IPSec VPN應(yīng)用于端點(diǎn)接入的不便:
首先是客戶端配置問題
在每個遠(yuǎn)程接入的終端都需要安裝相應(yīng)的IPSec客戶端,并且需要做復(fù)雜的配置�����,隨著這種遠(yuǎn)程接入客戶端數(shù)量的增多將給網(wǎng)絡(luò)管理員帶來巨大的挑戰(zhàn)�����。雖然一些**的公司已經(jīng)解決了IPSec 客戶端難以配置和維護(hù)的問題�����,但是還是無法避免在每個終端上安裝客戶端的麻煩�����,即使這些客戶端很少出問題�,但隨著用戶數(shù)量的增多�����,每天需要維護(hù)的客戶端數(shù)量也不少�。
其次是IPSec VPN自身安全問題
往往傳統(tǒng)的IPSec 解決方案都沒有很好的解決移動用戶接入到私有網(wǎng)絡(luò)的安全控制問題�,這樣就為攻擊者傳播和入侵提供了很多可能的途徑�。深信服科技的IPSec VPN已經(jīng)比較好的解決了這個問題,使用硬件鑒權(quán)認(rèn)證來實(shí)現(xiàn)設(shè)備的認(rèn)證接入�,使用VPN專線功能來實(shí)現(xiàn)和互聯(lián)網(wǎng)的邏輯隔離,來保證入侵安全性�。如果**在受控的電腦上,比如員工辦公電腦上使用IPSec客戶端則可以通過部署統(tǒng)一的安全策略來解決該問題�,但如果要讓合作伙伴或者客戶的電腦接入,就難以控制了�����。
需要維護(hù)的客戶端數(shù)量也不少�����。青浦區(qū)運(yùn)營VPN一體化
真正的SSL 協(xié)議加密傳輸
SSL VPN依托于內(nèi)嵌在各種瀏覽器當(dāng)中SSL 協(xié)議(RFC2246)�。它是一種安全可靠的協(xié)議,包括以下三個協(xié)議:
握手協(xié)議:客戶和服務(wù)器之間相互鑒別 -協(xié)商加密算法和密鑰 -它提供連接安全性�����,有三個特點(diǎn) 身份鑒別�,至少對一方實(shí)現(xiàn)鑒別,也可以是雙向鑒別 協(xié)商得到的共享密鑰是安全的,中間人不能夠知道 協(xié)商過程是可靠的
記錄協(xié)議:SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(如TCP)之上 它提供連接安全性�,有兩個特點(diǎn) 保密性,使用了對稱加密算法 完整性�,使用HMAC算法 用來封裝高層的協(xié)議
正是因?yàn)镾SL 協(xié)議本身的安全性也導(dǎo)致他被多方位的應(yīng)用到網(wǎng)上銀行。而真正的SSL VPN必須將IP層以上的數(shù)據(jù)都通過SSL協(xié)議進(jìn)行封裝�。
如果**將TCP 數(shù)據(jù)做了簡單的封裝,或者把IPSEC VPN做些修改�,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口,不能算是真正的SSL VPN�����。鑒別這種偽SSL VPN�,可以使用標(biāo)準(zhǔn)的HTTP流量測試工具或者通過抓包工具。如果能進(jìn)行SSL 對接�����,并進(jìn)行SSL負(fù)載測試的就是真正的SSL VPN�。但是普通客戶往往沒有這個測試條件,因此建議在SSL VPN選型時購買經(jīng)過國家密碼管理局批準(zhǔn)的產(chǎn)品型號�����,以及經(jīng)過公安部檢測通過并獲得VPN銷售許可證的產(chǎn)品�����。
浦東新區(qū)運(yùn)營VPN一體化SSL VPN無需安裝客戶端�����,**依托于瀏覽器�����,不依賴網(wǎng)絡(luò)環(huán)境(只要能上網(wǎng)均可訪問)�。
簡單易用的用戶體驗(yàn)
更兼容: 兼容市場主流PC操作系統(tǒng)接入 | 兼容IE、Firefox�����、 Opera�����、Chrome等多種瀏覽器 | 適合主流移動終端設(shè)備�����,提供更佳用戶體驗(yàn)|IPV6
更簡潔: 輕量級SSL VPN登錄插件 | 用戶登錄操作簡單 | SSL VPN 運(yùn)維效率提升
更快速: 多重傳輸加速機(jī)制 | 用戶訪問體驗(yàn)保障 | 帶寬成本降低
應(yīng)用場景
企業(yè)核心業(yè)務(wù)安全接入場景
存在問題:
業(yè)務(wù)系統(tǒng)身份認(rèn)證方式易被仿造�����;權(quán)限限制不明確,容易被攻擊者發(fā)起跳板攻擊:
訪問業(yè)務(wù)系統(tǒng)時�,終端同時訪問互聯(lián)網(wǎng),引發(fā)泄密問題
解決方案:
多種認(rèn)證組合方式�����,增加身份驗(yàn)證的安全性�����。
嚴(yán)格限定系統(tǒng)訪問權(quán)限�。
使用SSL VPN專線功能,訪問內(nèi)部業(yè)務(wù)時�,同一個終端無法訪問互聯(lián)網(wǎng),避免泄密事件發(fā)生及攻擊者利用�����。
第三方用戶安全接入
存在問題:
接入終端系統(tǒng)�、瀏覽器版本多樣及安全狀態(tài)不可控
除運(yùn)維人員外,接入用戶IT水平普遍不高
解決方案:
提供更簡單的VPN安裝�、使用環(huán)境;
對接入終端進(jìn)行嚴(yán)格安全檢查�����,保證終端的合法合規(guī)性
業(yè)務(wù)系統(tǒng)統(tǒng)一發(fā)布、統(tǒng)一運(yùn)維
.移動辦公
存在問題:
出差和在家接入公司業(yè)務(wù)辦公�����,網(wǎng)絡(luò)安全狀態(tài)不受控?cái)?shù)據(jù)傳輸容易被視聽
解決方案:
增加終端入用戶認(rèn)證復(fù)雜度�;嚴(yán)格限定系統(tǒng)訪問權(quán)限�����;
對接入終端進(jìn)行嚴(yán)格安全檢查�;業(yè)務(wù)系統(tǒng)統(tǒng)一發(fā)布、統(tǒng)一運(yùn)維
單一的認(rèn)證方式易被竊取�,為了進(jìn)一步提高身份認(rèn)證的安全性,深信服創(chuàng)新性提出混合認(rèn)證�����。
與其他第三方認(rèn)證系統(tǒng)結(jié)合�,保護(hù)前期投資
從整個業(yè)界范圍來看,認(rèn)證系統(tǒng)多種多樣�,采用的數(shù)據(jù)格式也不禁相同,為了保護(hù)前提的投資�����,需要跟原有的認(rèn)證系統(tǒng)進(jìn)行結(jié)合,但是作為SSL VPN來說不能完美對于所有的認(rèn)證系統(tǒng)都能進(jìn)行充分的結(jié)合�����,深信服提出了通過深信服自己的Radius服務(wù)器作為中轉(zhuǎn)�,從而實(shí)現(xiàn)與其他認(rèn)證系統(tǒng)的完美結(jié)合,而且SANGFOR Radius強(qiáng)大的擴(kuò)展性可以滿足您與第三方進(jìn)行對接的要求�,解決了客戶的問題信息傳輸安全性的問題。
但是IPSec VPN**初是為了解決Lan To Lan(網(wǎng)對網(wǎng))的安全問題而制定的協(xié)議�。崇明區(qū)企業(yè)VPN誠信服務(wù)
在每個遠(yuǎn)程接入的終端都需要安裝相應(yīng)的IPSec客戶端。青浦區(qū)運(yùn)營VPN一體化
作為HTTPS服務(wù)器�,所有SSL VPN都同樣面臨著DOS的威脅。所以大多數(shù)SSL VPN設(shè)備都需要前置防火墻保護(hù)其安全�。而SANGFOR SSL VPN自身就是一個防火墻,集成了對DOS等攻擊的防御手段�。
對于來自外部的DOS攻擊,其防御DOS的基本原理如下:在網(wǎng)絡(luò)層模擬應(yīng)用層對DOS攻擊的主機(jī)發(fā)起應(yīng)答�����,由于DOS攻擊主機(jī)無法完成3次握手�,因此可以識別出不完整的請求,避免了把攻擊發(fā)送到SSL VPN應(yīng)用上�����。而對于真實(shí)的SYN,在網(wǎng)絡(luò)層完成了SYN的3次握手后�,再模擬請求的客戶端把SYN請求發(fā)送到應(yīng)用層。通過這種SYN代理的方法就使得正常的SSL VPN遠(yuǎn)程訪問順利的通過防火墻到達(dá)內(nèi)部服務(wù)器�����,而DOS攻擊則被拒之門外�����。
SANGFOR SSL VPN安全網(wǎng)關(guān)不僅可以防御來自外網(wǎng)的DOS攻擊�����,對于內(nèi)網(wǎng)計(jì)算機(jī)發(fā)起的DOS攻擊�����,SSL VPN安全網(wǎng)關(guān)也可以進(jìn)行防御�。管理員可以在SANGFOR SSL VPN安全網(wǎng)關(guān)內(nèi)增添內(nèi)網(wǎng)網(wǎng)段列表�,若檢測到來自該列表之內(nèi)的計(jì)算機(jī)發(fā)起的連接請求,則認(rèn)為是合法用戶�;而若是來自該列表之外的IP地址�,則被認(rèn)為是攻擊�。這對于通常偽造源IP地址的DOS攻擊發(fā)起端來說,將是一個有效的防范措施�����。
青浦區(qū)運(yùn)營VPN一體化
上海黑象信息科技有限公司辦公設(shè)施齊全�����,辦公環(huán)境優(yōu)越�,為員工打造良好的辦公環(huán)境。專業(yè)的團(tuán)隊(duì)大多數(shù)員工都有多年工作經(jīng)驗(yàn)�����,熟悉行業(yè)專業(yè)知識技能�����,致力于發(fā)展黑象的品牌�。公司以用心服務(wù)為重點(diǎn)價值,希望通過我們的專業(yè)水平和不懈努力�����,將信息、計(jì)算機(jī)�����、電子�、網(wǎng)絡(luò)科技領(lǐng)域內(nèi)的技術(shù)開發(fā)、技術(shù)轉(zhuǎn)讓�����、技術(shù)咨詢和技術(shù)服務(wù)�,企業(yè)管理咨詢�����,商務(wù)信息咨詢�����,市場營銷策劃�,設(shè)計(jì)、制作各類廣告�����,計(jì)算機(jī)軟件及輔助設(shè)備、電子產(chǎn)品�、工藝禮品(象牙及其制品除外)的銷售。信息�����、計(jì)算機(jī)�����、電子�����、網(wǎng)絡(luò)科技領(lǐng)域內(nèi)的技術(shù)開發(fā)�����、技術(shù)轉(zhuǎn)讓�、技術(shù)咨詢和技術(shù)服務(wù),企業(yè)管理咨詢�,商務(wù)信息咨詢,市場營銷策劃�����,設(shè)計(jì)、制作各類廣告�����,計(jì)算機(jī)軟件及輔助設(shè)備�、電子產(chǎn)品、工藝禮品(象牙及其制品除外)的銷售�。信息、計(jì)算機(jī)�����、電子�、網(wǎng)絡(luò)科技領(lǐng)域內(nèi)的技術(shù)開發(fā)、技術(shù)轉(zhuǎn)讓�����、技術(shù)咨詢和技術(shù)服務(wù)�����,企業(yè)管理咨詢�����,商務(wù)信息咨詢�����,市場營銷策劃�,設(shè)計(jì)、制作各類廣告�,計(jì)算機(jī)軟件及輔助設(shè)備、電子產(chǎn)品�����、工藝禮品(象牙及其制品除外)的銷售�。信息、計(jì)算機(jī)�����、電子�����、網(wǎng)絡(luò)科技領(lǐng)域內(nèi)的技術(shù)開發(fā)�、技術(shù)轉(zhuǎn)讓、技術(shù)咨詢和技術(shù)服務(wù),企業(yè)管理咨詢�����,商務(wù)信息咨詢�,市場營銷策劃,設(shè)計(jì)�、制作各類廣告,計(jì)算機(jī)軟件及輔助設(shè)備�����、電子產(chǎn)品�、工藝禮品(象牙及其制品除外)的銷售。等業(yè)務(wù)進(jìn)行到底�����。自公司成立以來�,一直秉承“以質(zhì)量求生存,以信譽(yù)求發(fā)展”的經(jīng)營理念�����,始終堅(jiān)持以客戶的需求和滿意為重點(diǎn)�,為客戶提供良好的技術(shù)開發(fā),技術(shù)轉(zhuǎn)讓�����,技術(shù)咨詢�����,技術(shù)服務(wù)�����,從而使公司不斷發(fā)展壯大�。