【文章內(nèi)容簡(jiǎn)介】 己的Radius服務(wù)器作為中轉(zhuǎn)，從而實(shí)現(xiàn)與其他認(rèn)證系統(tǒng)的完美結(jié)合，而且SANGFOR Radius強(qiáng)大的擴(kuò)展性可以滿足您與第三方進(jìn)行對(duì)接的要求。 圖形碼驗(yàn)證功能SANGFOR SSL VPN安全網(wǎng)關(guān)提供圖形碼校驗(yàn)功能，用戶在輸入用戶名和密碼以后還需要將系統(tǒng)隨即生成圖片中的信息輸入才能實(shí)現(xiàn)正常登錄，可以防止非法使用者用自動(dòng)猜解程序來(lái)進(jìn)行試探。深信服提供的圖形驗(yàn)證碼通過(guò)內(nèi)部的計(jì)算程序可以實(shí)現(xiàn)數(shù)字和字母的組合，每次變換不同的圖形驗(yàn)證碼。 軟鍵盤功能為了提高用戶密碼的安全性，防止被木馬程序截獲用戶輸入的密碼信息，SANGFOR SSL VPN安全網(wǎng)關(guān)提供了軟鍵盤功能，用戶在輸入密碼的時(shí)候可以使用界面上提供的軟鍵盤，這樣木馬程序就無(wú)法采用截獲用戶鍵盤輸入的方法來(lái)竊取密碼了。為了進(jìn)一步增加軟鍵盤的安全性，深信服提供動(dòng)態(tài)變換功能，即每次登陸的時(shí)候字母鍵和數(shù)字鍵跟上一次都是不同的，從而進(jìn)一步保證密碼的安全性。 會(huì)話超時(shí)控制功能為防止用戶在沒(méi)有注銷的情況下長(zhǎng)時(shí)間離開，導(dǎo)致他人窺探到SSL VPN內(nèi)的機(jī)密信息，SANGFOR SSL VPN安全網(wǎng)關(guān)特別加入了不活動(dòng)檢測(cè)引擎。當(dāng)檢測(cè)到客戶端在指定時(shí)間內(nèi)沒(méi)有任何訪問(wèn)內(nèi)網(wǎng)資源的流量時(shí)，SSL VPN網(wǎng)關(guān)將自動(dòng)彈出對(duì)話框，提示用戶“SSL連接會(huì)在X秒內(nèi)超時(shí)關(guān)閉，繼續(xù)還是注銷？”若用戶在該時(shí)間內(nèi)仍未選擇相應(yīng)動(dòng)作，則SANGFOR SS VPN安全網(wǎng)關(guān)將自動(dòng)注銷，中斷會(huì)話并重新返回登錄界面。 全面的密碼安全保障對(duì)于采用在SSL VPN上建立的用戶名和密碼，深信服采用了多種機(jī)制保證密碼的安全性。一旦系統(tǒng)啟用防密碼暴力功能以后，用戶連續(xù)輸入密碼錯(cuò)誤次數(shù)達(dá)到一定的數(shù)量以后，系統(tǒng)會(huì)將該帳號(hào)鎖定一段時(shí)間，防止密碼被暴力猜解。對(duì)于被鎖定的用戶可以通過(guò)查看鎖定用戶在線列表來(lái)解除被鎖定的用戶，從而使其快速解凍。面對(duì)大量的用戶，管理員出于管理的方便可能針對(duì)每個(gè)用戶設(shè)定了初始密碼，但是出于密碼的安全性考慮，必須提供一定的密碼安全保障來(lái)保證密碼的安全性。深信服提供強(qiáng)迫初次登陸修改密碼，可以要求密碼必須至少多少位，根據(jù)您的要求可以設(shè)定密碼的最小長(zhǎng)度，也可以設(shè)定密碼必須包含數(shù)字、字母、特殊符號(hào)，從而保證密碼的復(fù)雜度，但是不能要求密碼與用戶名相同、密碼不能與舊密碼相同。對(duì)于密碼的管理，可以實(shí)現(xiàn)定時(shí)修改密碼，密碼過(guò)期前多少天提醒用戶進(jìn)行密碼修改，通過(guò)上面一系列的措施保證用戶的密碼的安全性。 客戶端安全檢查從端點(diǎn)開始保障您的網(wǎng)絡(luò)安全在用戶通過(guò)計(jì)算機(jī)瀏覽器打開SSL 登錄界面時(shí)，SANGFOR SSL VPN安全網(wǎng)關(guān)通過(guò)客戶端計(jì)算機(jī)安全掃描功能，檢查計(jì)算機(jī)系統(tǒng)是否打了補(bǔ)丁、是否安裝有相應(yīng)殺毒程序等，保證SANGFOR SSL VPN接入安全，避免客戶端計(jì)算機(jī)的不安全因素通過(guò)SSL VPN傳輸?shù)狡髽I(yè)內(nèi)部網(wǎng)絡(luò)產(chǎn)生的安全隱患。SSL VPN客戶端安全檢查保證接入安全 強(qiáng)化的網(wǎng)絡(luò)防護(hù)－VPN虛擬專線功能虛擬專線指用戶登錄SSL VPN以后，和內(nèi)部業(yè)務(wù)系統(tǒng)構(gòu)成一條虛擬的專線，此時(shí)用戶將不再能訪問(wèn)虛擬專線以外的網(wǎng)絡(luò)資源。用戶一旦啟用虛擬專線功能后，一方面外部網(wǎng)絡(luò)上面的不安全因素?zé)o法再對(duì)VPN系統(tǒng)構(gòu)成威脅，同時(shí)也可以避免客戶端上的不安全因素造成泄密的可能性，避免因客戶端引發(fā)的安全隱患，確保內(nèi)部業(yè)務(wù)系統(tǒng)的安全性。 零痕跡訪問(wèn)功能避免安全漏洞SANGFOR SSL VPN在用戶結(jié)束訪問(wèn)以后，拔出DKEY后將自動(dòng)注銷，同時(shí)會(huì)自動(dòng)清除Cookie，臨時(shí)文件等遺留在客戶端計(jì)算機(jī)上的信息，實(shí)現(xiàn)“零痕跡”訪問(wèn)，避免安全隱患。 真正的SSL 協(xié)議加密傳輸SSL VPN依托于內(nèi)嵌在各種瀏覽器當(dāng)中SSL 協(xié)議（RFC2246）。它是一種安全可靠的協(xié)議，包括以下三個(gè)協(xié)議：握手協(xié)議：客戶和服務(wù)器之間相互鑒別 協(xié)商加密算法和密鑰 它提供連接安全性，有三個(gè)特點(diǎn) 身份鑒別，至少對(duì)一方實(shí)現(xiàn)鑒別，也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的，中間人不能夠知道 協(xié)商過(guò)程是可靠的記錄協(xié)議：SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性，有兩個(gè)特點(diǎn) 保密性，使用了對(duì)稱加密算法 完整性，使用HMAC算法 用來(lái)封裝高層的協(xié)議警告協(xié)議：這個(gè)協(xié)議用于每時(shí)示在什么時(shí)候發(fā)生了錯(cuò)誤或兩個(gè)主機(jī)之間的會(huì)話在什么時(shí)候終止 SSL 協(xié)議數(shù)據(jù)交互的過(guò)程如下：正是因?yàn)镾SL 協(xié)議本身的安全性也導(dǎo)致他被廣泛的應(yīng)用到網(wǎng)上銀行。而真正的SSL VPN必須將IP層以上的數(shù)據(jù)都通過(guò)SSL協(xié)議進(jìn)行封裝。如果僅僅將TCP 數(shù)據(jù)做了簡(jiǎn)單的封裝，或者把IPSEC VPN做些修改，將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口，不能算是真正的SSL VPN。鑒別這種偽SSL VPN，可以使用標(biāo)準(zhǔn)的HTTP流量測(cè)試工具如Loadrunner,Web bench,Avalanche等或者通過(guò)抓包工具Wireshark、Sniffer。如果能進(jìn)行SSL 對(duì)接，并進(jìn)行SSL負(fù)載測(cè)試的就是真正的SSL VPN。但是普通客戶往往沒(méi)有這個(gè)測(cè)試條件，因此建議在SSL VPN選型時(shí)購(gòu)買經(jīng)過(guò)第三方評(píng)測(cè)機(jī)構(gòu)（如網(wǎng)絡(luò)世界，賽迪評(píng)測(cè)等）評(píng)測(cè)過(guò)的產(chǎn)品。 訪問(wèn)權(quán)限控制功能提供最細(xì)致的權(quán)限管理SANGFOR SSL VPN通過(guò)獨(dú)特的角色管理功能，提供了細(xì)致到每個(gè)URL和不同應(yīng)用的權(quán)限劃分。通過(guò)給不同用戶設(shè)置不同角色來(lái)分配訪問(wèn)授權(quán)，一個(gè)用戶可以賦予多個(gè)角色以適合各種復(fù)雜的組織結(jié)構(gòu)?；诮巧脑L問(wèn)限制為企業(yè)網(wǎng)絡(luò)提供了較強(qiáng)的安全性。通過(guò)行為跟蹤引擎，管理員還可以查看遠(yuǎn)程接入用戶的所有訪問(wèn)記錄。SANGFOR SSL VPN內(nèi)置有多種用戶和資源管理方式，可以自建用戶，也可以從第三方導(dǎo)入,支持LDAP/AD、RADIUS等第三方認(rèn)證，可以根據(jù)用戶、用戶組、公用賬號(hào)、私有賬號(hào)等多種方式對(duì)用戶進(jìn)行管理。管理員可根據(jù)角色、Web資源、C/S資源、IP資源等權(quán)限劃分方式，為遠(yuǎn)程接入用戶分配細(xì)致的訪問(wèn)權(quán)限控制。同時(shí)，SANGFOR SSL VPN集成了組用戶并發(fā)限制、公用賬號(hào)并發(fā)限制和用戶流量限制等多種方式，保證了用戶合理地使用VPN資源。并且，在SSL VPN網(wǎng)關(guān)中的直觀式管理圖形用戶界面（GUI）的實(shí)時(shí)監(jiān)控狀態(tài)欄中，可以實(shí)時(shí)地監(jiān)控用戶的接入情況，觀察整個(gè)VPN系統(tǒng)的運(yùn)行狀況。 完善的日志系統(tǒng)SANGFOR SSL VPN網(wǎng)關(guān)提供了調(diào)試、信息、告警、錯(cuò)誤四個(gè)級(jí)別的運(yùn)行日志，幫助管理診斷系統(tǒng)。并提供了用戶訪問(wèn)記錄審計(jì)和報(bào)表來(lái)記錄、跟蹤用戶行為。由于VPN網(wǎng)關(guān)的存儲(chǔ)空間有限，SANGFOR SSL VPN還提供了獨(dú)立的日志中心。通過(guò)第三方的日志中心，管理員可按照餅圖、柱狀圖、曲線圖等多種顯示方式對(duì)服務(wù)的被訪問(wèn)次數(shù)、被拒絕次數(shù)，用戶的登錄次數(shù)、告警次數(shù)等進(jìn)行直觀顯示，并可直接打印和導(dǎo)出。SANGFOR SSL VPN安全網(wǎng)關(guān)豐富的日志中心，為網(wǎng)絡(luò)管理員和決策者了解VPN資源的詳細(xì)使用情況提供了最有效的數(shù)據(jù)支持。 豐富的日志信息SANGFOR SSL VPN通過(guò)獨(dú)立的第三方日志服務(wù)器，用戶可以按照系統(tǒng)日志和用戶日志兩大類日志進(jìn)行查詢。管理員可對(duì)指定時(shí)間范圍內(nèi)的日志以及日志的級(jí)別如：錯(cuò)誤、告警、信息、調(diào)試和進(jìn)程類型進(jìn)行查詢。同時(shí)，管理員可按照餅圖、柱狀圖、曲線圖等多種顯示方式對(duì)服務(wù)的被訪問(wèn)次數(shù)、被拒絕次數(shù)，用戶的登錄次數(shù)、告警次數(shù)等進(jìn)行直觀顯示，并可直接打印和導(dǎo)出。SANGFOR SSL VPN安全網(wǎng)關(guān)豐富的日志中心，可詳細(xì)分析出企業(yè)VPN資源的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。 強(qiáng)大的實(shí)時(shí)監(jiān)控能力通過(guò)遠(yuǎn)程監(jiān)控平臺(tái)，管理員可以實(shí)時(shí)地監(jiān)控用戶的接入情況，實(shí)時(shí)觀察SSL VPN安全網(wǎng)關(guān)的運(yùn)行情況。通過(guò)SSL VPN豐富的系統(tǒng)日志，可以及時(shí)定位故障，并實(shí)施遠(yuǎn)程維護(hù)。通過(guò)Web界面，管理員還可以隨時(shí)查看每個(gè)在線用戶的情況，可以隨時(shí)中斷可疑會(huì)話，方便快捷。還可以實(shí)現(xiàn)告警的短信通知，及時(shí)通知到終端用戶。 集成企業(yè)級(jí)狀態(tài)防火墻和多數(shù)SSL VPN不同，SANGFOR SSL VPN網(wǎng)關(guān)集成了高性能的企業(yè)級(jí)狀態(tài)防火墻，對(duì)外只開放443端口，能有效保護(hù)內(nèi)部服務(wù)器免受來(lái)自Internet的各種攻擊。內(nèi)置的防DOS攻擊功能，不僅可以有效防范來(lái)自外部網(wǎng)絡(luò)的DOS攻擊，對(duì)于內(nèi)網(wǎng)計(jì)算機(jī)發(fā)起的DOS攻擊，SSL VPN安全網(wǎng)關(guān)也可以進(jìn)行防御。SANGFOR SSL VPN安全網(wǎng)關(guān)集成了企業(yè)級(jí)的狀態(tài)檢測(cè)防火墻。除了擁有企業(yè)級(jí)防火墻所具備的基本功能如：管理員權(quán)限分級(jí)、URL過(guò)濾、NAT功能、訪問(wèn)監(jiān)控、上網(wǎng)控制、用戶認(rèn)證、流量控制、QOS、DHCP服務(wù)、自動(dòng)撥號(hào)等功能以外，內(nèi)置了高、中、低和自定義 4個(gè)安全級(jí)別，用戶可以根據(jù)需要靈活配置。此外，SANGFOR SSL VPN安全網(wǎng)關(guān)獨(dú)特的虛擬測(cè)試功能，為管理員創(chuàng)建了防火墻規(guī)則的虛擬測(cè)試環(huán)境。管理員通過(guò)可視化界面，對(duì)各種安全設(shè)置規(guī)則進(jìn)行測(cè)試，從而杜絕人為配置錯(cuò)誤導(dǎo)致的安全漏洞。作為HTTPS服務(wù)器，所有SSL VPN都同樣面臨著DOS的威脅。所以大多數(shù)SSL VPN設(shè)備都需要前置防火墻保護(hù)其安全。而SANGFOR SSL VPN自身就是一個(gè)防火墻，集成了對(duì)DOS等攻擊的防御手段。對(duì)于來(lái)自外部的DOS攻擊，其防御DOS的基本原理如下：在網(wǎng)絡(luò)層模擬應(yīng)用層對(duì)DOS攻擊的主機(jī)發(fā)起應(yīng)答，由于DOS攻擊主機(jī)無(wú)法完成3次握手，因此可以識(shí)別出不完整的請(qǐng)求，避免了把攻擊發(fā)送到SSL VPN應(yīng)用上。而對(duì)于真實(shí)的SYN，在網(wǎng)絡(luò)層完成了SYN的3次握手后，再模擬請(qǐng)求的客戶端把SYN請(qǐng)求發(fā)送到應(yīng)用層。通過(guò)這種SYN代理的方法就使得正常的SSL VPN遠(yuǎn)程訪問(wèn)順利的通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器，而DOS攻擊則被拒之門外。SANGFOR SSL VPN安全網(wǎng)關(guān)不僅可以防御來(lái)自外網(wǎng)的DOS攻擊，對(duì)于內(nèi)網(wǎng)計(jì)算機(jī)發(fā)起的DOS攻擊，SSL VPN安全網(wǎng)關(guān)也可以進(jìn)行防御。管理員可以在SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)增添內(nèi)網(wǎng)網(wǎng)段列表，若檢測(cè)到來(lái)自該列表之內(nèi)的計(jì)算機(jī)發(fā)起的連接請(qǐng)求，則認(rèn)為是合法用戶；而若是來(lái)自該列表之外的IP地址，則被認(rèn)為是攻擊。這對(duì)于通常偽造源IP地址的DOS攻擊發(fā)起端來(lái)說(shuō)，將是一個(gè)有效的防范措施。同時(shí)，SANGFOR SSL VPN安全網(wǎng)關(guān)可以限制內(nèi)部局域網(wǎng)每個(gè)IP地址在一分鐘內(nèi)可發(fā)起的最大TCP連接數(shù)和發(fā)送的最大SYN包次數(shù)（數(shù)值可依據(jù)內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量自定義），阻止了局域網(wǎng)內(nèi)某些計(jì)算機(jī)感染了病毒或者木馬程序，對(duì)外發(fā)起大量的連接請(qǐng)求從而導(dǎo)致企業(yè)網(wǎng)絡(luò)帶寬耗盡、網(wǎng)關(guān)設(shè)備癱瘓宕機(jī)等情況的發(fā)生。一旦檢測(cè)到攻擊后，SANGFOR SSL VPN安全網(wǎng)關(guān)可以立即對(duì)攻擊主機(jī)進(jìn)行封鎖，從而及時(shí)有效阻斷了由企業(yè)局域網(wǎng)內(nèi)部計(jì)算機(jī)發(fā)起的DOS攻擊行為，避免了企業(yè)員工在上網(wǎng)時(shí)不小心感染了病毒而造成DOS攻擊給企業(yè)帶來(lái)的法律糾紛、名譽(yù)受損等風(fēng)險(xiǎn)。 更好用的SSL VPN 能支持您的所有網(wǎng)絡(luò)應(yīng)用目前對(duì)于大部分SSL VPN設(shè)備而言，所支持的應(yīng)用類型是有限的，幾乎僅限于支持Web等B/S的應(yīng)用，而無(wú)法像IPSec VPN一樣支持基于網(wǎng)絡(luò)層以上的所有應(yīng)用，因而也限制了SSL VPN的發(fā)展。SANGFOR SSL VPN安全網(wǎng)關(guān)通過(guò)html智能重構(gòu)技術(shù)、應(yīng)用轉(zhuǎn)換技術(shù)和IP Tunnel技術(shù)，實(shí)現(xiàn)了對(duì)目前所有網(wǎng)絡(luò)層以上各種靜態(tài)或者動(dòng)態(tài)端口應(yīng)用的完全支持，包括：網(wǎng)上鄰居、文件共享、TELNET、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等所有IPSEC能夠支持的應(yīng)用。由于采用了IP Tunnel技術(shù)，SANGFOR SSL VPN安全網(wǎng)關(guān)實(shí)現(xiàn)了對(duì)應(yīng)用程序的完整支持，客戶端在打開瀏覽器的SSL VPN登錄界面時(shí)，只需安裝一個(gè)Active X控件（可選），在客戶端的機(jī)器上會(huì)生成一塊專門用于SSL VPN通訊的虛擬網(wǎng)卡，因而SSL 遠(yuǎn)程登錄用戶便可使用所有基于IP網(wǎng)絡(luò)層以上的應(yīng)用。若SANGFOR SSL VPN在總部網(wǎng)絡(luò)采用路由模式的部署方式，總部網(wǎng)絡(luò)還能夠?qū)崿F(xiàn)與遠(yuǎn)程接入用戶的雙向訪問(wèn)。這種領(lǐng)先技術(shù)的應(yīng)用，使得SANGFOR SSL VPN能夠支持任何復(fù)雜的各種B/S和C/S的應(yīng)用。完整支持IP層以上的所用應(yīng)用 B/S正則替換，全面適應(yīng)各種平臺(tái)借助于瀏覽器技術(shù)，SANGFOR SSL VPN可以支持所有網(wǎng)絡(luò)環(huán)境，只要瀏覽器能夠上網(wǎng)就可以使用SSL VPN。目前，SANGFOR SSL VPN所支持的瀏覽器類型包含Html/Dhtml, Jsp, Asp,Java applet, Active, Cookies等各種Web技術(shù)。 提供IPSec/SSL一體化選擇傳統(tǒng)的IPSec VPN在部署時(shí)，往往需要在每個(gè)遠(yuǎn)程接入的終端都安裝相應(yīng)的IPSec客戶端，并需要做復(fù)雜的配置（SANGFOR IPSec VPN采用DKEY方式實(shí)現(xiàn)IPSec VPN零配置）。若企業(yè)的遠(yuǎn)程接入和移動(dòng)辦公數(shù)量增多，企業(yè)的維護(hù)成本將會(huì)成線性增加。而SSL VPN最大的好處之一就是不需要安裝客戶端程序，遠(yuǎn)程用戶可以隨時(shí)隨地從任何瀏覽器上安全接入到內(nèi)部網(wǎng)絡(luò)，安全地訪問(wèn)應(yīng)用程序，無(wú)需安裝或設(shè)置客戶端軟件，降低了企業(yè)的維護(hù)成本。因而SSL在點(diǎn)對(duì)網(wǎng)互連方面，其易用性和安全性方面有著突出的優(yōu)勢(shì)。由于SSL VPN只適合點(diǎn)對(duì)網(wǎng)的連接，無(wú)法實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)之間的安全互連。因而，在企業(yè)組建網(wǎng)對(duì)網(wǎng)方面，IPSec VPN就有著無(wú)可比擬的優(yōu)勢(shì)。而在點(diǎn)對(duì)網(wǎng)方面，由于IPSec VPN要求每個(gè)遠(yuǎn)程接入的終端都需要安裝相應(yīng)的IPSec客戶端并需要配置，因而IPSec VPN在易用性和維護(hù)成本上遠(yuǎn)遠(yuǎn)不如SSL VPN。SANGFOR SSL VPN安全網(wǎng)關(guān)結(jié)合了IPSec和SSL 兩套主流的VPN技術(shù)，實(shí)現(xiàn)了在一臺(tái)安全網(wǎng)關(guān)設(shè)備上穩(wěn)定高效運(yùn)行兩套VPN系統(tǒng)。利用兩者的優(yōu)勢(shì)進(jìn)行互補(bǔ)，避免了單一VPN設(shè)備存在的不足。對(duì)于企業(yè)或者事業(yè)單位的分支網(wǎng)絡(luò)，可以使用IPSec VPN實(shí)現(xiàn)安全互連，而對(duì)于內(nèi)部員工、合作伙伴、移動(dòng)人員可利用SSL VPN的易用性實(shí)現(xiàn)安全接入。最大限度地發(fā)揮了IPSec /SSL VPN給企業(yè)帶來(lái)的效益，節(jié)約了企業(yè)大量的管理成本和投入成本，真正做到一臺(tái)設(shè)備的投資，兩種設(shè)備的功能 。 配置向?qū)Ш?jiǎn)化管理員的操作過(guò)程為了簡(jiǎn)化您的操作，SANGFOR SSL VPN安全網(wǎng)關(guān)提供了配置向?qū)?lái)對(duì)管理員的基本操作進(jìn)行指引，管理