動(dòng)態(tài)身份認(rèn)證提供多重保證
當(dāng)前間諜軟件��、木馬等安全威脅日益嚴(yán)重,傳統(tǒng)的基于口令的認(rèn)證方式容易被竊取,一旦泄漏將造成企業(yè)數(shù)據(jù)的安全問題。深信服科技采用了多種動(dòng)態(tài)身份認(rèn)證系統(tǒng)來消除該問題,保證了用戶使用SSL VPN訪問總部資源時(shí)的安全性。
? DKEY認(rèn)證
SANGFOR SSL VPN安全網(wǎng)關(guān)采用SSL協(xié)議加密建立安全的**加密通道����,除了使用標(biāo)準(zhǔn)SSL協(xié)議內(nèi)置的RC4等加密算法和RSA128bit簽名算法來保證數(shù)據(jù)的安全性之外,還使用DKEY(一種USB 的身份認(rèn)證設(shè)備)進(jìn)行雙因素身份認(rèn)證����,并使用PIN碼保護(hù)DKEY的安全。這種USB DKEY可以同時(shí)支持兩套VPN(IPSec和SSL)系統(tǒng)�,安全方便。
? 免驅(qū)動(dòng)USBDKey
針對(duì)一般的USBDKEY在使用的過程中跟U盤一樣需要安裝該USB Key的驅(qū)動(dòng)���,但是往往驅(qū)動(dòng)的兼容性問題導(dǎo)致無法正常登錄SSL VPN�,導(dǎo)致業(yè)務(wù)無法開展�。針對(duì)這樣的情況,深信服提出免驅(qū)動(dòng)DKey認(rèn)證�����,當(dāng)您使用DKey進(jìn)行登錄的時(shí)候�����,不需要安裝DKey也能夠正常登錄SSL VPN����,無需擔(dān)心驅(qū)動(dòng)的兼容新問題,提高業(yè)務(wù)訪問效率��。
SSL在Web的易用性和安全性方面架起了一座橋梁��。長寧區(qū)技術(shù)VPN管理系統(tǒng)
SANGFOR SSL VPN安全網(wǎng)關(guān)可以限制內(nèi)部局域網(wǎng)每個(gè)IP地址在一分鐘內(nèi)可發(fā)起的比較大TCP連接數(shù)和發(fā)送的比較大SYN包次數(shù)(數(shù)值可依據(jù)內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量自定義)�����,阻止了局域網(wǎng)內(nèi)某些計(jì)算機(jī)傳染了攻擊或者木馬程序��,對(duì)外發(fā)起大量的連接請(qǐng)求從而導(dǎo)致企業(yè)網(wǎng)絡(luò)帶寬耗盡����、網(wǎng)關(guān)設(shè)備癱瘓宕機(jī)等情況的發(fā)生。一旦檢測到攻擊后����,SANGFOR SSL VPN安全網(wǎng)關(guān)可以立即對(duì)攻擊主機(jī)進(jìn)行鎖,從而及時(shí)有效阻斷了由企業(yè)局域網(wǎng)內(nèi)部計(jì)算機(jī)發(fā)起的DOS攻擊行為�����,避免了企業(yè)員工在上網(wǎng)時(shí)不小心傳染了攻擊而造成DOS攻擊給企業(yè)帶來的法律糾結(jié)�、名譽(yù)受損等風(fēng)險(xiǎn)。長寧區(qū)數(shù)據(jù)VPN業(yè)務(wù)SSL VPN無需安裝客戶端���,對(duì)于使用端透明����,無需安排專門的人員進(jìn)行維護(hù)。
簡單易用的用戶體驗(yàn)
更兼容: 兼容市場主流PC操作系統(tǒng)接入 | 兼容IE����、Firefox、 Opera����、Chrome等多種瀏覽器 | 適合主流移動(dòng)終端設(shè)備,提供更佳用戶體驗(yàn)|IPV6
更簡潔: 輕量級(jí)SSL VPN登錄插件 | 用戶登錄操作簡單 | SSL VPN 運(yùn)維效率提升
更快速: 多重傳輸加速機(jī)制 | 用戶訪問體驗(yàn)保障 | 帶寬成本降低
應(yīng)用場景
企業(yè)核心業(yè)務(wù)安全接入場景
存在問題:
業(yè)務(wù)系統(tǒng)身份認(rèn)證方式易被仿造�����;權(quán)限限制不明確���,容易被攻擊者發(fā)起跳板攻擊:
訪問業(yè)務(wù)系統(tǒng)時(shí)����,終端同時(shí)訪問互聯(lián)網(wǎng)����,引發(fā)泄密問題
解決方案:
多種認(rèn)證組合方式,增加身份驗(yàn)證的安全性���。
嚴(yán)格限定系統(tǒng)訪問權(quán)限�。
使用SSL VPN專線功能�,訪問內(nèi)部業(yè)務(wù)時(shí),同一個(gè)終端無法訪問互聯(lián)網(wǎng)��,避免泄密事件發(fā)生及攻擊者利用�����。
IPSec VPN應(yīng)用于端點(diǎn)接入的不便:
首先是客戶端配置問題
在每個(gè)遠(yuǎn)程接入的終端都需要安裝相應(yīng)的IPSec客戶端�����,并且需要做復(fù)雜的配置���,隨著這種遠(yuǎn)程接入客戶端數(shù)量的增多將給網(wǎng)絡(luò)管理員帶來巨大的挑戰(zhàn)�����。雖然一些**的公司已經(jīng)解決了IPSec 客戶端難以配置和維護(hù)的問題���,但是還是無法避免在每個(gè)終端上安裝客戶端的麻煩����,即使這些客戶端很少出問題�,但隨著用戶數(shù)量的增多,每天需要維護(hù)的客戶端數(shù)量也不少���。
其次是IPSec VPN自身安全問題
往往傳統(tǒng)的IPSec 解決方案都沒有很好的解決移動(dòng)用戶接入到私有網(wǎng)絡(luò)的安全控制問題���,這樣就為攻擊者傳播和入侵提供了很多可能的途徑。深信服科技的IPSec VPN已經(jīng)比較好的解決了這個(gè)問題���,使用硬件鑒權(quán)認(rèn)證來實(shí)現(xiàn)設(shè)備的認(rèn)證接入���,使用VPN專線功能來實(shí)現(xiàn)和互聯(lián)網(wǎng)的邏輯隔離,來保證入侵安全性��。如果**在受控的電腦上��,比如員工辦公電腦上使用IPSec客戶端則可以通過部署統(tǒng)一的安全策略來解決該問題����,但如果要讓合作伙伴或者客戶的電腦接入,就難以控制了。
IPSec 客戶端需要有更多的版本來適應(yīng)這些終端�。
功能特性
端到端的安全機(jī)制
? 多種身份認(rèn)證方式,支持靈活組合���,保障接入用戶身份安全
? 多重端點(diǎn)安全機(jī)制,支持客戶端安全檢查���、SSL專線�、移動(dòng)端數(shù)據(jù)保護(hù)等
? 支持多種國際標(biāo)準(zhǔn)算法和國家商密算法�����,保障傳輸安全
? 支持URL級(jí)權(quán)限控制�、支持**日志中心
? 支持Ipv6雙協(xié)議棧轉(zhuǎn)換及web 資源安全接入
接入端:多種身份認(rèn)證方式 | 客戶端安全檢查
傳輸端:多種國際標(biāo)準(zhǔn)算法和國家商用密碼算法
業(yè)務(wù)端:高細(xì)顆粒度業(yè)務(wù)訪問權(quán)限規(guī)則、**日志中心����。
通過廣域網(wǎng)訪問存在的安全問題讓組織非常害怕這些關(guān)鍵業(yè)務(wù)數(shù)據(jù)的泄密。長寧區(qū)技術(shù)VPN管理系統(tǒng)
往往傳統(tǒng)的IPSec 解決方案都沒有很好的解決移動(dòng)用戶接入到私有網(wǎng)絡(luò)的安全控制問題�����。長寧區(qū)技術(shù)VPN管理系統(tǒng)
快速重傳-允許接收端通過使用 SACK TCP 選項(xiàng)指示**多四個(gè)接收數(shù)據(jù)的非鄰接塊����。RFC 2883 定義用于確認(rèn)重復(fù)的數(shù)據(jù)包的 SACK
TCP
選項(xiàng)中的字段的額外使用�����。發(fā)送端可以通過此操作確定何時(shí)重傳了不必要的段并調(diào)整其行為�,以防今后不必要的重傳�。發(fā)送的重傳越少,整體吞吐量越合理�����。
快速恢復(fù)-快速檢測出丟包�,并能快速準(zhǔn)確重傳該包,對(duì)時(shí)延較大�����,網(wǎng)絡(luò)狀況較差的情況能夠有效的提升帶寬利用率��,通過更改快速恢復(fù)過程中發(fā)送端可以用來提高發(fā)送速率的方法�����,提供更大的吞吐量����。
慢啟動(dòng)-避免發(fā)送
TCP
對(duì)等方擁塞整個(gè)網(wǎng)絡(luò)的現(xiàn)有算法被稱為“慢啟動(dòng)”和“擁塞避免”�����。在連接**初發(fā)送數(shù)據(jù)和還原丟失段時(shí)���,這些算法可以增大發(fā)送窗口,即發(fā)送端可以發(fā)送的段數(shù)量��。對(duì)于每個(gè)接收到的確認(rèn)段或每個(gè)已經(jīng)確認(rèn)的段�,“慢啟動(dòng)”算法會(huì)以一個(gè)完整的
TCP 段增大發(fā)送窗口��。對(duì)于每個(gè)已經(jīng)確認(rèn)的完整窗口的數(shù)據(jù)�,“擁塞避免”算法以一個(gè)完整的 TCP
段增大發(fā)送窗口。利用這些算法增大發(fā)送窗口的速度就足以充分利用連接帶寬���。
長寧區(qū)技術(shù)VPN管理系統(tǒng)
上海黑象信息科技有限公司致力于商務(wù)服務(wù)�����,是一家其他型公司���。公司自成立以來����,以質(zhì)量為發(fā)展�,讓匠心彌散在每個(gè)細(xì)節(jié),公司旗下技術(shù)開發(fā)�,技術(shù)轉(zhuǎn)讓,技術(shù)咨詢�,技術(shù)服務(wù)深受客戶的喜愛。公司秉持誠信為本的經(jīng)營理念����,在商務(wù)服務(wù)深耕多年,以技術(shù)為先導(dǎo)��,以自主產(chǎn)品為重點(diǎn)�����,發(fā)揮人才優(yōu)勢����,打造商務(wù)服務(wù)良好品牌。黑象秉承“客戶為尊���、服務(wù)為榮�、創(chuàng)意為先、技術(shù)為實(shí)”的經(jīng)營理念����,全力打造公司的重點(diǎn)競爭力。