【文章內容簡介】 己的Radius服務器作為中轉，從而實現(xiàn)與其他認證系統(tǒng)的完美結合，而且SANGFOR Radius強大的擴展性可以滿足您與第三方進行對接的要求。 圖形碼驗證功能SANGFOR SSL VPN安全網(wǎng)關提供圖形碼校驗功能，用戶在輸入用戶名和密碼以后還需要將系統(tǒng)隨即生成圖片中的信息輸入才能實現(xiàn)正常登錄，可以防止非法使用者用自動猜解程序來進行試探。深信服提供的圖形驗證碼通過內部的計算程序可以實現(xiàn)數(shù)字和字母的組合，每次變換不同的圖形驗證碼。 軟鍵盤功能為了提高用戶密碼的安全性，防止被木馬程序截獲用戶輸入的密碼信息，SANGFOR SSL VPN安全網(wǎng)關提供了軟鍵盤功能，用戶在輸入密碼的時候可以使用界面上提供的軟鍵盤，這樣木馬程序就無法采用截獲用戶鍵盤輸入的方法來竊取密碼了。為了進一步增加軟鍵盤的安全性，深信服提供動態(tài)變換功能，即每次登陸的時候字母鍵和數(shù)字鍵跟上一次都是不同的，從而進一步保證密碼的安全性。 會話超時控制功能為防止用戶在沒有注銷的情況下長時間離開，導致他人窺探到SSL VPN內的機密信息，SANGFOR SSL VPN安全網(wǎng)關特別加入了不活動檢測引擎。當檢測到客戶端在指定時間內沒有任何訪問內網(wǎng)資源的流量時，SSL VPN網(wǎng)關將自動彈出對話框，提示用戶“SSL連接會在X秒內超時關閉，繼續(xù)還是注銷？”若用戶在該時間內仍未選擇相應動作，則SANGFOR SS VPN安全網(wǎng)關將自動注銷，中斷會話并重新返回登錄界面。 全面的密碼安全保障對于采用在SSL VPN上建立的用戶名和密碼，深信服采用了多種機制保證密碼的安全性。一旦系統(tǒng)啟用防密碼暴力功能以后，用戶連續(xù)輸入密碼錯誤次數(shù)達到一定的數(shù)量以后，系統(tǒng)會將該帳號鎖定一段時間，防止密碼被暴力猜解。對于被鎖定的用戶可以通過查看鎖定用戶在線列表來解除被鎖定的用戶，從而使其快速解凍。面對大量的用戶，管理員出于管理的方便可能針對每個用戶設定了初始密碼，但是出于密碼的安全性考慮，必須提供一定的密碼安全保障來保證密碼的安全性。深信服提供強迫初次登陸修改密碼，可以要求密碼必須至少多少位，根據(jù)您的要求可以設定密碼的最小長度，也可以設定密碼必須包含數(shù)字、字母、特殊符號，從而保證密碼的復雜度，但是不能要求密碼與用戶名相同、密碼不能與舊密碼相同。對于密碼的管理，可以實現(xiàn)定時修改密碼，密碼過期前多少天提醒用戶進行密碼修改，通過上面一系列的措施保證用戶的密碼的安全性。 客戶端安全檢查從端點開始保障您的網(wǎng)絡安全在用戶通過計算機瀏覽器打開SSL 登錄界面時，SANGFOR SSL VPN安全網(wǎng)關通過客戶端計算機安全掃描功能，檢查計算機系統(tǒng)是否打了補丁、是否安裝有相應殺毒程序等，保證SANGFOR SSL VPN接入安全，避免客戶端計算機的不安全因素通過SSL VPN傳輸?shù)狡髽I(yè)內部網(wǎng)絡產(chǎn)生的安全隱患。SSL VPN客戶端安全檢查保證接入安全 強化的網(wǎng)絡防護－VPN虛擬專線功能虛擬專線指用戶登錄SSL VPN以后，和內部業(yè)務系統(tǒng)構成一條虛擬的專線，此時用戶將不再能訪問虛擬專線以外的網(wǎng)絡資源。用戶一旦啟用虛擬專線功能后，一方面外部網(wǎng)絡上面的不安全因素無法再對VPN系統(tǒng)構成威脅，同時也可以避免客戶端上的不安全因素造成泄密的可能性，避免因客戶端引發(fā)的安全隱患，確保內部業(yè)務系統(tǒng)的安全性。 零痕跡訪問功能避免安全漏洞SANGFOR SSL VPN在用戶結束訪問以后，拔出DKEY后將自動注銷，同時會自動清除Cookie，臨時文件等遺留在客戶端計算機上的信息，實現(xiàn)“零痕跡”訪問，避免安全隱患。 真正的SSL 協(xié)議加密傳輸SSL VPN依托于內嵌在各種瀏覽器當中SSL 協(xié)議（RFC2246）。它是一種安全可靠的協(xié)議，包括以下三個協(xié)議：握手協(xié)議：客戶和服務器之間相互鑒別 協(xié)商加密算法和密鑰 它提供連接安全性，有三個特點 身份鑒別，至少對一方實現(xiàn)鑒別，也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的，中間人不能夠知道 協(xié)商過程是可靠的記錄協(xié)議：SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性，有兩個特點 保密性，使用了對稱加密算法 完整性，使用HMAC算法 用來封裝高層的協(xié)議警告協(xié)議：這個協(xié)議用于每時示在什么時候發(fā)生了錯誤或兩個主機之間的會話在什么時候終止 SSL 協(xié)議數(shù)據(jù)交互的過程如下：正是因為SSL 協(xié)議本身的安全性也導致他被廣泛的應用到網(wǎng)上銀行。而真正的SSL VPN必須將IP層以上的數(shù)據(jù)都通過SSL協(xié)議進行封裝。如果僅僅將TCP 數(shù)據(jù)做了簡單的封裝，或者把IPSEC VPN做些修改，將數(shù)據(jù)轉發(fā)到443端口，不能算是真正的SSL VPN。鑒別這種偽SSL VPN，可以使用標準的HTTP流量測試工具如Loadrunner,Web bench,Avalanche等或者通過抓包工具Wireshark、Sniffer。如果能進行SSL 對接，并進行SSL負載測試的就是真正的SSL VPN。但是普通客戶往往沒有這個測試條件，因此建議在SSL VPN選型時購買經(jīng)過第三方評測機構（如網(wǎng)絡世界，賽迪評測等）評測過的產(chǎn)品。 訪問權限控制功能提供最細致的權限管理SANGFOR SSL VPN通過獨特的角色管理功能，提供了細致到每個URL和不同應用的權限劃分。通過給不同用戶設置不同角色來分配訪問授權，一個用戶可以賦予多個角色以適合各種復雜的組織結構?；诮巧脑L問限制為企業(yè)網(wǎng)絡提供了較強的安全性。通過行為跟蹤引擎，管理員還可以查看遠程接入用戶的所有訪問記錄。SANGFOR SSL VPN內置有多種用戶和資源管理方式，可以自建用戶，也可以從第三方導入,支持LDAP/AD、RADIUS等第三方認證，可以根據(jù)用戶、用戶組、公用賬號、私有賬號等多種方式對用戶進行管理。管理員可根據(jù)角色、Web資源、C/S資源、IP資源等權限劃分方式，為遠程接入用戶分配細致的訪問權限控制。同時，SANGFOR SSL VPN集成了組用戶并發(fā)限制、公用賬號并發(fā)限制和用戶流量限制等多種方式，保證了用戶合理地使用VPN資源。并且，在SSL VPN網(wǎng)關中的直觀式管理圖形用戶界面（GUI）的實時監(jiān)控狀態(tài)欄中，可以實時地監(jiān)控用戶的接入情況，觀察整個VPN系統(tǒng)的運行狀況。 完善的日志系統(tǒng)SANGFOR SSL VPN網(wǎng)關提供了調試、信息、告警、錯誤四個級別的運行日志，幫助管理診斷系統(tǒng)。并提供了用戶訪問記錄審計和報表來記錄、跟蹤用戶行為。由于VPN網(wǎng)關的存儲空間有限，SANGFOR SSL VPN還提供了獨立的日志中心。通過第三方的日志中心，管理員可按照餅圖、柱狀圖、曲線圖等多種顯示方式對服務的被訪問次數(shù)、被拒絕次數(shù)，用戶的登錄次數(shù)、告警次數(shù)等進行直觀顯示，并可直接打印和導出。SANGFOR SSL VPN安全網(wǎng)關豐富的日志中心，為網(wǎng)絡管理員和決策者了解VPN資源的詳細使用情況提供了最有效的數(shù)據(jù)支持。 豐富的日志信息SANGFOR SSL VPN通過獨立的第三方日志服務器，用戶可以按照系統(tǒng)日志和用戶日志兩大類日志進行查詢。管理員可對指定時間范圍內的日志以及日志的級別如：錯誤、告警、信息、調試和進程類型進行查詢。同時，管理員可按照餅圖、柱狀圖、曲線圖等多種顯示方式對服務的被訪問次數(shù)、被拒絕次數(shù)，用戶的登錄次數(shù)、告警次數(shù)等進行直觀顯示，并可直接打印和導出。SANGFOR SSL VPN安全網(wǎng)關豐富的日志中心，可詳細分析出企業(yè)VPN資源的詳細使用情況，為網(wǎng)絡管理員和決策者提供了最有效的數(shù)據(jù)支持。 強大的實時監(jiān)控能力通過遠程監(jiān)控平臺，管理員可以實時地監(jiān)控用戶的接入情況，實時觀察SSL VPN安全網(wǎng)關的運行情況。通過SSL VPN豐富的系統(tǒng)日志，可以及時定位故障，并實施遠程維護。通過Web界面，管理員還可以隨時查看每個在線用戶的情況，可以隨時中斷可疑會話，方便快捷。還可以實現(xiàn)告警的短信通知，及時通知到終端用戶。 集成企業(yè)級狀態(tài)防火墻和多數(shù)SSL VPN不同，SANGFOR SSL VPN網(wǎng)關集成了高性能的企業(yè)級狀態(tài)防火墻，對外只開放443端口，能有效保護內部服務器免受來自Internet的各種攻擊。內置的防DOS攻擊功能，不僅可以有效防范來自外部網(wǎng)絡的DOS攻擊，對于內網(wǎng)計算機發(fā)起的DOS攻擊，SSL VPN安全網(wǎng)關也可以進行防御。SANGFOR SSL VPN安全網(wǎng)關集成了企業(yè)級的狀態(tài)檢測防火墻。除了擁有企業(yè)級防火墻所具備的基本功能如：管理員權限分級、URL過濾、NAT功能、訪問監(jiān)控、上網(wǎng)控制、用戶認證、流量控制、QOS、DHCP服務、自動撥號等功能以外，內置了高、中、低和自定義 4個安全級別，用戶可以根據(jù)需要靈活配置。此外，SANGFOR SSL VPN安全網(wǎng)關獨特的虛擬測試功能，為管理員創(chuàng)建了防火墻規(guī)則的虛擬測試環(huán)境。管理員通過可視化界面，對各種安全設置規(guī)則進行測試，從而杜絕人為配置錯誤導致的安全漏洞。作為HTTPS服務器，所有SSL VPN都同樣面臨著DOS的威脅。所以大多數(shù)SSL VPN設備都需要前置防火墻保護其安全。而SANGFOR SSL VPN自身就是一個防火墻，集成了對DOS等攻擊的防御手段。對于來自外部的DOS攻擊，其防御DOS的基本原理如下：在網(wǎng)絡層模擬應用層對DOS攻擊的主機發(fā)起應答，由于DOS攻擊主機無法完成3次握手，因此可以識別出不完整的請求，避免了把攻擊發(fā)送到SSL VPN應用上。而對于真實的SYN，在網(wǎng)絡層完成了SYN的3次握手后，再模擬請求的客戶端把SYN請求發(fā)送到應用層。通過這種SYN代理的方法就使得正常的SSL VPN遠程訪問順利的通過防火墻到達內部服務器，而DOS攻擊則被拒之門外。SANGFOR SSL VPN安全網(wǎng)關不僅可以防御來自外網(wǎng)的DOS攻擊，對于內網(wǎng)計算機發(fā)起的DOS攻擊，SSL VPN安全網(wǎng)關也可以進行防御。管理員可以在SANGFOR SSL VPN安全網(wǎng)關內增添內網(wǎng)網(wǎng)段列表，若檢測到來自該列表之內的計算機發(fā)起的連接請求，則認為是合法用戶；而若是來自該列表之外的IP地址，則被認為是攻擊。這對于通常偽造源IP地址的DOS攻擊發(fā)起端來說，將是一個有效的防范措施。同時，SANGFOR SSL VPN安全網(wǎng)關可以限制內部局域網(wǎng)每個IP地址在一分鐘內可發(fā)起的最大TCP連接數(shù)和發(fā)送的最大SYN包次數(shù)（數(shù)值可依據(jù)內網(wǎng)計算機數(shù)量自定義），阻止了局域網(wǎng)內某些計算機感染了病毒或者木馬程序，對外發(fā)起大量的連接請求從而導致企業(yè)網(wǎng)絡帶寬耗盡、網(wǎng)關設備癱瘓宕機等情況的發(fā)生。一旦檢測到攻擊后，SANGFOR SSL VPN安全網(wǎng)關可以立即對攻擊主機進行封鎖，從而及時有效阻斷了由企業(yè)局域網(wǎng)內部計算機發(fā)起的DOS攻擊行為，避免了企業(yè)員工在上網(wǎng)時不小心感染了病毒而造成DOS攻擊給企業(yè)帶來的法律糾紛、名譽受損等風險。 更好用的SSL VPN 能支持您的所有網(wǎng)絡應用目前對于大部分SSL VPN設備而言，所支持的應用類型是有限的，幾乎僅限于支持Web等B/S的應用，而無法像IPSec VPN一樣支持基于網(wǎng)絡層以上的所有應用，因而也限制了SSL VPN的發(fā)展。SANGFOR SSL VPN安全網(wǎng)關通過html智能重構技術、應用轉換技術和IP Tunnel技術，實現(xiàn)了對目前所有網(wǎng)絡層以上各種靜態(tài)或者動態(tài)端口應用的完全支持，包括：網(wǎng)上鄰居、文件共享、TELNET、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等所有IPSEC能夠支持的應用。由于采用了IP Tunnel技術，SANGFOR SSL VPN安全網(wǎng)關實現(xiàn)了對應用程序的完整支持，客戶端在打開瀏覽器的SSL VPN登錄界面時，只需安裝一個Active X控件（可選），在客戶端的機器上會生成一塊專門用于SSL VPN通訊的虛擬網(wǎng)卡，因而SSL 遠程登錄用戶便可使用所有基于IP網(wǎng)絡層以上的應用。若SANGFOR SSL VPN在總部網(wǎng)絡采用路由模式的部署方式，總部網(wǎng)絡還能夠實現(xiàn)與遠程接入用戶的雙向訪問。這種領先技術的應用，使得SANGFOR SSL VPN能夠支持任何復雜的各種B/S和C/S的應用。完整支持IP層以上的所用應用 B/S正則替換，全面適應各種平臺借助于瀏覽器技術，SANGFOR SSL VPN可以支持所有網(wǎng)絡環(huán)境，只要瀏覽器能夠上網(wǎng)就可以使用SSL VPN。目前，SANGFOR SSL VPN所支持的瀏覽器類型包含Html/Dhtml, Jsp, Asp,Java applet, Active, Cookies等各種Web技術。 提供IPSec/SSL一體化選擇傳統(tǒng)的IPSec VPN在部署時，往往需要在每個遠程接入的終端都安裝相應的IPSec客戶端，并需要做復雜的配置（SANGFOR IPSec VPN采用DKEY方式實現(xiàn)IPSec VPN零配置）。若企業(yè)的遠程接入和移動辦公數(shù)量增多，企業(yè)的維護成本將會成線性增加。而SSL VPN最大的好處之一就是不需要安裝客戶端程序，遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內部網(wǎng)絡，安全地訪問應用程序，無需安裝或設置客戶端軟件，降低了企業(yè)的維護成本。因而SSL在點對網(wǎng)互連方面，其易用性和安全性方面有著突出的優(yōu)勢。由于SSL VPN只適合點對網(wǎng)的連接，無法實現(xiàn)多個網(wǎng)絡之間的安全互連。因而，在企業(yè)組建網(wǎng)對網(wǎng)方面，IPSec VPN就有著無可比擬的優(yōu)勢。而在點對網(wǎng)方面，由于IPSec VPN要求每個遠程接入的終端都需要安裝相應的IPSec客戶端并需要配置，因而IPSec VPN在易用性和維護成本上遠遠不如SSL VPN。SANGFOR SSL VPN安全網(wǎng)關結合了IPSec和SSL 兩套主流的VPN技術，實現(xiàn)了在一臺安全網(wǎng)關設備上穩(wěn)定高效運行兩套VPN系統(tǒng)。利用兩者的優(yōu)勢進行互補，避免了單一VPN設備存在的不足。對于企業(yè)或者事業(yè)單位的分支網(wǎng)絡，可以使用IPSec VPN實現(xiàn)安全互連，而對于內部員工、合作伙伴、移動人員可利用SSL VPN的易用性實現(xiàn)安全接入。最大限度地發(fā)揮了IPSec /SSL VPN給企業(yè)帶來的效益，節(jié)約了企業(yè)大量的管理成本和投入成本，真正做到一臺設備的投資，兩種設備的功能 。 配置向導簡化管理員的操作過程為了簡化您的操作，SANGFOR SSL VPN安全網(wǎng)關提供了配置向導來對管理員的基本操作進行指引，管理