1、Jan,2017深信服深信服SSLVPN设备培训第设备培训第1单元单元SSL VPN是一种远程安全接入技术,因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议,使得SSL VPN可以做到“无客户端”部署,从而使得远程安全接入的使用非常简单,而且整个系统更加易于维护。SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用,使得SSL VPN真正称得上是一种VPN,并相对IPSec VPN更符合应用安全的需求,成为远程安全接入主要手段和选择。IEMozilla系列 SSL VPN加密隧道1.安全:用户认证、数据的安全、终端安全2.快速:用户访问系统的速度,接入速度3.易用
2、:客户端接入的易用(移动终端,跨平台,单点登录等)1234SANGFOR SSL 基础知识SANGFOR SSL 各项基本功能ContentsSANGFOR SSL 各个功能作用SANGFOR SSL 问题思考基本功能介绍最快最好用最安全最安全1.1 多种方式组合认证1.2 主从帐号绑定(专利)1.3 客户端安全检查1.4 安全桌面1.5 防止中间人攻击1.6 可选清除缓存1.1 多种认证方式l 多种认证方式组合认证,提供比网银还安全的认证手段1.2 主从帐号绑定(专利)将应用系统账号与SSL VPN账号强制绑定以增强应用系统账号使用安全性,确保各用户只能以指定的应用系统帐号登录系统1.3 客
3、户端安全策略l 准入:保障客户端具备相应安全环境要求方可接入内网,防止安全隐患l 授权:根据客户端不同安全等级(策略)授予不同业务系统的访问权限,保障访问安全1.4 防止中间人攻击l 针对劫持会话伪造证书、SSLStrip等中间人攻击进行检测l 对客户端进行告警,防止信息泄露Internet缓存文件1.5 可选清除缓存退出SSL VPN后自动清除cookie、IE缓存、访问记录等,防止登录信息泄露而对内网资源信息造成损失浏览器历史记录保存的表单信息Cookies1.6 支持国密算法1、设备控制台传输隧道支持国密算法2、客户端资源数据传输隧道支持国密算法3、用户证书/Dkey认证支持国密证书最快
4、的SSL VPN最快的SSL VPN2.1 网络丢包和延时:HTP快速传输协议、TCP单边加速2.2 多条互联网出口线路:多线路智能选路2.3 多台服务器自动负载:资源负载均衡2.4 手机、PAD访问界面自适应:Web优化2.5 减少冗余数据传输:流缓存2.6 B/S应用:WEB Cachel HTP协议(High Speed Transmission Protocol)是基于UDP的可靠传输协议,通过改善拥塞控制算法提高TCP传输效率。需要映射UDP 443(默认)端口到SSL VPN设备。l 单边加速是通过丢包预判机制,快速的重传被丢掉的包,并减少不必要的重传包,同时改进TCP滑动窗口机制
5、提高传输效率,不需要单独映射,需要开启多功能序列号。2.1 HTP快速传输协议、单边加速总部网通用户电信用户网通线路电信线路2.2 多线路智能选路l 通过速度实时探测,选择响应最快的线路接入,避免跨运营商访问;支持多线路备份,登录SSL VPN后实时探测总部线路效果,若当前线路不稳定,立即将用户切换到另一条较稳定的线路上,保证用户SSL VPN畅顺使用2.3 资源负载均衡l 通过负载均衡算法来保证资源的负载均衡接入,动态选择接入服务器,提高访问效率2.4 Web优化l 针对使用PAD等移动终端访问WEB页面时出现比例失调、访问速度慢的问题l 通过图片过滤、缩小、模糊化策略实现对于图片的优化处理
6、,提高不同WEB资源、不同网络环境用户访问WEB资源的体验2.5 流缓存启用流缓存之后,客户终端在本地自动开辟硬盘空间作为缓存区。设备型号带-Q(如VPN 2050-Q)的才具有此功能。 流缓存能提高远程的访问速度,提高业务办公效率。 流缓存能减少客户的重复流量。对于按流量计费的移动访问终端具有很高的价值。(如3G用户) 2.6 WEB CacheWEB Cache基于IE缓存机制,只要IE浏览器可以缓存的,就可以利用WEB Cache对其进行加速(缓存图片,js脚本,css等等)。提高用户访问WEB页面的响应速度。针对WEB页面,第二次访问由SSL VPN控件直接应答IE浏览器,让IE读取缓
7、存,无需走SSL VPN隧道重复取数据,提高响应速度。1234SANGFOR SSL 基础知识SANGFOR SSL 各项基本功能ContentsSANGFOR SSL 各个功能作用SANGFOR SSL 问题思考面向未来 网络适应性强管理简单方便容易上手4个层次的易用性考虑让您的SSL VPN适应范围更广!最好用的SSL VPN3.1 完整的支持性l支持Windows、LINUX、MAC OS等主流操作系统l支持IE、Firefox、Opera、Safari、Chrome等主流浏览器l支持IOS、Android移动终端接入SSL VPN3.2 中英文支持1、客户端电脑支持中文、英文版wind
8、ows系统2、控制台、客户端登录界面支持中英文切换3.3 SSL VPN登录客户端SSL VPN登录客户端实现脱离浏览器,使用登录客户端进行登录,支持用户名/密码,文件证书、DKEY以及匿名登录。3.4 EasyConnect客户端随着智能手机、平板电脑以及3G网络的不断普及,用户的操作习惯和使用偏好已发生了偏移,人们越来越多的将商务办公移动到手机以及平板电脑上来。深信服公司推出了EasyConnect客户端,让手机和平板电脑用户使用EasyConnect接入SSL VPN,轻松进行移动办公。目前支持Android和IOS系统:3.5 PPTP/L2TP登录SANGFOR SSL设备从5.1版
9、本开始支持iPhone设备、iPad设备、Android设备 的PPTP接入VPN,达到类似L3VPN服务的效果。通过PPTP方式接入,可以减少服务端部署成本以及手机维护的影响。SANGFOR SSL设备能够提供细化到IP、端口的权限划分,弥补PPTP一般只能全网访问的不足,同时用户通过PPTP接入SSL无需安装客户端,避免软件冲突的可能。l 支持B/S应用和C/S应用的单点登录功能3.6 单点登录3.7 智能递推l 支持TCP资源启用智能递推功能l 如果一个网站有很多的子链,可以启用智能递推功能,配置成TCP资源,地址只需填写主域名即可,大大减少了配置工作量。3.8 虚拟门户l不同部门、不同
10、运用平台采用不同的Portall各Portal可拥有独立的地址、界面、应用资源、管理员3.9 系统托盘l 提供系统托盘,最小化到任务栏,隐藏SSL VPN相关界面。3.10 分级分权限管理l 多达16级的管理员分级管理l 查看与配置权限的分配3.11 流量管理l 基于用户和用户组限制上下行带宽,可做会话限制l 保证客户端访问效果,防止恶意占用带宽3.12 远程应用发布l终端服务器发布应用窗口,与客户端直接打开应用程序体验相同l用户终端无需安装客户端,可正常使用C/S应用l网络中仅传输鼠标、键盘、显示数据3.13 企业移动管理包含移动设备管理、应用商店、应用封装三大功能,轻松解决客户通过手机app应用安全访问内网资源难题。l 支持253个站点非对称集群l 性能平滑扩充l 集群主主工作模式保证稳定性3.14 集群-高可用稳定性保证SSL VPN应用案例1:一种易用的远程接入移动办公成为信息化建设的重要目标成果SSL VPN应用案例2:细致的身份认证和权限划分,对于传输过程中的数据进行加密,保证安全性。