真正的SSL 協(xié)議加密傳輸
SSL VPN依托于內(nèi)嵌在各種瀏覽器當中SSL 協(xié)議(RFC2246)��。它是一種安全可靠的協(xié)議�,包括以下三個協(xié)議:
握手協(xié)議:客戶和服務器之間相互鑒別 -協(xié)商加密算法和密鑰 -它提供連接安全性,有三個特點 身份鑒別��,至少對一方實現(xiàn)鑒別��,也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的��,中間人不能夠知道 協(xié)商過程是可靠的
記錄協(xié)議:SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性��,有兩個特點 保密性��,使用了對稱加密算法 完整性�,使用HMAC算法 用來封裝高層的協(xié)議
正是因為SSL 協(xié)議本身的安全性也導致他被多方位的應用到網(wǎng)上銀行。而真正的SSL VPN必須將IP層以上的數(shù)據(jù)都通過SSL協(xié)議進行封裝��。
如果**將TCP 數(shù)據(jù)做了簡單的封裝,或者把IPSEC VPN做些修改�,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口,不能算是真正的SSL VPN�。鑒別這種偽SSL VPN,可以使用標準的HTTP流量測試工具或者通過抓包工具��。如果能進行SSL 對接�,并進行SSL負載測試的就是真正的SSL VPN。但是普通客戶往往沒有這個測試條件�,因此建議在SSL VPN選型時購買經(jīng)過國家密碼管理局批準的產(chǎn)品型號,以及經(jīng)過公安部檢測通過并獲得VPN銷售許可證的產(chǎn)品��。
保障組織信息安全��,防止**信息外泄�。閔行區(qū)原則VPN分類
與釘釘/企業(yè)微信等互聯(lián)網(wǎng)APP結合認證
移動互聯(lián)網(wǎng)的發(fā)展,使得微信�、釘釘?shù)然ヂ?lián)網(wǎng)應用普及率非常高,很多組織都在利用這些社交應用來進行業(yè)務上的溝通��。作為VPN市場的**��,深信服在不斷的創(chuàng)新�,支持以微信企業(yè)號和釘釘企業(yè)應用作為入口�,遠程訪問組織內(nèi)部的HTML5移動Web應用��。
利用深信服SSL VPN�,可將企業(yè)已有的Web應用與微信�、釘釘?shù)目蛻舳恕⒂脩粽J證體系快速而安全集成在一起�,保證用戶身份安全的同時,業(yè)務的傳輸采用**度企業(yè)級的SSL加密保護��。
利用移動互聯(lián)網(wǎng)應用作為移動辦公的入口��,有三大優(yōu)勢:
1�、組織的員工不需要額外安裝移動應用,移動辦公可以快速推廣普及�;
2、基于Web技術的移動應用�,幾乎不需要培訓,員工快速上手��;
3�、互聯(lián)網(wǎng)應用的即時消息、語音視頻通信功能��,與組織的業(yè)務相關的應用互補�,支撐組織業(yè)務移動化。
普陀區(qū)企業(yè)VPN優(yōu)勢網(wǎng)絡中無處不在的網(wǎng)絡延時、網(wǎng)絡丟包導致業(yè)務訪問速度急劇下降�。
與LDAP(AD)結合
隨著組織規(guī)模的擴大,為了更好的進行認證��,大部分的組織都建立了LDAP(AD)服務器�,通過LDAP服務器來進行人員的統(tǒng)一管理。LDAP可以根據(jù)組織內(nèi)部的結構來進行人員的劃分��,完全根據(jù)企業(yè)內(nèi)部的組織架構來建立LDAP的人員結構��。
深信服能夠與LDAP進行聯(lián)動�,無需在SSL VPN設備上建立LDAP上的用戶,直接將認證的數(shù)據(jù)轉(zhuǎn)向LDAP服務器��,讓LDAP進行判斷��。如果有一些特殊的需要�,也可以將LDAP中的用戶導入到設備中,可以根據(jù)您的需要定時進行同步��,您可以選擇一個固定的時間進行同步��,也可以選擇實時的進行同步��,從而保證LDAP上的用戶與SSL VPN上的用戶信息保持同步��。
訪問權限控制功能提供**細致的權限管理
SANGFOR SSL VPN通過獨特的角色管理功能,提供了細致到每個URL和不同應用的權限劃分�。通過給不同用戶設置不同角色來分配訪問授權�,一個用戶可以賦予多個角色以適合各種復雜的組織結構?�;诮巧脑L問限制為企業(yè)網(wǎng)絡提供了較強的安全性�。通過行為引擎,管理員還可以查看遠程接入用戶的所有訪問記錄�。
SANGFOR SSL VPN內(nèi)置有多種用戶和資源管理方式,可以自建用戶�,也可以從第三方導入,支持LDAP/AD��、RADIUS等第三方認證��,可以根據(jù)用戶��、用戶組�、公用賬號、私有賬號等多種方式對用戶進行管理�。管理員可根據(jù)角色、Web資源�、C/S資源、IP資源等權限劃分方式��,為遠程接入用戶分配細致的訪問權限控制。
同時�,SANGFOR SSL VPN集成了用戶并發(fā)限制、公用賬號并發(fā)限制和用戶流量限制等多種方式�,保證了用戶合理地使用VPN資源。并且�,在SSL VPN網(wǎng)關中的直觀式管理圖形用戶界面(GUI)的實時監(jiān)控狀態(tài)欄中,可以實時地監(jiān)控用戶的接入情況��,觀察整個VPN系統(tǒng)的運行狀況��。
使用VPN專線功能來實現(xiàn)和互聯(lián)網(wǎng)的邏輯隔離�,來保證入侵安全性。
動態(tài)身份認證提供多重保證
當前間諜軟件�、木馬等安全威脅日益嚴重,傳統(tǒng)的基于口令的認證方式容易被竊取��,一旦泄漏將造成企業(yè)數(shù)據(jù)的安全問題�。深信服科技采用了多種動態(tài)身份認證系統(tǒng)來消除該問題,保證了用戶使用SSL VPN訪問總部資源時的安全性�。
? DKEY認證
SANGFOR SSL VPN安全網(wǎng)關采用SSL協(xié)議加密建立安全的**加密通道,除了使用標準SSL協(xié)議內(nèi)置的RC4等加密算法和RSA128bit簽名算法來保證數(shù)據(jù)的安全性之外��,還使用DKEY(一種USB 的身份認證設備)進行雙因素身份認證�,并使用PIN碼保護DKEY的安全。這種USB DKEY可以同時支持兩套VPN(IPSec和SSL)系統(tǒng)�,安全方便�。
? 免驅(qū)動USBDKey
針對一般的USBDKEY在使用的過程中跟U盤一樣需要安裝該USB Key的驅(qū)動��,但是往往驅(qū)動的兼容性問題導致無法正常登錄SSL VPN��,導致業(yè)務無法開展��。針對這樣的情況�,深信服提出免驅(qū)動DKey認證��,當您使用DKey進行登錄的時候��,不需要安裝DKey也能夠正常登錄SSL VPN�,無需擔心驅(qū)動的兼容新問題,提高業(yè)務訪問效率��。
多方位防止內(nèi)部**應用系統(tǒng)的數(shù)據(jù)泄密�,保護組織信息安全。崇明區(qū)數(shù)據(jù)VPN電話多少
IPSec 客戶端需要有更多的版本來適應這些終端��。閔行區(qū)原則VPN分類
SANGFOR SSL VPN網(wǎng)關技術
豐富的認證方式
在SANGFOR SSL VPN安全網(wǎng)關支持LocalDB�、LDAP/AD、Radius��、第三方CA�、自建CA��、Dkey��、短信認證(短信網(wǎng)關)�、企業(yè)微信��、釘釘�、硬件特征碼、動態(tài)令牌多種安全認證方式�,比較大限度地保證了接入用戶的合法性。
混合認證保護機制
單一的認證方式易被竊取��,為了進一步提高身份認證的安全性�,深信服創(chuàng)新性提出混合認證,針對上面提到的用戶名和密碼�、CA數(shù)字證書、LDAP/AD�、Radius、Dkey�、硬件特征碼、短信認證�、動態(tài)令牌認證方式可以進行五個因素以上的捆綁認證,這幾種認證方式必須同時滿足才能夠接入SSL VPN系統(tǒng)�。如果需要幾種接入方式做備份接入選擇,那么深信服創(chuàng)新性提出或組合��,對于以上幾種認證方式進行或組合,只要通過一種主認證方式即可接入到SSL VPN系統(tǒng)中��。
多種認證方式�、完善的認證體系,使得企業(yè)在選擇的時候��,可以根據(jù)相應的安全級別�,對客戶端的認證方式進行組合,比較大限度地保證了接入用戶的合法性和企業(yè)內(nèi)網(wǎng)資源的高度安全�。
閔行區(qū)原則VPN分類
上海黑象信息科技有限公司致力于商務服務�,是一家其他型公司。黑象致力于為客戶提供良好的技術開發(fā)�,技術轉(zhuǎn)讓,技術咨詢�,技術服務,一切以用戶需求為中心��,深受廣大客戶的歡迎�。公司注重以質(zhì)量為中心,以服務為理念��,秉持誠信為本的理念��,打造商務服務良好品牌�。黑象憑借創(chuàng)新的產(chǎn)品�、專業(yè)的服務�、眾多的成功案例積累起來的聲譽和口碑,讓企業(yè)發(fā)展再上新高��。