(tài)令牌是技術(shù)領(lǐng)先的一種雙因素強(qiáng)身份認(rèn)證體系，采用用戶PIN碼+動態(tài)令牌碼構(gòu)成完整用戶口令，令牌碼由令牌內(nèi)置唯一種子和當(dāng)前時間通過偽隨機(jī)算法生成，每分鐘改變一次，而且是一次性密碼（密碼使用后立即失效，不能重復(fù)使用）。如果有一些特殊的需要，也可以將LDAP中的用戶導(dǎo)入到設(shè)備中，可以根據(jù)您的需要定時進(jìn)行同步，您可以選擇一個固定的時間進(jìn)行同步，也可以選擇實時的進(jìn)行同步，從而保證LDAP上的用戶與SSL VPN上的用戶信息保持同步。同樣為了實現(xiàn)多樣的認(rèn)證，深信服SSL VPN也支持讀取Radius中的手機(jī)號碼屬性，從而跟短信認(rèn)證可以完美結(jié)合，實現(xiàn)雙因素的認(rèn)證。深信服提供的圖形驗證碼通過內(nèi)部的計算程序可以實現(xiàn)數(shù)字和字母的組合，每次變換不同的圖形驗證碼。面對大量的用戶，管理員出于管理的方便可能針對每個用戶設(shè)定了初始密碼，但是出于密碼的安全性考慮，必須提供一定的密碼安全保障來保證密碼的安全性。它是一種安全可靠的協(xié)議，包括以下三個協(xié)議：握手協(xié)議：客戶和服務(wù)器之間相互鑒別 協(xié)商加密算法和密鑰 它提供連接安全性，有三個特點 身份鑒別，至少對一方實現(xiàn)鑒別，也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的，中間人不能夠知道 協(xié)商過程是可靠的記錄協(xié)議：SSL記錄協(xié)議建立在可靠的傳輸協(xié)議（如TCP）之上 它提供連接安全性，有兩個特點 保密性，使用了對稱加密算法 完整性，使用HMAC算法 用來封裝高層的協(xié)議警告協(xié)議：這個協(xié)議用于每時示在什么時候發(fā)生了錯誤或兩個主機(jī)之間的會話在什么時候終止 SSL 協(xié)議數(shù)據(jù)交互的過程如下：正是因為SSL 協(xié)議本身的安全性也導(dǎo)致他被廣泛的應(yīng)用到網(wǎng)上銀行。基于角色的訪問限制為企業(yè)網(wǎng)絡(luò)提供了較強(qiáng)的安全性。由于VPN網(wǎng)關(guān)的存儲空間有限，SANGFOR SSL VPN還提供了獨立的日志中心。通過SSL VPN豐富的系統(tǒng)日志，可以及時定位故障，并實施遠(yuǎn)程維護(hù)。在安全桌面中，所有操作全部虛擬化，安全桌面內(nèi)的進(jìn)程和安全桌面外的進(jìn)程是隔離的，與其他在本地網(wǎng)絡(luò)或者互聯(lián)網(wǎng)網(wǎng)絡(luò)中的終端都是隔離的，這樣就能形成一個完全信息隔離的工作環(huán)境，達(dá)到防止信息泄密的效果。管理員通過可視化界面，對各種安全設(shè)置規(guī)則進(jìn)行測試，從而杜絕人為配置錯誤導(dǎo)致的安全漏洞。管理員可以在SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)增添內(nèi)網(wǎng)網(wǎng)段列表，若檢測到來自該列表之內(nèi)的計算機(jī)發(fā)起的連接請求，則認(rèn)為是合法用戶；而若是來自該列表之外的IP地址，則被認(rèn)為是攻擊。），該技術(shù)是深信服科技在VPN領(lǐng)域眾多專利技術(shù)之一。針對不同的上網(wǎng)線路，還可以啟用多線路策略，用戶可以根據(jù)線路情況選擇帶寬疊加模式、線路主備模式或者動態(tài)適應(yīng)模式等多線路策略。本身有些數(shù)據(jù)由于結(jié)構(gòu)的特殊性可能壓縮比不高，一旦進(jìn)行了壓縮，消耗了系統(tǒng)資源卻沒有提升多少速度！嚴(yán)重影響了效率，降低了響應(yīng)速度。目前很多加速產(chǎn)品采用了文件緩存方式進(jìn)行加速，即將文件緩存在網(wǎng)關(guān)上，用戶訪問文件的時候?qū)嶋H上是從本地網(wǎng)關(guān)取得文件，并沒有直接訪問遠(yuǎn)程服務(wù)器上的文件，這種方法存在兩個比較明顯的問題： 無法保證文件的實時性，如果服務(wù)器上面的文件更新了，可能導(dǎo)致用戶訪問的還是更新以前的版本。若SANGFOR SSL VPN在總部網(wǎng)絡(luò)采用路由模式的部署方式，總部網(wǎng)絡(luò)還能夠?qū)崿F(xiàn)與遠(yuǎn)程接入用戶的雙向訪問。因而SSL在點對網(wǎng)互連方面，其易用性和安全性方面有著突出的優(yōu)勢。 虛擬門戶深信服SSLVPN借助于多頁面隔離訪問技術(shù)，實現(xiàn)獨立的虛擬門戶訪問。遠(yuǎn)程應(yīng)用接入采用基于服務(wù)器計算的應(yīng)用模式，應(yīng)用程序的安裝、配置、管理、維護(hù)以及應(yīng)用的執(zhí)行均集中在服務(wù)器上進(jìn)行，用戶通過遠(yuǎn)程客戶端登錄服務(wù)器操作，輸入輸出內(nèi)容（鍵盤輸入、鼠標(biāo)移動、運(yùn)行結(jié)果在屏幕上的顯示輸出）則通過網(wǎng)絡(luò)傳輸?shù)娇蛻舳?。并且，?dāng)企業(yè)在使用SANGFOR SSL VPN網(wǎng)關(guān)的SSL VPN功能時，可以使用和IPSec VPN 相同的Webagent來解析網(wǎng)關(guān)的動態(tài)IP，減少了管理員的維護(hù)量。深信服在SSL VPN設(shè)備中已經(jīng)建立了四套認(rèn)證界面模板，您可以根據(jù)自身的需要選擇合適的認(rèn)證模板。 內(nèi)網(wǎng)DNS支持內(nèi)部擁有眾多的應(yīng)用系統(tǒng)，但是內(nèi)部的IP都是隨機(jī)進(jìn)行分配，但是都通過一臺DNS服務(wù)器進(jìn)行解析，為了更好的實現(xiàn)解析，可以通過設(shè)置相關(guān)的解析規(guī)則，支持“*”和“？”匹配符號，“*”表示任意字符串，“？”表示任意字符。但是在User權(quán)限下，由于微軟操作系統(tǒng)的權(quán)限限制，因此在User權(quán)限下無法正常的安裝各種插件。從而防止出現(xiàn)部分資源漏訪的情況，保證業(yè)務(wù)正常訪問，提高辦公業(yè)務(wù)效率。同時，SANGFOR SSL VPN安全網(wǎng)關(guān)還進(jìn)一步實現(xiàn)了多條Internet線路的QOS功能，根據(jù)不同線路的帶寬情況智能分配負(fù)載，最大限度的提高帶寬利用率。為了更好的支持大并發(fā)的用戶，深信服可以通過多設(shè)備的集群功能實現(xiàn)接入的負(fù)載均衡，根據(jù)單臺設(shè)備的性能將所有的SSL VPN連接動態(tài)的負(fù)載到所有設(shè)備上面，從而實現(xiàn)更大并發(fā)的用戶接入。截止到2010年2月，已有超過16，000家用戶選擇了同深信服合作并取得了顯著收益。我們以深厚的技術(shù)實力、豐富卓越的產(chǎn)品、細(xì)致完善的服務(wù)為您提供最佳整體網(wǎng)絡(luò)優(yōu)化方案，提升您的帶寬價值！深信服獲得的榮譽(yù)2005年、2006年、2007年、2008年、2009年，連續(xù)五年獲德勤“中國高科技高成長50強(qiáng)”，“亞太高科技高成長500強(qiáng)”國家商用密碼產(chǎn)品生產(chǎn)定點生產(chǎn)單位國家IPSec VPN、SSL VPN標(biāo)準(zhǔn)制定者2009年深信服全線產(chǎn)品均入圍中央政府協(xié)議采購名單2009年深信服VPN率先通過國家虛擬專用網(wǎng)安全技術(shù)要求第三級檢測2008年，深信服產(chǎn)品獲得國家涉密產(chǎn)品資質(zhì)30余項相關(guān)領(lǐng)域發(fā)明專利（20091223）一種VPN認(rèn)證方法 （20091216）一種網(wǎng)絡(luò)數(shù)據(jù)流識別方法 （20080910）一種網(wǎng)絡(luò)插件的安全檢查方法、系統(tǒng)及安全檢測設(shè)備（20080728）一種加速DCOM系統(tǒng)的方法（20080728）動態(tài)數(shù)據(jù)壓縮技術(shù)（20080728）通過流緩存實現(xiàn)網(wǎng)間數(shù)據(jù)傳輸加速的方法（20070518）通過自組域簡化部署VPN網(wǎng)絡(luò)的方法（20070122）基于網(wǎng)關(guān)、網(wǎng)橋防范網(wǎng)絡(luò)釣魚網(wǎng)站的方法（20060919）一種應(yīng)用代理實現(xiàn)網(wǎng)間應(yīng)用加速的方法第6章 附錄VPN技術(shù)背景知識由于SANGFOR VPN的技術(shù)涉及到了VPN，防火墻等多個領(lǐng)域，因此在這里對VPN和防火墻的背景知識做簡單介紹。現(xiàn)在的VPN 是在Internet 上臨時建立的安全專用虛擬網(wǎng)絡(luò)，用戶節(jié)省了租用專線的費用，同時除了購買VPN 設(shè)備或VPN軟件產(chǎn)品外，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP 支付一定的上網(wǎng)費用，對于不同地區(qū)的客戶聯(lián)系也節(jié)省了長途電話費。PPTP 提供PPTP 客戶機(jī)和PPTP服務(wù)器之間的保密通信。另外，PPTP僅工作于IP，不具有隧道終點的驗證功能，需要依賴用戶的驗證。SANGFORSL協(xié)議：SANGFORSL是SANGFOR SSL VPN中IPSec VPN采用的安全鏈路協(xié)議。 SSL 協(xié)議介紹 SSL協(xié)議：安全套接字層（Secure Socket Layer，SSL）屬于高層安全機(jī)制，廣泛應(yīng)用于Web 瀏覽程序和Web 服務(wù)器程序。（3）警告協(xié)議：這個協(xié)議用于表示在什幺時候發(fā)生了錯誤或兩個主機(jī)之間的會話在什幺時候終止。使用哈希函數(shù)從隨機(jī)數(shù)據(jù)中生成密鑰。SSL VPN網(wǎng)關(guān)至少要實現(xiàn)一種功能：代理Web頁面。端口轉(zhuǎn)發(fā)用于端口定義明確的應(yīng)用。這就要求我們以延長石油發(fā)展為己任，勇?lián)厝?，敢?dān)責(zé)任。什么是奉獻(xiàn)？愛因斯坦說過：一個人的價值，應(yīng)該看他貢獻(xiàn)了什么，而不是得到了什么。當(dāng)數(shù)據(jù)包進(jìn)入這個端口時，它們通過SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)，SSL VPN網(wǎng)關(guān)解開封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng)用服務(wù)器。對于非Web頁面的文件訪問，往往要借助于應(yīng)用轉(zhuǎn)換。在SSL通信中，服務(wù)器方使用443端口，而客戶方的端口是任選的。這個交換還可以包括整個證書鏈，直到某個根證書頒發(fā)機(jī)構(gòu)（CA）通過檢查有效日期并確認(rèn)證書包含可信任CA的數(shù)字簽名來驗證證書的有效性。服務(wù)器方向客戶方的認(rèn)證是必須的，而SSL 版本3 中客戶方向服務(wù)方的認(rèn)證只是可選項，現(xiàn)在逐漸得到廣泛的應(yīng)用。普通的IPSec網(wǎng)絡(luò)利用率在70%左右，而SANGFORSL達(dá)到90%2. 改進(jìn)的IP封裝技術(shù)，使得SANGFORSL可通過任何路由器，提高對網(wǎng)絡(luò)的適應(yīng)能力。IPSec不是某種特殊的加密算法或認(rèn)證算法，也沒有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種特殊的加密算法或認(rèn)證算法，它只是一個開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實施。通過PPTP，客戶可以采用撥號方式接入公共的IP網(wǎng)。按照VPN的網(wǎng)絡(luò)連接類型主要分為Site to Site 和End to Site兩種類型。虛擬專用網(wǎng)指的是依靠ISP（Internet Service Provider因特網(wǎng)服務(wù)提供商）和其它NSP（Network Service Provider網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在中國入選世界500強(qiáng)的企業(yè)中，超過一半的企業(yè)都是深信服的用戶。深信服SSL VPN創(chuàng)新地推出了非對稱的跨型號集群功能，能支持不同型號的多臺設(shè)備組建集群，這樣企業(yè)就可以根據(jù)實際的需要情況，選擇當(dāng)前所需要購買的對應(yīng)型號，給予企業(yè)信息化更為自主的規(guī)劃空間。為了能讓多臺服務(wù)器能更好工作，深信服SSLVPN設(shè)備可啟用資源負(fù)載均衡訪問機(jī)制。 更穩(wěn)定的SSL VPN 多線路技術(shù)實現(xiàn)線路備份，保證VPN線路穩(wěn)定SANGFOR SSL VPN支持多達(dá)6條線路的線路備份和負(fù)載均衡，大大提高了VPN網(wǎng)絡(luò)的穩(wěn)定性。 默認(rèn)服務(wù)頁面對于應(yīng)用資源的比較少的用戶來說，往往可能只有一個資源，但是SSL VPN的登錄流程是通過認(rèn)證后必然要跳轉(zhuǎn)到資源列表頁面，然后點擊應(yīng)用資源才能登錄到應(yīng)用系統(tǒng)中。 多虛擬IP池支持通過深信服的IP Tunnel技術(shù)可以完美支持IP層以上的所有數(shù)據(jù)。但是眾多的應(yīng)用系統(tǒng)密碼很容易是人搞混或者忘記，導(dǎo)致工作效率嚴(yán)重下降，為了避免記憶眾多的應(yīng)用系統(tǒng)密碼而帶來的麻煩，因此引入單點登錄功能，您只需要登錄SSL VPN系統(tǒng)后就可以直接登錄到應(yīng)用系統(tǒng)，避免再次手動輸入用戶名密碼帶來的麻煩，從而提高訪問效率。由于支持動態(tài)IP接入，SANGFOR SSL V