SANGFOR SSL VPN安全網(wǎng)關(guān)可以限制內(nèi)部局域網(wǎng)每個IP地址在一分鐘內(nèi)可發(fā)起的比較大TCP連接數(shù)和發(fā)送的比較大SYN包次數(shù)(數(shù)值可依據(jù)內(nèi)網(wǎng)計算機(jī)數(shù)量自定義)���,阻止了局域網(wǎng)內(nèi)某些計算機(jī)傳染了攻擊或者木馬程序,對外發(fā)起大量的連接請求從而導(dǎo)致企業(yè)網(wǎng)絡(luò)帶寬耗盡���、網(wǎng)關(guān)設(shè)備癱瘓宕機(jī)等情況的發(fā)生���。一旦檢測到攻擊后,SANGFOR SSL VPN安全網(wǎng)關(guān)可以立即對攻擊主機(jī)進(jìn)行鎖��,從而及時有效阻斷了由企業(yè)局域網(wǎng)內(nèi)部計算機(jī)發(fā)起的DOS攻擊行為�,避免了企業(yè)員工在上網(wǎng)時不小心傳染了攻擊而造成DOS攻擊給企業(yè)帶來的法律糾結(jié)、名譽(yù)受損等風(fēng)險��。在每個遠(yuǎn)程接入的終端都需要安裝相應(yīng)的IPSec客戶端��。黃浦區(qū)電話VPN軟件
與口袋助理APP結(jié)合認(rèn)證
SSL VPN短信認(rèn)證通常需要與企業(yè)短信平臺進(jìn)行集成�,SSL VPN短信認(rèn)證模塊支持與GSM/CDMA短信或短信網(wǎng)關(guān)聯(lián)動,通過下發(fā)實時短信驗證碼的形式��,驗證用戶信息�����,提高用戶登錄SSL VPN身份驗證安全�����。
傳統(tǒng)短信認(rèn)證方式存在的問題:
穩(wěn)定差
使用短信方式,批量發(fā)送能力差���、發(fā)送速度慢��、有延時���,在信號不好的機(jī)房使用可能發(fā)送質(zhì)量不穩(wěn)定。
使用短信網(wǎng)關(guān)方式�����,雖然批量發(fā)送能力較強(qiáng)���,但是運(yùn)營商對短信內(nèi)容有嚴(yán)格的審計和過濾�,可能導(dǎo)致VPN用戶無法正常接收到驗證碼短信�。
使用短信網(wǎng)關(guān)方式,每個手機(jī)號碼在一定時間內(nèi)發(fā)送的短信條數(shù)有限制�����,如果用戶頻繁獲取短信驗證碼���,可能導(dǎo)致短信通道被封�����,所有用戶都無法正常接收短信驗證碼�����,嚴(yán)重影響辦公���。
黃浦區(qū)電話VPN軟件傳統(tǒng)的IPSec VPN在網(wǎng)絡(luò)適應(yīng)性上都存在一些問題。
與第三方CA結(jié)合
為了建立更加完善的認(rèn)證體制���,很多企業(yè)引進(jìn)了CA中心�����,通過CA中心來建立更加完善的認(rèn)證體制���。深信服SSLVPN能夠更好的實現(xiàn)與CA中心這樣的認(rèn)證體制的結(jié)合,支持包括UCS-2�, GBK, UTF-8���, GB2312�����, BIG5編碼格式�,支持der、crt�、cer、p12��、pfx���、p7b格式證書�����,還可以讀取CA證書中的指定字段�,形成身份賬號綁定和從而能夠與第三方CA進(jìn)行完美的結(jié)合���,滿足大規(guī)模用戶對于認(rèn)證的要求���。
深信服SSLVPN與第三方CA結(jié)合,還可以支持設(shè)置證書中的內(nèi)置授權(quán)值�,并與之綁定賬號完成組織結(jié)構(gòu)的建立���,達(dá)到更完美支持CA證書認(rèn)證的效果��。同時�����,深信服SSL VPN至少支持5張不同的CA根證書���,��,以及配置證書綁定字段以及批量導(dǎo)入/導(dǎo)出用戶證書記錄等�,即使是復(fù)雜數(shù)字證書體系也能良好的支持���。
與LDAP(AD)結(jié)合
為了更好的體現(xiàn)認(rèn)證的多樣性�,深信服SSL VPN提供讀取LDAP中的手機(jī)號碼�,可以跟短信認(rèn)證結(jié)合起來,這樣就可以實現(xiàn)與LDAP結(jié)合的雙因素認(rèn)證�����。
對于在LDAP中已經(jīng)劃分好了權(quán)限的情況�,為了保持跟LDAP中權(quán)限的一致性�����,深信服SSL VPN支持導(dǎo)入LDAP中的Group屬性���,這樣就可以完美繼承LDAP中的權(quán)限屬性,從而與LDAP中的權(quán)限保持一致���。
當(dāng)大量的用戶通過LDAP進(jìn)行認(rèn)證�����,但是本地SSL VPN數(shù)據(jù)庫中沒有用戶信息也無法分配虛擬IP��,那就沒有辦法使用IP資源�����。為了解決這樣的問題�����,深信服可以讀取LDAP中的IP字段屬性��,從而通過LDAP可以進(jìn)行虛擬IP的分配��,這樣通過LDAP進(jìn)行認(rèn)證的用戶可以得到虛擬IP實現(xiàn)雙向訪問�。
往往傳統(tǒng)的IPSec 解決方案都沒有很好的解決移動用戶接入到私有網(wǎng)絡(luò)的安全控制問題。
真正的SSL 協(xié)議加密傳輸
SSL VPN依托于內(nèi)嵌在各種瀏覽器當(dāng)中SSL 協(xié)議(RFC2246)��。它是一種安全可靠的協(xié)議�,包括以下三個協(xié)議:
握手協(xié)議:客戶和服務(wù)器之間相互鑒別 -協(xié)商加密算法和密鑰 -它提供連接安全性�,有三個特點(diǎn) 身份鑒別,至少對一方實現(xiàn)鑒別���,也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的���,中間人不能夠知道 協(xié)商過程是可靠的
記錄協(xié)議:SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性,有兩個特點(diǎn) 保密性�����,使用了對稱加密算法 完整性�����,使用HMAC算法 用來封裝高層的協(xié)議
正是因為SSL 協(xié)議本身的安全性也導(dǎo)致他被多方位的應(yīng)用到網(wǎng)上銀行�。而真正的SSL VPN必須將IP層以上的數(shù)據(jù)都通過SSL協(xié)議進(jìn)行封裝。
如果**將TCP 數(shù)據(jù)做了簡單的封裝�,或者把IPSEC VPN做些修改�����,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口�����,不能算是真正的SSL VPN�。鑒別這種偽SSL VPN���,可以使用標(biāo)準(zhǔn)的HTTP流量測試工具或者通過抓包工具��。如果能進(jìn)行SSL 對接��,并進(jìn)行SSL負(fù)載測試的就是真正的SSL VPN�。但是普通客戶往往沒有這個測試條件��,因此建議在SSL VPN選型時購買經(jīng)過國家密碼管理局批準(zhǔn)的產(chǎn)品型號�,以及經(jīng)過公安部檢測通過并獲得VPN銷售許可證的產(chǎn)品。
不需要安裝客戶端�����,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行�。黃浦區(qū)電話VPN軟件
使用VPN專線功能來實現(xiàn)和互聯(lián)網(wǎng)的邏輯隔離��,來保證入侵安全性��。黃浦區(qū)電話VPN軟件
對網(wǎng)絡(luò)的支持問題
傳統(tǒng)的IPSec VPN在網(wǎng)絡(luò)適應(yīng)性上都存在一些問題�,雖然一些領(lǐng)導(dǎo)廠商已經(jīng)或正在解決網(wǎng)絡(luò)兼容性問題���,但由于IPSec VPN對防火墻的安全策略的配置較為復(fù)雜(往往要開放一些非常用端口)���,因此客戶端的網(wǎng)絡(luò)適應(yīng)性還是不能做到****完美���。
移動設(shè)備支持問題
隨著未來通訊技術(shù)的發(fā)展�����,移動終端的種類將會越來越多�,IPSec 客戶端需要有更多的版本來適應(yīng)這些終端�����,但隨著終端種類的性增長��,這幾乎是不可能的��。
因此SSL VPN技術(shù)就孕育而生了,SSL VPN的突出優(yōu)勢在于Web安全和移動接入���,它可以提供遠(yuǎn)程的安全接入��,而無需安裝或設(shè)定客戶端軟件�。SSL在Web的易用性和安全性方面架起了一座橋梁�。目前,對SSL VPN公認(rèn)的三大好處是:首先是它的簡單性�����,它不需要復(fù)雜配置�,可以立即安裝、立即生效���;第二個好處是不需要安裝客戶端�,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行�����;第三個好處是兼容性好���,可以適用于任何的終端及操作系統(tǒng)��。
黃浦區(qū)電話VPN軟件
上海黑象信息科技有限公司致力于商務(wù)服務(wù)�,是一家其他型的公司。黑象致力于為客戶提供良好的技術(shù)開發(fā)�,技術(shù)轉(zhuǎn)讓,技術(shù)咨詢���,技術(shù)服務(wù)��,一切以用戶需求為中心�,深受廣大客戶的歡迎�。公司注重以質(zhì)量為中心,以服務(wù)為理念�����,秉持誠信為本的理念�,打造商務(wù)服務(wù)良好品牌���。黑象立足于全國市場�����,依托強(qiáng)大的研發(fā)實力���,融合前沿的技術(shù)理念�,飛快響應(yīng)客戶的變化需求��。